Transfer danych osobowych z Polski – mechanizmy

Firma technologiczna z Mazowsza podpisuje umowę z dostawcą usług chmurowych z siedzibą w Stanach Zjednoczonych. Dane klientów – w tym adresy e-mail, numery telefonów i historia zakupów – mają być przetwarzane na serwerach w Wirginii. Zarząd pyta: czy możemy to zrobić legalnie? Odpowiedź brzmi: tak, ale tylko pod warunkiem zastosowania właściwego mechanizmu transferu.

Transfer danych osobowych z Polski do państwa trzeciego reguluje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO – bezpośrednio stosowane w całej Unii Europejskiej, w tym w Polsce. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Każdy transfer wymaga podstawy prawnej: decyzji stwierdzającej odpowiedni stopień ochrony, standardowych klauzul umownych (SCC) lub innego zatwierdzonego instrumentu. Kara za brak podstawy może sięgnąć 20 000 000 EUR lub 4% globalnego obrotu.

Poniżej omawiamy pięć obszarów: krajobraz regulacyjny i rolę PUODO, dostępne mechanizmy transferu, najczęstsze pułapki praktyczne, aspekty transgraniczne oraz listę kontrolną dla administratorów. Każdy z nich wymaga osobnej analizy – bo jeden błąd na etapie wdrożenia może zablokować całą operację.

Jaki jest aktualny krajobraz regulacyjny transferu danych z Polski?

RODO obowiązuje w Polsce bezpośrednio od 25 maja 2018 roku. Uzupełnia je ustawa z 10 maja 2018 r. o ochronie danych osobowych, która doprecyzowuje kompetencje PUODO. Transfer do państwa trzeciego – czyli poza Europejski Obszar Gospodarczy – jest dozwolony wyłącznie wtedy, gdy spełnione są warunki z rozdziału V RODO. Bez właściwego mechanizmu transferu dane nie mogą legalnie opuścić EOG.

PUODO aktywnie egzekwuje te przepisy. W ostatnich latach urząd prowadził postępowania wobec administratorów, którzy transferowali dane do USA bez ważnej podstawy – szczególnie po unieważnieniu Tarczy Prywatności przez Trybunał Sprawiedliwości UE w sprawie Schrems II w 2020 roku. Dziś podstawowym instrumentem dla transferów do USA jest Ramy Ochrony Danych UE-USA (EU-US Data Privacy Framework, DPF), przyjęte decyzją Komisji Europejskiej w lipcu 2023 roku.

Na krajobraz regulacyjny wpływają również inne akty unijne. Rozporządzenie w sprawie sztucznej inteligencji – AI Act (Rozporządzenie UE 2024/1689) – weszło w życie 1 sierpnia 2024 roku i nakłada dodatkowe obowiązki na systemy AI przetwarzające dane osobowe. DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku i dotyczy podmiotów finansowych korzystających z zewnętrznych dostawców ICT. W praktyce oznacza to, że transfer danych przez instytucję finansową do dostawcy chmury wymaga dziś zarówno podstawy z RODO, jak i spełnienia wymogów DORA dotyczących zarządzania ryzykiem ICT.

Polska uczestniczy też w sieci współpracy organów nadzorczych EOG. PUODO współpracuje z EDPB (Europejską Radą Ochrony Danych) przy wypracowywaniu wytycznych dotyczących transferów. Decyzje EDPB wiążą krajowe organy nadzorcze – dlatego zmiany na poziomie europejskim bezpośrednio przekładają się na praktykę stosowania przepisów w Polsce. Termin na odpowiedź PUODO na zawiadomienie o naruszeniu wynosi 72 godziny.

Jakie mechanizmy prawne umożliwiają transfer danych za granicę?

RODO przewiduje kilka instrumentów legalnego transferu. Każdy z nich ma inne warunki stosowania, inny poziom ochrony i inne koszty wdrożenia. Wybór właściwego mechanizmu zależy od kierunku transferu, charakteru danych i relacji między stronami. Poniżej omawiamy cztery najważniejsze.

Decyzja stwierdzająca odpowiedni stopień ochrony to najprostsze rozwiązanie. Komisja Europejska uznaje, że dane państwo zapewnia ochronę równoważną RODO – administrator nie musi podejmować żadnych dodatkowych działań. Aktualnie decyzją objęte są m.in. Wielka Brytania, Japonia, Korea Południowa, Nowa Zelandia i – od 2023 roku – USA w ramach DPF. Jeśli odbiorca danych jest certyfikowany w ramach DPF, transfer do USA jest tak prosty jak transfer wewnątrz EOG.

Standardowe klauzule umowne (SCC) to najpopularniejszy instrument dla transferów do państw bez decyzji Komisji. Aktualna wersja SCC pochodzi z 2021 roku i obejmuje cztery moduły: administrator–administrator, administrator–podmiot przetwarzający, podmiot przetwarzający–podmiot przetwarzający oraz podmiot przetwarzający–administrator. Przed podpisaniem SCC administrator musi przeprowadzić Transfer Impact Assessment (TIA) – ocenę, czy prawo państwa docelowego nie podważa gwarancji zawartych w klauzulach. Brak TIA to najczęstsza przyczyna naruszeń stwierdzanych przez PUODO.

Wiążące reguły korporacyjne (BCR) są rozwiązaniem dla grup kapitałowych. Pozwalają na swobodny przepływ danych między spółkami grupy, nawet jeśli część z nich działa poza EOG. Zatwierdzenie BCR przez PUODO lub inny właściwy organ trwa zwykle od 12 do 18 miesięcy i wymaga szczegółowej dokumentacji polityk ochrony danych. To inwestycja opłacalna dla dużych korporacji, lecz rzadko uzasadniona dla MŚP.

Wyjątki z art. 49 RODO – zgoda osoby, wykonanie umowy, ważny interes publiczny – mogą być stosowane jedynie wyjątkowo i nie mogą zastępować systemowych mechanizmów transferu. PUODO konsekwentnie kwestionuje próby oparcia regularnych, powtarzalnych transferów wyłącznie na zgodzie podmiotu danych.

Decyzja Komisji (w tym DPF dla USA) – brak dodatkowych formalności po stronie administratora
SCC 2021 – wymagają TIA i wdrożenia klauzul do umowy z odbiorcą
BCR – zatwierdzenie przez organ nadzorczy, 12–18 miesięcy procedury
Certyfikacja i kodeksy postępowania – instrumenty uzupełniające, nie samodzielne podstawy
Wyjątki z art. 49 RODO – stosowanie wyłącznie incydentalnie

Uważamy, że dla większości polskich przedsiębiorstw optymalnym punktem startowym jest sprawdzenie, czy odbiorca jest certyfikowany w DPF. Jeśli nie – SCC z rzetelnie przeprowadzonym TIA to bezpieczniejsze rozwiązanie niż poszukiwanie wyjątków.

Warto też pamiętać, że transfer danych przez systemy AI – coraz powszechniejszy w obsłudze klientów i rekrutacji – podlega jednocześnie RODO i AI Act. Systemy wysokiego ryzyka w rozumieniu AI Act wymagają oceny zgodności przed wdrożeniem. Doradztwo w tym zakresie prowadzimy również dla klientów z rynków anglosaskich – więcej o naszym podejściu do prawa technologicznego znajdą Państwo na stronie naszej praktyki IP/Tech dla rynku USA.

Konkretna sytuacja Państwa firmy – wybór mechanizmu transferu, zakres TIA, integracja z wymogami DORA – wymaga indywidualnej oceny. Zaniechanie właściwej podstawy transferu to ryzyko nieodwracalnych konsekwencji: kary PUODO, zakazu przetwarzania i odpowiedzialności wobec podmiotów danych. Jeśli Państwa spółka planuje transfer danych do odbiorcy spoza EOG i nie ma pewności co do podstawy prawnej – przeprowadzimy audyt mechanizmu transferu i przygotujemy dokumentację TIA: info@kordeckipartners.com.

Jakie pułapki praktyczne czyhają na administratorów danych?

Na papierze procedura wygląda prosto: wybrać mechanizm, podpisać klauzule, przeprowadzić TIA. W praktyce – wiele firm o tym zapomina – rzeczywistość jest bardziej złożona. Poniżej opisujemy trzy scenariusze, w których dobrze zaplanowany transfer okazuje się jednak niezgodny z RODO.

Pierwsza pułapka to nieaktualne SCC. Stare wzory klauzul, zatwierdzone przez Komisję w 2001 i 2004 roku, straciły ważność 27 grudnia 2022 roku. Firmy, które podpisały umowy z dostawcami przed tą datą i nie zaktualizowały klauzul do formatu SCC 2021, prowadzą transfer bez ważnej podstawy prawnej. Szacujemy, że problem ten dotyka znacznej części umów zawartych przed 2022 rokiem – szczególnie w sektorze e-commerce i SaaS.

Druga pułapka to brak lub pozorny TIA. Transfer Impact Assessment nie może być dokumentem szablonowym kopiowanym z internetu. Musi zawierać analizę prawa państwa docelowego – w szczególności przepisów o dostępie służb do danych – oraz ocenę, czy dodatkowe środki techniczne (szyfrowanie, pseudonimizacja) są konieczne. Spółka IT z Małopolski przeprowadziła w lecie 2024 roku audyt swoich transferów do Indii i odkryła, że TIA sporządzony przez poprzedniego doradcę nie zawierał analizy indyjskiej ustawy o ochronie danych cyfrowych z 2023 roku. Aktualizacja dokumentacji zajęła trzy miesiące.

Trzecia pułapka to sub-procesorzy. Główny dostawca usług chmurowych może korzystać z dziesiątek podwykonawców rozmieszczonych w różnych państwach. Każdy taki sub-procesor to potencjalnie odrębny transfer wymagający własnej podstawy. Umowa główna z SCC nie obejmuje automatycznie transferów do sub-procesorów, chyba że klauzule wyraźnie to regulują. Administrator odpowiada za cały łańcuch przetwarzania.

Czwarta pułapka: zmiana dostawcy bez aktualizacji rejestru czynności przetwarzania. Rejestr prowadzony na podstawie art. 30 RODO musi odzwierciedlać aktualny stan transferów – w tym nazwy odbiorców i stosowane mechanizmy. Nieaktualne wpisy to nie tylko naruszenie formalne, ale też sygnał dla PUODO, że administrator nie panuje nad przepływem danych.

Jak wygląda transfer danych w kontekście transgranicznym?

Polskie firmy coraz częściej działają w strukturach wielojurysdykcyjnych: mają spółki zależne w Niemczech, Czechach lub Ukrainie, korzystają z dostawców z USA, Indii lub Singapuru, a ich klienci są rozproszeni po całym EOG. W takich strukturach transfer danych nie jest jednorazowym zdarzeniem – to ciągły przepływ wymagający systemowego zarządzania.

Transfer wewnątrz EOG – np. z polskiej spółki matki do czeskiej spółki córki – nie wymaga żadnej szczególnej podstawy transferu. RODO stosuje się jednolicie w całym Europejskim Obszarze Gospodarczym, który obejmuje 27 państw UE plus Norwegię, Islandię i Liechtenstein. Wystarczy umowa powierzenia przetwarzania, jeśli spółka córka działa jako podmiot przetwarzający.

Transfer z Polski na Ukrainę to odrębna kwestia. Ukraina nie ma decyzji Komisji stwierdzającej odpowiedni stopień ochrony. Transfery do ukraińskich podmiotów wymagają SCC lub BCR. W praktyce – szczególnie dla firm z Ukrainian Desk obsługujących klientów z sektora technologicznego – stosujemy SCC w module administrator–administrator lub administrator–podmiot przetwarzający, uzupełnione o analizę ukraińskiego prawa o ochronie danych osobowych z 2010 roku.

Dla inwestorów z Niemiec wchodzących na rynek polski sytuacja jest klarowna: transfer danych między spółką niemiecką a polską spółką córką to transfer wewnątrz EOG. Problem pojawia się, gdy dane mają trafić do centralnego systemu IT zlokalizowanego poza EOG – np. w USA lub Singapurze. Wtedy mechanizm transferu musi być ustanowiony przez podmiot, który jest administratorem w rozumieniu RODO, niezależnie od tego, czy jest to spółka polska czy niemiecka.

Firmy działające w sektorze finansowym muszą uwzględnić wymogi DORA. Od 17 stycznia 2025 roku każda umowa z dostawcą ICT – w tym umowa przetwarzania danych w chmurze – musi zawierać klauzule dotyczące zarządzania ryzykiem, audytu i ciągłości działania. Brak tych klauzul to naruszenie DORA, nawet jeśli podstawa transferu z RODO jest prawidłowa. Więcej o aspektach kontraktowych w relacjach z dostawcami zewnętrznymi znajdą Państwo w naszym opracowaniu dotyczącym umów z dostawcami usług logistycznych i magazynowych.

Odrębnym zagadnieniem jest ochrona tajemnicy przedsiębiorstwa w kontekście transferów. Dane przesyłane do zagranicznych podmiotów mogą zawierać informacje stanowiące tajemnicę przedsiębiorstwa – know-how, dane handlowe, modele algorytmiczne. Mechanizm transferu RODO nie zastępuje ochrony kontraktowej tych informacji. Strategie ochrony tajemnic handlowych w polskim prawie omawia nasze opracowanie dostępne pod adresem trade secret protection strategies under Polish law.

Konkretna struktura transgraniczna Państwa grupy może generować ryzyka trudne do odwrócenia – szczególnie gdy dane trafiają do podmiotów w państwach o restrykcyjnym dostępie służb do danych. Jeśli Państwa firma prowadzi transfery do więcej niż jednej jurysdykcji spoza EOG i nie ma pewności, czy wszystkie są objęte ważnymi mechanizmami – przeprowadzimy mapowanie transferów i przygotujemy matrycę ryzyka: info@kordeckipartners.com.

Lista kontrolna dla administratora – co przygotować przed transferem?

Przed uruchomieniem transferu danych do państwa trzeciego administrator powinien przejść przez ustrukturyzowaną procedurę weryfikacji. Poniżej przedstawiamy pięć kroków, które uznajemy za minimum wymagane przez RODO i praktykę PUODO.

Krok 1 – Identyfikacja transferu: ustal, jakie kategorie danych, do jakiego państwa i do jakiego odbiorcy są lub będą przekazywane. Zaktualizuj rejestr czynności przetwarzania (art. 30 RODO).
Krok 2 – Wybór mechanizmu: sprawdź, czy dla państwa docelowego istnieje decyzja Komisji (w tym DPF dla USA). Jeśli nie – wybierz SCC 2021 lub BCR.
Krok 3 – Transfer Impact Assessment: przeprowadź TIA obejmujący analizę prawa państwa docelowego, ocenę ryzyka dostępu służb oraz opis dodatkowych środków technicznych i organizacyjnych.
Krok 4 – Umowa z odbiorcą: wdróż właściwy moduł SCC do umowy z odbiorcą. Sprawdź, czy umowa reguluje sub-procesorów i łańcuch dalszych transferów.
Krok 5 – Monitoring i aktualizacja: transfery nie są jednorazowym zdarzeniem. Ustaw procedurę przeglądu co 12 miesięcy lub po każdej zmianie prawa w państwie docelowym.

Administratorzy z sektora finansowego muszą dodatkowo zapewnić zgodność z wymogami DORA dotyczącymi umów z dostawcami ICT – w szczególności klauzul o audycie, lokalizacji danych i ciągłości działania. Termin na zgłoszenie poważnego incydentu ICT do KNF wynosi 4 godziny od jego wykrycia.

Dla firm wdrażających systemy AI warto pamiętać, że AI Act nakłada obowiązki oceny zgodności dla systemów wysokiego ryzyka, zanim dane osobowe zostaną im udostępnione. Połączenie wymogów RODO, AI Act i – w stosownych przypadkach – DORA tworzy wielowarstwową strukturę compliance, której nie można sprowadzić do jednego dokumentu.

Często zadawane pytania

P: Czy zgoda podmiotu danych wystarczy jako podstawa regularnego transferu danych do USA?

O: Nie. Zgoda na podstawie artykułu 49 ustęp 1 litera a RODO jest wyjątkiem i może być stosowana wyłącznie incydentalnie, nie jako podstawa regularnych, powtarzalnych transferów. PUODO i Europejska Rada Ochrony Danych konsekwentnie kwestionują takie podejście. Dla regularnych transferów do USA właściwym rozwiązaniem jest weryfikacja, czy odbiorca jest certyfikowany w ramach EU-US Data Privacy Framework, a jeśli nie – wdrożenie standardowych klauzul umownych z 2021 roku.

P: Ile kosztuje i ile trwa wdrożenie BCR dla grupy kapitałowej?

O: Wiążące reguły korporacyjne to procedura zajmująca od 12 do 18 miesięcy, licząc od złożenia wniosku do właściwego organu nadzorczego. Koszt zależy od złożoności struktury grupy i zakresu transferów – dla grupy o umiarkowanej złożoności należy liczyć się z kilkudziesięcioma godzinami pracy prawnej i kosztami tłumaczeń dokumentacji. BCR jest rozwiązaniem opłacalnym dla dużych korporacji z wieloma spółkami poza EOG. Dla mniejszych podmiotów standardowe klauzule umowne są zazwyczaj szybszym i tańszym wyborem.

P: Czy po unieważnieniu Tarczy Prywatności transfery do USA są w ogóle bezpieczne?

O: EU-US Data Privacy Framework, przyjęty decyzją Komisji Europejskiej w lipcu 2023 roku, zastąpił unieważnioną Tarczę Prywatności i stanowi ważną podstawę transferu dla odbiorców certyfikowanych w ramach tego mechanizmu. Certyfikację można zweryfikować w publicznie dostępnym rejestrze prowadzonym przez Departament Handlu USA. Należy jednak śledzić orzecznictwo TSUE – kolejna skarga (określana jako Schrems III) jest w toku. Administratorzy, którzy chcą zabezpieczyć się na wypadek ewentualnego unieważnienia DPF, stosują SCC równolegle jako mechanizm zapasowy.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, transferów transgranicznych, AI Act i DORA compliance. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.