Polismyndigheten behöver inte betala sanktionsavgift för att ha använt en applikation för ansiktsigenkänning, efter en dom i kammarrätten.
Myndigheten har utfört lämpliga organisatoriska åtgärder och ska inte hållas ansvarig för att ett fåtal anställda brutit mot den interna regleringen och använt en utländsk app som myndigheten inte godkänt.
Det var efter att det uppmärksammats i media att Polismyndigheten använt sig av en app, Clearview, för ansiktsigenkänning som Integritetsskyddsmyndigheten beslutade att inleda ett tillsynsärende mot myndigheten.
Appen tillhandahålls av ett amerikanskt företag som erbjuder ansiktsigenkänning där användaren laddar upp en bild på en person. Genom biometriska uppgifter matchas bilden sedan mot ett omfattande bildmaterial som skrapats från det öppna internet.
Inte tillhandahållits
Polismyndigheten hade inte tillhandahållit appen till de anställda, men medarbetare vid både Nationella Operativa Avdelningen och region Syd hade använt sig av den, bland annat i syfte att identifiera målsägande vid misstänkta sexualbrott mot barn.
Granskningen mynnade ut i ett beslut om sanktionsavgift.
Polismyndigheten är enligt 3 kap. 1 § brottsdatalagen ansvarig för all personuppgiftsbehandling som sker under myndighetens ledning eller på myndighetens vägnar. Den omständigheten att appen inte tillhandahållits av myndigheten fråntar inte myndigheten ansvaret som den har som personuppgiftsansvarig för behandlingen av uppgifterna, konstaterade Integritetsskyddsmyndigheten.
Biometriska data är att anse som känsliga uppgifter enligt 2 kap. 12 § brottsdatalagen, vilket innebär att de endast får behandlas om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Brottsbekämpande myndigheters behandling av personuppgifter vid användning av en sådan tjänst uppfyller sannolikt inte det strikta kravet på nödvändighet, vilket även EU-domstolen gett uttryck för.
Inte gjort rättslig bedömning
Polisen hade dessutom inte gjort någon rättslig bedömning före användningen av appen. Man hade heller inte gjort någon konsekvensbedömning, trots att man är skyldig att göra det vid behandling som kan antas medföra särskild risk för intrång i den registrerades personliga integritet.
Polisen kunde på grund av detta inte svara på hur uppgifterna som lästs in i appen behandlats, exempelvis hur länge de sparas, hur matchningen av biometriska uppgifter går till eller om de överförs till tredjeland.
Slutsatsen av granskningen var att Polisen i flera avseenden hade brustit i sitt personuppgiftsansvar vid användningen av appen. Man hade inte vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att behandlingen var författningsenlig, hade behandlat biometriska uppgifter i strid med brottsdatalagen och dessutom underlåtit att genomföra en konsekvensbedömning. Behandlingen av personuppgifterna hade därför skett i strid med 2 kap. 12 § och 3 kap. 2 och 7 § första stycket brottsdatalagen.
Ålades betala 2,5 miljoner
Överträdelserna var så pass allvarliga att det var påkallat med en kännbar sanktionsavgift. Myndigheten ålade därför Polisen att betala 2,5 miljoner kronor samtidigt som man ålades att vidta vissa åtgärder för att säkerställa att all behandling av personuppgifter är författningsenlig, bland annat genom att se till att personuppgifter som matats in i applikationen raderas och informera enskilda som registrerats.
Polisen överklagade men förlorade i Förvaltningsrätten i Stockholm.
Domstolen instämde i att Polisen hade brustit i kravet på lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig samt att den registrerades rättigheter skyddas.
Man hade i avsaknad av föregående rättslig bedömning och med hänsyn till knapphändig information om hur de biometriska uppgifterna i detalj har använts i applikationen inte heller visat att den behandling av biometriska uppgifter som skett via applikationen hade varit absolut nödvändig för ändamålet.
Polisen hade även brutit mot brottsdatalagen genom att underlåta att göra en konsekvensbedömning innan behandlingen påbörjats.
Polisens behandling hade enligt förvaltningsrätten också medfört särskilda risker. Domstolen skrev:
”Förvaltningsrätten bedömer att den nu aktuella behandlingen av biometriska uppgifter i sig är av känslig art och innebär särskilda risker, vilket medför höga krav på tekniska och organisatoriska åtgärder för att kunna säkerställa en författningsenlig behandling. Det har i det aktuella fallet varit fråga om integritetskänsliga uppgifter som utan en föregående rättslig bedömning använts i en extern applikation. Det har vidare inte kunnat klarläggas vad som hänt med de använda personuppgifterna. Förvaltningsrätten anser att de potentiella skadeverkningarna bör bedömas som stora, inte minst med hänsyn till att behandlingen inneburit att biometriska uppgifter matchats mot stora mängder av personuppgifter som hämtats utan filtrering på det öppna internet.”
Det hade i och för sig inte handlat om uppsåtliga överträdelser eller överträdelser som Integritetsskyddsmyndigheten redan tidigare slagit ned på. Överträdelsens svårighetsgrad och den fara som överträdelsen inneburit vägde dock tyngre än de förmildrande omständigheterna och myndigheten måste vid en samlad bedömning anses ha haft fog för att besluta om sanktionsavgift. Några skäl att helt eller delvis sätta ned sanktionsavgiften hade inte framkommit, ansåg förvaltningsrätten.
Kammarrätten ändrar
Kammarrätten i Stockholm gör nu en annan bedömning när man befriar Polismyndigheten från miljonavgiften.
Det är IMY som har bevisbördan för att en överträdelse som bör föranleda sanktionsavgift har inträffat. Eftersom brottsdatalagen inte anger något beviskrav får förvaltningsprocesslagen och allmänna förvaltningsprocessrättsliga principer tillämpas, i enlighet med uttalanden från Högsta förvaltningsdomstolen. Beslut om sanktionsavgift har en straffrättslig karaktär – och beviskravet bör därför av rättssäkerhetsskäl ställas högt. Syftet är samtidigt bland annat att bevaka fysiska personers skydd för sina personuppgifter och beviskravet ska därför inte sättas lika högt som för fällande dom i brottmål. Kammarrättens slutsats är att beviskravet bör läggas på samma nivå som för skattetillägg, det vill säga att det klart ska framgår att förutsättningarna för att besluta om sanktionsavgift är uppfyllda.
Polisen har i domstolsprocessen lämnat in sin arbetsordning och de riktlinjer som reglerar hantering av dataskyddsfrågor – samt ansvaret för personuppgiftsbehandlingen inom myndigheten. Myndigheten har bland annat riktlinjer för hur it-utrustning får användas – bland annat avseende mobil elektronisk utrustning – och det finns även en fastställd process som ska tillämpas vid ny personuppgiftsbehandling. Polismyndigheten har dessutom redogjort för dataskyddsarbetet inom myndigheten, de utbildningar i informationssäkerhet och dataskydd som anställda ska genomgå och som erbjuds anställda samt arbetet i myndighetens personuppgiftsnätverk.
”Fåtal anställda”
Att ett fåtal anställda inom myndigheten har behandlat personuppgifter i strid med de interna riktlinjerna innebär enligt kammarrätten inte att de organisatoriska åtgärder som myndigheten vidtagit för att säkerställa en författningsenlig behandling av personuppgifterna har varit otillräckliga. Det gör inte heller den omständigheten att det har saknats specifika riktlinjer för behandling av biometriska uppgifter och ansiktsigenkänning. Utredningen håller därför inte för att slå fast att Polismyndigheten underlåtit att uppfylla sin skyldighet att vidta lämpliga organisatoriska åtgärder, menar kammarrätten.
Det finns samtidigt inget absolut hinder mot att behandla biometriska uppgifter i den brottsbekämpande verksamheten – utan bara ett krav på att behandlingen är ”absolut nödvändig”. Det finns här inte skäl att ifrågasätta att en sådan behandling vid utredning av grova brott mot barn eller för att identifiera individer med koppling till grov organiserad brottslighet kan vara absolut nödvändig. Det har här inte klart framgått av IMY:s utredning att behandlingen av biometriska uppgifter skett i strid med 2 kap. 12 § brottsdatalagen – och finns därför inte heller av detta skäl grund för att påföra sanktionsavgift.
Brottsdatalagen föreskriver samtidigt att myndigheten, om en uppdaterad eller ny typ av behandling medför särskild risk för intrång i den registrerades personliga integritet, är skyldig att göra en konsekvensbedömning innan behandlingen påbörjas eller förändringen genomförs. Behandlingen via den utländska appen får anses ha medfört sådana särskilda risker och alltså medfört en skyldighet för Polismyndigheten att göra en konsekvensbedömning – och så har inte skett.
Inte motiverat
Anledningen till detta är dock att ett fåtal anställda ”på eget bevåg” i strid med myndighetens riktlinjer har utfört en behandling av personuppgifter i en applikation som myndigheten inte haft för avsikt att använda. ”Även om ansvaret för att utföra en konsekvensbedömning ligger på Polismyndigheten bedömer kammarrätten att omständigheterna i detta fall är sådana att det inte är motiverat att påföra Polismyndigheten en sanktionsavgift”, summerar domstolen.
Polismyndigheten befrias därför nu helt från skyldigheten att betala sanktionsavgift.
Gratis nyhetsbrev om rättsfall , juridik och näringsliv från Dagens Juridik – klicka här
