Integritetsskyddsmyndigheten beslutade att inleda ett tillsynsärende mot Polisen, efter att det uppmärksammats i media att myndigheten använt sig av en app för ansiktsigenkänning.

Appen tillhandahålls av ett amerikanskt företag som erbjuder ansiktsigenkänning där användaren laddar upp en bild på en person. Genom biometriska uppgifter matchas bilden sedan mot ett stort antal bilder som skrapats från det öppna internet.

Polismyndigheten hade inte tillhandahållit appen till de anställda, men medarbetare vid både Nationella Operativa Avdelningen och region Syd hade använt sig av den, bland annat i syfte att identifiera målsägande vid misstänkta sexualbrott mot barn.

Granskningen mynnade ut i ett beslut om sanktionsavgift.

Polismyndigheten är enligt 3 kap. 1 § brottsdatalagen ansvarig för all personuppgiftsbehandling som sker under myndighetens ledning eller på myndighetens vägnar. Den omständigheten att appen inte tillhandahållits av myndigheten fråntar inte myndigheten ansvaret som den har som personuppgiftsansvarig för behandlingen av uppgifterna, konstaterade Integritetsskyddsmyndigheten.

Biometriska data är att anse som känsliga uppgifter enligt 2 kap. 12 § brottsdatalagen, vilket innebär att de endast får behandlas om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Brottsbekämpande myndigheters behandling av personuppgifter vid användning av en sådan tjänst uppfyller sannolikt inte det strikta kravet på nödvändighet, vilket även EU-domstolen gett uttryck för. 

Polisen hade dessutom inte gjort någon rättslig bedömning före användningen av appen. Man hade heller inte gjort någon konsekvensbedömning, trots att man är skyldig att göra det vid behandling som kan antas medföra särskild risk för intrång i den registrerades personliga integritet.

Polisen kunde på grund av detta inte svara på hur uppgifterna som lästs in i appen behandlats, exempelvis hur länge de sparas, hur matchningen av biometriska uppgifter går till eller om de överförs till tredjeland. 

Slutsatsen av granskningen var att Polisen i flera avseenden hade brustit i sitt personuppgiftsansvar vid användningen av appen. Man hade inte vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att behandlingen var författningsenlig, hade behandlat biometriska uppgifter i strid med brottsdatalagen och dessutom underlåtit att genomföra en konsekvensbedömning. Behandlingen av personuppgifterna hade därför skett i strid med 2 kap. 12 § och 3 kap. 2 och 7 § första stycket brottsdatalagen.

Överträdelserna var så pass allvarliga att det var påkallat med en kännbar sanktionsavgift. Myndigheten ålade därför Polisen att betala 2,5 miljoner kronor samtidigt som man ålades att vidta vissa åtgärder för att säkerställa att all behandling av personuppgifter är författningsenlig, bland annat genom att se till att personuppgifter som matats in i applikationen raderas och informera enskilda sin registrerats.

Polisen överklagade men får nu avslag i Förvaltningsrätten i Stockholm.

Domstolen instämmer i att Polisen har brustit i kravet på lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig samt att den registrerades rättigheter skyddas.

Man har i avsaknad av föregående rättslig bedömning och med hänsyn till knapphändig information om hur de biometriska uppgifterna i detalj har använts i applikationen inte heller visat att den behandling av biometriska uppgifter som skett via applikationen har varit absolut nödvändig för ändamålet. 

Polisen har även brutit mot brottsdatalagen genom att underlåta att göra en konsekvensbedömning innan behandlingen påbörjats.

Polisens behandling har enligt förvaltningsrätten medfört särskilda risker. Domstolen skriver:

”Förvaltningsrätten bedömer att den nu aktuella behandlingen av biometriska uppgifter i sig är av känslig art och innebär särskilda risker, vilket medför höga krav på tekniska och organisatoriska åtgärder för att kunna säkerställa en författningsenlig behandling. Det har i det aktuella fallet varit fråga om integritetskänsliga uppgifter som utan en föregående rättslig bedömning använts i en extern applikation. Det har vidare inte kunnat klarläggas vad som hänt med de använda personuppgifterna. Förvaltningsrätten anser att de potentiella skadeverkningarna bör bedömas som stora, inte minst med hänsyn till att behandlingen inneburit att biometriska uppgifter matchats mot stora mängder av personuppgifter som hämtats utan filtrering på det öppna internet.” 

Det har i och för sig inte handlat om uppsåtliga överträdelser eller överträdelser som Integritetsskyddsmyndigheten redan tidigare slagit ned på. Överträdelsens svårighetsgrad och den fara som överträdelsen inneburit väger dock tyngre än de förmildrande omständigheterna och myndigheten måste vid en samlad bedömning anses ha haft fog för att besluta om sanktionsavgift. Några skäl att helt eller delvis sätta ned sanktionsavgiften har inte framkommit, avslutar domstolen.