UODO Poljska: Vec glob GDPR kot Francija
Posodobljeno za leto 2026
Poljska zadeva vec, kot pricakujemo
Poljski organ za varstvo podatkov je Urzad Ochrony Danych Osobowych (UODO). Leta 2023 je izdal 47 glob po GDPR. Skupaj: 2,8 milijona EUR. Istega leta je obravnaval 8.234 pritožb. Glede na stevilo prebivalcev ta stopnja glob presega Francijo, Nemcijo in vecino zahodnih kolegov.
Za podjetja na Poljskem je to zivo tveganje - ne le papirnatje delo.
Zakaj Poljska izvrsuje vec kot zahod
Kultura pritožb. Poljska ima 38 milijonov prebivalcev z mocno zavestjo o digitalnih pravicah. Skupne za zasebnost vlagajo velike kolicine pritožb. Organ obravnava tisoci primerov vsako leto.
Izpostavljenost sektorja BPO. Poljska je vodilno evropsko vozlisce za outsourcing. Poljski klicni centri obdelujejo podatke za stranke v Nemciji, Franciji, Veliki Britaniji in na Nizozemskem. Vsak tok podatkov ustvarja dve tveganji: ukrepanje s strani poljskega DPA in ukrepanje s strani vodilnega DPA prizadetih drzavljanov.
Krsitve v zdravstvu. Porocila o zdravstvenih podatkih so leta 2024 narasla za 45 %. Zdravstveni zapisi so posebna kategorija podatkov po clenu 9 GDPR. To pomeni vecje tveganje glob za zdravstvene obdelovalce.
Manjkajoci zapisi. 34 % poljskih podjetij nima evidence dejavnosti obdelave (ROPA). Revizorji najprej iscejo to. Manjkajoca ROPA vodi do poglobljene preiskave.
Problem PESEL
PESEL je 11-mestna poljska stevilka nacionalnega ID. Cifre 1-6 kodirajo datum rojstva. Cifre 7-10 so zaporedna stevilka. Zadnja cifra je kontrolna cifra. Uporablja uteženo formulo Ministrstva za digitalne zadeve Poljske.
Splosna orodja za OOP ne uspejo z PESEL na dva nacina.
Napaka vzorca. Vecina orodij pozna americke ali britanske oblike ID. Americka stevilka socialnega zavarovanja ima 9 mestNi britanska stevilka NI je alfanumericna. 11-mestna oblika PESEL ni v njihovih podatkih. Zamudijo jo.
Napaka validacije. Tudi ko orodje ujame 11 mestNi, ne more potrditi kontrolne cifre. To ustvarja lazno pozitivne in lazno negativne rezultate. Pravi PESELi z zamenjnimi ciframi spolzijo skozi.
PESEL se pojavlja v skoraj vsakem poljskem dokumentu: zdravstvene evidence, kadrovske datoteke, davcni obrazci in zavarovalne police. Ce ga zamudite, pustite razkriti glavni identifikator.
89 % orodij za OOP, preizkušenih na poljskih dokumentih, ne zazna PESEL pravilno.
Drugi poljski identifikatorji, ki jih orodja zamudijo
NIP (Numer Identyfikacji Podatkowej). 10-mestni davcni ID z uteženo kontrolno vsoto. Najdemo ga v racunih, pogodbah in delovnih zapisih.
REGON. 9-mestna ali 14-mestna poslovnastevilka za vsa poljska podjetja. Pojavi se v dokumentih dobaviteljev in kupcev.
Dowod osobisty. Poljska osebna izkaznica v obliki XXX NNNNNN - tri crke, nato sest stevk - z lastnim pravilom kontrolne cifre. Potrebna za bancnistvo, zdravstveno varstvo in vladne ID kontrole.
Vsi trije kazejo podobne vrzeli kot PESEL.
Prednostne naloge izvrsvanja za leta 2024-2025
Zdravstveni podatki. Porocila o krsitvah zdravstvenih izvajalcev so leta 2024 narasla za 45 %. Potekajo proaktivne revizije. Pogoste ugotovitve: sibke kontrole dostopa, brez sifriranja in manjkajoci ucinki ocene varstva podatkov (DPIA).
Nadzor zaposlenih. Delo na daljavo je mnoga podjetja spodbudilo k dodajanju beležnikov pritiskov na tipke in zajem zaslona. Vecina teh krsi pravila GDPR o omejitvi namena. Primeri podatkov zaposlenih predstavljajo 28 % izvrsnih ukrepov.
Verige podobdelovalcev. Outsourcingski sektor Poljske uporablja kompleksne mreze prodajalcev. Revizije ugotavljajo manjkajoce pogodbe o obdelavi podatkov (DPA) med glavnimi obdelovalci in podobdelovalci. Orodja podobdelovalcev morajo prav tako izpolnjevati standarde clena 32 GDPR.
Tehnicni ukrepi, ki prestanejo revizijo
Izvrsne odlocitve kažejo na tri zahtevane kontrole.
Sifriranje. Vsi osebni podatki morajo biti sifrirani v mirovanju in med prenosom. Kontrole dostopa same po sebi niso dovolj. Podjetja, ki se zanasajo le na pravila dostopa, so bila kaznovana z globami.
Dokumentirana anonimizacija. Podjetja, ki trdijo, da so podatki anonimizirani, morajo to dokazati. Organ zeli tehnicne dokaze, da ponovna identifikacija ni izvedljiva.
Pokritost zaznavanja OOP. Varnostni ukrepi morajo pokrivati poljske ID. PESEL z validacijo kontrolne vsote, NIP, REGON in dowod osobisty morajo biti vsi zaznani. Orodja, usposobljena v anglescini, tega merila ne izpolnjujejo.
Poljski sektor BPO vsak dan obdeluje 2,3 milijona zapisov strank EU. Podjetja brez zaznavanja OOP, specificnega za Poljsko, nosijo visoko tveganje glob - tako s strani nacionalnega DPA kot s strani vodilnih DPA po vsej EU.
Nas vodnik za skladnost z GDPR pokriva potrebe glede dokumentacije. Nas pregled tehnicne skladnosti pojasnjuje tehnicne kontrole. Za vecjezicno zaznavanje OOP glejte nas vodnik za vecjezicno zaznavanje OOP.