Europol, EU's retshåndhævende agentur, er blevet beordret til at slette et stort lager af personlige data indsamlet fra politikontorer i EU-medlemslande i løbet af de sidste seks år. Sletningsordren kommer fra European Data Protection Supervisor (EDPS), en vagthund, der fører tilsyn med EU-institutionernes overholdelse af lovgivningen om privatliv og databeskyttelse.
EDPS har givet Europol et år til at gennemgå sine databaser og derefter fjerne alle data, der ikke kan kædes sammen med en kriminel efterforskning.
Den samlede mængde data, der er lagret i Europols systemer, beløber sig til omkring 4 petabyte ifølge rapportering i The Guardian – svarende til hundredvis af milliarder sider med trykt tekst – og inkluderer data om mindst en kvart million nuværende eller tidligere terror og alvorlig kriminalitet mistænkte sammen med andre personer i dets kontaktnetværk. Dataene er hentet fra strafferetlige efterforskninger udført af nationale politimyndigheder i EU-lande, som derefter blev delt med Europol.
“Europol har ikke efterkommet EDPS' anmodninger om at definere en passende datalagringsperiode”
I teksten til afgørelsen citerer EDPS en indledende undersøgelse af Europols håndtering af følsomme data i 2019, som konkluderede, at Europol opbevarede personoplysninger om kriminalitet og terrormistænkte uden tilstrækkelig kontrol af, om overvågning af markerede personer var berettiget. Et år senere sendte den tilsynsførende en formaning til Europol for at have undladt at overholde databestemmelserne og udsætte EU-borgere i risiko for at blive uretmæssigt forbundet med kriminel aktivitet.
“Selvom nogle foranstaltninger er blevet truffet oprettet af Europol siden da, har Europol ikke efterkommet EDPS' anmodninger om at definere en passende dataopbevaringsperiode til at filtrere og udtrække de personoplysninger, der er tilladt til analyse i henhold til Europol-forordningen,” skrev EDPS i en pressemeddelelse, der fulgte med beslutning.
I mangel af en klar handlingslinje har den tilsynsførende nu grebet mere kraft ind og givet Europol et år til at sortere i eksisterende data for at finde ud af, hvad der lovligt kan opbevares, og beordret den til at slette alle nyligt indsamlede data, der ikke er kategoriseret inden for seks måneder.
“Det er uklart, hvilke præcise typer data Europol så gerne vil holde fast i, men vi ved, at det er store datasæt, der i det mindste delvist består af data om personer, som Europol i øjeblikket ikke føler, de kan kategorisere inden for 'mistænkte', 'potentiel fremtid' kriminelle', 'kontakter og associerede', 'ofre', 'vidner' og 'informanter',” sagde Michael Veale, lektor i digitale rettigheder og regulering ved University College Londons juridiske fakultet.
Den række af kategorier var allerede ekstremt bred, sagde Veale, så lagring af data, der falder uden for disse kategorier, gav anledning til bekymring for, at Europol udførte uberettiget overvågning af grupper, der stereotype var “mistænkelige” eller “farlige.”
Det, der synes klart, er, at beslutningen fra EDPS vil fremkalde heftig debat om, hvor EU skal trække grænsen mellem privatliv og sikkerhed. Nogle højtstående europæiske embedsmænd var hurtige til at reagere: en, EU's indenrigskommissær Ylva Johansson, udtrykte sin utilfredshed kort efter, at beslutningen blev offentliggjort.
“De retshåndhævende myndigheder har brug for værktøjerne, ressourcerne og tiden til at analysere data, der lovligt overføres til dem,” sagde Johansson til The Guardian. “I Europa er Europol platformen, der støtter de nationale politimyndigheder med denne store opgave.”
Johansson præciserede sine bekymringer over for PoliticoEU og antydede, at mindre nationale politiafdelinger ville være ude af stand til at give mening af big data uden at trække på Europols ekspertise.
“Politiarbejde, der ikke respekterer grundlæggende rettigheder, kan i sidste ende ikke være effektivt”
Men andre privatlivsforkæmpere har hilst dommen velkommen, som er blevet fejret som en opretholdelse af EU-borgeres digitale rettigheder.
“Denne beslutning … viser endnu en gang, at i EU er retten til privatlivets fred og databeskyttelse grundlæggende rettigheder og beskyttes som sådan, selv når presset på disse rettigheder kommer fra politiarbejde,” sagde Gabriela Zanfir-Fortuna, vicepræsident for globalt privatliv i tænketanken Future of Privacy Forum.
“I en retsstat skal politiaktiviteter følge de juridiske rammer. Politi, der ikke respekterer grundlæggende rettigheder, kan i sidste ende ikke være effektiv,” sagde Zanfir-Fortuna.