EU AI Act · Art. 27

Perusoikeuksiin kohdistuvien vaikutusten arviointi (FRIA)

Julkiset toimijat sekä pankit ja vakuutusyhtiöt: teidän on arvioitava, miten tekoälypäätökset vaikuttavat ihmisten perusoikeuksiin, ennen käyttöönottoa.

Sisältö tarkistettu2 min lukuaikaVoimaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä)Asetus (EU) 2024/1689Tarkistettu 30.5.2026

Mistä tässä on kyse

Jos olet pankki, vakuutusyhtiö tai julkinen toimija ja otat käyttöön korkean riskin tekoälyä, tämä velvoite on sinun, et voi ulkoistaa sitä järjestelmän toimittajalle. Perusoikeusvaikutusten arviointi (FRIA) tehdään ennen ensimmäistä käyttökertaa, ja siinä vastataan neljään kysymykseen: keitä päätökset koskevat, mitä haittaa niistä voi seurata, kuka valvoo ja miten vahinko korjataan. Toimittajan materiaali auttaa, mutta arvion omasta käyttötilanteestasi teet itse.

Perusoikeusvaikutusten arviointi eli FRIA on käyttöönottajan velvoite: ennen kuin otat korkean riskin tekoälyn käyttöön, sinun on arvioitava, miten se voi vaikuttaa niiden ihmisten perusoikeuksiin, joita sen päätökset koskevat. Velvoite koskee julkisoikeudellisia elimiä, julkisia palveluja tarjoavia yksityisiä toimijoita sekä luotonantoa ja henki- ja sairausvakuutusta tekoälyllä tekeviä.

Arvioinnissa kuvataan järjestelmän käyttötarkoitus, kuinka usein ja miten sitä käytetään, ketkä ihmisryhmät sen piiriin kuuluvat, mitä haitallisia vaikutuksia se voi aiheuttaa sekä miten ihmisvalvonta ja lievennystoimet on järjestetty. Jos olet jo tehnyt tietosuojaa koskevan vaikutustenarvioinnin (DPIA) samalle järjestelmälle, FRIA täydentää sitä eikä toista samoja asioita.

FRIA ennen käyttöönottoa
01Keitä koskeeKäyttötarkoitus ja ryhmät
02Mitä riskejäHaitalliset vaikutukset
03Lievennys ja valvontaToimet ja ihmisvalvonta
04DokumentoiEnnen käyttöä

Mitä laki vaatii, kohta kohdalta

Tee perusoikeusvaikutusten arviointi (FRIA): keitä järjestelmä koskee, mitä riskejä se aiheuttaa ja miten hallitset ne.

  1. §2Velvoite koskee järjestelmän ensimmäistä käyttöä; käyttöönottaja voi vastaavissa tapauksissa nojata aiempaan FRIA:an tai tarjoajan tekemään arviointiin, ja päivittää tiedot jos jokin 1 kohdan osa muuttuu
  2. §3Käyttöönottaja ilmoittaa arvioinnin tulokset markkinavalvontaviranomaiselle ja toimittaa Art. 27(5) mukaisen mallilomakkeen osana ilmoitusta (poikkeuksia lainvalvonta- ym. tilanteissa)
  3. §4DPIA-integraatio: jos DPIA tehty Art. 35 GDPR mukaisesti samalle järjestelmälle, FRIA täydentää (ei toista)
  4. §5AI-toimisto kehittää mallilomakkeen (kyselylomake, tarvittaessa automatisoitu työkalu) helpottamaan FRIA-velvoitteen täyttämistä yksinkertaistetusti
  5. §1.aJulkisoikeudellinen elin TAI yksityinen taho, joka tarjoaa julkisia palveluja
  6. §1.bLiite III kohta 5(b) luottokelpoisuus TAI 5(c) henki-/sairausvakuutus
  7. §1.cArviointi sisältää: käyttötarkoitus, käytön frekvenssi, koskettavat henkilöryhmät, riskit haitalliseen vaikutukseen, ihmisvalvonta, lievennystoimenpiteet
Velvoitteita sovelletaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä).

Usein kysytyt kysymykset

Koskeeko FRIA yksityistä yritystä?
Kyllä kahdessa tapauksessa: jos arvioit luottokelpoisuutta tai hinnoittelet henki- tai sairausvakuutuksia tekoälyllä, tai jos tarjoat julkisia palveluja. Muille yksityisille käyttöönottajille FRIA ei ole pakollinen, mutta vapaaehtoisena se on vahva due diligence -dokumentti.
Riittääkö GDPR:n DPIA, jonka teimme jo?
Ei sellaisenaan, mutta se auttaa: FRIA täydentää DPIA:ta eikä toista sitä. DPIA katsoo henkilötietojen käsittelyä, FRIA katsoo päätösten vaikutuksia perusoikeuksiin, syrjintään, oikeusturvaan, toimeentuloon.
Milloin FRIA pitää tehdä ja kuinka usein se päivitetään?
Ennen ensimmäistä käyttökertaa, ei käyttöönoton jälkeen. Sen jälkeen se päivitetään, kun jokin olennainen muuttuu: järjestelmä, käyttötapa tai kohderyhmä.
Tarvitsetko nämä asiakirjat valmiina?

pkai tuottaa tämän artiklan vaatimat asiakirjat (Perusoikeusarviointi (FRIA)) yrityksesi tiedoilla, noin 20 minuutissa.

Katso miten pkai auttaa →
Eemil Vanhanenpkai:n perustaja. Kirjoittaa nämä oppaat ja päivittää ne lain muuttuessa, tarkistussykli 3 kuukautta.
Lähde & tarkistus. Artiklan sisältö ja sanamuoto on käyty erikseen läpi EU:n virallista tekstiä vasten. Selitys on tiedoksi eikä korvaa oikeudellista arviota. Lue virallinen teksti EUR-Lexissä →
Näytä artiklan tarkka rakenneteksti

Ennen korkean riskin tekoälyjärjestelmän (lukuun ottamatta liitteen III kohdan 2 kriittisen infrastruktuurin järjestelmiä) käyttöönottoa perusoikeusvaikutusten arvioinnin (FRIA) tekevät: liitteen III mukaiset julkisoikeudelliset elimet ja julkisia palveluja tarjoavat yksityiset toimijat sekä liitteen III kohtien 5(b)-(c) (luottokelpoisuus, henki-/sairausvakuutus) käyttöönottajat. Arviointi kattaa: käyttöprosessin ja -tarkoituksen; käytön ajanjakson ja tiheyden; vaikutuksen kohteena olevat henkilöryhmät; erityiset haittariskit näille ryhmille; ihmisvalvontatoimenpiteet; ja toimet riskien toteutuessa. FRIA voi täydentää GDPR Art. 35 -arviointia.

Lue myös

Art. 26
Käyttöönottajien velvoitteet

Et tehnyt tekoälyä itse mutta otat sen käyttöön? Sinullakin on omat lakisääteiset velvoitt…

Art. 86
Oikeus saada selitys yksittäisestä päätöksestä

Jos liitteen III mukaisen korkean riskin tekoälyn tuotos on pohjana ihmistä koskevalle mer…

Art. 9
Riskienhallintajärjestelmä

Korkean riskin tekoälylle on oltava jatkuva, dokumentoitu prosessi, jolla tunnistat ja pie…

Art. 6
Korkean riskin tekoälyjärjestelmien luokittelusäännöt

Tämä ratkaisee, onko järjestelmäsi ”korkean riskin” ja sitä myötä koko dokumentaatiotaakka…

← Kaikki oppaat