Polens Urząd Ochrony Danych Osobowych (UODO) — dataskyddsmyndigheten som verkställer RODO (den polska benämningen för GDPR) — identifierade en systematisk teknisk brist i sin efterlevnadsundersökning för 2024: 89% av PII-verktygen som implementerats i polska organisationer misslyckas med att korrekt upptäcka PESEL-nummer. För ett land som behandlar 2,3 miljoner EU-kundregister dagligen genom sin BPO-sektor skapar denna brist efterlevnadsrisk som sträcker sig över UODO:s jurisdiktion och dataskyddsmyndigheterna i varje EU-land vars medborgares data polska organisationer hanterar.
PESEL: Den tekniska standard som UODO kräver
PESEL (Powszechny Elektroniczny System Ewidencji Ludności) är ett 11-siffrigt nationellt befolkningsregisternummer som kodar:
- Siffror 1-2: Födelset år (de två sista siffrorna)
- Siffror 3-4: Födelsemånad (modifierad av århundrade: 1800-talet = 80+månad, 1900-talet = månad som den är, 2000-talet = 20+månad, 2100-talet = 40+månad, 2200-talet = 60+månad)
- Siffror 5-6: Födelset datum
- Siffror 7-10: Sekventiellt nummer (udda nummer för män, jämnt för kvinnor)
- Siffra 11: Kontrollsiffra som använder algoritm: multiplicera siffror med vikter (1,3,7,9,1,3,7,9,1,3), summera, modulo 10, om resultatet ≠ 0 subtrahera från 10
Kodningen av århundrade-månad (80+månad för födda på 1800-talet, 20+månad för födda på 2000-talet) är unik för PESEL och orsakar systematiska falska negativa i verktyg som endast känner igen standardformatet för 1900-talet.
UODO:s tekniska krav: verktyg måste implementera hela kontrollsifferalgoritmen och hantera alla fem kodningar av århundrade-månad. Verktyg som endast validerar formatet för födelset år på 1900-talet missar polacker födda på 2000-talet (som använder månadskoder 21-32 istället för 01-12) — den 25-åriga demografiska gruppen som är mest aktiv inom digitala tjänster.
NIP och REGON: Bristen på affärsdokument
NIP (Numer Identyfikacji Podatkowej): 10-siffrigt polskt skatteidentifieringsnummer med kontrollsiffra. Kontrollsiffran använder en viktad summeringsalgoritm: multiplicera de första 9 siffrorna med vikter (6,5,7,2,3,4,5,6,7), summera, modulo 11, kontrollera mot siffra 10.
NIP förekommer i praktiskt taget varje polskt affärsdokument — fakturor, kontrakt, skattedeklarationer, löneuppgifter. Det är både en individuell (NIP osoby fizycznej) och affärs (NIP podmiotu) identifierare.
REGON: 9-siffrigt eller 14-siffrigt företagsstatistiknummer. 9-siffrigt REGON använder en kontrollsifferalgoritm; 14-siffrigt REGON (som identifierar specifika företagsenheter) använder en annan algoritm. Båda förekommer i affärskontrakt och leverantörsdokumentation.
Kombinationen av NIP och REGON i affärsdokument, tillsammans med personliga identifierare som PESEL i HR-register, innebär att en omfattande polsk PII-detektering kräver stöd för alla tre identifierartyper samtidigt.
Polens BPO-sektor: Den fördubblade efterlevnadsrisken
Polens affärsprocessoutsourcing-sektor behandlar personuppgifter på uppdrag av västeuropeiska företag:
- Tyska bankkunders finansiella register hanteras av polska behandlingscenter
- Franska försäkringstagare som gör anspråk behandlas i polska delade tjänstecenter
- Brittiska vårdadministrativa data behandlas av polska digitala hälsobackoffice-team
När en polsk BPO-organisation misslyckas med att upptäcka PESEL i en fil med polska anställdas register — eller misslyckas med att upptäcka tyska Steuer-IDs i tyska kundregister som behandlas tillsammans med polska data — skapar överträdelsen samtidig exponering för:
- UODO (Polsk DPA): För otillräckliga tekniska åtgärder som påverkar polska medborgares data
- BfDI/Landesdatenschutzbehörden: För otillräckliga tekniska åtgärder som påverkar tyska medborgares data
- CNIL: För franska medborgares data
- ICO: För brittiska medborgares data
Multijurisdiktionell RODO-efterlevnad kräver PII-verktyg som täcker alla nationella identifierare som finns i behandlingsmiljön — inte bara polska identifierare för polska BPO-organisationer, utan hela EU:s identifierarlandskap för organisationer som hanterar EU-medborgares data i Polen.
Källor: