Стражи данных

Почему растет значимость Data Protection Officer в организациях

Похоже, что вслед за стремительным взлетом популярности профессии IT-разработчика на отечественном HR-небосводе может засиять новая звезда – специалисты по защите персональных данных (ПД), или Data Protection Officer (DPO). Сколько сейчас получают профессионалы в этой сфере, существует ли на рынке их дефицит и из кого получаются лучшие DPO – кибербезопасников или юристов – в материале RSpectr.

В ЗОНЕ ОСОБОГО ВНИМАНИЯ

Результаты исследования компании Б-152 показали, что сейчас в Москве средняя зарплата Data Protection Officer (DPO) составляет 247 тыс. рублей. Это ставка сотрудника, совмещающего в организации должность DPO с обязанностями юриста, кибербезопасника или кадровика, пояснил RSpectr исполнительный директор и основатель Б-152 Максим Лагутин.

Если работник занимается только ПД, он зарабатывает в среднем около 185-195 тыс. рублей в месяц, добавил он. При этом, отметил эксперт,

в прошлом году на позиции DPO в отдельных случаях оклады доходили до 600 тыс. рублей

Максим Лагутин, Б-152:

– За последнее время суммы вознаграждения для них выросли, потому что есть серьезный дефицит людей с опытом работы или практическими навыками. Многие знакомы с законодательством, но не все могут успешно работать с ним. Поэтому появляются различные курсы, где обучают именно практике.

Персональные данные уже называют новой нефтью, и важность их обработки растет, пояснила RSpectr старший юрисконсульт ФБК Legal Ангелина Балакина.

Ангелина Балакина, ФБК Legal:

– На фоне растущих требований к операторам при обработке ПД и мер административной ответственности к ним востребованность DPO будет значительно увеличиваться. Соответственно, и внимание к специалистам в этой области будет расти.

На фоне последних изменений в регулировании, начиная с майского указа президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и ФЗ-266, значимость сотрудников, курирующих направление личной информации в организациях, возросла, подтвердила RSpectr директор департамента информационной безопасности компании Cortel Вероника Нечаева.

Росту востребованности DPO способствуют возросшее количество утечек и угроза штрафов за несоблюдение требований к хранению и обработке данных, констатируют эксперты.

ГЛОБАЛЬНЫЙ ТРЕНД

По словам старшего консультанта группы по оказанию услуг в области кибербезопасности аудиторско-консалтинговой компании Kept (бывшая KPMG в РФ) Романа Мартинсона,

глобальным трендом последних лет является ужесточение законодательства в области обработки и защиты ПД, и Россия в этом отношении не является исключением

Термин Data Protection Officer в его нынешней интерпретации появился с принятием Европейским союзом Общего регламента по защите данных (GDPR), отметил Р.Мартинсон.

Роман Мартинсон, Kept:

– Но в законодательствах разных стран мира было и ранее предусмотрено наличие схожей роли. Например, в российском законе «О персональных данных» от 27 июля 2006 года она называлась «ответственный за организацию обработки персональных данных».

В целом задачи ответственного и DPO схожи и включают в себя:

• контроль за соблюдением законов о защите ПД в компании;
• повышение осведомленности персонала в вопросах обработки сведений;
• взаимодействие с контролирующим органом.

При этом, обращает внимание представитель Kept, использование термина «специалист по защите персональных данных» в отношении европейского законодательства не является корректным.

В настоящий момент в наиболее развитых странах особый акцент делается на защиту прав и свобод именно субъектов ПД. Это стало триггером появления таких профессий, как privacy expert, privacy enthusiast и privacy engineer, рассказал Роман Мартинсон.

При этом нехватка профессионалов в области защиты личной информации, особенно на руководящих позициях, наблюдается по всему миру, в том числе и в РФ, подчеркнул эксперт.

ГОСПОДА ОФИЦЕРЫ

Data Protection Officer в России появились буквально пять-семь лет назад, это были штучные профессионалы, сотрудничающие с крупными международными корпорациями, говорит Максим Лагутин.

Максим Лагутин, Б-152:

– В нашей стране эта специальность начала становиться массовой примерно с 2020 года. Ее распространение, с некоторым временным лагом, стало следствием принятия Евросоюзом GDPR и резко возросшего количества требований по защите ПД.

По его словам,

позиция Data Protection Officer – это не просто техническая функция, связанная с кибербезопасностью, «она больше про права физических лиц и правильную обработку ПД»

Именно поэтому на российском рынке есть люди, знающие законодательство, но не хватает профессионалов с практическим бэкграундом, опытом построения команд и знанием специфики этой сферы, подчеркнул Максим Лагутин.

Выделенная позиция DPO потребуется там, где личной информации уделяется большое внимание: в IT-компаниях, стартапах, медицинских организациях и фармацевтике. Для остальных достаточно возложить соответствующие обязанности на действующих сотрудников, например, специалистов по ИБ, HR или юристов. Главное, чтобы они имели опыт и понимали специфику деятельности своего бизнеса, полагает эксперт.

Действующие правила не предъявляют каких-либо требований к квалификации ответственного по защите данных. Ангелина Балакина напомнила, что

согласно позиции Роскомнадзора, в уведомлении о намерении осуществлять обработку ПД «должно быть указано только одно физическое лицо, ответственное за их обработку»

Ангелина Балакина, ФБК Legal:

– В случае отсутствия в штате компании подходящего сотрудника функции лица, ответственного за организацию обработки личной информации, может исполнять внешний консультант специализированной консалтинговой организации или внештатный DPO, обладающий глубокими познаниями в области приватности.

Часто эту роль совмещают системные администраторы, потому что айтишники нередко оказываются единственными имеющими познания в области информационной безопасности, рассказала Вероника Нечаева. При этом если компания попадет под требования указа №250, то появление не только отдельного ответственного за ПД, но и целого структурного подразделения в компании неминуемо, полагает эксперт.

По ее мнению,

лучше справляться с обязанностями Data Protection Officer будет сотрудник с опытом работы в информационной безопасности

Вероника Нечаева, Cortel:

– Так как DPO – это специалист, работающий на стыке «бумажных» и технических мер, то просто юристам будет сложно. В большинстве случаев, как показывает моя практика, вопросы защиты вообще неподвластны им, поэтому мой выбор очевиден – ИБ-шник. Пусть он даже без опыта, но с профильным образованием.

В целом, специализация в области защиты ПД появилась сравнительно недавно и современное образование не покрывает в полной мере запросы рынка, обратил внимание Роман Мартинсон. Поэтому, уверен он,

в профессию может зайти любой компетентный эксперт, готовый к ежедневному развитию, обучению и обладающий коммуникативными навыками

Это необходимые требования, так как будущему Data Protection Officer предстоит много общаться с коллегами, субъектами ПД и контролирующими органами, подчеркнул эксперт.