Hoppa till innehåll

Anmärkning till polisen om lagstridig behandling av personuppgifter med ansiktsigenkänningsprogram

Utgivningsdatum 28.9.2021 12.00 | Publicerad på svenska 6.10.2021 kl. 11.35
Pressmeddelande

Biträdande dataombudsmannen har gett Polisstyrelsen en anmärkning i enlighet med dataskyddslagen för brottmål, eftersom polisen har behandlat uppgifter som hör till särskilda kategorier av personuppgifter i strid med lagen i testanvändningen av ansiktsigenkänningsteknik. Centralkriminalpolisens enhet som fokuserar på bekämpning av sexuellt utnyttjande av barn hade testat ansiktsigenkänningsteknik för att identifiera eventuella offer. Beslutet om testanvändning hade fattats hos polisen, och Polisstyrelsen var inte medveten om försöket.

Polisstyrelsen, som är personuppgiftsansvarig med ansvar för behandlingen av personuppgifter inom polisen, gjorde i april 2021 en anmälan till dataombudsmannens byrå om en personuppgiftsincident gällande testanvändning av ett ansiktsigenkänningsprogram inom

Centralkriminalpolisen i början av år 2020. Polisen hade testat den amerikanska tjänsten Clearview AI för att identifiera eventuella offer för sexuellt utnyttjande av barn med hjälp av ansiktsbilder.
Polisen hade använt tjänsten under en testperiod och därefter konstaterat att Clearview AI inte i detta syfte lämpar sig för myndighetsarbete i Finland. I samband med utredningen av personuppgiftsincidenten framgick det att polisen också hade testat en tjänst vid namn Arachnid för samma ändamål.

Behandlingen av personuppgifter med ansiktsigenkänningsprogram hade skett utan den personuppgiftsansvariges, dvs. Polisstyrelsens godkännande eller tillsyn. Polisstyrelsen hade fått information om användningen av tjänsten Clearview AI via den amerikanska webbpublikationen Buzzfeed News.

Den personuppgiftsansvarige ska se till att behandlingen av personuppgifter är lagenlig

Enligt dataskyddslagen för brottmål ansvarar den personuppgiftsansvarige för att personuppgifter behandlas enligt lag. Biträdande dataombudsmannen konstaterar att den personuppgiftsansvarige inte har fullgjort sitt ansvar gällande behandlingen av personuppgifter. Polisstyrelsen var skyldig att säkerställa att de anställda hos polisen var medvetna om de bestämmelser och rutiner som de ska följa.

Den personuppgiftsansvarige ska till exempel se till att det finns uppdaterade anvisningar för behandlingen av personuppgifter samt ordna tillräcklig övervakning av behandlingen av personuppgifter. Den personuppgiftsansvarige ansvarar även för utbildning i planeringen och användningen av nya behandlingssätt. I detta fall hade den personuppgiftsansvariges åtgärder inte förhindrat behandlingen av personuppgifter i strid med lagen.

Polisen hade inte heller beaktat förutsättningarna för behandling av särskilda kategorier av personuppgifter. Ansiktsbilder är biometriska personuppgifter enligt dataskyddslagen för brottmål, och de hör till särskilda kategorier av personuppgifter. Sådana uppgifter ska behandlas särskilt noggrant. Dessutom hade behandlingen av personuppgifter påbörjats utan att inhämta information om hur den använda tjänsten behandlar personuppgifter. Innan polisen började använda tjänsten hade de till exempel inte tagit reda på hur länge uppgifterna förvaras eller om de eventuellt överlämnas till tredje parter.

Utöver anmärkningen ålade den biträdande dataombudsmannen Polisstyrelsen att informera de registrerade vars identitet var känd om personuppgiftsincidenten. Dessutom ska Polisstyrelsen begära Clearview AI att radera de uppgifter som polisen förmedlat från sina lagringsplattformar.

Biträdande dataombudsmannens beslut i Finlex

Mer information:

Biträdande dataombudsman Jari Råman, jari.raman(at)om.fi, puh. 029 566 6757

Tillbaka till toppen