Op woensdag 6 september heeft het Gerecht van de Europese Unie (GEU) een beroep van de Europese Toezichthouder voor Gegevensbescherming (EDPS) tegen de wijzigingen van de EU-wetgever in de recente Europol-verordening verworpen. De betwiste bepalingen geven Europol, het EU-Agentschap voor samenwerking op het gebied van rechtshandhaving, de mogelijkheid om grote datasets van EU-burgers te verwerken, ongeacht of deze gegevens verband houden met een specifieke criminele activiteit. De EDPS is van plan om verder in beroep te gaan bij het hoogste EU-hof.
In 2016 vierde de EU de inwerkingtreding van de zogenaamde "Europol-verordening" ((EU) 2022/991). De verordening legt een wettelijk kader vast voor nationale handhavingsautoriteiten in de Unie om samen te werken bij anti-criminele operaties, evenals een toezichtsysteem voor andere instellingen om de activiteiten van het agentschap te controleren. Onder de toezichthouders valt ook de EDPS, die specifiek verantwoordelijk is voor het toezicht op de verwerking van persoonsgegevens van EU-burgers door Europol. Vorig jaar hebben het Europees Parlement en de Europese Raad, de medewetgevers van de Unie, een gewijzigde versie van de verordening goedgekeurd die onder andere de bevoegdheden van Europol wil uitbreiden. Volgens twee amendementen zouden de nieuwe bevoegdheden van het agentschap ook van toepassing zijn op alle gegevens die Europol legaal had bewaard op het moment dat de gewijzigde verordening van kracht zou worden (juni 2022).
Voordat de EU-wetgever zelfs de nieuwe amendementen goedkeurde, maakte de EDPS zich ernstig zorgen dat de opslag van gegevens van burgers door Europol fundamentele beginselen van gegevensbescherming negeerde, zoals gegevensminimalisatie en beperking van opslag. Volgens de EDPS bewaarde Europol de gegevens van individuen gedurende een onbepaalde periode, zelfs wanneer deze informatie niet aan enige criminele activiteit kon worden gekoppeld. Dit laatste was een expliciete procedurele eis voor Europol om persoonsgegevens te verwerken. De Europese privacy-waakhond beval Europol daarom aan alle informatie te verwijderen die langer dan 6 maanden was bewaard en die niet als crimineel relevant was gecategoriseerd (1).
Voordat de deadline om aan het besluit te voldoen verliep, keurde de EU-wetgever de amendementen op de Europol-verordening goed, die in de praktijk Europol zou toestaan om door te gaan met het willekeurig bewaren en verwerken van persoonsgegevens van burgers. De enige voorwaarde voor dergelijke verwerking om legitiem te zijn, is dat Europol autorisatie krijgt van de betrokken lidstaat of andere EU-handhavingsinstanties. Dit komt bovenop het feit dat Europol onder de nieuwe amendementen ook rechtstreeks gegevens van particuliere partijen mag ontvangen ter bestrijding van (online) criminaliteit.
Met een ongekende zet besloot de EDPS rechtstreeks in beroep te gaan bij het GEU, het eerste instantie gerecht van de Unie, voor de nietigverklaring van de betwiste amendementen op de Europol-verordening. Volgens de EDPS houden deze uitgebreide bevoegdheden in de praktijk in dat Europol persoonsgegevens op dezelfde manier zou mogen behandelen, ongeacht of deze verband houden met criminele activiteiten. Bovendien betwistte de EDPS ook de wettigheid van de mogelijkheid voor Europol om retrospectief gegevensverzamelingen te verwerken waar het toegang toe had voordat de nieuwe regels van toepassing werden. De EDPS klaagde met name dat de uitbreiding van het mandaat van Europol niet wordt gecompenseerd met sterke gegevensbeschermingswaarborgen die effectief toezicht op de nieuwe bevoegdheden van het agentschap zouden mogelijk maken (2). De toezichthouder betoogde ook dat de poging van de EU-wetgever om het toezicht van de EDPS te omzeilen een "zorgwekkend precedent" zou kunnen scheppen, ten koste van de toekomstige politieke onafhankelijkheid van de privacy-waakhond.
Toch heeft het GEU de beroep van de EDPS afgewezen op grond van het feit dat deze geen bevoorrechte status heeft om de nietigverklaring van een bindende handeling van een EU-instelling te verzoeken (3). Onder het EU-grondwettelijk recht is een van de voorwaarden voor rechtspersonen en natuurlijke personen die een bindende handeling van een EU-instelling voor een EU-hof willen aanvechten, dat de eiser kan bewijzen dat de betwiste handeling direct van invloed is op hun juridische positie. Het GEU heeft in dit geval het argument niet aanvaard dat de nieuwe Europol-verordening directe gevolgen heeft voor het mandaat van de EDPS. Het GEU argumenteerde hier met name dat de eerste opdracht van de EDPS tegen Europol een administratieve beslissing is die geen enkele juridische of feitelijke relatie kan hebben met de nieuwe wetgevende maatregelen.
PONT | Data & Privacy Web heeft contact opgenomen met de EDPS om verder commentaar te krijgen op het oordeel van het GEU. De EDPS verklaart dat het wordt overwogen om verdere stappen te ondernemen om zo het Hof van Justitie van de Europese Unie te verzoeken haar standpunt over de inhoud van de betwiste wettelijke bepalingen te geven.
(1) https://edps.europa.eu/data-protection/our-work/publications/investigations/edps-orders-europol-erase-data-concerning_en;
(2) https://edps.europa.eu/press-publications/press-news/press-releases/2022/edps-takes-legal-action-new-europol-regulation-puts-rule-law-and-edps-independence-under-threat_en;
(3) https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-09/cp230134en.pdf
