Европол не соблюдал меры по защите информации

Европол использовал закрытые платформы для анализа данных, содержащие большие объемы персональных данных без соблюдения мер защиты информации, требуемых законодательством ЕС. Так говорят в новом расследовании, выпущенном группой журналистов из британского издания Computer Weekly, немецкого Correctiv и греческого Solomon. В его основу легли показания нескольких бывших высокопоставленных сотрудников агентства, внутренние документы Европола и ставшие известными электронные письма.

Бывшие чиновники описали эту систему как «теневую ИТ-среду», работающую параллельно с официальными базами данных агентства. Она функционировала без базовых мер безопасности и защиты данных, требуемых законодательством ЕС.

Среди этих систем — сеть компьютерной криминалистики Европола (Europol’s Computer Forensic Network, CFN), которая изначально была создана для хранения цифровых материалов расследований. Она позволяла сотрудникам Европола получать доступ к конфиденциальной информации, включая записи телефонных разговоров, документы, удостоверяющие личность, финансовую информацию и данные о местоположении, а также данные лиц, не подозреваемых в совершении преступлений.

На практике это стало средой для анализа масштабных преступлений, несмотря на отсутствие контроля над тем, кто имеет доступ к данным или может их изменять. По данным Европейского надзорного органа защите данных (EDPS), это подвергло граждан риску неправомерного связывания с преступной деятельностью, со всеми вытекающими последствиями для их жизни.

По словам бывшего высокопоставленного сотрудника Европола, создание среды параллельной обработки данных без ограничений обходится дешевле, быстрее и эффективнее. Но, таким образом, все полностью зависит от человека, сидящего перед экраном.

Расследование опубликовали в момент, когда Европол собирается получить дополнительные ресурсы и полномочия по в координации борьбы с контрабандой и торговлей людьми, включая обработку биометрических персональных данных. Агентство получит дополнительное финансирование в размере 50 млн евро и расширит свой штат.

В 2019 году агентство уже вступало в конфликт с EDPS по поводу обработки больших массивов, включая персональные данные не связанных с преступлениями лиц. Выяснилось, что 99% оперативных данных Европола хранились и обрабатывались в CFN без элементарных мер защиты и безопасности информации. Аналитики Европола могли просматривать огромные массивы персональных данных, включая те, которые они не имели права хранить, и использовать ее для криминалистического анализа.

Итогом стало распоряжение регулятора, что Европол должен удалить данные, которые он хранил в нарушение законодательства ЕС. EDPS продолжал мониторинг системы в последующие годы. К февралю 2026 он собрался прекратить мониторинг, несмотря на то, часть предписаний по безопасности не была выполнена.

Однако, как показало расследование, часть информации Европол скрывал от регулятора. Среди них инструмент Pressure Cooker, который позволяет сотрудникам Европола хранить и анализировать оперативные данные без соблюдения ограничений, установленных законодательством ЕС о защите информации и без ведома EDPS.

Европол опроверг результаты расследования и заявил, что операционная среда функционирует в соответствии с законодательством ЕС.