Det mener EDPS, som i et vedtak publisert mandag pålegger det europeiske politisamarbeidet Europol å slette store mengder persondata. EDPS (European Data Protection Supervisor) er det organet som har oppsyn med håndhevingen av EUs personvernforordning GDPR
– Slik innsamling og behandling av data kan utgjøre et enormt volum av informasjon, hvis nøyaktige innhold ofte er ukjent for Europol før det blir analysert og filtrert. Den prosessen kan vare i årevis. En seksmåneders periode for å forhåndsanalysere og filtrere store datasett bør gjøre det mulig for Europol å møte egne operasjonelle krav, samtidig som risikoen for enkeltpersoners rettigheter minimeres, skriver Wojciech Wiewiórowski, leder i EDPS, på tilsynets nettsider.
– Kan vår felles formue forvaltes av kunstig intelligens?
Begrenser tiden til filtrering
Siden 2019 har EDPS gjort undersøkelser av Europols databehandling, og Europol har gjort visse tilpasninger.
– Europol har håndtert flere av risikoene identifisert i EDPS’ første undersøkelse. Det har imidlertid ikke vært noen vesentlige fremskritt i den viktigste bekymringen, at Europol fortsetter å lagre personopplysninger om enkeltpersoner der det ikke er slått fast at behandlingen er lovlig i henhold til Europol-forordningen, skriver Wiewiórowski.
Med andre ord: Europol har sittet for lenge på datasett som inneholder data om personer Europol ikke har rett til å behandle data om. Det bryter mot prinsippene om dataminimering og lagringsbregrensning.
EDPS har bedt Europol definere hva som ville være en passende periode for lagring mens de filtrerer og trekker ut de personopplysningene Europol har lov til å behandle. Det har de ifølge EDPS ikke gjort.
– Derfor har EDPS besluttet å pålegge en maksimal oppbevaringsperiode på seks måneder til filtrering og uttrekk. Datasett som er eldre enn seks måneder, som ikke har blitt kategorisert, må slettes, skriver EDPS.
Europol får ett år på seg til å sortere ut hva de har lov til å beholde og ikke av data de har samlet før vedtaket var klart.
Store mengder data
Datasettene det er snakk om, inneholder milliarder av punkter, og samlet skal det være snakk om minst fire petabyte, ifølge the Guardian, som skal ha sett interne dokumenter. Én petabyte er det samme som 1000 terabyte.
I datasettene skal det være sensitive data om minst en kvart million personer som er eller har vært mistenkt for terror eller annen alvorlig kriminalitet eller har vært i kontakt med mistenkte personer. Dataene har blitt samlet fra nasjonale myndigheter over de siste seks årene, gjennom store datadumper fra et ukjent antall etterforskninger, skriver the Guardian.
En «alvorlig utfordring» for Europol
Vedtaket viser splittelse i EU og synliggjør vanskelige avveininger mellom europeeres personvern og sikkerhet.
EUs innenrikskommissær Ylva Johansson har forsvart Europol.
– Håndhevende myndigheter trenger verktøyene, ressursene og tiden det tar å analysere data som er overført til dem på lovlig måte. I Europa er Europol plattformen som støtter nasjonale politimyndigheter i denne enorme oppgaven, sa hun.
Hun mener vedtaket kan utgjøre «en alvorlig utfordring» for Europols evne til å oppfylle sine plikter.
Kommisjonen foreslo i fjor store endringer i Europol-forordningen for å gi Europol større fullmakter til databehandling. Skulle endringene bli vedtatt, kan de likevel gjøre de store datasettene til Europol lovlige, og Europol vil kunne bruke datasettene som testdatasett for maskinlæring.
KI-arkivering: Treffer på 96 prosent