Luka w zgodności z przepisami w arkuszach kalkulacyjnych
Narzędzia do redakcji PDF nie obsługują arkuszy kalkulacyjnych Excel. Ten jeden fakt tworzy systematyczną lukę w zgodności dla organizacji, które przechowują dane osobowe w formacie Excel — co w środowiskach korporacyjnych oznacza niemal każdy dział HR, zespół finansowy i dział operacyjny.
Dane z rocznego raportu EDPB pokazują, że wnioski o dostęp na podstawie GDPR wzrosły o 180% w latach 2021-2024. Organizacje otrzymujące DSAR muszą dostarczyć dane osobowe wnioskodawcy w przenośnym formacie, zapewniając jednocześnie odpowiednią ochronę danych osób trzecich zawartych w tym samym zbiorze danych. W przypadku zbioru danych pracowników przechowywanego w Excelu, standardowa odpowiedź — eksportowanie konkretnych wierszy — nadal ujawnia dane innych pracowników w tym samym pliku. Odpowiednia zgodność z DSAR wymaga anonimizacji danych niebędących wnioskodawcą na poziomie rekordu.
Średni czas przetwarzania DSAR wynosi 12 godzin ręcznie. Dla organizacji otrzymującej 200 DSAR miesięcznie — co stanowi umiarkowaną liczbę dla średniej wielkości firmy — oznacza to 2400 godzin pracy miesięcznie w związku z zgodnością. Ręczne podejście nie skaluje się do liczby wniosków, które dane EDPB przewidują na resztę tej dekady.
Czego naprawdę wymaga anonimizacja w Excelu
Anonimizacja arkuszy kalkulacyjnych stawia wyzwania, z którymi narzędzia do redakcji PDF nie są zaprojektowane, aby sobie radzić.
Ukryte wiersze i kolumny: Pliki Excel często zawierają ukryte wiersze (dane robocze, odfiltrowane rekordy) i ukryte kolumny (obliczenia pośrednie, oryginalne wartości przed transformacją). Narzędzie do redakcji, które przetwarza tylko widoczne komórki, pozostawia nietknięte ukryte PII. Anonimizator Excel o standardzie zgodności musi przetwarzać wszystkie arkusze, w tym ukryte.
Wbudowane formuły: Komórki zawierające formuły, które odwołują się do PII w innych komórkach, mogą wyświetlać wartości pochodne, podczas gdy sama formuła odnosi się do oryginalnych danych. Anonimizacja wartości wyświetlanej bez aktualizacji odniesienia formuły pozostawia oryginalne PII dostępnym dla każdego, kto sprawdzi formułę.
Pamięć podręczna tabeli przestawnej: Tabele przestawne w Excelu przechowują pamięć podręczną danych źródłowych używanych do generowania tabeli przestawnej. Anonimizacja arkusza źródłowego danych nie usuwa automatycznie pamięci podręcznej tabeli przestawnej. Użytkownik o wrogich zamiarach, który otrzymuje "anonimizowany" plik Excel, może sprawdzić pamięć podręczną tabeli przestawnej, aby odzyskać oryginalne dane.
Odwołania między arkuszami: Arkusze Excel w przedsiębiorstwie rutynowo zawierają odwołania do komórek między arkuszami. Imię pracownika może pojawić się w Arkuszu 1 i być odwoływane w obliczeniach w Arkuszu 3. Anonimizacja Arkusza 1 bez aktualizacji odwołań w Arkuszu 3 pozostawia odwołanie do zanonimizowanych danych, które może ujawnić oryginalną wartość poprzez inspekcję formuły.
Przykład użycia w dziale HR
Niemiecka firma produkcyjna musi udostępnić 50 000 rekordów pracowników zewnętrznemu konsultantowi ds. wynagrodzeń na potrzeby projektu benchmarkingowego. Artykuł 28 GDPR wymaga, aby udostępnianie danych osobowych procesorowi (zewnętrznemu konsultantowi) wiązało się z odpowiednimi kontrolami technicznymi. Plik Excel zawiera 37 kolumn, w tym imiona, osobiste adresy e-mail, adresy domowe, wynagrodzenia, oceny wydajności i rekordy urlopów zdrowotnych.
Ręczna anonimizacja 50 000 wierszy w 37 kolumnach nie jest wykonalna w żadnym czasie zgodności. Dodatek Word i Excel przetwarza arkusz kalkulacyjny natywnie — w Microsoft Excel, bez eksportu czy konwersji. Wykrywanie PII na poziomie komórki identyfikuje dane osobowe we wszystkich widocznych i ukrytych arkuszach. Imiona są zastępowane pseudonimami; adresy odpowiednimi zastępcami; wynagrodzenia są zachowane (nie PII), podczas gdy związane z nimi identyfikatory osobowe są usuwane. Anonimizacja przetwarza 50 000 wierszy w minutach, a nie dniach.
Konfiguracja na poziomie jednostki pozwala na różne traktowanie różnych typów danych: imiona zastępowane są spójnymi pseudonimami (to samo imię w różnych komórkach otrzymuje ten sam pseudonim, co zachowuje użyteczność analityczną); numery SSN zastępowane są zamaskowanymi ciągami; adresy zastępowane są przybliżeniami tylko do miasta; osobiste adresy e-mail zastępowane są zastępcami opartymi na roli.
Źródła: