EDPS gav för två år sedan Europol en reprimand för att polismyndigheten fortsatt lagra information i stor omfattning, vilket "utgör en risk för enskilda individers grundläggande rättigheter".
Sedan dess ska Europol ha infört vissa åtgärder, men inte ha gått med på begäran om ett slutdatum för när datan skulle tas bort.
"Det innebär att Europol behöll informationen längre än nödvändigt", skriver EDPS i ett uttalande, och meddelade i förra veckan Europol att gränsen för att lagra uppgifter i fråga var sex månader.
Europol har ett år på sig att göra sig av med informationen på ett säkert sätt.
EDPS avslöjar inte hur mycket data det gäller, men enligt brittiska The Guardian handlar det om fyra petabyte, eller fyra miljoner gigabyte.
Rättad: I en tidigare version av texten fanns en felaktig konvertering mellan petabyte och gigabyte.