UODO Polonya: Fransa'dan Fazla GDPR Cezası
2026 için güncellendi
Polonya Ağırlığının Üzerinde Çıkış Yapıyor
Polonya'nın veri kurumu Urząd Ochrony Danych Osobowych'tur (UODO). 2023'te 47 GDPR para cezası kesti. Toplam: 2,8 milyon Euro. Aynı yıl 8.234 şikayet ele aldı. Kişi başına düşen ceza oranı Fransa, Almanya ve çoğu Batılı muadilini geride bırakıyor.
Polonya'daki firmalar için bu, yalnızca kağıt işi değil, canlı bir risk.
Polonya'nın Batı'dan Daha Fazla Yaptırım Uygulamasının Nedenleri
Şikayet kültürü. Polonya, güçlü dijital haklar bilincine sahip 38 milyon nüfusa sahip. Gizlilik grupları yoğun şikayet trafiği oluşturuyor. Kurum her yıl binlerce davayı ele alıyor.
BPO sektörü maruziyeti. Polonya, AB'nin önde gelen dış kaynak merkezlerinden biri. Polonyalı çağrı merkezleri Almanya, Fransa, İngiltere ve Hollanda'daki müşteriler için veri işliyor. Her veri akışı iki risk yaratır: Polonya veri koruma kurumunun ve etkilenen vatandaşların başlıca kurumunun harekete geçmesi.
Sağlık ihlalleri. Sağlık verisi bildirimleri 2024'te %45 arttı. Sağlık kayıtları GDPR Madde 9 kapsamında özel kategori veridir. Bu, sağlık işleyiciler için daha yüksek ceza riski anlamına gelir.
Eksik kayıtlar. Polonyalı firmaların %34'ünde İşleme Faaliyetleri Kaydı (ROPA) bulunmuyor. Denetçiler buna önce bakıyor. Eksik ROPA, daha derin bir incelemeye yol açıyor.
PESEL Sorunu
PESEL, Polonya'nın 11 haneli ulusal kimlik numarasıdır. 1–6. rakamlar doğum tarihini kodluyor. 7–10. rakamlar sıra numarasıdır. Son rakam kontrol hanesidir. Polonya Dijital İşler Bakanlığı'nın ağırlıklı formülünü kullanıyor.
Jenerik KKB araçları PESEL'de iki şekilde başarısız oluyor.
Desen başarısızlığı. Çoğu araç ABD veya İngiltere kimlik formatlarını tanır. Amerikan Sosyal Güvenlik Numarası 9 haneli. İngiliz NI numarası alfanümerik. PESEL'in 11 haneli formatı verilerinde yok. Gözden kaçırıyorlar.
Doğrulama başarısızlığı. Bir araç 11 haneyi eşleştirdiğinde bile kontrol hanesini doğrulayamıyor. Bu, hem yanlış pozitiflere hem de yanlış negatiflere yol açıyor. Rakamları yer değiştirmiş gerçek PESEL'ler gözden kaçıyor.
PESEL neredeyse her Polonyaca belgede görünüyor: sağlık kayıtları, iş dosyaları, vergi formları ve sigorta poliçeleri. Bunu gözden kaçırmak, en üst düzey tanımlayıcıyı ifşa bırakmak anlamına gelir.
Polonyaca belgeler üzerinde test edilen KKB araçlarının %89'u PESEL'i doğru tespit etmede başarısız oluyor.
Araçların Gözden Kaçırdığı Diğer Polonyaca Tanımlayıcılar
NIP (Numer Identyfikacji Podatkowej). Ağırlıklı sağlama toplamına sahip 10 haneli vergi kimlik numarası. Faturalarda, sözleşmelerde ve iş kayıtlarında yer alıyor.
REGON. Tüm Polonyaca firmalar için 9 haneli veya 14 haneli işletme numarası. Tedarikçi ve alıcı belgelerinde görünüyor.
Dowód osobisty. XXX NNNNNN formatında Polonyaca kimlik kartı — üç harf, ardından altı rakam — kendine özgü kontrol hanesi kuralıyla. Bankacılık, sağlık ve devlet kimlik kontrolleri için zorunlu.
Üçünün de PESEL'e benzer boşlukları var.
2024–2025 Yaptırım Öncelikleri
Sağlık verisi. Sağlık sağlayıcılardan gelen ihlal bildirimleri 2024'te %45 arttı. Proaktif denetimler sürüyor. Yaygın tespitler: zayıf erişim kontrolleri, şifreleme yok ve eksik Veri Koruma Etki Değerlendirmeleri (DPIA).
Çalışan izleme. Uzaktan çalışma pek çok firmayı tuş kaydedici ve ekran yakalama eklemesine yöneltti. Bunların çoğu GDPR amaç sınırlaması kurallarını ihlal ediyor. Çalışan verisi davaları yaptırım işlemlerinin %28'ini oluşturuyor.
Alt işleyici zincirleri. Polonya'nın dış kaynak sektörü karmaşık satıcı ağları kullanıyor. Denetimler, ana işleyiciler ile alt işleyiciler arasında eksik Veri İşleme Sözleşmeleri (VİS) buluyor. Alt işleyici araçları da GDPR Madde 32 standartlarını karşılamalıdır.
Denetimden Geçen Teknik Tedbirler
Yaptırım kararları üç zorunlu kontrole işaret ediyor.
Şifreleme. Tüm kişisel veriler durağan ve aktarım halinde şifrelenmelidir. Erişim kontrolleri tek başına yeterli değildir. Yalnızca erişim kurallarına güvenen firmalar cezalandırıldı.
Belgelenmiş anonimleştirme. Verilerin anonimleştirildiğini öne süren firmalar bunu kanıtlamak zorunda. Kurum, yeniden tanımlamanın mümkün olmadığına dair teknik kanıt istiyor.
KKB tespit kapsamı. Güvenceler Polonyaca kimlikleri kapsamalıdır. Sağlama toplamı doğrulamalı PESEL, NIP, REGON ve dowód osobisty tespit edilebilir olmalıdır. İngilizce eğitimli araçlar bu çıtayı geçemiyor.
Polonya'nın BPO sektörü her gün 2,3 milyon AB müşteri kaydı işliyor. Polonyaca'ya özgü KKB tespiti olmayan firmalar büyük ceza riskiyle karşı karşıya — hem ulusal veri koruma kurumundan hem de AB genelinde başlıca kurumlardan.
GDPR uyum rehberimiz belgeleme gereksinimlerini kapsıyor. Güvenlik uyum genel bakışımız teknik kontrolleri açıklıyor. Çok dilli KKB tespiti için çok dilli KKB tespit rehberimize bakın.