anonym.legal
Назад к блогуGDPR и соблюдение

UODO и польское RODO: почему PESEL, NIP и REGON...

UODO установило, что 89% развёрнутых инструментов не распознают польский PESEL корректно. Польша обрабатывает 2,3 млн записей клиентов ЕС ежедневно.

April 21, 20267 мин чтения
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Польское Управление по защите персональных данных (Urząd Ochrony Danych Osobowych, UODO) — орган, применяющий RODO (польское название GDPR), — выявило системный технический пробел в ходе опроса по правоприменению 2024 года: 89% инструментов PII, развёрнутых в польских организациях, некорректно обнаруживают номер PESEL. Для страны, обрабатывающей 2,3 миллиона записей клиентов ЕС ежедневно через свой BPO-сектор, этот пробел создаёт риски несоответствия под юрисдикцией UODO и органов по защите данных каждой страны ЕС, чьи граждане передают свои данные польским организациям.

PESEL: технический стандарт, которого требует UODO

PESEL (Powszechny Elektroniczny System Ewidencji Ludności) — 11-значный номер национального реестра населения, кодирующий:

  • Цифры 1–2: год рождения (последние две цифры)
  • Цифры 3–4: месяц рождения (модифицирован по веку: 1800-е = 80+месяц, 1900-е = месяц как есть, 2000-е = 20+месяц, 2100-е = 40+месяц, 2200-е = 60+месяц)
  • Цифры 5–6: день рождения
  • Цифры 7–10: порядковый номер (нечётный для мужчин, чётный для женщин)
  • Цифра 11: контрольная цифра по алгоритму: умножить цифры на веса (1,3,7,9,1,3,7,9,1,3), суммировать, взять по модулю 10; если результат ≠ 0, вычесть из 10

Кодирование века-месяца (80+месяц для рождённых в 1800-е, 20+месяц для рождённых в 2000-е) уникально для PESEL и вызывает систематические ложные отрицания в инструментах, распознающих только стандартный формат 1900-х годов.

Техническое требование UODO: инструменты должны реализовывать полный алгоритм контрольной цифры и обрабатывать все пять кодировок века-месяца. Инструменты, проверяющие только год рождения в формате 1900-х, пропускают поляков, рождённых в 2000-е (использующих коды месяцев 21–32 вместо 01–12) — 25-летнюю демографическую группу, наиболее активную в цифровых сервисах.

NIP и REGON: пробел в деловых документах

NIP (Numer Identyfikacji Podatkowej): 10-значный польский налоговый идентификационный номер с контрольной цифрой. Алгоритм контрольной цифры: умножить первые 9 цифр на веса (6,5,7,2,3,4,5,6,7), суммировать, взять по модулю 11, сравнить с цифрой 10.

NIP фигурирует практически в каждом польском деловом документе — счетах-фактурах, договорах, налоговых декларациях, платёжных ведомостях. Это как индивидуальный (NIP osoby fizycznej), так и корпоративный (NIP podmiotu) идентификатор.

REGON: 9-значный или 14-значный статистический номер предприятия. 9-значный REGON использует один алгоритм контрольной цифры; 14-значный REGON (идентифицирующий конкретные подразделения компании) — другой. Оба встречаются в деловых договорах и документации поставщиков.

Сочетание NIP и REGON в деловых документах рядом с личными идентификаторами, такими как PESEL в кадровых записях, означает, что комплексное обнаружение польских персональных данных требует поддержки всех трёх типов идентификаторов одновременно.

BPO-сектор Польши: умноженный риск несоответствия

Польский сектор аутсорсинга бизнес-процессов обрабатывает персональные данные в интересах западноевропейских компаний:

  • Финансовые записи немецких банковских клиентов, обрабатываемые польскими процессинговыми центрами
  • Страховые претензии французских держателей полисов, обрабатываемые в польских центрах совместного обслуживания
  • Административные данные здравоохранения Великобритании, обрабатываемые польскими командами цифрового медицинского бэк-офиса

Когда польская BPO-организация не обнаруживает PESEL в файле польских кадровых записей — или не обнаруживает немецкие Steuer-IDs в немецких записях клиентов, обрабатываемых вместе с польскими данными, — нарушение создаёт одновременный риск:

  1. UODO (польский орган по защите данных): за недостаточные технические меры, затрагивающие данные польских граждан
  2. BfDI/Landesdatenschutzbehörden: за недостаточные технические меры, затрагивающие данные немецких граждан
  3. CNIL: за данные французских граждан
  4. ICO: за данные граждан Великобритании

Соответствие RODO в нескольких юрисдикциях требует инструментов PII, охватывающих все национальные идентификаторы, присутствующие в среде обработки, — не только польские идентификаторы для польских BPO-организаций, но и полный спектр идентификаторов ЕС для организаций, обрабатывающих данные граждан ЕС в Польше.

Источники:

Связанные статьи

GDPR и соблюдение

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и соблюдение

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и соблюдение

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готовы защитить ваши данные?

Начните анонимизацию PII с 285+ типов сущностей на 48 языках.

Начать бесплатный пробный периодПосмотреть функции