anonym.legal
Takaisin BlogiinGDPR & Vaatimustenmukaisuus

UODO ja Puolan RODO: Miksi PESEL, NIP ja REGON ovat...

UODO havaitsi, että 89 % käytössä olevista työkaluista ei tunnista Puolan PESEL-numeroa oikein.

April 21, 20267 min lukuaika
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Puolan Urząd Ochrony Danych Osobowych (UODO) — tietosuojaviranomainen, joka valvoo RODOa (Puolan nimi GDPR:lle) — tunnisti systeemisen teknisen aukon vuoden 2024 valvontatutkimuksessaan: 89 % Puolan organisaatioissa käytössä olevista PII-työkaluista ei tunnista PESEL-numeroa oikein. Maassa, joka käsittelee päivittäin 2,3 miljoonaa EU-asiakastietoa BPO-sektorinsa kautta, tämä aukko luo vaatimustenmukaisuuden altistumisen, joka ulottuu UODO:n toimivaltaan ja jokaisen EU-maan tietosuojaviranomaisiin, joiden kansalaisten tietoja Puolan organisaatiot käsittelevät.

PESEL: Tekninen standardi, jota UODO vaatii

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) on 11-numeroinen kansallinen väestörekisterinumero, joka koodaa:

  • Numerot 1-2: Syntymävuosi (viimeiset kaksi numeroa)
  • Numerot 3-4: Syntymäkuukausi (muokattu vuosisadasta: 1800-luku = 80+kuukausi, 1900-luku = kuukausi sellaisenaan, 2000-luku = 20+kuukausi, 2100-luku = 40+kuukausi, 2200-luku = 60+kuukausi)
  • Numerot 5-6: Syntymäpäivä
  • Numerot 7-10: Peräkkäinen numero (pariton numero miehille, parillinen naisille)
  • Numero 11: Tarkistusnumero käyttäen algoritmia: kerro numeroita painoilla (1,3,7,9,1,3,7,9,1,3), summa, modulo 10, jos tulos ≠ 0, vähennä 10:stä

Vuosisata-kuukausi koodaus (80+kuukausi 1800-luku syntymille, 20+kuukausi 2000-luku syntymille) on ainutlaatuinen PESELille ja aiheuttaa systemaattisia vääriä negatiivisia tuloksia työkaluissa, jotka tunnistavat vain standardin 1900-luvun muodon.

UODO:n tekninen vaatimus: työkalujen on toteutettava koko tarkistusnumeroalgoritmi ja käsiteltävä kaikki viisi vuosisata-kuukausi koodausta. Työkalut, jotka vain validoivat 1900-luvun syntymävuoden muotoa, jättävät huomiotta 2000-luvulla syntyneet puolalaiset (jotka käyttävät kuukausikoodeja 21-32 sen sijaan, että 01-12) — 25-vuotiaat demografiset, jotka ovat aktiivisimpia digitaalisissa palveluissa.

NIP ja REGON: Liiketoimintasiakirjojen aukko

NIP (Numer Identyfikacji Podatkowej): 10-numeroinen Puolan verotunnistusnumero tarkistusnumerolla. Tarkistusnumero käyttää painotettua summa-algoritmia: kerro ensimmäiset 9 numeroa painoilla (6,5,7,2,3,4,5,6,7), summa, modulo 11, tarkista numerosta 10.

NIP esiintyy käytännössä jokaisessa Puolan liiketoimintasiakirjassa — laskuissa, sopimuksissa, verotuksessa, palkkalistoissa. Se on sekä yksilöllinen (NIP osoby fizycznej) että liiketoiminta (NIP podmiotu) tunniste.

REGON: 9-numeroinen tai 14-numeroinen yrityksen tilastollinen numero. 9-numeroisessa REGONissa käytetään yhtä tarkistusnumeroalgoritmia; 14-numeroisessa REGONissa (tunnistamaan tiettyjä yritysyksiköitä) käytetään eri algoritmia. Molemmat esiintyvät liiketoimintasopimuksissa ja toimittajasiakirjoissa.

NIP:n ja REGONin yhdistelmä liiketoimintasiakirjoissa, yhdessä henkilökohtaisten tunnisteiden kuten PESELin kanssa HR-tiedoissa, tarkoittaa, että kattava Puolan PII-tunnistus vaatii tukea kaikille kolmelle tunnistetyypille samanaikaisesti.

Puolan BPO-sektori: Moninkertainen vaatimustenmukaisuuden altistuminen

Puolan liiketoimintaprosessien ulkoistussektori käsittelee henkilötietoja Länsi-Euroopan yritysten puolesta:

  • Saksalaisten pankkien asiakkaiden taloudelliset tiedot, joita käsitellään Puolan käsittelykeskuksissa
  • Ranskalaisten vakuutuksenottajien vaatimukset, joita käsitellään Puolan yhteispalvelukeskuksissa
  • Ison-Britannian terveydenhuollon hallinnolliset tiedot, joita käsitellään Puolan digitaalisen terveydenhuollon taustatiimeissä

Kun Puolan BPO-organisaatio ei havaitse PESELia Puolan työntekijätietojen tiedostossa — tai ei havaitse saksalaisia Steuer-ID:itä saksalaisten asiakastietojen joukossa, joita käsitellään yhdessä Puolan tietojen kanssa — rikkomus luo samanaikaisen altistumisen:

  1. UODO (Puolan DPA): Puolan kansalaisten tietojen riittämättömät tekniset toimenpiteet
  2. BfDI/Landesdatenschutzbehörden: Saksalaisten kansalaisten tietojen riittämättömät tekniset toimenpiteet
  3. CNIL: Ranskalaisten kansalaisten tiedot
  4. ICO: Ison-Britannian kansalaisten tiedot

Monivaltioisen RODO-vaatimustenmukaisuuden saavuttaminen edellyttää PII-työkaluja, jotka kattavat kaikki kansalliset tunnisteet, jotka ovat läsnä käsittelyympäristössä — ei vain Puolan tunnisteita Puolan BPO-organisaatioille, vaan koko EU:n tunnistelaajuus organisaatioille, jotka käsittelevät EU-kansalaisten tietoja Puolassa.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet