MENU
KAPAT

Avrupa Birliği Yapay Zekâ Yasası’nın Genel Amaçlı Yapay Zekâ (GPAI) Hükümleri Artık Devrede: Şirketiniz Hazır mı?

AB Yapay Zekâ Yasası aşama aşama yürürlüğe giriyor. 2 Şubat 2025’te yasaklı yapay zekâ sistemleri ve yapay zekâ okuryazarlığı ile ilgili hükümler devreye girmişti. 2 Ağustos 2025 itibarıyla ise “Genel Amaçlı Yapay Zekâ (GPAI) Modelleri” için yeni kurallar uygulanmaya başladı.

AB Yapay Zekâ Yasası aşama aşama yürürlüğe giriyor. 2 Şubat 2025’te yasaklı yapay zekâ sistemleri ve yapay zekâ okuryazarlığı ile ilgili hükümler devreye girmişti. 2 Ağustos 2025 itibarıyla ise “Genel Amaçlı Yapay Zekâ (GPAI) Modelleri” için yeni kurallar uygulanmaya başladı. Bu kurallar 2 Ağustos 2025 sonrasında piyasaya sürülen yeni GPAI modelleri için direk devreye girerken, halihazırda piyasada olan modeller için ise son uyum tarihi Ağustos 2027 olarak belirlendi.

Genel Amaçlı Yapay Zekâ Nedir?

Genel Amaçlı Yapay Zekâ (GPAI) modelleri; ChatGPT, Gemini, Le Chat gibi tek bir görevle sınırlı olmayıp, farklı görevleri yerine getirebilen çok yönlü yapay zekâ sistemleridir. İsviçre çakısı gibi düşünülebilecek bu modeller aynı anda metin yazabilir, yazılım hatalarını düzeltebilir, e-postaları özetleyebilir veya tatil planları yapabilir. GPAI modelleri, Avrupa Komisyonu tarafından belirlenen teknik kriterlere göre, genel amaçlı kullanım özelliklerine ek olarak en az 10²³ FLOP işlem gücü ile eğitilmiş ve dil üretme yeteneğine sahip modellerdir.

Kurallar Kimleri Bağlıyor?

2 Ağustos tarihinde devreye giren yeni kurallar, GPAI modellerini üreten ve AB pazarına sunan sağlayıcı şirketleri hedef alıyor. Sağlayıcı şirketlerin yerine getirmesi gereken temel yükümlülükler ise üç alanda toplanıyor: telif haklarına saygı, şeffaflık ve güvenlik.

Telif hakkı yükümlülüğü, modelin eğitiminde kullanılan verilerin hak sahipliği ve kullanım izinlerinin belgelenmesini ve hak ihlallerine karşı önleyici tedbirler alınmasını zorunlu kılıyor. Şeffaflık yükümlülüğü, modelin nasıl eğitildiği, hangi veri kategorilerinin kullanıldığı ve modelin temel yetenek ve sınırlamalarına dair net bilgi verilmesini içeriyor. Güvenlik yükümlülüğü ise, modelin kötüye kullanım risklerine, siber saldırılara ve potansiyel zararlara karşı test edilmesi ve özellikle sistemik risk taşıyan büyük modellerde sürekli güvenlik değerlendirmeleri yapılmasını gerektiriyor. Bu yükümlülükler güvenilir bir yapay zekâ sisteminin olmazsa olmazları ve de insan odaklı bir yaklaşımla bakıldığında en gerekli önlemleri barındırıyor.

Yalnız şimdilik bu yükümlülükleri kısa bir özet ile geçiyoruz çünkü öncelikle şirketinizin yapay zekâ ekosisteminde üstlenebileceği kritik rolleri netleştirmemiz gerekiyor çünkü üstlenilen rollere göre sorumluluklar, yükümlülükler ve uygulanması gereken eylem planı şekilleniyor. İlerleyen yazılarda yükümlülükleri de inceleyeceğiz. Eğer şirketiniz yapay zekâyı mevcut ürün ve hizmetlerine entegre ediyor, mevcut modelleri kendi amaçları için eğitiyor veya tamamen yeni iş kolları yaratıyorsa, sağlayıcı olmasanız bile GPAI yükümlülüklerini bilmeniz önemli. Üstelik bir GPAI modeli üzerinde önemli ölçüde değişiklik yapıp, kendi markanızla sunuyorsanız, hukuken sağlayıcı rolüne geçebilirsiniz ve doğrudan sorumlu olursunuz.

Kritik Roller, Şirketiniz Bu Denklemde Nerede?

Bu rolleri zihninizde net bir şekilde canlandırmak için, otomotiv sektöründen bir analoji ile ilerleyelim ve her bir rolü, bir motor fabrikası ve nihai araba üreticisi arasındaki ilişki olarak düşünelim.

1. Sağlayıcı Şirket (Provider): Motor Fabrikası

  • Yapay zekâ modelini geliştiren veya geliştirip kendi markasıyla AB pazarına ilk kez süren şirket.
  • Örneğin Google, Gemini modelini piyasaya sürdüğünde hukuki olarak sağlayıcı rolüne büründü. Microsoft ise GPT-4o modelini Azure OpenAI markasıyla sunmasıyla sağlayıcı oldu ve yasal sorumluluk taşımaya başladı.
  • Devreye giren bu yeni yükümlülüklerden sağlayıcılar tam anlamıyla sorumlu.

2. Dağıtıcı / Uygulayıcı Şirket (Deployer): Arabayı Üreten Şirket

  • Hazır bir GPAI modelini kendi özellikleri ve veri kaynaklarıyla birleştirerek son kullanıcıya yönelik hizmete dönüştüren şirket.
  • Örneğin Perplexity AI, GPT-4o’yu kullanarak kendi akıllı arama motorunu yarattı. Bu durumda Perplexity AI, deployer konumunda ve nihai hizmetin güvenliğinden ve yasallığından sorumlu.

3. Geliştirici Şirket (Developer): Teknik Yeteneği Sağlayan Şirket

  • Geliştirici şirket olmak ise AB Yasası uyarınca hukuki bir rol değil.
  • Geliştirici şirket ancak geliştirdiği modeli piyasaya sürdüğünde sağlayıcı konumuna geçiyor ve sorumlulukları başlıyor.

4. Son Kullanıcı (End-User): Aracı Süren Birey

  • Son kullanıcı yapay zekâ hizmetini kullanan birey. Sadece kullanım koşullarına uygun hareket etmekle sorumlu.
  • Ancak son kullanıcı, modeli önemli şekilde değiştirip eğitmeye başlarsa, uygulayıcı rolüne geçebilir ve sorumlulukları değişir.

Önemli: Fine-Tuning ve Rol Değişimi

Eğer bir GPAI modelini önemli ölçüde değiştirip kullanım amacını veya risk profilini dönüştürüyorsanız (örneğin, sohbet modelini tıbbi teşhis için eğitmek gibi), hukuken sağlayıcı haline gelir ve tüm yasal yükümlülükleri üstlenirsiniz. Bu detay sorumluluklarınızı belirlemek adına oldukça önemli.

Tüm Roller İçin Pratik Eylem Adımları:

Rolleri netleştirdikten sonra bugüne kadar devreye giren hükümler özelinde pratik bir eylem planı tasarlamak bu aşamada oldukça önemli ki önümüzü görelim ve yükümlülüklerimizi yerine getirelim.

  1. Yasaklı Yapay Zekâ Uygulamalarından Uzak Durun: Neler yasaklı öğrenin ve örneğin; sosyal puanlama, manipülatif uygulamalar, duygu tanıma sistemleri gibi uygulamalardan kaçının.Üstelik altını çizmek gerekiyor ki 35 Milyon Euro’yu bulan cezalar ile karşı karşıya kalmak mümkün.
  2. “Yüksek Risk” Sistemlerini Belirleyin: İşe alım, eğitim, kredi skorlama veya tıbbi teşhis gibi alanlarda hizmetiniz varsa, yüksek risk sistemleri için yükümlülüklerin devreye gireceği Ağustos 2026 öncesinde alt yapınızı tamamlayın.
  3. Veri Envanterinizi Denetleyin: Kendi verilerinizi kullanarak modelleri eğitiyorsanız telif hakkı ve kişisel veri risklerini kontrol edin.
  4. Tedarikçilerinizi Sorgulayın: Sağlayıcı şirketlerin AB uyum planlarını ve şeffaflık raporlarını talep edin. Yalnız 2 Ağustos öncesi piyasada olan modeller için uyum tarihinin Ağustos 2027 olarak belirlendiğini unutmayın.
  5. Ekiplerinizi ve Kullanıcılarınızı Eğitin: Yapay zekâ okuryazarlığını ekiplerinize ve son kullanıcılarınıza sürekli bilgilendirme yöntemleriyle öğretin. 2 Şubat itibariyle bu yükümlülükler devreye girdi.
  6. Politikalarınızı Güncelleyin: Yasadışı kullanım karşıtı maddeler de ekleyerek politikalarınızı güncelleyin. Politikalar uygulamaların temelini atacağından, yapılması gerekenlerin gerçekleşmesini sağlamak adına en kritik adımlardan biri.

2 Şubat’tan bu yana devreye giren hükümlerin, ülkemizce de benimsenen güvenilir yapay zekâ odağında oluşturulduğunu görüyoruz. Kurallara proaktif olarak uyum sağlayan şirketler, hukuki riskleri azaltmakla kalmayacak, müşterilerinin gözünde de güvenilir ve sorumlu bir marka olarak öne çıkacak, AB pazarına kolaylıkla giriş yapabilecek, rekabet gücü ve sürdürülebilirlik adına avantaj sağlayacak.

Aysu Dericioğlu Egemen

04.Ağustos.2025

Yapay Zeka Etiği Yapay Zeka Okur Yazarlığı İlham Veren Başarı Hikayeleri “Ben De Yapabilirim” Derdirten Kılavuz Yapay Zeka Alanında Son Gelişmeler Yapay Zekayı Etkili Kullanma Yöntemleri