Source: OJ L, 2024/1689, 12.7.2024

Artikel 27 Konsekvensbedömning avseende grundläggande rättigheter när det gäller AI-system med hög risk

Summary What does Article 27 of the AI act regulation say?

This article imposes a pre-deployment obligation on a specific subset of deployers of high-risk AI systems — namely, public law bodies, private entities providing public services, and deployers of certain employment and credit-related systems listed in Annex III — to conduct a fundamental rights impact assessment before putting a high-risk AI system into use.

The assessment must cover the deployment context, the affected persons, the risks of harm, the human oversight arrangements, and the measures in place should those risks materialise.

The results must then be notified to the relevant market surveillance authority.

Notably, the article links to the broader GDPR framework, specifying that where a data protection impact assessment has already been conducted, this assessment must complement rather than replace it.

Important points:

Conduct a fundamental rights impact assessment before first deploying a covered high-risk AI system, and update it if circumstances change during use.
The obligation applies specifically to deployers that are public law bodies, private entities providing public services, or deployers of certain Annex III systems — not all deployers.
The AI Office is required to develop a questionnaire template to help deployers complete the assessment.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Innan ett AI-system med hög risk som avses i artikel 6.2, med undantag för AI-system med hög risk som är avsedda att användas inom det område som anges i punkt 2 i bilaga III, införs ska tillhandahållare som är offentligrättsliga organ eller som är privata enheter som tillhandahåller offentliga tjänster, och tillhandahållare av AI-system med hög risk som avses i punkt 5 b och c i bilaga III, göra en bedömning av den inverkan på grundläggande rättigheter som användningen av ett sådant system kan ge upphov till. För detta ändamål ska tillhandahållare göra en bedömning bestående av följande:
  1. En beskrivning av tillhandahållarens processer där AI-systemet med hög risk kommer att användas i linje med dess avsedda ändamål.
  2. En beskrivning av den tidsperiod inom vilken och den frekvens med vilken varje AI-system med hög risk är avsett att användas.
  3. De kategorier av fysiska personer och grupper som sannolikt kommer att påverkas av användningen av systemet i det specifika sammanhanget.
  4. De specifika risker för skada som sannolikt kommer att påverka de kategorier av fysiska personer eller grupper av personer som har identifierats enligt led c i denna punkt, med beaktande av den information som leverantören har tillhandahållit enligt artikel 13.
  5. En beskrivning av genomförandet av åtgärder för mänsklig kontroll, i enlighet med bruksanvisningen.
  6. De åtgärder som ska vidtas om dessa risker förverkligas, inbegripet arrangemangen för intern styrning och klagomålsmekanismer.
1. Den skyldighet som fastställs i punkt 1 gäller för den första användningen av AI-systemet med hög risk. Tillhandahållaren får i liknande fall förlita sig på tidigare genomförda konsekvensbedömningar avseende grundläggande rättigheter eller befintliga konsekvensbedömningar som har utförts av leverantören. En tillhandahållare som under användningen av AI-systemet med hög risk anser att något av de element som anges i punkt 1 har ändrats eller inte längre är aktuellt ska vidta nödvändiga åtgärder för att uppdatera informationen.
1. När den bedömning som avses i punkt 1 i denna artikel har utförts ska tillhandahållaren underrätta marknadskontrollmyndigheten om sina resultat, inbegripet lämna in den ifyllda mall som avses i punkt 5 i denna artikel som en del av underrättelsen. I det fall som avses i artikel 46.1 får tillhandahållare undantas från den underrättelseskyldigheten.
1. Om någon av de skyldigheter som fastställs i denna artikel redan uppfylls genom den konsekvensbedömning avseende dataskydd som genomförs enligt artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680, ska den konsekvensbedömning avseende grundläggande rättigheter som avses i punkt 1 i den här artikeln komplettera den konsekvensbedömningen avseende dataskydd.
1. AI-byrån ska utarbeta en mall för ett frågeformulär, inbegripet genom ett automatiserat verktyg, för att underlätta för tillhandahållare att på ett förenklat sätt fullgöra sina skyldigheter enligt denna artikel.

Relevant recitals

Skäl 93 Role of deployers in ensuring that fundamental rights are protected

Risker med anknytning till AI-system kan ha att göra med hur systemen utformas, men de kan även härröra från hur dessa AI-system används. Tillhandahållare av AI-system med hög risk spelar därför en avgörande roll när det gäller att säkerställa att grundläggande rättigheter skyddas, och kompletterar leverantörens skyldigheter vid utvecklingen av AI-systemet. Tillhandahållare har bäst förutsättningar att förstå hur AI-system med hög risk kommer att användas i praktiken och kan därför fastställa potentiella risker som inte har förutsetts under utvecklingsfasen, tack vare mer exakt kunskap om sammanhanget för användningen och de personer eller grupper av personer som sannolikt kommer att påverkas, däribland sårbara grupper. Tillhandahållare av AI-system med hög risk som förtecknas i en bilaga till denna förordning spelar också en avgörande roll när det gäller att informera fysiska personer och bör när de fattar beslut eller hjälper till att fatta beslut som rör fysiska personer i förekommande fall informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög risk. Denna information bör omfatta det avsedda ändamålet och typen av beslut som det fattar. Tillhandahållaren bör också informera fysiska personer om deras rätt till en förklaring enligt denna förordning. När det gäller AI-system med hög risk som används för brottsbekämpande ändamål bör denna skyldighet genomföras i enlighet med artikel 13 i direktiv (EU) 2016/680.

Skäl 96 Fundamental rights impact assessment

För att effektivt säkerställa att grundläggande rättigheter skyddas bör tillhandahållare av AI-system med hög risk som är offentligrättsliga organ, eller privata enheter som tillhandahåller offentliga tjänster och tillhandahållare av vissa AI-system med hög risk som förtecknas i en bilaga till denna förordning, såsom bank- eller försäkringsenheter, genomföra en konsekvensbedömning avseende grundläggande rättigheter innan systemen tas i bruk. Tjänster som är viktiga för enskilda personer och som är av offentlig karaktär kan också tillhandahållas av privata enheter. Privata enheter som tillhandahåller offentliga tjänster är kopplade till uppgifter av allmänt intresse, såsom inom utbildning, hälso- och sjukvård, sociala tjänster, bostäder och rättsskipning. Syftet med konsekvensbedömningen avseende grundläggande rättigheter är att tillhandahållaren ska identifiera de specifika riskerna för rättigheterna för enskilda personer eller grupper av enskilda personer som sannolikt kommer att beröras och identifiera åtgärder som ska vidtas om dessa risker förverkligas. Konsekvensbedömningen bör göras innan AI-systemet med hög risk införs och bör uppdateras när tillhandahållaren anser att någon av de relevanta faktorerna har förändrats. Konsekvensbedömningen bör identifiera tillhandahållarens relevanta processer där AI-systemet med hög risk kommer att användas i linje med dess avsedda ändamål, och bör innehålla en beskrivning av den tidsperiod under vilken och den frekvens med vilken systemet är avsett att användas samt av specifika kategorier av fysiska personer och grupper som sannolikt kommer att påverkas i det specifika användningssammanhanget. Bedömningen bör också omfatta identifiering av särskilda risker för skada som sannolikt kommer att påverka dessa personers eller gruppers grundläggande rättigheter. Vid utförandet av denna bedömning bör tillhandahållaren beakta information som är relevant för en korrekt konsekvensbedömning, inbegripet men inte begränsat till den information som tillhandahålls av leverantören av AI-systemet med hög risk i bruksanvisningen. Mot bakgrund av de risker som identifierats bör tillhandahållare fastställa vilka åtgärder som ska vidtas om dessa risker förverkligas, inbegripet till exempel styrningsformer i det specifika användningssammanhanget, såsom arrangemang för mänsklig kontroll i enlighet med bruksanvisningen eller klagomålshanteringsförfaranden och prövningsförfaranden, eftersom de kan vara avgörande för att bidra till att begränsa riskerna för grundläggande rättigheter i konkreta användningsfall. Efter att ha utfört denna konsekvensbedömning bör tillhandahållaren underrätta den berörda marknadskontrollmyndigheten. För att samla in relevant information som är nödvändig för att utföra konsekvensbedömningen kan tillhandahållare av AI-system med hög risk, särskilt när AI-system används i den offentliga sektorn, involvera relevanta berörda parter, inbegripet företrädare för grupper av personer som sannolikt kommer att påverkas av AI-systemet, oberoende experter och organisationer i det civila samhället i genomförandet av sådana konsekvensbedömningar och utformningen av åtgärder som ska vidtas om riskerna förverkligas. Europeiska byrån för artificiell intelligens (AI-byrån) bör utarbeta en mall för ett frågeformulär för att underlätta efterlevnad och minska den administrativa bördan för tillhandahållare.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.