«Мой путь в privacy начался с работы, которая меня вынудила, и Data Privacy Office, которые пригласили преподавать»: Татьяна Сивухо о карьере, тренерстве на курсах и рабочих задачах

Первые рабочие задачи Татьяны были связаны с обеспечением полного соответствия privacy-законодательству: нужно было разработать Privacy Policy и Privacy Notice, определить роли компании (контролёр или процессор), провести DPIA и доработать договоры с контрагентами. При этом приложение клиента, с которым они работали, имело непростой сетап, что дополнительно усложняло задачи.

Можно ли освоить всё это самостоятельно: с нуля до серьезных задач на практике? Татьяна уверена, что да, но с оговорками. Для недавнего выпускника университета без опыта работы, привыкшего к белорусскому законодательству, разбираться в европейских актах на английском языке — задача не из лёгких.

«Если люди новички в юридической профессии, или не умеют системно мыслить, или не совсем понимают, как устроены европейские законы, стоит обратиться к специалисту, который поможет сделать это гораздо быстрее и начать свой путь. Это лучше, чем просто сидеть и жалеть денег на обучение: они всегда возвращаются в миллиардном размере», — убеждена она.

Так началась карьера, которая привела Татьяну из первой IT-компании во Flo, а затем в Bolt, где она продолжает работать в сфере privacy и занимает позицию Senior Privacy Counsel.

«Мне круче всего заниматься фичами, которые важны для бизнеса и когда нужно покреативить и найти баланс»: о карьерном развитии и текущих задачах

Высокая позиция — не повод останавливаться. Работа в международной компании предполагает постоянное расширение кругозора как специалиста.

«У меня сейчас теория отскакивает от зубов: я преподаю и постоянно повторяю материал. Преподавание заставляет перечитывать материалы по 300 раз, и ты видишь их с новой стороны. Второе — это практика. Ты сталкиваешься с ситуациями по GDPR в реальном времени, применяешь статьи и понимаешь их неидеальность. Понимаешь, где они не могут работать, а где они слишком придуманы для безопасности, что мешает многим бизнесам и порой пользователям. Третье — нельзя ограничиваться теорией. Чтобы быть хорошим специалистом-практиком, нужно наблюдать за тем, что происходит в мире: за что штрафуют компании, что делают конкуренты, как они подходят к тем же вопросам. Это не значит, что ты плохой специалист, если что-то смотришь или копируешь. Наоборот, это показывает, считаешь ли ты так же, как они. Один специалист хорошо, а два лучше. Это помогает понять, как сделать лучше или так же, потому что их подход уже мог пройти проверку регуляторов. И последнее — постоянное изучение. У меня всегда есть забитые learning-слоты в персональное время на неделе, где я читаю гайды, новости, подходы коллег в LinkedIn. Это помогает оставаться on top всего происходящего», — делится Татьяна.

Именно подготовка и постоянное изучение практики других специалистов и регуляторов помогает решать трудные, но самые распространенные проблемы бизнеса: когда добавить функционал хочется, а GDPR ограничивает. Однако, по мнению Татьяны, такие задачи — интереснее всего.

«Мне круче всего заниматься фичами, которые важны для бизнеса и когда нужно покреативить и найти баланс. Хороший специалист — это не тот, кто скажет “мы не можем”, а тот, кто скажет “классная идея, но давайте немного переделаем, чтобы было лучше”».

В такие моменты на передний план выходит не только знание законодательства, но и понимание технической составляющей и умение управлять продуктами.

«Это самая интересная часть: нужно изучать технические моменты, использовать искусственный интеллект, разбираться в архитектуре. Я смотрю не только с точки зрения комплаенса, но и с точки зрения Privacy by Design и User Experience. Нужно быть постоянно апдейтнутым с продуктом, иногда исполнять роль продукт-менеджера. Я знаю каждую вертикаль наших продуктов от и до. Это делает работу интересной: ты не просто читаешь закон, а как инженер или продукт-менеджер помогаешь что-то создавать».

При этом важно, чтобы на уровне бизнеса privacy-специалисты воспринимались не как помеха коммерческому успеху компании, а как союзники, которые минимизируют риски.

«В Bolt хорошая культура принятия privacy-специалистов на равных. Когда происходит обсуждение дизайна или архитектуры приложения, privacy включается как approver документа наравне с инженерами и менеджерами».

Решение спорных с точки зрения приватности ситуаций рождается благодаря знанию риск-менеджмента. Здесь privacy-специалист должен работать совместно с другими специалистами, чтобы оценить затраты на проект, выгоду от его реализации, расходы на комплаенс и потенциальные риски, которые несет его отсутствие.

«Начинается ситуация, в которой ты понимаешь, зачем бизнесу нужен конкретный продукт, какие улучшения он принесет пользователю, какая от него выгода компании и насколько он важен. Если бизнес оценивает риски по конкретному проекту с учётом требований законодательства — продакт-менеджеры считают потенциальные потери и прибыль, а privacy-специалист оценивает риски от несоблюдения».

Татьяна считает, что хорошему privacy-специалисту и союзнику бизнеса недостаточно знать, что риск несоблюдения GDPR — это штраф до 20 миллионов евро. Важно оценить подход конкретного регулятора к подобной проблеме и насколько потенциальное несоответствие создаёт реальные риски для пользователей и других заинтересованных сторон. В расчет принимают, были ли у регулятора запросы по схожим функциям, какова вероятность материализации риска, а также контекст рынка — сталкивались ли конкуренты с подобными вопросами и насколько «горячая» эта тема в данный момент. При этом штраф, как правило, не становится первым аргументом в разговоре с бизнесом: чаще процесс начинается с пояснения возможных последствий для User Experience и репутации бизнеса, выговора (англ. reprimand — «выговор» — прим. ред.) или просьбы исправить ситуацию от регуляторов, а задача privacy-специалиста — выстроить работу с регуляторами и удерживать баланс рисков.

Однако задачи privacy-специалиста не заканчиваются на креативе, работе с продуктом и расчетах рисков. Тот самый злосчастный «бумажный» комплаенс — как раз то, чем меньше всего нравится заниматься таким специалистам как Татьяна. Рутинные задачи — ее нелюбимые.

«Это то, что именно мне неинтересно, но обязательно должно быть — задокументированные по правилам privacy ассессменты. Я бы хотела, чтобы вся эта документация в виде ассессментов уступила место нормальному механизму оценок с точки зрения законодательства, а не пяти ассессментам на одну фичу, которую бизнес хочет вывести в продакшн. Этот бумажный комплаенс должен быть практико-ориентированным, а в текущим реалиях законодательства, часто он выглядит просто для галочки, чтобы доказать комплаенс регуляторам или при аудите. Внутри компании все, как правило, смотрят на задачи в Jira, design документы, краткие мемо (так называемые RFC документы), где всё написано человеческим языком, а на privacy ассессменты бизнесу смотреть сложно. Это ведет к тому, что они создаются для privacy-специалистов и регистрируются в реестре для соблюдения accountability принципа. Цель всех privacy-специалистов и регуляторов сейчас — совместить ассессменты с практикой бизнесов, чтобы privacy ассессменты были практическими, полезными для бизнес стейкхолдеров и были friendly для регуляторов, кто не знает внутренних процессов компании. Я считаю, что иногда требования для ассессментов излишни: например, на каждую мелкую фичу нужно отвечать, какие меры безопасности приняты, хотя они одинаковы для всей компании».

Но такие задачи есть везде и не убавляют желания развиваться в сфере. Татьяна продолжает расти не только в знаниях по data privacy, но и распространяет экспертизу на искусственный интеллект, даже несмотря на то, что заход в эту область тоже оказался вынужденным.

«Мой менеджер предложила мне заниматься построением AI Compliance. Я была рада, потому что мне это очень интересно, но было тревожно, потому что я мало что понимала в AI Act, но я видела, что она верит в меня и поддерживает. Моя команда занимается также инфосеком, NIS2, DORA — актами, в которых я разбиралась меньше, чем в privacy, но мы всегда верили друг в друга и поддерживали в обучении. Для себя я отметила, что privacy-специалисту важно не ограничиваться только privacy. Я начала изучать AI Act по той же системе, что и GDPR: блокировала слоты времени каждый день и изучала. Сдала AIGP экзамен. Когда меня пригласили преподавать курс [AICP-E], я сначала, как это обычно бывает, не верила в себя, но готовилась очень сильно. В итоге я так глубоко поняла этот акт, что и на работе, и в курсе всё пошло отлично. Мой путь начался с работы и интереса, которые меня вынудили, и Data Privacy Office, который пригласил преподавать курс AICP-E. Важно помнить — «fake it till you make it» — и тогда у тебя не будет выбора. Вера людей и твоя настойчивость ведут к результату».

Даже несмотря на отсутствие установившегося регулирования искусственного интеллекта, применять знания из этой области на практике уже приходится.

«Построение комплаенса с AI Act легче, чем было с GDPR, потому что AI Act на него похож своими требованиями, например, FRIA или Conformity ассессментами. Мне нравится, что этот акт пока не ограничивает инновации. Для большинства бизнесов там нет жестких требований: по прозрачности, этике и легальности и так всё понятно из GDPR и большинство требований акта выгодны для качества продукта. Если бизнес работал этично, для него ничего кардинально не меняется, просто добавляется работа для комплаенс-команды».

На данном этапе Татьяна планирует оставаться в той же индустрии — ride-hailing, car sharing и доставок — или смежных с ней.

«Хочу дальше развивать знания в privacy, искусственном интеллекте и информационной безопасности. В дополнение, моя цель на 2026 год — расширять технические знания и знания о User Experience. Несмотря на иное мнение в privacy сообществе, я считаю, что privacy имеет важное значение именно в больших бизнесах или бизнесах, обрабатывающих огромное количество данных. В стартапах жесткое соответствие privacy законодательству в том виде, в котором оно сейчас существует, может, к сожалению, сдерживать инновацию и это то, что регуляторы пытаются изменить с помощью Digital Omnibus Act. В огромных компаниях каждый совет privacy-специалиста бизнесу имеет огромный вес, и важно контролировать и валидировать свои советы, действия и слова».

«У меня училась потрясающий тренер Ксения Лапутько, которая сейчас ведет курсы»: о преподавании

Татьяна — не только практикующий специалист, она талантливый преподаватель, который вела коучинги по подготовке к международным сертификациям, а сейчас ведет курс Artificial Intelligence Compliance Professional for Europe. Впервые попробовать работу с, пусть и взрослыми, но студентами, удалось в Data Privacy Office. Руководитель направления обучения нашей команды отметила Татьяну как человека, способного понятно доносить материал для других и пригласила стать коучем.

«Я была вдохновлена, мне внутри этого хотелось, потому что я умею хорошо объяснять ситуации. Было немножко страшно, потому что я только получила сертификацию и у меня было 2 года опыта, а на курс приходят люди иногда с бОльшим опытом. Мои близкие поддержали меня, сказав, что люди идут ко мне, потому что я умею хорошо объяснять».