Avrupa Birliği Yapay Zeka Tüzüğü'nde Güncelleme: "Dijital Omnibus" Taslak Raporu

Avrupa Birliği'nin dönüm noktası niteliğindeki Yapay Zeka Tüzüğü'nü pek çok açıdan ele almıştık. Tüzük teorik açıdan kapsamlı olsa da pek çok yükümlülük içeren maddenin bu yıl yürürlüğe girecek olması sebebiyle tüzüğün uygulamada çeşitli zorluklar doğurduğu görülmektedir. (Yürürlük takvimi hakkında detaylı bilgi edinmek için buraya tıklayabilirsiniz.) Bu uygulama zorlukları nedeniyle, Avrupa Parlamentosu "Dijital Omnibus"  adı verilen yeni bir düzenleme teklifi üzerinde çalışmaktadır. Yakın zamanda yayınlanan taslak rapor ile, YZ Tüzüğü'nün uygulanmasında erteleme, basitleştirme ve inovasyonu destekleme odaklı kritik değişiklikler önerilmektedir.

Rapor, Avrupa Parlamentosu İç Pazar ve Tüketiciyi Koruma Komitesi ile Sivil Özgürlükler, Adalet ve İçişleri Komitesi tarafından hazırlanan bir taslak rapor niteliğindedir ve henüz birinci okuma aşamasındadır. Nihai rapor hazırlandığında detayların ve uygulama takviminin netleşeceği düşünülmektedir.

A. Yüksek Riskli YZ Sistemlerinde Uyum Karinesi ve Uyum Tarihlerinin Ertelenmesi

Mevcut tüzükte genel uygulama tarihi 2 Ağustos 2026 olarak belirlenmişti. Ancak raportörler, uyumlaştırılmış standartların, ortak spesifikasyonların ve ulusal yetkili makamların henüz hazır olmadığını vurgulamaktadır. Bu gecikmenin, işletmeler üzerinde haksız bir maliyet ve belirsizlik yaratmaması için önerilen yeni takvim şu şekildedir:

Ek III Kapsamındaki Yüksek Riskli Sistemler: Örneğin biyometrik tanıma, kritik altyapı, eğitim, istihdam gibi alanlarda uygulama tarihi 2 Aralık 2027'ye ertelenmelidir.

Ek I Kapsamındaki Yüksek Riskli Sistemler: Örneğin oyuncaklar, asansörler, tıbbi cihazlar gibi ürünlerin güvenlik bileşenleri olan YZ'ler bakımından uygulama tarihi 2 Ağustos 2028'e ertelenmelidir.

Bunun yanı sıra eğer bir Yüksek Riskli YZ ürünü, AB Siber Dayanıklılık Tüzüğü (Tüzük (AB) 2024/2847) şartlarını yerine getiriyorsa, YZ Tüzüğü'nün siber güvenlik şartlarını da (Madde 15) otomatik olarak yerine getirmiş sayılacaktır. Bu, üreticilerin aynı güvenlik önlemleri için iki ayrı hukuki düzenlemeye göre iki kez denetlenmesini veya belge hazırlamasını önleyen teknik bir uyumluluk karinesi olarak görülmektedir.

B. YZ Okuryazarlığında Zorunluluk Öncesi Teşvik Dönemi Uygulamaları

Mevcut Tüzük, tüm sağlayıcı ve kullanıcıların personelinin YZ okuryazarlığını sağlamasını (ensure) zorunlu kılıyordu. Taslak rapor, bu tek tip çözümün herkese bakımından uygulanmasının kolay olmayacağını ve bunun özellikle KOBİ'ler için ağır bir yük oluşturduğunu belirtmektedir. Bu kapsamda YZ okuryazarlığını sağlama yükümlülüğünü kaldırmamakta, ancak yükümlülüğün kapsamını yumuşatarak işletmelerden AI okuryazarlığını teşvik etmelerini (promote) beklemektedir.

Üye Devletler ve Komisyon, eğitim fırsatları ve rehberlik sağlayarak bu süreci desteklemekle yükümlü kılınmaktadır. Bu sayede amaçlanan, bu eğitimin katı bir yasal zorunluluktan ziyade stratejik bir öncelik haline getirilmesini sağlamaktır.

C. Start-up'lar ve Sandbox

Raporda inovasyonu desteklemek adına "Yapay Zeka Düzenleyici Test Alanı" (Regulatory Sandboxes) ile ilgili önemli güncellemeler içermektedir. Sandbox hakkında detaylı bilgi edinmek ve örneklere ilişkin fikir sahibi olmak için bu yazımıza gidebilirsiniz.

Tüzüğün 75/1. maddesi uyarınca YZ Ofisi'nin, YZ sistemleri için Birlik düzeyinde bir YZ düzenleyici test alanı oluşturabileceği düzenlenmiştir. Orjinal madde metninde söz konusu test alanı, yalnızca KOBİ'lere (SMEs) öncelikli erişim hakkı tanırken, önerilen madde metni SMC’ler (küçük ve orta piyasa değerli şirketler) ile start-up'lara da bu hakkı tanımaktadır.

Bunun yanında Sandbox'ların yönetimiyle ilgili kurallara spesifik bir ekleme yapılması istenmektedir. Önerilen metinde Sandbox'ların yönetişim kuralları belirlenirken, yetkili veri koruma otoritelerinin (Data Protection Authorities) sürece dahil olması ve denetim yapması düzenlenmektedir. Yani kişisel verilerin korunduğundan emin olmak için, inovasyon süreçlerinde KVKK benzeri otoritelerin sadece "danışılan" değil, "denetleyen" konumunda olacağı kesinleştirilmektedir.

D. Önyargı Tespiti ve Hassas Veriler

Rapor'da YZ modellerindeki önyargıların (bias) tespiti ve düzeltilmesi, ayrımcılığı önlemek adına kritik bir kamu yararı olarak görülmektedir. Mevcut tüzük, yüksek riskli sistemler için özel nitelikli kişisel verilerin (ırk, sağlık vb.) önyargı tespiti ve düzeltilmesi amacıyla işlenmesine izin veriyordu. Taslak rapor, ayrımcılığın sadece yüksek riskli sistemlerden kaynaklanmayabileceğini kabul ederek bu izni genişletmektedir. Artık, diğer YZ sistemleri ve modelleri için de, eğer kesinlikle gerekliyse ve uygun güvenceler sağlanmışsa, önyargı tespiti amacıyla özel nitelikli verilerin işlenmesine istisnai olarak izin verilebilecek.

E. Deepfake ve İçerik İşaretleme Yönetimi

Yapay olarak oluşturulmuş veya manipüle edilmiş içeriğin (deepfake) tespiti ve etiketlenmesi konusundaki sorumluluklarda da bir düzenlemeye gidilmesi önerilmektedir. Bu konudaki uygulama kurallarının hazırlanmasını teşvik etme ve kolaylaştırma görevi, doğrudan "YZ Ofisi" yerine Komisyon'a verilmektedir. Bunun, sürecin daha merkezi ve AB genelinde yeknesak yürütülmesini sağlayabileceği düşünülmektedir.

Sonuç

Avrupa Parlamentosu'nun bu taslak raporu, YZ Tüzüğü'nün uygulanabilirliği konusunda sahadan gelen geri bildirimlerin dikkate alındığını göstermektedir.

Digital Omnibus taslak raporu, Yapay Zeka Tüzüğü’nün normatif hedeflerinden geri adım atmamakla birlikte, uygulamadaki gerçeklikleri dikkate alan daha pragmatik bir yaklaşımın işaretlerini vermektedir. Önerilen değişiklikler özellikle yüksek riskli sistemler bakımından uyum sürecini daha öngörülebilir hale getirmeyi amaçlamaktadır.

Erteleme mekanizmaları, uyum karineleri ve sandbox genişletmeleri birlikte değerlendirildiğinde, Avrupa Parlamentosu’nun önceliğinin inovasyon ile regülasyon arasındaki hassas dengeyi yeniden kalibre etmek olduğu görülmektedir. Bu yaklaşım, düzenleyici yükümlülüklerin zayıflatılmasından ziyade, uygulanabilirliğin artırılması yönünde bir sistem düzeltmesi niteliği taşımaktadır.

Nihayetinde bu süreç, YZ Tüzüğü’nün katı bir uyum rejimi olmaktan çıkıp, uygulamada fiilen işletilebilir bir yönetişim çerçevesine evrilme potansiyelini göstermektedir. Özetle yükümlülükler korunmakta, ancak uyumun yolu daha teknik, daha rasyonel ve daha yönetilebilir hale getirilmektedir.