Det var efter uppgifter i medierna om att poliser använt sig av appen Clearview AI som Integritetsskyddsmyndigheten, IMY – tidigare Datainspektionen – inledde en granskning av Polismyndigheten i mars förra året.
Clearview AI är ett verktyg för ansiktsigenkänning som uppmärksammades i januari 2020 efter att New York Times avslöjat att företaget samlat ihop tre miljarder foton på nätet i smyg – bland annat från sociala medier som Facebook och Youtube. Runt 600 amerikanska polismyndigheter, FBI och Homeland Security ska ha använt sig av bilddatabasen.
Avslöjandet möttes av en kritikstorm från medborgarrättsorganisationer och så sent som i förra veckan beslutade Kanada att appen är olaglig.
Användes för ett år sedan
Av granskningen som IMY gjort slås fast att även svenska poliser använt appen vid ett flertal tillfällen under hösten 2019 och fram till mars förra året.
Appen har använts av sex medarbetare vid den Nationella operativa avdelningen, Noa, varav fem i operativ verksamhet exempelvis för att identifiera målsäganden i misstänkta sexualbrott mot barn. Den har också använts av poliser i region Syd vid bland annat utredning av sexualbrott mot barn.
Bilder på personer har lästs in i Clearview AI och där har de omvandlats till biometriska uppgifter. Biometriska personuppgifter är definierade som känsliga personuppgifter och enligt brottsdatalagen, som är en speciallag för brottsbekämpande myndigheter, får sådana uppgifter bara behandlas om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen.
Visserligen har Polismyndigheten inte tillhandahållit appen eller godkänt användandet men det fråntar inte myndigheten ansvar konstaterar IMY.
Har personuppgiftsansvar
Behandlingen har skett när de anställda utfört sina arbetsuppgifter på myndigheten och personuppgifterna har hämtats från aktuella utredningar och vid de flesta tillfällena under pågående brottsutredningar. Det innebär att det handlar om myndighetsutövning och Polismyndigheten har personuppgiftsansvaret.
– Polismyndigheten har en tydlig lagstiftning kring hur personuppgifter ska behandlas, särskilt inom den brottsbekämpande verksamheten. Myndigheten har ett ansvar att säkerställa att personalen känner till vilka regler som gäller, säger Elena Mazzotti Pallard som är jurist på IMY och som lett granskningen i en kommentar.
Polismyndigheten ska därför betala en administrativ sanktionsavgift på 2 500 000 kronor för överträdelserna av brottsdatalagen. Dessutom får myndigheten ett föreläggande från IMY om att utbilda sin personal så att de inte hanterar personuppgifter på ett sätt som strider mot gällande lag.
Läs också:
Svensk polis har använt omstritt AI-verktyg
Snart kan AI känna igen dig överallt – var sätter vi gränsen?
