anonym.legal
Înapoi la BlogSecuritate AI

Problema PII din Wiki-ul Intern: De Ce Paginile...

Echipele de suport documentează procesele cu capturi de ecran ale conturilor clienților.

April 21, 20266 min citire
Confluence GDPRinternal wiki PIIcustomer datadocumentation privacydata minimization

Problema Acumulării PII în Documentație

Bazele de cunoștințe interne — Confluence, Notion, SharePoint, GitBook — acumulează un tip specific de problemă PII care este aproape în întregime invizibilă pentru instrumentele standard de conformitate: datele personale ale clienților încorporate în capturi de ecran utilizate pentru documentarea proceselor.

Scenariul se desfășoară în mii de echipe de suport și operațiuni:

Un agent de suport descoperă o configurație neobișnuită a contului. Face o captură de ecran a paginii de cont a clientului pentru a documenta problema în articolul bazei de cunoștințe care se scrie. Captura de ecran conține numele clientului în antetul UI, adresa lor de email în setările contului și detaliile abonamentului lor.

Articolul bazei de cunoștințe este publicat în wiki-ul intern. 150 de agenți de suport îl pot accesa acum. 12 contractori care lucrează din helpdesk-ul extern îl pot accesa. Articolul este documentație utilă privind gestionarea cazului marginal.

Trei ani mai târziu, baza de cunoștințe are 847 de astfel de articole. Fiecare conține capturi de ecran ale conturilor clienților. Clienții ale căror date de cont apar în capturi de ecran nu și-au dat consimțământul pentru această utilizare secundară a datelor lor.

Expunerea GDPR: De Ce Aceasta Nu Este o Problemă Minoră

Analiza GDPR pentru capturile de ecran din documentația internă:

Minimizarea datelor (Articolul 5(1)(c)): Datele personale trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar". Un articol al bazei de cunoștințe despre cazuri marginale de configurare a contului nu necesită numele real și adresa de email ale clientului. O captură de ecran sanitizată (numele clientului estompat) ar servi scopul de documentare la fel de bine.

Limitarea scopului (Articolul 5(1)(b)): Datele personale colectate pentru un scop (interacțiunea de servicii cu clientul) nu pot fi refolosite pentru un alt scop (documentarea internă a proceselor) fără un temei juridic.

Dreptul la ștergere (Articolul 17): O persoană vizată care solicită ștergerea datelor sale personale are dreptul de a le șterge „fără întârzieri nejustificate". Datele clienților în 847 de articole ale bazei de cunoștințe reprezintă o sarcină de conformitate care se poate extinde pe ani de zile.

Surse: Orientări EDPB privind Rolurile și Responsabilitățile Controlorilor 2021; Orientări ICO privind Documentația și Conformitatea GDPR

Articole Asemănătoare

Securitate AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Securitate AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Securitate AI

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile