AB Yapay Zeka Yasası Uyumluluğu (EU AI Act Compliance)

Bu doküman, Humindx platformunun Ağustos 2026 itibarıyla tam bağlayıcılık kazanan Avrupa Birliği Yapay Zeka Yasası (EU AI Act) kapsamındaki konumunu, risk sınıflandırmasını ve yasal gereksinimleri karşılamak için inşa ettiği teknik bariyerleri tanımlar.

Kapsam Uyarısı: Bu doküman, teknik mimarinin regülatif eşleşmelerini kapsar. Kullanıcıya yönelik şeffaflık ekranları (Veri Röntgeni) için ../product/features.md, denetim loglarının (Audit Trail) yapısı için audit-trail.md, güven skorlaması için ise ../psychometrics/confidence-engine.md dosyalarına bakınız.

1. Yasal Konumlandırma ve Risk Sınıflandırması

EU AI Act, yapay zeka sistemlerini risk temelli 4 kategoriye ayırır. Humindx'in B2B (İşe Alım ve Yetenek Yönetimi) modülleri, "İstihdam, işçi yönetimi ve serbest mesleğe erişim" (Ek III, Madde 4) kapsamında kullanıldığı için hukuken Yüksek Riskli (High-Risk) kategoriye girmektedir.

Temel Strateji: Humindx, Yüksek Riskli sistemlerin gerektirdiği şeffaflık, gözetim ve veri kalitesi şartlarını "by-design" (tasarımdan itibaren) karşılamakla kalmaz; aynı zamanda "Kabul Edilemez Risk" (Yasaklı) kategorisine girmemek için katı teknik sınırlar çizer.

2. "Kabul Edilemez Risk"ten Kaçınma: Duygu Tanıma Yasağı

Yasanın 5. Maddesi uyarınca, iş yerlerinde ve eğitim kurumlarında Duygu Tanıma (Emotion Recognition) sistemlerinin kullanımı kesin olarak yasaklanmıştır (Unacceptable Risk). HireVue gibi biyometrik analiz yapan rakiplerin yaşadığı en büyük regülatif kriz buradadır.

Teknik Savunma Hattı: Biyometrik vs. Anlamsal Analiz

Humindx, kullanıcıların anlık duygularını (mutluluk, öfke, üzüntü) biyometrik veriler üzerinden analiz etmez.

Kamera ve Ses Yasağı: Sistem, kullanıcının yüz ifadelerini (mikro mimikler), ses tonunu (pitch/tone) veya kalp atış hızını ölçmez.
NLP Tabanlı Yapısal Çıkarım: Humindx, LLM'leri kullanarak kullanıcının metin tabanlı dilsel yapılarını, kelime seçimlerini ve problem çözme stratejilerini analiz eder. (Örn: "Aday öfkeli" demez; "Aday, kriz anlarında iletişimi kesme eğilimi (Düşük Uyumluluk) gösteriyor" der).
Bu yaklaşım, yasada yasaklanan "Emotion Recognition" sınırlarından çıkarak, serbest/regüle alandaki "Construct-Oriented Assessment" (Yapı Odaklı Değerlendirme) sınıfında kalmasını sağlar.

3. Yüksek Riskli Sistem Gereksinimleri ve Humindx Karşılıkları

Yüksek riskli bir İK sisteminin EU AI Act kapsamında pazara sunulabilmesi (CE İşareti alabilmesi) için aşağıdaki teknik şartları karşılaması zorunludur:

3.1. Şeffaflık ve İzah Edilebilirlik (Transparency & Explainability)

Yasa Talebi: Kullanıcı (aday/çalışan) ve sağlayıcı (İK uzmanı), sistemin nasıl karar verdiğini anlayabilmelidir.
Humindx Çözümü:
- B2C tarafında Veri Röntgeni (Data X-Ray) ve Veri Soyu (Data Lineage) sayesinde kullanıcı her skorun hangi etkileşimden geldiğini görür.
- Kara kutu LLM çıkarımları, İK paneline doğrudan yansıtılmaz. ../psychometrics/scoring-algorithms.md'de belirtildiği gibi şeffaf matematiksel modellere (Big Five, RIASEC) oturtulur.
- B2B tarafında İK yöneticisine sunulan Yönetim Reçetesi, skoru değil "gözlemlenen davranış eğilimini" açıklayıcı metinlerle sunar.

3.2. İnsan Gözetimi (Human Oversight)

Yasa Talebi: Yapay zeka sistemi otonom olarak (insan onayı olmadan) işe alım veya kovma kararı veremez. Sistemin ürettiği veriler bir insan tarafından denetlenebilmelidir.
Humindx Çözümü:
- Sistem hiçbir zaman "Adayı İşe Al" veya "Adayı Ele" gibi ikili (binary) yönergeler üretmez.
- ../psychometrics/confidence-engine.md ile tanımlanan Veri Tutarlılık Puanı ( $I_{s}$ ) ve Güvenilirlik Rozetleri (Sarı/Yeşil/Kırmızı), İK yöneticisine verinin doğallık sınırını bildirerek inisiyatifi ve nihai kararı tamamen insana bırakır.

3.3. Yanlılık Kontrolü ve Adillik (Bias Mitigation)

Yasa Talebi: Eğitim verilerindeki demografik yanlılıkların (ırk, cinsiyet, yaş vb.) ayrımcılığa yol açmasını engelleyen mekanizmalar olmalıdır.
Humindx Çözümü:
- LLM Sistem Prompt'larında (Guardrails) yaş, cinsiyet veya etnik köken tahmini yapılması açıkça yasaklanmıştır.
- vector-privacy.md ile uygulanan Diferansiyel Gizlilik (Gürültü Enjeksiyonu), metinlerde geçebilecek spesifik demografik tanımlayıcıları (Örn: "Kadınlar kulübündeki görevim...") vektörel uzayda bulanıklaştırarak, eşleştirme algoritmalarının bu kelimelere taraflı (biased) ağırlık vermesini teknik olarak engeller.

4. Kullanıcı Hakları: "İtiraz Hakkı"nın Sistematiği (Right to Contest)

EU AI Act, Yüksek Riskli sistemlere tabi olan bireylere sonucun doğruluğuna itiraz etme hakkı (Right to Contest) verir. Çoğu şirket için bu, uzun süren hukuki süreçler anlamına gelirken, Humindx bu hakkı ürünün çekirdek bir özelliği haline getirmiştir.

Dinamik İtiraz (Label_Override): Kullanıcı, yapay zekanın bir sohbete atadığı [PRO] etiketini yanlış bulursa, bunu manuel olarak değiştirebilir.
Pozitif Transfer Köprüsü: Kullanıcı, kurumsal ölçümlerde çıkmayan ama kendisinde var olduğuna inandığı bir yetkinliğini (Örn: Sosyal hayattaki Liderliği) manuel olarak Profesyonel profiline aktarabilir.
Denge: Bu haklar kullanıcıya verilirken, Veri Tutarlılık Puanı ( $I_{s}$ ) ile İK paneline şeffafça yansıtılarak sistemin güvenilirliği korunur. Humindx, "itiraz sürecini" mahkeme salonlarından çıkarıp uygulama arayüzüne taşımıştır.

5. Veri Kayıtları ve Denetlenebilirlik (Logging & Auditability)

Yasanın 12. Maddesi, sistemin yaşam döngüsü boyunca kararların loglanmasını şart koşar.

Immutable Log Store (Değiştirilemez Loglar): audit-trail.md'de tanımlandığı üzere, bir kullanıcının profiline etki eden her senaryo, bu senaryoya atanan etiket, LLM'in o anki güven skoru ( $C_{l l m}$ ) ve kullanıcının yaptığı her müdahale (Label_Override) "append-only" (sadece eklenebilir) bir log altyapısında arşivlenir.
Bir regülatör denetimi (Audit) durumunda, Humindx bir adayın neden %88 Kültür Uyumu aldığını, olayların saniyesi saniyesine (timestamp) matematiksel dökümüyle ispat edebilir.

6. Post-Market Monitoring (Art. 61)

EU AI Act Art. 61, Yüksek Riskli AI sistemlerinin piyasaya sürüldükten sonra davranışının sürekli izlenmesini şart koşar. Sağlayıcı:

Model davranışındaki bozulmayı (drift) tespit edebilmeli,
Yeni risk sinyallerini yakalayabilmeli,
Ciddi incident'ları Art. 62 gereği raporlayabilmeli.

Humindx Çözümü:

Observability altyapısı: architecture/observability.md — OpenTelemetry + Grafana Cloud (ADR-005). Direction Accuracy trend, hallucination rate, eval drift, latency, RLS ihlal denemeleri gibi model + sistem metrikleri sürekli izlenir. §6'daki alert rule'ları incident-response.md §1 sınıflarına eşlenir.
Audit Trail: audit-trail.md — immutable, append-only denetim kaydı. Her psikometrik skoru oluşturan olay zinciri (Data Lineage) denetçiye kanıtlanabilir.
Çeyreklik Red-Team: adversarial-eval-suite.md §9 — adversarial test seed'leri çeyreklik olarak güncellenir; model davranışı regresyona karşı CI'da test edilir.

Bu üç katman birlikte Art. 61'in "sürekli izleme" şartını karşılar.

Son Güncelleme: 2026-04-17 — §6 Post-Market Monitoring (Art. 61 + observability.md) eklendi (SIM-177).

AB Yapay Zeka Yasası Uyumluluğu (EU AI Act Compliance) ​

1. Yasal Konumlandırma ve Risk Sınıflandırması ​

2. "Kabul Edilemez Risk"ten Kaçınma: Duygu Tanıma Yasağı ​

Teknik Savunma Hattı: Biyometrik vs. Anlamsal Analiz ​

3. Yüksek Riskli Sistem Gereksinimleri ve Humindx Karşılıkları ​

3.1. Şeffaflık ve İzah Edilebilirlik (Transparency & Explainability) ​

3.2. İnsan Gözetimi (Human Oversight) ​

3.3. Yanlılık Kontrolü ve Adillik (Bias Mitigation) ​

4. Kullanıcı Hakları: "İtiraz Hakkı"nın Sistematiği (Right to Contest) ​

5. Veri Kayıtları ve Denetlenebilirlik (Logging & Auditability) ​

6. Post-Market Monitoring (Art. 61) ​