Проблема соответствия в электронных таблицах
Инструменты редактирования PDF не обрабатывают электронные таблицы Excel. Этот единственный факт создает систематическую проблему соответствия для организаций, которые хранят персональные данные в формате Excel — что в корпоративной среде означает практически каждый отдел кадров, финансовую команду и операционный отдел.
Данные Годового отчета EDPB показывают, что запросы на доступ по GDPR увеличились на 180% с 2021 по 2024 год. Организации, получающие DSAR, должны предоставить персональные данные запрашивающего в переносимом формате, при этом обеспечивая соответствующую защиту данных третьих лиц, включенных в тот же набор данных. Для набора данных сотрудников, хранящегося в Excel, стандартный ответ — экспорт конкретных строк — все равно раскрывает данные других сотрудников в том же файле. Правильное соблюдение DSAR требует анонимизации данных, не относящихся к запрашивающему, по каждой записи.
Среднее время обработки DSAR составляет 12 часов вручную. Для организации, получающей 200 DSAR в месяц — скромный объем для компании среднего размера — это составляет 2,400 человеко-часов в месяц на соблюдение требований. Ручной подход не масштабируется для объема запросов, которые данные EDPB прогнозируют на оставшуюся часть этого десятилетия.
Что на самом деле требуется для анонимизации Excel
Анонимизация электронных таблиц представляет собой задачи, которые инструменты редактирования PDF не предназначены для обработки.
Скрытые строки и столбцы: Файлы Excel обычно содержат скрытые строки (черновые данные, отфильтрованные записи) и скрытые столбцы (промежуточные вычисления, исходные значения до преобразования). Инструмент редактирования, который обрабатывает только видимые ячейки, оставляет скрытые PII нетронутыми. Анонимизатор Excel, соответствующий требованиям соблюдения, должен обрабатывать все листы, включая скрытые.
Встроенные формулы: Ячейки, содержащие формулы, ссылающиеся на PII в других ячейках, могут отображать производные значения, в то время как сама формула ссылается на исходные данные. Анонимизация отображаемого значения без обновления ссылки на формулу оставляет оригинальные PII доступными для любого, кто проверяет формулу.
Кэш сводной таблицы: Сводные таблицы Excel кэшируют исходные данные, используемые для генерации сводной таблицы. Анонимизация листа исходных данных не очищает автоматически кэш сводной таблицы. Враждебный пользователь, получивший "анонимизированный" файл Excel, может проверить кэш сводной таблицы, чтобы восстановить оригинальные данные.
Ссылки между листами: Корпоративные файлы Excel обычно содержат ссылки на ячейки между листами. Имя сотрудника может появляться на Листе 1 и ссылаться в расчетах на Листе 3. Анонимизация Листа 1 без обновления ссылок на Листе 3 оставляет ссылку на анонимизированные данные, которая может раскрыть оригинальное значение через проверку формулы.
Случай использования отдела кадров
Немецкая производственная компания должна поделиться 50,000 записями сотрудников с внешним консультантом по компенсациям для проекта по бенчмаркингу. Статья 28 GDPR требует, чтобы обмен персональными данными с обработчиком (внешним консультантом) включал соответствующие технические меры. Файл Excel содержит 37 столбцов, включая имена, личные адреса электронной почты, домашние адреса, зарплаты, оценки производительности и записи о медицинских отпусках.
Ручная анонимизация 50,000 строк по 37 столбцам нецелесообразна в любом временном интервале соблюдения. Надстройка Word и Excel обрабатывает электронную таблицу нативно — в Microsoft Excel, без экспорта или конвертации. Обнаружение PII на уровне ячеек идентифицирует персональные данные на всех видимых и скрытых листах. Имена заменяются псевдонимами; адреса — соответствующими заполнителями; зарплаты сохраняются (не PII), в то время как связанные личные идентификаторы удаляются. Анонимизация обрабатывает 50,000 строк за минуты, а не дни.
Конфигурация на уровне сущностей позволяет различное обращение с разными типами данных: имена заменяются последовательными псевдонимами (одно и то же имя в разных ячейках получает один и тот же псевдоним, сохраняя аналитическую полезность); SSN заменяются замаскированными строками; адреса заменяются только городскими приближениями; личные адреса электронной почты заменяются заполнителями на основе ролей.
Источники: