Data protection officer: кто это, где выучиться
Data protection officer
Сейчас во многих международных и российских корпорациях позиция DPO становится всё более востребованной, ведь ежегодно объем данных растет. По данным ТАСС, к 2025 году он вырастет более чем в 5 раз (https://tass.ru/ekonomika/6209822). И необходимость в DPO увеличивается во много раз, ведь иметь такого сотрудника, значит быть уверенным, что GDPR и 152-ФЗ в компании соблюдаются. Но многие специалисты в юридической и смежных сферах даже не подозревают о том, что могут повысить квалификацию (или полностью сменить специализацию) и стать не только профессионалом, за которого будут бороться известные компании, но и повысить свой доход, приобрести престижный статус и занять социально значимую должность.
Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.
Кто такой DPO и почему он так нужен компаниям?
Data Protection Officer (DPO), или ответственный за организацию обработки персональных данных, – это специалист, который обеспечивает защиту персональных данных компании и соответствие ее деятельности требованиям российского федерального закона 152-ФЗ и GDPR.
Многие, столкнувшись с этой специальностью, не могут до конца разобраться в том, чем же занимается DPO. Для этого необходимо отправиться к истокам появления профессии.
27.07.2006 в России был принят федеральный закон 152-ФЗ о защите персональных данных. Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (152-ФЗ, Ст.2). С этого момента специалисты, ответственные за организацию обработки персональных данных, стали требоваться постоянно, ведь неправильное обращение с данными - это нарушение Конституции РФ и международного законодательства, которое влечет за собой миллионные штрафы.
В 2018 году вступил в силу GDPR (General Data Protection Regulation) – европейский регламент по защите данных, после чего у многих компаний появилась острая необходимость в специалистах, которые разбираются в европейском законодательстве и знают, как оно применяется в российских реалиях (и не только). Документ устанавливает правила защиты физических лиц в связи с обработкой персональных данных и правила свободного перемещения персональных данных (GDPR, Ст.1).
Сегодня многие компании осуществляют широкомасштабную обработку данных: геолокация, базы номеров телефона, e-mail, поведение в интернете и т.д. Вы удивитесь, но практически все сферы экономики нуждаются в специалистах DPO. Например, настраивая таргетинг и собирая данные аудитории, имея множество клиентов, вы уже осуществляете обработку персональных данных, а потому должны соблюдать законодательство.
Чем поможет Data protection officer?
DPO – это специалист, который одновременно разбирается в тонкостях европейского права информационной приватности, обладает управленческими качествами и разбирается в технической стороне защиты персональных данных. Минимальный круг обязанностей инспектора описан в статье 39 GDPR.
Итак, что делает DPO в компании:
1) Консультирует руководство, менеджеров и работников, которые занимаются обработкой персональных данных, об обязанностях, которые они должны соблюдать по регламенту GDPR и действующему законодательству страны в сфере защиты данных. Как правило, к специалисту обращаются по разным вопросам: оценка рисков, оценка влияния на персональные данные, соответствие использования данных регламенту и так далее.
2) Контролирует соблюдение 152-ФЗ, GDPR и других норм в компании, повышает осведомленность сотрудников в сфере защиты данных, обучает персонал, который задействован в обработке персональных данных. DPO помогает не нарушать российское законодательство и международный регламент, ведь любое его несоблюдение может повлечь за собой неприятные последствия.
3) Дает рекомендации по оценке воздействия на защиту персональных данных, а также контролирует их осуществление в полной мере.
4) Сотрудничает с надзорным органом, помогает проводить проверки и обеспечивает доступ ко всей необходимой для этого информации. DPO также может обращаться за помощью к надзорному органу, чтобы удостовериться в грамотном выполнении своих обязанностей.
5) Является контактным лицом для надзорного органа. Именно через DPO органы получают информацию по обработке персональных данных. Специалист консультирует по всем возникающим вопросам. По сути инспектор по защите персональных данных является лицом, представляющим компанию, в которой он работает.
Каким корпорациям иметь DPO – обязательное условие?
Сегодня работать с соблюдением 152-ФЗ и GDPR обязаны большинство компаний, но обеспечить строгое выполнение требований может только компетентный специалист, ведь совмещать штатную должность и обязанности DPO не получится. От инспектора требуется постоянный контроль, внимание и профильные знания.
В GDPR (статья 37) прописаны случаи, когда Data protection officer просто необходим:
1) Обработка персональных данных производится государственными органами. Это условие не применяется к судам;
2) Деятельность компании требует регулярного контроля данных, в доступе у компании содержится большой объем данных;
3) Деятельность компании связана с обработкой специальных данных или данных, связанных с уголовными делами и правонарушениями.
Если компания располагает большим массивом персональных данных, необходимо подключить к работе специалиста. Приведем примеры таких организаций:
1) Медицинские учреждения хранят данные тысяч пациентов: ФИО, паспорт, медицинское страхование, данные о здоровье и т.д.;
2) Такси и сервисы доставки еды хранят данные о геолокации, платежной информации, рейтинги, маршруты и т.д.;
3) Банки и страховые компании собирают паспортные данные, кредитную историю, платежеспособность клиента, сведения о заработке и т.д.;
4) Компании, которые запускают контекстную и таргетированную рекламу, хранят данные об интересах пользователей. Также посетители часто оставляют свои данные на сайтах или в специальных формах (ФИО, телефон, e-mail, социальные сети). Все это также относится к персональной информации.
Можно привести очень много примеров, ведь личные данные запрашивают большинство компаний. Нередко возникают ситуации, когда информацию «сливают» в сеть и она становится общественным достоянием. Специалист DPO поможет избежать этого и обеспечить должную защиту, чтобы закон не нарушался.
Как стать Data protection officer?
Чаще всего в эту профессию приходят юристы, специалисты по информационной безопасности или комплаенс-менеджеры. Но при должной переподготовке и повышении квалификации работать DPO может каждый. Например, в Яндексе позицию DPO занимает специалист с техническим образованием и бэкграундом.
Защита персональных данных – очень перспективное направление, поэтому с каждым годом интерес к специальности растет. Правда, есть одна сложность: на сегодняшний день в университетах получить такое образование невозможно. Обычно направление преподается как отдельная дисциплина на юридическом факультете, но встречается это крайне редко.
Если вы интересуетесь профессией, обратите внимание на специальные курсы. Мы проводим 2-х месячный курс по подготовке инспекторов по защите персональных данных, который позволит разобраться во всех тонкостях 152-ФЗ и GDPR, чтобы стать востребованным специалистом.
С новыми знаниями вы сможете повысить свой доход (средняя зарплата DPO в России 200-250 тыс. рублей), получите возможность работать в крупнейших корпорациях и повысите свою конкурентоспособность на рынке.
Большинство компаний даже не подозревают, что попадают под действие 152-ФЗ и GDPR, а штрафы за нарушение регламента достигают миллионов евро. Станьте первоклассным специалистом, повысив свою квалификацию, и займите одну из самых перспективных ниш на рынке юридических услуг.
