UODO Polen: Fler GDPR-böter än Frankrike
Uppdaterat för 2026
Polen agerar på en nivå över sin storlek
Polens datamyndighet är Urząd Ochrony Danych Osobowych (UODO). Den utfärdade 47 GDPR-böter 2023. Totalt: €2,8 miljoner. Samma år behandlade den 8 234 klagomål. Per capita slår den bötestakten Frankrike, Tyskland och de flesta västeuropeiska länder.
För företag i Polen är detta en reell risk — inte bara byråkrati.
Varför Polen tillämpar mer än Västeuropa
Klagomålskultur. Polen har 38 miljoner invånare med stark medvetenhet om digitala rättigheter. Integritetsorganisationer lämnar in stora klagomålsvolymer. Myndigheten hanterar tusentals ärenden varje år.
BPO-sektorns exponering. Polen är ett av EU:s ledande outsourcingcenter. Polska callcenter behandlar data för klienter i Tyskland, Frankrike, UK och Nederländerna. Varje dataflöde skapar två risker: åtgärd från Polens DPA och åtgärd från den ledande DPA:n för berörda medborgare.
Sjukvårdsbrott. Rapporter om hälsouppgiftsintrång ökade med 45 % under 2024. Hälsouppgifter är känsliga kategorier enligt GDPR Artikel 9. Det innebär högre böterisk för hälso- och sjukvårdsbehandlare.
Saknade register. 34 % av polska företag saknar ett Register över behandlingsaktiviteter (ROPA). Revisorer letar efter detta först. Ett saknat ROPA leder till djupare granskning.
PESEL-problemet
PESEL är Polens 11-siffriga nationella ID-nummer. Siffrorna 1–6 kodar födelsedatum. Siffrorna 7–10 är ett löpnummer. Den sista siffran är en kontrollsiffra. Den använder en viktad formel från polska Ministeriet för digitala frågor.
Generiska PII-verktyg misslyckas med PESEL på två sätt.
Mönsterfel. De flesta verktyg känner igen amerikanska eller brittiska ID-format. Ett amerikanskt socialförsäkringsnummer har 9 siffror. Ett brittiskt NI-nummer är alfanumeriskt. PESEL:s 11-siffriga format finns inte i deras data. De missar det.
Valideringsfel. Även när ett verktyg matchar 11 siffror kan det inte bekräfta kontrollsiffran. Det skapar falska positiver och falska negativa. Riktiga PESEL-nummer med ombyttade siffror passerar igenom.
PESEL förekommer i nästan varje polskt dokument: patientjournaler, anställningsfiler, skatteformulär och försäkringspolicyer. Att missa det lämnar den viktigaste identifieraren exponerad.
89 % av PII-verktyg som testats på polska dokument misslyckas med att korrekt identifiera PESEL.
Andra polska identifierare som verktyg missar
NIP (Numer Identyfikacji Podatkowej). 10-siffrigt skatte-ID med viktad kontrollsumma. Förekommer i fakturor, avtal och anställningsdokument.
REGON. 9-siffrigt eller 14-siffrigt organisationsnummer för alla polska företag. Förekommer i leverantörs- och köpardokument.
Dowód osobisty. Polskt ID-kort i formatet XXX NNNNNN — tre bokstäver, sedan sex siffror — med en egen kontrollsifferregel. Krävs för bank, sjukvård och statliga ID-kontroller.
Alla tre visar liknande brister som PESEL.
Tillsynsprioriteter 2024–2025
Hälsodata. Intrångsrapporter från vårdgivare ökade med 45 % under 2024. Proaktiva revisioner pågår. Vanliga fynd: svaga åtkomstkontroller, ingen kryptering och saknade konsekvensbedömningar (DPIA).
Personalövervakning. Distansarbete ledde många företag att lägga till tangenttrycksloggning och skärminspelning. De flesta av dessa bryter mot GDPR:s ändamålsbegränsningsregler. Personaldata-ärenden utgör 28 % av tillsynsåtgärderna.
Underbiträdeskedjor. Polens outsourcingsektor använder komplexa leverantörsnätverk. Revisioner hittar saknade personuppgiftsbiträdesavtal (DPA) mellan huvudbiträden och underbiträden. Underbiträdenas verktyg måste också uppfylla GDPR Artikel 32-standarder.
Tekniska åtgärder som klarar revision
Tillsynsbeslut pekar på tre nödvändiga kontroller.
Kryptering. Alla personuppgifter måste krypteras i vila och under transport. Åtkomstkontroller ensamma räcker inte. Företag som enbart förlitar sig på åtkomstregler har bötesfällts.
Dokumenterad anonymisering. Företag som hävdar att data är anonymiserad måste bevisa det. Myndigheten vill ha tekniska bevis på att återidentifiering inte är möjlig.
PII-detekteringstäckning. Skyddsåtgärder måste täcka polska ID:n. PESEL med kontrollsummavalidering, NIP, REGON och dowód osobisty måste alla kunna identifieras. Engelsktränande verktyg uppfyller inte detta krav.
Polens BPO-sektor behandlar 2,3 miljoner EU-kunduppgifter varje dag. Företag utan polskspecifik PII-detektering bär tung böterisk — från den nationella DPA:n och från ledande DPA:er i hela EU.
Vår GDPR-efterlevnadsguide täcker dokumentationsbehov. Vår säkerhetskompliansöversikt förklarar tekniska kontroller. För flerspråkig PII-detektering, se vår guide till flerspråkig PII-identifiering.