Apulaistietosuojavaltuutettu on antanut Poliisihallitukselle rikosasioiden tietosuojalain mukaisen huomautuksen, koska poliisi on käsitellyt erityisiin henkilötietoryhmiin kuuluvia tietoja lainvastaisesti kasvojentunnistusteknologian koekäytössä. Keskusrikospoliisin lasten seksuaalisen hyväksikäytön torjuntaan keskittyvä yksikkö oli kokeillut kasvojentunnistusteknologiaa mahdollisten uhrien tunnistamiseksi. Päätös koekäytöstä oli tehty poliisissa, eikä Poliisihallitus ollut tietoinen kokeilusta.
Poliisin henkilötietojen käsittelystä vastaava rekisterinpitäjä Poliisihallitus teki huhtikuussa 2021 tietosuojavaltuutetun toimistolle ilmoituksen tietoturvaloukkauksesta, jossa oli kyse kasvojentunnistusohjelman kokeilukäytöstä Keskusrikospoliisissa vuoden 2020 alussa. Poliisissa oli kokeiltu yhdysvaltalaista Clearview AI -palvelua lasten seksuaalisen hyväksikäytön mahdollisten uhrien tunnistamiseksi kasvokuvien avulla.
Poliisi oli käyttänyt palvelua kokeilujakson verran ja todennut sen jälkeen, ettei Clearview AI sovellu tässä tarkoituksessa viranomaistyöhön Suomessa. Tietoturvaloukkauksen selvittämisen yhteydessä kävi ilmi, että poliisi oli kokeillut samaan tarkoitukseen myös Arachnid-nimistä palvelua.
Henkilötietojen käsittely kasvojentunnistusohjelmilla oli tapahtunut ilman rekisterinpitäjän eli Poliisihallituksen hyväksyntää tai valvontaa. Poliisihallitus oli saanut tiedon Clearview AI -palvelun käytöstä yhdysvaltalaiselta Buzzfeed News -verkkojulkaisulta.
Rekisterinpitäjän on huolehdittava henkilötietojen käsittelyn lainmukaisuudesta
Rikosasioiden tietoasuojalain mukaan rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjän vastuu henkilötietojen käsittelystä ole toteutunut toiminnassa. Poliisihallituksella olisi ollut velvollisuus varmistaa, että poliisin työntekijät ovat tietoisia säännöksistä ja menettelytavoista, joita niiden on noudatettava.
Rekisterinpitäjän on esimerkiksi huolehdittava, että henkilötietojen käsittelylle on ajantasaiset ohjeet sekä järjestettävä riittävä valvonta henkilötietojen käsittelylle. Myös koulutus uusien käsittelytapojen suunnittelusta ja käytöstä kuuluu rekisterinpitäjän vastuulle. Tässä tapauksessa rekisterinpitäjän toimenpiteet eivät olleet estäneet henkilötietojen lainvastaista käsittelyä.
Poliisissa ei ollut huomioitu myöskään erityisten henkilötietoryhmien käsittelyyn liittyviä edellytyksiä. Kasvokuvat ovat rikosasioiden tietosuojalain mukaisia biometrisiä henkilötietoja, ja ne kuuluvat erityisiin henkilötietoryhmiin. Tällaisia tietoja on käsiteltävä erityisen huolellisesti. Henkilötietojen käsittely oli lisäksi aloitettu hankkimatta tietoja siitä, miten käytetty palvelu käsittelee henkilötietoja. Ennen palvelun käyttöönottoa poliisi ei ollut esimerkiksi selvittänyt, kuinka kauan tietoja säilytetään tai luovutetaanko niitä mahdollisesti kolmannelle osapuolelle.
Huomautuksen lisäksi apulaistietosuojavaltuutettu määräsi Poliisihallituksen ilmoittamaan henkilötietojen tietoturvaloukkauksesta niille rekisteröidyille, joiden henkilöllisyys on tiedossa. Lisäksi Poliisihallituksen on pyydettävä Clearview AI:ta poistamaan poliisin välittämät tiedot tallennusalustoiltaan.