UODO Полска: Повеќе GDPR Казни Отколку Франција
Ажурирано за 2026
Полска Постигнува Повеќе Отколку Очекувано
Полскиот орган за заштита на податоци е Urzad Ochrony Danych Osobowych (UODO). Издаде 47 GDPR казни во 2023. Вкупно: €2,8 милиони. Обработи 8.234 жалби истата година. По глава на жител, таа стапка на казни го надминува Франција, Германија и повеќето западни врсници.
За фирмите во Полска, ова е жив ризик — не само документација.
Зошто Полска Спроведува Повеќе Отколку Западот
Култура на жалби. Полска има 38 милиони луѓе со силна свест за дигитални права. Групи за приватност поднесуваат голем обем на жалби. Органот обработува илјадници случаи секоја година.
Изложеност на секторот BPO. Полска е водечки центар за аутсорсинг во ЕУ. Полските контакт центри обработуваат податоци за клиенти во Германија, Франција, ОК и Холандија. Секој тек на податоци создава два ризика: дејство од полскиот DPA и дејство од водечкиот DPA на засегнатите граѓани.
Прекршувања во здравство. Извештаите за здравствени податоци пораснаа за 45% во 2024. Здравствените записи се посебно-категориски податоци согласно GDPR Член 9. Тоа значи поголем ризик од казни за обработувачи на здравство.
Недостасуваат записи. 34% од полските фирми немаат Запис за активностите на обработка (ROPA). Ревизорите прво го бараат ова. Недостасувачки ROPA води до подлабок преглед.
Проблемот со PESEL
PESEL е полскиот 11-цифрен национален идентификационен број. Цифри 1–6 го кодираат датумот на раѓање. Цифри 7–10 се сериски број. Последната цифра е контролна цифра. Користи пондерирана формула од Полското министерство за дигитални прашања.
Генеричките алатки за PII не успеваат со PESEL на два начина.
Неуспех на образец. Повеќето алатки ги познаваат форматите на ID на САД или ОК. Американскиот број за социјално осигурување има 9 цифри. Британскиот NI број е алфанумерички. 11-цифрениот формат на PESEL не е во нивните податоци. Ги пропуштаат.
Неуспех на валидација. Дури и кога алатката ги совпаѓа 11 цифри, не може да ја потврди контролната цифра. Ова создава лажно позитивни и лажно негативни. Вистинскиот PESEL со заменети цифри поминува.
PESEL се наоѓа во скоро секој полски документ: здравствени записи, работни досиеа, даночни образци и полиси за осигурување. Негово пропуштање остава главниот идентификатор изложен.
89% од алатките за PII тестирани на полски документи не успеваат правилно да го детектираат PESEL.
Други Полски Идентификатори Кои Алатките Ги Пропуштаат
NIP (Numer Identyfikacji Podatkowej). 10-цифрен даночен идентификатор со пондерирана контролна сума. Се наоѓа во фактури, договори и работни записи.
REGON. 9-цифрен или 14-цифрен деловен број за сите полски фирми. Се наоѓа во документи за добавувачи и купувачи.
Dowod osobisty. Полска лична карта во формат XXX NNNNNN — три букви, потоа шест цифри — со сопствено правило за контролна цифра. Потребна за банкарство, здравство и владина проверка на идентитетот.
Сите три покажуваат слични јазнини со PESEL.
Приоритети на Спроведување 2024–2025
Здравствени податоци. Извештаите за прекршувања од давателите на здравствени услуги пораснаа за 45% во 2024. Во тек се проактивни ревизии. Вообичаени наоди: слаби контроли на пристап, без шифрирање и недостасуваат Проценки на влијанието врз заштитата на податоците (DPIA).
Следење на вработени. Далечинската работа натера многу фирми да додадат дневници на притиснати тастатури и снимање на екран. Повеќето од нив ги кршат правилата за ограничување на целта на GDPR. Случаите со податоци за вработени сочинуваат 28% од дејствијата за спроведување.
Синџири на подобработувачи. Секторот за аутсорсинг во Полска користи сложени мрежи на добавувачи. Ревизиите наоѓаат недостасуваат Договори за обработка на податоци (DPA) помеѓу главните обработувачи и подобработувачите. Алатките на подобработувачите исто така мора да ги исполнуваат стандардите на GDPR Член 32.
Технички Мерки Кои Поминуваат Ревизија
Одлуките за спроведување укажуваат на три потребни контроли.
Шифрирање. Сите лични податоци мора да бидат шифрирани во мирување и во транзит. Само контролите на пристап не се доволни. Фирмите кои се потпираат само на правила за пристап биле казнети.
Документирана анонимизација. Фирмите кои тврдат дека податоците се анонимизирани мора да докажат. Органот сака технички доказ дека повторната идентификација не е изводлива.
Покриеност на откривање на PII. Заштитните мерки мора да ги покриваат полските идентификатори. PESEL со валидација на контролна сума, NIP, REGON и dowod osobisty мора сите да бидат детектирани. Алатките обучени на англиски не го исполнуваат ова.
Секторот BPO на Полска обработува 2,3 милиони записи на ЕУ клиенти секој ден. Фирмите без откривање на PII специфично за Полска носат голем ризик од казни — и од националниот DPA и од водечките DPA низ ЕУ.
Нашиот водич за усогласеност со GDPR ги покрива потребите за документација. Нашиот преглед на безбедна усогласеност ги објаснува техничките контроли. За повеќејазично откривање на PII, видете го нашиот водич за повеќејазично откривање на PII.