Скажу сразу: я работаю в компании, которая делает этот продукт. Предвзятость есть и никуда не денется. Но я использую Privacy Box в настоящих клиентских проектах. Не для демонстраций и не в учебных примерах, а на реальных задачах, где ошибка стоит денег.

Расскажу не «что появилось», а что я уже применяю, и что из этого вышло. 

Шаблоны процессов: я нашел ошибку в собственном реестре

Лет шесть я строил реестры обработки персональных данных вручную. Сначала из головы, потом по накопленным примерам. Когда вышла библиотека из 170 шаблонов, решил прогнать через нее один из своих старых реестров. Просто посмотреть, есть ли расхождения.

Расхождения были.

В процессе «Видеонаблюдение» у меня стояло правовое основание «согласие субъекта». В шаблоне — «законные интересы оператора» с пояснением. И это правильнее: видеонаблюдение в офисе ради безопасности — не та ситуация, в которой берут согласие у каждого входящего. Там другая логика, другие уведомления, другая документация.

Шаблоны не универсальны, т.к. под конкретный случай все равно нужно думать самому. Но как отправная точка они сильнее пустой формы. На новых проектах теперь начинаю с них: беру подходящий, адаптирую под клиента. Быстрее и чище.

Детальное выявление рисков: наконец не «что-то не так», а понятно, что именно

Старый модуль работал как лампочка «check engine». Если горит, то что-то не то. А что именно — иди разбирайся сам.

Новый показывает конкретно. Не «у вас есть несоответствия», а «в процессе "Подбор персонала" не указано правовое основание обработки биометрических данных при прохождении контроля доступа — нарушение ч. 2 ст. 11 152-ФЗ».

На одном проекте с медицинской организацией, где около 30 процессов, инструмент показал 11 замечаний. Пять я бы нашел при ручной проверке. Если шесть… Честно, не уверен, что поймал бы сразу. Один касался специальных категорий данных, а там штрафные риски совершенно другого порядка.

Контекст клиента инструмент все равно не знает, нюансы отрасли не понимает. Ревью никуда не делось. Но как первый прогон перед аудитом он работает: поиск очевидного отдаю ему, а себе оставляю то, где нужна голова.

Автоматический сканер сайта: поймал то, о чем клиент сам не знал

У одного клиента с небольшой B2B-компанией сканер прислал уведомление через две недели после запуска. Появился новый скрипт.

Спросил. Оказалось, маркетолог подключил сервис тепловых карт: посмотреть, как пользователи ведут себя на посадочной. Никто не подумал, что это обработка персональных данных. Технически там нет имен и email, только IP и поведение. Но по 152-ФЗ это ПДн: обработчик за рубежом, нет поручения, нет упоминания в политике.

Раньше сканер запускался только вручную. Надо было помнить и инициировать. Но никто не помнит. Разница между автоматическим и ручным сканированием — это разница между «поймали сразу» и «узнали при проверке».

Звучит банально. Но конкретно этот кейс обошелся бы клиенту нервами и деньгами.

Онбординг: я отправил его вместо себя

После того как настраиваю реестр, кто-нибудь из команды клиента обязательно приходит с вопросом: «А как мне самому добавить процесс?» Начинаются скринкасты, созвоны, объяснения. Каждый раз.

Онбординг в новой версии переписали, и я решил попробовать его вместо себя. Попросил HR-менеджера клиента, которая никогда не работала с такими инструментами, пройти самостоятельно.

Прошла. Потом задала два вопроса: оба по существу, а не «где находится кнопка?».

Мне выгодно, когда клиент не зависит от меня в базовых вещах: сложные задачи интереснее. Вывод без украшений: если инструмент требует внедренца для каждого нового пользователя, то это не проблема пользователя.

Бесплатный тариф: неожиданно полезен даже мне

Казалось бы, что мне с бесплатного тарифа. Нашел применение.

Когда приходит небольшая компания с вопросом «с чего начать?», раньше у меня было два варианта: заплатить за консалтинг или скачать шаблоны из интернета и разбираться самому. Оба варианта плохие.

Теперь говорю: зарегистрируйтесь, пройдите онбординг, загрузите данные из уведомления РКН, если оно есть. Начните с кадровых шаблонов. Это не закрывает все, но это реальный старт без денег и без меня. А когда они все-таки приходят на консультацию, у нас уже есть с чем работать.

Я предвзят. Работаю в Б-152, использую Privacy Box каждый день, хочу, чтобы продукт был хорошим. Но именно поэтому мне интересно, когда он работает плохо. И в этот раз было намного труднее найти места, где не работает.

Антон Ковалев — эксперт по прайваси и защите персональных данных, Б-152