Sanktionsavgift mot Polismyndigheten för användning av applikation för ansiktsigenkänning
Artiklen publicerades i Lov&Data, Nr. 145, mars 2021.
Den svenska Integritetsskyddsmyndigheten (IMY) meddelade den 11 februari 2021 efter tillsyn enligt brottsdatalagen att Polismyndigheten ska betala en sanktionsavgift om 2,5 miljoner kronor efter att ha använt applikationen Clearview AI för ansiktsigenkänning. IMY förelade vidare Polismyndigheten att informera de registrerade vars personuppgifter matats in i Clearview AI, radera uppgifter som matats in i applikationen i den utsträckning det är möjligt samt vidta utbildningsåtgärder och övriga organisatoriska åtgärder för att säkerställa att personuppgifter inte behandlas i strid med gällande dataskyddslagstiftning.
Applikationen Clearview AI tillhandahålls av en amerikansk leverantör och möjliggör för användare att ladda upp bilder som genom biometri matchas mot ett mycket stort antal bilder på internet, inklusive från sociala medier. Användaren får sedan ett resultat i form av webbadresser där eventuella matchningar kan hittas.
IMY:s tillsyn inleddes under våren 2020 efter uppgifter i media om att svenska myndigheter kunde ha använt applikationen. Polismyndigheten ombads besvara om myndigheten använt sig av applikationen och med stöd av vilken rättslig grund behandlingen i så fall genomförts. Av yttranden från Polismyndigheten framgick att applikationen hade använts av vissa anställda inom myndigheten, men att applikationen inte tillhandahållits av Polismyndigheten.
En fördjupad tillsyn genomfördes därefter av IMY som kom fram till att Polismyndigheten var ansvarig för tre överträdelser av brottsdatalagen. IMY uttalade i beslutet att den stora mängden personuppgifter, även känsliga sådana, som myndigheten behandlar samt de långtgående maktbefogenheter Polismyndigheten har gör att myndigheten har ett särskilt ansvar för att personuppgifter behandlas korrekt. IMY konstaterade vidare att behandlingen föll inom Polismyndighetens personuppgiftsansvar trots att anställda självständigt använt applikationen utan att den tillhandahållits av myndigheten.
Den första överträdelsen som IMY identifierade var att polisen inte vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder vid användningen av Clearview AI. Polismyndigheten hade inte kunnat dela med sig av fullgott underlag såsom styrdokument för anställda avseende personuppgiftsbehandling, utbildningar för interna rutiner eller andra instruktioner avseende hur anställda får använda program och applikationer inom verksamheten. Faktumet att anställda använt sig av applikationen i strid med gällande reglering visade enligt IMY även att gällande interna rutiner inte varit tillräckliga.
Den andra överträdelsen bestod i att biometriska uppgifter (i form av ansiktsigenkänning) hade hanterats i strid med brottsdatalagen. IMY konstaterade att inga rättsliga bedömningar hade gjorts innan applikationen började användas. Exempel på bedömningar som borde ha gjorts är hur länge uppgifterna sparas, hur matchningarna går till och om uppgifterna överförs till länder utanför EU/EES. IMY betonade även det strikta krav på nödvändighet som uppställs i brottsdatalagen för behandling av biometriska personuppgifter. Mot bakgrund av att användningen av applikationen innebar att enskildas biometriska uppgifter matchades mot stora mängder bilder som ofiltrerat inhämtats från internet ansågs enligt IMY:s bedömning det strikta kravet på nödvändighet inte vara uppfyllt.
Slutligen bedömde IMY att Polismyndigheten borde ha genomfört en konsekvensbedömning innan behandlingen påbörjades. Detta mot bakgrund av den risk för den personliga integriteten som behandlingen medförde då användningen av tjänsten innebar att biometriska uppgifter, innefattande ansiktsigenkänning, behandlades med ny teknik tillhandahållen av en extern aktör i ett tredje land.
Ansiktsigenkänningsteknik har blivit alltmer populärt och fått fler användningsområden de senaste åren. IMY:s beslut visar dock på hur känslig sådan teknik är ur ett integritetsperspektiv.