Elektronik Tablo Uyum Açığı
PDF redaksiyon araçları Excel elektronik tablolarını işleyemez. Bu tek gerçek, kişisel verileri Excel formatında saklayan organizasyonlar için sistematik bir uyum açığı yaratır — ki bu, kurumsal ortamlarda neredeyse her İK departmanı, finans ekibi ve operasyon departmanı anlamına gelir.
EDPB'nin Yıllık Rapor verileri, GDPR Erişim Hakkı taleplerinin 2021'den 2024'e %180 arttığını göstermektedir. DSAR alan organizasyonlar, talep edenin kişisel verilerini taşınabilir bir formatta sağlamak zorundadır ve aynı veri kümesinde yer alan üçüncü taraf verilerinin uygun şekilde korunmasını sağlamalıdır. Excel'de saklanan bir çalışan veri kümesi için standart yanıt — belirli satırları dışa aktarmak — aynı dosyada diğer çalışanların verilerini açığa çıkarmaktadır. Uygun DSAR uyumu, talep edilmeyen verilerin her bir kaydının anonimleştirilmesini gerektirir.
Ortalama bir DSAR, manuel olarak işlenmesi 12 saat sürmektedir. Aylık 200 DSAR alan bir organizasyon için — orta ölçekli bir şirket için mütevazı bir hacim — bu, aylık 2,400 personel saati uyum yükü anlamına gelir. Manuel yaklaşım, EDPB verilerinin bu on yılın geri kalanında öngördüğü talep hacmine ölçeklenemez.
Excel Anonimleştirmesinin Gerçek Gereksinimleri
Elektronik tablo anonimleştirmesi, PDF redaksiyon araçlarının tasarlanmadığı zorluklar sunar.
Gizli satırlar ve sütunlar: Excel dosyaları genellikle gizli satırlar (taslak veriler, filtrelenmiş kayıtlar) ve gizli sütunlar (geçici hesaplamalar, dönüşüm öncesi orijinal değerler) içerir. Sadece görünür hücreleri işleyen bir redaksiyon aracı, gizli PII'yi olduğu gibi bırakır. Uyum düzeyinde bir Excel anonimleştirici, gizli olanlar da dahil tüm sayfaları işlemelidir.
Gömülü formüller: PII'yi referans alan diğer hücrelerdeki formülleri içeren hücreler, türetilmiş değerleri gösterebilirken formül kendisi orijinal veriyi referans alabilir. Görüntü değerini anonimleştirip formül referansını güncellemeyen bir yaklaşım, orijinal PII'yi formülü inceleyen herkesin erişimine açık bırakır.
Pivot tablo önbelleği: Excel pivot tabloları, pivotu oluşturmak için kullanılan temel verileri önbelleğe alır. Kaynak veri sayfasını anonimleştirmek, otomatik olarak pivot önbelleğini temizlemez. "Anonimleştirilmiş" bir Excel dosyasını alan bir düşman kullanıcı, orijinal verileri geri kazanmak için pivot önbelleğini inceleyebilir.
Sayfalar arası referanslar: Kurumsal Excel dosyaları rutin olarak sayfalar arası hücre referansları içerir. Bir çalışanın adı Sayfa 1'de görünebilir ve Sayfa 3'teki hesaplamalarda referans alınabilir. Sayfa 1'i anonimleştirip Sayfa 3 referanslarını güncellemeyen bir yaklaşım, anonimleştirilmiş veriye bir referans bırakır ve bu da formül incelemesi yoluyla orijinal değeri açığa çıkarabilir.
İK Departmanı Kullanım Durumu
Bir Alman üretim şirketi, bir karşılaştırma projesi için dış bir tazminat danışmanıyla 50,000 çalışan kaydını paylaşmak zorundadır. GDPR Madde 28, kişisel verilerin bir işleyici (dış danışman) ile paylaşılmasının uygun teknik kontrolleri içermesini gerektirir. Excel dosyası, isimler, kişisel e-posta adresleri, ev adresleri, maaşlar, performans değerlendirmeleri ve sağlık izin kayıtları dahil 37 sütun içermektedir.
37 sütun boyunca 50,000 satırı manuel olarak anonimleştirmek, herhangi bir uyum zaman diliminde mümkün değildir. Word ve Excel Eklentisi, elektronik tabloyu yerel olarak işler — Microsoft Excel içinde, dışa aktarma veya dönüştürme olmadan. Hücre düzeyinde PII tespiti, tüm görünür ve gizli sayfalardaki kişisel verileri tanımlar. İsimler takma adlarla değiştirilir; adresler türüne uygun yer tutucularla; maaşlar korunur (PII değildir) ve ilgili kişisel tanımlayıcılar kaldırılır. Anonimleştirme, 50,000 satırı dakikalar içinde işler, günler değil.
Her varlık yapılandırması, farklı veri türleri için farklı muamele yapılmasına olanak tanır: isimler tutarlı takma adlarla değiştirilir (farklı hücrelerdeki aynı isim aynı takma adı alır, analitik faydayı korur); SSN'ler maskelenmiş dizelerle değiştirilir; adresler yalnızca şehir tahminleriyle değiştirilir; kişisel e-posta adresleri rol tabanlı yer tutucularla değiştirilir.
Kaynaklar: