UODO Польща: більше штрафів GDPR, ніж Франція
Оновлено у 2026 році
Польща демонструє непропорційно великий вплив
Польський орган захисту даних — це Urząd Ochrony Danych Osobowych (UODO). У 2023 році він видав 47 штрафів GDPR. Загальна сума: €2,8 мільйона. За той самий рік він розглянув 8 234 скарги. Розрахунково на душу населення цей показник штрафів перевищує Францію, Німеччину та більшість західних країн.
Для компаній у Польщі це є реальним поточним ризиком — а не просто паперовою вимогою.
Чому Польща застосовує санкції активніше, ніж Захід
Культура скарг. Польща налічує 38 мільйонів людей із сильними цифровими правами. Правозахисні групи подають великі обсяги скарг. Орган щороку розглядає тисячі справ.
Ризики BPO-сектора. Польща є провідним аутсорсинговим центром ЄС. Польські кол-центри обробляють дані клієнтів із Німеччини, Франції, Великобританії та Нідерландів. Кожен потік даних створює два ризики: дії польського DPA та дії головного DPA постраждалих громадян.
Витоки у сфері охорони здоров'я. Повідомлення про медичні дані зросли на 45% у 2024 році. Медичні дані є особливою категорією згідно зі Статтею 9 GDPR. Це означає підвищений ризик штрафів для медичних процесорів.
Відсутність документації. У 34% польських компаній відсутній Реєстр діяльності з обробки (ROPA). Аудитори перевіряють його насамперед. Відсутній ROPA веде до більш глибокої перевірки.
Проблема PESEL
PESEL — це польський 11-значний національний ідентифікаційний номер. Цифри 1–6 кодують дату народження. Цифри 7–10 — порядковий номер. Остання цифра — контрольна. Вона розраховується за зваженою формулою Міністерства цифрового розвитку Польщі.
Генеричні інструменти PII не справляються з PESEL у двох аспектах.
Збій розпізнавання шаблону. Більшість інструментів знають формати ідентифікаторів США або Великобританії. Американський номер соціального страхування має 9 цифр. Британський номер NI буквено-цифровий. 11-значний формат PESEL відсутній у їхніх базах. Вони його пропускають.
Збій валідації. Навіть коли інструмент розпізнає 11 цифр, він не може підтвердити контрольну цифру. Це призводить до хибнопозитивних та хибнонегативних результатів. Справжні PESEL із переставленими цифрами проходять повз.
PESEL з'являється майже в кожному польському документі: медичних записах, кадрових файлах, податкових формах та страхових полісах. Його пропуск залишає головний ідентифікатор незахищеним.
89% інструментів PII, протестованих на польських документах, не виявляють PESEL правильно.
Інші польські ідентифікатори, що пропускають інструменти
NIP (Numer Identyfikacji Podatkowej). 10-значний податковий ідентифікатор із зваженою контрольною сумою. Зустрічається в рахунках-фактурах, договорах та трудових записах.
REGON. 9-значний або 14-значний реєстраційний номер підприємства для всіх польських компаній. З'являється в документах постачальників та покупців.
Dowód osobisty. Польське посвідчення особи у форматі XXX NNNNNN — три літери, потім шість цифр — із власним правилом контрольної цифри. Обов'язковий для банківських, медичних та державних ідентифікаційних перевірок.
Всі три мають аналогічні прогалини, що й PESEL.
Пріоритети правозастосування 2024–2025 рр.
Медичні дані. Повідомлення про витоки від медичних організацій зросли на 45% у 2024 році. Проводяться проактивні аудити. Поширені висновки: слабкий контроль доступу, відсутність шифрування та відсутні оцінки впливу на захист даних (DPIA).
Моніторинг працівників. Дистанційна робота спонукала багато компаній додати кейлогери та запис екрану. Більшість із них порушують правила обмеження мети GDPR. Справи щодо даних працівників становлять 28% від усіх дій з правозастосування.
Ланцюжки субпроцесорів. Аутсорсинговий сектор Польщі використовує складні мережі вендорів. Аудити виявляють відсутні Угоди про обробку даних (DPA) між головними процесорами та субпроцесорами. Інструменти субпроцесорів також повинні відповідати стандартам Статті 32 GDPR.
Технічні заходи, що витримують аудит
Рішення про правозастосування вказують на три необхідні засоби контролю.
Шифрування. Усі персональні дані повинні бути зашифровані у стані збереження та під час передачі. Тільки засоби контролю доступу недостатні. Компанії, що покладаються лише на правила доступу, були оштрафовані.
Задокументована анонімізація. Компанії, що стверджують, що дані є анонімними, повинні це довести. Орган хоче технічних доказів того, що ре-ідентифікація неможлива.
Покриття виявлення PII. Засоби захисту повинні охоплювати польські ідентифікатори. PESEL із перевіркою контрольної суми, NIP, REGON та dowód osobisty мають бути виявлювані. Інструменти, навчені на англійській мові, не відповідають цій вимозі.
Польський BPO-сектор щодня обробляє 2,3 мільйона записів клієнтів ЄС. Компанії без польсько-специфічного виявлення PII несуть значний ризик штрафів — як від національного DPA, так і від головних DPA в усьому ЄС.
Наш посібник із відповідності GDPR охоплює потреби в документації. Наш огляд відповідності вимогам безпеки пояснює технічні засоби контролю. Для багатомовного виявлення PII дивіться наш посібник з багатомовного виявлення PII.