Uitspraak: Europol moet data niet-verdachte personen verwijderen

EDPS deed onderzoek naar het verwerken van grote datasets door Europol (1). Dat onderzoek startte de toezichthouder in 2019 op eigen initiatief, vanwege zorgen over de grote hoeveelheden data die Europol verwerkte.

Grote hoeveelheden data bewaard  

Europol staat lidstaten van de Europese Unie bij in de strijd tegen ernstige criminaliteit en ontvangt daarom veel data van Europese politiediensten. Deze data mag Europol volgens de Europol  Regulation  tijdelijk bewaren om onderscheid te maken tussen data van verdachte en niet-verdachte personen (2). De dienst mag data van verdachte personen vervolgens bewaren, maar moet data van niet-verdachte personen binnen zes maanden verwijderen. Tot nu toe bewaarde de dienst ook data van niet-verdachte personen langer dan zes maanden. Dat is dus tegen de regels, concludeert de EDPS.  

Volgens de Britse krant The  Guardian  omvat de database van Europol minimaal vier  petabytes . Een groot deel daarvan betreft data over niet-verdachte personen en moet de internationale politieorganisatie nu dus verwijderen. De organisatie krijgt een jaar de tijd om dat te doen (3).  

In 2020 tikte de EDPS Europol ook al op de vingers vanwege de onnodige opslag van data. Het samenwerkingsverband nam toen enkele maatregelen, maar niet genoeg volgens de EDPS.  

(1) EDPS orders Europol to erase data concerning individuals with no established link to a criminal activity - EDPS (https://edps.europa.eu/press-publications/press-news/press-releases/2022/edps-orders-europol-erase-data-concerning_en)
(2) Supervision of Europol - EDPS (https://edps.europa.eu/data-protection/our-role-supervisor/supervision-europol_en)
(3) A data ‘black hole’: Europol ordered to delete vast store of personal data – The Guardian (https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data)