Органът за защита на данните на Полша — Urząd Ochrony Danych Osobowych (UODO) — издаде 47 глоби GDPR на обща стойност 2,8 милиона евро през 2023 г., обработвайки 8 234 жалби през същата година. Тази гъстота на прилагане на глава от населението надхвърля Франция, западните щати на Германия и повечето западноевропейски DPA.
За предприятия, работещи в Полша или обработващи полски лични данни, разбирането на приоритетите за прилагане на UODO е управление на риска, а не незадължителна хигиена за съответствие.
Защо прилагането на GDPR в Полша изпреварва Западна Европа
**Култура на оплакване: ** Полша има 38 милиона души със силна осведоменост за цифровите права. UODO обработва хиляди жалби годишно, подсилени от организирани групи за защита на поверителността, които подават систематични жалби.
**Излагане на аутсорсинг сектора: ** Полша е една от най-големите BPO дестинации в Европа. Полските кол центрове, фирмите за ИТ услуги и споделените центрове за услуги обработват лични данни на граждани на ЕС в Германия, Франция, Обединеното кралство и Холандия. Трансграничните потоци от данни създават многократно излагане на съответствие — нарушенията могат да задействат както прилагането на UODO, така и водещото DPA на родните страни на засегнатите граждани.
Скок на данните в здравеопазването: Пробивите на данни в здравеопазването в Полша са се увеличили с 45% през 2024 г. Фокусът на UODO върху здравните данни — специална категория съгласно член 9 на GDPR — означава, че здравните организации са изправени пред най-голяма глоба.
Пропуск в документацията: 34% от полските предприятия нямат документиран запис на дейностите по обработка (ROPA) — основното изискване на GDPR. UODO одитите първо откриват липсващи ROPA, след което разследват технически неизправности при последващо изследване.
Проблемът PESEL: Защо 89% от инструментите за лична информация не успяват да полират данните
PESEL — 11-цифреният номер в националния регистър на населението — е основният полски национален идентификатор. Структурата му кодира дата на раждане (цифри 1-6), пореден номер (цифри 7-10) и контролна цифра, потвърдена с помощта на алгоритъм за претегляне, определен от стандартите на Полското министерство на цифровите въпроси.
Генеричните NLP инструменти, обучени на набори от данни на английски език, се провалят на PESEL по два начина:
Неуспешно разпознаване на образец: 11-цифрената структура на PESEL се различава от обикновените англо-американски идентификатори (SSN за САЩ: 9 цифри, NI за Обединеното кралство: буквено-цифрови). Моделите, които разпознават шаблоните за „социалноосигурителен номер“, пропускат PESEL изцяло в полските документи.
Неуспешно валидиране: Дори когато инструментите съответстват на 11-цифрения модел, те не могат да валидират контролната цифра, без да внедрят специфичния полски алгоритъм. Това води до фалшиви положителни резултати (маркиране на невинни 11-цифрени числа) и фалшиви отрицателни резултати (липсващи PESEL с транспонирани цифри).
PESEL се появява на практика във всеки полски здравен документ, трудово досие, данъчна декларация и застрахователна полица. Липсата на PESEL в набор от документи оставя личния идентификатор с най-висока стойност незащитен.
Други полски национални идентификатори с подобни пропуски в откриването:
NIP (Numer Identyfikacji Podatkowej): 10-цифрен данъчен идентификационен номер с претеглена контролна сума, използван във всички бизнес транзакции, фактури и трудови досиета.
REGON: 9-цифрен или 14-цифрен статистически номер на предприятието, присвоен на всички полски фирми. Появява се в договорите и документацията на доставчика.
Dowód osobisty: Полска национална лична карта във формат XXX NNNNNN (3 букви + 6 цифри) с алгоритъм за контролна цифра. Изисква се за проверка на самоличността в банкови, здравни и държавни услуги.
UODO Приоритети за правоприлагане за 2024-2025 г.
Данни за здравеопазването: 45% увеличение на уведомленията за нарушения от доставчиците на здравни услуги през 2024 г. UODO провежда проактивни одити на болници и обработващи здравноосигурителни услуги. Основни констатации: неадекватен контрол на достъпа, недостатъчно криптиране и невъзможност за извършване на DPIA.
Мониторинг на служителите: Дистанционната работа създаде нови практики за наблюдение — регистриране на натиснати клавиши, заснемане на екран, проследяване на производителността — които UODO често намира за нарушаване на ограниченията на целта и изискванията за пропорционалност на GDPR. Случаите с данни на служители представляват 28% от действията по принудително изпълнение.
**Управление на подпроцесори: ** BPO секторът на Полша разчита на сложни вериги от подпроцесори. UODO установи, че основните процесори често нямат адекватни споразумения за обработка на данни с подпроцесорите и че подпроцесорите внедряват инструменти за лична информация, които не отговарят на техническите изисквания на член 32 от GDPR.
Технически мерки, които отговарят на изискванията на UODO
Въз основа на решенията за прилагане, стандартът за „подходящи технически мерки“ на UODO включва:
Шифроване в покой и при пренос: Всички лични данни трябва да бъдат криптирани. UODO глобява организации, които разчитат само на контроли за достъп без криптиране.
Документирана анонимизация: Когато организациите претендират за анонимизирани данни за анализи или обучение за AI, UODO изисква техническа документация, показваща, че повторното идентифициране не е разумно възможно.
Покритие за откриване на PII: Техническите предпазни мерки трябва да обхващат действителните идентификатори, присъстващи в полски документи — PESEL с проверка на контролна сума, NIP, REGON и номера на dowód osobisty.
BPO секторът на Полша обработва 2,3 милиона записа на клиенти в ЕС дневно. Организациите в този сектор без специфично за Полша откриване на PII са изправени пред непропорционален глобен риск както от UODO, така и от водещите DPA на засегнатите държави на произход на гражданите на ЕС.
Източници: