UODO Polsko: Více pokut GDPR než Francie
Aktualizováno pro rok 2026
Polsko překonává svou váhovou kategorii
Polský dozorový orgán pro ochranu osobních údajů je Urząd Ochrony Danych Osobowych (UODO). V roce 2023 vydal 47 pokut GDPR. Celkem: €2,8 milionu. Téhož roku zpracoval 8 234 stížností. Na obyvatele tato míra pokut překonává Francii, Německo a většinu západních protějšků.
Pro firmy působící v Polsku jde o živé riziko — nikoli pouhou administrativu.
Proč Polsko vymáhá více než západ
Kultura stížností. Polsko má 38 milionů obyvatel se silným povědomím o digitálních právech. Skupiny na ochranu soukromí podávají velké objemy stížností. Orgán každoročně zpracovává tisíce případů.
Expozice sektoru BPO. Polsko je předním outsourcingovým centrem EU. Polská call centra zpracovávají data pro klienty v Německu, Francii, Velké Británii a Nizozemsku. Každý datový tok vytváří dvě rizika: akci ze strany polského DPA a akci ze strany vedoucího DPA dotčených občanů.
Úniky zdravotních dat. Hlášení o zdravotních datech vzrostla v roce 2024 o 45 %. Zdravotní záznamy jsou zvláštní kategorií dat dle článku 9 GDPR. To znamená vyšší riziko pokuty pro zpracovatele zdravotních dat.
Chybějící záznamy. 34 % polských firem postrádá Záznamy o činnostech zpracování (ROPA). Auditoři se na to dívají jako první. Chybějící ROPA vede k hlubší kontrole.
Problém PESEL
PESEL je polské 11místné národní identifikační číslo. Číslice 1–6 kódují datum narození. Číslice 7–10 jsou pořadové číslo. Poslední číslice je kontrolní. Využívá váhový vzorec Ministerstva digitalizace Polska.
Generické nástroje pro PII selhávají u PESEL dvěma způsoby.
Selhání vzoru. Většina nástrojů zná americké nebo britské formáty ID. Americké číslo sociálního pojištění má 9 číslic. Britské číslo NI je alfanumerické. 11místný formát PESEL jejich datové sady neobsahují. Přehlíží jej.
Selhání validace. I když nástroj zachytí 11 číslic, nedokáže potvrdit kontrolní číslici. To vytváří falešně pozitivní i falešně negativní výsledky. Skutečná PESEL čísla s přehozenými číslicemi projdou bez povšimnutí.
PESEL se objevuje v téměř každém polském dokumentu: zdravotní záznamy, pracovní složky, daňové formuláře a pojistky. Jeho přehlédnutí ponechává hlavní identifikátor nechráněný.
89 % nástrojů pro PII testovaných na polských dokumentech nedokáže PESEL správně detekovat.
Další polské identifikátory, které nástroje přehlíží
NIP (Numer Identyfikacji Podatkowej). 10místné daňové ID s váhovým kontrolním součtem. Vyskytuje se na fakturách, smlouvách a pracovních záznamech.
REGON. 9místné nebo 14místné obchodní číslo pro všechny polské firmy. Objevuje se v dokumentech dodavatelů a odběratelů.
Dowód osobisty. Polský průkaz totožnosti ve formátu XXX NNNNNN — tři písmena, pak šest číslic — s vlastním pravidlem pro kontrolní číslici. Vyžadován pro bankovnictví, zdravotnictví a vládní ověření identity.
U všech tří lze pozorovat podobné mezery jako u PESEL.
Priority vymáhání v letech 2024–2025
Zdravotní data. Hlášení o únicích od poskytovatelů zdravotní péče vzrostla v roce 2024 o 45 %. Probíhají proaktivní audity. Časté nálezy: slabé kontroly přístupu, žádné šifrování a chybějící posouzení vlivu na ochranu dat (DPIA).
Monitorování zaměstnanců. Práce na dálku přiměla mnoho firem přidat záznamy úhozů kláves a pořizování snímků obrazovky. Většina z toho porušuje pravidla omezení účelu dle GDPR. Případy zaměstnaneckých dat tvoří 28 % vymáhacích akcí.
Řetězce dílčích zpracovatelů. Outsourcingový sektor Polska využívá složité sítě dodavatelů. Audity nacházejí chybějící smlouvy o zpracování dat (DPA) mezi hlavními zpracovateli a dílčími zpracovateli. Nástroje dílčích zpracovatelů musí rovněž splňovat standardy dle článku 32 GDPR.
Technická opatření, která obstojí při auditu
Rozhodnutí o vymáhání poukazují na tři požadované kontroly.
Šifrování. Veškerá osobní data musí být šifrována v klidu i při přenosu. Samotné kontroly přístupu nestačí. Firmy spoléhající pouze na přístupová pravidla byly pokutovány.
Dokumentovaná anonymizace. Firmy tvrdící, že data jsou anonymizována, musí to prokázat. Orgán chce technické důkazy, že re-identifikace není proveditelná.
Pokrytí detekcí PII. Záruky musí pokrývat polská ID. PESEL s validací kontrolní číslice, NIP, REGON a dowód osobisty musí být všechny detekovatelné. Nástroje trénované na angličtině tuto laťku nesplňují.
Polský sektor BPO zpracovává 2,3 milionu záznamů zákazníků EU každý den. Firmy bez detekce PII specifické pro Polsko nesou vysoké riziko pokut — od národního DPA i od vedoucích DPA napříč EU.
Náš průvodce souladu s GDPR pokrývá potřeby dokumentace. Náš přehled bezpečnostního souladu vysvětluje technické kontroly. Pro vícejazyčnou detekci PII viz náš průvodce vícejazyčnou detekcí PII.