anonym.legal

By · Last updated 2026-06-05

Назад към блогаСигурност на AI

Лични данни в корпоративни wiki: клиентски данни в Confluence

Екипите за поддръжка документират процеси със снимки на клиентски акаунти. За 3 години това са хиляди нарушения на принципа за минимизиране на данните по GDPR в базата ви от знания.

June 5, 20266 мин. четене
Confluence GDPRinternal wiki PIIcustomer datadocumentation privacydata minimization

Лични данни в снимки в корпоративни бази от знания

Вътрешните бази от знания -- Confluence, Notion, SharePoint, GitBook -- крият специфичен тип проблем с личните данни, пропускан от стандартните инструменти за съответствие: лични данни на клиенти, вградени в снимки, използвани за документация на процеси.

Моделът се повтаря в хиляди екипи за поддръжка и операции.

Служител в поддръжката открива необичайна настройка на акаунт. Прави снимка на страницата с акаунта на клиента, за да документира проблема. Снимката показва името на клиента в заглавката на интерфейса, неговия имейл в настройките на акаунта и данните за плана.

Статията излиза в корпоративната база от знания. Сто и петдесет служители по поддръжка могат вече да я видят. Дванадесет изпълнители на външното помощно бюро могат също да я видят. Статията е полезна. Тя показва как да се обработва този граничен случай. Всеки служител, който среща тази настройка в бъдеще, ще я прочете.

Три години по-късно базата от знания съдържа 847 такива статии. Всяка съдържа снимки на клиентски акаунти. Показаните клиенти не са дали съгласие за това вторично използване на техните данни. Повечето не знаят, че данните им се съхраняват там.

Това не е малък проблем. Той расте с всяка нова статия.

GDPR рискове: защо това е важно

ГDPR анализът за снимки в бази от знания е директен.

Минимизиране на данните (член 5(1)(в)): Личните данни трябва да бъдат "подходящи, релевантни и ограничени до необходимото". Статия в база от знания за настройка на акаунт не се нуждае от реалното име и имейл на клиента. Размита снимка служи на целта по същия начин. Включването на живи клиентски данни не е необходимо.

Ограничение на целта (член 5(1)(б)): Данните, събрани за една цел -- обслужване на клиенти -- не могат да бъдат повторно използвани за друга цел -- вътрешна документация на процеси -- без правно основание. Данните на акаунта са събрани за доставка на услуги, а не за вътрешна документация. Това са две различни цели на обработване. Използването на едни и същи записи за двете изисква валидно правно основание, което повечето екипи не са установили.

Контрол на достъпа (член 5(1)(е) и член 32): Подходящи технически мерки трябва да защитават личните данни. Снимки на клиентски акаунти в инструмент, отворен за всичките 150 служители и изпълнители -- включително тези без достъп до основната система за акаунти -- създават прекалено широк достъп.

Право на заличаване (член 17): Субектът на данни, искащ заличаване, има право данните му да бъдат премахнати "без ненужно забавяне". Ако данните му се появяват в 23 статии в базата от знания като вградени снимки, искането изисква намиране и актуализиране на всичките 23 статии. Това е трудно без система. Нашето ръководство за право на заличаване по GDPR обхваща стъпките подробно.

Нито едно от тях не е гранично тълкуване. Те са директни приложения на текста на регламента към обичайна практика.

Заобикалянето на контрола на достъпа

Най-сериозният проблем за съответствие при снимките в Confluence е заобикалянето на контрола на достъпа, което създават.

Екипите за поддръжка използват ролеви контрол на достъпа (RBAC), за да ограничат кой може да вижда системите на клиентски акаунти. Служителите от ниво 1 виждат основни данни за акаунта. Служителите от ниво 2 виждат данни за фактуриране и технически записи. Мениджърите виждат пълния профил на акаунта.

Когато служител от ниво 2 създаде статия в база от знания със снимка на пълния клиентски акаунт, тази снимка става видима за всеки потребител на инструмента. Служителите от ниво 1, които не трябва да виждат данни за фактуриране, вече могат да ги видят. Изпълнители без достъп до системата могат да ги видят. Нов персонал при въвеждащо обучение може да ги види.

Снимката заобикаля RBAC контролите на системата за клиентски акаунти. Личните данни, за чиято защита е изграден RBAC, вече са отворени за всеки с достъп до базата от знания.

Това не е теоретичен риск. Това е нормалният резултат от работния процес по документация. Снимката стои там без изтичане, без дневник на достъпа и без одитна следа.

Практически стъпки за отстраняване

За екипи, открили този проблем при GDPR одит:

Ретроактивно отстраняване:

  1. Идентифицирайте всички страници в базата от знания с приложени изображения
  2. Изпълнете засичане на лични данни в изображения върху всеки приложен файл
  3. Прегледайте маркираните изображения: попаденията с висока увереност отиват в опашка за преглед
  4. За всяко маркирано изображение: заменете с дезинфекцирана версия или ограничете достъпа до страницата
  5. Вписвайте действията по отстраняване за GDPR записи

Мащабът на ретроактивната работа зависи от размера на базата от знания. За тригодишна база от знания на 50-членен екип за поддръжка броят на изображенията може да достигне хиляди. Пакетната обработка на изображения прави това осъществимо. Ръчният преглед на маркираните изображения е ключовото затруднение.

Превантивни контроли:

  1. Обучете целия персонал по поддръжката да дезинфекцира снимки преди публикуване в базата от знания
  2. Осигурете инструменти: инструменти за анотиране на снимки, размиващи имената на клиентите преди поставяне
  3. Добавете стъпка за преглед: определен рецензент проверява статиите преди публикуване, търсейки конкретно лични данни на клиенти в изображенията
  4. Изпълнявайте тримесечно пакетно сканиране на изображения на всички приложени файлове в Confluence

Минимален жизнеспособен контрол: Контролен списък при публикуване: "Премахнете или размийте всички имена, имейли и идентификатори на акаунти на клиенти от снимки преди публикуване." Ниско технологичен, неавтоматизиран, но създава документиран контрол. За малки екипи това е отправната точка.

Вижте нашия преглед за съответствие с GDPR за по-широката правна рамка, и защо политиката без технически контроли се проваля за причините, поради които само подходите с контролен списък се разпадат при мащаб.

Защо проблемът расте с времето

Без системни контроли излагането на лични данни в базата от знания се натрупва.

Обем: Всяка нова статия с клиентска снимка добавя към общото излагане. С разрастването на екипа за поддръжка и разширяването на базата от знания натрупаните лични данни също растат. Свойствата, правещи тези инструменти полезни -- лесно публикуване, трайност, широк достъп -- са причината проблемът с личните данни да се влошава.

Забравени статии: Статии за стари гранични случаи, които вече не се срещат, остават достъпни. Те съдържат лични данни на клиенти, подали оттогава искания за заличаване. Никой не проверява статия, последно актуализирана през 2022 г.

Разпространение между екипи: Базите от знания често стават многофункционални. Статия за поддръжка с клиентски снимки може да бъде споделена с продуктовия екип, инженерния екип или външни изпълнители за контекст по заявка за функция или доклад за грешка. Всяко споделяне разширява аудиторията за личните данни.

Изоставане от заличавания: С натрупването на повече клиентски записи в базата от знания реагирането на искания за заличаване става по-сложно. Без система няма надежден начин да се потвърди, че всеки екземпляр на данните на субект е намерен и премахнат. Екипът не може да направи достоверно удостоверяване на заличаването.

Личните данни в базата от знания са по-лесни за предотвратяване, отколкото за отстраняване. Контролите, въведени сега, избягват проблема с натрупаното отстраняване. Всяка статия, публикувана без размита снимка, е задача за отстраняване, отложена за бъдещето.

Източници

Свързани статии

Сигурност на AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Сигурност на AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Сигурност на AI

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.