Polisen får GDPR-sanktionsavgift för användning av ansiktsigenkänning
Den 11 februari 2021 meddelade Integritetsskyddsmyndigheten (IMY) att Polismyndigheten får en sanktionsavgift på 2,5 miljoner kronor för användning av applikationen Clearview AI för ansiktsigenkänning. Behandlingen bedöms av IMY vara i strid med brottsdatalagen.
Clearview AI är en applikation som erbjuds av en amerikansk leverantör och som möjliggör för användare att ladda upp bilder som genom biometri matchas mot bilder på internet som applikationen indexerat, inklusive från sociala medier. Enligt uppgift rör det sig om över tre miljarder bilder som indexerats.
IMY:s tillsyn (då Datainspektionen) inleddes under våren 2020 efter uppgifter i media om att svenska myndigheter kunde ha använt applikationen. IMY ställde frågor till Polismyndigheten om huruvida myndigheten använt applikationen. Polismyndigheten meddelade i sitt svar till IMY att vissa anställda på Polismyndigheten använt applikationen, men utan att den tillhandahållits av Polismyndigheten till de anställda. Därefter har en fördjupad tillsyn genomförts av IMY som nu kommit fram till att Polismyndigheten är ansvariga för tre överträdelser av brottsdatalagen.
Den första överträdelsen av brottsdatalagen består i att biometriska uppgifter (i form av ansiktsigenkänning) hanterades utan att detta var tillåtet enligt brottsdatalagen. IMY konstaterar att inga rättsliga bedömningar gjorts innan uppgifter matchats mot applikationen. Exempel på bedömningar som borde gjorts är hur länge uppgifter sparas, hur uppgifterna förs över till länder utanför EU/EES och hur matchningarna går till. IMY ifrågasätter även om matchningarna mot det mycket stora antalet bilder som indexerats av applikationen kan anses vara absolut nödvändig.
Den andra överträdelsen som IMY identifierat är att polisen inte vidtagit tillräckliga tekniska och organisatoriska åtgärder vid användningen av Clearview AI. IMY bedömer bland annat att Polismyndigheten inte kunnat dela med sig av fullgott underlag såsom styrdokument för anställda runt personuppgiftsbehandling, redogöra för utbildning runt interna rutiner eller andra instruktioner runt hur anställda får använda program och applikationer inom verksamheten.
Slutligen så bedömer IMY att Polismyndigheten skulle genomfört en konsekvensbedömning innan behandlingen påbörjats med tanke på den risk personuppgiftsbehandlingen innebär för den personliga integriteten. Att vissa anställda använt applikationen utan att Polismyndigheten aktivt tillhandahållit applikationen anser IMY ändå faller inom Polismyndighetens personuppgiftsansvar.
Utöver sanktionsavgifterna innebär IMY:s beslut tre förelägganden mot Polismyndigheten – att ta bort uppgifter som matats in i applikationen i största möjlig utsträckning, att informera berörda personer vars uppgifter matats in i applikationen i den utsträckning som krävs enligt lag, samt vidta utbildningsåtgärder och andra organisatoriska åtgärder runt applikationsanvändning och personuppgiftshantering.
Kommentar:
Ansiktsigenkänningsteknik har blivit allt populärare och funnit fler användningsområden de senaste åren, men är känsligt ur ett integritetsperspektiv. Generellt innebär användningen ofta ett krav på att en konsekvensbedömning genomförs i förväg. Behandlingen omfattar även biometriska uppgifter för identifiering, något som enligt GDPR betraktas som känsliga personuppgifter som kräver särskilt lagligt stöd. Det blir därför viktigt att noggrant överväga användning av ansiktsigenkänningsteknik i förväg, och bedöma om den verkligen är nödvändig och proportionerlig för de avsedda ändamålen. Självklart är den tekniska utformningen också central för att bedöma risken med behandlingen, bland annat för att se om det är möjligt att använda sig av långtgående pseudonymisering eller anonymisering och ändå att uppnå samma mål.
Läs fler inlägg om ansiktsigenkänningsteknik på Delphi Tech Blog:
Förhandssamråd om analysverktyg gällande besökares rörelsemönster i butik
Polisen får godkänt av Datainspektionen att använda teknik för ansiktsigenkänning vid brottsutredningar
Datainspektionen har utfärdat de första svenska GDPR-böterna