Необходимые навыки для DPO, регулирование ИИ и сопротивление бизнеса: интервью с Татьяной Заплатиной о том, что волнует privacy-специалиста
- 28 апреля, 2026
- Карьера
Содержание
От академической сферы в приватность — еще один способ начать карьеру в privacy
История Татьяны Заплатиной — это пример того, как глубокий академический бэкграунд может открывать путь не только для преподавания в университете и участия в научных конференциях, но и помогает продолжить карьерный путь в самых передовых технологических нишах.
«В прошлом я преподаватель‑исследователь и кандидат юридических наук. Этот опыт научил меня системно мыслить и постоянно учиться».
Татьяна пришла в сферу приватности в один из самых знаковых моментов для индустрии — в период принятия и вступления в силу GDPR в Европейском союзе.
«Еще до вступления Регламента в силу я участвовала в международном конкурсе 20th Anniversary of Central and Eastern Europe Moot Court Competition. Там мы анализировали вопросы трансграничной передачи данных согласно Директиве 95/46/EC. Это и стало отправной точкой моего интереса. Вскоре после вступления GDPR в силу я начала работать в IT-компании с представительством в ЕС, занимаясь практическими вопросами соответствия новому законодательству».
Переход в сферу Data Privacy не был резкой сменой курса, а скорее стал логичным развитием юридической карьеры Татьяны.
«Ключевым поворотным моментом стало именно вступление GDPR в силу и участие в упомянутом международном конкурсе. Тогда я поняла, насколько эта сфера сочетает юридическую логику и технологичность, и насколько она перспективна в контексте цифровой трансформации. <…> Работа с персональными данными всегда казалась мне своей дорогой: динамичной, требующей аналитического мышления и постоянного роста».
Неочевидные навыки, которые нужны каждому privacy-специалисту: о технической стороне приватности
Несмотря на наличие практического опыта, Татьяна приняла решение пройти обучение на курсах Data Privacy Office. Главной мотивацией стало желание вернуться к международному контексту регулирования данных и обменяться опытом с коллегами мирового уровня. Однако программы Data Privacy Technology и Artificial Intelligence Compliance Professional for Europe дали нечто большее, чем просто обновление правовой базы — они добавили в её арсенал глубокое техническое понимание процессов.
«Это крайне полезно при внедрении систем. Часто в компаниях возникают пограничные вопросы, когда при обсуждении с отделами ИТ или ИБ их видение остается чисто техническим, а у человека, который владеет правовыми нормами, немножко другой взгляд».
По мнению Татьяны, без полной технической картины мира тяжело полностью представить суть правоотношений. В качестве примера она приводит самый банальный сценарий — заявку через сайт. За ней кроется что-то большее, чем клик по кнопке. В закулисье остается целая система, которая обращается к разным серверам в интернете. Там выстраивается алгоритм передачи данных и собираются не только ФИО, почта и телефон, но и IP-адрес и еще множество данных, которые считаются персональными. В таком случае датасет совершенно отличается от того, что указано в форме ввода.
«Это важно для подготовки документа. Одно дело пользователю сказать: “Ты пользуешься веб-сайтом”, а другое — сказать: “Ты пользуешься сайтом на таких условиях, и поэтому мы твои данные передаём еще 5 компаниям”. Этот второй путь будет наиболее правильным, потому что мы знаем, что система разветвлённая, и, по-хорошему, мы должны пользователю сказать, что его данные передаются. Тем самым мы снижаем риск его претензии.
И вот человек, например, приходит к нам и говорит: “Вы передали мои данные незаконно”. А мы отвечаем: “Мы ничего незаконно не передавали. Мы заранее довели до вас информацию о том, как работает наш сервис. Вот, посмотрите: здесь прописаны условия, у нас есть гарантия, у нас есть договор”.
И мы сразу проверяем всю связку полностью. Мы смотрим, где расположена система, как она работает. Мы проверяем контрагентов. Мы поднимаем договоры и так далее».
Именно глубокое техническое понимание дает возможность не просто подготовить документы и повесить их, потому что «так нужно по закону». Эти документы действительно закрывают конкретные процессы, которые происходят, и не только в момент, когда пользователь нажимает кнопку на сайте.
Тренинг Data Privacy Technology помог Татьяне по‑другому посмотреть на привычные для юриста сюжеты и увидеть «что происходит под капотом» в реальных процессах обработки данных. Речь уже не про абстрактное «пользователь заходит на сайт» или «сотрудник работает с телефона», а про конкретную механику: как именно запускаются сервисы, каким способом человек получает доступ, какие данные фактически собираются на каждом шаге и не захватывает ли система лишнее.
Поговорили с тренером курса Дмитрием Филатовым, экспертом в области защиты данных, о карьере, обучении и точках соприкосновения data privacy и технологий.
Отсюда для неё становятся понятными и практическими вещи, которые раньше легко было воспринимать как бюрократию. Например, зачем нужна политика использования личных устройств, почему компаниям важно выдавать корпоративные телефоны, как должны быть устроены контроль устройств и порядок их применения. Татьяна подчёркивает: ключевые решения принимаются не «на бумаге», а на уровне настроек систем и архитектуры доступа.
Без технического понимания эти причинно‑следственные связи не всегда очевидны, а после тренинга, как считает Татьяна, главное становится простым и ясным: нужно увидеть процесс целиком, понять его и только затем выстраивать требования и контроль.
При этом Татьяна считает, что технические навыки обязательны для каждого privacy-специалиста, ведь без них просто невозможно не только выстроить грамотную систему комплаенса, но и спокойно пройти проверку регулятора.
«Потому что, если регулятор придёт с действительно серьёзным запросом, как это бывает в Европе, с детальной проверкой и выгрузкой потоков данных, — на него невозможно будет ответить правильно без технического понимания и реальных процессов. Формальные “отписки” здесь не сработают. Нужно уметь показать регулятору, что у компании процессы выстроены и управляются, а не существуют только на бумаге».
Сегодня профессиональный фокус Татьяны смещается в сторону AI Governance. Обучение на курсе Artificial Intelligence Compliance Professional for Europe помогло ей осознать свою новую роль: не просто классического DPO, а специалиста, который соединяет право, этику и высокие технологии.
«Мои планы на искусственный интеллект очень большие. Ваши курсы изменили мое мировоззрение. Раньше меня волновали только вопросы работы с персональными данными, а сейчас — проблема самого интеллекта. Его сложно обучить без качественного датасета. Если мы говорим об использовании ИИ в больницах, где критически важно поставить диагноз, мы не можем обучать его только на синтетических данных — модель будет нерелевантной и просто бесполезной. Здесь нужно соблюдать баланс между правом на приватность и правом на человеческую жизнь, что допустимо даже в рамках GDPR. Мне интересно, чтобы интеллект внедрялся качественно и полноценно. Я бы хотела заниматься этим на международных рынках, где сосредоточено наибольшее количество технологий. Сейчас я с интересом наблюдаю за реформами в ЕС, в частности Digital Omnibus и внедрением AI Act, — впереди нас ждет много интересной судебной практики».
Присоединяйтесь к курсу Artificial Intelligence Compliance Professional for Europe. На нем мы детально разбираем требования EU AI Act и объясняем, как внедрить требования закона в процессы и продукты компании.
«Компанию должно буквально “потрясти” от последствий, чтобы появилась реальная мотивация»: проблемы регулирования ИИ в СНГ и Европе
Так как карьерный фокус Татьяны сейчас во многом направлен именно на развитие в сфере AI Governance, в ходе разговора мы погрузились в эту сферу и обсудили несколько важных моментов, которые сейчас «болят» у специалистов.
Регулирование искусственного интеллекта сегодня находится в той же точке, в которой защита персональных данных была десять лет назад: мир осознает масштаб технологии, но не все готовы к жестким рамкам. Татьяна Заплатина отмечает, что разрыв между европейским подходом и практикой в других регионах, включая СНГ, становится все более очевидным. В то время как Европа внедряет риск-ориентированный подход, многие компании в других юрисдикциях продолжают воспринимать ИИ как «черный ящик», не требующий особого контроля.
Главное отличие европейского подхода заключается в системности и предсказуемости. Принятие AI Act стало знаковым событием, которое создало четкую иерархию систем ИИ в зависимости от их опасности для прав человека. В регионах, где специальное законодательство еще не сформировано, образовался правовой вакуум, который компании не всегда стремятся заполнить самостоятельно.
«В европейских странах сегодня есть четкое понимание того, к каким нарушениям прав может привести ИИ и в каком масштабе; там существует понятная градация систем. В странах, где этого нет (например, в том же Китае или СНГ), вопрос регулирования пока остается на усмотрение государства. Но я считаю, что компании должны внедрять внутренние политики, даже если прямого правового регулирования еще нет. Должны быть стандарты управления, которые позволяют правильно внедрять и настраивать технологии. В этом огромный плюс права Евросоюза: они первыми приняли AI Act, они видят проблему».
Почему бизнес игнорирует ИИ-комплаенс?
Одной из главных проблем Татьяна называет небрежное отношение бизнеса к рискам. Зачастую руководство компаний рассматривает внедрение ИИ исключительно как способ оптимизации расходов или сокращения штата, забывая о безопасности данных, на которых обучаются модели.
«Сейчас компании воспринимают ИИ просто как средство облегчения труда или сокращения штата, исходя только из своих интересов. Но начинать нужно не с оптимизации, а с правильной настройки и привлечения людей, которые обеспечат безопасность этой инфраструктуры».
При отсутствии четкого регулирования, бизнес попросту не воспринимает риски всерьез.
«Бизнес должен понимать угрозу. Если он её не видит, то и вопросом заниматься не будет. С ИИ ситуация такая же, как с персональными данными: пока фирму показательно не оштрафуют, пока она не понесет существенные убытки или пока люди не перестанут покупать её товары, она не прочувствует проблему. Многие рассуждают так: «Ну ладно, мы заплатили штраф, но прибыль все равно больше — идем дальше». Компанию должно буквально «потрясти» от последствий, чтобы появилась реальная мотивация».
Хотя при таком беспечном подходе компании упускают из виду одну опасную ловушку, которая может незаметно принести убытки гораздо большие, чем просто штраф. Последствия утечки данных через ИИ-агентов или неправильной настройки алгоритмов могут проявиться не сразу, а спровоцировать «эффект отложенного вреда». И пока организация его не замечает, она находится только в иллюзии безопасности.
«Существует огромный разрыв между фактом утечки и наступлением последствий. Если ИИ имел доступ к инсайдерской информации или клиентским базам и передал эти данные в неконтролируемое облако, компания может даже не сразу это отследить. Пока идут первые «звоночки», на них не реагируют. А когда масштаб последствий становится существенным, может быть уже поздно — ресурсов или финансов на исправление ситуации уже не хватает».
«Сложно говорить о внедрении этичного ИИ, если в компании даже нет матрицы доступа для сотрудников»: о трудностях профессии и мотивации развиваться
Для специалиста по AI compliance основной сложностью становится сопротивление внутри организации. Часто инициативы по защите данных и этичному использованию ИИ воспринимаются как «тормоз» для развития продукта. Татьяна подчеркивает, что специалисту приходится работать не только с законами, но и с психологией бизнеса, а иногда — с отсутствием базовой цифровой гигиены в компании.
«Я сталкивалась с тем, когда организации просто выбрасывают копии паспортов на улицу, не удосужившись засунуть их в шредер. Это просто вопиющая халатность».
Низкий уровень зрелости внутренних процессов тормозит работу, однако специалистам приходится учитывать это в работе и строить комплаенс не «по учебнику», а так, как это возможно в конкретных реалиях бизнеса.
«Сложно говорить о внедрении этичного ИИ, если в компании даже нет матрицы доступа для сотрудников. Они, наверное, в какой-то момент сами до этого дойдут. То есть тут должен быть подход, ориентированный на компании более и менее развитые».
Однако, если некоторые бизнесы отстают в плане комплаенса из-за своего этапа развития, то некоторые в погоне за максимальной прибылью даже в ущерб правам пользователей просто пренебрегают мерами безопасности.
«Я постоянно сталкиваюсь с тем, что бизнес считает комплаенс ограничением эффективности. В таких случаях я всегда иду через расчет рисков: считаю возможные штрафы, цену проекта и вероятность наступления последствий. К сожалению, иногда компании пренебрегают советами, и последствия наступают. Но есть и хорошая сторона: после того как проблема «выстрелила«, люди начинают активнее вовлекаться, проводить обучение сотрудников и принимать регламенты. Пока продажи идут и ничего не происходит — всем хорошо».
Такой постоянный поиск компромиссов между интересами бизнеса и пользователей Татьяна считает наиболее трудной частью работы privacy-специалиста.
«Самое трудное в профессии DPO — найти баланс между рисками и регуляторными требованиями. Очень важно понимать бизнес‑процессы и уметь выстраивать рамки, которые обеспечивают законность, но не мешают развитию».
Чтобы успешно решать проблемы комплаенса и находить те самые компромиссы, Татьяна выделяет три ключевых soft skills privacy-специалиста: коммуникабельность, аналитическое мышление и эмпатию в отношении бизнеса. Именно эмпатия позволяет понять бизнес-процессы изнутри и выстроить такие рамки, которые обеспечат законность, не мешая при этом развитию и получению прибыли.
Однако какими бы трудными задачи касательно комплаенса ни были, главное — помнить, ради чего это делается.
Для Татьяны истинная ценность работы в сфере персональных данных заключается в возможности упорядочить процессы и превратить хаос обращения с информацией в устойчивую и прозрачную систему. Когда процессы меняются в лучшую сторону, это приносит не только реальный результат компании, но и глубокое внутреннее удовлетворение самому специалисту, который создает фундамент для этичного будущего технологий.
Итог
Татьяна Заплатина — это еще один специалист, который, к нашей радости, преследует те же идеалы приватности, что и команда Data Privacy Office. Вместо формальных отписок для регулятора — понимание реальной механики использования персональных данных, вместо небрежного отношения к сложным технологиям — защита интересов пользователей даже там, где до сих пор могут просто «выбросить копии паспортов на улицу. В ваших силах стать таким же специалистом, приносить пользу обществу и получать огромное внутреннее удовлетворение от важной работы.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
