Firma IT z Warszawy zatrudnia programistów w Kijowie. Dział HR wysyła do ukraińskiego biura dane pracowników: PESEL, wynagrodzenia, oceny pracownicze. Nikt nie sprawdza, czy taki transfer jest zgodny z RODO. Konsekwencje mogą być poważne – PUODO nakłada kary, a odpowiedzialność zarządu jest osobista i nieodwracalna.

Transfer danych osobowych z Polski do Ukrainy podlega Rozporządzeniu (UE) 2016/679 (RODO), ponieważ Ukraina nie figuruje na liście krajów trzecich z decyzją o odpowiednim poziomie ochrony wydaną przez Komisję Europejską. Oznacza to, że każdy administrator danych musi wdrożyć jeden z mechanizmów z art. 46 lub art. 49 RODO przed pierwszym przesłaniem danych. Brak właściwego zabezpieczenia grozi karą do 20 000 000 EUR lub 4% globalnego obrotu rocznego.

Przewodnik ten opisuje krok po kroku, jak legalnie transferować dane osobowe z Polski na Ukrainę. Omawia dostępne mechanizmy prawne, typowe błędy polskich firm oraz trzy scenariusze biznesowe: producenta, spółki IT i zagranicznego inwestora. Znajdziesz tu również harmonogram wdrożenia, orientacyjne koszty i listę kontrolną.

Dlaczego Ukraina jest krajem trzecim i co to oznacza w praktyce?

Ukraina nie jest państwem członkowskim Europejskiego Obszaru Gospodarczego. PUODO – polski organ nadzorczy działający na podstawie RODO – traktuje ją tak samo jak USA czy Chiny. Komisja Europejska nie wydała dotychczas decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych na Ukrainie. Każdy transfer danych do ukraińskiego odbiorcy wymaga odrębnego mechanizmu prawnego.

W praktyce oznacza to, że wysyłanie CV kandydatów, list płac, danych klientów czy dokumentacji medycznej na ukraińskie serwery lub do ukraińskich podmiotów przetwarzających – bez właściwej podstawy – stanowi naruszenie RODO. KAS i PUODO mogą wszcząć kontrolę po skardze pracownika lub sygnalisty. Ustawa o sygnalistach z 14 czerwca 2024 r. obowiązuje od 25 września 2024 r. i obejmuje wszystkich pracodawców zatrudniających co najmniej 50 osób.

Warto pamiętać, że ukraińskie prawo o ochronie danych osobowych (ustawa nr 2297-VI z 2010 r.) jest zbliżone do europejskiego modelu, lecz nie jest z nim tożsame. Ukraina od lat deklaruje harmonizację z RODO w ramach procesu akcesyjnego do UE. Mimo to Komisja Europejska nie zakończyła procedury oceny – status ten może zmienić się w ciągu najbliższych 24–36 miesięcy. Do tego czasu polskie firmy muszą stosować pełne mechanizmy transferowe.

Trzy instytucje mają bezpośredni wpływ na transfery z Polski na Ukrainę: PUODO jako organ nadzorczy, KAS przy transferach obejmujących dane finansowe i podatkowe, oraz KRS – gdy zmiana struktury korporacyjnej wiąże się z przekazaniem danych do ukraińskiej spółki powiązanej. Niedopełnienie obowiązków wobec którejkolwiek z nich może zamknąć drogę do legalnego przetwarzania przez wiele miesięcy.

Jakie mechanizmy prawne umożliwiają transfer danych do Ukrainy?

RODO przewiduje kilka ścieżek legalnego transferu do krajów trzecich. Dla transferów do Ukrainy dostępne są trzy główne mechanizmy: standardowe klauzule umowne (SCC), wiążące reguły korporacyjne (BCR) oraz wyjątki z art. 49 RODO. Każdy ma inne wymogi formalne, inny koszt wdrożenia i inny czas realizacji.

Standardowe klauzule umowne (SCC) to najczęściej stosowane narzędzie. Komisja Europejska przyjęła nowe zestawy SCC decyzją z 4 czerwca 2021 r. Obejmują cztery moduły: administrator–administrator, administrator–podmiot przetwarzający, podmiot przetwarzający–podmiot przetwarzający oraz podmiot przetwarzający–administrator. Firma z Polski wybiera właściwy moduł, podpisuje klauzule z ukraińskim kontrahentem i dokumentuje Transfer Impact Assessment (TIA) – ocenę ryzyka prawnego w kraju odbiorcy.

Wiążące reguły korporacyjne (BCR) sprawdzają się w grupach kapitałowych z jednostkami na Ukrainie. BCR zatwierdza PUODO – procedura trwa od 12 do 24 miesięcy i kosztuje od 50 000 PLN wzwyż. To rozwiązanie dla dużych organizacji z powtarzalnymi transferami wewnątrzgrupowymi.

Wyjątki z art. 49 RODO mają charakter incydentalny. Najczęściej stosowane to: wyraźna zgoda osoby, której dane dotyczą, oraz niezbędność transferu do wykonania umowy z tą osobą. W praktyce – wiele firm nadużywa tych wyjątków, stosując je do transferów masowych i regularnych, co PUODO kwestionuje podczas kontroli.

  • SCC – czas wdrożenia: 4–8 tygodni; koszt obsługi prawnej: od 8 000 PLN
  • BCR – czas wdrożenia: 12–24 miesiące; koszt: od 50 000 PLN
  • Zgoda (art. 49) – tylko dla transferów incydentalnych; ryzyko odwołania zgody
  • Niezbędność umowna (art. 49) – tylko gdy transfer bezpośrednio dotyczy strony umowy
  • Kodeksy postępowania z certyfikacją – brak zatwierdzonych kodeksów dla Ukrainy na 2026 r.

Uważamy, że dla zdecydowanej większości polskich firm transferujących dane do Ukrainy najrozsądniejszym wyborem pozostają SCC uzupełnione o rzetelną ocenę TIA. To rozwiązanie możliwe do wdrożenia w ciągu 6–8 tygodni, które wytrzyma kontrolę PUODO.

Jak krok po kroku wdrożyć SCC dla transferów do Ukrainy?

Wdrożenie standardowych klauzul umownych to procedura kilkuetapowa. Każdy etap ma określony termin i osobę odpowiedzialną. Pominięcie choćby jednego kroku – szczególnie oceny TIA – oznacza, że SCC nie spełniają swojej funkcji ochronnej, a transfer pozostaje nielegalny. Harmonogram zakłada 6–8 tygodni od decyzji do pierwszego legalnego transferu.

Etap 1: Mapowanie przepływów danych (tydzień 1–2). Zidentyfikuj wszystkie transfery do ukraińskich odbiorców: kategorie danych, liczba osób, częstotliwość, cel. Sporządź rejestr czynności przetwarzania zgodnie z art. 30 RODO. W praktyce – wiele firm odkrywa w tym etapie nieudokumentowane przepływy przez komunikatory i e-mail.

Etap 2: Wybór modułu SCC i przygotowanie umowy (tydzień 2–3). Wybierz właściwy moduł spośród czterech dostępnych. Uzupełnij Załącznik I (opis transferu), Załącznik II (środki techniczne i organizacyjne) oraz Załącznik III (lista podmiotów przetwarzających). Umowa musi być podpisana przez obie strony przed rozpoczęciem transferu.

Etap 3: Transfer Impact Assessment (tydzień 3–5). Oceń ukraińskie prawo pod kątem dostępu organów publicznych do danych. Przeanalizuj: ukraińską ustawę o bezpieczeństwie narodowym, przepisy o dostępie służb do danych telekomunikacyjnych oraz praktykę sądową. Jeśli TIA wykaże istotne ryzyko – wdróż dodatkowe środki techniczne: szyfrowanie end-to-end, pseudonimizację, minimalizację danych.

Etap 4: Aktualizacja dokumentacji RODO (tydzień 5–6). Zaktualizuj politykę prywatności, informacje dla osób, których dane dotyczą (art. 13 i 14 RODO), oraz rejestr czynności przetwarzania. Poinformuj pracowników i klientów o transferach do Ukrainy. Termin na aktualizację polityki prywatności – 30 dni od podpisania SCC.

Etap 5: Wdrożenie środków technicznych i monitoring (tydzień 6–8). Skonfiguruj szyfrowanie transmisji (TLS 1.2 lub wyższy), kontrolę dostępu i logi transferów. Ustal procedurę reagowania na naruszenia ochrony danych – zgłoszenie do PUODO w ciągu 72 godzin od wykrycia. Zaplanuj przegląd SCC co 12 miesięcy lub przy każdej istotnej zmianie prawa ukraińskiego.

Trzy scenariusze biznesowe – producent, IT, inwestor zagraniczny

Mechanizmy transferowe działają różnie w zależności od modelu biznesowego. Poniżej trzy scenariusze ilustrujące typowe wyzwania i właściwe rozwiązania. Każdy scenariusz wskazuje konkretne ryzyko i rekomendowany instrument.

Scenariusz 1: Producent z Małopolski. Spółka produkcyjna zatrudnia 300 osób w Polsce i korzysta z usług ukraińskiego biura rachunkowego. Przesyła miesięcznie listy płac, dane pracowników i dokumenty kadrowe. Właściwy mechanizm: SCC moduł administrator–podmiot przetwarzający, uzupełniony o umowę powierzenia przetwarzania zgodną z art. 28 RODO. TIA powinna objąć dostęp ukraińskich organów podatkowych do dokumentacji finansowej. Koszt wdrożenia: około 12 000–15 000 PLN. Czas: 6 tygodni.

Scenariusz 2: Spółka IT z Warszawy. Firma software house angażuje ukraińskich programistów jako podwykonawców. Przekazuje im dane klientów do testowania oprogramowania. To transfer wysokiego ryzyka – dane klientów mogą obejmować dane wrażliwe. Rekomendacja: SCC moduł administrator–podmiot przetwarzający, pseudonimizacja danych testowych, zakaz używania danych produkcyjnych bez zgody klienta. Dodatkowy wymóg: sprawdzenie, czy umowa z klientem zezwala na subprzetwarzanie poza EOG. Więcej o ochronie IP w kontekście transgranicznym znajdziesz w artykule IP protection strategy for Germany tech companies in Poland.

Scenariusz 3: Inwestor zagraniczny wchodzący na rynek polski. Dla niemieckiego inwestora wchodzącego na rynek polski i planującego operacje z ukraińskim centrum danych – kwestia transferów danych to jeden z pierwszych compliance checkpointów. BCR może być właściwym rozwiązaniem, jeśli grupa liczy więcej niż 5 podmiotów w różnych krajach. Przy mniejszej strukturze – SCC z klauzulami dostosowanymi do wielojurysdykcyjnych przepływów. Kwestie zatrudnienia przy takich strukturach opisujemy w przewodniku employment law compliance for Ukraine companies in Poland.

Spółka logistyczna z Mazowsza wdrożyła SCC jesienią 2024 r. po tym, jak ukraiński partner przetwarzający dane kierowców odmówił podpisania umowy powierzenia. Negocjacje trwały 8 tygodni. Finalnie uzgodniono SCC moduł administrator–podmiot przetwarzający z klauzulą audytową. Podobne przypadki pokazują, że ukraińscy kontrahenci coraz częściej rozumieją wymogi RODO – ale negocjacje wymagają przygotowania prawnego po stronie polskiej.

Jakie błędy najczęściej popełniają polskie firmy przy transferach do Ukrainy?

Błędy przy transferach danych do Ukrainy są powtarzalne. Wynikają z braku świadomości prawnej, pośpiechu lub błędnego założenia, że skoro Ukraina „stara się" o UE, to przepisy są już zbliżone. Każdy z poniższych błędów może skutkować wszczęciem postępowania przez PUODO i karą do 20 000 000 EUR.

Błąd 1: Brak SCC przy stałych transferach. Firmy stosują wyjątek z art. 49 RODO (zgoda lub niezbędność umowna) do regularnych, masowych transferów. PUODO konsekwentnie kwestionuje takie podejście. Zgoda jest odwołalna w każdym momencie – jej utrata unieważnia podstawę transferu ze skutkiem natychmiastowym.

Błąd 2: Pominięcie Transfer Impact Assessment. SCC bez TIA to niekompletna dokumentacja. Po wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II (C-311/18) każdy administrator musi ocenić, czy prawo kraju trzeciego nie podważa skuteczności SCC. Brak TIA to jeden z pierwszych punktów kontroli PUODO.

Błąd 3: Nieaktualne klauzule SCC. Część firm używa klauzul z 2010 r. Stare SCC utraciły ważność 27 grudnia 2022 r. Tylko klauzule z decyzji Komisji z 4 czerwca 2021 r. są aktualnie ważne.

Błąd 4: Brak umowy powierzenia z ukraińskim podmiotem przetwarzającym. SCC nie zastępuje umowy powierzenia z art. 28 RODO. Oba dokumenty są wymagane jednocześnie, gdy ukraiński odbiorca przetwarza dane w imieniu polskiego administratora.

W kontekście regulacji technologicznych warto też uwzględnić wymogi AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r. Jeśli ukraiński podmiot przetwarza dane w ramach systemu AI wysokiego ryzyka – np. w rekrutacji lub scoringu kredytowym – obowiązki compliance nakładają się na wymagania RODO. Porównanie transferów do innych krajów trzecich znajdziesz w artykule data transfer from Poland to UAE – legal mechanisms.

Spółka e-commerce z Trójmiasta odkryła wiosną 2025 r., że jej ukraiński dostawca usług IT przetwarzał dane klientów na serwerach w Charkowie bez żadnej umowy SCC. Retrospektywne wdrożenie SCC wymagało 10 tygodni i audytu bezpieczeństwa. Koszt całkowity przekroczył 30 000 PLN – znacznie więcej niż koszt prewencyjnego wdrożenia na początku współpracy.

Lista kontrolna i co przygotować przed pierwszym transferem

Przed pierwszym legalnym transferem danych osobowych do Ukrainy administrator powinien dysponować kompletną dokumentacją. Brakujący element w dniu kontroli PUODO oznacza, że cały mechanizm transferowy może zostać zakwestionowany. Poniższa lista obejmuje minimum wymagane przez RODO i potwierdzone praktyką PUODO.

  • Rejestr czynności przetwarzania z uwzględnieniem transferów do Ukrainy (art. 30 RODO)
  • Podpisane SCC w aktualnej wersji z 2021 r. – właściwy moduł dla relacji administrator/podmiot przetwarzający
  • Udokumentowana Transfer Impact Assessment z analizą ukraińskiego prawa
  • Umowa powierzenia przetwarzania (art. 28 RODO) – jeśli ukraiński odbiorca jest podmiotem przetwarzającym
  • Zaktualizowana polityka prywatności i klauzule informacyjne dla osób, których dane dotyczą

Termin na reakcję przy naruszeniu ochrony danych – niezależnie od tego, czy transfer był legalny – wynosi 72 godziny od wykrycia. Wdrożenie DORA (Rozporządzenie UE 2022/2554) od 17 stycznia 2025 r. nakłada na podmioty finansowe dodatkowe obowiązki raportowania incydentów ICT do KNF – co obejmuje incydenty u ukraińskich dostawców IT.

Decyzja o wyborze mechanizmu transferowego powinna uwzględniać nie tylko obecny stan prawny, ale też perspektywę kolejnych 24 miesięcy. Jeśli Ukraina uzyska decyzję o odpowiednim poziomie ochrony – SCC przestaną być wymagane, ale dokumentacja TIA pozostanie dowodem należytej staranności za okres wcześniejszy.

Konkretna sytuacja Państwa firmy wymaga oceny wszystkich przepływów danych przed podpisaniem SCC. Pominięcie etapu TIA lub błędny wybór modułu klauzul to błędy, których skutki są nieodwracalne – PUODO może nakazać wstrzymanie transferów ze skutkiem natychmiastowym.

Jeśli Państwa spółka transferuje dane osobowe do Ukrainy lub planuje współpracę z ukraińskim podmiotem przetwarzającym – przeprowadzimy audyt zgodności, przygotujemy SCC i TIA oraz wesprzemy negocjacje z kontrahentem: info@kordeckipartners.com.

Często zadawane pytania

P: Czy Ukraina zostanie wkrótce objęta decyzją o odpowiednim poziomie ochrony danych?

O: Komisja Europejska prowadzi dialog z Ukrainą w ramach procesu akcesyjnego, jednak na początku 2026 r. decyzja o odpowiednim poziomie ochrony nie została wydana. Szacowany horyzont to 24–36 miesięcy, przy założeniu postępu w harmonizacji ukraińskiego prawa z RODO. Do tego czasu obowiązują pełne mechanizmy transferowe z artykułu 46 lub 49 RODO. Administratorzy danych nie powinni odkładać wdrożenia SCC w oczekiwaniu na decyzję.

P: Ile kosztuje wdrożenie standardowych klauzul umownych dla transferów do Ukrainy i jak długo trwa?

O: Koszt obsługi prawnej przy wdrożeniu SCC dla jednej relacji administrator–podmiot przetwarzający wynosi od 8 000 do 20 000 PLN, zależnie od złożoności przepływów danych i zakresu TIA. Czas realizacji to 6–8 tygodni przy sprawnej współpracy z ukraińskim kontrahentem. Jeśli kontrahent odmawia podpisania SCC lub żąda istotnych modyfikacji – negocjacje mogą wydłużyć proces o kolejne 4–6 tygodni. Koszt retrospektywnego wdrożenia po kontroli jest zwykle dwu- lub trzykrotnie wyższy.

P: Czy zgoda pracownika wystarczy jako podstawa transferu danych pracowniczych do Ukrainy?

O: Zgoda pracownika jako podstawa transferu (artykuł 49 ustęp 1 litera a RODO) jest dopuszczalna, ale ryzykowna. W stosunkach pracy dobrowolność zgody jest z założenia ograniczona – pracownik może czuć się zmuszony do wyrażenia zgody. PUODO i Europejska Rada Ochrony Danych konsekwentnie wskazują, że zgoda pracownicza powinna być stosowana jedynie wyjątkowo. Dla regularnych transferów danych kadrowych rekomendujemy SCC jako trwalszą i bezpieczniejszą podstawę prawną.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, transferów transgranicznych i compliance technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.