EU:s dataskyddsmyndighet tvingar Europol att radera uppgifter om personer utan koppling till brott

Den 3 januari 2022 gav europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS) Europol ett föreläggande. Europol måste radera uppgifter om personer som inte tydligt har kopplats till brottslig verksamhet, inom sex månader. EDPS slår fast att Europol inte har rättsligt stöd för att lagra uppgifterna på obestämd tid.

Europol är Europeiska unionens (EU) byrå för polissamarbete. Europol bistår polismyndigheterna i EU:s medlemsstater. Europol hjälper dem att samordna polisinsatser och möjliggör lagring, utbyte och analys av uppgifter från brottsutredningar.

Europol behöver personuppgifter för att kunna utföra operativ och strategisk analys

Europols behandling av personuppgifter som rör brott, regleras av Europolförordningen (EU 2016/794). I denna förordning fastställs begränsningar: Europol får endast behandla personuppgifter om enskilda personer som har en tydlig koppling till brottslig aktivitet. En koppling föreligger om Europol anser att denna person är en potentiell misstänkt, vittne, offer eller liknande. Processen för att avgöra vilken av dessa kategorier en person tillhör, och därmed avgöra om Europol ens lagligen får analysera dem, kallas “kategorisering av registrerade”.

Enligt artikel 18.2 i Europolförordningen får Europol behandla personuppgifter för operativ och strategisk analys. Operativ analys innebär att man analyserar uppgifter för att lösa brottsfall. Strategisk analys handlar om att förstå brottslighet och brottstrender för att hjälpa staten att utvärdera effektiviteten i lagstiftning, förebyggande åtgärder eller sättet att utreda brott.

I april 2019 undersökte EDPS hur Europol använder Big Data för strategisk och operativ analys av personuppgifter som Europol har. EDPS avslutade tillsynen i september 2020 och kom fram till att behandlingen medförde en hög risk för de registrerade och hade en potentiellt allvarlig inverkan på deras grundläggande fri- och rättigheter.

Lagring av rå brottsdata utan slutdatum saknade rättslig grund

EDPS ansåg att Europol inte hade den nödvändiga rättsliga grunden för att på obestämd tid lagra rådata från brottsutredningar som överförs av medlemsstaterna. EDPS menade också att Europol inte heller får analysera uppgifterna innan de registrerade kategoriserats. I september 2020 ansåg EDPS att det var lämpligare att ge Europol uppgiften att utarbeta en handlingsplan än att beordra radering av uppgifterna.

Under de följande månaderna hade de två EU-organen en serie skriftväxlingar. Sammanfattningsvis tillhandahöll Europol en handlingsplan och statusrapporter. EDPS var fortfarande bekymrad över hanteringen av rådata från brottsutredningar. EDPS begärde att Europol skulle fastställa en maximal lagringsperiod. Europol vägrade och menade att en fastställd lagringsperiod allvarligt skulle begränsa pågående brottsutredningar. EDPS informerade Europol i juli 2021 om att de avsåg tvinga fram en lagringstid för uppgifter.

EDPS framhåller att lagens begränsning om vem som får registreras måste beaktas vid bedömningen av riskerna för de registrerade. När en nationell polismyndighet överför brottsuppgifter till Europol delas och samkörs dessa uppgifter också med brottsbekämpande myndigheter i andra länder. Enligt EDPS uppfattning ökar detta den potentiella omfattningen och riskerna för de registrerade utöver den risk som den nationella polisens databehandling medför.

EDPS beslut innebär att Europol måste införa en lagringstid på max 6 månader, för rådata där de registrerade inte kategoriserats. För rådata som samlats in före EDPS beslut ges dock en övergångsperiod på 12 månader.

Den 10 januari 2022 rapporterade tidningen the Guardian att EU-kommissionen föreslagit ändringar av Europolförordningen. Om lagförslaget antas kan det innebära att Europol inte behöver radera uppgifterna.

För mer information:

EDPS pressmeddelande med länk till beslutet och FAQ

The Guardians artikel den 10 januari 2022

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart