Ochrona Danych

Transfery danych poza EOG: RODO 2026

Transfery danych poza EOG: SCC, DPF, BCR, Schrems II, TIA. Mechanizmy i wymogi dla polskich firm korzystających z USA i Azji 2026.

W jednym zdaniu. Transfer danych osobowych poza EOG wymaga jednego z mechanizmów art. 44-49 RODO, a po wyroku Schrems II (C-311/18) każdy transfer wymaga dodatkowo oceny TIA (Transfer Impact Assessment) weryfikującej skuteczność zabezpieczeń w państwie odbiorcy.

Najważniejsze punkty

  • Mechanizmy: decyzja adekwatności, SCC, BCR, kodeksy postępowania, certyfikacje, wyjątki.
  • DPF (Data Privacy Framework UE-USA) obowiązuje od 10 lipca 2023 r.
  • SCC 2021/914 — najczęściej stosowane.
  • TIA (Transfer Impact Assessment) — obowiązkowa dla SCC.
  • BCR — dla grup kapitałowych, zatwierdzane przez organ wiodący.
  • Sankcje: do 20 mln EUR lub 4% obrotu globalnego.

1. Pojęcie transferu i EOG

EOG = 27 państw UE + Islandia + Liechtenstein + Norwegia. Transfer = przekazanie danych poza EOG (przesłanie, udostępnienie, umożliwienie dostępu). Hostowanie na serwerach amerykańskich, korzystanie z SaaS USA, wsparcie techniczne z Indii — wszystko jest transferem. Problem dotyka zwłaszcza startupów i firm SaaS opartych na amerykańskiej infrastrukturze chmurowej. Wewnątrz EOG (np. Warszawa-Berlin) nie jest transferem międzynarodowym.

2. Hierarchia mechanizmów (art. 44-49)

  1. Decyzja adekwatności (art. 45) — KE potwierdza, że państwo trzecie zapewnia poziom ochrony równoważny z UE.
  2. SCC (art. 46) — standardowe klauzule umowne.
  3. BCR (art. 47) — wiążące reguły korporacyjne dla grup.
  4. Kodeksy postępowania / certyfikacje (art. 46 ust. 2 lit. e-f).
  5. Wyjątki (art. 49) — sporadyczne, ograniczone.

3. Państwa z decyzją adekwatności

Państwo Data Status
Andora 2010 aktywna
Argentyna 2003 aktywna
Faroe 2010 aktywna
Guernsey 2003 aktywna
Isle of Man 2004 aktywna
Izrael 2011 aktywna
Japonia 2019 aktywna
Jersey 2008 aktywna
Korea Płd. 2021 aktywna
Nowa Zelandia 2012 aktywna
Szwajcaria 2000 aktywna
UK 2021 aktywna
Urugwaj 2012 aktywna
USA (DPF) 2023 aktywna częściowa

4. Data Privacy Framework (USA)

DPF zastąpił Privacy Shield (unieważniony Schrems II w 2020 r.). Obowiązuje od 10 lipca 2023 r. Mechanizm: amerykańska firma certyfikuje się na dataprivacyframework.gov, zobowiązuje się do zasad ochrony, podlega EOB (Executive Order 14086) ograniczającemu inwigilację. Polski administrator może transferować dane do certyfikowanej firmy USA bez SCC.

5. Schrems II — wyrok przełomowy

Wyrok TSUE C-311/18 z 16 lipca 2020 r. unieważnił Privacy Shield i podtrzymał ważność SCC pod warunkiem oceny faktycznej skuteczności w państwie odbiorcy. Konsekwencje:

  • Każdy transfer SCC wymaga TIA.
  • Niezbędne uzupełniające środki (encryption at rest with sole control, pseudonimizacja, ograniczenie dostępu).
  • Możliwość zawieszenia transferu w razie niezgodnego prawa państwa odbiorcy.

6. SCC 2021/914 — moduły

Decyzja KE 2021/914 wprowadziła nowe SCC z 4 modułami:

  • Moduł 1 — administrator do administratora.
  • Moduł 2 — administrator do procesora.
  • Moduł 3 — procesor do procesora.
  • Moduł 4 — procesor do administratora.

Stare SCC (2001, 2004, 2010) — nieważne od 27 grudnia 2022 r. Wymagane przejście na nowe.

7. TIA — Transfer Impact Assessment

TIA jest obowiązkowa dla wszystkich transferów na podstawie SCC (wymagana również dla BCR). Zawiera:

  • Opis transferu (dane, kategorie, częstotliwość, państwo).
  • Ocena praw państwa odbiorcy (inwigilacja, dostęp władz, gwarancje sądowe).
  • Ocena ryzyka dla osób.
  • Uzupełniające środki (techniczne, umowne, organizacyjne).
  • Wnioski i monitoring.

Wytyczne EROD 01/2020 oraz 05/2021 stanowią ramowy szablon.

8. BCR — Binding Corporate Rules

BCR są wewnętrznym kodeksem dla grup kapitałowych. Zatwierdzane przez wiodący organ nadzorczy (jeden z 27 DPA) po konsultacji z EROD. Procedura trwa 18-36 miesięcy, koszt 50-300 tys. EUR. Przykłady: BMW, Schlumberger, eBay, Cisco. Polskie korporacje rzadko stosują (np. CD PROJEKT, ING Bank Śląski w grupie holenderskiej).

9. Wyjątki z art. 49

Wyjątki dla transferów bez SCC/DPF/BCR:

  • Wyraźna zgoda osoby (po informacji o ryzyku).
  • Konieczność wykonania umowy z osobą.
  • Konieczność dla umowy w interesie osoby.
  • Ważne względy interesu publicznego.
  • Ustalenie/obrona roszczeń.
  • Ochrona żywotnych interesów.
  • Rejestr publiczny (ograniczenia).

Stosowanie restrykcyjne — wyjątki nie mogą być rutynowe. EROD Guidelines 2/2018.

10. Typowe transfery polskich firm

Dostawca Państwo Mechanizm
Google Workspace USA DPF
Microsoft 365 UE + USA DPF
AWS global DPF + SCC
Salesforce USA DPF
Mailchimp USA DPF
Slack USA DPF
Zoom USA DPF
HubSpot USA DPF
TikTok Chiny/Irlandia SCC + TIA
Alibaba Cloud Chiny SCC + TIA (trudne)

11. Transfery do Chin, Rosji, Indii

Brak decyzji adekwatności dla Chin i Indii. Rosja — brak decyzji, dodatkowo sankcje UE 2022. Transfer wymaga SCC + szczegółowej TIA. Chiny — wytyczne EROD wskazują trudność osiągnięcia adekwatności ze względu na PIPL i prawo bezpieczeństwa narodowego. W praktyce: większość polskich firm unika transferów do Chin lub stosuje data residency w UE.

12. Praktyka — mapa transferów

Każda firma powinna prowadzić mapę transferów:

  • Inwentaryzacja dostawców (SaaS, infrastruktura, wsparcie).
  • Państwa przechowywania i przetwarzania.
  • Mechanizm transferu (DPF, SCC, BCR).
  • TIA dla SCC.
  • Sub-procesorzy i ich lokalizacje.
  • Plan reakcji na zmiany (np. unieważnienie DPF II).

Mapa transferów = osobny dokument lub załącznik do RCP. Zobacz international data transfers.

13. Wytyczne UODO dotyczące transferów

UODO opublikował kompleksowe wytyczne dotyczące transferów w 2021 r. (po Schrems II) i aktualizacje w 2023 r. (po DPF) oraz 2024 r. Kluczowe rekomendacje: każdy administrator musi prowadzić mapę transferów aktualizowaną przy każdej zmianie dostawcy, TIA dla każdego mechanizmu SCC z uwzględnieniem prawa lokalnego (PIPL Chiny, FISA 702 USA, Russia Federal Law on Personal Data), uzupełniające środki techniczne (szyfrowanie BYOK lub HYOK z kluczem w UE, pseudonimizacja przed transferem, split-key encryption), środki umowne (rozszerzone SCC z dodatkowymi gwarancjami, prawo do audytu, klauzule zawieszenia), środki organizacyjne (polityka odpowiedzi na żądania władz państw trzecich, dokumentacja prób dostępu). UODO weryfikuje TIA w każdym postępowaniu kontrolnym dla podmiotów korzystających z dostawców USA. Specyfika polska: KSC i przyszły system NIS2 mogą ograniczać transfery danych krytycznych sektorów (energetyka, finanse, zdrowie). Patrz Kary UODO 2025, UODO przewodnik.

14. Polskie sprawy enforcement transferów i orzecznictwo TSUE

Sprawy enforcement: kara dla Cyfrowy Polsat (1,1 mln zł, 2023) obejmowała m.in. transfery do USA bez TIA; ID Finance Poland (1,07 mln zł) — wyciek z infrastruktury w USA bez adekwatnych zabezpieczeń transferowych; Główny Inspektor Sanitarny — upomnienie za nieprawidłowe transfery danych pracowników do dostawcy chmury USA. Kluczowe orzecznictwo TSUE: C-311/18 Schrems II (16.7.2020) — fundamentalna zasada TIA + uzupełniające środki; C-119/22 La Quadrature du Net (5.6.2023) — ograniczenia w zachowaniu danych z transferów; C-46/21 European Public Prosecutor’s Office (24.10.2023) — dostęp władz państw trzecich. Sprawa zawisła Schrems III (dotycząca DPF) — wyrok spodziewany w drugiej połowie 2026 r. W razie unieważnienia DPF polskie firmy muszą natychmiast powrócić do SCC + TIA dla każdego transferu USA. Plan B obowiązkowy w 2026 r.: dokumentacja alternatywnych dostawców UE, gotowość do migracji w 90 dni, szyfrowanie BYOK dla danych szczególnych kategorii. Patrz RODO Art. 5 zasady, RODO Art. 32 bezpieczeństwo, umowa powierzenia wzór.

15. Źródła urzędowe

FAQ

Czy korzystanie z Google Analytics to transfer do USA?

Tak, w standardowej konfiguracji. Google jest certyfikowany w DPF, więc transfer jest dopuszczalny. Wymagana zgoda użytkownika (cookies analityczne) + Consent Mode v2.

Co jeśli DPF zostanie unieważniony (Schrems III)?

Schrems III jest spodziewany — sprawa zawisła przed TSUE. W razie unieważnienia: powrót do SCC + TIA. Plan B: szyfrowanie w spoczynku z kluczem w EU, pseudonimizacja, ograniczenie zakresu danych.

Czy hostowanie w UE eliminuje transfery?

Nie automatycznie. Dostawca może mieć siedzibę w USA i podlegać CLOUD Act (dostęp władz USA do danych w UE). Wymagana ocena prawa właściwego dla dostawcy. AWS, Google, Microsoft — wszyscy podlegają CLOUD Act mimo regionów EU.

Czy mogę używać darmowych narzędzi USA bez SCC?

Nie. Każde przetwarzanie danych osobowych poza EOG wymaga mechanizmu transferu, niezależnie od ceny narzędzia. Darmowy ChatGPT, Canva, Notion — wszyscy wymagają oceny transferu.

Czy istnieje “europejski Google”?

Częściowo — istnieją alternatywy europejskie (OVHcloud, Hetzner, Scaleway, GovCloud Polska). Dla niektórych funkcji (LLM, search) brak pełnowartościowych europejskich substytutów, ale rynek dynamicznie się rozwija (Mistral, Aleph Alpha).

Jak praktycznie wykonać TIA dla dostawcy SaaS USA?

TIA powinna zawierać 8 sekcji: (1) opis transferu (kategorie danych, częstotliwość, wolumen, cel), (2) identyfikacja mechanizmu transferowego (SCC moduł, DPF status), (3) ocena prawa USA (FISA 702, EO 12333, CLOUD Act, EO 14086 ograniczenia), (4) ocena ryzyka dostępu władz (czy dane mogą być przedmiotem żądania NSA/FBI), (5) uzupełniające środki techniczne (szyfrowanie BYOK/HYOK, pseudonimizacja, fragmentacja danych), (6) uzupełniające środki umowne (rozszerzone SCC, klauzule zawieszenia, prawo audytu, notyfikacja żądań władz), (7) uzupełniające środki organizacyjne (polityka odpowiedzi, dokumentacja), (8) wnioski i plan monitorowania. Czas przygotowania: 20-60 godzin. Aktualizacja: przy każdej zmianie dostawcy, prawa USA lub statusu DPF.

Czy potrzebuję TIA dla transferów do UK po Brexit?

Tak, ale uproszczone. Wielka Brytania ma decyzję adekwatności UE (2021, ważna do czerwca 2025 z możliwością odnowienia). Transfery do UK na podstawie decyzji adekwatności nie wymagają SCC ani TIA, ale UODO zaleca monitoring statusu (sprawa Schrems-style przeciwko UK adequacy zawisła). Po zakończeniu okresu adekwatności (jeśli nie odnowiona) — powrót do SCC + TIA. Dodatkowo: brytyjskie firmy podlegają UK GDPR (Data Protection Act 2018), oddzielnemu regulatorowi ICO, własnym SCC (International Data Transfer Agreement).

Czy mogę używać OpenAI/Claude/Gemini z danymi osobowymi klientów?

Tylko z odpowiednim mechanizmem transferowym i ograniczeniami. OpenAI (USA — DPF dla niektórych produktów), Anthropic (USA — SCC), Google (USA — DPF). Wszystkie wymagają: umowy DPA (Data Processing Agreement), wyłączenia danych z trenowania kolejnych modeli (Enterprise/Business plan zwykle), pseudonimizacji przed wprowadzeniem (zastąpienie imion, nazwisk, identyfikatorów), zakazu wprowadzania danych szczególnych kategorii art. 9 bez wyraźnej zgody, DPIA + FRIA dla systemu produkcyjnego. Włoski Garante nałożył 15 mln EUR na OpenAI w grudniu 2024 r. za naruszenia w pre-launch okresie. UODO prowadzi postępowanie wobec OpenAI od 2024 r. Strategia bezpieczna: użyj polskich/UE dostawców (Aleph Alpha, Mistral, własna instancja Llama), lub Microsoft Azure OpenAI Service w regionie EU z dodatkowym DPA.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →