EuroComply
Sign up
Back to blog
RODO 10 min read

Schrems II a zarządzanie zgodami: co organizacje w UE muszą zrobić teraz

What you need to know: Schrems II a zarządzanie zgodami: co organizacje w UE muszą zrobić teraz

Wyrok TSUE w sprawie Schrems II (C-311/18) unieważnił Tarczę Prywatności UE-USA i nałożył dodatkowe zabezpieczenia na standardowe klauzule umowne. Ten przewodnik wyjaśnia, co platformy zarządzania zgodami i MŚP w UE muszą zrobić, aby zachować zgodność z RODO w zakresie transatlantyckich transferów danych.

Source: EuroComply Editorial (2026-05-20)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Schrems II to nieformalna nazwa sprawy TSUE C-311/18, rozstrzygniętej 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję stwierdzającą odpowiedni stopień ochrony w ramach Tarczy Prywatności UE-USA oraz nałożył rygorystyczne dodatkowe wymogi na standardowe klauzule umowne (SCC) dotyczące transferów danych osobowych do Stanów Zjednoczonych i innych państw trzecich. Dla organizacji w UE korzystających z platform zarządzania zgodami (CMP) z siedzibą w USA wyrok stworzył nierozwiązane napięcie: platforma CMP może być technicznie zgodna z przepisami o zgodach na pliki cookie, jednocześnie przekazując dane osobowe z UE podmiotowi z USA podlegającemu amerykańskiemu prawu inwigilacyjnemu.

Co zmienił Schrems II

Przed wyrokiem Schrems II organizacje w UE przekazujące dane osobowe do Stanów Zjednoczonych miały dwa podstawowe mechanizmy: Tarczę Prywatności (decyzja o adekwatności) oraz standardowe klauzule umowne (SCC). TSUE w całości unieważnił Tarczę Prywatności, stwierdzając, że amerykańskie prawo inwigilacyjne — w szczególności sekcja 702 ustawy Foreign Intelligence Surveillance Act (FISA) oraz rozporządzenie wykonawcze 12333 — nie zapewnia poziomu ochrony zasadniczo równoważnego ze standardem UE. Klauzule SCC nie zostały unieważnione wprost, ale Trybunał orzekł, że same SCC nie wystarczają, gdy prawo państwa docelowego uniemożliwia ich przestrzeganie. Organizacje korzystające z SCC muszą obecnie przeprowadzić ocenę skutków transferu (Transfer Impact Assessment, TIA), aby zweryfikować, czy SCC mogą być faktycznie respektowane w praktyce.

Europejska Rada Ochrony Danych (EROD) opublikowała następnie Zalecenia 01/2020 w sprawie środków uzupełniających, zawierające wytyczne dotyczące tego, jakie „środki uzupełniające" — techniczne, umowne lub organizacyjne — mogą sprawić, że SCC będą wykonalne w określonych scenariuszach transferu. W odniesieniu do transferów do Stanów Zjednoczonych EROD stwierdziła, że w większości przypadków żaden techniczny środek uzupełniający nie jest wystarczający dla transferów do podmiotów podlegających sekcji 702 FISA. Praktyczna konsekwencja: jeżeli dostawca Twojej platformy CMP jest podmiotem z USA podlegającym sekcji 702 FISA, a jego przetwarzanie mieści się w zakresie tej ustawy, SCC nie usuną luki w zgodności.

Wymiar ustawy CLOUD Act

Ustawa Clarifying Lawful Overseas Use of Data (CLOUD Act) z 2018 r. pogłębia problem Schrems II. Na mocy ustawy CLOUD Act amerykańskie organy ścigania mogą zmusić spółki z siedzibą w USA do ujawnienia danych klientów przechowywanych w dowolnym miejscu na świecie — w tym na serwerach w UE. Dostawca CMP z siedzibą w USA, który umownie zagwarantował w Twojej umowie powierzenia przetwarzania (DPA) miejsce przechowywania danych w UE, może mimo to zostać prawnie zmuszony do wydania danych na podstawie nakazu sądu amerykańskiego, niezależnie od lokalizacji przechowywania. Metodologia oceny ekspozycji na CLOUD Act (eurocomply.app/cloud-act-scores) kwantyfikuje to ryzyko dla poszczególnych dostawców SaaS w skali 0–100.

Według danych Eurostatu o gospodarce cyfrowej (2024) około 43% przedsiębiorstw w UE zatrudniających co najmniej 10 osób korzysta z dostawcy usług chmurowych z siedzibą w USA w przypadku co najmniej jednej kluczowej funkcji biznesowej. W szczególności w segmencie CMP rynek jest zdominowany przez OneTrust (USA, ocena ekspozycji na CLOUD Act 72/100), Osano (USA, ocena 91/100) oraz Termly (USA, ocena 95/100) — wszystkie to podmioty z USA podlegające ustawie CLOUD Act.

Czego Schrems II wymaga w zakresie zarządzania zgodami

Platforma zarządzania zgodami przetwarza dane osobowe na dwa odrębne sposoby istotne dla Schrems II: (1) zbiera i przechowuje rejestry zgód, które są danymi osobowymi w rozumieniu RODO; (2) może uruchamiać lub blokować skrypty śledzące podmiotów trzecich, z których część sama w sobie wiąże się z transgranicznymi transferami danych. Obowiązki wynikające z Schrems II dotyczą obu tych przypadków.

W odniesieniu do samej platformy CMP organizacje muszą:

  1. Ustalić, czy dostawca CMP podlega amerykańskiemu prawu inwigilacyjnemu (sekcja 702 FISA, rozporządzenie wykonawcze 12333 lub CLOUD Act).
  2. Jeżeli tak, przeprowadzić ocenę skutków transferu zgodnie z Zaleceniami EROD 01/2020.
  3. Udokumentować TIA w rejestrze czynności przetwarzania (RCPD) na podstawie art. 30 RODO.
  4. Ocenić, czy środki uzupełniające — szyfrowanie, pseudonimizacja, minimalizacja danych — sprawiają, że transfer jest wykonalny. W przypadku większości platform CMP będących podmiotami z USA stanowisko EROD jest takie, że środki techniczne są niewystarczające, gdy dostawca potrzebuje dostępu do danych w postaci jawnej.
  5. Jeżeli transferu nie da się uczynić zgodnym z prawem, rozważyć przejście na suwerenną platformę CMP z siedzibą w UE.

W odniesieniu do skryptów podmiotów trzecich kontrolowanych przez CMP ta sama analiza dotyczy każdego skryptu, który przekazuje dane osobowe poza UE. Zgoda nie usuwa naruszenia Schrems II: art. 49 ust. 1 lit. a) RODO dopuszcza transfer na podstawie wyraźnej zgody, ale wyłącznie wtedy, gdy transfer nie ma charakteru systematycznego lub masowego — EROD konsekwentnie utrzymuje, że oparta na CMP zgoda na pliki cookie nie kwalifikuje się jako wyjątek z art. 49 w przypadku rutynowych transferów handlowych.

Suwerenne opcje CMP w UE

Trzy platformy CMP z siedzibą w całości w UE pozwalają uniknąć problemu ustawy CLOUD Act:

| Dostawca | Siedziba | Ekspozycja na CLOUD Act | Od | |--------|----|--------------------|------| | Cookiebot (Usercentrics GmbH) | Monachium, Niemcy | Suwerenny (ocena: 18) | 9 €/miesiąc | | Usercentrics | Monachium, Niemcy | Suwerenny (ocena: 18) | 60 €/miesiąc | | Iubenda (grupa Team.blue) | Bolonia, Włochy | Suwerenny (ocena: 22) | 27,99 €/rok |

Ani Cookiebot, ani Usercentrics nie obejmują obowiązków wynikających z aktu w sprawie AI, NIS2 czy DORA — jeżeli Twoja organizacja ma obowiązki związane z produktami AI w UE lub mieści się w zakresie NIS2, oprócz platformy CMP będziesz potrzebować szerszej platformy zgodności. EuroComply obejmuje zarówno obowiązki związane ze zgodami, jak i wynikające z aktu w sprawie AI oraz jest zarejestrowany w UE (Portugalia), korzystając wyłącznie z infrastruktury w UE.

Ocena skutków transferu: praktyczna lista kontrolna

Zgodnie z Zaleceniami EROD 01/2020 ocena skutków transferu (TIA) dla platformy CMP z siedzibą w USA musi obejmować:

  1. Krok 1 — Zmapuj transfer: Ustal, jakie dane osobowe przepływają do dostawcy, w jakim celu i na jakiej podstawie prawnej.
  2. Krok 2 — Wskaż narzędzie transferu: W praktyce SCC oparte na standardowych klauzulach Komisji Europejskiej z 2021 r. (decyzja 2021/914).
  3. Krok 3 — Oceń prawo państwa docelowego: Ustal, czy prawo USA (sekcja 702 FISA, CLOUD Act) osłabia SCC. W przypadku większości dostawców SaaS z USA odpowiedź brzmi: tak.
  4. Krok 4 — Oceń środki uzupełniające: Techniczne (szyfrowanie tam, gdzie dostawca nie ma dostępu do kluczy), umowne (warrant canary, obowiązki powiadamiania), organizacyjne (minimalizacja danych). EROD uznała środki techniczne za niewystarczające w przypadku transferów objętych sekcją 702 FISA, gdy dostawca potrzebuje dostępu do danych w postaci jawnej.
  5. Krok 5 — Udokumentuj lub zmień dostawcę: Udokumentuj wynik TIA w RCPD. Jeżeli nie istnieją wykonalne środki uzupełniające, zgodną z prawem ścieżką jest skorzystanie z suwerennej alternatywy z siedzibą w UE.

Kalkulator kar RODO może oszacować Twoją maksymalną ekspozycję w przypadku naruszenia zasad transferu z art. 46: do 20 mln € lub 4% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.

Najczęściej zadawane pytania

Co Schrems II oznacza dla zarządzania zgodami?

Schrems II (TSUE C-311/18, lipiec 2020) oznacza, że organizacje w UE nie mogą zgodnie z prawem przekazywać danych osobowych — w tym rejestrów zgód — dostawcom z siedzibą w USA wyłącznie na podstawie standardowych klauzul umownych, chyba że ocena skutków transferu potwierdzi, że prawo USA nie uniemożliwia przestrzegania tych klauzul. W przypadku większości dostawców CMP z USA podlegających sekcji 702 FISA lub ustawie CLOUD Act żaden uzupełniający środek techniczny nie jest wystarczający. Organizacje powinny albo przeprowadzić i udokumentować ocenę skutków transferu, albo przejść na suwerenną platformę CMP z siedzibą w UE.

Czy Cookiebot jest zgodny z Schrems II?

Tak. Cookiebot jest obsługiwany przez Usercentrics GmbH, podmiot niemiecki (Monachium), i nie podlega amerykańskiej ustawie CLOUD Act ani sekcji 702 FISA. Ma ocenę ekspozycji na CLOUD Act 18/100 (poziom suwerenny). Dane zgód są przetwarzane na terenie UE. Cookiebot jest jedną z nielicznych platform CMP, w przypadku której standardowe klauzule umowne nie są wymagane dla podstawowej funkcji zarządzania zgodami, ponieważ w odniesieniu do samego rejestru zgody nie dochodzi do transferu do państwa trzeciego.

Czy OneTrust jest zgodny z Schrems II?

OneTrust ma siedzibę w USA i ocenę ekspozycji na CLOUD Act 72/100 (poziom „dominacja USA"). Oferuje przechowywanie danych w UE w planach dla przedsiębiorstw, ale przechowywanie danych w UE nie eliminuje ekspozycji na CLOUD Act — amerykańskie organy ścigania mogą wymusić ujawnienie danych niezależnie od lokalizacji przechowywania. Organizacje w UE korzystające z OneTrust powinny przeprowadzić ocenę skutków transferu i udokumentować, czy transfer można uczynić zgodnym z prawem na podstawie art. 46 RODO. Jeżeli TIA wykaże, że żaden środek uzupełniający nie jest wystarczający, zgodną z prawem ścieżką jest skorzystanie z suwerennej alternatywy z siedzibą w UE.

Czym jest ocena skutków transferu (TIA) w kontekście Schrems II?

Ocena skutków transferu to udokumentowana analiza, którą eksporter danych z UE musi przeprowadzić przed oparciem się na standardowych klauzulach umownych przy transferach do państw trzecich. Ocenia ona, czy prawo państwa docelowego pozwala importerowi danych respektować SCC w praktyce — w szczególności, czy przepisy inwigilacyjne lub uprawnienia organów ścigania do dostępu do danych przeważają nad ochroną umowną. Zalecenia EROD 01/2020 określają sześcioetapowy proces przeprowadzania TIA. Ocenę TIA należy udokumentować i przechowywać jako element RCPD.


Najczęściej zadawane pytania

Czy Schrems II jest nadal aktualny w 2026 r.?

Tak. Wyrok Schrems II (C-311/18) pozostaje wiążącym orzeczeniem TSUE w sprawie transferów danych UE–USA. Ramy ochrony danych UE–USA (Data Privacy Framework, DPF), przyjęte w lipcu 2023 r., zapewniają nowy mechanizm adekwatności — ale organizacje rzecznicze, w tym NOYB, zakwestionowały ich ważność przed TSUE. Do czasu wydania ostatecznego wyroku organizacje korzystające z platform CMP z siedzibą w USA podlegających sekcji 702 FISA narażone są na utrzymującą się niepewność prawną. Najbezpieczniejszym pod względem prawnym podejściem pozostaje korzystanie z dostawcy zarejestrowanego w UE, niemającego spółki macierzystej w USA.

Co oznacza „zarządzanie zgodami zgodne z Schrems II"?

Zarządzanie zgodami zgodne z Schrems II oznacza, że dostawca Twojej platformy CMP nie podlega amerykańskiemu prawu inwigilacyjnemu. Wymaga to: (1) aby dostawca CMP był zarejestrowany w UE bez spółki macierzystej w USA; (2) aby dane zgód były przechowywane w centrach danych w UE, bez podmiotów podprzetwarzających z USA obsługujących dane osobowe w postaci jawnej; (3) aby dostawca nie mógł zostać zmuszony nakazem sądu amerykańskiego do ujawnienia danych klientów z UE na podstawie ustawy CLOUD Act. Cookiebot (Usercentrics GmbH, Monachium), Usercentrics (Monachium) oraz iubenda (Bolonia, Włochy) spełniają te kryteria. OneTrust (USA), Osano (USA) oraz Termly (USA) — nie.

Które platformy zarządzania zgodami w UE są zgodne z Schrems II?

Trzy szeroko stosowane platformy CMP w UE pozwalają uniknąć ekspozycji na CLOUD Act: Cookiebot firmy Usercentrics GmbH (Monachium, Niemcy) od 9 €/miesiąc; Usercentrics (Monachium, Niemcy) od 60 €/miesiąc; oraz iubenda (Bolonia, Włochy, grupa Team.blue) od 27,99 €/rok. Wszystkie trzy są obsługiwane przez podmioty zarejestrowane w UE, niepodlegające amerykańskiej sekcji 702 FISA ani ustawie CLOUD Act. W przypadku szerszych potrzeb w zakresie zgodności obejmujących obowiązki wynikające z aktu w sprawie AI, NIS2 i DORA, EuroComply jest portugalskim podmiotem z UE korzystającym wyłącznie z infrastruktury w UE (Frankfurt + Mistral AI Paryż), który obejmuje zgodność związaną ze zgodami oraz w zakresie wielu regulacji od 49 €/miesiąc.

Jaki jest wpływ wyroku Schrems II na firmy z UE korzystające z amerykańskiego SaaS?

Wyrok Schrems II (C-311/18) wymaga, aby organizacje w UE przeprowadzały oceny skutków transferu (TIA) przed przekazaniem danych osobowych dostawcom z USA oraz aby weryfikowały, czy standardowe klauzule umowne mogą być faktycznie respektowane w praktyce. W przypadku większości podmiotów z USA podlegających sekcji 702 FISA stanowisko EROD (Zalecenia 01/2020) jest takie, że żaden techniczny środek uzupełniający nie czyni SCC w pełni wykonalnymi dla transferów objętych amerykańską inwigilacją wywiadowczą. Oznacza to, że organizacje w UE mierzą się z utrzymującą się luką w zgodności podczas korzystania z dostawców SaaS z siedzibą w USA — w tym amerykańskich platform CMP — chyba że przejdą na suwerenne alternatywy z siedzibą w UE albo zaakceptują utrzymujące się ryzyko prawne wraz z udokumentowanym ograniczeniem.


Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W sprawie konkretnych obowiązków dotyczących zgodności należy skonsultować się z wykwalifikowanym radcą prawnym.

Key takeaways: Schrems II a zarządzanie zgodami: co organizacje w UE muszą zrobić teraz

This article covers: Co zmienił Schrems II, Wymiar ustawy CLOUD Act, Czego Schrems II wymaga w zakresie zarządzania zgodami.

  • Co zmienił Schrems II
  • Wymiar ustawy CLOUD Act
  • Czego Schrems II wymaga w zakresie zarządzania zgodami
  • Suwerenne opcje CMP w UE
  • Ocena skutków transferu: praktyczna lista kontrolna
Source: EuroComply Editorial (2026-05-20)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.