Європейський наглядовий орган із захисту даних наказав Європолу видалити дані про осіб, які не мають жодного зв’язку зі злочинною діяльністю.
3 січня 2022 року EDPS повідомила Європол про порядок видаляти дані щодо осіб, які не мають встановленого зв’язку зі злочинною діяльністю (категорія суб’єкта даних). Цим Рішенням завершується розпочатий у 2019 році запит EDPS.
У контексті свого розслідування EDPS закликав Європол у вересні 2020 року продовжувати зберігати великі обсяги даних без категоризації суб’єктів даних, що створює ризик для основних прав осіб. Хоча з тих пір Європол запровадив деякі заходи, Європол не виконав запити EDPS щодо визначення відповідного періоду зберігання даних для фільтрації та вилучення персональних даних, дозволених для аналізу згідно з Регламентом Європолу. Це означає, що Європол зберігав ці дані довше, ніж це було необхідно, всупереч принципам мінімізації даних та обмеження їх зберігання, закріпленим у Регламенті Європолу.
У світлі вищевикладеного EDPS вирішив використати свої коригувальні повноваження та встановити 6-місячний період зберігання (для фільтрації та вилучення персональних даних). Набори даних старше 6 місяців, які не пройшли цю категоризацію суб’єктів даних, мають бути стерті. Це означає, що Європолу більше не буде дозволено зберігати дані про людей, які не були пов’язані зі злочином або злочинною діяльністю протягом тривалого періоду без встановленого терміну. EDPS надав Європолу 12-місячний період для виконання рішення щодо наборів даних, які вже були отримані до повідомлення Європолу про це рішення.
Про це сказав Войцех Вевьоровський, EDPS: «Європол впорався з кількома ризиками захисту даних, виявленими під час первинного запиту EDPS. Проте істотного прогресу у вирішенні основного занепокоєння щодо того, що Європол постійно зберігає персональні дані про фізичних осіб, не було досягнуто, якщо не встановлено, що обробка відповідає обмеженням, встановленим у Регламенті Європолу. Такий збір та обробка даних може становити величезний обсяг інформації, точний зміст якої часто невідомий Європолу до моменту її аналізу та вилучення – процес, який часто триває роками. 6-місячний період для попереднього аналізу та фільтрації великих наборів даних повинен дозволити Європолу задовольнити оперативні потреби держав-членів ЄС, покладаючись на технічну та аналітичну підтримку Європолу, мінімізуючи при цьому ризики для прав і свобод осіб. Крім того, розуміючи оперативні потреби Європолу та обсяг даних, зібраних на даний момент, я вирішив надати Європолу період у 12 місяців, щоб забезпечити відповідність Рішенню для наборів даних, які вже є у розпорядженні Європолу».
EDPS впевнений, що цей наказ забезпечить дотримання Європолом своїх зобов'язань згідно з Регламентом Європолу, зберігши його оперативні можливості.
Для отримання додаткової інформації прочитайте Рішення EDPS і "ЧАСТІ ЗАПИТАННЯ” на сайті ЄДПД.
Вихідна інформація
Правила захисту даних, що застосовуються до Агентства ЄС із співробітництва з правоохоронними органами (Європол), а також наглядові завдання Європейського наглядового органу із захисту даних (EDPS), викладені в Регламент (ЄС) 2016 / 794 (Положення про Європол). Повноваження EDPS щодо Європолу викладені в Стаття 43 Регламенту (ЄС) 2016/794.
Про запит EDPS та застереження щодо проблеми Європолу щодо великих даних: 30 квітня 2019 року EDPS вирішив відкрити розслідування з власної ініціативи щодо обробки великих наборів даних Європолом для цілей стратегічного та оперативного аналізу. Еволюція діяльності Європолу з обробки персональних даних великих наборів даних викликала занепокоєння, пов’язане з дотриманням правил Європолу щодо захисту даних, викладених у Регламенті Європолу, зокрема з принципами обмеження цілей, мінімізації даних, точності даних, обмеження зберігання, впливу потенційних зломів даних, місця зберігання, загального управління та інформаційної безпеки. 17 вересня 2020 року EDPS завершив своє розслідування та видав Європолу попередження, оскільки структурні проблеми залишаються, зокрема щодо дотримання принципів мінімізації даних (відповідність додатку II B Регламенту про Європол) та збереження даних. EDPS закликав Європол вжити всіх необхідних і відповідних заходів для зменшення ризиків для фізичних осіб в результаті такої діяльності з обробки персональних даних. Європол також було запрошено повідомити ЄКЗД про свій план дій щодо вирішення цього застереження.
Войцех Вевьоровський (EDPS) був призначений спільним рішенням Європейського парламенту та Ради на п’ятирічний термін, який починається 6 грудня 2019 року.
Особисті дані: див. Глосарій EDPS
Обробка персональних даних: див. Глосарій EDPS
Принцип мінімізації даних: Відповідно до статті 28(1)(c) Регламенту №2016/794, персональні дані повинні бути адекватними, відповідними та обмеженими тим, що необхідно для цілей, для яких ці дані обробляються.
Принцип обмеження зберігання: Відповідно до статті 28(1)(e) Регламенту №2016/794, персональні дані, які обробляються Європолом, зберігаються у формі, яка дозволяє ідентифікувати суб’єктів даних не довше, ніж це необхідно для цілей, для яких обробляються персональні дані.