Профессия 2023: специалист по защите персональных данных

Ужесточение законодательства заставляет компании обращаться к услугам специалистов по защите персональных данных — DPO, которых на рынке не хватает, даже несмотря на средние зарплаты от 180-250 тыс. рублей и многочисленные курсы повышения квалификации. Разбираем, что это за профессия, кто может в нее попасть и какие в ней перспективы.

Профессия 2023: специалист по защите персональных данных

Особенности рынка защиты персональных данных

В декабре 2022 года компания Б-152 провела очередное исследование рынка Privacy, в котором приняли участие несколько сотен организаций, в том числе ведущие IT-компании, фарма, производственные и иные представители отраслей. Мы ежегодно опрашиваем сотни специалистов из разных компаний, чтобы понять уровень зрелости российского рынка в этом направлении.

Компания Б-152 — признанный лидер в сфере защиты ПДн и Privacy с 2011 года. Более 800 компаний пользуются нашими консультационными услугами, более 11 000 используют наши сервисы для разработки документов и работы с ПДн.

Несколько фактов из последнего исследования:

▪ Ответственный за организацию обработки персональных данных на полную ставку или по совмещению назначен в компаниях у 44% опрошенных (по сравнению с 25% в прошлом году)

▪ Специалисты по защите персональных данных в основном сосредоточены в компаниях из отрасли ИТ, медиа и телеком (15% опрашиваемых)

▪ Наибольшее число DPO работает в компаниях с 100-500 сотрудников (26%) и в крупном бизнесе с более чем 1000 работников (16,5%)

▪ Юристы чаще других назначаются ответственными за организацию обработки персональных данных (37%). В этом году они в процентном отношении обогнали даже специалистов по информационной безопасности (26%). Также ответственными часто становятся специалисты HR (9%).

▪ Начинающий специалист DPO обходится компаниям в среднем в 150 т.р., а зарплата миддла составляет 250-350 т.р.

Оператор персональных данных — компания или физлицо, которое собирает, хранит и обрабатывает персональные данные (телефоны, email и любые другие данные о человеке, по которым можно определить его личность). Фактически большинство действующих бизнесов в России являются операторами ПДн.

Почему востребованы DPO?

  • В федеральном законе «О персональных данных» более 66 требований к компаниям-операторам ПДн. Если учитывать требования подзаконных актов, то их будет более сотни. Следить за соблюдением их всех в компании возможно, только если в штате или на подряде есть выделенный специалист, разбирающегося в вопросе.
  • В КОАП более 12 видов штрафов размером до 18 млн рублей за нарушение требований по персональным данным. Кроме того, планируется введение оборотных штрафов за утечки ПДн.

  • В 99% случаев каждый оператор обязан отправить уведомление в РКН об обработке ПДн, чтобы быть включенным в реестр операторов. В уведомлении нужно обязательно указать ФИО и контакты ответственного за обработку персональных данных, того, кто будет действительно отвечать за все вопросы работы с ПДн в компании.
  • В вузах нет обучающих программ, которые выпускают готовых Data Protection Officer. Все специалисты, кто занимался ПДн до 2020-2021 года (когда возник бум на Privacy), уже трудоустроены на хороших условиях и не переходят с места на место.

Резюмируем: бизнес больше не может игнорировать требования законодательства, но испытывает трудности с поиском квалифицированных DPO.

Какие специалисты становятся DPO

Чаще всего в России специалисты по защите ПДн вырастают из юристов, специалистов информационной безопасности, комплаенс-офицеров и сотрудников отдела кадров, которые были назначены ответственными за ПДн. Они проходят курсы повышения квалификации, берут консультации, получают опыт и становятся квалифицированными DPO.

В последние годы в России есть три важных тренда.

  1. Специалистов по ИБ начинает не хватать. По 250 указу президента практически в 60 тысячах компаниях в России должен быть назначен заместитель гендира по ИБ, в связи с большим количеством требований ГОСТов и новых угроз, и ИБ есть, чем заняться, без ПДн.

  2. Юристы стали проявлять интерес к приватности с 2020 года на волне европейского GDPR, и постепенно функция защиты ПДн стала переходить юридическим отделам.

  3. Специалисты отдела кадров чаще всего назначаются DPO в производственных компаниях, где наибольшее число обрабатываемых ПДн – это данные сотрудников.

В малом бизнесе ответственными чаще всего назначают генеральных директоров и главных бухгалтеров, которым некогда разбираться в вопросе. Такое назначение является чисто формальным, хотя несет далеко не формальные риски.

Важно: ответственным за обработку персональных данных не обязательно должен быть внутренний сотрудник. В соответствии с законом им может стать:

  • работник компании

  • физическое лицо по договору ГПХ

  • юридическое лицо по договору

Средняя зарплата выделенного специалиста DPO по Москве – 180 тысяч рублей. Совмещающего – 247 тысяч рублей. Это говорит о том, что специалистов мало и стоят они недешево, поэтому компании чаще всего ищут способы получить их услуги на аутсорсе: нанимают специалистов по ГПХ или заключают договор с консалтинговой фирмой.

Чем занимается DPO

Ответственный за обработку ПДн принимает задачи от исполнительного органа организации – генерального директора, президента компании или председателя правления). Очень многие хотят стать ответственным за обработку ПДн именно для того, чтобы иметь прямой выход на руководителя организации и иметь влияние на управленческие решения, бюджеты и т.д.

В чем заключаются функции DPO:

  • контроль за исполнением требований законодательства в области персональных данных (проверка изменений законодательства в том числе)

  • доведение требований по персональным данным до работников

  • работа с запросами субъектов данных

Для DPO важно уметь:

  • выявлять и описывать процессы обработки персональных данных,

  • определять роли: кто оператор ПДн, кто обработчик, кто субобработчик каких потоков данных,

  • определять риски,

  • готовить необходимую документацию (согласия на обработку, поручения, перечни ПДн),

  • анализировать чужие договора в части ПДн,

  • проводить процедуру DPA,

  • презентовать руководству результаты работы и необходимость этой работы.

Эти навыки можно получить на разных образовательных программах, например, на практическом курсе Data Protection Officer от Б-152. На программе мы разбираем реальные кейсы клиентов, делаем DPIA и готовим согласия, проводим аудит и оцениваем риски, вся работа студентов идет под руководством практикующих DPO и консультантов.

На что обращают внимание при найме DPO

При поиске сотрудника или внешнего специалиста DPO компании обращают внимание на такие факты, подтверждающие квалификацию и опыт:

  1. Прохождение профильных образовательных программ. Как правило, доверие вызывают сертификаты этих 4 организаций (в связи со строгим отбором обучающихся и сложными экзаменами): Б-152, IAPP, Data Privacy Office (только по GDPR)

  2. Опыт прохождения проверок Роскомнадзора. Согласно данным нашего исследования, в России самый большой риск по ПДн видят именно со стороны Роскомнадзора. Если человек сталкивался с проверками контролирующего органа, особенно во Москве и Санкт-Петербурге, то у него больше шансов получить хороший оффер.

  3. Если требуется работа с иностранными рынками, то необходимы: знание иностранного языка, опыт работы с соответствующими законами, международные сертификаты (CIPM, CDPSE, TUV)

  4. Для работы в ИТ-компании важно владение ИТ-терминологией.

    Без этого будет сложно взаимодействовать с командой.

В России серьезная нехватка Data Protection Officer, а спрос на услуги таких специалистов продолжает расти.

Здесь есть, куда развиваться, здесь низкая конкуренция и заметный кадровый голод. Это отличный шанс успеть запрыгнуть на этот поезд и умчаться в сторону больших зарплат и работы в Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса Data Protection Officer и ведущий эксперт по защите персональных данных.

Есть вопросы? Задавайте в нашем Telegram-чате.

1717
10 комментариев

Абсолютно точно важная профессия в современных реалиях

1
Ответить

Комментарий недоступен

Ответить

Если необходимость проведения собрания диктуется выполнениями требований законодательства, например части 3.1 45 статьи Жилищного Кодекса в части ведения реестра собственников или выполнения договорных обязательств, например сбора сведений для заключения прямых договоров с ресурсоснабжающими организациями, то сбор согласий субъектов (жильцов), как основания для обработки их персональных данных не требуется.

1
Ответить

лучше в чате задать (в конце статьи) там быстрее отвечают

Ответить

Максим, какой у вас крутой кейс! Бизнес действительно сложный, и от этого вдохновляет еще сильнее! Когда читала статью сразу подумала, как классно будет если вы поделитесь с нашей аудиторией своей историей в подкасте "Надежды и страхи", приходите!

Ответить

Добрый день! Подскажите, как с вами связаться?

Ответить