Op 3 januari 2022 heeft de European Data Protection Supervisor (EDPS) Europol bevolen om gegevens te wissen van personen van wie niet vaststaat dat zij betrokken zijn bij criminele activiteiten. Dit naar aanleiding van het in 2019 gestarte onderzoek van de EDPS.

In het kader van zijn onderzoek heeft de EDPS Europol in al 2020 gewaarschuwd voor de voortdurende opslag van grote hoeveelheden gegevens zonder subjectcategorisering, wat een risico vormt voor de grondrechten van betrokkenen. Hoewel Europol sindsdien een aantal maatregelen heeft genomen, heeft de organisatie niet voldaan aan de verzoeken van EDPS om een passende gegevensbewaartermijn vast te stellen voor het filteren en abstraheren van persoonsgegevens die op grond van de Europol-verordening voor analyse zijn toegestaan. Dit betekent dat Europol deze gegevens langer dan nodig heeft bewaard, hetgeen in strijd is met de in de Europol-verordening neergelegde beginselen van gegevensminimalisering en opslagbeperking.

Gelet op bovenstaande heeft de EDPS besloten gebruik te maken van zijn corrigerende bevoegdheden en een bewaartermijn van 6 maanden op te leggen (voor het filteren en abstraheren van persoonsgegevens). Datasets die ouder zijn dan 6 maanden en deze categorisering van de betrokkene niet hebben ondergaan, moeten worden gewist. Dit betekent dat Europol gegevens over personen die niet in verband zijn gebracht met een misdrijf of criminele activiteit, niet meer gedurende lange perioden zonder vastgestelde termijn mag bewaren.

De EDPS heeft Europol twaalf maanden de tijd gegeven om aan het besluit te voldoen voor de gegevensbestanden die al waren ontvangen voordat Europol van dit besluit in kennis werd gesteld.

Wojciech Wiewiórowski (EDPS):  

“Europol has dealt with several of the data protection risks identified in the EDPS’ initial inquiry. However, there has been no significant progress to address the core concern that Europol continually stores personal data about individuals when it has not established that the processing complies with the limits laid down in the Europol Regulation. Such collection and processing of data may amount to a huge volume of information, the precise content of which is often unknown to Europol until the moment it is analysed and extracted - a process often lasting years. A 6-month period for pre-analysis and filtering of large datasets should enable Europol to meet the operational demands of EU Member States relying on Europol for technical and analytical support, while minimising the risks to individuals’ rights and freedoms. Furthermore, understanding the operational needs of Europol and the amount of data collected so far, I have decided to grant Europol a period of 12 months to ensure compliance with the Decision for the datasets already in Europol’s possession.’’

Bron: EDPS