Transfer danych osobowych z Polski do Switzerland

Firma IT z Krakowa podpisuje umowę SaaS z dostawcą z Zurychu. Dział prawny pyta: czy możemy przesyłać dane osobowe klientów do Szwajcarii? Odpowiedź jest krótsza, niż się spodziewasz – ale szczegóły mogą zaskoczyć nawet doświadczonych compliance managerów.

Transfer danych osobowych z Polski do Szwajcarii odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony (tzw. adequacy decision). Rozporządzenie RODO (Rozporządzenie UE 2016/679) dopuszcza przekazywanie danych do państw trzecich uznanych za bezpieczne bez konieczności stosowania dodatkowych mechanizmów zabezpieczających. Szwajcaria figuruje na liście Komisji Europejskiej jako kraj zapewniający odpowiedni poziom ochrony – jednak decyzja ta wymaga odnowienia i jej status należy monitorować na bieżąco.

Ten przewodnik przeprowadzi Państwa przez dostępne mechanizmy prawne krok po kroku. Omówimy podstawy prawne, scenariusze biznesowe dla firm produkcyjnych, IT i inwestorów zagranicznych, a także pułapki, które kosztują firmy czas i pieniądze. Na końcu – lista kontrolna i odpowiedzi na najczęstsze pytania klientów.

Jakie mechanizmy prawne umożliwiają transfer danych do Szwajcarii?

Podstawowym mechanizmem jest decyzja adequacy. Komisja Europejska uznała Szwajcarię za kraj zapewniający odpowiedni poziom ochrony danych – co oznacza, że transfer danych osobowych z Polski do Szwajcarii jest co do zasady dopuszczalny bez dodatkowych formalności. Podstawę stanowi art. 45 RODO, który zwalnia administratora z obowiązku wdrożenia dodatkowych gwarancji, jeśli Komisja wydała stosowną decyzję. UODO jako polski organ nadzorczy akceptuje tę podstawę.

Decyzja Komisji wobec Szwajcarii pochodzi z 2000 r. i była kilkukrotnie weryfikowana. W praktyce – wiele firm o tym zapomina – decyzje adequacy mogą zostać uchylone lub zawieszone, jak miało to miejsce z Privacy Shield w 2020 r. Dlatego każda organizacja transferująca dane do Szwajcarii powinna prowadzić monitoring statusu tej decyzji jako element polityki compliance.

Jeśli decyzja adequacy zostałaby zawieszona lub uchylona, do dyspozycji pozostają trzy główne mechanizmy zastępcze:

Standardowe klauzule umowne (SCC) – zatwierdzone przez Komisję Europejską wzory umów między administratorem a odbiorcą danych
Wiążące reguły korporacyjne (BCR) – dla transferów wewnątrz grup kapitałowych, zatwierdzane przez UODO lub inny właściwy organ
Zgoda osoby, której dane dotyczą – stosowana wyjątkowo, przy transferach incydentalnych
Wyjątki z art. 49 RODO – m.in. wykonanie umowy, ochrona żywotnych interesów

Wybór mechanizmu zależy od charakteru transferu, jego częstotliwości i struktury organizacyjnej. Dla transferów masowych i ciągłych – takich jak przesyłanie danych użytkowników do chmury szwajcarskiej – SCC są rozwiązaniem preferowanym przez UODO. Wdrożenie SCC zajmuje zwykle od 2 do 4 tygodni i wymaga podpisania aneksu do umowy z odbiorcą.

Jak wygląda procedura krok po kroku – od audytu do wdrożenia?

Transfer danych osobowych do Szwajcarii wymaga przejścia przez cztery etapy. Łączny czas od audytu do uruchomienia transferu wynosi zazwyczaj od 3 do 8 tygodni, w zależności od złożoności przetwarzania. Każdy etap generuje konkretną dokumentację, którą UODO może zażądać w toku kontroli.

Etap 1 – Mapowanie transferu (tydzień 1–2). Należy zidentyfikować wszystkie przepływy danych osobowych kierowane do Szwajcarii. Obejmuje to dane pracowników, klientów, użytkowników systemów IT oraz dane przetwarzane przez podprocesing. W praktyce firmy IT odkrywają na tym etapie, że dane płyną do Szwajcarii przez podprocesorów – np. dostawców oprogramowania HR z siedzibą w Zurychu – o których dział prawny nie wiedział.

Etap 2 – Weryfikacja podstawy prawnej (tydzień 2–3). Po zmapowaniu przepływów należy potwierdzić aktualny status decyzji adequacy dla Szwajcarii. Jeśli decyzja obowiązuje – transfer jest dopuszczalny na jej podstawie. Jeśli nie – należy wybrać i wdrożyć mechanizm zastępczy (SCC, BCR lub wyjątek). Na tym etapie warto skonsultować się z UODO lub zewnętrznym doradcą.

Etap 3 – Dokumentacja i umowy (tydzień 3–5). Niezależnie od zastosowanego mechanizmu, transfer musi być udokumentowany w rejestrze czynności przetwarzania (art. 30 RODO). Jeśli stosowane są SCC – należy zawrzeć odpowiedni aneks z odbiorcą danych w Szwajcarii. Wzory SCC zatwierdzone przez Komisję Europejską w 2021 r. obejmują cztery moduły (C2C, C2P, P2C, P2P) i muszą być stosowane w całości, bez modyfikacji klauzul obligatoryjnych.

Etap 4 – Transfer Impact Assessment (tydzień 4–8). Od wyroku Schrems II z 2020 r. UODO i inne organy nadzorcze oczekują przeprowadzenia oceny wpływu transferu (TIA) przed wdrożeniem SCC. TIA obejmuje analizę prawa szwajcarskiego pod kątem dostępu organów publicznych do danych. Szwajcaria posiada własne, rygorystyczne przepisy o ochronie danych – nDSG (nowe Prawo o Ochronie Danych) weszło w życie 1 września 2023 r. – co generalnie sprzyja pozytywnej ocenie TIA.

Warto odnotować, że Szwajcaria nie jest członkiem UE i RODO nie obowiązuje tam bezpośrednio. Szwajcarski nDSG jest jednak zbliżony do RODO i wzajemnie uznaje standardy ochrony danych. To ułatwia TIA, ale nie eliminuje obowiązku jej przeprowadzenia.

Jakie błędy najczęściej popełniają polskie firmy przy transferze danych do Szwajcarii?

Błąd pierwszy – i najkosztowniejszy – to założenie, że decyzja adequacy wystarczy na zawsze. Spółka e-commerce z Poznania odkryła latem 2024 r., że jej zewnętrzny dostawca usług analitycznych z Genewy zmienił strukturę korporacyjną i dane faktycznie trafiały do serwerów w USA. Transfer do USA wymaga odrębnych mechanizmów – aktualnie Data Privacy Framework – i brak odpowiedniej dokumentacji naraził spółkę na ryzyko kary do 4% globalnego obrotu rocznego.

Błąd drugi – brak aktualizacji rejestru czynności przetwarzania. Art. 30 RODO nakłada obowiązek prowadzenia rejestru, który musi odzwierciedlać rzeczywiste przepływy danych. Firmy, które wdrożyły dokumentację RODO w 2018 r. i jej nie aktualizowały, często nie mają w rejestrze transferów do Szwajcarii, mimo że faktycznie je realizują.

Błąd trzeci – stosowanie przestarzałych wzorów SCC. Komisja Europejska przyjęła nowe standardowe klauzule umowne w czerwcu 2021 r. Poprzednie wzory straciły ważność w grudniu 2022 r. Firmy, które podpisały umowy z odbiorcami szwajcarskimi przed tą datą i nie zaktualizowały klauzul, formalnie pozbawione są skutecznej podstawy transferu.

Błąd czwarty – pomijanie podprocesorów. Jeśli szwajcarski odbiorca danych korzysta z dalszych podprocesorów (np. chmury obliczeniowej), umowa powinna zawierać klauzule regulujące te dalsze transfery. W praktyce wiele firm negocjuje SCC z głównym kontrahentem, zapominając o łańcuchu podprzetwarzania. Dotyczy to w szczególności firm korzystających z rozwiązań AI – regulacja AI Act (Rozporządzenie UE 2024/1689), w której zdefiniowano systemy wysokiego ryzyka, generuje dodatkowe wymogi dokumentacyjne dla danych przetwarzanych przez takie systemy. Szczegóły dotyczące klasyfikacji systemów AI znajdą Państwo w naszym przewodniku po AI Act i sektorach wysokiego ryzyka.

Błąd piąty – brak polityki reagowania na naruszenia. Transfer danych do Szwajcarii nie zwalnia z obowiązku zgłoszenia naruszenia ochrony danych do UODO w ciągu 72 godzin (art. 33 RODO). Jeśli naruszenie nastąpi po stronie odbiorcy szwajcarskiego, firma polska nadal ponosi odpowiedzialność jako administrator danych.

Trzy scenariusze biznesowe – produkcja, IT i inwestor zagraniczny

Mechanizmy prawne działają inaczej w zależności od modelu biznesowego. Poniżej trzy scenariusze ilustrujące praktyczne wyzwania i rozwiązania dla polskich firm transferujących dane do Szwajcarii.

Scenariusz 1 – Firma produkcyjna z Mazowsza. Producent komponentów elektronicznych zatrudnia 400 osób i korzysta z systemu ERP utrzymywanego przez szwajcarskiego dostawcę z Bazylei. Dane pracowników – w tym dane kadrowe i płacowe – przepływają do serwera w Szwajcarii w trybie ciągłym. Podstawą transferu jest decyzja adequacy, lecz firma powinna zawrzeć umowę powierzenia przetwarzania danych zgodną z art. 28 RODO oraz zaktualizować rejestr czynności przetwarzania. Koszt wdrożenia dokumentacji: szacunkowo od 5 000 do 12 000 PLN przy wsparciu zewnętrznego doradcy.

Scenariusz 2 – Spółka IT z Wrocławia. Firma programistyczna dostarcza oprogramowanie dla klientów z branży finansowej. Klienci z Zurychu wymagają hostingu danych w szwajcarskim data center. Spółka działa jako podmiot przetwarzający (procesor), nie administrator. W relacji z klientem szwajcarskim stosuje SCC w module P2C (processor-to-controller). Dodatkowo – jako firma świadcząca usługi dla instytucji finansowych – powinna monitorować wymogi DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 r. nakłada obowiązki w zakresie zarządzania ryzykiem ICT, w tym przy transferach danych do podmiotów trzecich. Więcej o transferach danych do innych jurysdykcji spoza UE można przeczytać w analizie transferów danych z Polski na Cypr.

Scenariusz 3 – Inwestor zagraniczny wchodzący na rynek polski. Szwajcarska spółka holdingowa otwiera oddział w Warszawie i planuje centralizację danych HR w systemie prowadzonym z Zurychu. Transfer danych polskich pracowników do Szwajcarii wymaga poinformowania pracowników o transferze (obowiązek informacyjny z art. 13–14 RODO) oraz zawarcia odpowiednich umów wewnątrzgrupowych. Jeśli grupa posiada BCR zatwierdzone przez właściwy organ UE, mogą one stanowić podstawę transferu zamiast SCC. Czas uzyskania zatwierdzenia BCR przez UODO: od 12 do 24 miesięcy. W przypadku egzekwowania orzeczeń sądowych powiązanych z tymi strukturami warto zapoznać się z procedurą uznawania wyroków szwajcarskich w Polsce.

Każdy z tych scenariuszy wymaga indywidualnej oceny ryzyka. Wspólny mianownik to jednak dokumentacja – bez aktualnego rejestru czynności przetwarzania i odpowiednich umów firma jest niechroniona w razie kontroli UODO.

Lista kontrolna – co przygotować przed transferem danych do Szwajcarii?

Przed uruchomieniem lub kontynuacją transferu danych osobowych do Szwajcarii warto przeprowadzić szybki przegląd wewnętrzny. Poniższa lista obejmuje pięć elementów, których brak najczęściej stwierdza UODO w toku kontroli.

Potwierdzenie statusu decyzji adequacy – sprawdzenie aktualnej listy Komisji Europejskiej; decyzja wobec Szwajcarii powinna być aktywna i nieobjęta zawieszeniem
Aktualizacja rejestru czynności przetwarzania – wpis obejmujący kategorię danych, cel transferu, odbiorcę w Szwajcarii i zastosowaną podstawę prawną
Umowa z odbiorcą danych – umowa powierzenia (art. 28 RODO) lub SCC w aktualnej wersji z 2021 r., jeśli decyzja adequacy jest niewystarczająca
Transfer Impact Assessment – ocena prawa szwajcarskiego pod kątem dostępu organów publicznych; dokumentacja TIA powinna być przechowywana przez minimum 5 lat
Klauzule informacyjne dla osób, których dane dotyczą – zaktualizowane o informację o transferze do Szwajcarii i zastosowanym mechanizmie ochrony

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie pełnego audytu transferów raz na 12 miesięcy – nawet jeśli decyzja adequacy obowiązuje. Zmiany w strukturze IT, nowi podprocesorzy i aktualizacje systemów mogą niepostrzeżenie wygenerować nowe transfery, których firma nie jest świadoma.

Konkretna sytuacja Państwa firmy wymaga oceny uwzględniającej specyfikę przetwarzanych danych i strukturę organizacyjną. Brak aktualnej dokumentacji transferu to ryzyko nieodwracalne w razie wszczęcia postępowania przez UODO – kary sięgają 20 000 000 EUR lub 4% globalnego obrotu rocznego.

Jeśli Państwa spółka transferuje dane osobowe do Szwajcarii i nie ma pewności co do aktualności podstawy prawnej lub kompletności dokumentacji – przeprowadzimy audyt transferów, przygotujemy lub zaktualizujemy SCC oraz opracujemy TIA: info@kordeckipartners.com.

Często zadawane pytania

P: Czy Szwajcaria jest bezpiecznym krajem do transferu danych w rozumieniu RODO i czy potrzebuję dodatkowych umów?

O: Szwajcaria figuruje na liście Komisji Europejskiej jako kraj zapewniający odpowiedni poziom ochrony danych – na podstawie decyzji stwierdzającej adequacy. Oznacza to, że co do zasady nie musisz zawierać dodatkowych standardowych klauzul umownych wyłącznie w celu legalizacji transferu. Jednak umowa powierzenia przetwarzania danych zgodna z artykułem 28 Rozporządzenia UE 2016/679 jest wymagana zawsze, gdy odbiorca przetwarza dane w Twoim imieniu. Decyzja adequacy nie zwalnia też z obowiązku prowadzenia rejestru czynności przetwarzania i spełnienia obowiązków informacyjnych.

P: Ile kosztuje i ile trwa wdrożenie mechanizmów prawnych dla transferu danych do Szwajcarii?

O: Czas wdrożenia wynosi od 3 do 8 tygodni, w zależności od złożoności przetwarzania i liczby przepływów danych. Koszt obsługi prawnej przy prostym transferze (jeden odbiorca, standardowe dane) szacujemy na 5 000–12 000 PLN. Przy złożonych strukturach grupowych z koniecznością przygotowania Transfer Impact Assessment i negocjacji SCC koszt może wynieść od 15 000 do 40 000 PLN. Wdrożenie Wiążących Reguł Korporacyjnych jest znacznie droższe i trwa od 12 do 24 miesięcy ze względu na konieczność zatwierdzenia przez UODO.

P: Czy decyzja adequacy dla Szwajcarii może zostać uchylona i co wtedy?

O: Tak – decyzje adequacy mogą zostać uchylone lub zawieszone przez Komisję Europejską lub unieważnione przez Trybunał Sprawiedliwości UE, jak miało to miejsce z Privacy Shield w wyroku Schrems II. W takim przypadku transfer danych do Szwajcarii wymagałby niezwłocznego wdrożenia mechanizmu zastępczego – standardowych klauzul umownych lub wiążących reguł korporacyjnych. Firmy, które z wyprzedzeniem przygotują SCC jako mechanizm awaryjny, unikają przerwy operacyjnej trwającej od kilku tygodni do kilku miesięcy. Monitorowanie statusu decyzji adequacy powinno być elementem rocznego przeglądu compliance.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.