Yapay zekâ artık her ölçekten şirketin günlük iş akışında. Peki bu araçları kullanan kurumların hukuki sorumluluğu nedir? Avrupa Birliği Yapay Zekâ Yasası'nın (EU AI Act) Madde 4'ü 2 Şubat 2025 itibarıyla yürürlükte ve yapay zekâ kullanan ya da geliştiren her kuruma somut bir yükümlülük getiriyor: personelin yeterli düzeyde yapay zekâ okuryazarlığına sahip olmasını sağlamak. Bu rehber, yükümlülüğü adım adım açıklıyor ve şirketinizin doğrudan kullanabileceği, doldurulabilir bir kurumsal politika şablonu sunuyor.
Hazır Şablonu İndirin
EU AI Act Madde 4 ile tam uyumlu, 17 bölüm ve 6 ek (Tebliğ-Tebellüğ belgesi dâhil) içeren, şirket alanları boş bırakılmış Word şablonu. İndirin, kurumunuza göre doldurun, üst yönetime onaylatın. Ücretsizdir.
DOCX Şablonunu İndirHızlı Cevap
EU AI Act Madde 4, yapay zekâ sistemlerini geliştiren (sağlayıcı) veya kullanan (uygulayıcı) tüm kurumlara, personelinin "yeterli düzeyde yapay zekâ okuryazarlığına" sahip olmasını sağlama yükümlülüğü getirir. Yükümlülük 2 Şubat 2025'te yürürlüğe girdi (Madde 113(a)) ve geçiş süresi yoktur. Ulusal otoritelerin denetim ve yaptırım yetkisi ise 3 Ağustos 2026'da devreye girer. Yükümlülük, riski ne olursa olsun tüm yapay zekâ sistemleri için geçerlidir ve uyumun kanıtı belgelemedir: yazılı politika, rol bazlı eğitim ve kayıtlar.
EU AI Act Madde 4 Tam Olarak Ne Diyor?
Madde 4'ün resmî metninin Türkçe özeti şöyledir:
"Yapay zekâ sistemlerinin sağlayıcıları ve uygulayıcıları; teknik bilgi, deneyim, eğitim ve öğretimlerini, sistemin kullanılacağı bağlamı ve sistemin üzerinde uygulanacağı kişi veya grupları dikkate alarak, personelinin ve kendi adlarına yapay zekâ sistemlerinin işletimi ve kullanımıyla ilgilenen diğer kişilerin yeterli düzeyde yapay zekâ okuryazarlığına sahip olmasını sağlamak için ellerinden gelen önlemleri almalıdır."
Madde, Bölüm I (Genel Hükümler) altında yer alır ve ilgili gerekçesi Recital 20'dir. Amaç, yapay zekânın fırsatları kadar risklerinin de kurum içinde anlaşılmasını ve yapay zekânın bilinçli, güvenli, kontrollü kullanılmasını sağlamaktır.
Yürürlük Tarihleri: 2 Şubat 2025 ve 3 Ağustos 2026
İki tarih sık karıştırılıyor, ayrımı net yapalım:
| Tarih | Ne oluyor? |
|---|---|
| 2 Şubat 2025 | Madde 4 (yapay zekâ okuryazarlığı) ve Madde 5 (yasaklı uygulamalar) yürürlüğe girdi. Madde 113(a) uyarınca Bölüm I ve II bu tarihte uygulanmaya başladı. Geçiş süresi yoktur. |
| 2 Ağustos 2025 | Genel amaçlı yapay zekâ modeli (GPAI) sağlayıcıları ve yönetişim hükümleri devreye girdi. |
| 3 Ağustos 2026 | Madde 4 dâhil yükümlülüklerin denetimi ve yaptırımı ulusal otoritelerce işletilmeye başlar. |
Yani yükümlülük bugün zaten yürürlüktedir. "2026'da uyarız" yaklaşımı hatalıdır. 2026, cezaların kesilmeye başladığı tarihtir.
Kimler Sorumlu? Sağlayıcı ve Uygulayıcı Ayrımı
Sağlayıcı (Provider): Bir yapay zekâ sistemini geliştiren veya geliştirten ve kendi adı altında piyasaya süren kurumdur. Örneğin kendi modelini eğitip ürün olarak sunan teknoloji şirketi.
Uygulayıcı (Deployer): Bir yapay zekâ sistemini kendi yetkisi altında kullanan kurumdur. Çoğu şirket bu kategoridedir. ChatGPT, Copilot, bir CV tarama aracı veya çağrı merkezi botu kullanan her işletme uygulayıcı sayılır.
Önemli nokta: Yükümlülük, riski ne olursa olsun tüm yapay zekâ sistemleri için geçerlidir. Düşük riskli bir üretken yapay zekâ aracı kullanıyor olmanız sizi kapsam dışına çıkarmaz.
Türkiye'deki Yasal Durum
Peki Türkiye'de durum nedir? Türkiye'de yapay zekâya özgü, yürürlükte bağlayıcı tek bir çerçeve kanun henüz yoktur. Ancak bu, "Türkiye'de kural yok" anlamına gelmez. Konu birden çok düzenlemeyle doğrudan ilgilidir ve kurumların bugünden hazırlık yapması gerekir:
- 6698 sayılı KVKK: Yapay zekâ ile işlenen kişisel veriler bakımından bağlayıcıdır ve yürürlüktedir. Veri minimizasyonu, aydınlatma, açık rıza ve veri güvenliği yükümlülükleri, bir yapay zekâ aracına veri girişinde de aynen geçerlidir.
- Yapay Zekâ Kanun Teklifleri (TBMM): Türkiye'nin ilk yapay zekâ kanun teklifi 24 Haziran 2024'te TBMM'ye sunuldu; 2025 yılında ek teklifler geldi. Teklifler tanım, sorumluluk, şeffaflık ve yaptırım başlıklarını içeriyor ancak henüz kanunlaşmadı, ilgili komisyonlarda inceleniyor.
- 5651 sayılı İnternet Kanunu (öneri): Yapay zekâ ile üretilen içeriğin kaynağının kullanıcıya şeffaf gösterilmesine yönelik öneriler bu kanun üzerinden gündemde.
- Ulusal Yapay Zekâ Stratejisi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve Sanayi ve Teknoloji Bakanlığı tarafından yürütülen ulusal politika çerçevesi, kurumsal sorumlu yapay zekâ yaklaşımını destekler.
- EU AI Act'in sınır ötesi etkisi: AB pazarına ürün veya hizmet sunan ya da çıktısı AB'de kullanılan Türk kurumları, EU AI Act'in sınır ötesi etkisi nedeniyle Madde 4 dâhil yükümlülüklere doğrudan tabi olabilir.
Pratik sonuç: Türkiye'de yapay zekâya özel çerçeve kanun çıkana kadar bile KVKK uyumu zaten bağlayıcıdır ve AB ile iş yapan kurumlar için EU AI Act geçerlidir. Bu yüzden yazılı yapay zekâ politikası, veri sınıflandırması ve okuryazarlık eğitimini beklemeden kurmak, hem Türkiye hem AB perspektifinden doğru olan yaklaşımdır.
Uymazsanız Ne Olur?
EU AI Act'in idari para cezaları yüksektir. Yasaklı uygulamalarda (Madde 5) 35 milyon avroya veya küresel cironun yüzde 7'sine kadar, diğer ihlallerde 15 milyon avroya veya yüzde 3'e kadar cezalar öngörülür. Madde 4 okuryazarlık yükümlülüğü için yaptırım, 3 Ağustos 2026'dan itibaren ulusal otoritelerce uygulanır. Ayrıca uyum eksikliği, bir yapay zekâ kaynaklı zarar veya veri ihlali durumunda kurumun ihmal sorumluluğunu ağırlaştırır.
Şirketler Ne Yapmalı? Adım Adım Yol Haritası
Aşağıdaki sekiz adım, Madde 4 uyumunu pratikte sağlamanın iskeletidir. Her adımı kayıt altına alın, çünkü uyumun kanıtı belgedir.
- Yapay zekâ envanterini çıkarın. Kurum içinde hangi yapay zekâ araçlarının, hangi birimlerce, hangi amaçla kullanıldığını tespit edin. Ücretsiz ve abonelikli tüm araçları listeleyin.
- Gölge yapay zekâyı (Shadow AI) görünür kılın. Çalışanların kurum onayı olmadan kullandığı araçları anket ve teknik envanterle ortaya çıkarın, onaylı araçlar beyaz listesi yayımlayın.
- Veri sınıflandırması yapın. Hangi verilerin yapay zekâ araçlarına girilip girilemeyeceğini netleştirin: genel, iç kullanım, gizli, kişisel ve özel nitelikli veri ayrımı.
- Yazılı bir yapay zekâ kullanım politikası oluşturun. Kabul edilebilir kullanım, yasaklar, roller ve sorumluluklar tek bir onaylı belgede toplansın. Bu rehberin DOCX şablonu tam da budur.
- Çalışanların yapay zekâ risk farkındalığını değerlendirin. Mevcut bilgi düzeyini ölçün, eğitim ihtiyacını rol bazında belirleyin.
- Rol bazlı yapay zekâ okuryazarlığı eğitimi planlayın ve verin. Gerekirse iç veya dış uzman desteğiyle, tüm personel, yoğun kullanıcılar, yöneticiler ve geliştiriciler için ayrı düzeylerde.
- Eğitimleri ve alınan önlemleri kayıt altına alın, dosya oluşturun. Katılım listeleri, içerik, tarih ve değerlendirme sonuçları denetime hazır biçimde saklanmalıdır. Öneri, en az 3 yıl.
- Süreci düzenli olarak güncelleyin. Politikayı en az yılda bir, mevzuat veya araç değişikliğinde ise hemen gözden geçirin.
Amaç yapay zekâyı yasaklamak değil, güvenli, bilinçli ve kontrollü kullanımını sağlamaktır.
Hangi Veriler Yapay Zekâya Girilebilir? Girdi Kuralları Tablosu
Veri sınıflandırması, Madde 4 uyumunun en pratik parçasıdır. Aşağıdaki tablo bir başlangıç çerçevesidir:
| Veri sınıfı | Örnek | Genel veya halka açık yapay zekâ aracı | Kurumsal veya sözleşmeli yapay zekâ aracı |
|---|---|---|---|
| Genel, kamuya açık | Yayımlanmış içerik | İzinli | İzinli |
| İç kullanım | İç prosedür, taslak | Yasak | Koşullu, onayla |
| Gizli | Sözleşme, finansal veri | Yasak | Koşullu, onayla |
| Kişisel veri (KVKK) | Ad, TCKN, müşteri verisi | Kesin yasak | Yalnızca hukuki dayanak ve DPA ile |
| Özel nitelikli veri | Sağlık, biyometrik, inanç | Kesin yasak | Kural olarak yasak |
| Sır, fikri mülkiyet | Kaynak kod, ticari sır | Kesin yasak | Koşullu, izole ortam |
Altın kural: Bir veriyi herkese açık bir yapay zekâ aracına girmeden önce şunu sorun: "Bu bilgi internette yayımlansa kurum zarar görür mü?" Yanıt evet ise, o veri o araca girilmez.
Yapay Zekâ Okuryazarlığı Eğitimi Nasıl Planlanır?
Madde 4, eğitimde "herkese aynı" yaklaşımını değil, rol ve bağlam temelli bir programı öngörür. Önerilen yapı şöyledir:
- Tüm personel (Temel): Yapay zekâ nedir, fırsat ve riskler, gizlilik, kabul edilebilir kullanım. Yıllık, 1 ila 2 saat.
- Yapay zekâyı yoğun kullananlar (Orta): Prompt hijyeni, halüsinasyon ve doğrulama, önyargı, veri sınıflandırma. Yılda iki kez.
- Yöneticiler (Yönetişim): Hukuki yükümlülük, risk, hesap verebilirlik. Yıllık.
- BT, geliştirici ve sağlayıcı (İleri): Model güvenliği, değerlendirme, dokümantasyon, Madde 5 ve Ek III. Yılda iki kez.
- Yeni işe başlayan (Oryantasyon): Politika ve temel okuryazarlık. İşe girişte.
Eğitim, katılımcının teknik bilgisi, deneyimi ve yapay zekânın kullanılacağı bağlam dikkate alınarak uyarlanmalıdır. Bu, Madde 4'ün açık ifadesidir.
Belgeleme: Uyumun Tek Kanıtı
Bir denetimde "biz yapay zekâ okuryazarlığını önemsiyoruz" demek yeterli değildir. Kanıt belgedir. En az şunları saklayın:
- Onaylı ve sürümlü yazılı yapay zekâ kullanım politikası
- Güncel yapay zekâ envanteri
- Rol bazlı eğitim takvimi ve içerikleri
- Eğitim katılım kayıtları ve değerlendirme sonuçları
- Veri sınıflandırma matrisi
- Politikanın gözden geçirme tarihleri ve revizyon geçmişi
DOCX şablonu bu kalemlerin tümü için hazır tablolar içerir.
DSET Olarak Biz de Uyguluyoruz
DSET, kendi siber güvenlik operasyonlarında yapay zekâ destekli sistemler kullanan bir kurum olarak EU AI Act Madde 4 ilkelerini kendi içinde de uygular: yazılı yapay zekâ kullanım politikası, veri sınıflandırması, ekip için yapay zekâ okuryazarlığı eğitimi ve insan gözetimi. Bu yaklaşımın ayrıntılarını Yapay Zekâ Okuryazarlığı ve Sorumlu Yapay Zekâ Beyanımız sayfasında bulabilirsiniz.
Sıkça Sorulan Sorular (SSS)
EU AI Act Madde 4 ne zaman yürürlüğe girdi?
Madde 4, 2 Şubat 2025 tarihinde yürürlüğe girdi. Madde 113(a) uyarınca yasanın Bölüm I ve Bölüm II hükümleri bu tarihte uygulanmaya başladı ve herhangi bir geçiş süresi tanınmadı. Denetim ve yaptırım yetkisi ise 3 Ağustos 2026'dan itibaren işler.
Madde 4 hangi şirketleri kapsıyor?
Yapay zekâ sistemlerini geliştiren (sağlayıcı) ve kullanan (uygulayıcı) tüm kurumları kapsar. ChatGPT, Microsoft Copilot, CV tarama yazılımı veya herhangi bir yapay zekâ aracı kullanan her işletme uygulayıcı sayılır ve yükümlülük altındadır. Risk seviyesi fark etmez.
Yapay zekâ okuryazarlığı yükümlülüğü tam olarak ne gerektiriyor?
Kurumun, personelinin ve kendi adına yapay zekâ sistemlerini işleten kişilerin yeterli düzeyde yapay zekâ okuryazarlığına sahip olmasını sağlamak için elinden gelen önlemleri almasını gerektirir. Pratikte bu, yazılı politika, rol bazlı eğitim ve bu önlemlerin belgelenmesi anlamına gelir.
Küçük bir şirket olarak da uymak zorunda mıyım?
Evet. Madde 4 şirket büyüklüğüne göre muafiyet tanımaz. Ancak yükümlülük orantılıdır: küçük bir kurum için temel bir yazılı politika, basit bir veri sınıflandırması ve yıllık bir farkındalık eğitimi makul bir başlangıçtır.
Uymazsam ceza ne olur?
EU AI Act idari para cezaları, ihlalin türüne göre 15 milyon avroya veya küresel cironun yüzde 3'üne (yasaklı uygulamalarda 35 milyon avro veya yüzde 7) kadar çıkabilir. Madde 4 için yaptırım 3 Ağustos 2026'dan itibaren ulusal otoritelerce uygulanır. Ayrıca uyum eksikliği, olası bir zararda ihmal sorumluluğunu ağırlaştırır.
Hazır bir şablon var mı?
Evet. Bu sayfadaki bağlantıdan, EU AI Act Madde 4 ile uyumlu, doldurulabilir kurumsal yapay zekâ kullanım politikası şablonunu Word (DOCX) formatında ücretsiz indirebilirsiniz. Şablon 17 bölüm, 6 ek form (çalışan taahhütnamesi ve Tebliğ-Tebellüğ belgesi dâhil) ve hazır tablolar içerir.
Şablonu hemen indirin
Kuruma özel doldurulabilir politika, eğitim kayıt formları ve Tebliğ-Tebellüğ belgesi tek Word dosyasında.
DOCX Şablonunu İndirKaynaklar
Bu rehber aşağıdaki resmî ve birincil kaynaklara dayanır:
- Regulation (EU) 2024/1689 (Artificial Intelligence Act), resmî metin, EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- EU AI Act Madde 4, Yapay Zekâ Okuryazarlığı: https://artificialintelligenceact.eu/article/4/
- EU AI Act Madde 113, Yürürlük ve Uygulama: https://artificialintelligenceact.eu/article/113/
- Avrupa Komisyonu, AI Literacy Soru ve Cevap: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers
- Türkiye Yapay Zekâ Kanun Teklifi, TBMM: https://www.tbmm.gov.tr
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK): https://www.kvkk.gov.tr
Bu içerik genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. Kurumunuza özgü uygulama için yetkin bir hukuk müşavirine danışın.