UODO Полша: повече глоби по GDPR от Франция
Актуализирано за 2026 г.
Полша е над очакванията
Полският орган за защита на данните е Urzad Ochrony Danych Osobowych (UODO). Той наложи 47 глоби по GDPR през 2023 г. Общо: 2,8 млн. евро. Обработи 8 234 жалби същата година. На глава от населението тази честота на глобите надвишава Франция, Германия и повечето западни аналози.
За фирмите в Полша това е реален риск -- не само бюрокрация.
Защо Полша прилага закона повече от Запада
Културата на жалбите. Полша има 38 млн. жители с развита осведоменост за цифровите права. Групи за защита на поверителността подават голям обем жалби. Органът обработва хиляди случаи всяка година.
Излагане на сектора за бизнес аутсорсинг. Полша е водещ аутсорсинг хъб в ЕС. Полски кол-центрове обработват данни за клиенти в Германия, Франция, Обединеното кралство и Нидерландия. Всеки поток от данни създава два риска: действие от страна на полската орган и действие от страна на водещия орган на засегнатите граждани.
Нарушения в здравеопазването. Докладите за здравни данни са нараснали с 45% през 2024 г. Здравните записи са данни от специални категории съгласно член 9 от GDPR. Това означава по-висок риск от глоби за обработващи в здравеопазването.
Липсващи записи. 34% от полските фирми нямат Регистър на дейностите по обработка (РДО). Одиторите търсят това първо. Липсващ РДО води до по-задълбочена проверка.
Проблемът с PESEL
PESEL е 11-цифреният национален идентификационен номер на Полша. Цифри 1-6 кодират датата на раждане. Цифри 7-10 са сериен номер. Последната цифра е контролна. Тя използва претеглена формула от Министерството на цифровото развитие на Полша.
Общите инструменти за лични данни се провалят с PESEL по два начина.
Провал на шаблона. Повечето инструменти познават форматите на американски или британски идентификатори. Американският номер за социално осигуряване има 9 цифри. Британският NI номер е буквено-цифров. 11-цифреният формат на PESEL не е в техните данни. Те го пропускат.
Провал на валидирането. Дори когато инструментът открие 11 цифри, той не може да потвърди контролната цифра. Това създава фалшиви положителни и фалшиви отрицателни резултати. Реални PESEL-и с разменени цифри преминават незабелязани.
PESEL се среща в почти всеки полски документ: здравни досиета, трудови файлове, данъчни формуляри и застрахователни полици. Пропускането му оставя основния идентификатор незащитен.
89% от инструментите за лични данни, тествани върху полски документи, не успяват да разпознаят правилно PESEL.
Други полски идентификатори, пропускани от инструментите
NIP (Numer Identyfikacji Podatkowej). 10-цифрен данъчен идентификатор с претеглена контролна сума. Среща се в фактури, договори и трудови документи.
REGON. 9-цифрен или 14-цифрен бизнес номер за всички полски фирми. Среща се в документи за доставчици и купувачи.
Dowod osobisty. Полска лична карта в формат XXX NNNNNN -- три букви, след това шест цифри -- със собствено правило за контролна цифра. Изисква се за банкиране, здравеопазване и правителствена идентификация.
И трите показват подобни пропуски като тези при PESEL.
Приоритети при прилагане на закона за 2024-2025 г.
Данни от здравеопазването. Докладите за нарушения от доставчици в здравеопазването са нараснали с 45% през 2024 г. Провеждат се проактивни одити. Чести установявания: слаби контроли на достъпа, без криптиране и липсващи Оценки на въздействието върху защитата на данните (ПВЗД).
Мониторинг на служители. Дистанционната работа накара много фирми да добавят регистратори на натискания на клавиши и заснемане на екрани. Повечето от тях нарушават правилата на GDPR за ограничение на целта. Случаите с данни на служители съставляват 28% от действията по прилагане на закона.
Вериги от подизпълнители. Аутсорсинг секторът на Полша използва сложни мрежи от доставчици. Одитите установяват липсващи Споразумения за обработка на данни (СОД) между главни обработващи и подизпълнители. Инструментите на подизпълнителите трябва също да отговарят на стандартите на член 32 от GDPR.
Технически мерки, преминаващи одита
Решенията за прилагане на закона посочват три задължителни контрола.
Криптиране. Всички лични данни трябва да бъдат криптирани в покой и при пренос. Само контролите на достъпа не са достатъчни. Фирми, разчитащи само на правила за достъп, са получавали глоби.
Документирана анонимизация. Фирмите, твърдящи, че данните са анонимизирани, трябва да го докажат. Органът иска технически доказателства, че повторната идентификация не е осъществима.
Покритие за разпознаване на лични данни. Гаранциите трябва да обхващат полски идентификатори. PESEL с валидиране на контролна сума, NIP, REGON и dowod osobisty трябва да бъдат разпознаваеми. Инструменти, обучени на английски, не отговарят на тази минимална изисквания.
Аутсорсинг секторът на Полша обработва 2,3 млн. записи на клиенти от ЕС всеки ден. Фирмите без разпознаване на лични данни, специфично за Полша, носят висок риск от глоби -- от националния орган и от водещите органи в ЕС.
Нашето ръководство за съответствие с GDPR обхваща нуждите от документация. Нашият преглед на сигурността обяснява технически контроли. За многоезично разпознаване на лични данни вижте нашето ръководство за многоезично разпознаване на лични данни.