Europol, Europeiska unionens brottsbekämpande organ, har beordrats att radera ett stort lager av personuppgifter som samlats in från polismyndigheter i EU:s medlemsländer under de senaste sex åren. Raderingsordern kommer från European Data Protection Supervisor (EDPS), ett övervakningsorgan som övervakar EU-institutionernas efterlevnad av integritets- och dataskyddslagstiftningen.
Datatillsynsmannen har gett Europol ett år på sig att granska sina databaser och sedan ta bort all data som inte kan kopplas till en brottsutredning.
Den totala mängden data som lagras i Europols system uppgår enligt rapportering i The Guardian till cirka 4 petabyte – motsvarande hundratals miljarder sidor tryckt text – och inkluderar data om minst en kvarts miljon nuvarande eller tidigare terror och grov brottslighet misstänkta, tillsammans med andra personer i dess kontaktnät. Uppgifterna har hämtats från brottsutredningar utförda av nationella polismyndigheter i EU-länder, som sedan delades med Europol.
“Europol har inte följt datatillsynsmannens begäran om att fastställa en lämplig datalagringsperiod”
I beslutstexten hänvisar datatillsynsmannen till en inledande utredning av Europols hantering av känsliga uppgifter 2019, som drog slutsatsen att Europol lagrade personuppgifter om brotts- och terrorismmisstänkta utan tillräckliga kontroller av huruvida övervakning av flaggade individer var motiverad. Ett år senare skickade datatillsynsmannen ett meddelande om tillsägelse till Europol för att ha underlåtit att följa datalagstiftningen och utsätta EU-invånare i risk för att felaktigt kopplas till kriminell verksamhet.
“Medan vissa åtgärder har vidtagits Europol har införts av Europol sedan dess, och Europol har inte följt datatillsynsmannens begäran om att definiera en lämplig datalagringsperiod för att filtrera och extrahera de personuppgifter som är tillåtna för analys enligt Europolförordningen”, skrev datatillsynsmannen i ett pressmeddelande som åtföljde beslut.
I avsaknad av ett tydligt tillvägagångssätt har datatillsynsmannen nu gått in mer kraftfullt och gett Europol ett år på sig att sortera igenom befintliga uppgifter för att ta reda på vad som lagligen kan lagras, och beordrat den att radera alla nyligen insamlade uppgifter som inte är kategoriserade inom sex månader.
“Det är oklart vilka exakta typer av uppgifter som Europol så gärna vill hålla fast vid, men vi vet att det är stora datamängder som åtminstone delvis består av data om personer som Europol för närvarande inte känner att de kan kategorisera inom “misstänkta”, “potentiell framtid”. brottslingar”, “kontakter och medarbetare”, “offer”, “vittnen” och “informatörer”, säger Michael Veale, docent i digitala rättigheter och reglering vid University College Londons juridiska fakultet.
Det utbudet av kategorier var redan extremt brett, sa Veale, så lagring av data som faller utanför dessa kategorier väckte oro för att Europol utförde omotiverad övervakning av grupper som stereotypa var “misstänkta” eller “farliga.”
Vad som verkar klart är att beslutet från datatillsynsmannen kommer att väcka hård debatt om var EU ska dra gränsen mellan integritet och säkerhet. Några höga europeiska tjänstemän var snabba att svara: en, EU:s inrikeskommissionär Ylva Johansson, uttryckte sitt missnöje kort efter att beslutet tillkännagavs.
– Brottsbekämpande myndigheter behöver verktygen, resurserna och tiden för att analysera data som lagligen överförs till dem, säger Johansson till The Guardian. “I Europa är Europol plattformen som stödjer nationella polismyndigheter med denna häftiga uppgift.”
Johansson klargjorde sin oro för PoliticoEU och antydde att mindre nationella polisavdelningar inte skulle kunna vara meningsfulla av big data utan att dra nytta av Europols expertis.
“Polisverksamhet som inte respekterar de grundläggande rättigheterna kan i slutändan inte vara effektiv”
Men andra integritetsaktivister har välkomnat domen, som har hyllats som ett upprätthållande av EU-medborgarnas digitala rättigheter.
“Detta beslut … visar än en gång att i EU är rätten till integritet och dataskydd grundläggande rättigheter och skyddas som sådana, t.o.m. när trycket på dessa rättigheter kommer från polisen”, säger Gabriela Zanfir-Fortuna, vice ordförande för global integritet vid tankesmedjan Future of Privacy Forum.
“I en rättsstat måste polisverksamhet följa den rättsliga ramen. Polisverksamhet som inte respekterar grundläggande rättigheter kan inte i slutändan vara effektiv”, sa Zanfir-Fortuna.