Osobné udaje zo screenshotov v interných znalostných databázach
Interné znalostné databázy — Confluence, Notion, SharePoint, GitBook — uchovávajú špecifický typ problému s osobnými údajmi, ktorý štandardné nástroje na súlad prehliadajú: osobné údaje zákazníkov vložené do screenshotov používaných v procesnej dokumentácii.
Tento vzor sa opakuje v tisícoch tímov podpory a operácií.
Agent podpory nájde neobvyklé nastavenie úctu. Zachytí screenshot stránky zákazníckeho úctu na zdokumentovanie problému. Screenshot zobrazuje meno zákazníka v hlavicke rozhrania, ich e-mail v nastaveniach úctu a detaily ich plánu.
Clanok sa zverejní v internej znalostnej databáze. 150 agentov podpory ho teraz môže zobrazit. Môže ho zobrazit aj 12 dodávatelov externého helpdesku. Clanok je užitocný. Ukazuje, ako zvládnut ten okrajový prípad. Každý agent, ktorý sa v budúcnosti stretne s týmto nastavením, ho precíta.
O tri roky neskôr znalostná databáza obsahuje 847 takýchto clankov. Každý obsahuje screenshoty zákazníckych kont. Zobrazení zákazníci nesúhlasili s týmto sekundárnym použitím svojich záznamov. Väcšina nevie, že ich údaje sú tam uložené.
Toto nie je malý problém. Rastie s každým novým clankom.
Expozícia GDPR: Preco na tom záleží
Analýza GDPR pre screenshoty v znalostných databázach je priamociareva.
Minimalizácia údajov (Clanok 5 ods. 1 písm. c)): Osobné údaje musia byt "primerané, relevantné a obmedzené na to, co je nevyhnutné." Clanok v znalostnej databáze o nastavení úctu nepotrebuje skutocné meno a e-mail zákazníka. Rozmazaný screenshot slúži rovnakému úcelu rovnako dobre. Zahrnutie živých zákazníckych údajov nie je nevyhnutné.
Obmedzenie úcelu (Clanok 5 ods. 1 písm. b)): Údaje zozbierané na jeden úcel — zákaznícky servis — nemôžu byt znovu použité na iný úcel — internú procesovú dokumentáciu — bez zákonného základu. Záznamy úctov boli zozbierané pre poskytovanie služieb, nie pre internú dokumentáciu. Ide o dva odlišné úcely spracúvania. Použitie rovnakých záznamov na oba vyžaduje platný zákonný základ, ktorý väcšina tímov nemá nastavený.
Kontrola prístupu (Clanok 5 ods. 1 písm. f) a Clanok 32): Primerané technické opatrenia musia chránit osobné údaje. Screenshoty zákazníckych kont v nástroji otvorenom pre všetkých 150 agentov a dodávatelov — vrátane tých bez prístupu k základnému systému správy kont — vytvárajú príliš široký prístup.
Právo na výmaz (Clanok 17): Dotknutá osoba žiadajúca o výmaz má právo na odstránenie svojich záznamov "bez zbytocného odkladu". Ak sa jej údaje objavujú v 23 clankov znalostnej databázy ako vložené screenshoty, žiados si vyžaduje nájdenie a aktualizovanie všetkých 23 clankov. To je nárocné bez systému. Náš pruvodca právom na výmaz GDPR pokrýva tieto kroky podrobne.
Ziadne z toho nie sú okrajové výklady. Sú to priame aplikácie textu nariadenia na bežnú prax.
Obchádzanie kontroly prístupu
Najzávažnejší problém súladu pri screenshotoch v Confluence je obchádzanie kontroly prístupu, ktoré vytvárajú.
Tímy podpory používajú riadenie prístupu na základe rolí (RBAC) na obmedzenie toho, kto môže zobrazit systémy zákazníckych kont. Agenti 1. úrovne vidia základné detaily úctu. Agenti 2. úrovne vidia záznamy fakturácie a technické záznamy. Manažéri vidia celý profil úctu.
Ked agent 2. úrovne vytvorí clanok v znalostnej databáze so screenshotom celého zákazníckeho konta, tento screenshot sa stane viditelným pre každého používatela nástroja. Agenti 1. úrovne, ktorí by nemali vidiet záznamy fakturácie, ich môžu teraz zobrazit. Dodávatelia bez systémového prístupu ich môžu zobrazit. Noví zamestnanci vo fáze zaúcania ich môžu zobrazit.
Screenshot obchádza RBAC kontroly na systéme zákazníckych kont. Osobné údaje, ktoré mal RBAC chránit, sú teraz otvorené pre každého s prístupom do znalostnej databázy.
Toto nie je teoretické riziko. Je to normálny výsledok pracovného toku dokumentácie. Screenshot tam sedí bez expirácii, bez logu prístupu a bez audit trailu.
Praktické kroky nápravy
Pre tímy, ktoré objavia tento problém pocas auditu GDPR:
Retroaktívna náprava:
- Identifikujte všetky stránky znalostnej databázy s obrazkovými prílohami
- Spustite detekciu osobných údajov v obrazkoch na každej prílohe
- Skontrolujte oznacené obrazky: nálezy s vysokou dôveryhodnostou idú do frontu na kontrolu
- Pre každý oznacený obrazok: nahradte sanitizovanou verziou alebo obmedzite prístup k stránke
- Zaznamenajte kroky nápravy pre záznamy GDPR
Rozsah retroaktívnej práce závisí od velkosti znalostnej databázy. Pre trojrocnú znalostná databáza v 50-clenom tíme podpory môže pocet obrazkov dosiahnut tisíce. Dávkové spracovanie obrazkov to robí realizovatelným. Ludská kontrola oznacených obrazkov je klúcovým úzkym hrdlom.
Prospektívne kontroly:
- Školite všetkých zamestnancov podpory na sanitizáciu screenshotov pred zverejnením v znalostnej databáze
- Poskytnite nástroje: anotacné nástroje pre screenshoty, ktoré rozmazávajú mená zákazníkov pred vložením
- Pridajte krok kontroly: vymenovaný kontrolor skontroluje clanky pred zverejnením, zameriac sa špecificky na osobné údaje zákazníkov v obrazkoch
- Spúštajte ctvrtrocné dávkové skenovanie obrazkov na všetkých prílohách Confluence
Minimálna životaschopná kontrola: Kontrolný zoznam pri zverejnení: "Pred zverejnením odstránte alebo rozmazajte všetky mená zákazníkov, e-maily a ID kont zo screenshotov." Nízkotechnologický, neautomatizovaný, ale vytvára zdokumentovanú kontrolu. Pre malé tímy je to východiskový bod.
Pozrite si prehlad súladu s GDPR pre širší právny rámec a preco politika bez technických kontrol zlyhá pre vysvetlenie, preco prístupy zalozené len na kontrolnom zozname zlyhávajú pri väcšom rozsahu.
Preco sa problém casom zhoršuje
Bez systematických kontrol sa expozícia osobných údajov v znalostnej databáze znásobuje.
Objem: Každý nový clanok so screenshotom zákazníka zvyšuje celkovú expozíciu. S rastom tímu podpory a rozširovaním znalostnej databázy rastú aj nahromadené osobné údaje. Vlastnosti, ktoré robia tieto nástroje užitocnými — jednoduchost zverejnovania, trvalosot, široký prístup — sú to, co zhoršuje problém s osobnými údajmi.
Zabudnuté clanky: Clanky o starých okrajových prípadoch, ktoré sa už nevyskytujú, zostávajú dostupné. Obsahujú osobné údaje zákazníkov, ktorí odvtedy podali žiadosti o výmaz. Nikto nekontroluje clanok naposledy aktualizovaný v roku 2022.
Medziodborové šírenie: Znalostné databázy casto prechádzajú medzi odbormi. Clanok podpory so screenshotmi zákazníkov môže byt zdielaný s produktovým tímom, inžinierskym tímom alebo externými dodávatelmi pre kontext k požiadavke na funkciu alebo hláseniu chyby. Každé zdielanie rozširuje publikum pre osobné údaje.
Nevybavené žiadosti o výmaz: S tým, ako sa v znalostnej databáze hromadí caraz viac záznamov zákazníkov, stáva sa odpovedanie na žiadosti o výmaz komplikovanejším. Bez systému neexistuje spolahliv spôsob, ako potvrdit, že každá inštancia záznamov dotknutej osoby bola nájdená a odstránená. Tím nemôže podat vierohodné vyhlásenie o vymazaní.
Osobným údajom v znalostnej databáze je lahšie predchádzat, ako ich napravovat. Teraz zavedené kontroly predídu narast problému nápravy. Každý clanok zverejnený bez rozmazaného screenshotu je úlohona nápravu odložená do budúcnosti.