UODO Polsko: Viac pokut GDPR ako Francuzsko
Aktualizovane pre rok 2026
Polsko presahuje svoje vahove kategorie
Polsky organ pre ochranu udajov je Urzad Ochrony Danych Osobowych (UODO). V roku 2023 vydalo 47 pokut GDPR. Celkovo: 2,8 miliona EUR. V tom istom roku vybavilo 8 234 staznosti. Na osobu, tato miera pokut prekonava Francuzsko, Nemecko a vacsinu zapadnych rovesnikov.
Pre spolocnosti v Polsku je toto zive riziko -- nie len papierovanie.
Preco Polsko presadzuje viac ako zapad
Kultura staznosti. Polsko ma 38 miliionov ludi so silnym povedomim o digitalnych pravach. Skupiny ochrany sukromia podavaju velke objemy staznosti. Organ kazdorocne vybrba tisice pripadov.
Vystavenie sektora BPO. Polsko je poprednym centrom outsourcingu v EU. Polske call centra spracuvaju udaje pre klientov v Nemecku, Francuzsku, Spojenom kralovstve a Holandsku. Kazdy tok udajov vytvara dve rizika: akcia polskej DPA a akcia veduce DPA postihnutych obcanov.
Narusiena zdravotnej starostlivosti. Spravy o zdravotnych udajoch vzrastli o 45% v roku 2024. Zdravotne zaznamy su udaje osobitnej kategorie podla clanku 9 GDPR. To znamena vysoke riziko pokut pre zdravotnych spracovatelov.
Chybajuce zaznamy. 34% polskych spolocnosti nema Zaznam o cinnostiach spracovania (ROPA). Auditori to hladaju ako prve. Chybajuci ROPA vedie k hlbsiemu preskumaciu.
Problem s PESEL
PESEL je polske 11-miestne cislo narodneho ID. Cislice 1-6 koduju datum narodenia. Cislice 7-10 su poradove cislo. Posledna cislica je kontrolna cislica. Pouziva vahovy vzorec z polskeho Ministerstva digitalnych veci.
Genericke nastroje PII zlyhavaju na PESEL dvoma sposobmi.
Zlyhanie vzoru. Vacshina nastrojov pozna formaty US alebo UK ID. Americke cislo socialneho poistenia ma 9 cislicu. Britske NI cislo je alfanumericke. 11-miestny format PESEL nie je v ich datach. Prestupuju ho.
Zlyhanie validacie. Dokonca ked nastroj zhoduje 11 cislicami, nemoze potvrdit kontrolnu cislicu. To vytvara false positives a false negatives. Skutocne PESEL so zamenenymi cislicami prenikaju.
PESEL sa objavuje takmer v kazdom polskom dokumente: zdravotne zaznamy, pracovne subory, danove formulare a poistne zmluvy. Jego vynechanim zostane hlavny identifikator odhaleny.
89% nastrojov PII testovanych na polskych dokumentoch nedokaze spravne detekovat PESEL.
Dalsie polske identifikatory, ktore nastroje prestupuju
NIP (Numer Identyfikacji Podatkowej). 10-miestne danove ID s vahovym kontrolnym suctom. Nachadzane na faktury, zmluvach a pracovnych zaznamoch.
REGON. 9-miestne alebo 14-miestne cislo spolocnosti pre vsetky polske firmy. Objavuje sa v dokumentoch dodavatelov a odberatelov.
Dowod osobisty. Polsky preukaz totoznoti vo formate XXX NNNNNN -- tri pismena, potom sest cislicami -- s vlastnym pravidlom kontrolnej cislice. Povinny pre bankovnictvo, zdravotnictvo a vlade overenie ID.
Vsetky tri ukazuju podobne medzery ako PESEL.
Priority presadzovania v rokoch 2024-2025
Zdravotne udaje. Spravy o naruseniach od poskytovatelov zdravotnictva vzrastli o 45% v roku 2024. Prebiehaju proaktivne audity. Bezne zistenia: slabe kontroly pristupu, ziadne sifrovanie a chybajuce Hodnotenia vplyvu na ochranu udajov (DPIA).
Monitorovanie zamestnancov. Prace z domu vielu spolocnostiam pridavat protokoly klaves a snimanie obrazovky. Vacshina z nich porusuje pravidla obmedzenia ucelu GDPR. Pripady s udajmi zamestnancov tvoria 28% presadzovacich akcii.
Retazce podspracovatelov. Polsky sektor outsourcingu pouziva zlozite siete dodavatelov. Audity nachadzaju chybajuce Dohody o spracovani udajov (DPA) medzi hlavnymi spracovatelmi a podspracovatelmi. Nastroje podspracovatelov musia taktiez spnat standardy clanku 32 GDPR.
Technicke opatrenia, ktore prestu auditu
Rozhodnutia o presadzovani poukazuju na tri potrebne kontroly.
Sifrovanie. Vsetky osobne udaje musia byt sifrovane v klude aj pri prenose. Samotne kontroly pristupu nestacia. Spolocnosti spolahajuce sa iba na pravidla pristupu boli pokutovane.
Zdokumentovana anonymizacia. Spolocnosti, ktore tvrdia, ze udaje su anonymizovane, to musia dokazat. Organ chce technicke dokazy, ze re-identifikacia nie je realizovatelna.
Pokrytie detekcie PII. Zaruky musia pokryvat polske ID. PESEL s validaciou kontrolnej cislice, NIP, REGON a dowod osobisty musia byt vsetky detekovatelne. Nastroje trenovane v anglickom jazyku nesplnaju tuto latku.
Polsky sektor BPO spracuva 2,3 miliona zaznamov europskych zakaznikov kazdy den. Spolocnosti bez detekcie PII specificke pre Polsko nesie velke riziko pokut -- od narodnej DPA aj od veduccich DPA v celej EU.
Nas pruvodca suladnostou GDPR pokryva potreby dokumentacie. Nas prehlad bezpecnostnej suladnosti vysvetluje technicke kontroly. Pre viacjazycnu detekciu PII pozrite naseho pruvodcu viacjazycnou detekciou PII.