Näin FRIA eli perusoikeusvaikutusten arviointi tehdään käytännössä

1. Arvioinnin kohteen määrittely

Perusoikeusvaikutusten arviointi (FRIA, Fundamental Rights Impact Assessment) on arviointi, jossa tarkastellaan, miten tekoälyjärjestelmä voi vaikuttaa yksilöiden perusoikeuksiin ennen sen käyttöönottoa tai käytön aikana. FRIA perustuu tekoälyasetuksen 28 artiklaan ja lakisääteisenä arviointityökaluna se koskee tietyissä tilanteissa organisaatioita, jotka ottavat käyttöön suuririskisiä tekoälyjärjestelmiä.

On kuitenkin keskeistä huomata, että kaikki suuririskiset tekoälyjärjestelmät eivät automaattisesti edellytä FRIA:n laatimista. Organisaation tulee siksi arvioida tapauskohtaisesti, onko arviointi tarpeen, ja dokumentoida tämä johtopäätös perusteluineen.

Tämä ennakollinen arviointi on olennainen osa vaatimustenmukaisuutta.

FRIA tulee yleisimmin vastaan julkishallinnossa, jossa tekoälyjärjestelmien käyttö kytkeytyy suoraan yksilöiden oikeuksiin, viranomaispäätöksiin ja hyvän hallinnon vaatimuksiin.

FRIA eli perusoikeusvaikutusten arviointi alkaa arvioinnin kohteen täsmällisestä määrittelystä. Tämä tarkoittaa käytännössä sitä, että käyttöönottajan on arvioitava ennen arviointityön aloittamista seuraavat asiat:

• mitä järjestelmä tekee (käyttötarkoitus)

• onko järjestelmä suuririskinen

• missä kontekstissa sitä käytetään (esim. julkishallinto, rekrytointi, koulutus, sosiaali- ja terveydenhuolto)

• ketä se koskee (potilaat, asiakkaat, opiskelijat, muut yksilöt)

Arvioinnin tulee kohdistua todelliseen käyttötapaukseen, sillä arviointi edellyttää konkreettista kuvausta prosesseista, joissa tekoälyjärjestelmää käytetään.

2. Vaikutusten ja riskien tunnistaminen

Seuraavaksi tunnistetaan, mihin perusoikeuksiin järjestelmä voi vaikuttaa. Keskeisiä tarkasteltavia oikeuksia ovat esimerkiksi:

• syrjimättömyys

• yksityiselämän suoja

• oikeusturva

• hyvä hallinto

Tässä vaiheessa ei riitä yleisluontoinen arvio. Vaikutukset tulee kuvata konkreettisesti. Millä tavalla järjestelmä voi tosiasiallisesti vaikuttaa yksilön asemaan kyseisissä prosesseissa? Millaisia riskejä käyttöönottoon ja käyttöön liittyy?

Erityistä huomiota tulee kiinnittää haavoittuviin ryhmiin, alaikäisiin sekä tilanteisiin, joissa järjestelmä vaikuttaa yksilön oikeuksiin, esimerkiksi päätöksenteon kautta.

3. Riskienhallintatoimenpiteet

FRIA ei pääty riskien tunnistamiseen. Keskeistä on kuvata, miten riskejä hallitaan ja minimoidaan. Tyypillisiä toimenpiteitä ovat:

• inhimillinen valvonta ja mahdollisuus puuttua päätöksiin

• järjestelmän toiminnan läpinäkyvyyden lisääminen

• käyttörajoitukset ja selkeät käyttötarkoitukset

• testaus ja auditointi

• koulutus ja ohjeistus käyttäjille

Toimenpiteiden tulee olla suhteessa tunnistettuihin riskeihin.

4. Dokumentointi ja päätelmät

FRIA tulee dokumentoida siten, että siitä käy ilmi:

• mitä on arvioitu

• mitä riskejä on tunnistettu

• mitä toimenpiteitä on päätetty toteuttaa

• miksi järjestelmän käyttöönottoa pidetään hyväksyttävänä

Dokumentoinnin tulee olla ymmärrettävää myös organisaation ulkopuoliselle arvioijalle, sillä arvioinnin tuloksista on ilmoitettava markkinavalvontaviranomaiselle. Suomessa tekoälyasetuksen osalta valvovia viranomaisia on useita.

Lopuksi

FRIA on käytännössä yhdistelmä oikeudellista arviointia, riskienhallintaa ja toiminnan ohjausta. Sen arvo syntyy siitä, että se kytketään osaksi todellista päätöksentekoa. Ei irralliseksi dokumentiksi. Usein FRIA kannattaa laatia yhdessä tietosuojaa koskevan vaikutustenarvioinnin eli DPIA:n kanssa.

Lex Futura auttaa organisaatioita FRIA-arviointien toteuttamisessa, yhdistämisessä DPIA-prosesseihin sekä muissa tekoälyjärjestelmien käyttöönoton juridisissa kysymyksissä. Varaa aika maksuttomaan alkukeskusteluun teidän tilanteen kartoittamiseksi.