2026'da AI Act'ın Yapısı

AI Act, dünyanın yapay zekaya ilişkin ilk kapsamlı yatay düzenlemesidir. Risk kademeli mimarisi, hangi yükümlülüklerin hangi sistemlere uygulandığını anlamak için anahtardır.

Risk Kademeleri

Yasa, AI sistemlerini oluşturdukları riske göre dört kademeye ayırır:

• Yasaklanan sistemler — manipülatif bilinçaltı teknikler, güvenlik açıklarının istismarı, kamu otoritelerince sosyal puanlama ve biyometrik kategorileştirme ile duygu tanımanın belirli biçimleri dahil olmak üzere tamamen yasaklanan uygulamalar
• Yüksek riskli sistemler — belirtilen yüksek riskli bağlamlarda kullanılan ve risk yönetimi, veri yönetişimi, şeffaflık, insan denetimi ve doğruluk gereksinimleri dahil olmak üzere Yasanın maddi yükümlülüklerinin büyük bölümüne tabi olan sistemler
• Sınırlı riskli sistemler — kullanıcılarla doğrudan etkileşime giren yapay zeka destekli içerik önericilerin ve sohbet botlarının büyük çoğunluğu dahil olmak üzere belirli şeffaflık yükümlülüklerine tabi sistemler
• Minimal riskli sistemler — yalnızca genel gönüllü davranış kurallarına tabi olan diğer her şey

Reklam ve Öneri Sistemleri Nerede Yer Alıyor

Reklama yönelik yapay zekaların çoğu — kitle puanlama, programatik teklif optimizasyonu, içerik önerici, kişiselleştirme motorları — yüksek riskli kademe yerine sınırlı riskli kademede yer almaktadır. Bu bir rahatlama gibi görünse de sınırlı riskli kademe hâlâ anlamlı şeffaflık yükümlülükleri taşımakta ve birkaç sınır durum belirli sistemleri daha yüksek kademelere itmektedir. Kritik olarak, yasaklanan uygulamalar kuralları manipülasyon veya istismar alanına geçilmesi durumunda reklam sistemlerine ulaşabilir ve EDPB bu hükümleri geniş biçimde yorumlama konusundaki istekliliğini sinyal etmiştir.

Aşamalama

2026 takvimi önemlidir: yeni sistemler için yüksek riskli yükümlülükler Ağustos 2026'da yürürlüğe girmekte, halihazırda piyasada bulunan sistemler için yüksek riskli yükümlülükler 2027'de yürürlüğe girecek ve genel amaçlı AI sağlayıcısı yükümlülükleri zaten yürürlüktedir. Yayıncılar ve reklamverenler hangi yükümlülüklerin ne zaman geçerli olduğunu bilmek için AI envanterlerini bu takvime göre haritalandırmalıdır.

AI Act GDPR'nin Üzerine Nasıl Katmanlanır

AI Act, GDPR'nin yerini almaz. Onun üzerine oturur. Yapay zeka odaklı çıktılar üretmek için kişisel veri işleyen bir sistemin her iki rejimi de karşılaması gerekir ve yükümlülükler alternatif değil kümülatiftir.

GDPR Katmanı

GDPR, kişisel veri işlemenin hukukiliğini düzenlemeye devam eder. Reklam profilleme onayı, ölçüm için hukuki dayanak, veri sahibi hakları kümesi, sınır ötesi aktarım yükümlülükleri — bunların tümü değişmeden uygulanmaya devam eder.

AI Act Katmanı

GDPR'nin üzerine AI Act, özellikle AI sisteminin kendisine ilişkin yükümlülükler ekler: nasıl eğitildiği, eğitime hangi verilerin girdiği, çıktılarının nasıl belgelendiği, hangi denetim mekanizmalarının var olduğu, kullanıcının ne kadar şeffaflık aldığı. Bu yükümlülükler, altta yatan veri işlemenin onay tabanlı, sözleşme tabanlı veya başka bir hukuki dayanağa dayalı olup olmadığından bağımsız olarak AI sistemine bağlanır.

Pratik Çıkarım

Kişisel veriler üzerinde içerik önerici çalıştıran bir yayıncının hem veri işleme için geçerli bir GDPR hukuki dayanağına hem de AI Act kapsamında uyumlu bir şeffaflık açıklamasına ihtiyacı vardır. Yalnızca biri yeterli değildir. Uyumluluk yüzeyi artık gerçek anlamda iki boyutludur ve belgeleme zinciri her iki ekseni de kapsamak zorundadır.

Yasaklanan Uygulamalar ve Reklamcılık

Yasanın yasaklanan uygulamalar listesi kısa ama sonuç doğurucudur ve birkaç maddenin reklam tasarımı açısından sonuçları vardır.

Manipülatif Teknikler

Yasa, bilinçaltı teknikler kullanan, manipülatif uygulamalar benimseyen veya önemli zarar verme olasılığı bulunan şekillerde belirli grupların güvenlik açıklarından yararlanan AI sistemlerini yasaklar. Reklam tasarımının büyük bölümü bu sınıra yaklaşmaz — ancak yapay zeka odaklı profilleme kullanarak belirlenen güvenlik açıklarını hedefleyen (finansal sıkıntı, ruh sağlığı durumları, bağımlılık kalıpları) reklamlar bunu aşabilir. EDPB bunu erken kılavuzda işaretlemiştir.

Biyometrik Kategorileştirme

Yasa, ırk, siyasi görüş, sendika üyeliği, dini inanç, cinsel yaşam veya cinsel yönelim gibi hassas nitelikleri çıkarsayan biyometrik kategorileştirmeyi yasaklar. Bu nitelikleri çıkarsayan biyometrik verilerden oluşturulan kitle segmentleri artık yasaklanan bölgededir.

Belirli Bağlamlarda Duygu Tanıma

Duygu tanıma, işyeri ve eğitim bağlamlarında yasaktır. Bu bağlamlar dışındaki reklam duygu tespiti kullanım senaryoları hâlâ izin verilebilir olabilir ancak yoğun incelemeyle karşı karşıya kalır.

Sınırlı Riskli Şeffaflık Yükümlülükleri

2026'da yayıncı ve reklamveren AI Act uyumluluk çalışmalarının büyük bölümünün yattığı yer burasıdır.

Öneri Sistemi Açıklaması

Kullanıcıların gördüklerini kişiselleştiren içerik önericiler — ister bir yayıncının ana sayfasında, uygulama içi bir besleme akışında isterse programatik reklam yerleşiminde — sınırlı riskli kademe kapsamına girer. Kullanıcılara bir AI sistemiyle etkileşime girdikleri bildirilmeli ve sistem, etkileşimin AI niteliğinin açık olacağı şekilde tasarlanmalıdır.

Sohbet Botu Açıklaması

Konuşma biçiminde kullanıcılarla doğrudan etkileşime giren herhangi bir AI sistemi, AI niteliğini açıklamak zorundadır. Müşteri desteği, içerik keşfi veya başka herhangi bir amaç için AI sohbet arayüzleri çalıştıran yayıncılar ve reklamverenler bu temel gereksinimi karşılamalıdır.

Sentetik İçerik Açıklaması

Yapay zeka tarafından oluşturulan görüntüler, ses, video ve metin içeriklerinin bu şekilde işaretlenmesi gerekir. Editoryal içerikte, reklam kreatiflerinde veya ürün görsellerinde yapay zeka tarafından oluşturulan görseller veya metinler kullanan yayıncıların işaretleme yükümlülüklerini uygulaması gerekmektedir. 2026 uygulama kılavuzu, görsel içerik için filigran standartları dahil olmak üzere işaretlemenin teknik özelliklerini açıklığa kavuşturmuştur.

2026'da Birleşik Onay Yüzeyi

CMP ve gizlilik bildirimi artık her iki rejim için de çalışmak zorundadır. 2026 yayıncı CMP'si, 2024'teki selefinden anlamlı biçimde daha ayrıntılı görünmektedir.

Ayrıntılı Onay Amaçları

CMP, genel reklamcılık, reklamcılık için profilleme, otomatik karar alma ve öneri kişiselleştirmesi arasında ayrım yapan onay amaçlarını ortaya koyar. Her biri belirli bir AI Act ve GDPR sınırıyla eşleşir ve her biri kendi olumlu onayını gerektirir.

AI Sistemi Açıklamaları

Gizlilik bildirimi veya eşlik eden bir AI açıklama belgesi, kullanımdaki AI sistemlerini, amaçlarını, girdi veri kategorilerini, çıktıların geniş mantığını ve yerinde insan denetim mekanizmalarını açıklar. Bu, GDPR Madde 22 otomatik karar açıklamasından daha fazlasıdır — daha kapsamlı bir AI şeffaflık hikâyesidir.

İtiraz Hakkı

GDPR'nin profillemeye itiraz hakkı uygulanmaya devam eder ve AI Act, yapay zeka odaklı öneri kişiselleştirmesi etrafında kullanıcı haklarını daha da genişletir. Kullanıcılar, temel hizmete erişimlerini kaybetmeden öneri kişiselleştirmesinden çıkabilir ve çıkış en az katılım kadar kolay olmak zorundadır.

2026'da İşe Yarayan Operasyonel Kalıplar

Olgun 2026 programları yürüten yayıncılar ve reklamverenler birkaç operasyonel kalıpla örtüşmektedir.

AI Envanteri

Yayıncı veya reklamveren yığınında kullanılan her AI sisteminin canlı envanterini tutun: sistem, Yasa kapsamındaki risk kademesi, işlediği kişisel veriler, GDPR kapsamındaki hukuki dayanağı, uygulanan şeffaflık açıklamaları ve yerinde insan denetimi. Bu, temel uyumluluk eseridir ve düzenleyicilerin önce görmek isteyeceği şeydir.

Birleşik Gizlilik Bildirimi

Hem GDPR hem de AI Act yükümlülüklerini tutarlı bir anlatıyla ele alan tek bir birleşik gizlilik ve AI şeffaflık bildirimi — Portekizce, Almanca, Fransızca veya kitleye uygun hangi dil varsa. İki ayrı açıklamayı sürdürmeye çalışmak çelişkilere ve okuyucu karışıklığına davetiye çıkarır.

Satıcı AI Denetimi

Yayıncı adına yapay zeka odaklı çıktılar işleyen her reklam veya analitik satıcısı için sözleşme, AI Act yükümlülüklerinin tahsisini, teknik belgelere erişimi ve olay bildirimini kapsamalıdır. 2023'ten itibaren standart veri işleme sözleşmeleri AI Act'i kapsamaz ve yenilenmesi gerekir.

Cezalar ve Uygulama Tutumu

AI Act, GDPR'nin azami tutarlarını aşabilen idari para cezalarıyla kademeli bir ceza rejimi getirmektedir.

Ceza Kademeleri

• Yasaklanan uygulama ihlalleri için EUR 35 milyon veya küresel yıllık cironun yüzde 7'sine kadar
• Diğer maddi ihlallerin çoğu için EUR 15 milyon veya yüzde 3'e kadar
• Yanlış bilgi sağlamak için EUR 7,5 milyon veya yüzde 1'e kadar

Uygulama Mimarisi

Her Üye Devlet, AI Act uygulaması için ulusal yetkili makamlar belirler ve Avrupa AI Ofisi, genel amaçlı AI modellerinin denetimini koordine eder. Yayıncılar ve reklamverenlere yönelik uygulama öncelikle ulusal makamlar aracılığıyla ve çoğu zaman mevcut veri koruma makamlarıyla yakın koordinasyon içinde yürütülecektir. İlk önemli AI Act uygulama eylemleri, yüksek riskli yükümlülükler tam anlamıyla yürürlüğe girmesiyle birlikte 2026 boyunca beklenmektedir.

2026'da AI Odaklı Reklamcılık için Denetim Kontrol Listesi

• Risk kademesi sınıflandırmasıyla yığındaki her AI sisteminin canlı envanteri
• Kişisel veri işleyen her AI sistemi için belgelenmiş GDPR hukuki dayanağı
• Öneri kişiselleştirmesi ve sohbet botları dahil olmak üzere her sınırlı riskli sisteme uygulanan AI Act şeffaflık açıklamaları
• Yapay zeka tarafından oluşturulan kreatif, görüntü, ses ve videoya uygulanan sentetik içerik işaretlemesi
• İlgili yerel dilde birleşik gizlilik ve AI şeffaflık bildirimi
• CMP'nin profillemeyi, otomatik karar almayı ve öneri kişiselleştirmesini ayrı ayrı onaylanabilir amaçlar olarak sunması
• Kitle segmentlerinin yasaklanan biyometrik kategorileştirme listesine göre gözden geçirilmesi
• AI Act yükümlülük tahsisini ele almak için güncellenen satıcı sözleşmeleri
• Yüksek riskli sınıra yaklaşan herhangi bir sistem için belgelenmiş insan denetim mekanizmaları
• Veri sahibi ve AI Act kullanıcı hakları iş akışının, geçerli yanıt süreleri içinde çıkış, açıklama ve insan incelemesi taleplerine yanıt verebilmesi

2026 Görünümü

AI Act, GDPR'nin yerini almaz — onun üzerine katmanlanır ve birleşik yüzey, her iki rejimin yalnız başına olduğundan anlamlı biçimde daha karmaşıktır. Yapay zeka odaklı kişiselleştirme, profilleme, öneri sistemleri veya üretken içerik çalıştıran yayıncılar ve reklamverenler için 2026, uyumluluk mimarisinin saf bir GDPR tutumunun ötesine olgunlaşması gereken yıldır. AI Act'ı gelecekteki bir endişe olarak görenler, ulusal makamların 2026 boyunca ve 2027'ye uzanarak ilk uygulama eylemlerini yayımlamasıyla geleceğin beklenenden daha hızlı geldiğini görecektir. Birleşik uyumluluğu başından itibaren inşa edenler ise mimarinin karşılığını verdiğini görecektir: AI Act'ın şeffaflık yükümlülükleri, iyi uygulandığında GDPR onay ve güven hikâyesini de güçlendirir; canlı bir AI envanteri sürdürmenin operasyonel disiplini ise düzenleyici uyumluluğun çok ötesinde faydalı olduğunu kanıtlar.