anonym.legal

By · Last updated 2026-06-05

Povratak na blogBezbednost veštačke inteligencije

Snimci ekrana i curenje licnih podataka u internim alatima

Slack, Teams, Jira i email svakodnevno primaju snimke ekrana koji sadrze licne podatke klijenata. Ova povreda kontrole pristupa zaobilazi sve DLP alate.

June 5, 20266 min čitanja
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

Slepa tacka DLP-a koja jos nije revidirana

DLP alati prate mrezni saobracaj, imejl fajlove i prenose fajlova. Hvataju tabele sa kolonama JMBG-a. Oznacavaju imejlove sa listama klijenata. Blokiraju otpremanja sa medicinskim dosjeima.

Ne hvataju snimke ekrana.

Snimak ekrana je fajl slike. Licni podaci u njemu su nacrtani kao pikseli. Nisu sacuvani kao tekst. DLP motori koji skeniraju obrasce licnih podataka nista ne nalaze.

Svaki dan, zaposleni lepe snimke ekrana u Slack, Jira, Teams i lanace imejlova. Nula DLP upozorenja se aktivira.

Kako se snimci ekrana sire licnim podacima na poslu

Rad na daljinu i hibridni rad ucinio je deljenje snimaka uobicajenim. Interni alati se svakodnevno pune njima.

Clanovi tima dele snimke radi brzog konteksta:

  • Agenti podrske preuzimaju prikaze korisnickih naloga za deljenje sa timskim liderima.
  • Programeri dele evidencije gresaka koje ukljucuju podatke koje su korisnici uneli.
  • Menaderi naloga salju CRM zapise da bi dali kontekst finansijskim timovima.
  • IT administratori snimaju sistemske prikaze da bi dokumentovali postavke za izvrsioce ugovora.
  • Timovi za proizvode dele prikaze kontrolne table u azuriranjima za zainteresovane strane.

Svaki prilog moze da nosi licne podatke. Snimak korisnickog naloga sadrzi ime, imejl, status i adresu za naplatu. Fajl evidencije gresaka moze da ukljucuje imena, adrese ili brojeve telefona koje su uneli korisnici. Snimak CRM zapisa sadrzi potpuni profil naloga. Fajl kontrolne table moze da prikazuje korisnicke ID-ove u oznakama grafikona.

Problem kontrole pristupa

Deljenje snimaka ekrana takodje stvara problem kontrole pristupa.

Vecina organizacija sprovodi kontrole pristupa zasnovane na ulogama na produkcijskim sistemima. Agent podrske vidi samo zapise svog reda. Izvrsioce ugovora vidi samo dodeljene projektne fajlove.

Kada agent preuzme zapis klijenta i naljepi ga u Slack kanal sa izvrsaocima ugovora, kontrola pristupa je zaobidjeno. Izvrsioce ugovora dobija licne podatke do kojih nije mogao da dodje normalnim putem. DPA za rad sa ugovaracima mozda ne pokriva ovaj prenos. GDPR prava klijenta mozda se ne primenjuju na tog ugovaraoca.

Ovo zaobilazenje je GDPR problem clana 5(1)(f). Pokriva integritet i poverljivost. Moze takodje da stvori probleme uskladjenosti sa clanom 28 ako ugovaraci dobijaju licne podatke bez odgovarajucih DPA-ova. Pogledajte nas GDPR vodic za usaglasenost za kontrolnu listu duznosti prema clanu 28.

Detekcija licnih podataka na slikama kao tehnicka zastita

Tehnicka zastita od izlaganja licnih podataka putem snimaka ekrana je OCR plus NLP detekcija. Koraci su jednostavni.

  1. Zaposleni snima ekran sa korisnickim interfejsom.
  2. Pre deljenja: otprema snimak u alat za detekciju.
  3. Alat izvlaci vidljivi tekst putem OCR-a.
  4. NLP pronalazi entitete licnih podataka u tekstu.
  5. Zaposleni vidi izvestaj: "Ovaj snimak sadrzi: [ime klijenta], [imejl adresu], [ID naloga]."
  6. Zaposleni zatim redakuje licne podatke, suzava obim deljenja ili nastavlja sa pisanim razlogom.

Ovo ne blokira sva deljenja. Pokazuje licne podatke pre nego sto se premeste. Ljudi tada mogu da donose informisane odluke. Pogledajte kako ovo uklapa u vas stek zastite na stranici o merama zastite.

Studija slucaja: Politika snimaka ekrana za Jira u SaaS helpdesku

Helpdeskova SaaS kompanije koristila je Jira za evidentiranje problema sa nalogom. Fajlovi prikaceni uz te tikete sadrzali su korisnicke licne podatke. Konkretno:

  • Imejl adrese korisnika sa ekrana upravljanja nalogom.
  • Detalji o pretplatnom planu.
  • Iznosi i datumi naplate.
  • Delimicni podaci o placanju u nekim slucajevima.

GDPR revizija nasla je 847 Jira tiketa napravljenih tokom 18 meseci. Svi su imali priloге sa licnim podacima. Jira je bila otvorena za svih 200 inzenjera. Neki su bili ugovaraci bez DPA-ova za zapise o naplati klijenata.

Koraci remedijacije:

  1. Retroaktivna revizija: detekcija licnih podataka na svim postojecim prilozima. 312 tiketa oznaceno za pregled od strane DPO-a.
  2. Ciscenje tiketa: 89 tiketa imalo je fajlove prekrivene pre ponovnog prikacivanja.
  3. Promena procesa: novi radni tok koji zahteva proveru licnih podataka pre prikacivanja uz Jira.
  4. Obuka: 15-minutna sesija za sve osoblje helpdeska.

Rezultati posle 90 dana:

  • Incidenti sa licnim podacima u Jira: smanjeni za 90 procenata.
  • Preostali incidenti: slucajevi gde je osoblje nastavilo sa pisanim dijagnostickim razlogom.
  • Obim DPA-a: azuriran radi smanjenja nepotrebnog izlaganja licnih podataka ugovaracima.

312 istorijskih tiketa bilo je compliance nalaz. Pad od 90 procenata posluzio je kao dokaz remedijacije u odgovoru na reviziju.

Ugradnja pregleda snimaka u timske radne tokove

Za organizacije koje zele kontrole licnih podataka bez usporavanja operacija, postoji nekoliko opcija.

Lagana opcija: Alat za browser koji zaposleni koriste pre lepljenja u Slack ili Jira. Prevucite snimak, dobijete izvestaj o licnim podacima za pet sekundi, zatim nastavite ili redakujte.

Jira ili ServiceNow kuka: Detekcija koja se pokrce pre nego sto fajlovi stignu do tiketa. Funkcionise kao antivirusno skeniranje pre otpremanja fajla.

Slack bot: Bot koji prima otpremanja snimaka u odabranim kanalima. Pokrace detekciju licnih podataka. Objavljuje odgovor u niti sa otkrivenim entitetima. Ovo cini licne podatke vidljivim bez blokiranja radnog toka.

Timska norma plus uzorkovanje: Nedeljni automatizovani pregled. Uzorak od 10 procenata snimaka u alatima za saradnju. Pokrenite detekciju. Prijavite nalaze timlidu. Ovo gradi odgovornost bez blokiranja ijednog radnog toka.

Za GDPR evidencije: kontrola licnih podataka u snimcima broji se kao "organizaciona mera" prema clanu 32. Napiste zastitu — politiku plus tehnicki alat. Dodajte dokaz upotrebe. Ovo ispunjava pravilo odgovornosti clana 5(2). Pogledajte nasu stranicu o usaglasenosti i recnicki unos za clan 32.

Zelite da vidite kako anonym.legal resava ovo za vas tim? Posetite nasu stranicu planova ili procitajte izjavu osnivaca o de-identifikaciji.

Izvori

Povezani članci

Bezbednost veštačke inteligencije

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Bezbednost veštačke inteligencije

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Bezbednost veštačke inteligencije

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.