Ваши перспективы: рынок труда для Data Protection Officer и других privacy-специалистов

Содержание

ЕС и Великобритания

В Евросоюзе по ключевым словам мы нашли более 65 000 вакансий, а в Великобритании  18 000, что ещё раз показывает востребованность сферы приватности.

Какие вакансии сейчас доступны?

Чаще всего, ищут Data Privacy Specialist, вне зависимости от направления бизнеса. Это универсальный специалист, который консультирует коллег по вопросам защиты персональных данных и реализует прайваси-программу компании. Но есть и нюансы.

Если компания оказывает консультационные услуги, то, вероятно, понадобится юридический бэкграунд и должность будет называться Privacy или Data Privacy Counsel.

Продуктовые компании обращают внимание больше на менеджерские качества и опыт, так как ищут Privacy Coordinator или Information Security and Privacy Manager. При этом, юридический бэкграунд выходит на второй план.

Бывают также совмещенные вакансии: специалист по информационной приватности и безопасности, хотя это более свойственно СНГ. На рынке ЕС характерно разделение этих зон ответственности: специалист по защите персональных данных будет консультировать инфобез только по определенным вопросам.

Встречается и разделение на продукты. К примеру, компания Google в поиске специалиста, который будет работать над комплаенсом Google Cloud.

Чем занимается прайваси-специалист?

В Европе сложилось понимание, что приватность — это процесс, а не набор каких-то документов или действий, поэтому privacy-специалисты, в основном, занимаются имплементацией всей программы, т.е. упор в менеджмент. Часто в обязанности privacy-специалистов входит работа с персоналом и повышение его осведомленности, что не так часто встречается, например, на рынке СНГ.

Основная обязанность специалиста по защите персональных данных — консультировать коллег по вопросам защиты персональных данных, оценивать риски и давать свои рекомендации по дальнейшим шагам.

Или может быть поставлена задача оценить вендоров. То есть перед тем, как начать работу с каким-то сервисом, privacy-специалист должен оценить риски от привлечения этого вендора, подготовить соглашение об обработке персональных данных, а если вендор находится не в ЕС, то оформить трансграничную передачу.

Также стандартными для таких специалистов процедурами являются оценка легитимного интереса и оценка воздействия на персональные данные, если компания работает с чувствительными данными.

Что отличает от рынка СНГ, это внедрение Privacy by Design. Это характерно для продуктовых и аутсорсинговых IT-компаний, которые регулярно разрабатывают приложения и могут заложить приватность на стадии создания архитектуры.

Кроме вышеперечисленного, специалист по приватности работает с запросами субъектов данных. В больших компаниях этим занимается поддержка, но самые каверзные вопросы отправляются специалисту.

Без сомнений, в этой бурно развивающейся сфере специалист по приватности должен следить за новыми лучшими практиками, чтобы они своевременно внедрялись в компании.

Ключевые требования

Степень магистра требуется очень редко, обычно достаточно степени бакалавра. В некоторых случаях указано, что образование должно быть юридическим, но часто сфера не ограничена. То есть, человек с любым бэкграундом может прийти в эту профессию. К примеру, если вы прошли фундаментальный курс по защите персональных данных GDPR DPP, то не будет иметь значение юрист вы или журналист, так как ценятся знания и умение решать практические ситуации.

Есть компании как готовые нанять человека без опыта работы, так и с опытом только от 8 лет. В большинстве вакансий требуется опыт 1-2 года.

Сертификация для рынка ЕС необязательна. Почти все работодатели отмечают, что сертификация CIPP/E будет плюсом, но не является обязательным требованием при приеме на работу. Компании, для которых это важно, отмечают, что готовы помочь вам сдать экзамен в ближайшее время.

Очень много вакансий, где достаточно только английского языка. Часто нужен язык страны, в которой размещена вакансия, особенно актуально для Германии и Франции.

Немаловажным считаются и soft skills, так как необходимо регулярно коммуницировать с командой. Также приветствуются навыки проектного менеджмента, потому что специалист будет заниматься внедрением прайваси-программы.

data-protection-officer-gdpr

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

США

Даже с условием только удаленной работы в США LinkedIn показывает более 60 000 открытых вакансий в сфере приватности. Без этого тэга насчитывается 250 000+ вакансий.

Очень много запросов от крупных компаний вроде Google, Amazon, TikTok, Meta, MasterCard. Как и на рынке ЕС, востребованы специалисты всех уровней.

Ищут людей, которые будут заниматься только приватностью, консультантов, специалистов, чуть реже конкретно DPO. Чаще ценятся более практикоориентированные знания. Много вакансий открыто для Data Privacy Manager и менеджеров программ. Внедрение приватности для компаний воспринимается как проект, для таких вакансий востребованы знания по проектному менеджменту.

На этом рынке в тренде смешанные вакансии, так как компании любят миксовать приватность с чем бы то ни было: инфобезом, юридическими вопросами и даже спорными моментами интеллектуальной собственности.

Ещё одна особенность рынка в США в том, что часто прайваси-команды большие, и они ищут сотрудника определенной специализации: оценка рисков, обработка запросов субъектов данных, создание политик приватности и других документов, проектная работа с отдельными инцидентами.

На рынке США среди компаний можно выделить, условно, «прайваси-энтузиастов», которые вдохновились этой философией и действительно хотят заботиться о данных своих клиентов. А также тех, кто не понимает, что делать с огромным новым регулированием: на них сыпятся запросы субъектов данных, а они находятся в состоянии шока. На это тоже нужно обращать внимание, потому что с компаниями, которые не понимают, зачем приватность нужна, будет работать тяжелее.

Специфика работы в больших компаниях

В крупных бизнесах, как правило, большой штат прайваси-специалистов, и они ищут сотрудников всех уровней и с разделением сферы ответственности. Вакансии в таких компаниях не горячие и закрываются очень долго. Часто такие компании запускают новые проекты и, найдя кого-то, ищут сразу нового.

Еще особенность таких компаний, что у них есть филиалы в других странах. Скорее всего, придется работать с разными юрисдикциями и пытаться совместить непохожие, иногда даже противоречащие друг другу, требования.

В США гораздо больше вакансий, где требуется наличие юридического бэкграунда (иногда даже со степенью J.D.), а вот необходимость знаний public policy и технического аспекта приватности играет меньшую роль. Членство в местных ассоциациях может стать маст-хэвом для претендующих на руководящие позиции.

data-protection-officer-usa-job

Нередко в вакансиях знания GDPR стоят даже выше, чем знания американского законодательства, потому что Регламент ЕС считается базой, с которой вы легко можете изучить другое регулирование.

Опыт работы требуется различный: где-то достаточно каких-то курсов в университете, где вы освоили идеи, которые можете внедрить на практике. Где-то требуется опыт работы несколько лет. Некоторые вакансии предусматривают опыт работы больше пяти лет, и это вызывает улыбку, так как GDPR был принят только в 2018 году.

В США очень ценится местная юридическая практика, то есть, если вы практиковали где-нибудь в Миннесоте, то это огромный плюс.

У CIPP есть отдельная сертификация для США — CIPP/US. К тому же, ценятся специальные сертификаты CIPM, CIPT, а так же региональные, например, европейская (CIPP/E) и канадская (CIPP/C). Конечно, огромным преимуществом является FIP, которая говорит о вашем признании в сообществе.

Soft skills тоже понадобятся, потому что приватность — это про то, как объяснить людям, что происходит с их данными.

Как в случаях с ЕС, ваша основная задача — консультировать. Так же придется следить за изменениями в регулировании, изучать взаимодействие приватности с искусственным интеллектом, менеджментом и т.д.

Если вы подаетесь на лидерскую позицию, то вам придется разрабатывать стратегию внедрения приватности. Как и в случае с ЕС, от вас будут ждать создание инструкции, внутренних гайдов, обучение сотрудников и, в принципе, формирование культуры приватности в компании. Важно, что требуется сотрудничать с разработчиками и внедрять Privacy by Design и разрабатывать требования к архитектуре. Как и в ЕС, проводить оценку рисков (DPIA), аудиты партнёров, вендоров, работать с запросами субъектов, улучшать политики приватности и другие документы.

СНГ

Некоторым компаниям нужен в штат DPO. Но тут, как и везде, просматривается тенденция, что в основном ищут менеджера, который бы выстроил всю систему по защите персональных данных, а консалтиACнгу нужны юристы. Очень часто требуются знания российского 152-ФЗ, чтобы применять местное законодательство Российской Федерации. Есть вакансии и для стажеров, и для руководителей.

Отличия в требованиях, в первую очередь, касаются образования. Если для ЕС подходит любое, то для СНГ понадобится юридическое или смежное в областях информационной безопасности или технологий.

Минимальный опыт работы: от 1 года, максимальный: от 5 лет — на руководящие должности. Здесь нужен опыт работы именно в privacy. Сертификация так же не является необходимой для рынка СНГ.

Что касается языков, то не смотря на то, что рабочим языком будет русский, на английском будет необходимо следить за трендами и нововведениями в приватности.

Отдельно в СНГ ценится опыт подготовки заключений по вопросам защиты персональных данных, кейсы проведения аудитов на предмет соответствия требованиям законодательства, внедрения прайваси-программы и наличие опыта прохождения проверок регуляторов в части исполнения требований по обработке и защите персональных данных.

Особенностью является и то, что на рынке СНГ во всех вакансиях есть требования по информационной безопасности: знания нормативной базы в приватности и инфобезе (GDPR, Ф3-152, Ф3-149, 98-Ф3, требования ФСТЭК, ФСБ, Роскомнадзора) будут необходимы. А так же будет полезно понимание бизнес-процессов и связанных с ними рисков, именно по информационной безопасности.

Естественно нужны практические знания в сфере IT-инфраструктуры и безопасности для обеспечения защиты данных. Вам придется общаться с IT-отделами, знать их профессиональную лексику, чтобы вы их и они вас понимали, и в реестрах все было правильно.

Среди обязанностей можно выделить: формирование требований к бизнес-процессам, разработка внутренней политики по защите персональных данных и обучение сотрудников, осуществление внутреннего контроля за обработкой персональных данных. В отличие от Европы и США, где занимаются приватностью целые команды, в СНГ это все возложено, чаще всего, на одного человека.

А так же такие функции, как контроль доступа, взаимодействие с надзорным органом, консультации по новым продуктам, услугам и документам. Часто встречаются формулировки: «организация работы обработки персональных данных в соответствии с требованиями законодательства». Сразу видно, что, в основном, рынку нужны юристы.

Хотели бы стать специалистом по защите персональных данных? Переходите по ссылке, выбирайте курс по приватности и сэкономьте свое время! Сергей Воронкевич, сертифицированный тренер, известен в прайваси-комьюнити своим умением объяснять логику, а не давать материал для заучивания.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.