Polska firma technologiczna z Krakowa chce przesłać dane osobowe klientów do swojego partnera biznesowego w Paryżu. Na papierze wygląda to prosto – obydwa kraje należą do Unii Europejskiej. W praktyce wiele firm pomija istotne kroki compliance, narażając się na interwencję PUODO lub CNIL.
Transfer danych osobowych z Polski do Francji odbywa się w ramach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Ponieważ Francja jest państwem członkowskim UE, dane mogą przepływać swobodnie – bez konieczności stosowania standardowych klauzul umownych ani uzyskiwania decyzji stwierdzającej odpowiedni stopień ochrony. Obowiązki wynikają jednak z samego RODO: musi istnieć podstawa prawna przetwarzania, umowa powierzenia lub uzgodnienia między współadministratorami, a podmiot danych musi być właściwie poinformowany.
Ten przewodnik przeprowadza przez cały proces krok po kroku. Omawiamy podstawy prawne, typowe błędy, trzy scenariusze biznesowe oraz kwestie szczegółowe – w tym wpływ AI Act i DORA na przepływ danych między Polską a Francją.
Dlaczego transfer wewnątrz UE to nie to samo co brak obowiązków?
Pierwsza i najczęstsza pułapka: przedsiębiorcy mylą swobodny transfer z bezwarunkowym. RODO znosi bariery geograficzne między państwami członkowskimi, ale nie zwalnia z obowiązków dotyczących samego przetwarzania. Każdy przepływ danych między Polską a Francją musi opierać się na ważnej podstawie prawnej z art. 6 RODO – zgoda, umowa, obowiązek prawny, interes publiczny, żywotne interesy lub prawnie uzasadniony interes administratora.
W relacjach B2B kluczowe jest rozróżnienie między powierzeniem przetwarzania a współadministrowaniem. Jeśli polska spółka przekazuje dane do francuskiego podmiotu, który przetwarza je wyłącznie na zlecenie i według instrukcji – mamy do czynienia z powierzeniem. Wymaga to umowy powierzenia (art. 28 RODO). Jeśli obydwa podmioty wspólnie ustalają cele i środki przetwarzania – mamy współadministrowanie (art. 26 RODO), które wymaga odrębnych uzgodnień.
PUODO i CNIL (francuski organ nadzorczy) mogą wszcząć postępowanie niezależnie od siebie. Kara za brak umowy powierzenia może wynieść do 10 mln EUR lub 2% globalnego obrotu. To nie jest ryzyko abstrakcyjne – CNIL w 2023 roku nałożyła kilkanaście kar na podmioty działające transgranicznie w ramach UE.
Warto też pamiętać, że obowiązki informacyjne wobec podmiotów danych (art. 13–14 RODO) muszą być spełnione niezależnie od tego, czy transfer odbywa się do Francji, Niemiec, czy pozostaje w Polsce. Brak klauzuli informacyjnej to samodzielne naruszenie – niezwiązane z geografią przepływu.
Jakie kroki należy podjąć przed pierwszym transferem danych do Francji?
Przed uruchomieniem jakiegokolwiek przepływu danych do Francji firma powinna przejść przez cztery etapy. Dają one podstawy do obrony przed PUODO lub CNIL oraz minimalizują ryzyko operacyjne. Każdy etap ma konkretny termin i dokument wyjściowy.
Etap 1 – Mapowanie przepływu danych. Zidentyfikuj, jakie kategorie danych (zwykłe czy szczególne z art. 9 RODO), jakie podmioty i jakie systemy informatyczne są zaangażowane. Czas: 3–5 dni roboczych dla małej organizacji. Wynik: zaktualizowany rejestr czynności przetwarzania (art. 30 RODO).
Etap 2 – Kwalifikacja relacji prawnej. Ustal, czy partner francuski to procesor, współadministrator, czy odrębny administrator. Jeśli nie masz pewności – to sygnał, że umowa wymaga doprecyzowania zakresu obowiązków.
Etap 3 – Zawarcie odpowiedniej umowy. Umowa powierzenia (DPA) lub uzgodnienia współadministratorów powinny być podpisane przed pierwszym transferem. Umowa DPA musi zawierać elementy z art. 28 ust. 3 RODO: przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych, kategorie podmiotów danych oraz obowiązki i prawa administratora. Standardowy czas przygotowania umowy przez kancelarię: 5–10 dni roboczych.
Etap 4 – Aktualizacja dokumentacji i klauzul informacyjnych. Polityki prywatności, klauzule informacyjne i wewnętrzne procedury muszą odzwierciedlać nowy przepływ danych. Jeśli dane dotyczą pracowników – konieczna jest aktualizacja regulaminu pracy zdalnej lub polityki HR.
- Zaktualizowany rejestr czynności przetwarzania (art. 30 RODO)
- Podpisana umowa powierzenia lub uzgodnienia współadministratorów
- Zaktualizowane klauzule informacyjne dla podmiotów danych
- Ocena skutków dla ochrony danych (DPIA) – jeśli przetwarzanie jest wysokiego ryzyka
- Dokumentacja wdrożonych środków technicznych i organizacyjnych
Ocena skutków dla ochrony danych (DPIA, art. 35 RODO) jest obowiązkowa, gdy przetwarzanie „może powodować wysokie ryzyko". Dotyczy to w szczególności profilowania, danych szczególnych kategorii lub monitorowania na dużą skalę. PUODO opublikował listę rodzajów operacji wymagających DPIA – warto ją sprawdzić przed uruchomieniem transferu.
Jeśli Twoja firma analizuje podobne procesy w innych jurysdykcjach unijnych, pomocne może być zapoznanie się z naszym przewodnikiem dotyczącym transferu danych z Polski na Cypr, który omawia analogiczne mechanizmy w innym kontekście regulacyjnym UE.
Most importantly: nie istnieje żaden wymóg notyfikacji PUODO ani CNIL przed transferem wewnątrzunijnym. Obowiązek zgłoszenia powstaje dopiero w przypadku naruszenia ochrony danych (art. 33 RODO) – w ciągu 72 godzin od stwierdzenia naruszenia.
Trzy scenariusze biznesowe – jak przepływ danych wygląda w praktyce?
Abstrakcyjne zasady nabierają sensu w konkretnym kontekście operacyjnym. Poniżej trzy scenariusze, które pojawiają się najczęściej w praktyce kancelarii przy obsłudze firm działających na linii Polska–Francja.
Scenariusz 1 – Firma produkcyjna. Producent z Mazowsza korzysta z francuskiego systemu ERP do zarządzania kadrami. Dane pracowników (imię, nazwisko, PESEL, wynagrodzenie) są przetwarzane przez serwery w Lyonie. Kwalifikacja: powierzenie przetwarzania. Wymagana umowa DPA z dostawcą ERP. Podstawa prawna przetwarzania: art. 6 ust. 1 lit. b i c RODO (wykonanie umowy o pracę i obowiązek prawny pracodawcy). Ryzyko: brak DPA z dostawcą SaaS to naruszenie art. 28 RODO.
Scenariusz 2 – Firma IT / software house. Polska spółka technologiczna świadczy usługi dla klienta z Paryża. Przetwarza dane użytkowników aplikacji klienckiej. Obydwa podmioty wspólnie decydują o celach przetwarzania (analityka, personalizacja). Kwalifikacja: współadministrowanie (art. 26 RODO). Wymagane uzgodnienia określające zakres odpowiedzialności każdego administratora. Podmiot danych musi mieć dostęp do treści tych uzgodnień.
Scenariusz 3 – Inwestor zagraniczny. Francuska spółka holdingowa przejmuje polską spółkę z o.o. Po przejęciu dane pracowników i klientów polskiej spółki są przekazywane do centrali w Bordeaux na potrzeby konsolidacji raportowania. Kwalifikacja: transfer między niezależnymi administratorami (odrębna podstawa prawna, np. art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes). Wymagana analiza testu równowagi interesów. Dla inwestorów zagranicznych wchodzących na rynek polski pomocna jest nasza analiza sp. z o.o. vs SA – macierz decyzyjna dla inwestorów z Francji.
W każdym z tych scenariuszy koszty prawne wdrożenia compliance wahają się od kilku do kilkunastu tysięcy złotych – zależnie od złożoności struktury i liczby zaangażowanych systemów. To ułamek potencjalnej kary za naruszenie.
Niepodjęcie działań compliance przed uruchomieniem transferu zamyka drogę do obrony przed organem nadzorczym. Gdy PUODO lub CNIL wszczną postępowanie, brak dokumentacji jest traktowany jako dowód zaniedbania – a nie jako okoliczność neutralna.
Jak AI Act i DORA wpływają na transfer danych między Polską a Francją?
RODO to nie jedyna regulacja, którą trzeba uwzględnić. Dwa nowe rozporządzenia unijne zmieniają obraz compliance dla firm technologicznych i finansowych działających transgranicznie.
Rozporządzenie (UE) 2024/1689, czyli AI Act, weszło w życie 1 sierpnia 2024 roku. Stosowanie jego przepisów jest rozłożone fazowo do 2027 roku. Jeśli Twoja firma transferuje dane osobowe do Francji w celu trenowania modeli AI lub stosowania systemów AI wysokiego ryzyka (np. ocena kredytowa, rekrutacja, biometria), AI Act nakłada dodatkowe obowiązki: ocenę zgodności, rejestrację systemu w unijnej bazie danych oraz wymagania dotyczące zarządzania danymi treningowymi. Naruszenia mogą skutkować karą do 30 mln EUR lub 6% globalnego obrotu.
Rozporządzenie (UE) 2022/2554, czyli DORA, obowiązuje od 17 stycznia 2025 roku i dotyczy podmiotów finansowych oraz ich dostawców ICT. Jeśli polska instytucja finansowa korzysta z usług ICT świadczonych przez podmiot we Francji, DORA wymaga umów z dostawcami ICT zawierających klauzule dotyczące dostępu do danych, audytu i ciągłości działania. Incydenty ICT muszą być raportowane do KNF w ściśle określonych terminach.
Dla firm z branży IP i technologicznej istotne jest też, że transfer danych związanych z prawami własności intelektualnej (np. dane dotyczące wynalazków, klientów korzystających z licencji) podlega zarówno RODO, jak i przepisom o tajemnicy przedsiębiorstwa. Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie jednorazowego audytu compliance obejmującego wszystkie trzy warstwy regulacyjne – RODO, AI Act i DORA – zamiast reagowania na każdą regulację osobno. Zagadnienia ochrony IP w kontekście transgranicznym omawia szerzej nasz materiał o strategii ochrony IP dla firm technologicznych.
W praktyce – wiele firm o tym zapomina – AI Act i DORA nie zastępują RODO. Działają równolegle. Firma musi spełnić wymagania wszystkich trzech rozporządzeń jednocześnie. Brak zgodności z jednym nie jest „skompensowany" przez zgodność z pozostałymi.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny zakresu obowiązków wynikających z RODO, AI Act i DORA. Pominięcie choćby jednej warstwy regulacyjnej może mieć nieodwracalne konsekwencje w postaci wszczęcia postępowania przez PUODO, CNIL lub KNF jednocześnie.
Jeśli Państwa spółka transferuje dane osobowe do Francji i nie ma pewności co do kompletności dokumentacji compliance – przeprowadzimy audyt RODO, przygotujemy umowy powierzenia i ocenimy obowiązki wynikające z AI Act i DORA: info@kordeckipartners.com.
Często zadawane pytania
P: Czy transfer danych z Polski do Francji wymaga zgody PUODO?
O: Nie. Ponieważ Francja jest państwem członkowskim Unii Europejskiej, transfer danych odbywa się swobodnie – bez konieczności uzyskania zgody PUODO ani stosowania standardowych klauzul umownych. Rozporządzenie 2016/679 (RODO) znosi bariery geograficzne wewnątrz UE. Obowiązki compliance dotyczą samego przetwarzania: podstawy prawnej, umowy powierzenia lub uzgodnień współadministratorów oraz obowiązków informacyjnych wobec podmiotów danych.
P: Ile kosztuje i jak długo trwa wdrożenie compliance przed pierwszym transferem?
O: Czas wdrożenia dla małej lub średniej firmy to zazwyczaj 3–6 tygodni. Obejmuje mapowanie przepływów danych, kwalifikację relacji prawnej, przygotowanie umów i aktualizację dokumentacji. Koszty obsługi prawnej wahają się od kilku do kilkunastu tysięcy złotych – zależnie od złożoności struktury. Ocena skutków dla ochrony danych (DPIA) wydłuża proces o dodatkowe 2–3 tygodnie, jeśli jest wymagana.
P: Czy każda firma transferująca dane do Francji musi przeprowadzać DPIA?
O: Nie każda. Ocena skutków dla ochrony danych jest obowiązkowa tylko wtedy, gdy przetwarzanie „może powodować wysokie ryzyko" dla praw i wolności osób fizycznych. Dotyczy to w szczególności profilowania na dużą skalę, przetwarzania danych szczególnych kategorii (np. zdrowotnych, biometrycznych) lub systematycznego monitorowania. PUODO opublikował listę operacji wymagających DPIA – jej sprawdzenie jest pierwszym krokiem weryfikacji. Jeśli Twoja firma nie spełnia żadnego z kryteriów wysokiego ryzyka, DPIA nie jest wymagana.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, wdrożeń RODO, compliance AI Act i DORA oraz ochrony własności intelektualnej w transakcjach transgranicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.