Apulaistietosuojavaltuutettu on antanut poliisille huomautuksen lasten seksuaalisen hyväksikäytön torjuntatarkoituksissa tapahtuneen kasvojen tunnistusteknologian kokeilukäytön aiheuttamasta tietoturvaloukkauksesta vuosien 2019-2020 taitteessa. Apulaistietosuojavaltuutetun päätös sisältää myös määräykset jatkotoimenpiteistä, joihin poliisin on rekisterinpitäjänä ryhdyttävä.
Poliisi suhtautuu tietosuojaan vakavasti ja ottaa huomioon rekisteröidyn oikeudet kaikessa toiminnassaan.
– Poliisi ottaa saamaansa apulaistietosuojavaltuutetun huomautukseen vakavasti ja varmistaa, että päätöksessä määrätyt toimenpiteet tulevat toteutetuksi. Lisäksi tulemme kehittämään osaamista ja menettelyitä, jotta vastaavaa ei jatkossa tapahtuisi, Poliisihallituksen tiedonhallintapäällikkö Annina Hautala sanoo.
Taustalla tietoturvaloukkaushavainto keväällä 2021
Poliisi havaitsi keväällä 2021 toiminnassaan henkilötietoihin kohdistuneen tietoturvaloukkausepäilyn. Poliisi aloitti välittömästi toimenpiteet tietoturvaloukkausepäilyn selvittämiseksi ja rekisteröidyille aiheutuvien vahinkojen minimoimiseksi ja vastaavien poikkeamien estämiseksi.
Kyseessä on Keskusrikospoliisin ilmoittama tilanne, jossa henkilötietoja oli käsitelty Keskusrikospoliisissa Clearview AI -palvelussa palvelun testaustarkoituksissa.Testaus liittyi verkossa tapahtuvan lasten seksuaalisen hyväksikäytön torjunnan tehostamiseen liittyvin Keskusrikospoliisin vastuulle kuuluviin kehittämistehtäviin. Palvelun tietoturvallisuutta tai tietosuojalainsäädännön mukaisuutta ei oltu etukäteen varmistettu riittävällä tavalla.
Kokeilujakson aikana tehtiin ohjelmassa noin 120 hakua sosiaalisen median palveluista löytyneiden mahdollisten uhrien kasvokuvilla. Ohjelmaa käytti neljä henkilöä kuukauden pituisen kokeilujakson ajan, jonka jälkeen palvelun käyttö lopetettiin tietosuojasyistä Keskusrikospoliisissa oma-aloitteisesti. Koekäytön aikana hakuja tehtiin pääasiassa testidatalla ja saadun selvityksen mukaan vain kahdessa tapauksessa oikeilla kuvilla. Kuvissa ei ole ollut mitään sukupuolisiveellisyyttä loukkaavaa tietoa.
Poliisi toiminut avoimesti
Poliisihallitus toimitti ennakkoilmoituksen loukkausepäilystä tietosuojavaltuutetulle 9.4.2021.
– Poliisi haluaa toimia mahdollisimman avoimesti ja tässä tarkoituksessa Keskusrikospoliisi julkaisi myös tiedotteen asiasta 9.4.Tilanteen selvittelyä jatkettiin poliisissa ja tietosuojavaltuutetulle toimitettiin täydentävä lopullinen ilmoitus heti, kun tilanteesta saatiin riittävän kattava kuva ja jatkotoimenpiteet suunniteltua, Hautala kertoo.
Poliisin sisäisessä selvitystyössä ilmeni, että samassa käsittelytarkoituksessa Keskusrikospoliisissa on testattu myös toista lapsen seksuaalisen hyväksikäyttömateriaalin tunnistamiseen liittyvää sovellusta muutamia kertoja. Myöskään tässä palvelussa ei ole käsitelty mitään sukupuolisiveellisyyttä loukkaavaa tietoa.
Tietoturvallisuus ja tietosuoja ohjeistettu poliisissa
Poliisissa tietoturvallisuudesta, henkilötietojen käsittelystä ja rekisteröityjen oikeuksista on ohjeistettu laajasti kirjallisesti. Vuoden 2020 aikana on myös koko poliisin henkilöstölle järjestetty pakolliset tietoturvallisuuden ja henkilötietojen käsittelyä koskevat koulutukset. Koulutusta on ollut myös biometristen tietojen käsittelyyn liittyen.
– Tapauksen johdosta Poliisihallitus tulee vielä arvioimaan tarvetta päivittää tietosuojaan ja tietoturvaan liittyviä prosesseja, ohjeistuksia ja koulutuksia. Poliisihallitus tekee toimenpiteitä myös sen varmistamiseksi, että läpi poliisiorganisaation on riittävä tietoisuus uusien tietojärjestelmien ja palveluiden käyttöönottoprosessista ja sen mukaisista toimintatavoista, Hautala sanoo.