В 2022–2023 годах в России произошло ужесточение законодательства в сфере персональных данных, что привело к росту спроса на услуги соответствующих специалистов — DPO (Data Protection Officer). В 2023 году остро ощущается дефицит кадров в этой сфере, несмотря на высокую заработную плату и карьерные перспективы. Основатель компании Б-152 Максим Лагутин рассказал об особенностях профессии DPO, её перспективах и требованиях к соискателям.
План статьи:
Тренд на Privacy и голод по кадрам
Data Protection Officer: что это за профессия
Суть работы DPO. Зачем он нужен бизнесу
Сколько зарабатывает DPO
Чем отличается DPO от юриста и специалиста ИБ
Внутренние специалисты и внешние консультанты: отличия
Необходимые навыки и обязанности DPO
Плюсы и минусы профессии
Как устроиться на работу DPO без опыта
Как научиться профессии DPO
Тренд на Privacy и голод по кадрам
В декабре 2022 года компания Б-152 провела исследование рынка защиты персональных данных (далее - ПДн) в России. Оказалось, что соответствующие специалисты назначены в 44% компаниях, хотя в прошлом году этот показатель находится на уровне 25%. При этом их зарплаты начинаются от 150 тыс. рублей, а опытные специалисты зарабатывают 250-300 тыс. – все из-за высокого спроса и кадрового голода, точно так же, как это происходит в ИТ-отрасли.
Data Protection Officer: что это за профессия
В соответствии с законом 152-ФЗ, у каждого оператора персональных данных – то есть любой компании, которая собирает или обрабатывает данные граждан, - должен быть назначен ответственный за обработку ПДн. Это может быть как штатный сотрудник, так и внешний специалист или компания, которая получает задания от руководства компании-оператора ПДн.
У DPO 3 основные обязанности:
Контроль за соблюдением в организации требований законодательства в области персональных данных, в первую очередь, по их защите.
Обучение и повышение осведомлённости работников в области защиты персональных данных.
Организация работы с запросами физических лиц в части обработки персональных данных.
Например, как происходит работа DPO в случае, если кто-то из клиентов компании (субъект ПДн) обратился с требованием прекратить обработку его данных:
Отреагировать на запрос субъекта ПДн вовремя (сроки указаны в ст. 20-21 152-ФЗ и ч.4 ст.16 ЗоЗПП, и могут разниться в зависимости от содержания запроса: 7 дней, 10 рабочих дней, 30 дней).
Правильно его зафиксировать - занести в журнал запросов.
В случае поступления запроса, предполагающего уничтожение данных субъекта ПДн - вовремя их уничтожить и обеспечить фиксацию такого уничтожения надлежащим образом (составить акт об уничтожении ПДн).
В случае, если у оператора есть основания обрабатывать ПДн субъект и после отзыва согласия - необходимо обосновать для субъекта, какие основания есть у оператора обрабатывать его ПДн.
Суть работы DPO. Зачем он нужен бизнесу
В 2023 году в федеральном законе «О персональных данных» перечислено 66 требований к операторам персональных данных. Чтобы их соблюдать и отслеживать изменения, необходим отдельный специалист, который хорошо разбирается в вопросе. Иначе компании рискуют получить до 12 видов штрафов размером до 18 млн рублей, а в ближайшем будущем возможно введение оборотных штрафов за утечки ПДн.
Помимо этого, фактически каждый оператор персональных данных сейчас обязан подавать уведомления об обработке ПДн и намерении осуществлять трансграничную передачу (при осуществлении таковой), в которых указывать ФИО и контакты ответственного за обработку ПДн.
Сколько зарабатывает DPO
Для тех, кто хочет работать DPO в штате компаний-операторов, основной рынок работодателей распределён между Москвой, Санкт-Петербургом и регионами на крупных производствах, страховых, кредитно-финансовых, фармацевтических и IT-компаниях. Те, кто хочет работать в консалтинге, могут устроиться в юридические фирмы и системные интеграторы, которые есть почти в каждом регионе.
В среднем, начинающему специалисту платят 150 тыс. рублей в месяц. Опытный может рассчитывать на 250-300 тыс. Можно заработать и больше, но таких вакансий в России мало и они доступны только опытным специалистам с прокаченным личным брендом.
Есть возможность работать удалённо, чаще всего такой подход практикуют IT-компании для неруководящих позиций. В финансовом секторе приветствуется личное присутствие.
Чем отличается DPO от юриста и специалиста ИБ
Результаты исследования рынка от Б-152 показали, что ответственными в 37% случаев назначают специалистов legal или compliance (юристов). 26% — это специалисты информационной безопасности, ещё 9% — HR.
То есть защитой и обработкой персональных данных занимаются люди с разными бэкграундом из разных департаментов. Такой разброс свидетельствует о том, что область открыта для людей с различными навыками, образованием, опытом. А сама должность находится на стыке нескольких областей.
С 2008 года этим занимались исключительно специалисты по информационной безопасности. Дело в том, что первые требования и штрафы касались технической защиты данных. Сотрудникам нужно было определить класс ПДн, построить техническое задание, модель угроз и т. д. Они были ответственными за бюджет компании на ИБ, поэтому было логично делегировать им дополнительные задачи в той же области.
В 2020 году на волне европейского GDPR постепенно функция защиты ПДн стала переходить юридическим отделам. В 2021 году юристов среди DPO стало даже больше, чем специалистов по ИБ.
Внутренние специалисты и внешние консультанты: отличия
Штатный специалист хорошо знаком со всеми внутренними процессами организации, поэтому быстро реагирует на любые изменения и возникающие ситуации. При большом объёме работ собственный сотрудник обходится компании дешевле, чем привлечение экспертов со стороны. Однако его деятельность не подвергается внешней критике, плюс, помимо этого, у штатного сотрудника есть свои должностные обязанности помимо роли ответственного, из‑за чего он может недостаточное внимание уделять функциям ответственного, и остаётся риск невыявленных вовремя ошибок. Чтобы проводить аудиты и закрывать эти риски, компании привлекают внешних консультантов, даже если в штате есть DPO.
Внешние консультанты могут быть поверхностно знакомы с нюансами конкретной ниши, зато активно применяют опыт, полученный в других компаниях. Они сталкиваются со множеством нестандартных ситуаций, что способствует быстрому поиску решений при возникновении трудностей. Также преимуществом считается непредвзятость взглядов и широкий кругозор. Да, и при небольших оборотах компаниям выгоднее нанять DPO по ГПХ или заключить договор с консалтинговой фирмой.
Необходимые навыки и обязанности DPO
Выделяют 5 основных требований к соискателям.
Высшее ИБ или юридическое образование
Опыт от 2 лет
Знание российского законодательства в области персональных данных
Навыки разработки НПА
Понимание работы конкретного направления
Опыт прохождения проверок Роскомнадзора и сертификаты прохождения обучения считаются преимуществом.
Главной обязанностью ответственного за обработку ПДн является проведение аудитов, то есть сбор и анализ информации о том, как и где обрабатываются персональные данные. Необходимо оценивать риски в рамках процесса обработки данных, давать рекомендации по повышению их защиты.
Специалист проверяет документацию, готовит локальные акты, занимается выстраиванием внутренних процессов. Он отвечает за прохождение проверок со стороны Роскомнадзора.
Также DPO должен оперативно реагировать на запросы субъектов, для чего важно выстраивать успешную коммуникацию с работниками и руководством.
Плюсы и минусы профессии
Профессия становится всё более востребованной, а потому хорошо оплачивается. Такая должность для юристов — это быстрый карьерный рост с повышением заработной платы.
Минусы заключаются в высокой нагрузке и ответственности, работа требует внимательности, сосредоточенности. А ошибки или игнорирование требований могут привести к внушительным штрафам, после чего отношения с руководством могут остаться напряжёнными.
Как устроиться на работу DPO без опыта
Работодатели от специалиста ожидают знания и опыт. После обучения есть смысл пойти в консалтинг, чтобы прокачать навыки. Рынок информационной безопасности постоянно растёт, увеличивается необходимость в компетенциях. До сих пор он испытывает кадровый голод, специалистов не хватает.
Есть компании, которые готовы взять сотрудника без опыта, если он демонстрирует понимание сферы и компетентность в смежных областях. Некоторые организации рассматривают сотрудников на испытательный срок или стажировку, иногда без оплаты. Но это хороший шанс показать себя в новой нише и остаться в компании.
Чаще всего компании рассматривают на позицию ответственного по персональным данным юристов или консультантов по ПДн, методологов, GR, специалистов по информационной безопасности, privacy‑инженеров и pre‑sale специалистов. Но очень важно получить профильное образование.
Как научиться профессии DPO
В 2020–2021 годах, когда возник бум на Privacy, опытные специалисты нашли себе хорошие места, и менять их пока не собираются. А новых программ в вузах, которые подходили бы именно под DPO, пока ещё нет.
Однако существуют специализированные курсы на базе университетов или профильных компаний. Например, вводные курсы есть в МГУ, ВШЭ и MDS, дистанционное обучение возможно на платформе Информзащиты.
Тем временем в более профильных организациях, таких как Б-152 и RPPA, дают комплексную информацию, основанную на практических навыках. Спикеры разбирают реальные кейсы, в том числе по недавним проверкам Роскомнадзора в связи с утечками персональных данных.
Автор: Максим Лагутин, DPO, ведущий эксперт по защите персональных данных в компании Б-152.