Vad är skillnaden mellan en ”förhandsbedömning av betydande risker” i AI-förordningen och en ”konsekvensbedömning avseende dataskydd” i GDPR?
Enligt artikel 27.1 i AI-förordningen ska en så kallad förhandsbedömning av betydande risker (FRIA) göras innan högrisksystem börjar användas. Syftet med en FRIA är att analysera och bedöma det aktuella AI-systemets effekter på grundläggande fri- och rättigheter, för att sedan beskriva de åtgärder som vidtas utifrån identifierade risker som kan påverka dessa fri- och rättigheter.
Enligt artikel 35.1 i GDPR krävs en konsekvensbedömning avseende dataskydd före behandlingen om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Den syftar till att skydda information vid behandling av personuppgifter som kan leda till höga risker, och till att säkerställa att GDPR följs. Processen ger en fördjupad förståelse för den aktuella behandlingen, vilka risker den innebär för enskildas fri- och rättigheter, och de säkerhets- och skyddsåtgärder som krävs för att minska riskerna.
En FRIA enligt AI-förordningen och en konsekvensbedömning enligt GDPR kan i vissa delar överlappa varandra. Av artikel 27.4 i AI-förordningen framgår att i den utsträckning som en konsekvensbedömning har behandlat de skyldigheter som gäller enligt punkten 1, kan denna även läggas till grund för att uppfylla skyldigheterna i artikel 27.1 i AI-förordningen.