Förvaltningsrätten bedömer att Polismyndigheten har brustit i kravet på lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas samt kravet på att genomföra en konsekvensbedömning innan behandlingen påbörjas. Polismyndigheten har inte heller visat att behandlingen av biometriska uppgifter i applikationen varit absolut nödvändig för ändamålet med behandlingen.
- Det har i det aktuella fallet varit fråga om integritetskänsliga uppgifter som utan en föregående rättslig bedömning använts i en extern applikation. Förvaltningsrätten anser att de potentiella skadeverkningarna bör bedömas som stora, inte minst med hänsyn till att behandlingen inneburit att biometriska uppgifter matchats mot stora mängder av personuppgifter som hämtats från internet, säger chefsrådmannen Anna Önell.