anonym.legal
Назад към блогаGDPR и съответствие

UODO и полски RODO: Защо PESEL, NIP и REGON са...

UODO установи, че 89% от внедрените инструменти не успяват да открият правилно полския PESEL.

April 21, 20267 мин. четене
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Полският Urząd Ochrony Danych Osobowych (UODO) — органът за защита на данните, който прилага RODO (полското име на GDPR) — идентифицира системна техническа празнота в своето проучване за прилагане през 2024 г.: 89% от инструментите за лична информация, внедрени в полски организации, не успяват да открият правилно PESEL номер. За държава, обработваща ежедневно 2,3 милиона записа на клиенти в ЕС чрез своя BPO сектор, тази празнина създава излагане на съответствие, което обхваща юрисдикцията на UODO и DPA на всяка държава от ЕС, чиито данни на граждани обработват полските организации.

PESEL: Техническият стандарт UODO изисква

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) е 11-цифрен номер на националния регистър на населението, кодиращ:

  • Цифри 1-2: Година на раждане (последните две цифри)
  • Цифри 3-4: Месец на раждане (променен по век: 1800s = 80+месец, 1900s = месец, какъвто е, 2000s = 20+месец, 2100s = 40+месец, 2200s = 60+месец)
  • Цифри 5-6: Рожден ден
  • Цифри 7-10: Пореден номер (нечетен номер за мъже, четен за жени)
  • Цифра 11: Проверете цифрата с помощта на алгоритъм: умножете цифрите по тегла (1,3,7,9,1,3,7,9,1,3), сума, модул 10, ако резултатът е ≠ 0, извадете от 10

Кодирането за вековни месеци (80+месец за раждания от 1800 г., 20+месец за раждания от 2000 г.) е уникално за PESEL и причинява систематични фалшиви отрицания в инструменти, които разпознават само стандартния формат от 1900 г.

Техническото изискване на UODO: инструментите трябва да прилагат пълния алгоритъм за контролна цифра и да обработват всичките пет кодирания на вековни месеци. Инструментите, които валидират само формата на годината на раждане през 1900 г., пропускат поляците, родени през 2000 г. (които използват кодове на месеци 21-32 вместо 01-12) – 25-годишната демографска група, която е най-активна в цифровите услуги.

NIP и REGON: Пропускът в бизнес документа

NIP (Numer Identyfikacji Podatkowej): 10-цифрен полски данъчен идентификационен номер с контролна цифра. Контролната цифра използва алгоритъм за претеглена сума: умножете първите 9 цифри по тегла (6,5,7,2,3,4,5,6,7), сума, модул 11, проверете спрямо цифра 10.

NIP се появява на практика във всеки полски бизнес документ — фактури, договори, данъчни декларации, ведомости за заплати. Той е едновременно индивидуален (NIP osoby fizycznej) и бизнес (NIP podmiotu) идентификатор.

REGON: 9-цифрен или 14-цифрен статистически номер на предприятието. 9-цифрен REGON използва алгоритъм с една контролна цифра; 14-цифрен REGON (идентифициране на конкретни фирмени единици) използва различен алгоритъм. И двете фигурират в бизнес договорите и документацията на доставчика.

Комбинацията от NIP и REGON в бизнес документи, заедно с лични идентификатори като PESEL в HR записи, означава, че цялостното откриване на полски PII изисква поддръжка и за трите типа идентификатори едновременно.

BPO секторът на Полша: Умноженото излагане на съответствие

Секторът за аутсорсинг на бизнес процеси в Полша обработва лични данни от името на западноевропейски компании:

  • Финансови записи на клиенти на немски банки, обработвани от полски центрове за обработка
  • Искове на притежатели на френски застрахователни полици, обработени в полски центрове за споделени услуги
  • Административни данни за здравеопазването в Обединеното кралство, обработени от полски екипи за дигитално здравеопазване

Когато полска BPO организация не успее да открие PESEL във файл с записи на полски служители — или не успее да открие немски Steuer-ID в немски клиентски записи, обработвани заедно с полски данни — нарушението създава едновременно излагане на:

  1. UODO (полски DPA): За неадекватни технически мерки, засягащи данните на полски граждани
  2. BfDI/Landesdatenschutzbehörden: За неадекватни технически мерки, засягащи данните на германски граждани
  3. CNIL: За данни на френски граждани
  4. ICO: За данни на гражданите на Обединеното кралство

Съответствието с много юрисдикции RODO изисква инструменти за лична информация, които обхващат всички национални идентификатори, присъстващи в обработващата среда — не само полски идентификатори за полски BPO организации, но пълния пейзаж на идентификатори в ЕС за организации, обработващи данни на граждани на ЕС в Полша.

Източници:

Свързани статии

GDPR и съответствие

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и съответствие

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и съответствие

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции