Polisen bröt mot brottsdatalagen när medarbetare använde en app för ansiktsigenkänning i arbetet med att identifiera barn som utsatts för sexualbrott.
Det konstaterar Integritetsskyddsmyndigheten (IMY) som har beslutat att polisen ska betala 2,5 miljoner kronor i en sanktionsavgift.
När Integritetsskyddsmyndigheten, tidigare Datainspektionen, i medierna fick veta att polisen använt appen för ansiktsigenkänning inleddes en granskning. Utredningen visar att appen har använts av polisen vid flera tillfällen trots att det strider mot brottsdatalagen.
Identifierade brottsoffer
Polismyndigheten har i sina yttranden uppgett att appen använts av sex medarbetare bland annat för att identifiera offren i utredningar om sexualbrott mot barn och när man försökt identifiera okända personer vid spaning av grov organiserad brottslighet. Detta har skett utan att myndigheten tillhandahållit appen.
– Vi ser att det är allvarligt eftersom de inte har någon kunskap om vad som hänt med de uppgifter som matats in i appen. Dessutom klassas biometriska uppgifter som känsliga, enligt lagen, säger Elena Mazzotti Pallard, som är jurist på IMY och som lett granskningen.
IMY konstaterar att polisen har underlåtit att genomföra en konsekvensbedömning av användningen av appen.
– Det finns en tydlig lagstiftning kring hur personuppgifter ska behandlas, särskilt inom den brottsbekämpande verksamheten. Myndigheten har ett ansvar att säkerställa att personalen känner till vilka regler som gäller, säger Elena Mazzotti.
IMY förelägger nu myndigheten att betala en sanktionsavgift på 2,5 miljoner kronor för att utbilda sin personal och säkerställa att de inte hanterar personuppgifter i strid med gällande dataskyddslagstiftning.
Radera uppgifter
Polismyndigheten ska dessutom informera de personer, vars uppgifter matats in i appen och om det är möjligt se till att personuppgifter som förts in i appen raderas.
TT har sökt Polismyndigheten för en kommentar om beslutet och de svarar skriftligt. De skriver att appen för ansiktsigenkänning användes under en kort testperiod av ett fåtal medarbetare inom myndigheten, bland annat i samband med en kurs som arrangerades av Europol.
Myndigheten konstaterar att ingen konsekvensbedömning gjordes trots de riktlinjer som finns om att en sådan ska göras innan nya polisiära verktyg införs, om användandet av verktyget innebär känslig personuppgiftsbehandling.
Polisen skriver också att tydlig information har gått ut till alla medarbetare om befintliga riktlinjer och de krav som kopplas till behandling av känsliga personuppgifter.
Det är inte klart om IMY:s beslut ska överklagas.