UODO Lenkija: daugiau BDAR baudų nei Prancūzija
Atnaujinta 2026 m.
Lenkija veikia aukštesnio lygio
Lenkijos duomenų institucija yra Urzad Ochrony Danych Osobowych (UODO). Ji 2023 m. skyrė 47 BDAR baudas. Iš viso: 2,8 mln. eurų. Tais pačiais metais ji išnagrinėjo 8 234 skundus. Vienam gyventojui tenkanti baudų norma lenkia Prancūziją, Vokietiją ir daugelį Vakarų kolegų.
Firmoms Lenkijoje tai yra tikra rizika, o ne tik popieriai.
Kodėl Lenkija vykdo daugiau nei Vakarai
Skundų kultūra. Lenkijoje gyvena 38 mln. žmonių, turinčių stiprų skaitmeninių teisių sąmoningumą. Privatumo grupės teikia didelius skundų kiekius. Institucija kasmet nagrinėja tūkstančius atvejų.
BPO sektoriaus poveikis. Lenkija yra pirmaujantis ES išorinio paslaugų teikimo centras. Lenkijos skambučių centrai tvarko duomenis klientams Vokietijoje, Prancūzijoje, JK ir Nyderlanduose. Kiekvienas duomenų srautas sukuria dvi rizikas: UODO veiksmus ir pirmaujančios DPA paveiktų piliečių šalyje veiksmus.
Sveikatos priežiūros pažeidimai. Sveikatos duomenų pranešimų skaičius 2024 m. išaugo 45%. Sveikatos duomenys yra ypatingos kategorijos duomenys pagal BDAR 9 straipsnį. Tai reiškia didesnę baudos riziką sveikatos duomenų tvarkytojams.
Trūkstami įrašai. 34% Lenkijos firmų neturi Tvarkymo veiklos registro (TVR). Auditoriai ieško jo pirma. Trūkstamas TVR veda į gilesnę peržiūrą.
PESEL problema
PESEL yra Lenkijos 11 skaitmenų nacionalinis ID numeris. 1–6 skaitmenys koduoja gimimo datą. 7–10 skaitmenys yra sekos numeris. Paskutinis skaitmuo yra kontrolinis skaitmuo. Jis naudoja svertinę formulę iš Lenkijos skaitmeninių reikalų ministerijos.
Generiniai asmens duomenų įrankiai nepavyksta su PESEL dviem būdais.
Modelio gedimas. Dauguma įrankių žino JAV ar JK ID formatus. JAV socialinio draudimo numeris turi 9 skaitmenis. JK NI numeris yra raidžių ir skaitmenų derinys. PESEL 11 skaitmenų formatas nėra jų duomenyse. Jie jo praleiskia.
Patvirtinimo gedimas. Net kai įrankis atpažįsta 11 skaitmenų, jis negali patvirtinti kontrolinio skaitmens. Tai sukuria klaidingus teigiamus ir neigiamus rezultatus. Realūs PESEL su sukeistais skaitmenimis praslysta.
PESEL atsiranda beveik kiekviename Lenkijos dokumente: sveikatos įrašuose, darbo failuose, mokesčių formose ir draudimo polisuose. Jo praleidimas palieka pagrindinį identifikatorių atskleistą.
89% asmens duomenų priemonių, išbandytų su Lenkijos dokumentais, netinkamai aptinka PESEL.
Kiti lenkiški identifikatoriai, kuriuos priemonės praleiskia
NIP (Numer Identyfikacji Podatkowej). 10 skaitmenų mokesčių ID su svertine kontroline suma. Randamas sąskaitose faktūrose, sutartyse ir darbo dokumentuose.
REGON. 9 arba 14 skaitmenų verslo numeris visoms Lenkijos firmoms. Atsiranda tiekėjų ir pirkėjų dokumentuose.
Dowod osobisty. Lenkijos asmens tapatybės kortelė formatu XXX NNNNNN – trys raidės, tada šeši skaitmenys – su savo kontrolinio skaitmens taisykle. Reikalinga bankininkystėje, sveikatos priežiūroje ir valdžios ID patikrinimuose.
Visi trys rodo panašias spragas kaip PESEL.
2024–2025 m. vykdymo prioritetai
Sveikatos priežiūros duomenys. Pažeidimų pranešimų iš sveikatos priežiūros tiekėjų skaičius 2024 m. išaugo 45%. Proaktyviniai auditai vykdomi. Dažni radiniai: silpna prieigos kontrolė, jokio šifravimo ir trūkstami Duomenų apsaugos poveikio vertinimai (PŠV).
Darbuotojų stebėsena. Nuotolinis darbas privertė daugelį firmų pridėti klavišų paspaudimų registravimą ir ekrano fiksavimą. Dauguma jų pažeidžia BDAR tikslo apribojimo taisykles. Darbuotojų duomenų bylos sudaro 28% vykdymo veiksmų.
Subtvarkytojų grandinės. Lenkijos išorinio paslaugų teikimo sektorius naudoja sudėtingus tiekėjų tinklus. Auditai randa trūkstamas Duomenų tvarkymo sutartis (DTS) tarp pagrindinių tvarkytojų ir subtvarkytojų. Subtvarkytojų priemonės taip pat turi atitikti BDAR 32 straipsnio standartus.
Techninės priemonės, praeinančios auditą
Vykdymo sprendimai nurodo tris reikalingas kontrolės priemones.
Šifravimas. Visi asmens duomenys turi būti šifruojami ramybės ir perdavimo metu. Vien prieigos kontrolės nepakanka. Firmos, remiančios tik prieigos taisyklėmis, buvo baudžiamos.
Dokumentuotas anoniminimas. Firmos, tvirtinančios, kad duomenys anoniminami, turi tai įrodyti. Institucija nori techninių įrodymų, kad reidentifikacija nėra įmanoma.
Asmens duomenų aptikimo aprėptis. Apsaugos priemonės turi apimti lenkiškus ID. PESEL su kontrolinės sumos patvirtinimu, NIP, REGON ir dowod osobisty visi turi būti aptinkami. Anglų kalba apmokyti įrankiai neatitinka šio standarto.
Lenkijos BPO sektorius kasdien tvarko 2,3 mln. ES klientų duomenų. Firmos be lenkiškų asmens duomenų aptikimo priemonių patiria didelę baudos riziką – iš nacionalinės DPA ir iš pirmaujančių DPA visoje ES.
Mūsų BDAR atitikties vadovas apima dokumentacijos poreikius. Mūsų saugumo atitikties apžvalga paaiškina technines kontrolės priemones. Daugiakalbio asmens duomenų aptikimo klausimais žr. mūsų daugiakalbio asmens duomenų aptikimo vadovą.