Tekoälyn perusoikeusvaikutusten arviointi – Kuka, milloin ja miten? 

Uraauurtava, lajissaan ensimmäinen tekoälyn käyttöä suitsiva ja mahdollistava säädös on vihdoin elokuussa saatu EU:n sääntelykoneistosta hyväksyttynä ja lopullisena elävään elämään. Siirtymäkausi kohti tekoälysäädöksen soveltamista on siis hyvää vauhtia käynnissä. Ensimmäisiä velvoitteita on noudatettava helmikuussa 2025 ja koko säädöstä täysimittaisesti elokuussa 2026. Matkan varrella on luvassa säädöstekstin kylkeen kosolti lisää luettavaa. Kansallista täydentävää sääntelyä, viranomaisohjeita, lomakemalleja ja standardeja odotellaan.  

Siirtymäkauden aikana tekoälyjärjestelmien tarjoajien ja niiden käyttöönottajien tehtäviin ilmestyy lukuisia uusia vaatimuksia merkillisine nimine ja termeineen. Tässä kirjoituksessa aloitamme vaatimusten pureksimisen käytännön toimenpiteiksi tutustumalla perusoikeusvaikutusten arviointiin, tuttavallisemmin FRIA:an (fundamental impact rights assessment). 

Perusoikeusvaikutusten arviointi on tekoälysäädöksessä velvoittavaksi säädetty uusi riskiarviointi. Sen tavoitteena on tunnistaa, hallita ja pienentää tekoälyjärjestelmän käytön mahdollisia haitallisia vaikutuksia henkilöiden perusoikeuksiin.  

KUKA? - Arviointivelvoite koskee suuririskisten järjestelmien käyttöönottajia 

Arviointivelvoite koskee valtaosaa sellaisista suuririskistä järjestelmistä, jotka määritellään säädöksen liitteessä III. Erityisesti seuraavissa yhteyksissä ja toiminta-alueilla tekoälyä hyödynnettäessä on syytä avata kyseinen liite ja selvittää, osuuko arviointivelvoite omalle kohdalle: biometristen tunnisteiden hyödyntäminen, koulutus, työllistäminen, henkilöstöhallinto, välttämättömät yksityiset ja julkiset palvelut, lainvalvonta, muuttoliikkeen hallinta, turvapaikka-asiat ja rajavalvonta, oikeuden hoito sekä erinäiset demokraattiset prosessit, kuten vaalit ja kansanäänestykset.  

Arviointivelvoite on asetettu kyseisten suuririskisten tekoälyjärjestelmien käyttöönottajille, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluita tarjoavia yksityisiä yhteisöjä. Muita käyttöönottajia arviointivelvoite koskee vain, jos tekoälyjärjestelmä on tarkoitettu käytettäväksi luottokelpoisuuden arviointiin tai luottopisteytyksen määrittämiseen tai sairaus- ja henkivakuutusten riskiarviointiin ja hinnoitteluun. 

Vaikka velvoite on siis säädetty käyttöönottajien - ei tekoälyjärjestelmän tarjoajien - kontolle, arviointi edellyttää myös tarjoajilta hihojen käärimistä. Arvioinnin sisällössä nimittäin viitataan esimerkiksi tarjoajan laatimien käyttöohjeiden ja muun läpinäkyvyyttä edistävän dokumentaation huomioimiseen. Säädöksessä erikseen mainitaan, että käyttöönottajan arviointi voi pohjautua tarjoajan tekemään jo olemassa olevaan arviointiin, ja tällaisia tarjoajien laatimia arviointeja toivottavasti myös tullaan näkemään. Tarjoajalta arvioinnin laatiminen luonnistunee erityisesti, mikäli kyseessä on käyttötarkoitukseltaan ja -tavoiltaan selväpiirteinen ja ennaltamääritetty tekoälyjärjestelmä. 

MILLOIN? – Aikainen lintu ehtii tehdä korjausliikkeen 

Käyttöönottajien on tehtävä arviointi ennen tekoälyjärjestelmän käyttöönottoa. Velvoite koskee ensimmäistä käyttökertaa, mutta arviointia on muista riskiarvioinneista tuttuun tapaan päivitettävä, mikäli käytön aikana havaitaan, että arvioinnin jokin osa-alue on muuttunut tai ei ole enää ajantasalla.  

Arviointivelvoitteen soveltaminen alkaa vasta elokuussa 2026, mutta odotteluun ei kannata tuudittautua vaan asiat työstää vaatimustenmukaiseksi jo siirtymäajan tekoälyprojekteissa. Korjausliikkeiden tekeminen tai jopa tekoälyn käytön keskeyttäminen voi olla käytössä olevan järjestelmän kohdalla käytännössä mahdotonta tai huomattavan kallista. Mikäli korjattavaa löytyy, käytössä olevan järjestelmän arvioinnista liiketoimintapäätöksentekijän osaksi saattaa jäädä vain pureksia riskejä ja toivoa, etteivät ne realisoidu. 

MITEN? – Käyttöä, ei teknologiaa arvioiden 

Arviointiin tulee sisältyä tekoälyn vaikutuspiirissä olevien henkilöiden ja ryhmien määrittely, tekoälyä hyödyntävän prosessin kuvaus sekä käytön aikajänteen tiedot. Arvioinnissa on ennen kaikkea tunnistettava ja arvioitava tekoälyjärjestelmän käytöstä mahdollisesti aiheutuvia riskejä henkilöiden perusoikeuksille. Tämän lisäksi riskiarviossa on kuvattava ihmisen suorittaman tekoälyn valvonnan toteutus ja myös toimenpiteet, joihin riskien toteutuessa suunnitellaan ryhdyttävän.  

Selvää siis on, ettei arvioinnin keskiössä ole teknologia tai järjestelmä, vaan ennen kaikkea tekoälyn käyttötapa ja -yhteys sekä näiden myötä aiheutuvat vaikutukset kohteena olevien henkilöiden näkökulmasta tarkastellen. 

Arvioinnin suorittamisen jälkeen käyttöönottajan on ilmoitettava viranomaiselle sen tuloksista sekä täytettävä tekoälytoimiston tarjoama lomake ilmoituksen osana. Tätä arviointia ei voi näin ollen haudata omiin arkistoihin toivoen, että pelkkä prosessi itsessään riittää. 

Hyödynnä tietosuojaosaaminen ja päivitä työvälineet 

Tietosuojasääntelyn ansiosta useissa organisaatioissa on jo valmiiksi riskiarvioinnin ammattilaisia, joiden osaamisen ydinalueeseen kuuluu riskienarviointi teknologian käytön kohteena olevien henkilöiden näkökulmasta. Hyvä ensimmäinen yhteystaho monen organisaation tekoälyprojekteissa on tietosuoja-asiantuntija tai –vastaava - jonka avuksi on toki suositeltavaa tarvittaessa saada tekoälyn ja tekoälysäädöksen asiantuntijoita. 

Tekoälysäädöksestäkin voidaan päätellä, että perusoikeusvaikutusten arviointi ja tietosuojaa koskeva vaikutustenarviointi (data protection impact assessment, DPIA) ovat luontevasti yhdistettävissä, ja parhaimmillaan perusoikeusvaikutusten arviointi voidaan tehdä tietosuojan vaikutustenarviointia täydentämällä. Tietosuojasääntelyn nojalla on myös erittäin todennäköistä, että henkilötietoja käsiteltäessä tietosuojan vaikutustenarviointivelvoite on tekoälyn kohdalla käsillä, vaikkei perusoikeusvaikutusten arviointia tarvittaisikaan. 

Moni organisaatio kertookin jo ryhtyvänsä perusoikeusvaikutusten arviointeihin tietosuojaa koskevien vaikutustenarviointien lähtökohdista, siihen määriteltyjä prosesseja, ohjeita ja dokumenttimalleja hyödyntäen tai ehkäpä jo aiemmin tehtyjä valmiita tietosuojaa koskevia vaikutustenarviointeja vain täydentäen. Tämä ei ole lähtökohdaksi hassumpi, mutta ennen ensimmäisiin arviointeihin säntäämistä, on hyvä päivittää tekoälysäädöksen ja perusoikeuksien tuntemusta sekä katselmoida ja päivittää vaikutustenarviointia koskevat pohjat ja ohjeet.