Стражи данных
Почему растет значимость Data Protection Officer в организациях
Похоже, что вслед за стремительным взлетом популярности профессии IT-разработчика на отечественном HR-небосводе может засиять новая звезда – специалисты по защите персональных данных (ПД), или Data Protection Officer (DPO). Сколько сейчас получают профессионалы в этой сфере, существует ли на рынке их дефицит и из кого получаются лучшие DPO – кибербезопасников или юристов – в материале RSpectr.
В ЗОНЕ ОСОБОГО ВНИМАНИЯ
Результаты исследования компании Б-152 показали, что сейчас в Москве средняя зарплата Data Protection Officer (DPO) составляет 247 тыс. рублей. Это ставка сотрудника, совмещающего в организации должность DPO с обязанностями юриста, кибербезопасника или кадровика, пояснил RSpectr исполнительный директор и основатель Б-152 Максим Лагутин.
Если работник занимается только ПД, он зарабатывает в среднем около 185-195 тыс. рублей в месяц, добавил он. При этом, отметил эксперт,
в прошлом году на позиции DPO в отдельных случаях оклады доходили до 600 тыс. рублей
Максим Лагутин, Б-152:
– За последнее время суммы вознаграждения для них выросли, потому что есть серьезный дефицит людей с опытом работы или практическими навыками. Многие знакомы с законодательством, но не все могут успешно работать с ним. Поэтому появляются различные курсы, где обучают именно практике.
Персональные данные уже называют новой нефтью, и важность их обработки растет, пояснила RSpectr старший юрисконсульт ФБК Legal Ангелина Балакина.
Ангелина Балакина, ФБК Legal:
– На фоне растущих требований к операторам при обработке ПД и мер административной ответственности к ним востребованность DPO будет значительно увеличиваться. Соответственно, и внимание к специалистам в этой области будет расти.
На фоне последних изменений в регулировании, начиная с майского указа президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и ФЗ-266, значимость сотрудников, курирующих направление личной информации в организациях, возросла, подтвердила RSpectr директор департамента информационной безопасности компании Cortel Вероника Нечаева.
Росту востребованности DPO способствуют возросшее количество утечек и угроза штрафов за несоблюдение требований к хранению и обработке данных, констатируют эксперты.
ГЛОБАЛЬНЫЙ ТРЕНД
По словам старшего консультанта группы по оказанию услуг в области кибербезопасности аудиторско-консалтинговой компании Kept (бывшая KPMG в РФ) Романа Мартинсона,
глобальным трендом последних лет является ужесточение законодательства в области обработки и защиты ПД, и Россия в этом отношении не является исключением
Термин Data Protection Officer в его нынешней интерпретации появился с принятием Европейским союзом Общего регламента по защите данных (GDPR), отметил Р.Мартинсон.
Роман Мартинсон, Kept:
– Но в законодательствах разных стран мира было и ранее предусмотрено наличие схожей роли. Например, в российском законе «О персональных данных» от 27 июля 2006 года она называлась «ответственный за организацию обработки персональных данных».
В целом задачи ответственного и DPO схожи и включают в себя:
- контроль за соблюдением законов о защите ПД в компании;
- повышение осведомленности персонала в вопросах обработки сведений;
- взаимодействие с контролирующим органом.
При этом, обращает внимание представитель Kept, использование термина «специалист по защите персональных данных» в отношении европейского законодательства не является корректным.
В настоящий момент в наиболее развитых странах особый акцент делается на защиту прав и свобод именно субъектов ПД. Это стало триггером появления таких профессий, как privacy expert, privacy enthusiast и privacy engineer, рассказал Роман Мартинсон.
При этом нехватка профессионалов в области защиты личной информации, особенно на руководящих позициях, наблюдается по всему миру, в том числе и в РФ, подчеркнул эксперт.
ГОСПОДА ОФИЦЕРЫ
Data Protection Officer в России появились буквально пять-семь лет назад, это были штучные профессионалы, сотрудничающие с крупными международными корпорациями, говорит Максим Лагутин.
Максим Лагутин, Б-152:
– В нашей стране эта специальность начала становиться массовой примерно с 2020 года. Ее распространение, с некоторым временным лагом, стало следствием принятия Евросоюзом GDPR и резко возросшего количества требований по защите ПД.
По его словам,
позиция Data Protection Officer – это не просто техническая функция, связанная с кибербезопасностью, «она больше про права физических лиц и правильную обработку ПД»
Именно поэтому на российском рынке есть люди, знающие законодательство, но не хватает профессионалов с практическим бэкграундом, опытом построения команд и знанием специфики этой сферы, подчеркнул Максим Лагутин.
Выделенная позиция DPO потребуется там, где личной информации уделяется большое внимание: в IT-компаниях, стартапах, медицинских организациях и фармацевтике. Для остальных достаточно возложить соответствующие обязанности на действующих сотрудников, например, специалистов по ИБ, HR или юристов. Главное, чтобы они имели опыт и понимали специфику деятельности своего бизнеса, полагает эксперт.
Действующие правила не предъявляют каких-либо требований к квалификации ответственного по защите данных. Ангелина Балакина напомнила, что
согласно позиции Роскомнадзора, в уведомлении о намерении осуществлять обработку ПД «должно быть указано только одно физическое лицо, ответственное за их обработку»
Ангелина Балакина, ФБК Legal:
– В случае отсутствия в штате компании подходящего сотрудника функции лица, ответственного за организацию обработки личной информации, может исполнять внешний консультант специализированной консалтинговой организации или внештатный DPO, обладающий глубокими познаниями в области приватности.
Часто эту роль совмещают системные администраторы, потому что айтишники нередко оказываются единственными имеющими познания в области информационной безопасности, рассказала Вероника Нечаева. При этом если компания попадет под требования указа №250, то появление не только отдельного ответственного за ПД, но и целого структурного подразделения в компании неминуемо, полагает эксперт.
По ее мнению,
лучше справляться с обязанностями Data Protection Officer будет сотрудник с опытом работы в информационной безопасности
Вероника Нечаева, Cortel:
– Так как DPO – это специалист, работающий на стыке «бумажных» и технических мер, то просто юристам будет сложно. В большинстве случаев, как показывает моя практика, вопросы защиты вообще неподвластны им, поэтому мой выбор очевиден – ИБ-шник. Пусть он даже без опыта, но с профильным образованием.
В целом, специализация в области защиты ПД появилась сравнительно недавно и современное образование не покрывает в полной мере запросы рынка, обратил внимание Роман Мартинсон. Поэтому, уверен он,
в профессию может зайти любой компетентный эксперт, готовый к ежедневному развитию, обучению и обладающий коммуникативными навыками
Это необходимые требования, так как будущему Data Protection Officer предстоит много общаться с коллегами, субъектами ПД и контролирующими органами, подчеркнул эксперт.