FRIA ja DPIA – mitä eroa niillä on ja miksi molemmat kannattaa tuntea?

Tekoäly ja uudet digitaaliset ratkaisut tuovat organisaatioille paljon mahdollisuuksia, mutta samalla ne lisäävät tarvetta arvioida riskejä. Erityisesti tekoälyn käyttöönoton myötä on puhuttu yhä enemmän kahdesta lakisääteisestä arviointityökalusta: DPIA ja FRIA. Molemmat ovat vaikutustenarviointeja, mutta niiden näkökulmat eroavat toisistaan. Ymmärtämällä, mitä nämä lyhenteet tarkoittavat, organisaatio voi paremmin hallita sekä sääntelyyn liittyviä velvoitteita että käytännön riskejä.

DPIA – tietosuojaa koskeva vaikutustenarviointi

DPIA (Data Protection Impact Assessment) perustuu EU:n yleisen tietosuoja-asetuksen eli GDPR:n 35 artiklaan. Arviointi on pakollinen aina, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille. Käytännössä tämä tarkoittaa esimerkiksi uusien teknologioiden käyttöönottoa tai tilanteita, joissa käsitellään laajamittaisesti erityisiä henkilötietoryhmiä.

DPIA:ssa selvitetään muun muassa, mitä tietoja kerätään, miksi niitä käsitellään, millaisia riskejä käsittelyyn liittyy ja miten nämä riskit hallitaan. Arviointi dokumentoi myös ne tekniset ja organisatoriset toimenpiteet, joilla riskejä pyritään vähentämään. Hyvin tehty DPIA on ennen kaikkea käytännön työkalu: sen avulla organisaatio voi osoittaa, että henkilötietojen käsittely on suunniteltu huolellisesti ja että yksilöiden oikeuksia sekä henkilötietojen suojaa kunnioitetaan.

FRIA – perusoikeusvaikutusten arviointi

FRIA (Fundamental Rights Impact Assessment) on puolestaan tekoälyasetukseen eli AI Actiin liittyvä arviointivelvoite. Erityisesti julkisen sektorin toimijoille FRIA on olennainen, sillä tekoälyn käyttö viranomaistoiminnassa voi vaikuttaa suoraan yksilön perusoikeuksiin.

FRIA:ssa tarkastellaan esimerkiksi sitä, onko tekoälyratkaisulla vaikutusta yhdenvertaisuuteen, syrjimättömyyteen, oikeusturvaan tai sananvapauteen. Arviointi kysyy, mitä seurauksia tekoälyjärjestelmän käytöstä voi aiheutua kansalaisille ja miten mahdollisia haittoja voidaan ennaltaehkäistä. Kyse on siis laajemmasta näkökulmasta kuin tietosuojan vaikutustenarvioinnissa: FRIA kohdistuu siihen, miten teknologian käyttö vaikuttaa ihmisten oikeuksiin ja miten mahdollisia riskejä voidaan minimoida.

DPIA ja FRIA rinnakkain

Monissa tekoälyhankkeissa tarvitaan sekä DPIA että FRIA. Ne eivät ole päällekkäisiä, vaan täydentävät toisiaan. Esimerkiksi jos kunta ottaa käyttöön tekoälyjärjestelmän oppilaitoksessa, DPIA arvioi, miten oppilaiden/opiskelijoiden henkilötietoja käsitellään ja suojataan. FRIA puolestaan arvioi, millaisia vaikutuksia järjestelmän käyttöönotolla on perusoikeuksien toteutumiselle ja miten organisaatiossa toteutetaan mahdolliset valitusmekanismit.

Kun arvioinnit tehdään rinnakkain, organisaatio saa kokonaiskuvan sekä tietosuojan että laajemman perusoikeusnäkökulman riskeistä. Näin vältetään päällekkäisyydet, mutta samalla varmistetaan, ettei mikään olennainen näkökulma jää huomiotta.

Kolme askelta alkuun

Ensimmäinen askel on tunnistaa, milloin arviointi on tarpeen. DPIA on pakollinen, kun henkilötietojen käsittely aiheuttaa korkean riskin. FRIA taas on tekoälyasetuksen mukainen velvoite erityisesti julkisella sektorilla. Esimerkiksi kunta voi olla velvollinen laatimaan FRIA:n ja DPIA:n yhtä aikaa silloin, kun se ottaa käyttöön suuririskistä tekoälyjärjestelmää, jota käytetään opiskelijavalinnoissa tai arvioitaessa oppimistuloksia.

Toinen askel on koota arvioinnin tekijöiksi monialainen tiimi. Pelkkä juridiikan asiantuntemus ei riitä, vaan mukaan tarvitaan myös tietosuojan, tietohallinnon ja toiminnan käytännön tuntijoita. Joskus voi olla tarpeen osallistaa myös niitä henkilöryhmiä, joihin tekoälyjärjestelmä vaikuttaa.

Kolmas askel on huolellinen dokumentointi. Arviointi ei ole pelkkä raportti viranomaisille, vaan se toimii organisaation omana työkaluna riskien hallintaan ja läpinäkyvyyden lisäämiseen.

Yhteenveto

DPIA ja FRIA ovat molemmat tärkeitä, mutta eri asioihin keskittyviä arviointeja. DPIA varmistaa, että henkilötietojen käsittely on turvallista ja GDPR:n mukaista. FRIA taas tuo esiin laajemmat perusoikeusvaikutukset ja tukee eettisesti kestävää tekoälyn käyttöä. Kun molemmat arvioinnit tehdään, organisaatio voi olla varma siitä, että se täyttää lakisääteiset velvoitteet ja samalla rakentaa luottamusta asiakkaisiin, kansalaisiin ja sidosryhmiin.

Lex Futura auttaa organisaatioita toteuttamaan sekä DPIA- että FRIA-arvioinnit käytännönläheisesti, selkeästi ja kunkin toimijan erityistarpeet huomioiden.