Polens Urząd Ochrony Danych Osobowych (UODO) — databeskyttelsesmyndigheden, der håndhæver RODO (det polske navn for GDPR) — identificerede et systemisk teknisk hul i sin håndhævelsesundersøgelse for 2024: 89% af PII-værktøjer, der er implementeret i polske organisationer, fejler i at registrere PESEL-nummeret korrekt. For et land, der dagligt behandler 2,3 millioner EU-kunderegistre gennem sin BPO-sektor, skaber dette hul en overholdelseseksponering, der spænder over UODO's jurisdiktion og databeskyttelsesmyndighederne i hvert EU-land, hvis borgeres data polske organisationer håndterer.
PESEL: Den tekniske standard, UODO kræver
PESEL (Powszechny Elektroniczny System Ewidencji Ludności) er et 11-cifret nationalt befolkningsregisternummer, der koder:
- Cifre 1-2: Fødselsår (de sidste to cifre)
- Cifre 3-4: Fødselsmåned (ændret af århundrede: 1800'erne = 80+måned, 1900'erne = måned som den er, 2000'erne = 20+måned, 2100'erne = 40+måned, 2200'erne = 60+måned)
- Cifre 5-6: Fødselsdag
- Cifre 7-10: Sekventielt nummer (ulige nummer for mænd, lige for kvinder)
- Cifret 11: Tjekciffer ved hjælp af algoritme: multiplicer cifre med vægte (1,3,7,9,1,3,7,9,1,3), sum, modulo 10, hvis resultat ≠ 0 træk fra 10
Århundrede-måned kodningen (80+måned for fødsler i 1800'erne, 20+måned for fødsler i 2000'erne) er unik for PESEL og forårsager systematiske falske negative i værktøjer, der kun genkender standardformatet fra 1900'erne.
UODO's tekniske krav: værktøjer skal implementere hele tjekcifferalgoritmen og håndtere alle fem århundrede-måned kodninger. Værktøjer, der kun validerer formatet for fødselsår i 1900'erne, overser polakker født i 2000'erne (som bruger månedskoder 21-32 i stedet for 01-12) — den 25-årige demografiske gruppe, der er mest aktiv i digitale tjenester.
NIP og REGON: Hullet i forretningsdokumenter
NIP (Numer Identyfikacji Podatkowej): 10-cifret polsk skatteidentifikationsnummer med tjekciffer. Tjekcifferet bruger en vægtet sum-algoritme: multiplicer de første 9 cifre med vægte (6,5,7,2,3,4,5,6,7), sum, modulo 11, tjek mod cifret 10.
NIP fremgår i næsten hvert polsk forretningsdokument — fakturaer, kontrakter, skatteindberetninger, lønregistre. Det er både en individuel (NIP osoby fizycznej) og forretnings (NIP podmiotu) identifikator.
REGON: 9-cifret eller 14-cifret virksomhedens statistiske nummer. 9-cifret REGON bruger en tjekcifferalgoritme; 14-cifret REGON (der identificerer specifikke virksomhedsenheder) bruger en anden algoritme. Begge fremgår i forretningskontrakter og leverandørdokumentation.
Kombinationen af NIP og REGON i forretningsdokumenter, sammen med personlige identifikatorer som PESEL i HR-optegnelser, betyder, at omfattende polsk PII-detektion kræver støtte til alle tre identifikatortyper samtidig.
Polens BPO-sektor: Den fordoblede overholdelseseksponering
Polens business process outsourcing-sektor behandler persondata på vegne af vestlige europæiske virksomheder:
- Tyske bankkunders finansielle optegnelser håndteres af polske behandlingscentre
- Franske forsikringstageres krav behandles i polske shared service-centre
- Britiske sundhedsadministrative data behandles af polske digitale sundheds-back-office-teams
Når en polsk BPO-organisation fejler i at registrere PESEL i en fil med polske medarbejderregistre — eller fejler i at registrere tyske Steuer-IDs i tyske kunderegistre, der behandles sammen med polske data — skaber overtrædelsen samtidig eksponering for:
- UODO (polsk DPA): For utilstrækkelige tekniske foranstaltninger, der påvirker polske statsborgeres data
- BfDI/Landesdatenschutzbehörden: For utilstrækkelige tekniske foranstaltninger, der påvirker tyske statsborgeres data
- CNIL: For franske statsborgeres data
- ICO: For britiske statsborgeres data
Multi-jurisdiktion RODO-overholdelse kræver PII-værktøjer, der dækker alle nationale identifikatorer til stede i behandlingsmiljøet — ikke kun polske identifikatorer for polske BPO-organisationer, men hele EU's identifikatorlandskab for organisationer, der håndterer EU-borgerdata i Polen.
Kilder: