Avrupa Birliği Konseyi 29 Haziran 2026 tarihinde, yapay zekaya ilişkin Digital Omnibus'a nihai onayını vererek EU AI Act'in yüksek riskli yükümlülüklerini bağımsız sistemler için 2 Ağustos 2026'dan 2 Aralık 2027'ye ve düzenlemeye tabi ürünlere entegre edilmiş yapay zeka sistemleri için 2 Ağustos 2028'e erteledi. Oylama, orijinal son tarihe beş hafta kala ve Nisan ile Mayıs 2026'da gerçekleşen iki başarısız üçlü görüşmenin ardından geldi. Bu belirsizlik, uyum ekiplerini hayatta kalıp kalmayacağı belli olmayan bir son tarihe doğru hazırlık yapmaya itmişti.
Gecikme, uygulamadan bir geri adım değildir. 2026 yılının aynı döneminde Avrupa Komisyonu, Digital Services Act kapsamında Temu'ya 200 milyon euro para cezası verdi, İrlanda Yüksek Mahkemesi TikTok'a karşı verilen 530 milyon euroluk GDPR cezasını onadı ve ulusal denetleyiciler bankacılık ve sigorta sektörlerinde "gözlem modundan" aktif DORA denetimlerine geçti. Avrupa'nın yapay zeka, veri ve platform kural kitabı aynı anda yeniden yazılıyor ve nadiren birlikte hareket eden farklı saatlere göre uygulanıyor.
AB, Birleşik Krallık ve İsviçre'yi kapsayan yapay zeka yönetişimi liderleri, DPO'lar ve dijital uyumluluk görevlileri için bu kombinasyon, değişen son tarihler ve aktif cezalar, 2026'nın geri kalanında asıl faaliyet ortamıdır.
EU AI Act'in yüksek riskli son tarihi hala 2 Ağustos 2026 mı?
Temmuz 2026'da beklenen ve yayımlandıktan üç gün sonra yürürlüğe girecek olan yapay zeka konulu Digital Omnibus Resmi Gazete'de yayımlandıktan sonra hayır. 2024/1689 sayılı Yönetmelik (AB), işe alım, kredi puanlama, biyometrik kimlik tespiti, eğitim, göç ve kolluk kuvvetleri kullanım durumlarını kapsayan Ek III yüksek riskli sistemler için orijinal olarak 2 Ağustos 2026'yı ve Ek I ürüne entegre sistemler için 2 Ağustos 2027'yi belirlemişti. Avrupa Parlamentosu 16 Haziran 2026 tarihinde Omnibus metnini 423 lehte oyla onayladı ve Konsey'in 29 Haziran 2026 tarihindeki onayı yeni tarihleri sırasıyla 2 Aralık 2027 ve 2 Ağustos 2028 olarak sabitledi.
İki yükümlülük ters yönde hareket ediyor. Madde 50 kapsamında yapay zeka tarafından oluşturulan içeriklerin filigranlanması ve etiketlenmesi için ödemesiz dönem altı aydan üçe indirildi. Bu durum, piyasada halihazırda bulunan sistemler için yeni son tarihi 2 Aralık 2026'ya çekti. Ayrıca Omnibus, rızaya dayalı olmayan cinsel veya samimi içerik ve yapay zeka tarafından oluşturulan çocuk cinsel istismarı materyali üretilmesine yönelik hiçbir erteleme içermeyen kesin bir yasak ekliyor. Metin Resmi Gazete'de yayımlanana kadar orijinal 2 Ağustos 2026 tarihi yasal olarak bağlayıcı kalmaya devam edecek, bu nedenle sistemleri Ek III kapsamında sınıflandıran kuruluşlar öylece bekleyemez.
Avrupa Komisyonu Digital Services Act'i ne kadar agresif bir şekilde uyguluyor?
Altı ay içinde dokuz rakamlı iki para cezası kesecek kadar agresif bir şekilde. 5 Aralık 2025 tarihinde Komisyon, mavi tik doğrulama rozetinin aldatıcı tasarımı, Madde 39 ifşa kurallarının gerisinde kalan bir reklam deposu ve Madde 40(12)'yi ihlal eden araştırmacı erişim engelleri nedeniyle ilk DSA uyumsuzluk kararında X'e 120 milyon euro para cezası verdi. X'e mavi tik sorununu düzeltmesi için 60 iş günü ve tam bir iyileştirme planı sunması için 90 iş günü süre verildi. Şirket kararı Şubat 2026'da Avrupa Birliği Genel Mahkemesi'ne temyize götürerek DSA uygulamasının ilk adli testi haline getirdi.
Komisyon 28 Mayıs 2026 tarihinde, pazarındaki yasadışı ve tehlikeli ürünleri tespit edebilecek yeterli bir risk değerlendirmesi yapmadığı gerekçesiyle Temu'ya 53 milyar euroluk küresel cirosunun %0.38'ine denk gelen 200 milyon euro para cezası verdi. Temu'nun düzeltici eylem planı sunmak için 28 Ağustos 2026'ya kadar vakti var ve Komisyon'un Temu'nun öneri sistemleri ile içerik denetimine yönelik daha geniş kapsamlı soruşturması halen devam ediyor. Her iki vaka da Madde 34 ve 35 sistemik risk yükümlülükleri üzerine inşa edildi. Bu hükümler, çok büyük çevrimiçi platformları ve arama motorlarını sürekli Komisyon incelemesi altında tutmaktadır. Bu alan, platform başına düzenleyici izleme yaklaşımının yeni bir soruşturmayı manşetlere çıktığı gün değil, açıldığı gün yakaladığı bir alandır.
Veriler sınırları aştığında bir GDPR davasına gerçekte hangi düzenleyici karar verir?
Tek durak noktası mekanizması kapsamında, bu kurum şirketin ana AB kuruluşunun bulunduğu veri koruma otoritesidir ve çoğu küresel platform için bu İrlanda anlamına gelir. İrlanda Veri Koruma Komisyonu'nun (Data Protection Commission) 2 Mayıs 2025 tarihli kararı TikTok'a 530 milyon euro para cezası verdi. Bu cezanın 45 milyonu Madde 13(1)(f) kapsamında kullanıcıları gerektiği gibi bilgilendirmemek, 485 milyonu ise Madde 46(1) kapsamında AEA kullanıcı verilerinin Çin'e yasadışı transferi içindi. Komisyon, TikTok'un Standart Sözleşme Maddelerinin AEA verilerine esas olarak GDPR'nin gerektirdiği düzeyde eşdeğer bir koruma sağladığını doğrulayamadığını tespit etti. 3 Haziran 2026 tarihinde İrlanda Yüksek Mahkemesi, hem sorumluluk tespitini hem de ceza miktarını onadı. Ancak gelecekteki transferleri askıya alan kararı yeniden değerlendirilmesi için düzenleyiciye geri gönderdi. Bu durum, söz konusu spesifik nokta yeniden gözden geçirilirken TikTok'un Avrupa verilerini Çin'e taşımaya devam edebilmesini sağlıyor.
İrlanda DPC'nin 2018'den bu yana kümülatif cezaları şu anda 4.04 milyar euroya ulaştı ve bu tutara hala 2023'teki 1.2 milyar euroluk Meta kararı öncülük ediyor. Tüm AB denetim otoriteleri genelinde, DLA Piper'ın Ocak 2026 anketi, 2025 yılı yaptırımlarını yaklaşık 1.2 milyar euro olarak belirledi. Bu tutar 2024 yılıyla eşleşiyor ve GDPR'nin 2018'de yürürlüğe girmesinden bu yana blok çapındaki toplamı 7.1 milyar euroya itiyor. Bir uyumluluk görevlisi için pratik ders şudur: Lider otorite seçimi idari bir evrak işi değildir, dosyanın aslında hangi düzenleyicinin yaptırım duruşu, zaman çizelgesi ve sınır ötesi cezalara yönelik iştahı tarafından yönetileceğini belirler.
GDPR'nin kendisi AI Act ile birlikte yeniden yazılıyor mu?
Evet, Komisyon tarafından 19 Kasım 2025 tarihinde COM(2025) 837 olarak önerilen aynı Digital Omnibus paketi aracılığıyla. Öneri, kişisel verileri yeniden tanımlayarak, kişiyi yeniden tanımlama imkanından yoksun bir varlık için takma adlı verilerin kişisel kabul edilmemesini sağlayacak. Ayrıca şirketlerin, güvencelere tabi olarak yapay zeka modellerini eğitmek veya çalıştırmak için GDPR'nin meşru menfaat temeline dayanmalarına olanak tanıyacak, çerez onayı kurallarını ePrivacy Yönergesi'nden çıkararak altı ay geçerli tek tıkla onayla GDPR içine taşıyacak ve veri ihlalleri ile siber güvenlik olayları için tek bir raporlama noktası oluşturacak.
Avrupa Veri Koruma Kurulu (European Data Protection Board) ve Avrupa Veri Koruma Raportörü (European Data Protection Supervisor), Şubat 2026'da idari basitleştirme kısımlarını destekleyen ortak bir görüş yayınladı. Ancak eş yasakoyucuları kişisel veri yeniden tanımlamasını kabul etmemeye açıkça çağırarak, bunun temel veri koruma hakkını teknik bir değişikliğin yapması gerektiğinin ötesinde daraltacağı konusunda uyardı. 2026'nın ortası itibariyle dosya, Parlamentoda Sanayi ve Sivil Özgürlükler komitelerinin ortak sorumluluğunda olağan yasama prosedüründe kalmaya devam ediyor. Bu durum, bir şirketin bugün uyduğu GDPR metninin, şu anda tasarladığı bir yapay zeka eğitim programı yayına girdiğinde yürürlükte olan GDPR metniyle aynı olmayabileceği anlamına gelir.
Digital Markets Act, Data Act ve DORA, AI Act ve GDPR'ye ek olarak ne getiriyor?
Digital Markets Act, aynı eşik bekçilerine karşı kendi yaptırım yolunu sağlar. Komisyon 22 Nisan 2025 tarihinde, DMA kapsamında verilen ilk uyumsuzluk cezaları olan Madde 5(4) kapsamındaki yönlendirme karşıtı ihlaller nedeniyle Apple'a 500 milyon euro ve Madde 5(2) kapsamındaki öde-veya-onayla reklam modeli nedeniyle Meta'ya 200 milyon euro para cezası verdi. Komisyon'un 3 Mayıs 2026 tarihinde COM(2026) 178 olarak sunduğu ilk üç yıllık incelemesi, rejimin amaca uygun olduğunu ve hiçbir yasal değişikliğe gerek olmadığını tespit etti. Öte yandan Google Play ve Google Search'e karşı Ocak 2026'da açılan spesifikasyon davaları aktif olmaya devam ediyor.
Data Act 12 Eylül 2025 tarihinde uygulanabilir hale geldi ve bağlantılı ürün ile hizmetlerin kullanıcılarına bu ürünlerin ürettiği verilere erişim hakkı ve mümkün olduğunda bunların gerçek zamanlı olarak üçüncü taraflarla paylaşılmasını sağlama hakkı verdi. Bağlantılı ürünlerin verileri varsayılan olarak erişilebilir hale getirmesini gerektiren tasarım yükümlülükleri 12 Eylül 2026'da yürürlüğe giriyor. Adil, makul ve ayrımcı olmayan sözleşme şartları, Eylül 2025'ten sonra imzalanan tüm B2B veri paylaşımı anlaşmalarına uygulanırken, Eylül 2027'den itibaren belirli uzun süreli eski sözleşmeleri de kapsayacak şekilde genişletiliyor. Kişisel verilerin söz konusu olduğu durumlarda Data Act cezaları, GDPR seviyelerini izleyerek 20 milyon euroya veya küresel cironun %4'üne kadar çıkabiliyor.
Özellikle finansal kuruluşlar için DORA'nın ödemesiz süresi 2025 yılı ile birlikte sona erdi. 2026'nın ilk çeyreğinden bu yana ECB, BaFin, AMF, CSSF ve diğer ulusal yetkili otoriteler hazırlık incelemelerinden, ICT risk yönetimi, üçüncü taraf sözleşmeleri ve olay raporlamasına yönelik resmi denetim değerlendirmelerine geçtiler. Bu durum, kurumlar için dünya çapındaki cironun %2'sine kadar ve ICT risk raporlarına göre hareket etmeyen yönetim organı üyeleri için kişisel olarak 1 milyon euroya kadar para cezalarıyla desteklenmektedir.
| Enstrüman | Durum (Temmuz 2026) | İzlenecek kilit tarih |
|---|---|---|
| AI Act, Ek III yüksek riskli | Omnibus kabul edildi, Resmi Gazete'de yayımlanması bekleniyor | 2 Aralık 2027 (önceden 2 Ağustos 2026 idi) |
| AI Act, Madde 50 şeffaflık | Ödemesiz süre Omnibus ile kısaltıldı | 2 Aralık 2026 |
| DSA sistemik risk yaptırımı | Aktif, iki para cezası verildi, biri temyizde | 28 Ağustos 2026 (Temu iyileştirme planı) |
| GDPR (TikTok transfer davası) | Sorumluluk ve para cezası onandı, çare yeniden açıldı | İrlanda DPC'nin yeniden değerlendirmesi bekleniyor |
| GDPR reformu (Digital Omnibus) | Olağan yasama prosedüründe | Kabul tarihi belirlenmedi |
| DMA eşik bekçisi yükümlülükleri | İki para cezası verildi, inceleme tamamlandı, değişiklik yok | Google spesifikasyon davaları devam ediyor |
| Data Act tasarım yükümlülükleri | Temel kurallar Eylül 2025'ten bu yana geçerli | 12 Eylül 2026 |
| DORA denetim yaptırımı | Ödemesiz süre bitti, aktif değerlendirmeler | Devam ediyor, ulusal yetkili makama göre |
Sekiz enstrüman, sekiz zaman çizelgesi ve bunlardan en az üçü yalnızca 2026'nın ilk yarısında önemli ölçüde değişti. Bunu elektronik tablolarla izleyen bir uyumluluk işlevi, kaçırılmış bir Konsey basın bülteni yüzünden artık geçerli olmayan bir son tarih etrafında program oluşturma riskiyle karşı karşıyadır. Obsidian'ın AI companion çözümünün kapatmak için inşa edildiği boşluk tam olarak budur: hukuki yargının bir yedeği değil, devredilmiş bir işlemin incelemeden geçtiği veya bir cezanın kesinleştiği anı bildiren doğrulanmış bir düzenleyici yol arkadaşıdır.
Bir uyumluluk ekibi bundan sonra ne yapmalı?
AI Act'in bağlayıcı metnini bekleyen değişikliklerinden ayırarak başlayın. Yeni 2 Aralık 2027 tarihinin varsayılmak yerine onaylanması için Omnibus'u Resmi Gazete yayınına doğru izlerken, 2 Ağustos 2026'nın hala geçerli olabileceği varsayımıyla Ek III sınıflandırma çalışmalarına devam edin. Buna paralel olarak, DSA ve DMA yaptırımlarını yalnızca düzenlemelerin metnine güvenmek yerine, düzenleyicilerin gerçekte neye öncelik verdiğinin (sistemik risk değerlendirmeleri ve yönlendirme kısıtlamaları) bir kanıtı olarak ele alın.
Birçok AB kuruluşu genelinde GDPR riskini yöneten ekipler için her bir işleme faaliyetinde hangi denetim otoritesinin lider statüye sahip olduğunu onaylayın ve halihazırda yürütülmekte olan yapay zeka eğitim programlarını etkileyebilecek kişisel veri tanımındaki değişiklikler için Digital Omnibus müzakerelerini izleyin. Obsidian'ın yapay zeka asistanları için MCP aracı, bu izlemenin uyumluluk ekiplerinin halihazırda kullandığı araçların içinde çalışmasını sağlar ve mevcut planlar, yargı bölgesi bazlı izlemenin 2026'nın ilk yarısında üç kez değişen bir kural kitabına nasıl ayak uydurduğunu göstermektedir.