27 artikla — Perusoikeuksiin kohdistuvan vaikutuksen arviointi korkean riskin tekoälyjärjestelmille (EU:n tekoälysäädös)

Asetuksen (EU) 2024/1689 27 artikla — Perusoikeuksiin kohdistuvan vaikutuksen arviointi korkean riskin tekoälyjärjestelmille. Virallinen teksti, käytännön tulkinta, keskeiset velvoitteet ja vaatimustenmukaisuuden vaikutukset.

Virallisen tekstin yhteenveto

Asetuksen (EU) 2024/1689 27 artikla velvoittaa tietyt korkean riskin tekoälyjärjestelmien käyttöönottajat suorittamaan perusoikeuksiin kohdistuvan vaikutuksen arvioinnin (FRIA) ennen tällaisten järjestelmien käyttöönottoa. Velvoite koskee käyttöönottajia, jotka ovat direktiivissä 2014/24/EU määriteltyjä julkisoikeudellisia elimiä, sekä käyttöönottajia, jotka ovat yksityisiä tahoja, jotka tarjoavat julkisluonteisia palveluja — erityisesti pankkipalvelujen, vakuutusten, terveydenhuollon, koulutuksen ja ammatillisen koulutuksen, työllistymisen ja työntekijöiden hallinnan sekä kriittisen infrastruktuurin hallinnon aloilla.

Arviointi on suoritettava ennen käyttöönottoa ja sen on katettava seuraavat seikat: kuvaus käyttöönottajan prosesseista, joissa korkean riskin tekoälyjärjestelmää käytetään, ja niiden tarkoitus; todennäköisesti vaikutuksen alaiseksi joutuvien luonnollisten henkilöiden ryhmät; käytöstä mahdollisesti aiheutuvat perusoikeusriskit; käyttöönottajan suunnittelemat konkreettiset lieventämistoimenpiteet; maininta siitä, onko valitus- tai muutoksenhakumekanismeja olemassa; sekä tapauksen mukaan kuvaus lasten oikeuksiin kohdistuvista vaikutuksista.

Velvoitteen piiriin kuuluvien käyttöönottajien on myös ilmoitettava asianomaiselle markkinavalvontaviranomaiselle ennen liitteessä III lueteltuihin tiettyihin korkean riskin tekoälyjärjestelmien luokkiin kuuluvien järjestelmien käyttöönottoa. Arvioinnin on perustuttava tarjoajan 13 artiklan nojalla toimittamiin tietoihin, ja se on dokumentoitava ja pidettävä toimivaltaisten viranomaisten saatavilla.

Mitä tämä tarkoittaa käytännössä

Soveltamisalaan kuuluville organisaatioille 27 artikla edellyttää jäsenneltyä, dokumentoitua prosessia ennen kuin mikään korkean riskin tekoälyjärjestelmä otetaan käyttöön. Kyse ei ole kertaluonteisesta rastittamisharjoituksesta — FRIA:n on vastattava todellista käyttöönottokontekstia, ja se on tarkistettava, kun tämä konteksti muuttuu olennaisesti.

Julkisen sairaalan, joka ottaa käyttöön tekoälyavusteisen diagnostiikka- tai triagejärjestelmän, on arvioitava, mitkä potilasryhmät saattavat joutua suhteettomasti vaikutusten alaisiksi, mitkä oikeudet ovat vaarassa (ihmisarvo, syrjimättömyys, pääsy terveydenhuoltoon) ja mitä suojatoimia on olemassa, jos järjestelmä tuottaa virheellisiä suosituksia. Paikallisviranomaisen, joka käyttää tekoälyjärjestelmää etuuksien saamisen oikeuden tarkistamiseen, on tunnistettava sosiaalisen suojelun oikeuteen ja oikeusturvaan kohdistuvat riskit sekä dokumentoitava, miten inhimillinen valvonta toimii käytännössä.

Yksityiset tahot, jotka tarjoavat julkisesti saatavilla olevia rahoituspalveluja — kuten luottoluokitus- tai vakuutuksen merkintäalustat — kuuluvat soveltamisalaan, jos ne täyttävät liitteen III korkean riskin järjestelmien käyttöönottajien edellytykset. Fintech-yrityksen, joka käyttää tekoälymallia lainahakemusten arviointiin, on kartoitettava algoritmisille päätöksille altistuvat demografiset ryhmät, arvioitava syrjivien tulosten riski ja luotava dokumentoitu muutoksenhakupolku.

Käytännössä käyttöönottajien tulisi sisällyttää FRIA olemassa oleviin tietosuojavaikutusten arviointia (DPIA) koskeviin työnkulkuihinsa tietosuoja-asetuksen nojalla silloin kun se on asianmukaista, koska artiklan 27 kohta 4 sallii nimenomaisesti molempien arviointien suorittamisen yhdessä. Organisaatioiden tulisi nimetä arviointivastaava, käyttää tarjoajan teknistä dokumentaatiota ja käyttöohjeita syötetietoina sekä luoda versionhallittu kirjanpito, joka voidaan toimittaa valvontaviranomaisille pyydettäessä.

Keskeiset velvoitteet

Suorittaa perusoikeuksiin kohdistuvan vaikutuksen arviointi ennen käyttöönottajan soveltamisalaan kuuluvan korkean riskin tekoälyjärjestelmän käyttöönottoa kattaen käyttötarkoituksen, asianomaiset henkilöt, tunnistetut riskit ja suunnitellut lieventämistoimenpiteet.
Dokumentoida arviointi kirjallisesti ja säilyttää se toimivaltaisten viranomaisten ja markkinavalvontaviranomaisten tarkastettavaksi pyydettäessä.
Ilmoittaa asianomaiselle markkinavalvontaviranomaiselle ennen käyttöönottoa, kun liitteessä III mainittu korkean riskin tekoälyjärjestelmän erityinen luokka sitä edellyttää.
Käyttää tekoälyjärjestelmän tarjoajan artiklan 13 nojalla toimittamia tietoja ja käyttöohjeita arvioinnin pakollisena syötetietona.
Päivittää arviointi, kun käyttöönottokonteksti muuttuu merkittävästi, mukaan lukien muutokset vaikutuksen alaisiksi joutuvien henkilöiden luokissa, käyttötarkoituksessa tai järjestelmän riskiprofiilissa.
Jos myös tietosuoja-asetuksen 35 artiklan mukainen tietosuojavaikutusten arviointi vaaditaan, molemmat arvioinnit voidaan suorittaa yhdessä hallinnollisen taakan vähentämiseksi edellyttäen, että molempien kaikki seikat katetaan.

Suhde muihin artikloihin

Artikla 27 sijaitsee III osaston 3 luvussa, jossa jaetaan velvoitteet tarjoajien ja käyttöönottajien kesken. Se on luettava yhdessä artiklan 26 (käyttöönottajien velvoitteet yleisesti) kanssa, jossa säädetään käyttöönottajien yleisestä velvoitteesta käyttää korkean riskin järjestelmiä tarjoajan ohjeiden mukaisesti ja toteuttaa inhimillistä valvontaa. FRIA perustuu suoraan tietoihin, jotka tarjoajan on toimitettava artiklan 13 (avoimuus ja tietojen toimittaminen käyttöönottajille) ja artiklan 16 d alakohdan (tarjoajan velvoite laatia tekninen dokumentaatio) nojalla.

Artiklan 27 kohta 4 luo suoran menettelyllisen yhteyden tietosuoja-asetukseen: kun asetuksen (EU) 2016/679 artiklan 35 mukainen DPIA on myös vaadittu, molemmat arvioinnit voidaan yhdistää. Tämä yhteys on erityisen merkityksellinen käyttöönottajille, jotka käsittelevät henkilötietoja, mikä on tilanne useimmissa liitteen III kattamissa säännellyissä yhteyksissä.

Artikla 27 liittyy myös artiklaan 72 (markkinavalvonta) ja artiklaan 74 (pääsy tietoihin), koska valmis arviointi on oltava valvontatehtäviä harjoittavien toimivaltaisten viranomaisten saatavilla.

Vaatimustenmukaisuuden aikataulu

EU:n tekoälysäädös tuli voimaan 1. elokuuta 2024 (kaksikymmentä päivää julkaisemisen jälkeen virallisessa lehdessä 12. heinäkuuta 2024). Sen säännöksiä sovelletaan vaiheittain:

2. helmikuuta 2025 — Kiellettyihin tekoälykäytäntöihin kohdistuvat kiellot (artikla 5) tulivat sovellettaviksi.
2. elokuuta 2025 — Yleiskäyttöisiä tekoälymalleja koskevat velvoitteet (VIII osasto, 2 luku) ja hallintosäännökset tulivat sovellettaviksi.
2. joulukuuta 2026 — Liitteessä I lueteltuihin korkean riskin tekoälyjärjestelmiin (tuoteturvallisuuslainsäädäntö) kohdistuvat velvoitteet tulevat sovellettaviksi.
2. elokuuta 2027 — Liitteessä III lueteltuihin korkean riskin tekoälyjärjestelmiin (itsenäiset korkean riskin järjestelmät, mukaan lukien ne, joiden osalta artiklan 27 mukainen FRIA todennäköisimmin käynnistyy työllistymisen, koulutuksen, biometrisen tunnistamisen ja julkisten palveluiden saatavuuden kaltaisilla aloilla) kohdistuvat velvoitteet tulevat sovellettaviksi.

Artikla 27 kuuluu korkean riskin järjestelmien käyttöönottajien velvoitekehykseen ja tulee siten täytäntöönpanokelpoiseksi 2. elokuuta 2027 liitteen III järjestelmien osalta ja 2. joulukuuta 2026 liitteen I järjestelmien osalta. Käyttöönottajien ei tule odottaa näihin määräaikoihin: FRIA-prosessien rakentaminen nyt antaa organisaatioille mahdollisuuden tunnistaa ja korjata perusoikeusriskit ennen täytäntöönpanon alkamista sekä sovittaa arvioinnit yhteen käynnissä olevien tietosuoja-asetuksen mukaisten DPIA-ohjelmien kanssa.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kenen on suoritettava perusoikeuksiin kohdistuvan vaikutuksen arviointi 27 artiklan nojalla?

27 artikla koskee erityisesti korkean riskin tekoälyjärjestelmien käyttöönottajia, jotka ovat julkisoikeudellisia elimiä direktiivin 2014/24/EU mukaisesti, sekä käyttöönottajia, jotka ovat yksityisiä tahoja, jotka tarjoavat julkisluonteisia palveluja — erityisesti pankkipalvelujen, vakuutusten, terveydenhuollon, koulutuksen ja ammatillisen koulutuksen, työllistymisen ja työntekijöiden hallinnan sekä kriittisen infrastruktuurin hallinnon aloilla. Velvoite ei koske kaikkia käyttöönottajia — puhtaasti kaupallisissa yhteyksissä ilman julkisen palvelun ulottuvuutta toimivat yksityiset yritykset ovat yleisesti ottaen tämän erityisen velvoitteen soveltamisalan ulkopuolella, vaikka niillä on muita käyttöönottajavelvoitteita tekoälysäädöksen nojalla.

Milloin perusoikeuksiin kohdistuvan vaikutuksen arviointi on suoritettava?

Arviointi on suoritettava ennen korkean riskin tekoälyjärjestelmän käyttöönottoa. Se on ennakkovelvoite, mikä tarkoittaa, että käyttöönottajan on suoritettava ja dokumentoitava arviointi ennen järjestelmän käyttöönottoa. Sitä on päivitettävä, kun käyttöönottokontekstissa tai järjestelmän käytössä tapahtuu merkittäviä muutoksia.

Mitä eroa on 27 artiklan FRIA:lla ja 43 artiklan mukaisella vaatimustenmukaisuuden arvioinnilla?

43 artiklan mukaisen vaatimustenmukaisuuden arvioinnin suorittaa tarjoaja tai tarjoajan puolesta kolmas osapuoli varmistaakseen, että tekoälyjärjestelmä täyttää 2 luvun tekniset vaatimukset ennen markkinoille saattamista. 27 artiklan mukaisen FRIA:n suorittaa käyttöönottaja arvioidakseen konkreettista vaikutusta perusoikeuksiin tietyssä käyttöönottokontekstissa. Ne täydentävät toisiaan: vaatimustenmukaisuuden arviointi käsittelee järjestelmän sisäistä vaatimustenmukaisuutta, kun taas FRIA käsittelee tosielämän vaikutuksia yksilöihin tietyssä käyttötapauksessa.

Edellyttääkö 27 artikla ulkoisia tarkastajia vai voidaanko se suorittaa sisäisesti?

27 artikla ei nimenomaisesti edellytä ulkoista tarkastusta. Arviointi voidaan suorittaa käyttöönottajan toimesta sisäisesti. Käyttöönottajien on kuitenkin tietyissä tapauksissa ilmoitettava asianomaiselle markkinavalvontaviranomaiselle ennen käyttöönottoa, ja dokumentoitu arviointi on saatettava toimivaltaisten viranomaisten saataville pyydettäessä. Ulkopuolisen asiantuntemuksen hyödyntäminen on parhaiden käytäntöjen mukaista, erityisesti monimutkaisissa tai arkaluonteisissa käyttöönottokonteksteissa.

Mitä tietoja tarjoajalta käyttöönottajan on käytettävä FRIA:n suorittamisessa?

Käyttöönottajien on käytettävä tarjoajan 13 artiklan (avoimuus ja tietojen toimittaminen) nojalla asettamia tietoja ja käyttöohjeita. Tarjoajien on toimitettava riittävät tiedot järjestelmän suunnitellusta käyttötarkoituksesta, ominaisuuksista, rajoituksista ja riskeistä, jotta käyttöönottajat voivat suorittaa merkityksellisen perusoikeusvaikutusten arvioinnin.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.