Na początku 2023 r. EIOD wydał decyzję, w której nakazał Europolowi usunięcie danych starszych niż sześć miesięcy, o ile nie zostały one poddane kategoryzacji. Upraszczając – agencja powinna filtrować napływające od służb poszczególnych państw informacje, odsiewać te, których dalsze przetwarzanie jest uzasadnione, bo da się je powiązać z przestępczością, a pozostałe kasować. Chodzi o ogromny, liczony w petabajtach zbiór danych o co najmniej 250 tys. osób, które służby poszczególnych państw w jakiś sposób wiązały z działalnością przestępczą. Tyle że dotyczą one również osób przypadkowych. Europol latami utrzymywał tę bazę, uznając, że zgromadzone w niej informacje kiedyś mogą okazać się przydatne.
Po tej bezprecedensowej decyzji Parlament Europejski i Rada znowelizowały unijne rozporządzenie. Dodały też dwa przepisy, które legalizują z mocą wsteczną przetwarzanie danych bez stwierdzonego związku z działalnością przestępczą. Mówiąc wprost – nowe regulacje stanowią obejście decyzji EIOD i pozwalają dalej przetwarzać zakwestionowane dane.
– Musiałem wystąpić o stwierdzenie nieważności tych przepisów z dwóch powodów. Po pierwsze, aby chronić pewność prawa w wysoce wrażliwej dziedzinie, w której przetwarzanie danych osobowych wiąże się z poważnym ryzykiem dla osób, których te dane dotyczą. Po drugie, aby upewnić się, że prawodawca UE nie będzie bezzasadnie przesuwać granic w obszarze prywatności i ochrony danych, gdy niezależność organu nadzorczego wymaga pewności prawnej egzekwowanych przepisów – tłumaczy dr Wojciech Wiewiórowski, EIOD.
Jego zdaniem nowelizacja unijnego rozporządzenia stwarza niebezpieczny precedens próby niwelowania prawem skutków decyzji organu nadzorczego, jakim jest EIOD.