UODO Польши: больше штрафов GDPR, чем во Франции
Актуально для 2026 года
Польша бьёт выше своего класса
Польский регулятор в области защиты данных — Urząd Ochrony Danych Osobowych (UODO). В 2023 году ведомство вынесло 47 штрафов по GDPR на общую сумму €2,8 миллиона. В том же году было рассмотрено 8 234 жалобы. В пересчёте на душу населения этот показатель превышает аналогичные показатели Франции, Германии и большинства западноевропейских стран.
Для компаний, работающих в Польше, это реальный операционный риск, а не просто бюрократия.
Почему Польша применяет GDPR активнее, чем Запад
Культура жалоб. В Польше проживает 38 миллионов человек с высоким уровнем осведомлённости о цифровых правах. Правозащитные организации направляют жалобы в больших объёмах. Ведомство ежегодно рассматривает тысячи дел.
Специфика BPO-сектора. Польша является ведущим аутсорсинговым центром ЕС. Польские колл-центры обрабатывают данные для клиентов из Германии, Франции, Великобритании и Нидерландов. Каждый поток данных создаёт двойной риск: действия со стороны польского регулятора и действия со стороны ведущего регулятора пострадавших граждан.
Нарушения в здравоохранении. В 2024 году количество сообщений об утечках медицинских данных выросло на 45%. Медицинские данные относятся к особым категориям по статье 9 GDPR, что означает повышенный штрафной риск для операторов в сфере здравоохранения.
Отсутствующая документация. У 34% польских компаний отсутствует Реестр операций по обработке данных (ROPA). Аудиторы проверяют его в первую очередь. Отсутствие ROPA влечёт более глубокую проверку.
Проблема PESEL
PESEL — 11-значный национальный идентификационный номер Польши. Цифры 1–6 кодируют дату рождения. Цифры 7–10 — порядковый номер. Последняя цифра — контрольная, вычисляемая по взвешенной формуле Министерства цифровых дел Польши.
Универсальные инструменты защиты персональных данных допускают два типа ошибок при работе с PESEL.
Ошибка паттерна. Большинство инструментов знают форматы американских или британских идентификаторов. Американский номер социального страхования состоит из 9 цифр; британский NI-номер — буквенно-цифровой. 11-значный формат PESEL не входит в их базы. Они его пропускают.
Ошибка валидации. Даже если инструмент распознаёт 11 цифр, он не может проверить контрольную цифру. Это приводит к ложным срабатываниям и пропускам. Реальные PESEL с переставленными цифрами проходят незамеченными.
PESEL встречается практически в каждом польском документе: медицинских записях, кадровых файлах, налоговых формах и страховых полисах. Его пропуск оставляет главный идентификатор незащищённым.
89% инструментов защиты персональных данных, протестированных на польских документах, некорректно обнаруживают PESEL.
Другие польские идентификаторы, упускаемые инструментами
NIP (Numer Identyfikacji Podatkowej). 10-значный налоговый идентификатор с взвешенной контрольной суммой. Встречается в счётах-фактурах, договорах и трудовых документах.
REGON. 9-значный или 14-значный регистрационный номер всех польских компаний. Встречается в документах поставщиков и покупателей.
Dowód osobisty. Польское удостоверение личности в формате ХХХ НННННН — три буквы, затем шесть цифр — с собственным правилом проверки. Обязателен для банковских операций, медицинских услуг и государственной идентификации.
Все три идентификатора имеют аналогичные пробелы в распознавании, как и PESEL.
Приоритеты правоприменения 2024–2025 годов
Данные в здравоохранении. В 2024 году количество сообщений об утечках от медицинских организаций выросло на 45%. Проводятся проактивные аудиты. Типичные нарушения: слабые средства контроля доступа, отсутствие шифрования и непроведение оценок воздействия на защиту данных (DPIA).
Мониторинг сотрудников. Переход на удалённую работу побудил многие компании внедрить журналы нажатий клавиш и захват экрана. Большинство таких решений нарушают принцип ограничения цели по GDPR. Дела о данных сотрудников составляют 28% мер по правоприменению.
Цепочки субобработчиков. Аутсорсинговый сектор Польши использует сложные сети поставщиков. Аудиты выявляют отсутствующие соглашения об обработке данных (DPA) между основными обработчиками и субобработчиками. Инструменты субобработчиков также должны соответствовать требованиям статьи 32 GDPR.
Технические меры, соответствующие требованиям аудита
Решения о правоприменении указывают на три обязательных вида контроля.
Шифрование. Все персональные данные должны быть зашифрованы как при хранении, так и при передаче. Одного контроля доступа недостаточно. Компании, полагавшиеся исключительно на средства контроля доступа, были оштрафованы.
Документированная анонимизация. Компании, заявляющие о том, что данные анонимизированы, должны это доказать. Регулятор требует технических доказательств невозможности повторной идентификации.
Охват инструментов защиты персональных данных. Средства защиты должны охватывать польские идентификаторы. Необходимо обеспечить обнаружение PESEL с проверкой контрольной суммы, NIP, REGON и dowód osobisty. Инструменты, обученные на английском языке, не удовлетворяют этому требованию.
Польский BPO-сектор ежедневно обрабатывает 2,3 миллиона записей европейских клиентов. Компании без польско-специфичного обнаружения персональных данных несут высокий штрафной риск — со стороны национального регулятора и ведущих регуляторов по всему ЕС.
Наше руководство по соответствию GDPR охватывает требования к документации. Наш обзор технической защиты объясняет средства технического контроля. Руководство по многоязычному обнаружению персональных данных — в нашем мультиязычном руководстве по защите персональных данных.