UODO Polen: PESEL, NIP en RODO-naleving
Bijgewerkt voor 2026
Wat is UODO?
UODO is de Poolse gegevensbeschermingsautoriteit. De volledige naam is Urząd Ochrony Danych Osobowych. Ze handhaaft RODO — de Poolse naam voor de AVG.
In 2024 voerde de autoriteit een handhavingsonderzoek uit. De bevinding was schokkend: 89% van de PII-tools die organisaties in Polen gebruiken, detecteert PESEL niet correct.
Polen is een belangrijk BPO-knooppunt. Het verwerkt dagelijks 2,3 miljoen EU-klantgegevens. Dat hiaat creëert reële risico's. Het raakt de jurisdictie van de autoriteit. Het raakt ook elke EU-toezichthouder waarvan de burgers worden verwerkt door Poolse bedrijven. Zie onze AVG-nalevingsgids voor bredere context.
PESEL: de technische standaard
PESEL staat voor Powszechny Elektroniczny System Ewidencji Ludności. Het is een 11-cijferig nationaal identificatienummer. Het codeert vijf gegevensvelden:
- Cijfers 1–2: Laatste twee cijfers van het geboortejaar
- Cijfers 3–4: Geboorteperiodecode (zie hieronder)
- Cijfers 5–6: Geboortedag
- Cijfers 7–10: Volgnummer (oneven = man, even = vrouw)
- Cijfer 11: Controlecijfer
Het controlecijfer maakt gebruik van een gewogen som. Vermenigvuldig de eerste tien cijfers met gewichten (1, 3, 7, 9, 1, 3, 7, 9, 1, 3). Tel de producten op. Neem modulo 10. Een uitkomst van nul betekent dat het controlecijfer klopt. Een uitkomst die niet nul is, betekent dat het nummer ongeldig is.
Het probleem met de geboorteperiodecode
Cijfers 3–4 coderen zowel de geboorteperiode als de eeuw. De autoriteit vereist ondersteuning voor alle vijf bereiken:
| Eeuw | Codereeks |
|---|---|
| 1800-er | 81–92 |
| 1900-er | 01–12 |
| 2000-er | 21–32 |
| 2100-er | 41–52 |
| 2200-er | 61–72 |
De meeste tools ondersteunen alleen het bereik van de 1900-er. Ze missen iedereen die na 1999 is geboren. Codes 21–32 vervangen 01–12 voor geboorten na 1999. Dit treft de digitaal meest actieve leeftijdsgroep. De volledige vijf-bereik-controle is een kernvereiste voor naleving.
NIP en REGON: bedrijfsidentifiers
NIP (Numer Identyfikacji Podatkowej) is een 10-cijferig belasting-ID. Het verschijnt op facturen, contracten en loonstroken. Vermenigvuldig de eerste negen cijfers met gewichten (6, 5, 7, 2, 3, 4, 5, 6, 7). Neem modulo 11. Dat geeft het controlecijfer.
NIP bestaat in twee vormen: persoonlijk (NIP osoby fizycznej) en zakelijk (NIP podmiotu).
REGON is een statistisch bedrijfsnummer. Het bestaat in varianten van 9 en 14 cijfers. Elk gebruikt een eigen controle-algoritme. REGON verschijnt in contracten en leveranciersdocumenten.
HR-dossiers bevatten vaak PESEL naast NIP en REGON. Volledige naleving vereist detectie van alle drie typen. Zie onze pagina over beveiliging en naleving voor technische details over beveiligingsmaatregelen.
De multi-jurisdictionele blootstelling van BPO
BPO-bedrijven in Polen verwerken gegevens voor West-Europese klanten:
- Gegevens van klanten van een Duitse bank, verwerkt in Warschau
- Franse verzekeringsschadeclaims, verwerkt in Krakau
- Britse gezondheidsdata, beheerd door back-officeteams in Wrocław
Een detectiefout leidt tot gelijktijdige blootstelling aan vier toezichthouders:
- UODO — voor ontoereikende maatregelen die Poolse betrokkenen treffen
- BfDI / Landesdatenschutzbehörden — voor gegevens van Duitse burgers
- CNIL — voor gegevens van Franse burgers
- ICO — voor gegevens van Britse burgers
Grensoverschrijdende naleving vereist tools die de volledige set EU-identifiers dekt. PESEL, NIP en REGON zijn de lokale basislijn. Duits Steuer-ID, Frans NIR en Nederlands BSN zijn ook nodig wanneer die records in scope zijn. Elk nationaal ID heeft zijn eigen formaat en controlelogica. Tools die één identifier missen, creëren gaten. Zie onze meertalige PII-detectiegids voor EU-entiteitsdekking in alle lidstaten.