Polska spółka technologiczna z Krakowa odkrywa podczas audytu, że jej platforma SaaS przesyła dane osobowe użytkowników do serwerów w Singapurze – bez ważnego mechanizmu transferu. PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu. Czas na naprawę: zwykle kilka tygodni, zanim organ nadzorczy wszczyna postępowanie.
Transfer danych osobowych poza Europejski Obszar Gospodarczy wymaga podstawy prawnej z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Dostępne mechanizmy to: decyzja o adekwatności, standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR). Brak ważnego mechanizmu oznacza bezprawny transfer i ryzyko kary administracyjnej.
Poniżej wyjaśniamy, które mechanizmy są dostępne, kogo dotyczą progi obowiązków oraz jakie działania należy podjąć natychmiast. Alert dotyczy administratorów i podmiotów przetwarzających z siedzibą lub oddziałem w Polsce.
Jakie mechanizmy prawne umożliwiają transfer danych z Polski?
RODO przewiduje trzy główne ścieżki legalnego transferu do państw trzecich. Każda ma inne wymagania formalne i inny poziom ryzyka operacyjnego. Wybór mechanizmu powinien być świadomy – nie domyślny.
Pierwsza ścieżka to decyzja o adekwatności Komisji Europejskiej. Obejmuje ona m.in. Wielką Brytanię, Japonię, Koreę Południową oraz – od lipca 2023 r. – USA w ramach Data Privacy Framework (DPF). Transfer do podmiotu certyfikowanego w DPF nie wymaga dodatkowych dokumentów. Jednak certyfikacja po stronie odbiorcy musi być aktualna i widoczna w publicznym rejestrze prowadzonym przez Departament Handlu USA. W praktyce – wiele firm o tym zapomina – certyfikat wygasa po roku i wymaga odnowienia.
Druga ścieżka to standardowe klauzule umowne (SCC) przyjęte przez Komisję Europejską w 2021 r. To najczęściej stosowany mechanizm w transakcjach B2B. SCC muszą być wdrożone w wersji modułowej: moduł 1 (administrator–administrator), moduł 2 (administrator–podmiot przetwarzający), moduł 3 (podmiot przetwarzający–podmiot przetwarzający) lub moduł 4 (podmiot przetwarzający–administrator). Błędny dobór modułu czyni umowę nieskuteczną. Do SCC należy dołączyć Transfer Impact Assessment (TIA) – ocenę ryzyka prawnego w państwie odbiorcy. Brak TIA to najczęstszy błąd wykrywany podczas kontroli PUODO.
Trzecia ścieżka – wiążące reguły korporacyjne (BCR) – dotyczy grup kapitałowych. BCR wymagają zatwierdzenia przez organ nadzorczy (w Polsce: PUODO). Proces trwa od 12 do 24 miesięcy. To rozwiązanie dla dużych organizacji z rozbudowaną strukturą międzynarodową, nie dla spółek transferujących dane do jednego zewnętrznego dostawcy.
Dla podmiotów objętych transferem danych do Zjednoczonych Emiratów Arabskich – gdzie nie obowiązuje decyzja o adekwatności – jedyną realną opcją pozostają SCC z rozbudowanym TIA uwzględniającym lokalne prawo dostępu służb do danych.
Kogo dotyczą nowe obowiązki i jakie są progi odpowiedzialności?
Obowiązki wynikające z RODO nie zależą od wielkości spółki. Każdy administrator danych mający siedzibę lub oddział w Polsce i przekazujący dane poza EOG podlega tym samym regułom. Różnica dotyczy skali potencjalnych kar i zasobów dostępnych na compliance.
Kary administracyjne PUODO sięgają 20 mln EUR lub 4% całkowitego rocznego obrotu – w zależności od tego, która kwota jest wyższa. Dla spółki z przychodem 50 mln PLN rocznie oznacza to maksymalną karę rzędu 2 mln PLN. Dla grupy kapitałowej z obrotem 1 mld EUR – karę do 40 mln EUR.
Nowe wymiary ryzyka wprowadzają dwa rozporządzenia sektorowe. DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r., nakłada na podmioty finansowe dodatkowe wymogi przy outsourcingu ICT do dostawców spoza EOG. Każdy transfer danych do zewnętrznego dostawcy IT musi być poprzedzony oceną ryzyka ICT i uwzględniony w rejestrze umów. Nadzór sprawuje KNF. AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., nakłada obowiązki przy systemach AI wysokiego ryzyka – w tym wymogi dotyczące danych treningowych i ich pochodzenia. Spółki trenujące modele AI na danych osobowych przesyłanych do zewnętrznych dostawców chmurowych muszą połączyć mechanizm transferu RODO z oceną zgodności AI Act.
Firmy inwestujące w Polsce z perspektywą struktury holdingowej powinny uwzględnić transfer danych już na etapie planowania podatkowego – więcej o tym w analizie strukturyzacji podatkowej dla inwestorów wchodzących na rynek polski.
Jakie działania podjąć natychmiast?
Brak działania nie jest opcją neutralną. PUODO wszczyna postępowania z urzędu – na podstawie skarg, sygnałów od organów partnerskich lub własnych analiz. Pierwsze wezwanie do złożenia wyjaśnień daje zwykle 14 dni na odpowiedź. To za mało, żeby budować mechanizm transferu od zera.
Lista działań priorytetowych na najbliższe 30 dni:
- Przeprowadzić inwentaryzację przepływów danych – zidentyfikować wszystkich odbiorców spoza EOG i podstawy prawne transferów.
- Zweryfikować aktualność certyfikacji DPF u odbiorców w USA – sprawdzić datę wygaśnięcia w rejestrze Departamentu Handlu.
- Uzupełnić brakujące TIA dla każdego transferu opartego na SCC – szczególnie do Indii, Chin, Singapuru i Ukrainy.
- Zaktualizować rejestr czynności przetwarzania (RCP) o kolumnę „mechanizm transferu" i datę jego weryfikacji.
- Dla podmiotów objętych DORA – uzupełnić rejestr umów ICT o dane dotyczące transferów danych do dostawców spoza EOG.
Spółki z branży IP i technologicznej, które korzystają z zewnętrznych dostawców narzędzi do zarządzania znakami towarowymi lub portfelami patentowymi, powinny sprawdzić, czy transfer danych do tych systemów jest objęty właściwym mechanizmem. Praktyczne wskazówki dla firm technologicznych z ekspozycją zagraniczną zawiera analiza strategii ochrony IP dla spółek technologicznych w Polsce.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu transferów przed otrzymaniem wezwania PUODO. Postępowanie wszczęte przez organ nadzorczy zamyka drogę do dobrowolnej korekty bez konsekwencji formalnych. To ryzyko nieodwracalne.
Konkretna sytuacja Państwa firmy – liczba odbiorców danych, państwa docelowe, rodzaj przetwarzanych informacji – wymaga indywidualnej oceny mechanizmów transferu. Brak ważnej podstawy prawnej w momencie kontroli PUODO może oznaczać nieodwracalne skutki finansowe i reputacyjne.
Jeśli Państwa spółka przekazuje dane osobowe poza EOG i nie ma pewności co do ważności stosowanych mechanizmów – przeprowadzimy audyt transferów, dobierzemy właściwe SCC lub TIA i przygotujemy dokumentację na wypadek kontroli: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polskie spółki mogą korzystać z Data Privacy Framework bez żadnych dodatkowych umów?
O: Tak – ale wyłącznie wtedy, gdy odbiorca danych w USA posiada aktualną certyfikację DPF. Certyfikat wygasa po 12 miesiącach i wymaga odnowienia. Jeśli certyfikacja wygasła, transfer staje się bezprawny z dnia na dzień. Należy regularnie weryfikować status odbiorcy w publicznym rejestrze Departamentu Handlu USA – nie tylko przy podpisaniu umowy.
P: Jak długo trwa wdrożenie standardowych klauzul umownych?
O: Samo podpisanie SCC zajmuje od kilku dni do 2 tygodni. Jednak prawidłowe wdrożenie wymaga także sporządzenia Transfer Impact Assessment, który może trwać od 2 do 6 tygodni w zależności od złożoności przepływów danych i liczby państw docelowych. Wdrożenie SCC bez TIA jest niekompletne i nie zapewnia pełnej ochrony przed karą PUODO.
P: Czy mały podmiot – startup z 10 pracownikami – też musi stosować mechanizmy transferu?
O: Tak. Rozporządzenie RODO nie przewiduje zwolnienia ze względu na wielkość administratora w zakresie transferów międzynarodowych. Każdy podmiot przekazujący dane poza Europejski Obszar Gospodarczy – niezależnie od liczby pracowników czy wysokości obrotu – musi posiadać ważną podstawę prawną transferu. Brak mechanizmu jest naruszeniem niezależnie od skali działalności.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z AI Act i DORA oraz strategii IP dla spółek technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.