anonym.legal

By · Last updated 2026-05-18

Назад към блогаGDPR и съответствие

UODO и полски RODO: Защо PESEL, NIP и REGON са...

UODO установи, че 89% от внедрените инструменти не успяват да открият правилно полския PESEL.

May 18, 20267 мин. четене
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Полският Urząd Ochrony Danych Osobowych (UODO) — органът за защита на данните, който прилага RODO (полското име на GDPR) — идентифицира системна техническа празнота в своето проучване за прилагане през 2024 г.: 89% от инструментите за лична информация, внедрени в полски организации, не успяват да открият правилно PESEL номер. За държава, обработваща ежедневно 2,3 милиона записа на клиенти в ЕС чрез своя BPO сектор, тази празнина създава излагане на съответствие, което обхваща юрисдикцията на UODO и DPA на всяка държава от ЕС, чиито данни на граждани обработват полските организации.

PESEL: Техническият стандарт UODO изисква

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) е 11-цифрен номер на националния регистър на населението, кодиращ:

  • Цифри 1-2: Година на раждане (последните две цифри)
  • Цифри 3-4: Месец на раждане (променен по век: 1800s = 80+месец, 1900s = месец, какъвто е, 2000s = 20+месец, 2100s = 40+месец, 2200s = 60+месец)
  • Цифри 5-6: Рожден ден
  • Цифри 7-10: Пореден номер (нечетен номер за мъже, четен за жени)
  • Цифра 11: Проверете цифрата с помощта на алгоритъм: умножете цифрите по тегла (1,3,7,9,1,3,7,9,1,3), сума, модул 10, ако резултатът е ≠ 0, извадете от 10

Кодирането за вековни месеци (80+месец за раждания от 1800 г., 20+месец за раждания от 2000 г.) е уникално за PESEL и причинява систематични фалшиви отрицания в инструменти, които разпознават само стандартния формат от 1900 г.

Техническото изискване на UODO: инструментите трябва да прилагат пълния алгоритъм за контролна цифра и да обработват всичките пет кодирания на вековни месеци. Инструментите, които валидират само формата на годината на раждане през 1900 г., пропускат поляците, родени през 2000 г. (които използват кодове на месеци 21-32 вместо 01-12) – 25-годишната демографска група, която е най-активна в цифровите услуги.

NIP и REGON: Пропускът в бизнес документа

NIP (Numer Identyfikacji Podatkowej): 10-цифрен полски данъчен идентификационен номер с контролна цифра. Контролната цифра използва алгоритъм за претеглена сума: умножете първите 9 цифри по тегла (6,5,7,2,3,4,5,6,7), сума, модул 11, проверете спрямо цифра 10.

NIP се появява на практика във всеки полски бизнес документ — фактури, договори, данъчни декларации, ведомости за заплати. Той е едновременно индивидуален (NIP osoby fizycznej) и бизнес (NIP podmiotu) идентификатор.

REGON: 9-цифрен или 14-цифрен статистически номер на предприятието. 9-цифрен REGON използва алгоритъм с една контролна цифра; 14-цифрен REGON (идентифициране на конкретни фирмени единици) използва различен алгоритъм. И двете фигурират в бизнес договорите и документацията на доставчика.

Комбинацията от NIP и REGON в бизнес документи, заедно с лични идентификатори като PESEL в HR записи, означава, че цялостното откриване на полски PII изисква поддръжка и за трите типа идентификатори едновременно.

BPO секторът на Полша: Умноженото излагане на съответствие

Секторът за аутсорсинг на бизнес процеси в Полша обработва лични данни от името на западноевропейски компании:

  • Финансови записи на клиенти на немски банки, обработвани от полски центрове за обработка
  • Искове на притежатели на френски застрахователни полици, обработени в полски центрове за споделени услуги
  • Административни данни за здравеопазването в Обединеното кралство, обработени от полски екипи за дигитално здравеопазване

Когато полска BPO организация не успее да открие PESEL във файл с записи на полски служители — или не успее да открие немски Steuer-ID в немски клиентски записи, обработвани заедно с полски данни — нарушението създава едновременно излагане на:

  1. UODO (полски DPA): За неадекватни технически мерки, засягащи данните на полски граждани
  2. BfDI/Landesdatenschutzbehörden: За неадекватни технически мерки, засягащи данните на германски граждани
  3. CNIL: За данни на френски граждани
  4. ICO: За данни на гражданите на Обединеното кралство

Съответствието с много юрисдикции RODO изисква инструменти за лична информация, които обхващат всички национални идентификатори, присъстващи в обработващата среда — не само полски идентификатори за полски BPO организации, но пълния пейзаж на идентификатори в ЕС за организации, обработващи данни на граждани на ЕС в Полша.

Източници:

Свързани статии

GDPR и съответствие

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и съответствие

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и съответствие

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.