DPO в Fintech company
CIPP/E, CIPT, GDPR DPP, GDPR DPM, FIP
Интервью с Дмитрием Филатовым: о карьерном пути, востребованности технических навыков и курсе GDPR DPT
- 15 июля, 2024
- Интервью
В преддверии старта GDPR Data Privacy Technologist (GDPR DPT), мы поговорили с тренером курса Дмитрием Филатовым, CIPP/E, CIPT, GDPR DPP, GDPR DPM, экспертом в области защиты данных, о карьере, обучении и точках соприкосновения data privacy и технологий. Дмитрий делится своими инсайтами о том, как технические навыки становятся ключевыми в сфере приватности, рассказывает о своем карьерном пути и дает советы тем, кто стремится развиваться в этой области. Узнайте, как повысить свою экспертность и стать востребованным специалистом в мире защиты персональных данных.
Содержание
Немного о карьерном пути и обучении
По образованию я специалист по защите информации, поэтому в приватность попал со стороны информационной безопасности, в отличие от многих privacy-специалистов с юридическим бэкграундом. Я с детства любил компьютеры, телефоны и всевозможные технологии. Могу сказать, что я — техногик
Помню, как в детстве на Windows 95 или 98 я удалил драйверы звуковой карты и долго пытался понять, что с этим делать, так как интернета тогда еще не было. Во время учебы в университете устроился работать полдня системным администратором в аутсорсинговую IT-компанию. Это дало мне существенный толчок в познаниях сетевых технологий, серверных операционных систем, всевозможной периферии и так далее. После учебы я ушел в армию, где мои задачи были связаны с защитой государственной тайны, а также компьютерной и сетевой безопасностью. В связи с этим параллельно продолжал впитывать знания о том, как нужно защищать информацию.
В Иркутске в сфере ИБ было очень сложно найти работу без опыта. Поэтому я переехал в Санкт-Петербург и устроился IT инженером в пожарно-спасательный отряд, где взял на себя все задачи, которые связаны с организацией обработки и защиты персональных данных. В университете также прошел курс повышения квалификации по защите ИСПДн (информационная система персональных данных), поэтому у меня были необходимые знания для этого. Я понял, что это достаточно интересное направление, и начал искать работу уже по специальности. В итоге устроился в дочернее общество Газпром нефти главным специалистом по защите персональных данных, где уже 100% моих задач были связаны с ПД.
Примерно в это же время вступил в силу GDPR, и мы с коллегами начали его изучать. И в апреле 2019 года я решился пойти на курс GDPR Data Privacy Professional к Сергею Воронкевичу, который по-настоящему открыл для меня мир data privacy. После этого в 2020 году я прошел в Москве офлайн курс GDPR Data Privacy Technologist, тренером которого я теперь и являюсь. В конце 2020 года перешел в МТС, где начал использовать знания GDPR и другого международного законодательства на практике. А в 2021 году, чтобы освоить еще и навыки управления в сфере приватности, записался на курс GDPR Data Privacy Manager. Ну и конечно, чтобы повысить свою востребованность как специалиста, получил сертификации CIPP/E и CIPT. Для меня очень важно саморазвитие и постоянное обучение, поэтому и по сей день продолжаю постоянно изучать новое. Сейчас, в роли DPO европейской FinTech компании, сталкиваюсь с различными кейсами, благодаря которым курс наполняется новой информацией.
Пройдя столько обучающих курсов, я понял, что также хочу делиться знаниями с другими. Так и случилось. Как-то в разговоре с Андреем Гринашем (co-founder Data Privacy Office) у нас родилась идея переработать курс GDPR Data Privacy Technologist и сделать меня в роли соавтора и тренера. Я всегда хотел сотрудничать с командой Data Privacy Office, поэтому с радостью согласился на такую возможность.
Почему специалисту по защите персональных данных важно обладать техническими знаниями?
Защита персональных данных — это тема, которая находится на стыке множества направлений: бизнес, маркетинг, юриспруденция и, конечно же, IT и ИБ. Чтобы правильно организовать обработку персональных данных, необходимо понимать, как работают технологии. Потому что без этого можно упустить множество рисков. Например, анализируя процесс регистрации пользователя на сайте, вы должны не только оценить дизайн на соответствие принципам Privacy by Design и Privacy by Default, убедиться, что там нет Deceptive Patterns, но и понять, что у сайта «под капотом»: где хостится сайт? Где расположены базы? Какие данные мы собираем? Кто к ним будем иметь доступ? Кому мы будем их передавать?
Как правило, эту информацию можно получить из технической документации, потому что это чаще бывает проще и надежнее, чем объяснить разработчику, что такое персональные данные. Сегодня каждая компания использует множество программных продуктов, в том числе для обработки персональных данных, поэтому без технических знаний privacy-специалисту точно не обойтись.
Какие конкретные технические навыки наиболее востребованы в сфере data privacy сегодня?
Сложно назвать конкретный список технических навыков, которые наиболее востребованы, потому что все зависит от специфики компании. Но есть база, которую обязательно нужно знать privacy-специалисту, так как это есть в каждой компании: как работают сети и цифровые устройства, базы данных, облачные вычисления, веб и мобильные приложения, средства и методы защиты информации, основы AI/ML и так далее. И в зависимости от направления компании могут потребоваться знания биометрии, IoT и т.д.
В рамках курса GDPR DPT мы как раз рассматриваем все эти вопросы и не только.
Как специалист может развивать в себе технические компетенции в области защиты данных? С чего лучше начать и какие ресурсы использовать?
В первую очередь, нужно начать интересоваться технологиями и как все это работает изнутри. Попробуйте разобрать и собрать системный блок компьютера, и понять, за что отвечает и как работает каждый элемент 🙂
А если серьезно, то можно также смотреть обучающие ролики на YouTube, которые коротко и понятно рассказывают, например, что такое SQL. Всем студентам я даю доступ к своей подборке роликов, которые дополняют полученные знания. Необходимо не просто знать, как работает та или иная технология, но и понимать, как она участвует в обработке персональных данных и какие риски могут возникнуть. Для этого уже нужно искать материалы, которые описывают эти моменты. Например, гайды от надзорных органов, такие как гайд DNS Privacy от испанского надзорного органа AEPD.
Во время курса на каждую тему я даю ссылки на релевантные дополнительные материалы: гайды, презентации, видео и прочее.
Какие карьерные перспективы открываются перед специалистами, которые обладают не только общими знаниями по data privacy, но и техническими?
Владея только общими знаниями в data privacy, можно выполнять только ограниченный круг задач, которые связаны больше с операционной деятельностью (legal направлением). Если вы планируете в перспективе занять роль DPO или CPO, то технические знания точно потребуются, можете просто взглянуть на описание вакансий на LinkedIn.
Но если вы хотите стать privacy-инженером, то потребуются еще более глубокие знания: языки программирования, алгоритмы анонимизации и прочее.
Как вы оцениваете текущий уровень осведомленности компаний и в целом privacy-специалистов о необходимости технической защиты персональных данных?
Я замечаю, что некоторые компании все еще доверяют вопросы обработки персональных данных юридическим подразделениям. Из-за того, что юристу часто не хватает знаний в технологиях, а IT и ИБ подразделения не хотят погружаться в юридические тонкости, то появляется разрыв, который не позволяет им действовать слаженно. А ведь даже для создания реестра обработок необходимо проанализировать все IT системы, связать данные с соответствующими процессами и т.д. В такие компании я бы добавил недостающее звено в виде DPO, который обладает техническими навыками и мог бы наладить взаимодействие.
Также видно, что в крупных технологических компаниях все чаще появляются позиции Privacy Engineer. Это говорит, что privacy становится конкурентным преимуществом среди компаний.
Что бы вы посоветовали тем, кто только начинает свой путь в сфере защиты персональных данных? Какие ключевые навыки, помимо технических, необходимы для успешной карьеры в этой области?
Если вы только начинаете погружение в мир персональных данных, то я всегда в таких случаях советую быть любознательными, разносторонними, потому что data privacy достаточно творческое направление и необходимо уметь видеть процессы с разных сторон. В зависимости от вашего бэкграунда, старайтесь прокачать навыки, в которых чувствуете недостаток.
В целом можно выделить 3 основных направления — Legal, IT/ИБ и менеджмент. Поэтому, если вы юрист, то углубитесь в вопросы, которые связаны с технологиями и ИБ. Если вы IT/ИБ специалист, то поймите все тонкости Legal направления применительно к обработке ПД. Ну и менеджерские качества пригодятся всем, так как это помогает организовать свою работу и управлять командой. Скажу честно, мне кажется, что путь со стороны Legal в IT/ИБ сложнее, нежели в обратную сторону. Хотя среди моих знакомых есть хорошие примеры юристов, которые получили дополнительное образование в сфере ИБ. Поэтому все возможно, стоит только захотеть!