Din varukorg är för närvarande tom!
EU:s dataskyddsmyndighet tvingar Europol att radera uppgifter om personer utan koppling till brott
Den 3 januari 2022 gav europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS) Europol ett föreläggande. Europol måste radera uppgifter om personer som inte tydligt har kopplats till brottslig verksamhet, inom sex månader. EDPS slår fast att Europol inte har rättsligt stöd för att lagra uppgifterna på obestämd tid.
Europol är Europeiska unionens (EU) byrå för polissamarbete. Europol bistår polismyndigheterna i EU:s medlemsstater. Europol hjälper dem att samordna polisinsatser och möjliggör lagring, utbyte och analys av uppgifter från brottsutredningar.
Europol behöver personuppgifter för att kunna utföra operativ och strategisk analys
Europols behandling av personuppgifter som rör brott, regleras av Europolförordningen (EU 2016/794). I denna förordning fastställs begränsningar: Europol får endast behandla personuppgifter om enskilda personer som har en tydlig koppling till brottslig aktivitet. En koppling föreligger om Europol anser att denna person är en potentiell misstänkt, vittne, offer eller liknande. Processen för att avgöra vilken av dessa kategorier en person tillhör, och därmed avgöra om Europol ens lagligen får analysera dem, kallas ”kategorisering av registrerade”.
Enligt artikel 18.2 i Europolförordningen får Europol behandla personuppgifter för operativ och strategisk analys. Operativ analys innebär att man analyserar uppgifter för att lösa brottsfall. Strategisk analys handlar om att förstå brottslighet och brottstrender för att hjälpa staten att utvärdera effektiviteten i lagstiftning, förebyggande åtgärder eller sättet att utreda brott.
I april 2019 undersökte EDPS hur Europol använder Big Data för strategisk och operativ analys av personuppgifter som Europol har. EDPS avslutade tillsynen i september 2020 och kom fram till att behandlingen medförde en hög risk för de registrerade och hade en potentiellt allvarlig inverkan på deras grundläggande fri- och rättigheter.
Lagring av rå brottsdata utan slutdatum saknade rättslig grund
EDPS ansåg att Europol inte hade den nödvändiga rättsliga grunden för att på obestämd tid lagra rådata från brottsutredningar som överförs av medlemsstaterna. EDPS menade också att Europol inte heller får analysera uppgifterna innan de registrerade kategoriserats. I september 2020 ansåg EDPS att det var lämpligare att ge Europol uppgiften att utarbeta en handlingsplan än att beordra radering av uppgifterna.
Under de följande månaderna hade de två EU-organen en serie skriftväxlingar. Sammanfattningsvis tillhandahöll Europol en handlingsplan och statusrapporter. EDPS var fortfarande bekymrad över hanteringen av rådata från brottsutredningar. EDPS begärde att Europol skulle fastställa en maximal lagringsperiod. Europol vägrade och menade att en fastställd lagringsperiod allvarligt skulle begränsa pågående brottsutredningar. EDPS informerade Europol i juli 2021 om att de avsåg tvinga fram en lagringstid för uppgifter.
EDPS framhåller att lagens begränsning om vem som får registreras måste beaktas vid bedömningen av riskerna för de registrerade. När en nationell polismyndighet överför brottsuppgifter till Europol delas och samkörs dessa uppgifter också med brottsbekämpande myndigheter i andra länder. Enligt EDPS uppfattning ökar detta den potentiella omfattningen och riskerna för de registrerade utöver den risk som den nationella polisens databehandling medför.
EDPS beslut innebär att Europol måste införa en lagringstid på max 6 månader, för rådata där de registrerade inte kategoriserats. För rådata som samlats in före EDPS beslut ges dock en övergångsperiod på 12 månader.
Den 10 januari 2022 rapporterade tidningen the Guardian att EU-kommissionen föreslagit ändringar av Europolförordningen. Om lagförslaget antas kan det innebära att Europol inte behöver radera uppgifterna.
För mer information: