anonym.legal
Bloga DönGDPR & Uyumluluk

AB Yapay Zeka Yasası Ağustos 2026: Madde 10'u Karşılamak için Eğitim Verisi Anonimleştirme

AB Yapay Zeka Yasası'nın tam uygulaması 2 Ağustos 2026'da başlıyor. Cezalar 35 milyon Euro veya küresel cirosun %7'sine kadar çıkabiliyor. Madde 10 eğitim verisi anonimleştirmesi gerektiriyor.

March 16, 20269 dk okuma
EU AI Acttraining dataArticle 10GDPR complianceAI regulation2026 deadlinedata governance

Geri Sayım Başladı

AB Yapay Zeka Yasası'nın yaptırım takvimi artık soyut değil. Madde 10'un eğitim verisi yönetişim zorunluluğu dahil olmak üzere yüksek riskli yapay zeka sistemi gereksinimleri 2 Ağustos 2026'dan itibaren uygulanıyor. Yüksek riskli yapay zeka sistemlerini eğiten, ince ayar yapan veya dağıtan ve uyumlu eğitim verisi uygulamaları henüz oluşturmamış kuruluşlar için yaklaşık beş aylık bir düzeltme süresi var.

Cezalar GDPR'dan daha büyük: hangisi daha yüksekse 35 milyon Euro veya küresel yıllık cirosun %7'si. GDPR 20 milyon Euro veya %4'te sınırlandırılıyor. AB Yapay Zeka Yasası, dünyanın herhangi bir yerinde yürürlükteki en yüksek riskli yapay zeka düzenlemesidir ve cezaları, büyük teknoloji şirketlerinin bile uyumsuzluğu bir iş yapma maliyeti olarak karşılayamamasını sağlayacak biçimde kalibre edilmiştir.

Yapay Zeka Sistemi Ne Zaman "Yüksek Riskli" Sayılır?

Yapay Zeka Yasası'nın risk sınıflandırması hangi yükümlülüklerin uygulanacağını belirliyor. Yüksek riskli sistemler (Ek III) aşağıdakilerde kullanılan yapay zekayı kapsıyor:

  • Eğitim ve mesleki eğitim — eğitim kurumlarına erişimi belirleyen veya öğrencileri değerlendiren sistemler
  • İstihdam — özgeçmiş taraması, mülakat puanlaması, iş gücü izleme
  • Temel hizmetler — kredi değerlendirme, sigorta fiyatlandırma, acil çağrı yönetimi
  • Kolluk — tahmine dayalı polislik, suç analitiği, biyometrik tanımlama
  • Sağlık hizmetleri — tıbbi cihaz yazılımı, klinik karar destek, hasta triyajı
  • Kritik altyapı — enerji, su, ulaşım ağlarını yöneten sistemler
  • Adalet idaresi — hukuki araştırma araçları, ceza öneri sistemleri

Kuruluşunuz bu kategorilerin herhangi birinde yapay zeka eğitiyorsa veya dağıtıyorsa Madde 10 sizin için geçerli.

Madde 10: Gerçekte Ne Gerektiriyor

AB Yapay Zeka Yasası'nın Madde 10'u, yüksek riskli yapay zeka sistemleri tarafından kullanılan eğitim, doğrulama ve test veri kümeleri için gereklilikler belirliyor. Temel gereklilikler:

1. Veri Yönetişim Uygulamaları

Eğitim veri kümeleri "uygun veri yönetişim ve yönetim uygulamalarına" tabi olmalı. Bu, veri toplama, veri kalitesi değerlendirmesi ve süregelen izleme için belgelenmiş prosedürleri kapsıyor. Uygulamalar, verinin kullanıldığı amacı ve toplanan veri kategorilerini kapsamalı.

2. Önyargılar İçin İnceleme

Eğitim verisi, ayrımcı çıktılara yol açabilecek "olası önyargılar" açısından incelenmeli. Bu gereklilik operasyonel açıdan önemli: yalnızca kasıtlı ayrımcı tasarımın yokluğunu değil, aktif önyargı testini zorunlu kılıyor.

3. İlgililik, Temsil Gücü ve Doğruluk

Veri kümeleri "ilgili, yeterince temsil edici ve mümkün olan en iyi ölçüde hatasız" olmalı. Bu, veri toplama metodolojisine uzanan bir kalite yükümlülüğü yaratıyor — belirli popülasyonları sistematik olarak yetersiz temsil eden kolaylık örnekleri veya taranmış web verisi, yüksek riskli uygulamalar için bu gerekliği karşılamayabilir.

4. Özel Kişisel Veri Kategorileri

Madde 10(5), mevcut veri kümelerine sahip kuruluşlar için en doğrudan uygulanabilir yükümlülüğü sağlıyor: yüksek riskli yapay zeka sistemleri özel kişisel veri kategorilerini (sağlık verileri, ırk veya etnik köken, siyasi görüşler, dini inançlar, biyometrik veriler) işlediğinde, bu kategoriler yalnızca "önyargı izleme, tespiti ve düzeltilmesini sağlamak amacıyla kesinlikle gerekli olduğunda" ve "gerçek kişilerin temel hakları ve çıkarları için uygun güvenceler kapsamında" işlenebilir.

Pratik sonuç: Yüksek riskli yapay zeka sistemleri için kullanılan çoğu eğitim veri kümesi kişisel veri içeriyor ve bunların çoğu özel kategoriler içeriyor. Madde 10, bu verinin yalnızca gerekli en az düzeyde işlenmesini ve uygun teknik güvenceler kapsamında tutulmasını gerektiriyor — bunların en sağlamlısı anonimleştirme.

Ceza Matematiği: Bu Neden GDPR'ı Aşıyor

AB Yapay Zeka Yasası'nın ceza yapısı, kasıtlı veya ihmalkar ihlaller için GDPR'ı aşıyor:

DüzenlemeAzami CezaCiro Sınırı
GDPR20 milyon EuroKüresel cirosun %4'ü
AB Yapay Zeka Yasası (yüksek riskli)15 milyon EuroKüresel cirosun %3'ü
AB Yapay Zeka Yasası (yasaklanan uygulamalar)35 milyon EuroKüresel cirosun %7'si

Eğitim verisi ihlalleri için geçerli kademe, yüksek riskli sistem kademesidir (15 milyon Euro / %3). Ancak bir VKK'nın, kişisel verileri yeterli güvenceler olmaksızın eğitmek için kullanmanın yasaklanan bir uygulama oluşturduğuna karar vermesi durumunda — Yasa'nın yaptırım pratiği geliştikçe giderek daha olası hale gelen bir belirleme — yasaklanan uygulama cezaları uygulanır.

500 milyon Euro yıllık cirosu olan bir şirket için: %3 = 15 milyon Euro. 5 milyar Euro cirosu olan bir şirket için: %3 = 150 milyon Euro. Bunlar teorik maksimumlar değil — düzenleyicilerin uygulayacağı gerçek hesaplamalardır.

Anonimleştirme Neden Uyum Yanıtı

Anonimleştirme temel bir hukuki basitleştirme yaratır: anonimleştirilmiş veriler GDPR'ın kapsamı dışındadır ve bu nedenle eğitim verisi yönetişimi için Yapay Zeka Yasası risk yüzeyini azaltır.

Madde 10'un en ağır gereksinimleri — özel kategori işleme, kişisel veriyle önyargı izleme, eğitim kümelerindeki veri sahibi hakları — eğitim verisinin kişisel veri içermesi nedeniyle uygulanır. Eğitim başlamadan önce eğitim verisi gerçek anlamda anonimleştirilmişse, bu gereksinimler ya ortadan kalkar ya da önemli ölçüde azalır.

CNIL (Fransız veri koruma otoritesi), 2026'nın başında yayımladığı yapay zeka eğitimi tavsiyelerinde açıkça şunu belirtti: "Eğitim öncesi veri minimizasyonu — model performansı için kesinlikle gerekli olmayan kişisel verilerin anonimleştirilmesi dahil — Madde 10'a uyum için birincil teknik tedbirdir."

Bu marjinal bir yorum değil. AB'nin en teknik açıdan sofistike VKK'sının ana akım yaptırım tutumudur.

Eğitim Verisi için Anonimleştirme Pratik Olarak Ne Anlama Gelir

Eğitim verisi anonimleştirmesi, prodüksiyon verisi anonimleştirmesiyle aynı değil. Eğitim verisi tipik olarak şunlardan oluşur:

  • Gömülü KKB içeren belgeler — ince ayar örnekleri olarak kullanılan sözleşmeler, e-postalar, raporlar, destek biletleri
  • Yapılandırılmış kayıtlar — tahmine dayalı modeller eğitmek için kullanılan müşteri veri tabloları
  • Etiketlenmiş veri kümeleri — kişisel tanımlayıcılar içerebilen ek açıklamalı görüntüler veya metinler
  • Gerçek kayıtlara dayalı sentetik veri — burada sentetik üretim süreci tanımlayıcı desenleri koruyabilir

Eğitim verisi için etkili anonimleştirme, tüm bu biçimlerde KKB tespit etmeyi ve eğitim işi çalıştırılmadan önce değiştirmeyi veya maskelemeyi gerektirir. Varlık tespiti kapsamlı olmalı — "John Smith"in değiştirildiği ancak "42 Oak Street, Springfield'deki hasta"nın kaldığı verilerle eğitilen bir model, konum desenlerini demografik tahminlerle ilişkilendirmeyi öğrenir.

anonym.legal API'si, eğitim verisini toplu modda işleyerek 48 dilde 285'ten fazla varlık türünü tespit ediyor. Birden fazla dil pazarına hizmet veren Avrupalı yapay zeka şirketleri için yaygın bir senaryo olan çok dilli eğitim veri kümelerine sahip kuruluşlar için bu çapraz dil kapsamı zorunludur. Çok dilli eğitim kümesinin tek bir dilindeki uyum başarısızlığı, tüm sistem için Yapay Zeka Yasası maruziyeti yaratır.

Pratik Kılavuz: Eğitim Hattınızı Anonimleştirme

Adım 1: Eğitim veri kümelerinizi denetleyin

Anonimleştirmeden önce elinizde ne olduğunu bilmeniz gerekiyor. Tüm eğitim verisi kaynakları üzerinde bir tespit geçişi çalıştırın:

```bash

Eğitim belgelerinin bulunduğu bir dizini işle

curl -X POST https://anonym.legal/api/presidio/analyze \ -H "Authorization: Bearer API_ANAHTARINIZ" \ -H "Content-Type: application/json" \ -d '{ "text": "'"$(cat training_document.txt)"'", "language": "en" }' ```

Yanıt, türleri, konumları ve güven puanlarıyla tespit edilen tüm varlıkları listeler. Düzeltmeye başlamadan önce KKB maruziyetini anlamak için veri kümeniz genelinde toplayın.

Adım 2: Toplu anonimleştirme

Büyük eğitim veri kümeleri için birden fazla belgeyi paralel olarak işlemek üzere toplu uç noktayı kullanın:

```python import requests import os import json from pathlib import Path

def anonymize_training_batch(documents: list[dict]) -> list[dict]: response = requests.post( "https://anonym.legal/api/presidio/anonymize-batch", json={"items": documents, "language": "en"}, headers={"Authorization": f"Bearer {os.environ['ANONYM_API_KEY']}"} ) return response.json()["results"]

Eğitim belgelerini yükle

training_dir = Path("./training_data") docs = [ {"id": f.name, "text": f.read_text()} for f in training_dir.glob("*.txt") ]

50'lik gruplar halinde anonimleştir

batch_size = 50 for i in range(0, len(docs), batch_size): batch = docs[i:i+batch_size] results = anonymize_training_batch(batch) for result in results: output_path = training_dir / "anonymized" / result["id"] output_path.write_text(result["text"]) print(f"{result['id']} işlendi: {len(result['items'])} varlık kaldırıldı") ```

Adım 3: Süreci belgeleyin

Madde 10, belgelenmiş veri yönetişim uygulamaları gerektiriyor. Anonimleştirme süreci belgeleriniz şunları içermeli:

  • Kullanılan tespit modeli ve sürümü
  • Tespit edilen varlık türleri ve her biri için değiştirme stratejisi
  • Veri kümesi başına kaldırılan varlık sayılarının kaydı
  • Anonimleştirme tarihi ve kullanılan eğitim verisi sürümü

Bu belgeler, Madde 10(2)(a)'nın gerektirdiği "veri yönetişim ve yönetim uygulamalarını" oluşturuyor.

Colorado Yapay Zeka Yasası: Paralel ABD Yükümlülüğü

Colorado'nun Yapay Zeka Yasası 30 Haziran 2026'da yürürlüğe giriyor — AB Yapay Zeka Yasası'nın yüksek riskli yaptırım tarihinden beş hafta önce. Colorado yasası, algoritmik ayrımcılığa odaklanan Colorado hukuku kapsamındaki "yüksek riskli yapay zeka sistemleri" için benzer eğitim verisi yükümlülükleri getiriyor.

Hem AB'de hem de Colorado'da faaliyet gösteren kuruluşlar eş zamanlı uyum son tarihleriyle karşı karşıya. Anonimleştirme yaklaşımı her ikisini de karşılıyor: Madde 10 kapsamında eğitim verisi yönetişimi (AB) ve Colorado yasası kapsamında algoritmik ayrımcılık önleme tedbirleri. Teknik uygulama aynı.

Hemen Başlamak

Beş ay, çalışma hemen başlarsa eğitim verisi anonimleştirmesini uygulamak için yeterli. Haziran'da başlarsa yeterli değil.

Uyum sırası:

  1. 1-2. haftalar: Veri kümesi denetimi — hangi KKB'nin mevcut olduğunu anlayın
  2. 3-6. haftalar: Anonimleştirme hattı uygulaması ve testi
  3. 7-10. haftalar: Süreç belgeleme ve hukuki inceleme
  4. 11-16. haftalar: Doğrulama — anonimleştirilmiş veri kümelerinin Madde 10 kalite gereksinimlerini karşıladığını doğrulayın
  5. 2 Ağustos: Yaptırım tarihi — uyumlu eğitim verisi yönetişimi yerinde

anonym.legal API'si, altyapı değişikliği gerektirmeden mevcut eğitim hatlarına entegre oluyor. GDPR uyum kontrol listesi, GDPR ile Madde 10 arasında örtüşen veri yönetişim belgesi gereksinimlerini kapsıyor.

AB Yapay Zeka Yasası yaptırıma hazır. Yüksek riskli yapay zeka sistemleri geliştiren kuruluşlar için soru uyumun gerekip gerekmediği değil — 2 Ağustos'a kadar hazır olup olmayacakları.

GDPR uyum kontrol listesiyle başlayın →

Sınırlamalar ve Kalan Belirsizlikler

Yapay Zeka Yasası uyumu için anonimleştirme, önemli pratik zorluklarla birlikte gelişen bir alan:

Anonimleştirme eşikleri tanımlanmamış: AB Yapay Zeka Yasası, hangi anonimleştirme düzeyinin "yeterli" olduğunu belirtmiyor. Avrupa Yapay Zeka Ofisi rehberlik yayımlayana veya yaptırım eylemleri standartları netleştirene kadar, kuruluşlar anonimleştirme tekniklerinin düzenleyicileri tatmin edip etmeyeceği konusunda hukuki belirsizlikle karşı karşıya.

Yapay zeka eğitiminde yeniden tanımlama riski: Araştırmalar tutarlı biçimde büyük dil modellerinin iddia edilen anonimleştirilmiş kayıtlar dahil eğitim verilerini ezberleyip yeniden üretebildiğini gösteriyor. GDPR anonimleştirme standartlarını karşılayan teknikler, eğitilmiş modellerden KKB'nin düşman çıkarımına izin verebilir — eğitim öncesi anonimleştirme ile tam olarak ele alınmayan ayrı bir risk.

Sentetik veri sınırlamaları: Sentetik veri üretimi istatistiksel dağılımları korur ancak orijinal veriden yokken ince önyargılar getirebilir ya da nadir ama önemli uç durumları yakalayamazlar. Yalnızca sentetik veriyle eğitilen modeller gerçek dünya dağılımlarında prodüksiyonda düşük performans gösterebilir.

Madde 10 yorumlama açığı: Madde 10'daki "uygun teknik tedbirler" ifadesi yorum gerektiriyor ve çeşitli üye devletlerdeki erken VKK yaptırımı tutarlı standartlara ulaşamadı. Hukuk ekipleri 2026 boyunca EDPB rehberliğini ve üye devlet VKK kararlarını yakından takip etmeli.

Kaynaklar:

  • AB Yapay Zeka Yasası, Tüzük (AB) 2024/1689, Maddeler 9-17 (yüksek riskli yapay zeka yükümlülükleri), OJ L 2024/1689
  • AB Yapay Zeka Yasası, Madde 10 — Veri ve veri yönetişimi
  • CNIL yapay zeka eğitim verisi tavsiyeleri, Ocak 2026
  • Colorado Yapay Zeka Yasası, SB 205, yürürlük tarihi 30 Haziran 2026
  • AB Yapay Zeka Yasası yaptırım takvimi: yasaklanan uygulamalar 2 Şubat 2025; yüksek riskli sistemler 2 Ağustos 2026

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.