IT-эксперт - о востребованности специалистов по защите персональных данных

DPO, преподаватель программы Moscow Digital School "Защита персональных данных" Денис Садовников рассказал "Газете.Ru" о новой профессии для цифровой экономики, растущей востребованности и перспективах специалистов DPO в России

Рожденная в эпоху цифровой экономики

Аббревиатура DPO происходит от английского "Data Protection Officer" и подразумевает специалиста, который занимается защитой персональных данных клиентов и сотрудников компании. Профессия DPO начала свое путешествие по миру из Европы - первый закон о защите персональных данных был принят в Германии в 1970 году. Главная цель регулирования состояла в защите прав человека, прежде всего, права на неприкосновенность частной жизни. Именно поэтому названия позиций с функционалом DPO часто включают слово "Privacy", близкое по значению российскому юридическому термину "неприкосновенность частной жизни" (например, "Head of Privacy", "Privacy Officer" и т.п.) или даже отсылку к правам человека (Human Rights). Востребованной же профессия DPO стала в эпоху цифровой экономики.

Развитие новых технологий предполагает обработку гигантских объемов данных, которые уже сегодня становятся главным ресурсом и активом компаний. Соответственно, их необходимо грамотно защищать. Кроме того, сегодня выбирая тот или иной продукт, потребители начинают обращать внимание не только на качество сервиса, но и на то, как этот сервис обходится с их персональными данными. Учитывая растущую конкуренцию, именно доверие клиентов все чаще становится решающим фактором выбора и важнейшим конкурентным преимуществом компании.

В последние годы наличие позиции DPO либо ее аналогов стало неотъемлемой частью технологического бизнеса по всему миру. Это подтверждает и исследование IAPP, которое показало, что такие специалисты представлены во всех регионах, однако, большинство из них все же работают в США – 49%, в Европе – 22%, в Великобритании – 14% и Канаде – 8%. На другие юрисдикции приходится лишь 7% опрошенных профессионалов.

DPO в Европе

В Европейском Союзе в 2018 году вступил в силу регламент General Data Protection Regulation, более известный как GDPR. Он подробно раскрывает права и обязанности DPO, как специалиста, а также закрепляет его особый правовой статус и гарантии независимости.

Так, например, специалист должен напрямую подчиняться высшему руководству компании, выступать связующим звеном между компанией и клиентами с одной стороны и государственным надзорным органом с другой. Кроме того, GDPR предусматривает случаи, когда назначение DPO – это не право, а обязанность компании.

DPO в Китае и на Ближнем Востоке

В Китае в ноябре 2021 года вступил в силу новый закон - Personal Information Protection Law (PIPL) , который предполагает назначение специалиста, в том числе, обязательное – PIPO (Personal Information Protection Officer), выполняющего ту же роль, что и DPO. Страны Персидского залива планируют добиться лидерства в новой экономике, основанной на широком внедрении искусственного интеллекта. Важной частью этой стратегии стало принятие законодательства о персональных данных. Региональным лидером в этой области являются ОАЭ, поэтому в июле 2020 года вступил в силу закон о защите данных Дубайского международного финансового центра. А в феврале 2021 года вступили в силу правила защиты данных № 2021 Глобального рынка Абу-Даби. И, наконец, в январе 2022 года вступил в силу Федеральный декрет № 45/2021 о защите персональных данных ОАЭ. Все три закона предполагают назначение DPO, в том числе обязательное, и регламентируют его правовой статус по образцу GDPR.

DPO в России

Как и GDPR, российский федеральный закон "О персональных данных" предусматривает обязательное назначение DPO. Его правовой статус и полномочия не детализированы подробно – это позволяет компаниям, в том числе действующим на международном уровне, самостоятельно определять функционал для DPO и либо делать его схожим с их иностранными коллегами, либо учитывать конкретную специфику. В России сегодня ответственные за организацию обработки персональных данных (Data Protection Officer) на полную ставку или по совмещению назначены в 44% российских компаниях, показал опрос, проведенный компанией Б-152 в декабре 2022 года. Год назад этот показатель составлял 25%.

Зарплата начинающего DPO в России составляет в среднем в 150 тыс. рублей, опытного специалиста – 250-350 тыс. рублей, поделились респонденты. Специалисты по защите персданных в основном работают в IT-компаниях, медиа и телеком-отрасли (15% опрошенных).

Какими навыками должен обладать DPO?

Отличительной чертой этой профессии является ее международный характер. Поскольку современная цифровая экономика по своей сути трансгранична, DPO, как правило, не может ограничиваться знанием законов какой-то одной страны. Специалист должен уметь правильно определять применимое право и стремиться к использованию универсальных международных стандартов, самых современных подходов и лучших практик, а также коммуницировать с надзорными органами и коллегами из разных стран. Кроме того, DPO должен не только знать и уметь применять законодательство, он должен быть хорошо знаком с информационными технологиями, уметь организовать взаимодействие с бизнесом и IT-подразделениями, найти общий язык с высшим руководством компании, клиентами и надзорным органом, внедрять privacy-культуру, проводить курсы и тренинги. Английский язык для DPO является lingua franca в той же мере, как и для представителей IT-профессий. DPO из разных стран объединяются в ряд международных профессиональных сообществ, самым представительным из которых является International Association of Privacy Professionals (IAPP) со штаб-квартирой в США. Именно эта организация проводит самые статусные международные мероприятия и организовала систему наиболее авторитетной международной сертификации. Сертификация IAPP включает два основных уровня: профессиональный (CIPP/E (Certified Informational Privacy Professional for Europe), и, соответственно, CIPP/US (United States), CIPP/A (Asia), CIPP/C (Canada)) и менеджерский (CIPM (Certified Informational Privacy Manager)).

Наличие сертификации IAPP является типичным требованием для кандидатов на соответствующие должности и часто рассматривается в качестве критерия принадлежности к профессиональному цеху. В некоторых странах существуют национальные системы сертификации. Например, во Франции DPO должен быть сертифицирован надзорным органом – La Commission Nationale de l'Informatique et des Libertés.

Как начать работать?

Чаще всего DPO становятся специалисты по информационной безопасности и юристы. Однако, одновременно с ростом спроса на DPO растут и требования к ним. Профессия требует узкоспециализированных знаний и навыков, которые далеко не всегда можно получить в смежных областях. Наличие любого из сертификатов вкупе с релевантным опытом, базовым образованием и развитыми soft skills кандидата может рассматриваться работодателем как свидетельство "готовности" к роли DPO.

Каковы перспективы?

Несомненно, нынешние политические и экономические трудности затрагивают и профессию DPO. Тем не менее, рост спроса на данных специалистов – это отражение объективных закономерностей развития цифровой экономики. Недавние громкие утечки персональных данных наглядно иллюстрируют необходимость профессиональной защиты информации.

Причем, эта защита должна начинаться еще до момента сбора данных. Надежнее всего защищены те данные, которых у нас нет. Именно DPO помогает бизнесу определить строго необходимый объём данных и сроки их хранения, помочь не собирать лишнего и не накапливать "кладбища данных", которые не несут экономической пользы, а лишь создают риски. В крупных компаниях работа DPO по оптимизации сбора, обработки и хранения данных позволяет экономить значительные ресурсы. Другим фактором повышения значимости работы DPO является рост киберпреступности, а также мошенничества и других преступлений, связанных с незаконной обработкой персональных данных. Именно DPO играет важную роль в защите компаний и их клиентов от такой противоправной активности. Учитывая значимость персональных данных в современном обществе, государства устанавливают значительные штрафы на нарушение соответствующего законодательства. Так, GDPR предусматривает штрафы до 20 млн евро или 4% годового глобального оборота. В 2021 году надзорный орган Люксембурга наложил штраф в 746 млн евро на компанию Amazon, ирландская Data Protection Commission оштрафовала WhatsApp на 225 млн евро, французская La Commission Nationale de l'Informatique et des Libertés начала 2022 год с трех штрафов для Facebook* и Google, в сумме составивших 210 млн евро.

Колоссальные суммы за нарушение законодательства в будущем могут грозить российским операторам персональных данных, халатно относящихся к своим обязанностям. Уже сегодня согласно закону, в случае возникновения утечек или кибератак они обязаны уведомлять Роскомнадзор о таких инцидентах в течение 24 часов, а также расследовать их в течение 72 часов и отчитаться о результатах. За нарушение закона в этой части планируется ввести и оборотные штрафы в размере до 3% от оборота, если организация не обеспечивает безопасность данных. Соответствующий законопроект подготовило Минцифры в декабре 2022 года, а уже в январе 2023 года президент РФ Владимир Путин поручил правительству рассмотреть вопрос введения таких штрафов до 1 июля 2023 года, а также усилить ответственность за их незаконный оборот.

Законодательство РФ в сфере защиты персональных данных постоянно совершенствуется и учитывает как положительные, так и отрицательные примеры. При этом штрафы остаются наиболее чувствительным вопросом как для бизнеса, так и для государства. Тем не менее, зарубежная практика показывает, что ответственность за нарушение сохранности персональных данных пользователей может исчисляться сотнями миллионов евро, что говорит о ценности и важности личной информации человека.