anonym.legal

By · Last updated 2026-06-05

Vissza a BlograAI Biztonság

Képernyőfelvételek és személyes adatok: szivárgás belső eszközökön

A Slack, a Teams, a Jira és az e-mail rendszeresen kap ügyfél személyes adatait tartalmazó képernyőfelvételeket. Ez a hozzáférés-ellenőrzési jogsértés minden DLP-eszközt megkerül.

June 5, 20266 perc olvasás
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

Az adatvédelmi eszközök vak foltja, amelyet még nem auditáltak

Az adatveszteség-megelőző (DLP) eszközök figyelik a hálózati forgalmat, az e-mail mellékleteket és a fájlátviteleket. Elkapják a TAJ-számokat tartalmazó táblázatokat. Megjelölik az ügyféllistákat tartalmazó e-maileket. Blokkolják az egészségügyi adatokat tartalmazó feltöltéseket.

Azonban nem fogják el a képernyőfelvételeket.

A képernyőfelvétel egy képfájl. A benne lévő személyes adatok pixelként vannak ábrázolva. Nem szövegként tárolódnak. A személyesadat-mintákat kereső DLP-motorok semmit sem találnak.

Nap mint nap a munkavállalók képernyőfelvételeket illeszenek be Slackre, Jirába, Teamsbe és e-mail-láncokba. Nulla DLP-riasztás érkezik.

Hogyan terjed a személyes adat képernyőfelvételeken keresztül a munkahelyen

A táv- és hibrid munkavégzés mindennapossá tette a képernyőfelvételek megosztását. A belső eszközök napról napra megtelnek velük.

A csapattagok felvételeket osztanak meg gyors kontextusátadás céljából:

  • A támogatási munkatársak az ügyfélfiók-nézeteket rögzítik, hogy megosszák a csapatvezetőkkel.
  • A fejlesztők a felhasználói beviteli adatokat is tartalmazó hibanaplókat osztanak meg.
  • Az ügyfélmenedzserek CRM-rekordokat küldenek, hogy kontextust adjanak a pénzügyi csapatoknak.
  • Az IT-adminisztrátorok rendszernézeteket rögzítenek a beállítások vállalkozók számára való dokumentálásához.
  • A termékcsapatok irányítópult-nézeteket osztanak meg az érdekelt felek frissítéseiben.

Minden csatolmány tartalmazhat személyes adatokat. Egy ügyfélfiók-felvétel nevet, e-mail-címet, státuszt és számlázási címet tartalmaz. Egy hibanaploban lehetnek a felhasználók által megadott nevek, címek vagy telefonszámok. Egy CRM-rekord-felvétel a teljes ügyfélprofilt mutatja. Egy irányítópult-fájl felhasználói azonosítókat jeleníthet meg a diagramcímkékben.

A hozzáférés-ellenőrzési probléma

A képernyőfelvételek megosztása hozzáférés-ellenőrzési problémát is okoz.

A legtöbb szervezet szerepalapú hozzáférés-ellenőrzést (RBAC) alkalmaz az éles rendszereken. A támogatási munkatárs csak a saját sorában lévő rekordokat látja. A vállalkozó csak a hozzá rendelt projektek fájljait éri el.

Ha egy munkatárs egy ügyfélrekordot rögzít és beilleszti egy vállalkozókat is tartalmazó Slack-csatornába, a hozzáférés-ellenőrzés megkerülésre kerül. A vállalkozó olyan személyes adatokhoz jut hozzá, amelyekhez normál úton nem férhetett volna. Az alvállalkozói szerződés adja esetleg nem terjed ki erre az adattovábbításra. Az ügyfél GDPR-jogai esetleg nem vonatkoznak erre a vállalkozóra.

Ez a megkerülés a GDPR 5. cikke (1) bekezdésének f) pontját érinti, amely az integritást és a bizalmasságot szabályozza. A 28. cikk szerinti megfelelőségi problémát is okozhat, ha a vállalkozók a megfelelő adatkezelési szerződések nélkül jutnak személyes adatokhoz. Lásd GDPR-megfelelőségi útmutatónkat a 28. cikk szerinti kötelezettségek ellenőrzőlistájáért.

A képalapú személyesadat-felismerés mint technikai biztosíték

A felvételalapú személyes adat-expozíció technikai biztosítéka az OCR és az NLP-alapú felismerés kombinációja. A lépések egyszerűek.

  1. A munkavállaló rögzíti az ügyfélfelület képernyőjét.
  2. Megosztás előtt: feltölti a felvételt egy felismerési eszközbe.
  3. Az eszköz OCR-rel kinyeri a látható szöveget.
  4. Az NLP megtalálja a személyes adatok entitásait a szövegben.
  5. A munkavállaló jelentést kap: „Ez a felvétel a következőket tartalmazza: [ügyfélnév], [e-mail-cím], [fiókazonosító].”
  6. A munkavállaló ezután redakálja a személyes adatokat, szűkíti a megosztás hatókörét, vagy írásbeli indokkal folytatja.

Ez nem akadályoz meg minden megosztást. Megmutatja a személyes adatokat, mielőtt azok mozogni kezdenek. Az emberek ezután tájékozott döntéseket hozhatnak. Lásd, hogyan illeszkedik ez a védelmi stack kialakításába a biztosítékok oldalán.

Felhasználási eset: SaaS-helpdesk Jira-felvétel szabályzat

Egy SaaS-cég ügyfélszolgálata Jirát használt a fiókok problémáinak naplózásához. A jegyekhez csatolt fájlok felhasználói személyes adatokat tartalmaztak. Konkrétan:

  • Felhasználói e-mail-címek a fiókkezelési képernyőkről.
  • Előfizetési csomag részletei.
  • Számlázási összegek és dátumok.
  • Bizonyos esetekben részleges fizetési adatok.

Egy GDPR-audit 847, 18 hónap alatt létrehozott Jira-jegyet talált. Mindegyik személyes adatot tartalmazó csatolmányt hordozott. A Jira mind a 200 mérnök számára nyitva volt. Közülük néhányan vállalkozók voltak, akiknek nem volt adatkezelési szerződésük az ügyfelek számlázási adataira vonatkozóan.

Korrekciós lépések:

  1. Visszamenőleges audit: személyesadat-felismerés az összes meglévő csatolmányon. 312 jegyet jelöltek meg adatvédelmi tisztviselői (DPO) felülvizsgálatra.
  2. Jegytakarítás: 89 jegynél a fájlokat eltakarták, mielőtt újra csatolták.
  3. Folyamatváltozás: új munkafolyamat, amely megköveteli a személyes adatok ellenőrzését Jira-csatolmány előtt.
  4. Képzés: 15 perces foglalkozás az összes helpdesk-munkatárs számára.

Eredmények 90 nap után:

  • Személyes adatokkal kapcsolatos incidensek a Jirában: 90%-kal csökkent.
  • Fennmaradó incidensek: olyan esetek, ahol a munkatársak írásbeli diagnosztikai indokkal folytatták.
  • Adatkezelési szerződés hatóköre: frissítve, hogy csökkentsék a vállalkozók felesleges személyesadat-expozícióját.

A 312 korábbi jegy megfelelőségi megállapítás volt. A 90%-os csökkentés az audit-válaszban a korrekció bizonyítékaként szolgált.

Felvétel-ellenőrzés beépítése a csapatok munkafolyamataiba

A személyes adatok ellenőrzését a működés lassítása nélkül bevezetni kívánó szervezetek számára több lehetőség is létezik.

Könnyűsúlyú megoldás: Egy böngészős eszköz, amelyet a munkavállalók Slackbe vagy Jirába való beillesztés előtt használnak. Húzzák be a felvételt, öt másodperc alatt személyesadat-jelentést kapnak, majd folytatnak vagy redakálnak.

Jira vagy ServiceNow hook: Felismerés, amely azelőtt fut, mielőtt a fájlok elérik a jegyeket. Úgy működik, mint a víruskereső a fájlfeltöltés előtt.

Slack-bot: Egy bot, amely a kiválasztott csatornákban fogadja a felvételfeltöltéseket. Személyesadat-felismerést futtat. Szálban tesz közzé választ az észlelt entitásokkal. Ez láthatóvá teszi a személyes adatokat anélkül, hogy blokkolná a munkafolyamatot.

Csapatszabvány és mintavétel: Heti automatizált ellenőrzés. A kollaborációs eszközökben lévő felvételek 10%-ának mintavétele. Felismerés futtatása. Eredmények jelentése a csapatvezetőnek. Ez elszámoltathatóságot épít anélkül, hogy blokkolna bármilyen munkafolyamatot.

GDPR-nyilvántartáshoz: a felvétel személyesadat-ellenőrzése a 32. cikk szerinti „szervezeti intézkedésnek” minősül. Írja le a biztosítékot — szabályzat és technikai eszköz. Adjon hozzá használati bizonyítékot. Ez teljesíti az 5. cikk (2) bekezdése szerinti elszámoltathatósági szabályt. Lásd megfelelőségi oldalunkat és a 32. cikkre vonatkozó szójegyzék-bejegyzést.

Szeretnék megtudni, hogyan kezeli ezt az anonym.legal az Ön csapata számára? Látogasson el az előfizetési oldalunkra vagy olvassa el az alapítói nyilatkozatot az anonimizálásról.

Források

Kapcsolódó Cikkek

AI Biztonság

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Biztonság

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Biztonság

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.