Biträdande dataombudsmannen har gett polisen en anmärkning för kränkning av informationssäkerheten som orsakades av provanvändning av teknologi för ansiktsigenkänning i syfte att bekämpa sexuellt utnyttjande av barn vid årsskiftet 2019–2020. Biträdande dataombudsmannens beslut omfattar även bestämmelser om fortsatta åtgärder som polisen i egenskap av personuppgiftsansvarig ska vidta.
Polisen förhåller sig allvarligt till dataskyddet och tar hänsyn till den registrerades rättigheter i all sin verksamhet.
- Polisen tar biträdande dataombudsmannens anmärkning på allvar och ska säkerställa att de åtgärder som föreskrivs i beslutet kommer att vidtas. Dessutom ska vi utveckla kompetensen och förfarandena för att undvika att något motsvarande händer i framtiden, säger chef för informationshanteringen Annina Hautala vid Polisstyrelsen.
Orsaken en observation av kränkning av informationssäkerheten våren 2021
Våren 2021 upptäckte polisen en mot personuppgifter riktad misstänkt kränkning av informationssäkerheten i sin verksamhet. Polisen inledde omedelbart åtgärder för att utreda den misstänkta kränkningen av informationssäkerheten och minimera skador som orsakas registrerade och förhindra liknande avvikelser.
Det handlar om en situation som anmälts av Centralkriminalpolisen där personuppgifter hade behandlats vid Centralkriminalpolisen i tjänsten Clearview AI vid testning av tjänsten. Testningen gäller att optimera bekämpningsmetodern angående sexuellt utnyttjande av barn i nätet. Ansvaret för utvecklingen av dessa metoder hör till Centralkriminalpolisen. Tjänstens informationssäkerhet eller överensstämmelse med dataskyddslagstiftningen hade inte säkerställts i tillräcklig utsträckning på förhand.
Under provperioden gjordes cirka 120 sökningar i programmet med ansiktsbilder på möjliga offer som hittades på sociala medier. Programmet användes av fyra personer under en provperiod på en månad, varefter användningen av tjänsten avbröts på eget initiativ vid Centralkriminalpolisen av dataskyddsskäl. Under provanvändningen gjordes sökningar främst med hjälp av testdata och enligt den redogörelse som mottagits endast i två fall med riktiga bilder. Bilderna innehöll inte någon sedlighetssårande information.
olisstyrelsen lämnade en förhandsanmälan om misstänkt kränkning till dataombudsmannen den 9 april 2021.
- Polisen vill handla så transparent som möjligt och i detta syfte publicerade Centralkriminalpolisen även ett pressmeddelande om ärendet den 9 april. Situationen fortsatte att utredas inom polisen och en kompletterande slutlig anmälan lämnades in till Dataombudsmannen så snart man hade en tillräckligt heltäckande bild av situationen och uppföljningsåtgärder planerades, berättar Hautala.
Vid polisens interna utredning framgick det att även en annan tjänst har varit i provanvändning i samma behandlingssyfte vid Centralkriminalpolisen några gånger. Inte heller i denna tjänst har någon sedlighetssårande information behandlats.
Anvisningar om informationssäkerhet och dataskydd vid polisen
Vid polisen har omfattande skriftliga anvisningar utfärdats om informationssäkerhet, behandling av personuppgifter och de registrerades rättigheter. Obligatoriska utbildningar om informationssäkerhet och behandling av personuppgifter har även anordnats för de anställda vid polisen under 2020. Det har också getts utbildning i behandlingen av biometrisk information.
- Med anledning av händelsen ska Polisstyrelsen ännu bedöma behovet av att uppdatera processerna, anvisningarna och utbildningarna gällande dataskydd och informationssäkerhet. Polisstyrelsen vidtar också åtgärder för att säkerställa att det på alla nivåer av polisorganisationen finns tillräcklig kunskap om processen för ibruktagande av nya informationssystem och tjänster och de rätta tillvägagångssätten i samband med det, säger Hautala.
