anonym.legal

By · Last updated 2026-05-18

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

UODO ja Puolan RODO: Miksi PESEL, NIP ja REGON ovat...

UODO havaitsi, että 89 % käytössä olevista työkaluista ei tunnista Puolan PESEL-numeroa oikein.

May 18, 20267 min lukuaika
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Puolan Urząd Ochrony Danych Osobowych (UODO) — tietosuojaviranomainen, joka valvoo RODOa (Puolan nimi GDPR:lle) — tunnisti systeemisen teknisen aukon vuoden 2024 valvontatutkimuksessaan: 89 % Puolan organisaatioissa käytössä olevista PII-työkaluista ei tunnista PESEL-numeroa oikein. Maassa, joka käsittelee päivittäin 2,3 miljoonaa EU-asiakastietoa BPO-sektorinsa kautta, tämä aukko luo vaatimustenmukaisuuden altistumisen, joka ulottuu UODO:n toimivaltaan ja jokaisen EU-maan tietosuojaviranomaisiin, joiden kansalaisten tietoja Puolan organisaatiot käsittelevät.

PESEL: Tekninen standardi, jota UODO vaatii

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) on 11-numeroinen kansallinen väestörekisterinumero, joka koodaa:

  • Numerot 1-2: Syntymävuosi (viimeiset kaksi numeroa)
  • Numerot 3-4: Syntymäkuukausi (muokattu vuosisadasta: 1800-luku = 80+kuukausi, 1900-luku = kuukausi sellaisenaan, 2000-luku = 20+kuukausi, 2100-luku = 40+kuukausi, 2200-luku = 60+kuukausi)
  • Numerot 5-6: Syntymäpäivä
  • Numerot 7-10: Peräkkäinen numero (pariton numero miehille, parillinen naisille)
  • Numero 11: Tarkistusnumero käyttäen algoritmia: kerro numeroita painoilla (1,3,7,9,1,3,7,9,1,3), summa, modulo 10, jos tulos ≠ 0, vähennä 10:stä

Vuosisata-kuukausi koodaus (80+kuukausi 1800-luku syntymille, 20+kuukausi 2000-luku syntymille) on ainutlaatuinen PESELille ja aiheuttaa systemaattisia vääriä negatiivisia tuloksia työkaluissa, jotka tunnistavat vain standardin 1900-luvun muodon.

UODO:n tekninen vaatimus: työkalujen on toteutettava koko tarkistusnumeroalgoritmi ja käsiteltävä kaikki viisi vuosisata-kuukausi koodausta. Työkalut, jotka vain validoivat 1900-luvun syntymävuoden muotoa, jättävät huomiotta 2000-luvulla syntyneet puolalaiset (jotka käyttävät kuukausikoodeja 21-32 sen sijaan, että 01-12) — 25-vuotiaat demografiset, jotka ovat aktiivisimpia digitaalisissa palveluissa.

NIP ja REGON: Liiketoimintasiakirjojen aukko

NIP (Numer Identyfikacji Podatkowej): 10-numeroinen Puolan verotunnistusnumero tarkistusnumerolla. Tarkistusnumero käyttää painotettua summa-algoritmia: kerro ensimmäiset 9 numeroa painoilla (6,5,7,2,3,4,5,6,7), summa, modulo 11, tarkista numerosta 10.

NIP esiintyy käytännössä jokaisessa Puolan liiketoimintasiakirjassa — laskuissa, sopimuksissa, verotuksessa, palkkalistoissa. Se on sekä yksilöllinen (NIP osoby fizycznej) että liiketoiminta (NIP podmiotu) tunniste.

REGON: 9-numeroinen tai 14-numeroinen yrityksen tilastollinen numero. 9-numeroisessa REGONissa käytetään yhtä tarkistusnumeroalgoritmia; 14-numeroisessa REGONissa (tunnistamaan tiettyjä yritysyksiköitä) käytetään eri algoritmia. Molemmat esiintyvät liiketoimintasopimuksissa ja toimittajasiakirjoissa.

NIP:n ja REGONin yhdistelmä liiketoimintasiakirjoissa, yhdessä henkilökohtaisten tunnisteiden kuten PESELin kanssa HR-tiedoissa, tarkoittaa, että kattava Puolan PII-tunnistus vaatii tukea kaikille kolmelle tunnistetyypille samanaikaisesti.

Puolan BPO-sektori: Moninkertainen vaatimustenmukaisuuden altistuminen

Puolan liiketoimintaprosessien ulkoistussektori käsittelee henkilötietoja Länsi-Euroopan yritysten puolesta:

  • Saksalaisten pankkien asiakkaiden taloudelliset tiedot, joita käsitellään Puolan käsittelykeskuksissa
  • Ranskalaisten vakuutuksenottajien vaatimukset, joita käsitellään Puolan yhteispalvelukeskuksissa
  • Ison-Britannian terveydenhuollon hallinnolliset tiedot, joita käsitellään Puolan digitaalisen terveydenhuollon taustatiimeissä

Kun Puolan BPO-organisaatio ei havaitse PESELia Puolan työntekijätietojen tiedostossa — tai ei havaitse saksalaisia Steuer-ID:itä saksalaisten asiakastietojen joukossa, joita käsitellään yhdessä Puolan tietojen kanssa — rikkomus luo samanaikaisen altistumisen:

  1. UODO (Puolan DPA): Puolan kansalaisten tietojen riittämättömät tekniset toimenpiteet
  2. BfDI/Landesdatenschutzbehörden: Saksalaisten kansalaisten tietojen riittämättömät tekniset toimenpiteet
  3. CNIL: Ranskalaisten kansalaisten tiedot
  4. ICO: Ison-Britannian kansalaisten tiedot

Monivaltioisen RODO-vaatimustenmukaisuuden saavuttaminen edellyttää PII-työkaluja, jotka kattavat kaikki kansalliset tunnisteet, jotka ovat läsnä käsittelyympäristössä — ei vain Puolan tunnisteita Puolan BPO-organisaatioille, vaan koko EU:n tunnistelaajuus organisaatioille, jotka käsittelevät EU-kansalaisten tietoja Puolassa.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.