Transfer danych osobowych z Polski do United

Polska firma technologiczna z Krakowa odkrywa w trakcie audytu, że jej dział IT od miesięcy przesyła dane klientów do amerykańskiego dostawcy chmurowego – bez żadnej dokumentacji prawnej. Danych jest dużo: imiona, adresy e-mail, dane behawioralne, a w przypadku jednego klienta – dokumentacja medyczna. PUODO może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. To nie jest scenariusz abstrakcyjny. Dzieje się regularnie.

Transfer danych osobowych z Polski do Stanów Zjednoczonych podlega przepisom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Stany Zjednoczone nie są uznawane za kraj zapewniający odpowiedni poziom ochrony danych w rozumieniu RODO – z wyjątkiem podmiotów certyfikowanych w ramach Data Privacy Framework (DPF), zatwierdzonego decyzją Komisji Europejskiej z 10 lipca 2023 roku. Organizacja, która przesyła dane poza ten mechanizm, musi oprzeć transfer na standardowych klauzulach umownych (SCC) lub wiążących regułach korporacyjnych (BCR). Brak właściwego mechanizmu to naruszenie art. 46 RODO i ryzyko kary finansowej nakładanej przez PUODO.

Ten przewodnik omawia cztery dostępne instrumenty prawne, typowe pułapki wdrożeniowe, kwestie szczególne dla sektora finansowego i technologicznego, a na końcu – praktyczną listę kontrolną dla administratorów danych. Każda sekcja zawiera co najmniej jeden konkretny próg lub termin, bo w prawie danych osobowych szczegóły decydują o wyniku postępowania.

Dlaczego transfer do USA jest szczególnie skomplikowany?

Stany Zjednoczone nie posiadają federalnej ustawy o ochronie danych osobowych odpowiadającej RODO. Zamiast tego funkcjonuje mozaika przepisów sektorowych: HIPAA dla danych zdrowotnych, COPPA dla danych dzieci, CCPA w Kalifornii, FERPA w edukacji. Żaden z tych aktów nie tworzy automatycznie „odpowiedniego poziomu ochrony" w rozumieniu art. 45 RODO. Komisja Europejska wydała do tej pory decyzje o adekwatności dla kilkudziesięciu jurysdykcji – USA znalazły się na tej liście tylko częściowo, wyłącznie poprzez DPF.

Historia jest pouczająca. Pierwsza wersja mechanizmu – Safe Harbor – upadła wyrokiem Trybunału Sprawiedliwości UE w sprawie Schrems I w 2015 roku. Następca, Privacy Shield, podzielił ten los w sprawie Schrems II w 2020 roku. DPF z 2023 roku jest trzecią próbą. Europejski Trybunał Praw Człowieka i Parlament Europejski już sygnalizują wątpliwości co do jego trwałości. Dla Państwa firmy oznacza to jedno: oparcie transferu wyłącznie na DPF bez równoległego zabezpieczenia SCC to ryzyko nieodwracalnej przerwy w operacjach, jeśli DPF zostanie zakwestionowany.

Regulatorzy europejscy – w tym PUODO, który współpracuje z siecią organów nadzorczych UE – coraz aktywniej badają zgodność transferów. Organy danych osobowych w Austrii, Niemczech i Francji nałożyły kary za transfer do USA przez Google Analytics, zanim PUODO wydał własne wytyczne. Precedensy te mają znaczenie praktyczne dla każdego polskiego administratora.

Dodatkową warstwę komplikacji wprowadza Rozporządzenie (UE) 2024/1689, czyli AI Act, który wszedł w życie 1 sierpnia 2024 roku. Systemy sztucznej inteligencji zaklasyfikowane jako wysokiego ryzyka – w tym narzędzia HR, scoring kredytowy i biometria – wymagają osobnej oceny zgodności. Jeśli taki system przetwarza dane osobowe i przesyła je do USA, administrator musi spełnić wymagania zarówno RODO, jak i AI Act Poland jednocześnie. To nie są redundantne obowiązki – to osobne reżimy z osobnymi sankcjami.

Jakie mechanizmy prawne umożliwiają legalny transfer danych do USA?

RODO przewiduje kilka ścieżek transferu danych do państw trzecich. Dla transferów do USA dostępne są cztery: decyzja o adekwatności (DPF), standardowe klauzule umowne (SCC), wiążące reguły korporacyjne (BCR) oraz wyjątki z art. 49 RODO. Każda ma inne wymagania, koszty i poziom pewności prawnej.

Data Privacy Framework (DPF) to najszybsza ścieżka – jeśli odbiorca danych jest certyfikowany. Certyfikacja jest dobrowolna, administrowana przez Departament Handlu USA i odnawiana corocznie. Przed wysłaniem danych administrator z Polski musi zweryfikować aktualność certyfikatu pod adresem dataprivacyframework.gov. Certyfikat bez aktualnej daty ważności nie stanowi podstawy transferu. Wiele polskich firm popełnia błąd, sprawdzając certyfikat tylko raz – przy podpisaniu umowy. Certyfikat może wygasnąć po roku.

Standardowe klauzule umowne (SCC) w wersji z 2021 roku to najszerzej stosowany instrument dla transferów do podmiotów niecertyfikowanych w DPF. SCC składają się z czterech modułów zależnych od roli stron: administrator–administrator (moduł 1), administrator–podmiot przetwarzający (moduł 2), podmiot przetwarzający–podmiot przetwarzający (moduł 3), podmiot przetwarzający–administrator (moduł 4). Wybór niewłaściwego modułu to błąd formalny, który organ nadzorczy może zakwestionować. Poza samymi klauzulami administrator musi przeprowadzić Transfer Impact Assessment (TIA) – ocenę skutków transferu dla praw podmiotów danych, uwzględniającą prawo dostępu służb wywiadowczych USA do danych (sekcja 702 FISA, EO 14086).

Wiążące reguły korporacyjne (BCR) są dedykowane grupom kapitałowym. Zatwierdzenie BCR przez PUODO lub wiodący organ nadzorczy trwa od 12 do 24 miesięcy. To instrument dla organizacji z ugruntowaną strukturą – nie dla startupów ani firm bez rozbudowanego działu compliance. Koszt wdrożenia BCR przekracza zazwyczaj 100 000 PLN w samych nakładach prawnych i organizacyjnych.

Wyjątki z art. 49 RODO – zgoda podmiotu danych, wykonanie umowy, ważny interes publiczny – mogą służyć wyłącznie transferom incydentalnym. PUODO i EROD konsekwentnie odmawiają uznania ich za podstawę transferów systematycznych lub masowych. Firma, która przesyła dane tysięcy użytkowników do amerykańskiego CRM na podstawie zgody, stoi na bardzo niepewnym gruncie.

Czego unikać – najczęstsze pułapki przy transferach do USA?

Na papierze procedura wygląda prosto. W praktyce – wiele firm o tym zapomina – problemy pojawiają się na etapie wdrożenia, nie na etapie wyboru mechanizmu. Poniżej cztery scenariusze, które regularnie prowadzą do postępowań przed PUODO.

Pułapka pierwsza: sub-procesorzy. Firma podpisuje SCC z amerykańskim dostawcą SaaS. Dostawca korzysta z podwykonawców – innych firm w USA lub poza UE – bez poinformowania klienta. Art. 28 ust. 2 RODO wymaga, by każda umowa powierzenia przetwarzania zawierała klauzulę o sub-procesorach i mechanizm sprzeciwu. Brak takiej klauzuli oznacza naruszenie RODO niezależnie od tego, czy SCC z głównym dostawcą są poprawne.

Pułapka druga: rejestr czynności przetwarzania. Art. 30 RODO zobowiązuje administratora do prowadzenia rejestru czynności przetwarzania. Transfer do USA powinien być w nim ujęty jako odrębna czynność z wskazaniem mechanizmu transferu i kategorii danych. Brak wpisu to nie tylko naruszenie formalne – to sygnał dla PUODO, że organizacja nie kontroluje swoich przepływów danych.

Pułapka trzecia: brak TIA. Po wyroku Schrems II ocena skutków transferu jest obowiązkowym elementem due diligence. TIA musi uwzględnić prawo kraju odbiorcy – w tym wspomniane przepisy FISA i Executive Order 14086. Dokument bez analizy prawa USA to dokument pozorny, który nie chroni administratora przed odpowiedzialnością.

Firma z sektora IT z Mazowsza, której dane przetwarzał podmiot w Teksasie, jesienią 2024 roku otrzymała wezwanie PUODO do przedstawienia dokumentacji TIA w terminie 14 dni. Dokumentacji nie było. Wynikiem było postępowanie wyjaśniające i konieczność zawieszenia transferu na 6 tygodni – co sparaliżowało kluczową usługę.

Pułapka czwarta: DORA i sektor finansowy. Rozporządzenie (UE) 2022/2554, czyli DORA, obowiązuje od 17 stycznia 2025 roku i nakłada na podmioty finansowe dodatkowe wymagania dotyczące umów z dostawcami ICT. Każda umowa z dostawcą chmurowym w USA musi teraz zawierać klauzule o lokalizacji danych, prawie audytu i planach ciągłości działania. Podmiot nadzorowany przez KNF, który przesyła dane do USA bez klauzul DORA, narusza jednocześnie RODO i DORA – dwa osobne reżimy sankcyjne. Więcej o ochronie danych technologicznych w kontekście transgranicznym omawia praktyczny przewodnik o ochronie IP dla firm technologicznych.

Uważamy, że najbezpieczniejszym podejściem dla większości polskich firm jest architektura dwuwarstwowa: DPF jako pierwsza linia (dla certyfikowanych odbiorców) plus SCC z aktualnym TIA jako zabezpieczenie na wypadek upadku DPF. Koszt przygotowania takiej dokumentacji to zazwyczaj od 8 000 do 25 000 PLN – znacznie mniej niż potencjalna kara.

Jeśli Państwa firma przesyła dane do USA i nie jest pewna aktualności swojej dokumentacji – to właśnie ten moment, by to sprawdzić. Każdy dzień niezgodności to kontynuowane naruszenie RODO, które organ może wziąć pod uwagę przy wymiarze kary.

Aby ocenić konkretną sytuację Państwa organizacji i wskazać najwłaściwszy mechanizm transferu, napisz do nas: info@kordeckipartners.com.

Szczególne przypadki: dane wrażliwe, AI i kwestie własności intelektualnej

Nie wszystkie dane osobowe są równe. RODO wyróżnia kategorię danych szczególnych – art. 9 RODO – obejmującą dane o stanie zdrowia, pochodzeniu rasowym lub etnicznym, poglądach politycznych, biometrii i orientacji seksualnej. Transfer tych danych do USA wymaga nie tylko właściwego mechanizmu z rozdziału V RODO, ale też podstawy prawnej z art. 9 ust. 2 RODO. Brak tej drugiej podstawy to błąd niezależny od poprawności SCC.

AI Act, obowiązujący od 1 sierpnia 2024 roku, wprowadza nową kategorię obowiązków dla systemów wysokiego ryzyka. Jeśli polska firma korzysta z amerykańskiego narzędzia AI do rekrutacji, oceny zdolności kredytowej lub rozpoznawania twarzy, musi przeprowadzić ocenę zgodności z AI Act przed wdrożeniem. Dane osobowe przetwarzane przez taki system i przesyłane do USA podlegają jednocześnie RODO i AI Act Poland. Naruszenie AI Act może skutkować karą do 30 milionów euro lub 6% globalnego obrotu – więcej niż maksymalna kara RODO.

Oddzielną kwestią jest ochrona tajemnicy przedsiębiorstwa i własności intelektualnej w kontekście transferu danych. Przesyłanie do USA danych zawierających know-how, kody źródłowe lub dokumentację patentową wymaga oceny nie tylko pod kątem RODO, ale też przepisów o ochronie tajemnic handlowych. Polskie przepisy o ochronie tajemnicy przedsiębiorstwa implementują Dyrektywę UE 2016/943. Kwestie te omawia szczegółowo przewodnik o ochronie tajemnicy przedsiębiorstwa w prawie polskim. Warto pamiętać, że umowa SCC reguluje transfer danych osobowych – nie chroni automatycznie własności intelektualnej zawartej w tych danych.

W przypadku grup kapitałowych z polską spółką córką i amerykańską spółką matką pojawia się dodatkowy problem: kto jest administratorem? Jeśli decyzje o celach i sposobach przetwarzania podejmuje spółka w USA, ona jest administratorem w rozumieniu RODO. Polska spółka może być podmiotem przetwarzającym – lub współadministratorem, jeśli ma wpływ na decyzje. Błędna kwalifikacja roli prowadzi do wyboru złego modułu SCC i nieważności całego mechanizmu transferu.

Lista kontrolna przed transferem danych do USA

Poniżej praktyczna lista punktów do weryfikacji przed uruchomieniem lub kontynuowaniem transferu danych osobowych do Stanów Zjednoczonych. Każdy punkt odpowiada konkretnemu wymaganiu RODO lub powiązanego aktu prawnego.

Weryfikacja certyfikatu DPF odbiorcy – sprawdź aktualność certyfikatu na dataprivacyframework.gov przed podpisaniem umowy i co roku przy jej odnowieniu.
Dobór właściwego modułu SCC – ustal role stron (administrator / podmiot przetwarzający) i wybierz odpowiedni moduł z decyzji Komisji Europejskiej z 4 czerwca 2021 roku.
Przeprowadzenie Transfer Impact Assessment – udokumentuj analizę prawa USA (FISA sekcja 702, EO 14086) i zastosowane środki uzupełniające (szyfrowanie, pseudonimizacja, minimalizacja danych).
Aktualizacja rejestru czynności przetwarzania – uwzględnij transfer jako odrębną czynność z nazwą odbiorcy, kategorią danych i podstawą transferu.
Weryfikacja klauzul sub-procesorowych – upewnij się, że umowa z odbiorcą zawiera mechanizm zgłaszania i zatwierdzania sub-procesorów zgodnie z art. 28 ust. 2 RODO.

Jeśli Państwa firma działa w sektorze finansowym – dodaj do listy weryfikację klauzul DORA: lokalizacja danych, prawo audytu, plan ciągłości działania, maksymalny czas przestoju. Podmioty nadzorowane przez KNF mają termin na dostosowanie umów z dostawcami ICT: obowiązek obowiązuje od 17 stycznia 2025 roku bez okresu przejściowego.

Dla firm korzystających z narzędzi AI wysokiego ryzyka: przed transferem danych do systemu AI w USA należy zweryfikować, czy dostawca złożył deklarację zgodności z AI Act i czy system jest wpisany do unijnej bazy danych systemów AI wysokiego ryzyka. Termin na pełne stosowanie przepisów AI Act dla systemów wysokiego ryzyka upływa w sierpniu 2026 roku.

Konkretna sytuacja Państwa firmy – liczba podmiotów danych, kategorie danych, rola w grupie kapitałowej, sektor regulowany – determinuje, który mechanizm jest właściwy i jakie dokumenty są niezbędne. Pominięcie jednego kroku może sprawić, że cały mechanizm transferu okaże się nieważny, a każdy dzień kontynuowanego transferu to nieodwracalne naruszenie RODO.

Jeśli Państwa spółka przesyła dane osobowe do USA i nie ma pewności co do kompletności dokumentacji – przeprowadzimy audyt mechanizmu transferu, przygotujemy TIA i zaktualizujemy umowy SCC: info@kordeckipartners.com.

Często zadawane pytania

P: Czy zgoda użytkownika wystarczy jako podstawa transferu danych do USA?

O: Zgoda z artykułu 49 ustęp 1 litera a RODO może być podstawą transferu, ale wyłącznie dla transferów incydentalnych i niepowtarzalnych. Europejska Rada Ochrony Danych (EROD) konsekwentnie wskazuje, że zgoda nie może służyć jako podstawa transferów masowych lub systematycznych – na przykład przesyłania danych wszystkich użytkowników aplikacji do amerykańskiego serwera. Dla transferów regularnych konieczny jest jeden z mechanizmów rozdziału V RODO: decyzja o adekwatności (DPF), standardowe klauzule umowne lub wiążące reguły korporacyjne.

P: Ile kosztuje i jak długo trwa wdrożenie standardowych klauzul umownych?

O: Wdrożenie standardowych klauzul umownych dla jednego transferu – przy założeniu, że dokumentacja bazowa firmy jest aktualna – trwa zazwyczaj od 2 do 6 tygodni i kosztuje od 8 000 do 25 000 PLN w zależności od złożoności transferu i liczby odbiorców. Jeśli organizacja nie ma aktualnego rejestru czynności przetwarzania lub brakuje jej oceny skutków dla ochrony danych (DPIA), czas i koszt rosną. Wiążące reguły korporacyjne dla grup kapitałowych to proces 12 do 24 miesięcy i nakłady powyżej 100 000 PLN.

P: Czy Data Privacy Framework jest bezpiecznym mechanizmem na dłuższą metę?

O: Data Privacy Framework jest obowiązującą decyzją Komisji Europejskiej od 10 lipca 2023 roku i stanowi legalną podstawę transferu do certyfikowanych podmiotów w USA. Jednocześnie – biorąc pod uwagę historię Safe Harbor i Privacy Shield – nie można wykluczyć, że mechanizm ten zostanie zakwestionowany przez Trybunał Sprawiedliwości UE w przyszłości. Uważamy, że administratorzy powinni traktować DPF jako pierwszą linię obrony i równolegle utrzymywać gotowe standardowe klauzule umowne z aktualnym Transfer Impact Assessment jako rozwiązanie zapasowe. Taka architektura dwuwarstwowa zapewnia ciągłość operacyjną niezależnie od losów DPF.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, transferów transgranicznych, wdrożeń AI Act i DORA compliance. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.