Transfer danych osobowych z Polski – mechanizmy prawne

Firma technologiczna z Trójmiasta podpisuje umowę z dostawcą chmurowym z Singapuru. Dział prawny pyta: czy możemy przekazywać dane użytkowników? Odpowiedź nie jest prosta. Mechanizmów jest kilka, a wybór złego – lub żaden wybór – oznacza brak możliwości legalnego przetwarzania danych za granicą i realne ryzyko wstrzymania operacji biznesowych przez PUODO.

Transfer danych osobowych poza Europejski Obszar Gospodarczy wymaga podstawy prawnej wynikającej z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Główne mechanizmy to: decyzja stwierdzająca odpowiedni stopień ochrony, standardowe klauzule umowne (SCC) oraz wiążące reguły korporacyjne (BCR). Brak właściwej podstawy transferu może skutkować karą administracyjną do 20 000 000 EUR lub 4% globalnego rocznego obrotu.

Ten przewodnik omawia każdy z dostępnych instrumentów, wskazuje typowe pułapki wdrożeniowe oraz podpowiada, jak przeprowadzić samodzielną ocenę ryzyka. Struktura jest praktyczna: od wyboru mechanizmu, przez ocenę ryzyka, po działania operacyjne i checklistę gotowości.

Jakie mechanizmy transferu danych poza EOG dopuszcza RODO?

RODO przewiduje hierarchię instrumentów. Każdy kolejny wymaga więcej pracy od administratora, ale daje podobny efekt: legalność transferu. Wybór zależy od struktury relacji z odbiorcą, częstotliwości transferów i możliwości negocjacyjnych wobec kontrahenta zagranicznego.

Decyzja Komisji Europejskiej o odpowiednim stopniu ochrony to najprostszy instrument. Jeśli kraj docelowy figuruje na liście Komisji, transfer jest dopuszczalny bez żadnych dodatkowych formalności – tak jak wewnątrz EOG. Na liście znajdują się m.in. Wielka Brytania (decyzja obowiązuje do 27 czerwca 2025 r. i wymaga przedłużenia), Japonia, Korea Południowa, Nowa Zelandia oraz – po wyroku TSUE w sprawie Schrems II – Stany Zjednoczone na podstawie ram Data Privacy Framework (DPF) od 2023 r. Przed każdym transferem warto zweryfikować aktualność decyzji w rejestrze Komisji.

Standardowe klauzule umowne (SCC) to najczęściej stosowany mechanizm dla krajów bez decyzji o adekwatności. Komisja przyjęła nowe SCC w czerwcu 2021 r. – stary wzorzec utracił ważność 27 grudnia 2022 r. Nowe SCC obejmują cztery moduły: administrator–administrator, administrator–podmiot przetwarzający, podmiot przetwarzający–podmiot przetwarzający oraz podmiot przetwarzający–administrator. Wybór modułu musi odpowiadać faktycznej roli stron.

Wiążące reguły korporacyjne (BCR) sprawdzają się w grupach kapitałowych. Wymagają zatwierdzenia przez właściwy organ nadzorczy – w Polsce przez PUODO – i trwają od 12 do 24 miesięcy. Koszt przygotowania dokumentacji wynosi od kilkudziesięciu do kilkuset tysięcy złotych. W zamian dają jednolity reżim ochrony dla wszystkich spółek grupy w dowolnej liczbie jurysdykcji.

Pozostałe instrumenty – kodeksy postępowania z certyfikacją, zgoda osoby, której dane dotyczą, niezbędność wykonania umowy – mają ograniczone zastosowanie w transakcjach biznesowych. Zgoda osoby fizycznej jest szczególnie ryzykowna: musi być dobrowolna, a jej wycofanie natychmiast blokuje transfer. W praktyce żaden poważny operator nie opiera masowych transferów wyłącznie na zgodzie.

Czy Transfer Impact Assessment jest obowiązkowy przy SCC?

Po wyroku TSUE w sprawie Schrems II (C-311/18) samo podpisanie SCC nie wystarcza. Administrator danych musi przeprowadzić Transfer Impact Assessment (TIA) – ocenę, czy prawo kraju docelowego faktycznie zapewnia poziom ochrony równoważny RODO. Obowiązek ten wynika bezpośrednio z motywów i treści RODO, a PUODO oraz EDPB wielokrotnie to potwierdzały.

TIA składa się z kilku elementów. Pierwszym jest analiza prawa kraju docelowego: dostęp organów państwowych do danych, uprawnienia służb wywiadowczych, możliwość dochodzenia roszczeń przez osoby fizyczne. Drugi element to ocena kontekstu transferu: jakie kategorie danych, jak często, do jakiego sektora. Trzeci – identyfikacja środków uzupełniających, jeśli prawo kraju docelowego budzi zastrzeżenia.

Środki uzupełniające dzielą się na techniczne i organizacyjne. Techniczne to przede wszystkim szyfrowanie end-to-end z kluczami po stronie EOG, pseudonimizacja oraz tokenizacja danych. Organizacyjne obejmują klauzule umowne zakazujące ujawniania danych organom bez powiadomienia administratora oraz procedury eskalacji. Sama dokumentacja TIA powinna być przechowywana przez co najmniej 3 lata – tyle wynosi typowy horyzont kontroli PUODO.

Przedsiębiorstwo e-commerce z Mazowsza wdrożyło w 2024 r. transfer danych klientów do procesora w Indiach. Brak TIA i brak środków szyfrowania wyszedł na jaw podczas audytu kontrahenta. Firma musiała wstrzymać transfer na 6 tygodni, renegocjować umowę i wdrożyć szyfrowanie po stronie eksportera – koszt operacyjny przekroczył 150 000 PLN. Gdyby TIA przeprowadzono przed uruchomieniem transferu, projekt zamknąłby się w 3 tygodnie.

Szczególna sytuacja dotyczy transferów w ramach narzędzi chmurowych i SaaS. Wiele polskich firm nie zdaje sobie sprawy, że korzystanie z amerykańskiego narzędzia do HR, CRM czy analityki to transfer danych osobowych – nawet jeśli dane "tylko" trafiają na serwery dostawcy. W praktyce – wiele firm o tym zapomina – każda synchronizacja z zewnętrznym systemem to potencjalny transfer wymagający oceny.

Firmy objęte rozporządzeniem DORA (Rozporządzenie UE 2022/2554), obowiązującym od 17 stycznia 2025 r., muszą uwzględniać wymogi TIA w umowach z zewnętrznymi dostawcami ICT. DORA nakłada na podmioty finansowe obowiązek oceny ryzyka koncentracji i ryzyka jurysdykcyjnego – co bezpośrednio wzmacnia konieczność przeprowadzenia TIA przed każdym transferem do dostawcy spoza EOG. Więcej o trendach egzekucyjnych PUODO przeczytasz w naszym przeglądzie kar RODO w Polsce.

Jakie są najczęstsze pułapki przy wdrażaniu SCC w Polsce?

Standardowe klauzule umowne brzmią jak gotowe rozwiązanie. W praktyce generują kilka powtarzających się błędów, które PUODO identyfikuje podczas kontroli jako samodzielne naruszenia. Każdy z nich może być podstawą nałożenia kary – niezależnie od tego, czy doszło do naruszenia bezpieczeństwa danych.

Błąd pierwszy: wybór złego modułu. Firma traktuje swojego dostawcę chmurowego jako administratora, podczas gdy faktycznie jest podmiotem przetwarzającym. Podpisano SCC w module administrator–administrator zamiast administrator–podmiot przetwarzający. Skutek: brak umowy powierzenia przetwarzania (art. 28 RODO), co stanowi odrębne naruszenie.

Błąd drugi: brak aktualizacji po zmianie wzorca. Firmy, które w 2022 r. nie zastąpiły starych SCC nowymi, wciąż opierają transfery na nieważnym dokumencie. Ryzyko jest realne – PUODO może zakwestionować legalność każdego transferu dokonanego po 27 grudnia 2022 r. na podstawie starego wzorca.

Błąd trzeci: SCC bez TIA. To najczęstszy błąd. Podpisanie klauzul bez oceny prawa kraju docelowego jest niewystarczające po Schrems II. EDPB w wytycznych 05/2021 wprost wskazuje kolejność: najpierw TIA, potem – jeśli wynik jest pozytywny – podpisanie SCC.

• Weryfikacja roli stron (administrator / podmiot przetwarzający) przed wyborem modułu SCC
• Aktualizacja klauzul do wzorca z 2021 r. przed 27 grudnia 2022 r. – termin już minął
• Przeprowadzenie TIA przed uruchomieniem każdego nowego transferu poza EOG
• Dokumentacja środków uzupełniających (szyfrowanie, pseudonimizacja) w rejestrze czynności przetwarzania
• Przegląd SCC co 12 miesięcy lub przy każdej istotnej zmianie po stronie odbiorcy

Błąd czwarty: brak klauzul w łańcuchu podprzetwarzania. Jeśli europejski podmiot przetwarzający korzysta z podprocesora spoza EOG, eksporter danych musi zadbać o SCC na każdym ogniwie łańcucha. Wiele umów SaaS zawiera ogólne klauzule o podprzetwarzaniu – bez wskazania konkretnych podprocesorów i bez mechanizmu powiadamiania administratora o zmianach. To luka, którą PUODO traktuje poważnie.

Błąd piąty: brak klauzul w języku zrozumiałym dla osoby, której dane dotyczą. SCC muszą być dostępne dla osób fizycznych, które chcą dochodzić swoich praw wobec importera danych. Umowa wyłącznie po angielsku lub po chińsku nie spełnia tego wymogu w relacji B2C.

Dla firm technologicznych rozwijających się na rynkach zagranicznych – w tym wchodzących do Polski – pomocna może być nasza analiza strategii ochrony IP dla firm technologicznych z Rumunii działających w Polsce, która omawia zbliżone wyzwania regulacyjne przy wejściu na rynek EOG.

Jak AI Act i DORA zmieniają krajobraz transferu danych z Polski?

Rozporządzenie AI Act (UE 2024/1689) weszło w życie 1 sierpnia 2024 r. Jego pełne stosowanie rozkłada się na lata 2025–2027, ale już teraz wpływa na transfery danych. Systemy AI wysokiego ryzyka – w tym narzędzia do rekrutacji, scoringu kredytowego i biometrii – wymagają oceny zgodności przed wdrożeniem. Jeśli model AI jest trenowany lub eksploatowany przez podmiot spoza EOG, transfer danych treningowych i operacyjnych musi mieć odrębną podstawę w RODO.

W praktyce oznacza to kumulację obowiązków. Administrator danych musi jednocześnie: (1) zapewnić podstawę transferu na gruncie RODO, (2) przeprowadzić ocenę wpływu na prawa podstawowe wymaganą przez AI Act dla systemów wysokiego ryzyka, (3) zadbać o dokumentację techniczną systemu AI. Trzy odrębne procedury, często prowadzone przez różne zespoły, muszą być ze sobą spójne.

DORA (UE 2022/2554) obowiązuje od 17 stycznia 2025 r. Nakłada na instytucje finansowe – banki, zakłady ubezpieczeń, firmy inwestycyjne, dostawców usług płatniczych – obowiązek zarządzania ryzykiem ICT w całym łańcuchu dostaw. Transfer danych do zagranicznego dostawcy chmury lub centrum danych musi być poprzedzony oceną ryzyka jurysdykcyjnego. KNF jako organ nadzorczy oczekuje, że umowy z dostawcami ICT spoza EOG będą zawierać klauzule dotyczące prawa właściwego, jurysdykcji i prawa do audytu.

Startup fintech z Krakowa, obsługiwany przez nasz zespół w pierwszym kwartale 2025 r., odkrył, że jego umowa z dostawcą infrastruktury z USA nie spełniała ani wymogów DORA w zakresie klauzul audytowych, ani wymogów RODO w zakresie SCC. Renegocjacja umowy zajęła 8 tygodni. Brak działania przed terminem 17 stycznia 2025 r. oznaczałby konieczność natychmiastowego wstrzymania usługi lub ryzyko sankcji KNF.

GDPR Poland w kontekście AI to również kwestia profilowania i zautomatyzowanego podejmowania decyzji. Jeśli algorytm działający poza EOG podejmuje decyzje wywołujące skutki prawne dla osób fizycznych, administrator musi zapewnić prawo do interwencji ludzkiej – co wymaga dodatkowych klauzul umownych z podmiotem zagranicznym. IP lawyer Warsaw coraz częściej obsługuje właśnie takie sprawy na styku prawa własności intelektualnej, AI i ochrony danych.

Warto też pamiętać, że trademark i inne prawa IP wytworzone przez systemy AI mogą być przedmiotem transferu jako dane – jeśli dotyczą osób fizycznych zaangażowanych w ich tworzenie. To niszowy, ale rosnący problem w sektorze kreatywnym i mediowym.

Jakie działania podjąć, gdy PUODO wszczyna kontrolę transferu?

Kontrola PUODO w zakresie transferów danych przebiega według określonego schematu. Organ żąda rejestru czynności przetwarzania, dokumentacji TIA, kopii SCC lub decyzji o adekwatności, a także polityk bezpieczeństwa i ewidencji naruszeń. Termin na odpowiedź to zazwyczaj 7 lub 14 dni od doręczenia wezwania. Niedotrzymanie terminu lub niekompletna odpowiedź to samodzielna przesłanka nałożenia kary.

Pierwsza reakcja jest decydująca. Firma powinna natychmiast zebrać dokumentację transferów będących przedmiotem kontroli, zidentyfikować luki (brak TIA, nieaktualny wzorzec SCC, brak umowy powierzenia) i ocenić, czy transfer był legalny w chwili jego dokonania. Jeśli luki istnieją – lepiej wskazać je samemu i opisać działania naprawcze, niż czekać, aż PUODO je odkryje. Organ bierze pod uwagę współpracę administratora jako okoliczność łagodzącą.

PUODO może nałożyć karę administracyjną do 20 000 000 EUR lub – dla przedsiębiorstw – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 RODO). Dla dużych korporacji ta druga kwota jest wyższa. Kara może dotyczyć każdego transferu z osobna – jeśli firma dokonywała transferów do 5 różnych odbiorców bez właściwej podstawy, PUODO może traktować to jako 5 odrębnych naruszeń.

Postępowanie przed PUODO można zaskarżyć do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA), a następnie do Naczelnego Sądu Administracyjnego (NSA). Termin na skargę do WSA wynosi 30 dni od doręczenia decyzji. Wstrzymanie wykonania decyzji (a więc odroczenie zapłaty kary) jest możliwe, ale wymaga uprawdopodobnienia, że kara wyrządzi trudną do odwrócenia szkodę.

Jeśli Państwa spółka zatrudnia pracowników z zagranicy i przetwarza ich dane w systemach poza EOG, warto zapoznać się z naszym przewodnikiem dotyczącym EU Blue Card w Polsce w 2026 r. – w tym kontekście transfer danych kadrowych do systemów HR spoza EOG jest szczególnie wrażliwy.

Konkretna sytuacja Państwa firmy – liczba transferów, kategorie danych, relacje z odbiorcami – determinuje zakres ryzyka w sposób nieodwracalny. Brak dokumentacji TIA w chwili kontroli nie może być uzupełniony wstecznie. Zamyka to drogę do skutecznej obrony przed sankcją.

Jeśli Państwa spółka dokonuje transferów danych poza EOG i nie dysponuje kompletną dokumentacją TIA oraz aktualnymi SCC – przeprowadzimy audyt transferów, identyfikację luk i wdrożenie środków naprawczych: info@kordeckipartners.com.

Checklista gotowości do transferu danych poza EOG

Poniższa lista pozwala ocenić, czy Państwa organizacja jest przygotowana do legalnego transferu danych osobowych poza Europejski Obszar Gospodarczy. Każdy punkt bez checkmarku to potencjalna luka wymagająca działania przed uruchomieniem lub kontynuacją transferu.

• Zidentyfikowano wszystkich odbiorców danych spoza EOG i zweryfikowano, czy kraj docelowy posiada aktualną decyzję Komisji o adekwatności
• Dla każdego transferu bez decyzji o adekwatności podpisano aktualne SCC (wzorzec z 2021 r.) z właściwym modułem odpowiadającym roli stron
• Przeprowadzono i udokumentowano TIA dla każdego transferu poza EOG, z oceną prawa kraju docelowego i środkami uzupełniającymi
• Rejestr czynności przetwarzania (art. 30 RODO) zawiera informacje o transferach, podstawach prawnych i odbiorcach spoza EOG
• Umowy z podprocesorami spoza EOG zawierają klauzule SCC lub inne dopuszczone mechanizmy, a administrator jest informowany o każdej zmianie w łańcuchu podprzetwarzania

Dla podmiotów finansowych obowiązuje dodatkowy wymóg: dokumentacja zgodności z DORA w zakresie ryzyka jurysdykcyjnego musi być spójna z dokumentacją RODO. Dwa odrębne działy compliance – IT i prawny – muszą pracować ze wspólnym repozytorium dokumentów.

Firmy wdrażające systemy AI wysokiego ryzyka powinny rozszerzyć checklistę o ocenę wpływu na prawa podstawowe (FRIA) wymaganą przez AI Act oraz o weryfikację, czy transfer danych treningowych do modelu spoza EOG ma odrębną podstawę prawną.

Często zadawane pytania

P: Czy korzystanie z Google Workspace lub Microsoft 365 wymaga SCC?

O: Tak – o ile dane osobowe są przetwarzane na serwerach poza EOG lub dostęp do nich ma podmiot spoza EOG. Obaj dostawcy oferują standardowe klauzule umowne jako część swoich warunków usługi dla klientów biznesowych. Administrator danych musi jednak samodzielnie przeprowadzić Transfer Impact Assessment i zweryfikować, czy środki techniczne dostawcy są wystarczające. Samo zaakceptowanie warunków korzystania z usługi nie zastępuje TIA – to odrębny obowiązek administratora wynikający z RODO.

P: Jak długo trwa uzyskanie BCR i ile kosztuje?

O: Procedura zatwierdzenia wiążących reguł korporacyjnych przez PUODO trwa od 12 do 24 miesięcy i obejmuje kilka rund konsultacji z organem nadzorczym. Koszt przygotowania dokumentacji – polityk, procedur, ocen zgodności – wynosi od 80 000 do 300 000 PLN w zależności od wielkości grupy i liczby jurysdykcji. BCR są opłacalne dla grup kapitałowych dokonujących masowych transferów wewnątrzgrupowych do wielu krajów trzecich jednocześnie. Dla pojedynczych transferów lub małych grup SCC są zawsze szybszym i tańszym rozwiązaniem.

P: Czy zgoda pracownika na transfer danych do zagranicznego systemu HR jest wystarczającą podstawą?

O: W zdecydowanej większości przypadków – nie. Zgoda pracownika w stosunku pracy nie spełnia wymogu dobrowolności wymaganego przez RODO, ponieważ istnieje faktyczna nierównowaga sił między pracodawcą a pracownikiem. PUODO i EDPB konsekwentnie wskazują, że transfer danych pracowniczych powinien opierać się na SCC lub BCR, a nie na zgodzie. Wyjątkiem mogą być transfery incydentalne dotyczące konkretnej osoby w jej własnym interesie – ale masowy transfer danych HR do systemu zagranicznego na podstawie zgody jest ryzykowny i trudny do obrony podczas kontroli.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do transferu danych osobowych, compliance RODO, wdrożeń AI Act i DORA oraz ochrony własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.