UODO Polska: Więcej Kar RODO niż Francja
Zaktualizowano dla 2026 r.
Polska Ponad Swoją Wagą
Polskim organem ochrony danych jest Urząd Ochrony Danych Osobowych (UODO). W 2023 r. wydał 47 decyzji o nałożeniu kar RODO na łączną kwotę 2,8 mln €. W tym samym roku rozpatrzył 8 234 skargi. Przeliczony na mieszkańca, wskaźnik nałożonych kar przewyższa Francję, Niemcy i większość zachodnich odpowiedników.
Dla firm działających w Polsce to realne, bieżące ryzyko — nie tylko kwestia biurokratyczna.
Dlaczego Polska Egzekwuje Prawo Bardziej niż Zachód
Kultura skarg. Polska liczy 38 milionów mieszkańców ze świadomością praw cyfrowych. Organizacje zajmujące się ochroną prywatności składają duże liczby skarg. Organ rozpatruje tysiące spraw rocznie.
Ekspozycja sektora BPO. Polska jest czołowym unijnym centrum outsourcingowym. Polskie call center przetwarzają dane klientów z Niemiec, Francji, Wielkiej Brytanii i Niderlandów. Każdy taki przepływ danych tworzy podwójne ryzyko: postępowanie polskiego organu oraz postępowanie organu wiodącego właściwego dla obywateli, których dane dotyczą.
Naruszenia w ochronie zdrowia. Liczba zgłoszeń naruszeń danych zdrowotnych wzrosła o 45% w 2024 r. Dane dotyczące zdrowia to dane szczególnych kategorii na mocy art. 9 RODO, co oznacza wyższe ryzyko kar dla podmiotów przetwarzających dane medyczne.
Brakująca dokumentacja. 34% polskich firm nie posiada Rejestru Czynności Przetwarzania (RCP). Audytorzy sprawdzają go w pierwszej kolejności. Brak RCP prowadzi do pogłębionej kontroli.
Problem z PESEL
PESEL to 11-cyfrowy krajowy numer identyfikacyjny. Cyfry 1–6 kodują datę urodzenia. Cyfry 7–10 to numer kolejny. Ostatnia cyfra jest cyfrą kontrolną obliczaną według formuły ważonej Ministerstwa Cyfryzacji.
Gencryczne narzędzia do wykrywania danych osobowych zawodzą przy PESEL na dwa sposoby.
Błąd wzorca. Większość narzędzi zna formaty identyfikatorów z USA lub Wielkiej Brytanii. Amerykański numer SSN ma 9 cyfr, brytyjski NI jest alfanumeryczny. 11-cyfrowy format PESEL nie jest ujęty w ich bazach danych — numer jest pomijany.
Błąd walidacji. Nawet gdy narzędzie dopasuje 11 cyfr, nie jest w stanie zweryfikować cyfry kontrolnej. Generuje to zarówno fałszywe pozytywy, jak i fałszywe negatywy — prawdziwe numery PESEL z przestawionymi cyframi mogą przejść przez filtr niezauważone.
PESEL pojawia się w niemal każdym polskim dokumencie: aktach medycznych, dokumentach kadrowych, formularzach podatkowych i polisach ubezpieczeniowych. Jego pominięcie pozostawia główny identyfikator niezabezpieczony.
89% narzędzi do wykrywania danych osobowych testowanych na polskich dokumentach nie wykrywa PESEL prawidłowo.
Inne Polskie Identyfikatory Pomijane przez Narzędzia
NIP (Numer Identyfikacji Podatkowej). 10-cyfrowy numer identyfikacji podatkowej z ważoną sumą kontrolną. Pojawia się na fakturach, umowach i dokumentach pracowniczych.
REGON. 9- lub 14-cyfrowy numer identyfikacyjny wszystkich polskich firm. Występuje w dokumentach dostawców i nabywców.
Dowód osobisty. Polski dowód osobisty w formacie XXX NNNNNN — trzy litery, następnie sześć cyfr — z własną regułą cyfry kontrolnej. Wymagany przy czynnościach bankowych, w ochronie zdrowia i przy weryfikacji tożsamości w urzędach.
Wszystkie trzy wykazują podobne luki jak PESEL.
Priorytety Egzekucyjne na Lata 2024–2025
Dane medyczne. Liczba zgłoszeń naruszeń od podmiotów z sektora ochrony zdrowia wzrosła o 45% w 2024 r. Trwają proaktywne audyty. Typowe ustalenia to słaba kontrola dostępu, brak szyfrowania i niewykonane oceny skutków dla ochrony danych (DPIA).
Monitorowanie pracowników. Praca zdalna skłoniła wiele firm do wdrożenia rejestratorów naciśnięć klawiszy i narzędzi do zrzutów ekranu. Większość z nich narusza zasadę ograniczenia celu przetwarzania wynikającą z RODO. Sprawy dotyczące danych pracowniczych stanowią 28% postępowań egzekucyjnych.
Łańcuchy podprzetwarzających. Polski sektor outsourcingowy korzysta z rozbudowanych sieci dostawców. Audyty ujawniają brakujące umowy powierzenia przetwarzania (DPA) między głównymi podmiotami przetwarzającymi a podprzetwarzającymi. Narzędzia stosowane przez podprzetwarzających muszą również spełniać wymogi art. 32 RODO.
Środki Techniczne Spełniające Wymogi Audytu
Decyzje egzekucyjne wskazują na trzy wymagane środki kontroli.
Szyfrowanie. Wszystkie dane osobowe muszą być szyfrowane zarówno w spoczynku, jak i w tranzycie. Sama kontrola dostępu nie wystarczy. Firmy opierające się wyłącznie na regułach dostępu były karane.
Udokumentowana anonimizacja. Firmy twierdzące, że dane są zanonimizowane, muszą to udowodnić. Organ oczekuje technicznych dowodów na to, że ponowna identyfikacja nie jest możliwa.
Pokrycie wykrywania danych osobowych. Zabezpieczenia muszą obejmować polskie identyfikatory. PESEL z walidacją sumy kontrolnej, NIP, REGON i dowód osobisty — wszystkie muszą być wykrywalne. Narzędzia wytrenowane wyłącznie na języku angielskim nie spełniają tego wymogu.
Polski sektor BPO przetwarza 2,3 miliona rekordów klientów z UE każdego dnia. Firmy bez wykrywania danych osobowych specyficznego dla Polski ponoszą poważne ryzyko kar — zarówno ze strony krajowego organu nadzorczego, jak i organów wiodących w całej UE.
Nasz przewodnik po zgodności z RODO opisuje wymagania dokumentacyjne. Nasz przegląd zgodności zabezpieczeń wyjaśnia środki techniczne. Informacje o wielojęzycznym wykrywaniu danych osobowych znajdziesz w naszym przewodniku po wielojęzycznym wykrywaniu danych osobowych.