Luka zgodności Excela z RODO
Narzędzia do redakcji plików PDF nie działają na plikach Excel. Tworzy to lukę w zgodności z przepisami. W środowiskach korporacyjnych problem ten dotyka każdego działu HR, finansów i operacji.
Liczba wniosków o dostęp do danych osobowych (DSAR) wzrosła o 180% między 2021 a 2024 rokiem (Roczny Raport EDPB). Gdy wpływa wniosek DSAR, musisz udostępnić dane osobowe wnioskodawcy. Musisz też chronić dane wszystkich innych osób zawarte w tym samym pliku. Wyeksportowanie wybranych wierszy to za mało – pozostałe rekordy nadal są widoczne. Właściwa obsługa DSAR wymaga zanonimizowania wszystkich danych nienależących do wnioskodawcy.
Ręczne rozpatrzenie jednego wniosku DSAR zajmuje średnio 12 godzin. Przy 200 wnioskach miesięcznie daje to 2400 roboczogodzin. Ręczne przetwarzanie nie skaluje się.
Co musi obejmować anonimizacja plików Excel
Arkusze kalkulacyjne mają specyficzne problemy, z którymi narzędzia tekstowe nie są zaprojektowane, by sobie radzić.
Ukryte wiersze i kolumny. Pliki Excel często zawierają ukryte wiersze i kolumny. Mogą w nich znajdować się wersje robocze rekordów lub oryginalne wartości. Narzędzie odczytujące tylko widoczne komórki pominie dane osobowe w ukrytych obszarach.
Odwołania do formuł. Komórka może wyświetlać wartość zbudowaną na podstawie innych komórek. Wyczyszczenie komórek źródłowych nie aktualizuje wyniku formuły. Oryginalne dane osobowe pozostają widoczne w wynikach formuł.
Pamięć podręczna tabeli przestawnej. Tabele przestawne Excela przechowują kopię danych źródłowych. Wyczyszczenie arkusza źródłowego nie czyści pamięci podręcznej. Każda osoba mająca dostęp do pliku może odczytać zbuforowane dane.
Łącza między arkuszami. Nazwisko na Arkuszu 1 może pojawić się w formule na Arkuszu 3. Wyczyszczenie Arkusza 1 bez aktualizacji Arkusza 3 może ujawnić oryginalną wartość przez formułę.
Narzędzie spełniające standardy zgodności musi przetwarzać wszystkie arkusze – łącznie z ukrytymi – i aktualizować wszystkie odwołania do formuł.
Przykład HR: udostępnianie 50 000 rekordów pracowniczych
Niemiecki producent musi udostępnić 50 000 rekordów pracowniczych zewnętrznemu konsultantowi. Artykuł 28 RODO wymaga stosowania środków technicznych przy udostępnianiu danych podmiotowi przetwarzającemu. Plik zawiera 37 kolumn: imiona i nazwiska, adresy domowe, wynagrodzenia, oceny oraz dane o zwolnieniach lekarskich.
Ręczna anonimizacja 50 000 wierszy nie jest możliwa do wykonania w żadnym oknie czasowym zgodnym z przepisami.
Dodatek do programów Word i Excel działa bezpośrednio w programie Microsoft Excel – bez konieczności eksportu. Wykrywanie danych osobowych obejmuje wszystkie widoczne i ukryte arkusze. Imiona i nazwiska są zastępowane spójnymi pseudonimami – to samo imię i nazwisko w dwóch komórkach otrzymuje ten sam token. Powiązania analityczne zostają zachowane. Adresy są zastępowane ogólnymi wartościami odpowiadającymi typowi danych. Wynagrodzenia pozostają bez zmian. Wszystkie 50 000 wierszy jest przetwarzanych w ciągu kilku minut.
Reguły dla poszczególnych encji pozwalają traktować każdy typ danych inaczej. Numery PESEL stają się zamaskowanymi ciągami. Adresy są redukowane do poziomu miejscowości. Prywatne adresy e-mail są zastępowane wzorcowymi adresami funkcyjnymi.
Problem ten nie dotyczy wyłącznie Excela. Każdy format pliku ma własne podatności. Przeczytaj jak fragmentacja formatów wpływa na wykrywanie danych osobowych w różnych typach plików.
Trzy zasady RODO spełnione w jednym przebiegu
Anonimizacja arkuszy kalkulacyjnych pozwala jednocześnie spełnić trzy zasady wynikające z artykułu 5 RODO.
Minimalizacja danych (art. 5 ust. 1 lit. c). Udostępniane są wyłącznie kolumny niezbędne odbiorcy. Kolumny identyfikujące zostają usunięte.
Ograniczenie przechowywania (art. 5 ust. 1 lit. e). Oryginalny plik jest przechowywany dla celów prawnych. Czysta kopia jest udostępniana z krótszym okresem retencji.
Integralność i poufność (art. 5 ust. 1 lit. f). Żadne dane identyfikujące nie opuszczają strefy kontrolowanej. Na zewnątrz trafia wyłącznie czysta kopia.
Dziennik audytu generowany przy każdym przebiegu stanowi jednocześnie Twój zapis zgodny z art. 5 ust. 2. Pokazuje, która reguła została zastosowana do każdego pliku i każdej komórki.
Dla zespołów obsługujących dużą liczbę wniosków DSAR w napiętych terminach zapoznaj się z artykułem Masowe przetwarzanie wniosków DSAR zgodnie z RODO.