Yapay Zekâ Tüzüğü Yürürlüğe Girdi.

Giriş

Avrupa Birliği (“AB”)’nin yapay zekâya (“YZ”) ilişkin yenilik ve gelişmeleri hukuki bir zemine oturtmak için uzun yıllardır süren uğraşlarının sonucunda, yapay zekâya ilişkin bir Yapay Zekâ Tüzük’ü (‘’Tüzük’’) 13 Temmuz 2024 tarihinde AB Komisyonu tarafından yayınlanmış olup 1 Ağustos 2024 tarihinde yürürlüğe girmiştir. Tüzük, YZ ile ilgili dünyanın ilk kanun metnidir. AB’de tüzükler, ek bir düzenlemeye gerek olmaksızın tüm AB üyesi ülkelerde yürürlüğe girmekte ve kanun metninde öngörülen şekilde uygulanmaktadır.

Tüzük’te, YZ’nin endüstriyel, ekonomik ve sosyal hayata olan etkileri bakımından birçok yararı olduğundan bahsedilmektedir. Bunun yanı sıra, YZ’nin birey ve toplum üzerinde alışılagelmedik riskler doğurabileceği ve olumsuz sonuçlar yaratabileceğinden de bahsedilmektedir. Bu Tüzük; sağlık, güvenlik veya temel haklar için risk oluşturabilecek YZ sistemlerinin geliştirilmesi, yasaklanması, piyasaya sürülmesi ve kullanılması için bir çerçeve sağlamayı da amaçlamaktadır.

Tüzük’ün 3. maddesinin 1. bendinde; YZ’nin tanımı yapılmıştır. Buna göre: “yapay zekâ sistemi EK 1’de belirtilen teknik ve yaklaşımlardan bir veya birden fazlasıyla geliştirilmiş ve insan tarafından tanımlanan belirli amaçlar için, içerik, tahmin, öneri şeklinde çıktılar veya insanların etkileşimde bulundukları ortamları etkileyen kararları üretebilen yazılım anlamına gelmektedir”. Tanımda bahsi geçen ve Tüzük’ün EK 1’inde yer alan teknikler: “(a) Derin öğrenme dâhil, geniş bir çeşitlilikteki metotların kullanıldığı, gözetimli, gözetimsiz ve pekiştirmeli öğrenme dâhil makine öğrenmesi yaklaşımları; (b) Bilgi gösterimi, tümevarımlı (mantık) programlama, bilgi tabanları, çıkarsama motorları ve tümdengelimli motorlar, (sembolik) uslamlama ve uzman sistemler dâhil mantık ve bilgi temelli yaklaşımlar; (c) İstatistiksel yaklaşımlar, Bayes tahmini, araştırma ve optimizasyon metotları” dır.

Tüzük’ün Düzenlediği Konular:

Tüzük’ün 1. maddesi uyarınca Tüzük’te düzenlenen konular aşağıdaki gibidir;

• YZ sistemlerinin AB içinde pazara sunulması veya hizmete sokulmasına dair uyumlu kuralların oluşturulması
• Belirli YZ sistemlerinin yasaklanması,
• Gerçek kişiler ile etkileşimde olması amaçlanan YZ sistemleri, duygu tanıma sistemleri, biyometrik kategorizasyon sistemleri ve görüntü, ses ve video içeriklerinin üretilmesi veya manipülasyonu için kullanılan YZ sistemlerine dair uyumlu şeffaflık kuralları getirilmesi,
• Pazar izlenmesi ve gözetimine dair kurallar oluşturulması.

Tüzük’te düzenlenen konulardan da anlaşılacağı üzere Tüzük esasen YZ sistemlerini piyasa arz edenleri, piyasayı izleyen ve gözetenleri, sistem operatörlerini ilgilendirmektedir.

Tüzük’ün Kapsamı:

Tüzük’ün 2.maddesinin 1. fıkrasına göre Tüzük;

1. AB içinde veya üçüncü bir ülkede yerleşik olup olmadığına bakılmaksızın, bir YZ sistemini veya bir genel amaçlı YZ modelini, AB içinde piyasaya süren veya hizmete sunan sağlayıcılara,
2. AB içinde kurulu olan veya AB içinde bulunan ve YZ sistemleri kendi kontrolünde kullanan operatörlere,
3. YZ sistemi tarafından üretilen çıktının AB içinde kullanılmasını amaçlayan, üçüncü bir ülkede bulunan YZ sistemleri sağlayıcısına veya kullanıcısına,

uygulanacaktır. Görüldüğü üzere Tüzük, belirli koşulların sağlanması halinde yalnızca AB içinde değil, AB’de yerleşik olmayan YZ sistem sağlayıcılarını, tedarikçilerini ve kullanıcılarını da kapsamaktadır. Diğer bir deyişle; önemli olan YZ sisteminin etki ve sonuçlarının AB içinde ortaya çıkmasıdır. Bu yaklaşım, Genel Veri Koruma Tüzüğü’nün (“GDPR”) kapsam ve uygulaması ile de benzeşmektedir. Dolayısıyla Tüzük, kapsam maddesindeki tanımlar içerisinde kalan ve Türkiye’de yerleşik olan sağlayıcılar/tedarikçiler için de uygulama alanı bulacaktır.

Tüzük’ün Kapsamı Dışında Kalan Haller:

Tüzük, aşağıdaki hallerde uygulanmayacaktır:

• Birlik hukukunun kapsamı dışındaki alanlara ve Üye Devletlerin ulusal güvenlikle ilgili yetkilerine,
• Münhasıran askeri, savunma veya ulusal güvenlik amaçlarıyla piyasaya sürülen, hizmete alınan veya kullanılan YZ sistemlerine,
• Birlik içerisinde piyasaya sürülmeyen veya hizmete sokulmayan, ancak çıktısı Birlik içerisinde münhasıran askeri, savunma veya ulusal güvenlik amaçları için kullanılan YZ sistemlerine,
• Yalnızca bilimsel araştırma ve geliştirme amacına özel olarak geliştirilen ve hizmete sunulan YZ sistemleri ve modellerine,

 

Tüzük’teki Önemli Tanımlar:

Yapay Zekâ Sistemi: Değişen seviyelerde özerklikle çalışmak üzere tasarlanmış ve konuşlandırıldıktan sonra uyarlanabilirlik gösterebilen ve açık veya örtük hedefler için, aldığı girdiden, fiziksel veya sanal ortamları etkileyebilecek tahminler, içerik, öneriler veya kararlar gibi çıktıları nasıl üreteceğini çıkaran makine tabanlı bir sistemi,

Sağlayıcı: Bir YZ Sistemi veya genel amaçlı bir YZ modeli geliştiren ve piyasaya süren veya YZ Sistemini kendi adı veya ticari markası altında ücretli veya ücretsiz olarak hizmete sunan gerçek veya tüzel kişi, kamu kurumu, ajans veya diğer kuruluşu,

Genel Amaçlı Yapay Zekâ Modeli: Piyasaya sürülmeden önce araştırma, geliştirme veya prototip oluşturma faaliyetleri için kullanılan YZ modelleri hariç olmak üzere, önemli bir genel kullanım sergileyen ve modelin piyasaya sürülme şeklinden bağımsız olarak çok çeşitli ve farklı görevleri yetkin bir şekilde yerine getirebilen ve çeşitli alt sistemlere veya uygulamalara entegre edilebilen bir YZ modelini,

İthalatçı: Üçüncü bir ülkede yerleşik bir gerçek veya tüzel kişinin adını veya ticari markasını taşıyan bir YZ Sistemini piyasaya süren Birlik içinde yerleşik veya kurulmuş gerçek veya tüzel kişiyi,

Dağıtıcı: YZ sisteminin profesyonel olmayan kişisel bir faaliyet sırasında kullanıldığı durumlar haricinde, kendi yetkisi altında bir YZ sistemi kullanan gerçek veya tüzel kişi, kamu otoritesi, ajans veya başka bir kurumu,

Distribütör: Tedarik zincirinde yer alan, sağlayıcı veya ithalatçı dışında, bir YZ sistemini Birlik pazarında kullanıma sunan gerçek veya tüzel kişiyi,

Operatör: Bir sağlayıcı, ürün üreticisi, dağıtıcı, yetkili temsilci, ithalatçı veya distribütörü,

Pazara Sunmak: Bir YZ Sisteminin veya genel amaçlı bir YZ modelinin, ister ödeme karşılığında ister ücretsiz olsun, ticari bir faaliyet sırasında Birlik pazarında dağıtılmak veya kullanılmak üzere tedarik edilmesini,

Güvenlik Bileşeni: Bir ürünün veya bir YZ sisteminin, söz konusu ürün veya YZ sistemi için bir güvenlik fonksiyonunu yerine getiren bileşeni,

Bildirim Makamı: Uygunluk değerlendirme kuruluşlarının değerlendirilmesi, belirlenmesi ve bildirilmesi ve bunların izlenmesi için gerekli prosedürlerin oluşturulması ve yürütülmesinden sorumlu ulusal makamı,

Uygunluk Değerlendirmesi: Yüksek riskli bir YZ sistemi ile ilgili olarak Bölüm III, Kısım 2’de belirtilen gerekliliklerin yerine getirilip getirilmediğini gösterme sürecini,

Ulusal Yetkili Makam: Bir bildirim makamı veya bir piyasa gözetim makamı anlamına gelir; Birlik kurumları, ajansları, ofisleri ve organları tarafından hizmete sunulan veya kullanılan YZ sistemleri ile ilgili olarak, bu Tüzük’te ulusal yetkili makamlara veya piyasa gözetim makamlarına yapılan atıflar, Avrupa Veri Koruma Denetçisine yapılan atıflar olarak yorumlanacaktır,

Uygunluk Değerlendirme Kuruluşu: Test, belgelendirme ve muayene dahil olmak üzere üçüncü taraf uygunluk değerlendirme faaliyetlerini gerçekleştiren bir kuruluşu,

Onaylanmış Kuruluş: Tüzük ve diğer ilgili Birlik uyum mevzuatına uygun olarak onaylanmış bir uygunluk değerlendirme kuruluşunu,

Piyasa Sonrası İzleme Sistemi: Gerekli düzeltici veya önleyici faaliyetlerin derhal uygulanması ihtiyacını tespit etmek amacıyla piyasaya sürdükleri veya hizmete sundukları YZ sisteminin kullanımından elde edilen deneyimleri toplamak ve gözden geçirmek için YZ sistemi sağlayıcıları tarafından yürütülen tüm faaliyetleri,

Biyometrik Veriler: Yüz görüntüleri veya daktiloskopik[1] veriler gibi bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin belirli teknik işlemlerden kaynaklanan kişisel verileri,

Özel Kişisel Veri Kategorileri: 2016/679 sayılı Tüzüğün (AB) 9(1) maddesinde, 2016/680 sayılı Direktifin (AB) 10. maddesinde ve 2018/1725 sayılı Tüzüğün (AB) 10(1) maddesinde atıfta bulunulan kişisel veri kategorilerini,

Duygu Tanıma Sistemi: Gerçek kişilerin biyometrik verilerine dayanarak duygularını veya niyetlerini tanımlama veya çıkarım yapma amacına yönelik bir YZ sistemini,

Gerçek Zamanlı Uzaktan Biyometrik Tanımlama Sistemi: Biyometrik verilerin yakalanması, karşılaştırılması ve tanımlanmasının önemli bir gecikme olmaksızın gerçekleştiği, sadece anlık tanımlamayı değil, aynı zamanda atlatmayı önlemek için sınırlı kısa gecikmeleri de içeren bir uzaktan biyometrik tanımlama sistemini,

Deep Fake: Yaşayan gerçek kişilere, nesnelere, yerlere, varlıklara veya olaylara benzeyen ve gerçek olmadığı halde bir kişiye gerçek veya doğru gibi görünen, YZ sistemi tarafından oluşturulmuş veya manipüle edilmiş görüntü, ses veya video içeriğini,

ifade etmektedir.

Tüzük’ün, Tüzük’de yer alan yükümlülükler ve sınıflandırmalarda bahsi geçen hususları düzenlediği ekleri mevcuttur. Bu kapsamda;

Ek 1: Tüzük çerçevesine dayalı Birlik Uyum mevzuatı listesi ile diğer Birlik Uyum mevzuat listesini,

Ek 2: Tüzük’de bahsi geçen cezai suçlar listesini,

Ek 3: Tüzük kapsamında değerlendirilecek Yüksek riskli YZ sistemlerinin listesini,

ifade etmektedir.

 

İthalatçı, Distribütör ve Sağlayıcı’nın Yükümlülükleri

YÜKÜMLÜLÜKLER
İTHALATÇI	DİSTRİBÜTÖR	SAĞLAYICI	DAĞITICI
İthalatçı, yüksek riskli bir YZ sisteminin yönetmeliklere uygun olmadığını veya belgelerin tahrif edildiğini düşünüyorsa, işbu sistemi uygun hale getirilene kadar piyasaya sunamaz. Bu sistem Tüzük’ün 79(1). maddesi kapsamında risk oluşturuyorsa ithalatçı; tedarikçiye, yetkili temsilciye ve denetim otoritelerine bilgi vermek zorundadır.	Distribütörler, yüksek riskli bir YZ sistemini piyasaya sunmadan önce, sistemin gerekli CE işaretini taşıdığını, Tüzük’ün 47. maddesinde atıfta bulunulan AB uygunluk beyanının ve kullanım talimatlarının bulunduğunu ve sağlayıcı ile ithalatçının ilgili yükümlülüklere uyduğunu doğrulamalıdır.	Sağlayıcılar, yüksek riskli YZ sistemlerinin Tüzük’ün Bölüm 2’sinde belirtilen gerekliliklere uygun olduğunu sağlamalıdır. Sağlayıcılar, YZ sistemi üzerinde veya ambalajında isimlerini, ticari isimlerini veya markalarını ve iletişim adreslerini belirtmelidir.	Dağıtıcılar, yüksek riskli YZ sistemlerini kullanmak için uygun teknik ve organizasyonel önlemleri almalıdır. Gözetimi gerekli yetkinlik, eğitim ve beceriye sahip gerçek kişilere vermeli ve gerekli desteği sağlamalıdır.
İthalatçılar, YZ sisteminin depolama ve nakliye koşullarının yönetmeliklere uygun olmasını sağlamalıdır.	Distribütör, elindeki bilgilere dayanarak, yüksek riskli bir YZ sisteminin yönetmeliklere uygun olmadığını düşündüğünde, işbu sistem uygun hale getirilene kadar piyasaya sunmamalıdır. Tüzük’ün 79(1). maddesi kapsamında risk teşkil eden bir durumda, sistemin tedarikçisini veya ithalatçısını bilgilendirilmelidir.	Sağlayıcılar, ulusal yetkili makamın talebi üzerine, YZ sisteminin Tüzük’ün Bölüm 2’sinde belirtilen gerekliliklere uygun olduğunu kanıtlamalıdır. Sağlayıcılar, YZ sisteminin (AB) 2016/2102 ve (AB) 2019/882 sayılı direktiflere uygun erişilebilirlik gerekliliklerine uymasını sağlamalıdır.	Dağıtıcılar diğer hukuki yükümlülükleri almak ve insan gözetimi tedbirlerinin uygulamasını korumak zorundadırlar. Dağıtıcılar, girdi verilerinin yüksek riskli YZ sisteminin amaçları için ilgili ve yeterince temsil edici olmasını sağlamalıdır. Uygulanabilir olduğunda, dağıtıcılar veri koruma etki değerlendirmesi yapmalı Tüzük’ün 13. maddesi kapsamında sağlanan bilgileri kullanmalıdır.
İthalatçılar, isimlerini, ticari markalarını ve iletişim adreslerini YZ sisteminin üzerinde, ambalajında veya belgelerinde belirtmelidir.	Distribütörler, YZ sisteminin depolama ve taşıma koşullarının Tüzük’ün Bölüm 2’sinde belirlenen şartlara uygun olmasını sağlamalıdır.	Sağlayıcılar, Tüzük’ün 47. maddesi uyarınca bir AB uygunluk beyanı hazırlamalıdır. Sağlayıcılar, CE işaretini Tüzük’ün 48. maddesine uygun olarak YZ sistemi veya ambalajına iliştirmelidir.	Gerçek kişilerle ilgili kararlar alan veya karar alınmasına yardımcı olan Tüzük’ün Ek III’ünde atıfta bulunulan yüksek riskli YZ sistemlerinin Dağıtıcıları, Yüksek riskli YZ sistemlerinin kullanımına tabi olan gerçek kişileri bilgilendirmelidir. Dağıtıcılar, ilgili yetkili makamlarla yüksek riskli YZ sistemleriyle ilgili her türlü işlemde iş birliği yapmalıdır.
YZ sistemi piyasaya sürüldükten sonra, ithalatçılar onaylanmış kuruluş tarafından verilen sertifikaları, kullanım talimatlarını ve AB uygunluk beyanını 10 yıl süreyle saklamalıdır.	Distribütör, yüksek riskli bir YZ sisteminin Tüzük’ün Bölüm 2’sinde belirlenen gerekliliklere uygun olmadığını düşünüyorsa, gerekli düzeltici önlemleri almalı veya sağlayıcı, ithalatçı veya ilgili operatörlerin bu önlemleri almasını sağlamalıdır. Risk teşkil eden durumlarda, ilgili makamlar bilgilendirilmelidir.	Sağlayıcılar, YZ sisteminin piyasaya sürülmeden veya hizmete alınmadan önce Tüzük’ün 43. maddesine uygun olarak uygunluk değerlendirme prosedüründen geçmesini sağlamalıdır.	Bir suçla ilgili uzaktan biyometrik tanımlama için YZ sistemlerini kullanmadan önce onaylanmış kuruluştan izin alınmalı ve bu kullanım belgelenmelidir. Üye Devletler, Birlik hukukuna uygun olarak, uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin daha kısıtlayıcı düzenlemeler getirebilirler.
İthalatçılar, yetkili makamların talebi üzerine, YZ sisteminin uygunluğunu gösteren tüm bilgi ve belgeleri anlaşılabilir bir dilde sağlamalı ve teknik dokümantasyonu sunabilmelidir.	Distribütörler, yetkili makamların talebi üzerine, YZ sisteminin Tüzük’ün Bölüm 2’sinde belirtilen uygunlukları sağladığını gösteren tüm bilgi ve belgeleri sağlamalıdır.	Sağlayıcılar, Tüzük’ün 17. maddesine uygun bir kalite yönetim sistemine sahip olmalıdır. Sağlayıcılar, Tüzük’ün 18. maddesinde atıfta bulunulan belgeleri saklamalıdır. Sağlayıcılar, Tüzük’ün 19. maddesi uyarınca kendi kontrolleri altında olan YZ sistemleri tarafından otomatik olarak oluşturulan günlükleri tutmalıdır.	Dağıtıcılar ciddi bir risk teşkil eden olay tespit ettiklerinde, bu olay hakkında önce sağlayıcıyı, ardından ithalatçıyı veya dağıtıcıyı ve ilgili piyasaya gözetimi ve denetimi makamlarını derhal bilgilendirmelidir. Yüksek riskli YZ sistemlerinin Dağıtıcıları, yüksek riskli YZ sistemleri tarafından oluşturulan günlükleri en az altı ay saklamalıdır.
İthalatçılar, yetkili makamlarla iş birliği yaparak, YZ sisteminin yarattığı riskleri azaltmak ve hafifletmek için gereken önlemleri almalıdır.	Distribütörler, yetkili makamlarla iş birliği yaparak, YZ sisteminin yarattığı riskleri azaltmak ve hafifletmek için gereken önlemleri almalıdır.	Sağlayıcılar, Tüzük’ün 49(1). maddesinde belirtildiği şekilde EK III’ün 2. maddesindeki yüksek riskli YZ sistemleri hariç, listelenen diğer yüksek riskli YZ sistemlerini piyasaya sürmeden veya kullanıma sokmadan önce, sağlayıcı veya yetkili temsilci, kendilerini ve sistemlerini Tüzük’ün 71. maddesinde belirtilen AB veri tabanına kaydettirmelidir. Sağlayıcılar, gerekli düzeltici önlemleri almalı ve Tüzük’ün 20. maddesine uygun olarak bilgi sağlamalıdır.	İşyerinde yüksek riskli bir YZ sistemini hizmete sokmadan veya kullanmadan önce, işveren olan Dağıtıcılar işçi temsilcilerini ve etkilenen işçileri, yüksek riskli YZ sisteminin kullanımına tabi olacakları konusunda bilgilendirmelidir.

 

Genel Amaçlı Yapay Zekâ Modeli:

Genel Amaçlı YZ modelinin tanımı işbu yazımızın tanımlar maddesinde yapılmıştır.

Genel Amaçlı YZ’nin “Risk İçeren” Olarak Sınıflandırma Kriterleri:

Bir genel amaçlı YZ modeli, aşağıdaki koşullardan birini karşılarsa sistemik risk içeren olarak sınıflandırılır;

1. Yüksek etki kapasitesine sahip olması (göstergeler ve kıyaslamalar dahil uygun teknik araçlar ve metodolojiler temelinde değerlendirilir),
2. Komisyonun re’sen veya bilimsel sonuçların/çıktıların uyarısı üzerine, Tüzük’ün Ek XIII’ünde belirtilen kriterlere göre yüksek etki kapasitesine eşdeğer yeteneklere veya etkiye sahip olması,

Genel amaçlı bir YZ modelinin eğitimi için kullanılan toplam hesaplama miktarı 1025’dan fazla olduğunda, yüksek etki kapasitesine sahip olduğu varsayılacaktır. Genel amaçlı bir YZ modeli, Tüzük’ün 51(1). maddesinin (a) bendindeki koşulu karşılıyorsa, sağlayıcı bu durumu öğrendikten sonra iki hafta içinde Komisyonu bilgilendirmelidir. İşbu bildirim, gerekliliğin karşılandığını gösterecek bilgileri içermelidir. Eğer Komisyon, bildirilmemiş bir sistemik risk arz eden YZ modeli tespit ederse, bunu sistemik riskli model olarak belirleyebilir. Sağlayıcı, modelin kendine has özellikleri nedeniyle sistemik risk arz etmediğini kanıtlayarak modelin sistemik riskli olarak sınıflandırılmaması gerektiğini ileri sürebilir. Komisyon, sağlanan argümanların yeterli olmadığına karar verirse, model sistemik riskli olarak kabul edilir. Komisyon’un kararı sonrasında da sağlayıcılar, en erken altı ay içinde yeniden değerlendirme talebinde bulunabilirler. Komisyon, sistemik risk taşıyan genel amaçlı YZ modellerinin bir listesini yayınlar ve güncel tutar. Komisyonun tutacağı bu liste, fikri mülkiyet hakları ve ticari sırların korunmasını ihlal etmemelidir.

Yapay Zekâ Sistemine Karşı Risk Temelli Yaklaşım ve Risk Sınıflandırması:

Tüzük’ün YZ sistemlerine karşı risk temelli bir yaklaşımı bulunmaktadır. Buna göre, bazı YZ sistemleri yasaklanmış, bazıları ise yarattığı riske göre sınıflandırılmıştır. Bu sınıflandırma 4 başlıktan oluşur:

• Kabul Edilemez Riskli YZ Sistemleri: Tüzük’ün 5. maddesinde belirtilen YZ sistemleri kabul edilemez risk içerdiğinden kullanımları yasaklanmıştır. Yasaklanan ve toplumun güvenliği ile haklarını tehdit eden bu sistemler arasında; insanların kendilerine veya başkalarına zarar verecek teknikler kullanılarak oluşturulan, çocuklar ve engele sahip kişiler de dahil olmak üzere hassas bireyler üzerinde istismara sebebiyet verebilecek sonuçlar ortaya çıkarabilen ve kamu otoritelerince gerçekleştirilen, insanların karakter özellikleri ile sosyal hayattaki davranışlarının analizine dayanan sosyal puanlama ve zorunluluk halleri haricinde gerçek zamanlı ve uzaktan biyometrik tanımaya imkan veren YZ sistemleri bulunmaktadır.
• Yüksek Riskli YZ Sistemleri: Tüzük’ün 6. maddesinde belirtilen sektör ve faaliyetlerde kullanılan sistemler kast edilmektedir. Kişilerin sağlığı, güvenliği veya temel hakları için yüksek risk oluşturan yapay zekâ sistemlerinin belirlenen kuralları içermesi gerektiği düzenlenmiştir.

Yüksek riskli YZ sistemlerine, belirli zorunlu gerekliliklerinin yerine getirilmesi ve bir ön uygunluk değerlendirmesine tabi olmak kaydıyla AB pazarında piyasaya sunulmasına izin verilecektir. Tüzük’ün 6. maddesinin 1. fıkrası uyarınca; bir YZ sisteminin (a) ve (b) bentlerinde atıfta bulunulan ürünlerden bağımsız olarak piyasaya sürülüp sürülmediğine veya hizmete sokulup sokulmadığına bakılmaksızın, aşağıdaki koşulların her ikisinin de yerine getirilmesi halinde, söz konusu YZ sistemi yüksek riskli olarak kabul edilecektir:

1. YZ sisteminin bir ürünün güvenlik bileşeni olarak kullanılmasının amaçlanması veya YZ sisteminin kendisinin Tüzük’ün Ek I’inde listelenen Birlik uyum mevzuatı kapsamında bir ürün olması,
2. bendi uyarınca güvenlik bileşeni YZ sistemi olan ürünün veya bir ürün olarak YZ sisteminin kendisinin, Tüzük’ün Ek I’inde listelenen Birlik uyum mevzuatı uyarınca söz konusu ürünün piyasaya sürülmesi veya hizmete sunulması amacıyla üçüncü taraf uygunluk değerlendirmesinden geçmesi,

Tüzük’ün 6. maddesinin 1. fıkrasında yüksek riskli YZ sistemlerinin 2 kategoriye ayrıldığı görülmektedir:

1. Üçüncü taraf ön uygunluk değerlendirmesine tabi olan ürünlerin güvenlik bileşeni olarak kullanılması amaçlanan YZ sistemleri.

Diğer bir deyişle YZ sisteminin bir ürünün güvenlik bileşeni olarak kullanımı terimi, YZ’nin güvenlik amaçlı olarak bir ürüne veya sistem içine entegre edilmesini ifade etmektedir. Örneğin; bir otomobil üreticisi YZ sistemlerini araçların sürücüsüz özelliklerini geliştirmek için kullanması, bulut bilişim merkezlerindeki su basıncını izleme sistemleri veya yangın alarmı kontrol sistemleri yüksek riskli YZ sistemine girerken yalnızca siber güvenlik amaçları için kullanılması amaçlanan bileşenler güvenlik bileşeni olarak nitelendirilmemektedir.

2.Tüzük’ün Ek 3’ünde açıkça listelenen temel haklarla ilgili sonuçları olan diğer bağımsız yapay zekâ sistemleri.

Yüksek riskli YZ kullanım alanlarına örnek olarak; bir kanunun uygulanmasında karar verici sistem (adalet ve demokratik süreçler), sınav puanlama sistemi (eğitim sektörü), pasaport kontrolü sistemi (göç, iltica ve sınır kontrolü), özgeçmiş değerlendirme sistemi (istihdam) sayılabilir. Yapay zekânın bu alanlarda göstereceği faaliyetlerin, kişinin hayatındaki olası etkileri düşünüldüğünde yüksek riskli olarak nitelendirilmesi anlam kazanmakta olup kişilerin sağlığına, güvenliğine veya temel haklarına önemli bir zarar verme riski oluşturmadığı takdirde yüksek riskli olarak kabul edilmez. Tüzük’te yüksek riskli YZ sistemlerinin hizmete sunulması/piyasaya arzından önce birtakım gereklilikler öngörmüştür. Bunlar;

1. Riskleri minimize etmek için “risk yönetim sistemi” kurmak, belgelemek ve bunu sürdürmek,
2. Önyargının tespiti ve düzeltilmesi için doğrulanmış ve test edilmiş “yüksek kaliteli veri kümeleri kullanmak”, (hassas kişisel verilerin kullanılmasına, önyargının tespiti ve düzeltilmesi için izlenmesi gerekli olduğu ölçüde izin verilmiştir (m.10(5)). Genel Veri Koruma Tüzüğü’nde etnik kökene ilişkin verilerin veya benzeri hassas verilerin kullanılması 9.maddede belirtilen durumlar dışında yasaklanmıştır.

• YZ sisteminin Tüzük’e uygunluğunu ve uyumunu gösteren “teknik dokümantasyonun” tutulması,

1. “Loglama” YZ sistemi çalışırken olayların otomatik olarak kaydedilmesini sağlanması,
2. Kullanıcıların sistemden çıkan sonuçları yorumlayabilmesi ve kullanabilmesi için sistemin mümkün olduğunda şeffaf dizayn edilmesi, “şeffaflık ve kullanıcıların bilgilendirilmesi”.
3. Sistemin işleyişini anlamak, gerektiğine müdahale edebilmek ve denetleyebilmek için “insan gözetimi”,

• “Doğruluk, sağlamlık ve siber güvenlik”,

Yüksek riskli YZ sistemleri piyasaya sunulmadan önce YZ sağlayıcısı; (a) Tüzük’e uygun olduklarına dair iç işleyişte bir uygunluk değerlendirmesi yapıp bunu beyan edecek, (b) Aleni olan AB komisyonu tarafından kurulan veri tabanına kayıt olacak, (c) Uygunluk beyanının imzasından sonra uygunluk işareti (CE) alacak, (d) sistemde esaslı bir değişiklik olursa tekrar bir uygunluk değerlendirmesi yapacak ve aynı adımları takip edecektir.

• Sınırlı Risk Taşıyan YZ Sistemleri: Özelikle açık bir manipülasyon riskinin olduğu durumlarda, bu YZ sistemleri için Tüzük’te şeffaflık yükümlülükleri getirilmektedir. Bu kapsamda şeffaflığa ilişkin getirilen yükümlülük, örneğin kişinin chatbot ile iletişim halindeyken bir yazılım sistemi ile etkileşimde oldukları konusunda bilgilendirilmelerini kapsamaktadır. Bunun ilgili kişi tarafından açıkça anlaşılabileceği durumlar hariç tutulmuştur. Tüzük’ün, duygusal tanıma veya biyometrik kategorizasyon için YZ sistemi kullanılması durumunda bu durumun belirtilmesine ilişkin bir düzenleme getirmektedir. Son olarak da kullanıcılarda gerçekçi (“Deep Fake”) bir izlenim oluşturabilecek; görüntü, ses veya video içeriği, var olan kişilere, nesnelere, yerlere, diğer varlıklara veya olaylara büyük ölçüde benziyorsa, kullanıcılar, içeriğin yapay olarak meydana getirildiği ve gerçek olmadığı konusunda bilgilendirilmelidir.

 

• Düşük Riskli YZ Sistemleri: Düşük riskli YZ sistemleri yukarıda sınıflandırılan YZ sistemleri haricinde kalan ve Tüzük kapsamında belirli bir yükümlülük içermeyen YZ sistemleridir. Avrupa Komisyonu’na göre, bunlar şu anda AB’de kullanımda olan veya AB’de kullanılması muhtemel YZ sistemlerinin büyük çoğunluğunu kapsamaktadır.

 

• Tüzük’te Öngörülen Yaptırımlar:

Kabul edilemez riskli YZ sistemine ilişkin Tüzük’ün ihlali veya yüksek riskli YZ sistemlerine ilişkin veri yönetimine ilişkin hükümlerin ihlali halinde; şirketin en son hesap dönemindeki global yıllık cirosunun %7’si veya 35.000.000 Euro’ya kadar idari para cezası uygulanacaktır (cezalardan daha yüksek olan uygulanır).

Tüzük’te düzenlenen diğer gerekliliklere aykırılık halinde; şirketin en son hesap dönemindeki global yıllık cirosunun %3’ü veya 15.000.000 Euro’ya kadar idari para cezası uygulanacaktır (cezalardan daha yüksek olan uygulanır).

Yetkili kuruluşlara veya milli makamlara gerçeğe aykırı, eksik veya yanlış bilgi verilmesi halinde; şirketin ise en son hesap dönemindeki global yıllık cirosunun %1’i veya 7.500.000 Euro’ya kadar idari para cezası uygulanacaktır (cezalardan daha yüksek olan uygulanır).

 

Tüzük’ün Uygulaması

Komisyonu’na tavsiyede bulunmak üzere Avrupa Yapay Zekâ Kurul’u kurulacaktır. Kurul’un amacı, ulusal denetim makamlarıyla Komisyon arasındaki iş birliğini ve koordinasyonu sağlamaktır. Tüzük’nın uygulanması ve icrası için her bir üye devlet, yetkili bir makam belirleyecektir.

Tüzük’nın Yürürlük Tarihi

Tüzük, 12 Temmuz 2024’te Avrupa Birliği Resmi Gazetesi’nde yayımlanmış olup, 1 Ağustos 2024’te yürürlüğe girmiştir. Uygulamaya aşağıda belirtilen aşamalı olarak geçiş gerçekleşecektir:

2 Şubat 2025 (Yürürlüğe Girmesinden 6 Ay Sonra):	AB devletleri yasaklanmış YZ sistemlerini kaldıracaktır.
2 Ağustos 2025 (Yürürlüğe Girmesinden 12 Ay Sonra):	Genel amaçlı YZ modelleri için belirlenen yükümlülüklerin yürürlüğe girmesi.
2 Ağustos 2026 (Yürürlüğe Girmesinden 24 Ay Sonra):	Tüzük’ün Ek-3’ünde yer alan yüksek riskli YZ sistemleri için belirlenen yükümlülüklerin yürürlüğe girmesi.
2 Ağustos 2027 (Yürürlüğe Girmesinden 36 Ay Sonra):	Başkaca bir AB mevzuatına tabi olan yüksek riskli YZ sistemleri için belirlenen yükümlülüklerin yürürlüğe girmesi.

 

Sonuç ve Değerlendirmeler

Tüzük, YZ sistemlerine ilişkin regülasyonun belirlenmesi konusundaki ilk hukuki düzenlemedir ve kişilerin temel haklarının ve toplumun korunması, denetim ve tüketicinin korunması ile sistem/ürün güvenliği konularının bir araya getirildiği genel kapsamlı bir düzenleme olarak karşımıza çıkmaktadır. Tüzük, Avrupa Parlamentosu ve Avrupa Konseyi tarafından 12.07.2024 tarihinde kabul edilmiş ve 01.08.2024 tarihinde yürürlüğe girmiştir.

Yukarıda da bahsettiğimiz üzere Tüzük’teki yükümlülükler, Türkiye’de yerleşik olan, YZ alanında çalışmalar üreten ve bunları AB’de piyasa sunmak isteyen şirketlere/kişilere de uygulanacaktır.

Bilindiği üzere, Türk hukukunda henüz YZ’ye ilişkin hukuki bir düzenleme olmamakla birlikte, YZ’nin yazılım altyapısı ve doğasına haiz olması nedeniyle, Fikir ve Sanat Eserleri Kanunu uyarınca bilgisayar programlarına ait korumadan yararlandığı söylenebilir. Ancak gelişen YZ teknolojilerinin kullanıcı sayısı, sosyal medyadaki etkisi, yanıltıcı uygulamalar nedeniyle yarattığı riskler göz önüne alındığında Türkiye’de de bu konuya özel, düzenleyici bir kanun olması gerektiği aşikardır. AB’deki bu yeni düzenlemenin, Türkiye’deki kanun koyucu için yol gösterici nitelikte olacağını umuyor ve bu konudaki gelişmeleri yakından takip ediyoruz.

 

Kurt&Partners Hukuk Bürosu

[1] Parmak izine dayanarak kimlik belirleme yöntemidir.