UODO פולין: PESEL, NIP ו-RODO

הרשות הפולנית להגנת נתונים Urząd Ochrony Danych Osobowych (UODO) — המאכפת את RODO (השם הפולני ל-GDPR) — זיהתה פער טכני מערכתי בסקר האכיפה שלה לשנת 2024: 89% מכלי PII הנפרסים בארגונים פולנים אינם מצליחים לזהות את מספר PESEL בצורה נכונה. עבור מדינה המעבדת 2.3 מיליון רשומות לקוחות מה-EU יומיומית דרך מגזר ה-BPO שלה, פער זה יוצר חשיפת תאימות המשתרעת על סמכות UODO ועל ה-DPA של כל מדינה ב-EU שנתוניה נמצאים בטיפול ארגוני פולניים.

PESEL: תקן טכני הנדרש על ידי UODO

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) הוא מספר רישום אוכלוסייה לאומי בן 11 ספרות המקודד:

• ספרות 1-2: שנת לידה (שתי ספרות אחרונות)
• ספרות 3-4: חודש לידה (משתנה לפי מאה: שנות 1800 = 80+חודש, שנות 1900 = חודש כפי שהוא, שנות 2000 = 20+חודש, שנות 2100 = 40+חודש, שנות 2200 = 60+חודש)
• ספרות 5-6: יום לידה
• ספרות 7-10: מספר רצפי (מספר אי-זוגי לגברים, זוגי לנשים)
• ספרה 11: ספרת ביקורת באמצעות אלגוריתם: הכפל ספרות במשקלים (1,3,7,9,1,3,7,9,1,3), סכם, מודולוס 10, אם התוצאה ≠ 0 הפחת מ-10

קידוד חודש המאה (80+חודש ללידות שנות 1800, 20+חודש ללידות שנות 2000) הוא ייחודי ל-PESEL וגורם לשלילים שגויים שיטתיים בכלים שמזהים רק את פורמט שנות 1900.

דרישת UODO טכנית: על הכלים ליישם את אלגוריתם ספרת הביקורת המלא ולטפל בכל חמשת קידודי חודשי המאה. כלים שמאמתים רק פורמט שנת לידה שנות 1900 מפספסים פולנים יוצאי שנות 2000 (שמשתמשים בקודי חודש 21-32 במקום 01-12) — הדמוגרפיה בגיל 25 הפעילה ביותר בשירותים דיגיטליים.

NIP ו-REGON: פער מסמכי העסקים

NIP (Numer Identyfikacji Podatkowej): מספר זיהוי מס פולני בן 10 ספרות עם ספרת ביקורת. ספרת הביקורת משתמשת באלגוריתם סכום משוקלל: הכפל 9 הספרות הראשונות במשקלים (6,5,7,2,3,4,5,6,7), סכם, מודולוס 11, בדוק אל מול ספרה 10.

NIP מופיע כמעט בכל מסמך עסקי פולני — חשבוניות, חוזים, הגשות מס, רשומות שכר. הוא גם מזהה פרטי (NIP osoby fizycznej) וגם עסקי (NIP podmiotu).

REGON: מספר סטטיסטי מפעל בן 9 ספרות או 14 ספרות. REGON בן 9 ספרות משתמש באלגוריתם ספרת ביקורת אחד; REGON בן 14 ספרות (המזהה יחידות חברה ספציפיות) משתמש באלגוריתם שונה. שניהם מופיעים בחוזים עסקיים ותיעוד ספקים.

שילוב NIP ו-REGON במסמכים עסקיים, לצד מזהים אישיים כמו PESEL ברשומות HR, פירושו שזיהוי PII פולני מקיף מצריך תמיכה בכל שלושת סוגי המזהים בו זמנית.

מגזר ה-BPO בפולין: חשיפת תאימות מוכפלת

מגזר עיבוד תהליכי העסק בפולין מעבד נתונים אישיים עבור חברות מערב אירופיות:

• רשומות פיננסיות של לקוחות בנקים גרמניים המטופלות על ידי מרכזי עיבוד פולניים
• תביעות של מחזיקי פוליסות ביטוח צרפתיות המעובדות במרכזי שירות משותפים פולניים
• נתונים מנהליים של בריאות בריטית המעובדים על ידי צוותי back-office בריאות דיגיטלית פולניים

כאשר ארגון BPO פולני אינו מצליח לזהות PESEL בקובץ של רשומות עובדים פולניים — או אינו מצליח לזהות Steuer-IDs גרמניים ברשומות לקוחות גרמניות המעובדות לצד נתונים פולניים — ההפרה יוצרת חשיפה בו זמנית ל:

1. UODO (DPA פולני): בגין אמצעים טכניים לא מספיקים המשפיעים על נתוני אזרחים פולניים
2. BfDI/Landesdatenschutzbehörden: בגין אמצעים טכניים לא מספיקים המשפיעים על נתוני אזרחים גרמניים
3. CNIL: בגין נתוני אזרחים צרפתיים
4. ICO: בגין נתוני אזרחים בריטיים

עמידה ב-RODO מרובת-סמכויות שיפוט דורשת כלי PII המכסים את כל המזהים הלאומיים הקיימים בסביבת העיבוד — לא רק מזהים פולניים לארגוני BPO פולניים, אלא את כל נוף מזהי ה-EU לארגונים המטפלים בנתוני אזרחי EU בפולין.

מקורות:

• UODO: Urząd Ochrony Danych Osobowych
• UODO: Technical Guidance on PESEL 2024