Профессия 2023: специалист по защите персональных данных
Ужесточение законодательства заставляет компании обращаться к услугам специалистов по защите персональных данных — DPO, которых на рынке не хватает, даже несмотря на средние зарплаты от 180-250 тыс. рублей и многочисленные курсы повышения квалификации. Разбираем, что это за профессия, кто может в нее попасть и какие в ней перспективы.
Особенности рынка защиты персональных данных
В декабре 2022 года компания Б-152 провела очередное исследование рынка Privacy, в котором приняли участие несколько сотен организаций, в том числе ведущие IT-компании, фарма, производственные и иные представители отраслей. Мы ежегодно опрашиваем сотни специалистов из разных компаний, чтобы понять уровень зрелости российского рынка в этом направлении.
Компания Б-152 — признанный лидер в сфере защиты ПДн и Privacy с 2011 года. Более 800 компаний пользуются нашими консультационными услугами, более 11 000 используют наши сервисы для разработки документов и работы с ПДн.
Несколько фактов из последнего исследования:
▪ Ответственный за организацию обработки персональных данных на полную ставку или по совмещению назначен в компаниях у 44% опрошенных (по сравнению с 25% в прошлом году)
▪ Специалисты по защите персональных данных в основном сосредоточены в компаниях из отрасли ИТ, медиа и телеком (15% опрашиваемых)
▪ Наибольшее число DPO работает в компаниях с 100-500 сотрудников (26%) и в крупном бизнесе с более чем 1000 работников (16,5%)
▪ Юристы чаще других назначаются ответственными за организацию обработки персональных данных (37%). В этом году они в процентном отношении обогнали даже специалистов по информационной безопасности (26%). Также ответственными часто становятся специалисты HR (9%).
▪ Начинающий специалист DPO обходится компаниям в среднем в 150 т.р., а зарплата миддла составляет 250-350 т.р.
Оператор персональных данных — компания или физлицо, которое собирает, хранит и обрабатывает персональные данные (телефоны, email и любые другие данные о человеке, по которым можно определить его личность). Фактически большинство действующих бизнесов в России являются операторами ПДн.
Почему востребованы DPO?
- В федеральном законе «О персональных данных» более 66 требований к компаниям-операторам ПДн. Если учитывать требования подзаконных актов, то их будет более сотни. Следить за соблюдением их всех в компании возможно, только если в штате или на подряде есть выделенный специалист, разбирающегося в вопросе.
В КОАП более 12 видов штрафов размером до 18 млн рублей за нарушение требований по персональным данным. Кроме того, планируется вв��дение оборотных штрафов за утечки ПДн.
- В 99% случаев каждый оператор обязан отправить уведомление в РКН об обработке ПДн, чтобы быть включенным в реестр операторов. В уведомлении нужно обязательно указать ФИО и контакты ответственного за обработку персональных данных, того, кто будет действительно отвечать за все вопросы работы с ПДн в компании.
- В вузах нет обучающих программ, которые выпускают готовых Data Protection Officer. Все специалисты, кто занимался ПДн до 2020-2021 года (когда возник бум на Privacy), уже трудоустроены на хороших условиях и не переходят с места на место.
Резюмируем: бизнес больше не может игнорировать требования законодательства, но испытывает трудности с поиском квалифицированных DPO.
Какие специалисты становятся DPO
Чаще всего в России специалисты по защите ПДн вырастают из юристов, специалистов информационной безопасности, комплаенс-офицеров и сотрудников отдела кадров, которые были назначены ответственными за ПДн. Они проходят курсы повышения квалификации, берут консультации, получают опыт и становятся квалифицированными DPO.
В последние годы в России есть три важных тренда.
Специалистов по ИБ начинает не хватать. По 250 указу президента практически в 60 тысячах компаниях в России должен быть назначен заместитель гендира по ИБ, в связи с большим количеством требований ГОСТов и новых угроз, и ИБ есть, чем заняться, без ПДн.
Юристы стали проявлять интерес к приватности с 2020 года на волне европейского GDPR, и постепенно функция защиты ПДн стала переходить юридическим отделам.
Специалисты отдела кадров чаще всего назначаются DPO в производственных компаниях, где наибольшее число обрабатываемых ПДн – это данные сотрудников.
В малом бизнесе ответственными чаще всего назначают генеральных директоров и главных бухгалтеров, которым некогда разбираться в вопросе. Такое назначение является чисто формальным, хотя несет далеко не формальные риски.
Важно: ответственным за обработку персональных данных не обязательно должен быть внутренний сотрудник. В соответствии с законом им может стать:
работник компании
физическое лицо по договору ГПХ
- юридическое лицо по договору
Средняя зарплата выделенного специалиста DPO по Москве – 180 тысяч рублей. Совмещающего – 247 тысяч рублей. Это говорит о том, что специалистов мало и стоят они недешево, поэтому компании чаще всего ищут способы получить их услуги на аутсорсе: нанимают специалистов по ГПХ или заключают договор с консалтинговой фирмой.
Чем занимается DPO
Ответственный за обработку ПДн принимает задачи от исполнительного органа организации – генерального директора, президента компании или председателя правления). Очень многие хотят стать ответственным за обработку ПДн именно для того, чтобы иметь прямой выход на руководителя организации и иметь влияние на управленческие решения, бюджеты и т.д.
В чем заключаются функции DPO:
контроль за исполнением требований законодательства в области персональных данных (проверка изменений законодательства в том числе)
доведение требований по персональным данным до работников
работа с запросами субъектов данных
Для DPO важно уметь:
выявлять и описывать процессы обработки персональных данных,
определять роли: кто оператор ПДн, кто обработчик, кто субобработчик каких потоков данных,
определять риски,
готовить необходимую документацию (согласия на обработку, поручения, перечни ПДн),
анализировать чужие договора в части ПДн,
проводить процедуру DPA,
- презентовать руководству результаты работы и необходимость этой работы.
Эти навыки можно получить на разных образовательных программах, например, на практическом курсе Data Protection Officer от Б-152. На программе мы разбираем реальные кейсы клиентов, делаем DPIA и готовим согласия, проводим аудит и оцениваем риски, вся работа студентов идет под руководством практикующих DPO и консультантов.
На что обращают внимание при найме DPO
При поиске сотрудника или внешнего специалиста DPO компании обращают внимание на такие факты, подтверждающие квалификацию и опыт:
Прохождение профильных образовательных программ. Как правило, доверие вызывают сертификаты этих 4 организаций (в связи со строгим отбором обучающихся и сложными экзаменами): Б-152, IAPP, Data Privacy Office (только по GDPR)
Опыт прохождения проверок Роскомнадзора. Согласно данным нашего исследования, в России самый большой риск по ПДн видят именно со стороны Роскомнадзора. Если человек сталкивался с проверками контролирующего органа, особенно во Москве и Санкт-Петербурге, то у него больше шансов получить хороший оффер.
Если требуется работа с иностранными рынками, то необходимы: знание иностранного языка, опыт работы с соответствующими законами, международные сертификаты (CIPM, CDPSE, TUV)
Для работы в ИТ-компании важно владение ИТ-терминологией.
Без этого будет сложно взаимодействовать с командой.
В России серьезная нехватка Data Protection Officer, а спрос на услуги таких специалистов продолжает расти.
Здесь есть, куда развиваться, здесь низкая конкуренция и заметный кадровый голод. Это отличный шанс успеть запрыгнуть на этот поезд и умчаться в сторону больших зарплат и работы в Privacy.
С уважением, Максим Лагутин, основатель Б-152 и курса Data Protection Officer и ведущий эксперт по защите персональных данных.
Есть вопросы? Задавайте в нашем Telegram-чате.