Politia din Finlanda sanctionata pentru incalcarea GDPR

In spatiul public a aparut un articol care relateaza faptul ca, in data de 20 Septembrie 2021, Directia nationala de Politiei din Finlanda a fost sanctionata pentru prelucrarea abuziva a datelor cetatenilor, prelucrare realizata de o subunitate.

Mai exact, reprezentantii autoritatii pentru protectia datelor din Finlanda au emis o mustrare statutara catre Consiliul national de Politie pentru prelucrarea ilegala a unor categorii speciale de date cu caracter personal in timpul unui proces tehnologic de recunoastere faciala.

Biroul national de ancheta penala specializat in prevenirea abuzului sexual asupra copiilor a efectuat teste cu privire la tehnologia recunoasterii faciale in identificarea victimelor potentiale. Decizia de a testa un astfel de software a fost facuta independent de catre unitatea de politie, iar Consiliul national de Politie nu a fost consultat sau notificat cu privire la proces.

In calitate de operator responsabil cu prelucrarea datelor cu caracter personal in cadrul unitatilor subordonate, Consiliul national al Politiei a notificat Oficiului pentru protectia datelor in luna aprilie 2021, imediat ce i-a fost adusa la cunostinta existenta acestei incalcari a securitatii datelor cu caracter personal care implica utilizarea de catre Biroul national de ancheta penala a software-ului de recunoastere faciala, la inceputul anului 2020, prin intermediul caruia politia a experimentat identificarea posibilelor victime ale abuzului sexual asupra copiilor cu softul de are la baza sistemul de recunoastere faciala ClearVIEW din SUA.

Serviciul a fost folosit pentru o perioada de proba insa s-a constatat ca respectivul soft nu este unul potrivit pentru activitatea autoritatilor din Finlanda in acest scop. In timpul investigatiei care a vizat incalcarea securitatii datelor cu caracter personal, s-a dovedit ca politia a testat, in acelasi scop, un alt serviciu numit Arachnid.

Prelucrarea datelor cu caracter personal cu ajutorul software-ului de recunoastere faciala a fost efectuata fara aprobarea sau supravegherea operatorului, si anume a Consiliului national de Politie, acesta afland detalii cu privire la utilizarea serviciului ClearVIEW de la o o publicatie online cu sediul in SUA- Buzzfeed News.

Problema majora in acest caz fiind constituita de faptul ca, in conformitate cu legislatia privind prelucrarea datelor cu caracter personal in materie penala si in legatura cu mentinerea securitatii nationale, operatorul este responsabil de prelucrarea legala a datelor cu caracter personal. Biroul pentru protectia datelor remarca faptul ca responsabilitatea operatorului nu a fost indeplinita in cadrul acestor operatiuni. Ar fi fost de datoria Consiliului National de Politie sa se asigure ca personalul politiei este familiarizat cu reglementarile si procedurile necesare.

De exemplu, operatorul trebuie sa se asigure ca sunt disponibile instructiuni actualizate si proceduri clare privind prelucrarea datelor cu caracter personal si sa asigure o supraveghere eficienta a prelucrarilor realizate de unitatile din subordine. Instruirea personalului in proiectarea si punerea in aplicare a noilor metode de prelucrare este, de asemenea, responsabilitatea operatorului. In acest caz, masurile luate de operator nu au impiedicat prelucrarea ilegala a datelor cu caracter personal.

Operatorul nu a luat in considerare nici cerintele pentru prelucrarea categoriilor speciale de date cu caracter personal. Imaginile faciale constituie date biometrice, astfel cum se mentioneaza in legislatia privind prelucrarea datelor cu caracter personal si, de asemenea, se incadreaza in categorii speciale de date cu caracter personal, care trebuie prelucrate cu deosebita atentie. In plus, prelucrarea a fost inceputa fara obtinerea de informatii cu privire la modul in care serviciul utilizeaza datele cu caracter personal prelucrate. De exemplu, politia nu stabilise in prealabil cat timp vor fi stocate datele sau daca acestea ar putea fi divulgate unor terte parti.

In plus fata de mustrare, biroul pentru protectia datelor a ordonat Consiliului national de Politie sa notifice persoanele vizate cu privire la incalcarea securitatii datelor cu caracter personal, in masura in care identitatea acestora ar putea fi stabilita. De asemenea, Consiliul national al Politiei trebuie sa solicite furnizorului softului ClearVIEW sa stearga datele transmise de politie de pe platformele sale de stocare.

Autoritatea de protectie a datelor a dat publicitatii un comunicat prin care anunta masurile aplicate:

Comisarul asistent pentru protectia datelor a dat operatorului o notificare in conformitate cu sectiunea 51 (1) (4) din Legea privind protectia datelor penale, deoarece prelucrarea a incalcat sectiunile 4 și 14 din Legea privind protectia datelor penale.

In conformitate cu sectiunea 4 (2) din Legea privind protectia datelor penale, datele cu caracter personal trebuie prelucrate corespunzator si cu atentie. Prelucrarea datelor biometrice destinate identificarii fara echivoc a unei persoane este permisa numai daca este necesara si au fost luate masurile de protectie necesare pentru protejarea drepturilor persoanei vizate si celelalte conditii mentionate in prevederile de mai sus sunt indeplinite.

In cazul de fata, prelucrarea datelor cu caracter personal a avut loc fara consimtamantul sau supravegherea operatorului. Ofiterii de politie au folosit serviciile Clearview AI si Arachnid la propria lor discretie. Pe baza explicatiilor primite, operatorul nu a fost la curent cu utilizarea serviciilor. 

Prelucrarea datelor cu caracter personal a inceput fara a obtine informatii despre modul in care serviciile in cauza prelucreaza datele cu caracter personal. Nu au fost evaluate sau implementate masuri tehnice sau organizatorice necesare pentru prelucrarea datelor cu caracter personal speciale si nici nu a fost clarificat, printre altele, cat timp vor fi stocate sau daca, eventual, aceste vor fi dezvaluite catre terți, nu a fost identificata necesitatea prelucrarii datelor cu caracter personal si nu au fost indeplinite conditiile privind prelucrarea datelor personale biometrice.

Controlul, instruirea, controlul intern sau alte masuri luate de operator nu au reusit sa impiedice prelucrarea ilegala a datelor cu caracter personal. Responsabilitatea operatorului pentru prelucrarea datelor cu caracter personal descrisa mai sus si asigurarea legalitatii prelucrarii datelor cu caracter personal nu au fost indeplinite conform prevederilor sectiunilor 4 si 14 din Regulament.

In conformitate cu sectiunea 51 (1) (10) din Regulament, comisarul adjunct pentru protectia datelor ordona operatorului sa aduca operatiunile de prelucrare in conformitate cu Regulamentul GDPR. Pana la 29.10.2021 operatorul de date trebuie sa solicite administratorilor serviciilor Clearview AI si Arachnid sa stearga datele personale transmise de politie acestor furnizori de servicii.

Prelucrarea datelor cu caracter personal a fost ilegala si intrucat pastrarea datelor cu caracter personal de catre furnizorii de servicii mentionati mai sus prezinta un risc ridicat pentru persoanele vizate, asa cum este descris mai sus, operatorul trebuie sa depuna eforturi pentru ca furnizorii de servicii sa stearga datele transmise de politie de pe mediile lor de stocare.

Surse articol:

Pagina finlex.fi , pagina de stiri a Ministerului de Justitiei din Finalanda

Office of the Data Protection Ombudsman

European Data Protection Board-CEPD

Multumim,

Echipa MyBiz GDPR