EU AI Act: Risk Sınıflandırması Tam Rehberi

Ağustos 2024'te yürürlüğe giren AB Yapay Zekâ Yasası (EU AI Act), Türkiye'de faaliyet gösteren şirketler için de geçerli. Sisteminiz AB pazarına dokunuyorsa, AB vatandaşlarını etkiliyorsa veya AB'li bir ortakla çalışıyorsanız bu yasa sizi kapsıyor.

Peki nereden başlayacaksınız?

İlk adım her zaman aynı: sisteminizin hangi risk kategorisinde olduğunu anlamak.

Dört Katman, Tek Soru

EU AI Act, yapay zekâ sistemlerini dört risk katmanına ayırıyor. Bu sınıflandırma, şirketinizin yükümlülüklerini doğrudan belirliyor.

1. Katman

Yasaklı Sistemler

Hiçbir koşulda kullanılamaz. Sosyal puanlama sistemleri, gerçek zamanlı biyometrik gözetleme (belirli istisnalar dışında), bilinçaltı manipülasyon araçları bu kategoriye giriyor. Eğer sisteminiz bu tanıma giriyorsa konu uyum değil, yasak.

2. Katman

Yüksek Riskli Sistemler

En kapsamlı yükümlülük katmanı. Ağustos 2025'ten itibaren tam uygulama başlıyor. İşe alım ve çalışan değerlendirme sistemleri, kredi skorlama araçları, eğitimde not ve değerlendirme sistemleri, kritik altyapı yönetimi bu kategoride. Yüksek riskli sistem kullanıyorsanız risk değerlendirmesi, insan denetimi, teknik dokümantasyon ve kayıt tutma zorunlu.

3. Katman

Sınırlı Riskli Sistemler

Şeffaflık yükümlülüğü var, ama yüksek riskli kadar ağır değil. Kullanıcıya "bir yapay zekâyla konuşuyorsunuz" demek zorundasınız. Müşteri hizmetleri chatbotları ve içerik öneri sistemleri genellikle bu kategoriye giriyor.

4. Katman

Minimal Riskli Sistemler

Spam filtreleri ve oyunlardaki AI özellikleri gibi sistemler bu kategoride. Yasal yükümlülük yok, gönüllü davranış kuralları yeterli.

Türk Şirketlerin En Sık Karşılaştığı Durum

Deneyimlerimize göre Türk şirketlerin büyük çoğunluğu iki noktada takılıyor.

Birincisi, kullandıkları SaaS araçlarının risk kategorisini bilmiyorlar. İşe alım platformları, otomatik CV filtreleme özellikleri veya performans değerlendirme yazılımları yüksek riskli kategori kapsamına girebilir. Aracı siz geliştirmediniz diye sorumluluktan kurtulamıyorsunuz; sistemi kullanan da yükümlü.

İkincisi, "biz AB'de değiliz" yanılgısı. Türkiye'den bir şirket, AB'deki bir müşteriye hizmet veriyorsa veya AB'li bir çalışanı değerlendiriyorsa yasa devreye giriyor. Coğrafi konum değil, etki alanı belirleyici.

Sınıflandırma için 3 Pratik Soru

Sisteminizi hızlıca konumlandırmak için şu üç soruyu sorun.

Bu sistem bir insan hakkında karar veriyor mu? İşe alım, kredi, eğitim, sağlık, adalet gibi alanlarda bireyler hakkında karar üretiyorsa yüksek risk kategorisine yakınsınız demektir.
Çıktı ne kadar bağlayıcı? Sistem yalnızca öneri mi sunuyor, yoksa kararı doğrudan mı şekillendiriyor? İnsan denetimi ne kadar gerçek, ne kadar nominal?
Hangi veriyle çalışıyor? Biyometrik, davranışsal veya hassas kişisel veri işliyorsa risk seviyesi otomatik olarak yükseliyor.

Bu üç soruya verdiğiniz yanıtlar sizi doğru kategoriye götürecektir. Yanıtlar belirsizse — ki çoğu durumda başlangıçta öyle olur — bu bir sinyal: sisteminizi daha iyi belgelemeniz gerekiyor.

Sonuç: Sınıflandırma bir kez yapılmaz

EU AI Act'in getirdiği en önemli zihniyet değişikliği şu: risk sınıflandırması bir kontrol listesi değil, süregelen bir değerlendirme pratiği. Sistem güncellendikçe, kullanım bağlamı değiştikçe, veri akışları farklılaştıkça kategori de değişebilir.

Başlangıç noktası basit: sisteminizin şu an nerede durduğunu bilin.

Hexis Risk Sınıflandırma Aracı ile AI sisteminizin EU AI Act kapsamındaki risk seviyesini belirleyin.

Risk Sınıflandırma Aracı → Uyum Kontrol Listesi →

EU AI Act: Risk Sınıflandırması Rehberi

Dört Katman, Tek Soru

Türk Şirketlerin En Sık Karşılaştığı Durum

Sınıflandırma için 3 Pratik Soru

Sonuç: Sınıflandırma bir kez yapılmaz

İlgili Yazılar