Udostępnienie danych osobowych organom z państw trzecich – na jakich zasadach

Opracowanie: Michał Kowalski

Wytyczne EROD dotyczą udostępniania danych osobowych organom z państw trzecich przez organizacje mające swoją siedzibę w Europejskim Obszarze Gospodarczym (EOG). Udostępnianie takie ma miejsce m.in. w związku z gromadzeniem dowodów w przypadku przestępstw, weryfikacji transakcji finansowych czy też zatwierdzaniu nowych leków. EROD zaznacza, że administrator danych osobowych, który otrzymuje od organu z państwa trzeciego wniosek o udostępnienie danych, nie jest zwolniony z obowiązków wynikających z RODO. Innymi słowy, udostępnienie danych osobowych organowi z państwa trzeciego stanowi przetwarzanie tych danych podlegające ogólnemu rozporządzeniu o ochronie danych.

Zgodnie z art. 48 RODO wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą zostać uznane lub być egzekwowalne wyłącznie, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a UE lub państwem członkowskim, bez uszczerbku dla innych podstaw przekazania.

W przypadku braku takiej umowy, w wyjątkowych okolicznościach dopuszczalne jest udostępnienie danych osobowych organowi z państwa trzeciego na bazie innej podstawy prawnej.

Celem wytycznych jest wyjaśnienie, jak stosować ten przepis tj. w jaki sposób ocenić, czy żądanie jest uzasadnione w świetle wymienionych w tym przepisie przesłanek.

Wytyczne dotyczące art. 48 RODO są dostępne tutaj. Do 27 stycznia 2025 r. trwać będą konsultacje publiczne dotyczące ich treści.