פער ה-GDPR של Excel
כלי מחיקת PDF לא עובדים על קבצי Excel. זה יוצר פער ציות. בסביבות ארגוניות, זה משפיע על כל צוות HR, פיננסים ותפעול.
בקשות זכות גישה לפי GDPR עלו 180% בין 2021 ל-2024 (דוח שנתי של EDPB). כשמגיעה DSAR, עליכם לשתף את הנתונים האישיים של המבקש. עליכם גם להגן על נתוני כולם שאר בקובץ. ייצוא שורות ספציפיות אינו מספיק. שאר הרשומות נשארות גלויות. ציות מתאים ל-DSAR פירושו אנונימיזציה של כל הנתונים שאינם שייכים למבקש.
עיבוד DSAR ממוצע לוקח 12 שעות ידנית. ב-200 DSARs בחודש, זה 2,400 שעות צוות. עיבוד ידני לא מתרחב.
מה אנונימיזציית Excel חייבת לכסות
לגיליונות אלקטרוניים יש בעיות שכלי טקסט לא נבנו לטפל בהן.
שורות ועמודות מוסתרות. קבצי Excel לרוב מסתירים שורות ועמודות. אלה עשויות להחזיק רשומות טיוטה או ערכים מקוריים. כלי שקורא רק תאים גלויים יפספס PII באזורים מוסתרים.
הפניות נוסחה. תא עשוי להציג ערך שנבנה מתאים אחרים. ניקוי תאי המקור לא מעדכן את פלט הנוסחה. ה-PII המקורי נשאר בתוצאת הנוסחה.
מטמון טבלת Pivot. טבלאות Pivot של Excel שומרות עותק של נתוני המקור. ניקוי גיליון המקור לא מנקה את המטמון. כל מי שיש לו את הקובץ יכול לקרוא את הנתונים שנשמרו במטמון.
קישורים בין-גיליונות. שם בגיליון 1 עשוי להופיע בנוסחה בגיליון 3. ניקוי גיליון 1 ללא עדכון גיליון 3 יכול לחשוף את הערך המקורי דרך הנוסחה.
כלי ברמת ציות חייב לעבד את כל הגיליונות — כולל מוסתרים — ולעדכן את כל הפניות הנוסחה.
מקרה שימוש HR: שיתוף 50,000 רשומות עובדים
יצרן גרמני חייב לשתף 50,000 רשומות עובדים עם יועץ חיצוני. סעיף 28 ל-GDPR דורש בקרות טכניות בעת שיתוף נתונים עם מעבד. לקובץ יש 37 עמודות: שמות, כתובות בית, משכורות, דירוגים ונתוני חופשת מחלה.
אנונימיזציה ידנית של 50,000 שורות אינה ישימה בשום חלון ציות.
תוסף Word ו-Excel עובד בתוך Microsoft Excel — ללא צורך בייצוא. זיהוי PII רץ על כל הגיליונות הגלויים והמוסתרים. שמות הופכים לכינויים עקביים. אותו שם בשני תאים מקבל את אותו טוקן. קישורים אנליטיים נשמרים. כתובות הופכות למציינים מקום מתאימים לסוג. משכורות נשארות ללא שינוי. כל 50,000 השורות מעובדות תוך דקות.
כללים לפי ישות מאפשרים לכם לטפל בכל סוג נתונים אחרת. מספרי SSN הופכים למחרוזות מוסוות. כתובות הופכות לערכים ברמת עיר. כתובות אימייל אישיות הופכות למציינים מקום מבוססי-תפקיד.
אתגר זה אינו ייחודי ל-Excel. לכל פורמט קובץ יש מצבי כשל משלו. ראו כיצד פרגמנטציית פורמטים משפיעה על זיהוי PII על פני סוגי קבצים.
שלושה כללי GDPR במעבר אחד
אנונימיזציית גיליון אלקטרוני עומדת בשלושה כללי סעיף 5 בבת אחת.
מזעור נתונים (סעיף 5(1)(ג)). רק העמודות שהנמען צריך משותפות. עמודות מזהות מנוקות.
הגבלת אחסון (סעיף 5(1)(ה)). הקובץ המקורי נשמר לשמירה משפטית. עותק נקי משותף עם תקופת שמירה קצרה יותר.
שלמות וסודיות (סעיף 5(1)(ו)). אין נתונים מזהים שיוצאים מאזור הבקרה. רק העותק הנקי יוצא.
יומן הביקורת מכל הרצה הוא גם רשומת סעיף 5(2) שלכם. הוא מציג איזה כלל חל על כל קובץ ועל כל תא.
לצוותים שמטפלים בנפחי DSAR גדולים בדדליינים צפופים, ראו עיבוד אצווה GDPR DSAR בסקאלה.