Apulaistietosuojavaltuutettu on antanut Poliisihallitukselle huomautuksen henkilötietojen lainvastaisesta käsittelystä kasvojentunnistusohjelmalla.
Lasten seksuaalisen hyväksikäytön torjuntaan keskittyvä Keskusrikospoliisin yksikkö oli kokeillut kasvojentunnistusteknologiaa mahdollisten uhrien tunnistamiseksi vuosien 2019–2020 taitteessa. Poliisihallitus kertoo, että palvelun tietoturvallisuutta tai tietosuojalainsäädännön mukaisuutta ei ollut etukäteen varmistettu riittävällä tavalla.
Päätös koekäytöstä oli tehty KRP:ssä, eikä poliisin henkilötietojen käsittelystä vastaava rekisterinpitäjä Poliisihallitus ollut tietoinen kokeilusta. Apulaistietosuojavaltuutetun mukaan Poliisihallitus oli saanut tiedon Clearview AI -palvelun käytöstä yhdysvaltalaiselta Buzzfeed News -verkkojulkaisulta.
Rikosasioiden tietosuojalain mukaan rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Apulaistietosuojavaltuutettu kertoo, ettei rekisterinpitäjän vastuu henkilötietojen käsittelystä toteutunut.
Apulaistietosuojavaltuutettu määräsi Poliisihallituksen ilmoittamaan henkilötietojen tietoturvaloukkauksesta niille rekisteröidyille, joiden henkilöllisyys on tiedossa. Lisäksi Poliisihallituksen on pyydettävä yhdysvaltalaispalvelua poistamaan poliisin välittämät tiedot tallennusalustoiltaan.
Poliisihallitus teki ilmoituksen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle huhtikuussa. Poliisi kertoo, että viime vuoden aikana poliisin henkilöstölle on järjestetty pakolliset tietoturvallisuuden ja henkilötietojen käsittelyä koskevat koulutukset.
Kokeilussa tehtiin 120 hakua mahdollisten uhrien kasvokuvilla
KRP oli kokeillut yhdysvaltalaisen Clearview AI -palvelua mahdollisten uhrien tunnistamiseksi kasvokuvien avulla. Poliisi käytti palvelua kokeilujakson verran.
Kokeilun aikana ohjelmassa tehtiin noin 120 hakua sosiaalisen median palveluista löytyneiden mahdollisten uhrien kasvokuvilla, Poliisihallitus kertoo. Ohjelmaa käytti neljä ihmistä kuukauden pituisen kokeilujakson ajan, minkä jälkeen palvelun käyttö lopetettiin KRP:ssä oma-aloitteisesti tietosuojasyistä.
Poliisihallituksen mukaan koekäytön aikana hakuja tehtiin pääasiassa testidatalla, ja saadun selvityksen mukaan vain kahdessa tapauksessa oikeilla kuvilla. Kuvissa ei ole ollut mitään sukupuolisiveellisyyttä loukkaavaa tietoa.
Apulaistietosuojavaltuutetun mukaan henkilötietojen käsittely oli aloitettu hankkimatta tietoja siitä, miten palvelu käsittelee henkilötietoja. Ennen palvelun käyttöönottoa poliisi ei ollut esimerkiksi selvittänyt, kuinka kauan tietoja säilytetään tai luovutetaanko niitä mahdollisesti kolmannelle osapuolelle.
Poliisissa ei ollut huomioitu myöskään erityisten henkilötietoryhmien käsittelyä. Kasvokuvat ovat rikosasioiden tietosuojalain mukaisia biometrisiä henkilötietoja, ja ne kuuluvat erityisiin henkilötietoryhmiin, apulaistietosuojavaltuutettu kertoo. Tällaisia tietoja on käsiteltävä erityisen huolellisesti.
Poliisin sisäisessä selvityksessä kävi ilmi, että KRP oli kokeillut samaan tarkoitukseen myös Arachnid-nimistä palvelua. Poliisihallituksen mukaan palvelua kokeiltiin vain muutamia kertoja, eikä tässäkään palvelussa ei käsitelty mitään sukupuolisiveellisyyttä loukkaavaa tietoa.