Профессия 2023: специалист по защите персональных данных

Ужесточение законодательства заставляет компании обращаться к услугам специалистов по защите персональных данных — DPO, которых на рынке не хватает, даже несмотря на средние зарплаты от 180-250 тыс. рублей и многочисленные курсы повышения квалификации. Разбираем, что это за профессия, кто может в нее попасть и какие в ней перспективы.

В декабре 2022 года компания Б-152 провела очередное исследование рынка Privacy, в котором приняли участие несколько сотен организаций, в том числе ведущие IT-компании, фарма, производственные и иные представители отраслей. Мы ежегодно опрашиваем сотни специалистов из разных компаний, чтобы понять уровень зрелости российского рынка в этом направлении.

Несколько фактов из последнего исследования:

▪ Ответственный за организацию обработки персональных данных на полную ставку или по совмещению назначен в компаниях у 44% опрошенных (по сравнению с 25% в прошлом году)

▪ Специалисты по защите персональных данных в основном сосредоточены в компаниях из отрасли ИТ, медиа и телеком (15% опрашиваемых)

▪ Наибольшее число DPO работает в компаниях с 100-500 сотрудников (26%) и в крупном бизнесе с более чем 1000 работников (16,5%)

▪ Юристы чаще других назначаются ответственными за организацию обработки персональных данных (37%). В этом году они в процентном отношении обогнали даже специалистов по информационной безопасности (26%). Также ответственными часто становятся специалисты HR (9%).

▪ Начинающий специалист DPO обходится компаниям в среднем в 150 т.р., а зарплата миддла составляет 250-350 т.р.

• В федеральном законе «О персональных данных» более 66 требований к компаниям-операторам ПДн. Если учитывать требования подзаконных актов, то их будет более сотни. Следить за соблюдением их всех в компании возможно, только если в штате или на подряде есть выделенный специалист, разбирающегося в вопросе.

• В КОАП более 12 видов штрафов размером до 18 млн рублей за нарушение требований по персональным данным. Кроме того, планируется введение оборотных штрафов за утечки ПДн.

• В 99% случаев каждый оператор обязан отправить уведомление в РКН об обработке ПДн, чтобы быть включенным в реестр операторов. В уведомлении нужно обязательно указать ФИО и контакты ответственного за обработку персональных данных, того, кто будет действительно отвечать за все вопросы работы с ПДн в компании.
• В вузах нет обучающих программ, которые выпускают готовых Data Protection Officer. Все специалисты, кто занимался ПДн до 2020-2021 года (когда возник бум на Privacy), уже трудоустроены на хороших условиях и не переходят с места на место.

Резюмируем: бизнес больше не может игнорировать требования законодательства, но испытывает трудности с поиском квалифицированных DPO.

Чаще всего в России специалисты по защите ПДн вырастают из юристов, специалистов информационной безопасности, комплаенс-офицеров и сотрудников отдела кадров, которые были назначены ответственными за ПДн. Они проходят курсы повышения квалификации, берут консультации, получают опыт и становятся квалифицированными DPO.

В последние годы в России есть три важных тренда.

1. Специалистов по ИБ начинает не хватать. По 250 указу президента практически в 60 тысячах компаниях в России должен быть назначен заместитель гендира по ИБ, в связи с большим количеством требований ГОСТов и новых угроз, и ИБ есть, чем заняться, без ПДн.

2. Юристы стали проявлять интерес к приватности с 2020 года на волне европейского GDPR, и постепенно функция защиты ПДн стала переходить юридическим отделам.

3. Специалисты отдела кадров чаще всего назначаются DPO в производственных компаниях, где наибольшее число обрабатываемых ПДн – это данные сотрудников.

В малом бизнесе ответственными чаще всего назначают генеральных директоров и главных бухгалтеров, которым некогда разбираться в вопросе. Такое назначение является чисто формальным, хотя несет далеко не формальные риски.

Важно: ответственным за обработку персональных данных не обязательно должен быть внутренний сотрудник. В соответствии с законом им может стать:

• работник компании

• физическое лицо по договору ГПХ

• юридическое лицо по договору

Средняя зарплата выделенного специалиста DPO по Москве – 180 тысяч рублей. Совмещающего – 247 тысяч рублей. Это говорит о том, что специалистов мало и стоят они недешево, поэтому компании чаще всего ищут способы получить их услуги на аутсорсе: нанимают специалистов по ГПХ или заключают договор с консалтинговой фирмой.

Ответственный за обработку ПДн принимает задачи от исполнительного органа организации – генерального директора, президента компании или председателя правления). Очень многие хотят стать ответственным за обработку ПДн именно для того, чтобы иметь прямой выход на руководителя организации и иметь влияние на управленческие решения, бюджеты и т.д.

В чем заключаются функции DPO:

• контроль за исполнением требований законодательства в области персональных данных (проверка изменений законодательства в том числе)

• доведение требований по персональным данным до работников
  

• работа с запросами субъектов данных

Для DPO важно уметь:

• выявлять и описывать процессы обработки персональных данных,

• определять роли: кто оператор ПДн, кто обработчик, кто субобработчик каких потоков данных,

• определять риски,

• готовить необходимую документацию (согласия на обработку, поручения, перечни ПДн),

• анализировать чужие договора в части ПДн,

• проводить процедуру DPA,

• презентовать руководству результаты работы и необходимость этой работы.

Эти навыки можно получить на разных образовательных программах, например, на практическом курсе Data Protection Officer от Б-152. На программе мы разбираем реальные кейсы клиентов, делаем DPIA и готовим согласия, проводим аудит и оцениваем риски, вся работа студентов идет под руководством практикующих DPO и консультантов.

При поиске сотрудника или внешнего специалиста DPO компании обращают внимание на такие факты, подтверждающие квалификацию и опыт:

1. Прохождение профильных образовательных программ. Как правило, доверие вызывают сертификаты этих 4 организаций (в связи со строгим отбором обучающихся и сложными экзаменами): Б-152, IAPP, Data Privacy Office (только по GDPR)

2. Опыт прохождения проверок Роскомнадзора. Согласно данным нашего исследования, в России самый большой риск по ПДн видят именно со стороны Роскомнадзора. Если человек сталкивался с проверками контролирующего органа, особенно во Москве и Санкт-Петербурге, то у него больше шансов получить хороший оффер.

3. Если требуется работа с иностранными рынками, то необходимы: знание иностранного языка, опыт работы с соответствующими законами, международные сертификаты (CIPM, CDPSE, TUV)

4. Для работы в ИТ-компании важно владение ИТ-терминологией.

   Без этого будет сложно взаимодействовать с командой.

В России серьезная нехватка Data Protection Officer, а спрос на услуги таких специалистов продолжает расти.

Здесь есть, куда развиваться, здесь низкая конкуренция и заметный кадровый голод. Это отличный шанс успеть запрыгнуть на этот поезд и умчаться в сторону больших зарплат и работы в Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса Data Protection Officer и ведущий эксперт по защите персональных данных.

Есть вопросы? Задавайте в нашем Telegram-чате.