Firma technologiczna z Warszawy zaczyna współpracę ze słowackim partnerem. Dane klientów – imiona, adresy e-mail, historia transakcji – mają przepływać między systemami obu spółek. Na pozór prosta operacja. W praktyce wiele firm odkrywa, że brak właściwej podstawy prawnej dla transferu danych oznacza ryzyko kary administracyjnej do 20 mln EUR lub 4% globalnego obrotu – i to bez możliwości cofnięcia naruszenia.

Transfer danych osobowych między Polską a Słowacją odbywa się w ramach jednolitego obszaru Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Oba państwa są członkami Unii Europejskiej, co oznacza swobodny przepływ danych bez konieczności stosowania dodatkowych mechanizmów transferowych. Obowiązki administratora danych pozostają jednak w pełnej mocy i wymagają natychmiastowego przeglądu dokumentacji.

Ten alert wyjaśnia, które mechanizmy prawne mają zastosowanie, kogo dotyczą progi obowiązków i jakie działania należy podjąć w ciągu najbliższych 30 dni. Omawia też wpływ AI Act oraz DORA na przepływy danych w relacjach polsko-słowackich.

Czy transfer danych z Polski na Słowację wymaga specjalnych mechanizmów?

Odpowiedź jest prosta: nie – ale warunki transferu muszą spełniać wszystkie wymogi RODO. Słowacja jest państwem członkowskim UE, więc art. 44–49 RODO dotyczące transferów do państw trzecich nie mają zastosowania. Dane osobowe mogą swobodnie przepływać między polskimi a słowackimi podmiotami. Organem nadzorczym w Polsce jest UODO (Urząd Ochrony Danych Osobowych), na Słowacji – Úrad na ochranu osobných údajov.

To nie oznacza jednak braku obowiązków. Administrator danych z siedzibą w Polsce, przekazując dane słowackiemu podmiotowi przetwarzającemu, musi zawrzeć umowę powierzenia przetwarzania zgodną z art. 28 RODO. Umowa ta powinna określać zakres, cel, charakter przetwarzania oraz obowiązki procesora. W praktyce – wiele firm o tym zapomina – słowacki partner traktowany jest jak zwykły kontrahent handlowy, bez formalnego uregulowania statusu procesora.

Jeśli słowacka spółka działa jako współadministrator, konieczne jest zawarcie porozumienia na podstawie art. 26 RODO. Porozumienie to musi określać podział odpowiedzialności i być dostępne dla osób, których dane dotyczą. Brak takiego dokumentu naraża obie strony na odpowiedzialność solidarną wobec UODO lub słowackiego organu nadzorczego.

Konkretny próg: jeśli Twoja firma przetwarza dane powyżej 5 000 osób rocznie lub dane szczególnych kategorii, obowiązek prowadzenia rejestru czynności przetwarzania (RCP) jest bezwzględny. Rejestr musi obejmować wszystkie transfery do słowackiego partnera.

Kogo dotyczą nowe obowiązki wynikające z AI Act i DORA?

Od 1 sierpnia 2024 r. obowiązuje Rozporządzenie (UE) 2024/1689 – AI Act. Systemy sztucznej inteligencji przetważające dane osobowe w relacjach polsko-słowackich podlegają dodatkowym wymogom. Systemy wysokiego ryzyka – w tym narzędzia do scoringu kredytowego, rekrutacji HR czy biometrii – wymagają oceny zgodności przed wdrożeniem. Dotyczy to zarówno polskich dostawców eksportujących rozwiązania AI na Słowację, jak i słowackich systemów obsługiwanych przez polskie podmioty.

DORA – Rozporządzenie (UE) 2022/2554 – obowiązuje od 17 stycznia 2025 r. Podmioty finansowe działające w obu krajach muszą zarządzać ryzykiem ICT w sposób zintegrowany. Transfer danych między polskim a słowackim oddziałem banku lub towarzystwa ubezpieczeniowego wymaga udokumentowania w ramach rejestru umów z dostawcami ICT. Nadzór w Polsce sprawuje KNF, na Słowacji – Národná banka Slovenska. Brak dokumentacji może zamknąć drogę do uzyskania zezwoleń regulacyjnych w obu jurysdykcjach – skutek nieodwracalny w kontekście harmonogramów licencyjnych.

Firmy technologiczne oferujące rozwiązania IP – oprogramowanie, bazy danych, modele AI – powinny dodatkowo zadbać o ochronę tajemnicy przedsiębiorstwa. Szczegółowe strategie opisujemy w materiale o ochronie tajemnic przedsiębiorstwa w prawie polskim. Warto też przeanalizować doświadczenia z rynków sąsiednich – praktyczne wskazówki dotyczące firm technologicznych z Węgier znajdziesz w analizie strategii IP dla węgierskich spółek technologicznych w Polsce.

Micro-case: słowacka spółka fintech wchodząca na rynek polski latem 2024 r. odkryła, że jej system scoringowy kwalifikuje się jako system wysokiego ryzyka w rozumieniu AI Act. Konieczna była pełna ocena zgodności – 8 tygodni pracy i budżet przekraczający 150 000 PLN – zanim dane polskich użytkowników mogły zostać przesłane do słowackiego centrum danych.

Co zrobić teraz – lista działań na 30 dni?

Czas działa przeciwko administratorom, którzy odkładają przegląd dokumentacji. Każdy dzień przetwarzania danych bez właściwej podstawy prawnej to potencjalne naruszenie RODO. Poniżej lista działań, które należy podjąć natychmiast.

  • Zidentyfikuj wszystkich słowackich odbiorców danych – ustal, czy działają jako procesorzy, współadministratorzy czy niezależni administratorzy.
  • Zawrzyj lub zaktualizuj umowy powierzenia – zgodnie z art. 28 RODO, z klauzulami dotyczącymi podprzetwarzania i audytów.
  • Zaktualizuj rejestr czynności przetwarzania – uwzględnij wszystkie przepływy danych do Słowacji, w tym transfery w chmurze.
  • Oceń systemy AI – sprawdź, czy narzędzia używane w relacji polsko-słowackiej podlegają AI Act jako systemy wysokiego ryzyka.
  • Przejrzyj umowy ICT – jeśli jesteś podmiotem finansowym, zweryfikuj zgodność z DORA przed kolejnym audytem KNF.

Micro-case: polska spółka e-commerce z Krakowa, obsługująca słowackich klientów jesienią 2025 r., nie posiadała aktualnej umowy powierzenia z dostawcą hostingu w Bratysławie. UODO wszczął postępowanie wyjaśniające po skardze jednego z klientów. Spółka poniosła koszty obsługi prawnej przekraczające 80 000 PLN – wyłącznie z powodu braku jednego dokumentu.

Dla spółek słowackich prowadzących działalność w Polsce pomocny będzie przewodnik po projektowaniu programów compliance dla słowackich spółek zależnych w Polsce. Odpowiada on na pytania o lokalne wymogi UODO i strukturę wewnętrznych procedur ochrony danych.

Konkretna sytuacja Państwa firmy może wymagać oceny, czy transfer danych do słowackiego partnera jest prawidłowo udokumentowany – a brak takiej dokumentacji zamyka drogę do skutecznej obrony przed organem nadzorczym.

Jeśli Państwa spółka przekazuje dane osobowe do słowackich podmiotów i nie posiada aktualnych umów powierzenia lub oceny zgodności z AI Act – przeprowadzimy audyt dokumentacji i wdrożymy niezbędne korekty: info@kordeckipartners.com.

Często zadawane pytania

P: Czy transfer danych z Polski na Słowację wymaga standardowych klauzul umownych (SCC)?

O: Nie. Standardowe klauzule umowne stosuje się wyłącznie przy transferach do państw trzecich – poza Europejskim Obszarem Gospodarczym. Słowacja jest członkiem UE i EOG, więc dane osobowe mogą przepływać swobodnie na podstawie RODO. Konieczne są jednak umowy powierzenia przetwarzania zgodne z artykułem 28 RODO, jeśli słowacki podmiot działa jako procesor.

P: Jakie są kary za brak umowy powierzenia z słowackim procesorem?

O: Naruszenie artykułu 28 RODO może skutkować karą administracyjną do 10 mln EUR lub 2% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa. UODO może nałożyć karę zarówno na administratora, jak i na procesora. Postępowanie może zostać wszczęte zarówno przez polski UODO, jak i słowacki organ nadzorczy, w zależności od siedziby głównego administratora.

P: Czy mała firma (do 250 pracowników) jest zwolniona z obowiązku prowadzenia rejestru czynności przetwarzania przy transferach do Słowacji?

O: Zwolnienie z obowiązku prowadzenia rejestru dla podmiotów zatrudniających mniej niż 250 osób ma wyjątki. Jeśli przetwarzanie nie jest sporadyczne, dotyczy danych szczególnych kategorii lub może powodować ryzyko naruszenia praw osób fizycznych – rejestr jest obowiązkowy niezależnie od wielkości firmy. W praktyce większość transferów danych klientów do słowackich partnerów nie spełnia kryterium „sporadyczności".

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, compliance technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.