Mitä yhteistä on DPIAlla ja FRIAlla?

Mitä yhtäläisyyksiä DPIAlla ja FRIAlla on?

Tekoälysäädös edellyttää, että suuririskisiä tekoälyjärjestelmiä käyttävien organisaatioiden on suoritettava perusoikeusvaikutustenarviointi (FRIA) ennen niiden käyttöönottoa. Perusoikeusvaikutustenarvioinnin tarkoituksena on tunnistaa ennakolta riskit niille luonnollisille henkilöille, joihin tekoälyjärjestelmän käyttö todennäköisesti vaikuttaa. Perusoikeusvaikutustenarvioinnilla on yhtäläisyyksiä GDPR:n mukaisen tietosuojaa koskevan vaikutustenarvioinnin (DPIA) kanssa. Jotta vältetään päällekkäistä työtä, mutta varmistetaan, että tekoälyjärjestelmät tulevat arvioiduiksi huolellisesti, on hyvä ymmärtää mitä eroja ja yhtäläisyyksiä GDPR:n DPIAlla ja Tekoälysäädöksen FRIAlla on.

Mikä on perusoikeusvaikutustenarviointi (FRIA)?

Perusoikeusvaikutustenarviointia ei ole erikseen määritelty Tekoälysäädöksen 3 artiklassa, mutta johdannon (96) mukaan Perusoikeuksia koskevan vaikutustenarvioinnin tavoitteena on, että käyttöönottaja tunnistaa niiden yksilöiden tai henkilöryhmien oikeuksiin kohdistuvat erityiset riskit, joihin vaikutukset todennäköisesti kohdistuvat, ja määrittää toimenpiteet, jotka on toteutettava tällaisten riskien toteutuessa.

FRIAn tarkoittaa siis käytännössä riskiarviointia, joka kohdistuu luonnollisten henkilöiden perusoikeuksiin. Muistettakoon, että myös DPIAa on kutsuttu joissain yhteyksissä nimityksellä 'Fundamental Rights Impact Assessment', sillä GDPR edellyttää siinä arvioimaan 'rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä'.

Milloin FRIA tulee tehdä?

Tekoälysäädöksen 27 artiklan 1 kohdan mukaan julkisen sektorin käyttöönottajat, jotka ottavat käyttöön suuririskisiä tekoälyjärjestelmiä, sekä muut käyttöönottajat, kun käyttöönotto kohdistuu Tekoälysäädöksen liitteen III kohdan 5 b ja c alakohdassa tarkoitettuihin käyttötapauksiin (Luottokelpoisuuden arviointi tai riskiarviointi ja hinnoittelu sairaus- ja henkivakuutusten tapauksissa) tulee tehdä perusoikeuksia koskeva vaikutustenarviointi ennen tekoälyjärjestelmän käyttöönottoa. Edelleen, tekoälysäädöksen johdannon (96) mukaan tällaista arviointia tulee päivittää, kun tekoälyjärjestelmässä tai sen käytössä tapahtuu muutoksia.

Vaatimus perusoikeusvaikutustenarvioinnin tekemisestä on siis selkeämpi, kuin GDPR:n vaatimus tietosuojaa koskevan vaikutustenarvioinnin tekemisestä. GDPR jättää enemmän tulkinnanvaraa rekisterinpitäjille siitä, milloin henkilötietojen käsittely todennäköisesti johtaa korkeisiin riskeihin.

Tuleeko DPIA tehdä kaikkiin tekoälyjärjestelmiin?

GDPR:n 35 artiklan mukaan tietosuojaa koskeva vaikutustenarviointi tulee tehdä silloin, kun henkilötietojen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti johtaa rekisteröityjen näkökulmasta korkeisiin riskeihin. DPIA vaaditaan erityisesti tilanteissa, joissa rekisteröityjen henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti, käsitellään laajamittaisesti GDPR 9 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä tai 10 artiklassa tarkoitettuja rikostuomioita tai rikkomuksia koskevia tietoja sekä silloin kun yleisölle avointa aluetta valvotaan laajamittaisesti.

Tietosuojatyöryhmä on laatinut ohjeen sen arviointiin, liittyykö henkilötietojen käsittelyyn todennäköisesti korkea riski. Ohjeessa luetellaan erilaisia kriteerejä, joiden täyttyessä korkea riski tulee todennäköisesti kyseeseen. Tekoälyjärjestelmien kohdalla erityisesti uuden teknologian innovatiivinen käyttö, henkilötietojen käsittely laajamittaisesti, henkilötietoja sisältävien tietokokonaisuuksien yhdistely sekä automaattinen päätöksenteko ovat kriteereitä, jotka viittaavat korkean riskin olemassaoloon ja täten tietosuojan vaikutustenarvioinnin tekemiseen.

Kaikkiin tekoälyjärjestelmiin ei kuitenkaan liity lainkaan henkilötietojen käsittelyä. Näin ollen DPIAa ei tarvitse tehdä jokaiseen tekoälyjärjestelmään. Ottaen kuitenkin huomioon sen, että suuririskiset tekoälyjärjestelmät liittyvät käytännössä aina henkilötietojen käsittelyyn (joitain poikkeuksia löytyy, kuten kriittisen infrastruktuurin turvakomponentit), voitaneen sanoa, että tietosuojan vaikutustenarviointi on suositeltavaa tehdä kaikkien suuririskisten tekoälyjärjestelmien kohdalla.

Täyttääkö DPIA FRIAn vaatimukset?

Tekoälysäädöksen 27 artiklan 4. kohdan perusteella GDPR:n mukainen tietosuojaa koskeva vaikutustenarviointi (DPIA) auttaa täyttämään osan niistä vaatimuksista, jotka koskevat suuririskisiin tekoälyjärjestelmiin tehtävään perusoikeusvaikutustenarviointia (FRIA).

GDPR 35 artiklan mukaan tietosuojaa koskevan vaikutustenarvioinnin tulee sisältää

  1. järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista;
  2. arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;
  3. arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja
  4. suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

Tekoälysäädöksen 27 artiklan mukaan perusoikeusvaikutustenarvioinnin tulee sisältää

  1. kuvaus käyttöönottajan prosesseista, joissa suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti;
  2. kuvaus ajanjaksosta, jonka kuluessa kutakin suuririskistä tekoälyjärjestelmää on tarkoitus käyttää, ja kuinka usein;
  3. niiden luonnollisten henkilöiden ja ryhmien luokat, joihin järjestelmän käyttö todennäköisesti vaikuttaa;
  4. erityiset sellaisen haitan riskit, joka todennäköisesti kohdistuu tämän kohdan c alakohdan mukaisesti yksilöityihin luokkiin kuuluviin luonnollisiin henkilöihin tai henkilöryhmiin;
  5. kuvaus ihmisen suorittamien valvontatoimenpiteiden toteuttamisesta käyttöohjeiden mukaisesti;
  6. toimenpiteet, jotka on toteutettava kyseisten riskien toteutuessa, mukaan lukien sisäistä hallintoa ja valitusmekanismeja koskevat järjestelyt

Hyvin toteutettuna DPIAn järjestelmällinen kuvaus voi sisältää tarvittavat tiedot perusoikeusvaikutustenarvioinnin vaatimuksia 'käyttöönottajan prosesseista' sekä 'ajanjaksosta, jonka kuluessa tekoälyjärjestelmää on tarkoitus käyttää'. DPIA jää todennäköisesti kuitenkin puutteelliseksi riskien osalta, sillä DPIAssa huomioidaan vain rekisteröidyt, eli ne henkilöt, joiden henkilötietoja tekoälyjärjestelmässä käsitellään. Tekoälysäädös on tätä laajempi, siinä perusoikeusvaikutustenarvioinnissa tulee huomioida kaikki ne luonnolliset henkilöt, joihin tekoälyjärjestelmän käyttö todennäköisesti vaikuttaa. Tämä joukko voi siis käsittää myös sellaisia henkilöitä, joiden henkilötietoja ei käsitellä. DPIAn riskiarviossa ei näin ollen välttämättä huomioida kaikkia tekoälysäädöksen edellyttämiä riskejä. Edelleen DPIAssa ei todennäköisesti kuvata ihmisten suorittamien valvontatoimien toteuttamista.

Lopuksi

Vaikka DPIA ja FRIA sisältävät paljon samoja vaatimuksia, ne kuitenkin eroavat toisistaan. Tekoälyjärjestelmään tehtävään DPIAan kannattaa sisällyttää kattava 'järjestelmällinen kuvaus henkilötietojen käsittelystä', sillä sitä voidaan hyödyntää Tekoälysäädöksen 27 artiklan 4. kohdan mukaisesti FRIAssa. Järjestelmällisen kuvaukseen kannattaa siis sisällyttää kuvaus prosesseista, joissa tekoälyjärjestelmää hyödynnetään, ajanjaksot jolloin hyödyntäminen tapahtuu sekä kaikki ne muut luonnolliset henkilöt, joihin tekoälyjärjestelmän käyttö voi todennäköisesti vaikuttaa. Näin tehtynä myös tietosuojan vaikutustenarvioinnin laatu paranee, sillä riskien ja vaatimustenmukaisuuden arviointi on sitä helpompaa, mitä ymmärrettävämmin tekoälyjärjestelmän toiminta on kuvattu.

Haluatko nähdä PrivacyDesigner ohjelmiston käytännössä?

Captcha Code