IT / Статьи
информбезопасность персональные данные
25.8.2022

Согласные на обработку

Кто обеспечивает защиту персональных данных (ПД) российскому бизнесу

В нынешнем году эволюция профессии Data Protection Officer (DPO), или специалиста по работе с ПД, в России получила мощный импульс. Что за зверь этот отечественный DPO – мастер на все руки или узкозаточенный профессионал, где он обитает, сколько получает, чего опасается и на что надеется – в материале RSpectr.

ЕСТЬ ТАКАЯ ПРОФЕССИЯ

Основная масса российских DPO работает в организациях со штатом более 100 человек. Как правило, это предприятия из IT-сферы, телекома и медиа. На втором месте – предприятия финансового сектора и фармацевтики. Таковы выводы исследования «Персональные данные и российский бизнес» (есть в распоряжении RSpectr.com), подготовленного компанией Б-152 при поддержке Russian Privacy Professionals Association (RPPA).

При этом свыше 70% всех отечественных DPO сосредоточены в Москве. Как рассказал RSpectr один из авторов исследования, исполнительный директор и основатель Б-152 Максим Лагутин, общая численность таких специалистов в РФ невысока.

Максим Лагутин, Б-152:

– В лучшем случае наберется одна-две тысячи человек. Если говорить о действительно высокопрофессиональных кадрах в данной области, то речь идет всего о нескольких сотнях.

Опрос проводился с сентября по ноябрь 2021 года, но его результаты не потеряли актуальности в нынешнем году, отмечают авторы работы. По словам Максима Лагутина, сейчас организации размораживают бюджеты для работы с персональными данными. По его словам,

интерес к теме ПД подогревают тектонические изменения в законодательстве и растущее количество новых требований по обработке, трансграничной передаче. Кроме того, все ждут введения оборотных штрафов

На этом фоне HR-службы активизировали поиск людей, которые будут заниматься функциями DPO, рассказал RSpectr соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян.

Алексей Мунтян, RPPA:

– Многие готовы идти на компромиссы: если ранее стремились привлечь в штат опытных профессионалов или обращались к внешним консультантам, то сейчас готовы нанимать человека с минимальным опытом работы и знаниями и «выращивать» его.

Кроме того, если раньше от DPO требовалось знание российской нормативной базы и, как преимущество, осведомленность об Общем регламенте по защите данных Евросоюза (GDPR), то сейчас предприятия интересуются всем, что происходит как минимум в Евразийском экономическом союзе, а также в Китае, Индии, странах Ближнего Востока и Персидского залива, пояснил он.

Преимущество в привлечении квалифицированных специалистов заключается в большом опыте в выстраивании процессов в этой сфере, знании актуального законодательства и изменений, вносимых в него, когда у компании отсутствуют собственные внутренние ресурсы для реализации данных работ, отмечается в исследовании.

ФУНКЦИИ И ДЕНЬГИ

Сотрудники, занимающиеся защитой ПД в компаниях, в основном делятся на специалистов с опытом в области информационной безопасности (32%) и юриспруденции (31%), причем количество последних неуклонно растет. Авторы исследования отмечают тренд, согласно которому

с каждым годом в сферу защиты данных приходит все больше юристов. Меньший приток экспертов по кибербезопасности в эту сферу объясняется общим дефицитом IT-специалистов

При этом большая часть DPO – 64% – совмещают в организациях несколько функций. Это говорит о том, что на рынке очень сложно найти специалистов, готовых выполнять обязанности Data Protection Officer, поэтому эти функции для экономии бюджета возлагаются на уже действующих сотрудников.

Очень часто вопросы, связанные с персональными данными, просто передаются в юридические отделы. Но в таком подходе эксперты видят опасность:

работающие по совместительству тратят на обработку ПД только 30% своего рабочего времени, тогда как выделенные сотрудники – 73%

Изменения закона о ПД приведут к сокращению сроков реагирования на различные запросы и инциденты, связанные с персональными данными. На этом фоне многим организациям придется пересмотреть свой подход к вопросу о выделении специалиста по ПД в качестве самостоятельной позиции, обращает внимание Максим Лагутин.

В начале 2022 года 60% опрошенных указали, что за год их зарплата увеличилась

Средняя зарплата лиц, совмещающих функцию ответственного за организацию обработки ПД с другими обязанностями, составляет в России 247 тыс. рублей в месяц. В регионах это, как правило, руководящие позиции. Выделенные специалисты получают среднем по стране 188 тыс. рублей. На этом фоне в Москве сотрудник, занимающийся только вопросами персональных данных, получает в среднем 296 тыс. рублей ежемесячно.

Как пояснил RSpectr Максим Лагутин, в начале года рост зарплат застопорился, но сейчас они снова начали расти из-за изменений, вступающих в силу с 1 сентября. Новые требования законодательства о персональных данных подталкивают спрос на услуги DPO.

Авторы исследования обращают внимание, что

довольно высокий уровень окладов свидетельствует об очень серьезном кадровом голоде на рынке DPO

Людей с необходимыми компетенциями не хватает, а у профессионалов высокие зарплатные ожидания. Четверо из пяти опрошенных сообщили, что планируют повышать уровень своих знаний в сфере защиты ПД. В 2021 году в РФ появилось как минимум три новые программы для обучения и повышения квалификации.

РИСКИ И ТРЕНДЫ

Основными рисками в обеспечении соответствия требованиям закона о ПД сотрудники компаний видят в проверках Роскомнадзора (83%), утечках данных и репутационных рисках (72%). Жалобы субъектов персональных данных тревожат меньшее количество специалистов (60%).

Череда масштабных утечек ПД в 2022 году в российских компаниях продемонстрировала верность вывода респондентов о содержании основных рисков в части приватности, обратил внимание Алексей Мунтян. Поэтому, подчеркнул он,

навыки DPO по предотвращению и урегулированию инцидентов в сфере безопасности обработки ПД сейчас являются архиважными

Значимый тренд на фоне роста утечек личных данных – растущее внимание к вопросам технического консалтинга. Традиционно в нашей стране мало уделялось внимания технической защищенности информационных систем, отметил Алексей Мунтян в беседе с RSpectr. Когда будут введены оборотные штрафы за утечки, этот тренд получит дополнительный импульс, уверен эксперт.

Автор: Тимур Халудоров

Изображения: RSpectr, Adobe Stock, Freepik

Еще по теме

Как с выгодой вернуть инвестиции за счет информационных систем

Ученые ищут алгоритмы противодействия злоумышленникам в киберпространстве

Разрабатывать ПО своими силами или покупать готовое?

Как обеспечить безопасную работу IoT-устройств

Готов ли отечественный бизнес к переходу на российский софт

Как развиваются российские дата-центры в условиях санкций

Как россияне относятся к внедрению единого цифрового профиля гражданина

Как выявлять вражеских ботов в своих умных устройствах

Интернет-выборы – глобальная тенденция, но несет свои киберриски

Кабмин разработает механизм легального использования решений ушедших иностранных IT-вендоров

Минимум затрат: как создать и внедрить экосистему IТ-управления

Помогут ли меры поддержки устранить дефицит IT-специалистов в промышленности

Как добиться технологического суверенитета российской IT-отрасли

Где найти замену зарубежному ПО для виртуализации

Каковы перспективы развития сервисной модели на российском рынке персональной информации