UODO Polija: Vairāk GDPR sodu nekā Francijā
Atjaunināts 2026. gadam
Polija pārspēj savus izmērus
Polijas datu iestāde ir Urzad Ochrony Danych Osobowych (UODO). Tā 2023. gadā izdeva 47 GDPR sodus. Kopā: 2,8 miljoni eiro. Tajā pašā gadā tā apstrādāja 8 234 sūdzības. Uz vienu iedzīvotāju šī sodu likme pārspēj Franciju, Vāciju un lielāko daļu rietumu valstu.
Uzņēmumiem Polijā tas ir reāls risks — ne tikai papīru darbs.
Kāpēc Polija izpilda vairāk nekā Rietumi
Sūdzību kultūra. Polijā ir 38 miljoni cilvēku ar spēcīgu digitālo tiesību izpratni. Privātuma organizācijas iesniedz lielu sūdzību skaitu. Iestāde katru gadu apstrādā tūkstošiem gadījumu.
BPO sektora pakļautība. Polija ir vadošais ES ārpakalpojumu centrs. Polijas zvanu centri apstrādā datus klientiem Vācijā, Francijā, Apvienotajā Karalistē un Nīderlandē. Katra datu plūsma rada divus riskus: Polijas DPA darbību un ietekmēto pilsoņu vadošās DPA darbību.
Veselības aprūpes pārkāpumi. Veselības datu pārskati 2024. gadā pieauga par 45%. Veselības dati ir īpašas kategorijas dati saskaņā ar GDPR 9. pantu. Tas nozīmē augstāku soda risku veselības apstrādātājiem.
Trūkstošie ieraksti. 34% Polijas uzņēmumu trūkst apstrādes darbību reģistra (ROPA). Revizori to meklē pirmkārt. Trūkstošs ROPA izraisa dziļāku pārskatu.
PESEL problēma
PESEL ir Polijas 11 ciparu nacionālais ID numurs. 1.–6. cipars kodē dzimšanas datumu. 7.–10. cipars ir sērijas numurs. Pēdējais cipars ir pārbaudes cipars. Tas izmanto svērtu formulu no Polijas Digitālo lietu ministrijas.
Vispārīgi personas datu rīki PESEL kļūdās divos veidos.
Modeļa kļūme. Vairums rīku zina ASV vai UK ID formātus. ASV sociālās apdrošināšanas numuram ir 9 cipari. UK NI numurs ir burtciparu. PESEL 11 ciparu formāts nav to datos. Viņi to palaiž garām.
Validācijas kļūme. Pat kad rīks atrod 11 ciparus, tas nevar apstiprināt pārbaudes ciparu. Tas rada viltus pozitīvus un viltus negatīvus. Reāli PESEL ar nomainītiem cipariem izslīd cauri.
PESEL parādās gandrīz katrā Polijas dokumentā: veselības ierakstos, darba failos, nodokļu veidlapās un apdrošināšanas polisēs. Tā nokavēšana atstāj galveno identifikatoru neaizsargātu.
89% personas datu rīku, kas testēti uz Polijas dokumentiem, nespēj pareizi atklāt PESEL.
Citi Polijas identifikatori, ko rīki palaiž garām
NIP (Numer Identyfikacji Podatkowej). 10 ciparu nodokļu ID ar svērtu pārbaudes summu. Atrodams rēķinos, līgumos un darba ierakstos.
REGON. 9 ciparu vai 14 ciparu uzņēmuma numurs visiem Polijas uzņēmumiem. Parādās piegādātāju un pircēju dokumentos.
Dowod osobisty. Polijas ID karte formātā XXX NNNNNN — trīs burti, tad seši cipari — ar savu pārbaudes cipara noteikumu. Nepieciešama banku, veselības aprūpes un valdības ID pārbaudēm.
Visiem trim ir līdzīgas nepilnības kā PESEL.
2024.–2025. gada izpildes prioritātes
Veselības aprūpes dati. Veselības aprūpes sniedzēju pārkāpumu pārskati 2024. gadā pieauga par 45%. Tiek veiktas proaktīvas revīzijas. Biežākie atklājumi: vājas piekļuves kontroles, nav šifrēšanas un trūkst datu aizsardzības ietekmes novērtējumu (DPIA).
Darbinieku uzraudzība. Attālinātais darbs lika daudziem uzņēmumiem pievienot taustiņsitienu žurnālus un ekrāna tveršanu. Lielākā daļa no tiem pārkāpj GDPR nolūka ierobežojuma noteikumus. Darbinieku datu lietas veido 28% no izpildes darbībām.
Apakšapstrādātāju ķēdes. Polijas ārpakalpojumu sektors izmanto sarežģītus pārdevēju tīklus. Revīzijās tiek atrasti trūkstoši datu apstrādes līgumi (DPA) starp galvenajiem apstrādātājiem un apakšapstrādātājiem. Apakšapstrādātāju rīkiem arī jāatbilst GDPR 32. panta standartiem.
Tehniskie pasākumi, kas iztur revīziju
Izpildes lēmumi norāda uz trim nepieciešamajām kontrolēm.
Šifrēšana. Visi personas dati jāšifrē miera stāvoklī un pārsūtīšanas laikā. Piekļuves kontroles vien nav pietiekamas. Uzņēmumi, kas paļaujas tikai uz piekļuves noteikumiem, ir saņēmuši sodus.
Dokumentēta anonimizācija. Uzņēmumiem, kas apgalvo, ka dati ir anonimizēti, tas jāpierāda. Iestāde vēlas tehnisku pierādījumu, ka atkārtota identifikācija nav iespējama.
Personas datu atklāšanas pārklājums. Aizsardzības pasākumiem jāaptver Polijas ID. PESEL ar pārbaudes summas validāciju, NIP, REGON un dowod osobisty — visi jābūt atklājamiem. Angļu valodā apmācīti rīki neatbilst šai prasībai.
Polijas BPO sektors katru dienu apstrādā 2,3 miljonus ES klientu ierakstu. Uzņēmumi bez Polijas specifiskas personas datu atklāšanas ir pakļauti lielam soda riskam — no nacionālā DPA un no vadošajiem DPA visā ES.
Mūsu GDPR atbilstības rokasgrāmata aptver dokumentācijas vajadzības. Mūsu drošības atbilstības pārskats paskaidro tehniskās kontroles. Daudzvalodu personas datu atklāšanai skatiet mūsu daudzvalodu personas datu atklāšanas rokasgrāmatu.