Polens Urząd Ochrony Danych Osobowych (UODO) — databeskyttelsesmyndigheten som håndhever RODO (det polske navnet for GDPR) — identifiserte et systemisk teknisk gap i sin håndhevelsesundersøkelse for 2024: 89 % av PII-verktøyene som er implementert i polske organisasjoner, klarer ikke å oppdage PESEL-nummeret korrekt. For et land som behandler 2,3 millioner EU-kunderegistreringer daglig gjennom sin BPO-sektor, skaper dette gapet samsvarsrisiko som strekker seg over UODOs jurisdiksjon og databeskyttelsesmyndighetene i hvert EU-land hvis borgeres data polske organisasjoner håndterer.
PESEL: Den tekniske standarden UODO krever
PESEL (Powszechny Elektroniczny System Ewidencji Ludności) er et 11-sifret nasjonalt befolkningsregisternummer som koder:
- Siffer 1-2: Fødselsår (de to siste sifrene)
- Siffer 3-4: Fødselsmåned (modifisert av århundre: 1800-tallet = 80+måned, 1900-tallet = måned som den er, 2000-tallet = 20+måned, 2100-tallet = 40+måned, 2200-tallet = 60+måned)
- Siffer 5-6: Fødselsdag
- Siffer 7-10: Sekvensnummer (odde tall for menn, jevne for kvinner)
- Siffer 11: Sjekksiffer ved hjelp av algoritme: multipliser sifrene med vekter (1,3,7,9,1,3,7,9,1,3), summer, modulo 10, hvis resultatet ≠ 0 trekk fra 10
Århundre-måned kodingen (80+måned for fødsler på 1800-tallet, 20+måned for fødsler på 2000-tallet) er unik for PESEL og forårsaker systematiske falske negative i verktøy som bare gjenkjenner standardformatet fra 1900-tallet.
UODOs tekniske krav: verktøy må implementere hele sjekksifferalgoritmen og håndtere alle fem århundre-måned kodene. Verktøy som bare validerer formatet for fødselsår fra 1900-tallet overser polakker født på 2000-tallet (som bruker månedskoder 21-32 i stedet for 01-12) — den 25-år gamle demografien som er mest aktiv i digitale tjenester.
NIP og REGON: Gapet i forretningsdokumenter
NIP (Numer Identyfikacji Podatkowej): 10-sifret polsk skatteidentifikasjonsnummer med sjekksiffer. Sjekksifferet bruker en vektet sumalgoritme: multipliser de første 9 sifrene med vekter (6,5,7,2,3,4,5,6,7), summer, modulo 11, sjekk mot siffer 10.
NIP vises i praktisk talt hvert polsk forretningsdokument — fakturaer, kontrakter, skatteinnleveringer, lønningslister. Det er både en individuell (NIP osoby fizycznej) og forretnings (NIP podmiotu) identifikator.
REGON: 9-sifret eller 14-sifret foretak statistisk nummer. 9-sifret REGON bruker en sjekksifferalgoritme; 14-sifret REGON (som identifiserer spesifikke selskapsenheter) bruker en annen algoritme. Begge vises i forretningskontrakter og leverandørdokumentasjon.
Kombinasjonen av NIP og REGON i forretningsdokumenter, sammen med personlige identifikatorer som PESEL i HR-poster, betyr at omfattende polsk PII-detektering krever støtte for alle tre identifikatortyper samtidig.
Polens BPO-sektor: Den multipliserte samsvarsrisikoen
Polens forretningsprosess outsourcing-sektor behandler personopplysninger på vegne av vest-europeiske selskaper:
- Tyske bankkunders finansielle opplysninger håndtert av polske behandlingssentre
- Franske forsikringspoliseholdere sine krav behandlet i polske delte tjenestesentre
- Britisk helsesektor administrativ data behandlet av polske digitale helse-backoffice-team
Når en polsk BPO-organisasjon ikke klarer å oppdage PESEL i en fil med polske ansattopplysninger — eller ikke klarer å oppdage tyske Steuer-IDs i tyske kundedata som behandles sammen med polske data — skaper bruddet samtidig eksponering for:
- UODO (Polsk DPA): For utilstrekkelige tekniske tiltak som påvirker polske statsborgeres data
- BfDI/Landesdatenschutzbehörden: For utilstrekkelige tekniske tiltak som påvirker tyske statsborgeres data
- CNIL: For franske statsborgeres data
- ICO: For britiske statsborgeres data
Multi-jurisdiksjon RODO-samsvar krever PII-verktøy som dekker alle nasjonale identifikatorer som er til stede i behandlingsmiljøet — ikke bare polske identifikatorer for polske BPO-organisasjoner, men hele EU-identifikatorlandskapet for organisasjoner som håndterer EU-borgerdata i Polen.
Kilder: