На юристов в области защиты персональных данных в России резко вырос спрос

Такой результат показало исследование российской платформы онлайн-рекрутинга hh.ru и образовательной платформы Moscow Digital School (входит в Ultimate Education). Авторы исследования связывают столь значительный рост с изменением российского законодательства по защите персональных данных (ПДн) и ожидаемым увеличением ответственности за нарушения в сфере правил обработки ПДн.

На юристов в области защиты персональных данных в России резко вырос спрос
© ComNews.ru

Директор по правовым инициативам Фонда развития интернета (ФРИИ), преподаватель образовательной платформы Moscow Digital School Александра Орехович так прокомментировала полученные результаты: "Рост спроса на юристов - специалистов в сфере ПДн объясним: за последние пару лет законодательство о защите ПДн претерпело значительные изменения: существенные корректировки в области трансграничной передачи данных, расследования инцидентов утечек, изменения в сфере общедоступных данных и т.д. На рассмотрении Госдумы - законопроекты, ужесточающие ответственность операторов при утечках ПДн, определяющие особенности взаимодействия с государством в сфере создания наборов обезличенных данных, создания системы управления данными. Очевидно, что помощь в ориентировании во всем этом массиве изменений, а также корректировка процессов обработки ПДн с целью нивелирования рисков для бизнеса станут главными задачами юристов - специалистов в сфере ПДн".

Руководитель практики ООО "Версул.Лигал" (IP Versus.legal) Иван Кайсаров считает рост спроса на юристов в области защиты ПДн закономерным: "Повышение спроса на юристов, владеющих знаниями в сфере персональных данных, в целом объяснимо. Это и усложняющееся законодательство, существенное увеличение штрафов, а также куда более пристальный контроль со стороны уполномоченных органов".

Генеральный директор ООО "Айтипроект Груп" (iTPROTECT) Андрей Мишуков связал рост спроса на юристов, специализирующихся на теме персональных данных, с тем, что в течение нескольких лет Россия гармонизирует законодательство, связанное с обработкой и защитой ПДн: "Данный процесс привел к большему осознанию со стороны и субъектов, и операторов. Для последних выросли штрафы, в том числе и оборотные. Также стало намного экономически эффективнее вкладывать в людей и экспертизу для того, чтобы выстраивать процессы обработки ПДн, чем выплачивать штрафы за их отсутствие".

В 2023 г. также отмечен рост вакансий в данной сфере после незначительного снижения в 2022 г. Специалисты по персональным данным наиболее востребованы в Москве и Петербурге, на которые приходится больше половины всех вакансий. При этом в 2023 г. отмечался заметный рост в ряде российских регионов, среди которых авторы исследования особо выделили республики Башкортостан и Татарстан, Забайкальский, Камчатский, Красноярский и Приморский края, Ростовскую, Саратовскую и Челябинскую области, где темпы роста превышали общефедеральные.

Среди отраслей наиболее велик спрос на юристов в сфере персональных данных в ИТ. В 2023 г. возник дефицит такого рода специалистов также в финансовом секторе, госуправлении, электронике и приборостроении, телекоммуникациях и связи, логистике и транспорте.

Юридический рекрутер, сооснователь рекрутингового агентства "Мэджик Стафф" (Magiс Staff), эксперт образовательной платформы Moscow Digital School Дмитрий Утукин связывает рост количества вакансий в различных отраслях с ростом издержек в случае нарушения требований по защите персданных в условиях перегрузки юридических департаментов в компаниях: "Анонсирован и принят в первом чтении законопроект об оборотных штрафах за утечки персональных данных. Уже сейчас штрафы могут достигать 18 млн руб. Поэтому если раньше работодателями юристов по персональным данным были в основном ИT-компании или фарма, то сейчас это такие консервативные отрасли, как нефтедобывающие компании, промышленность. Имеющиеся в штате юристы просто не в состоянии выдержать такой объем дополнительной нагрузки. Поэтому работодатели принимают решение нанять специалистов в штат".

"Сообщения об инцидентах, связанных с утечками персональных данных, становятся основанием для проверок Роскомнадзора. Сумма штрафов, которые взыскали российские суды с компаний за утечки по представлению регулятора выросла в 23 раза по сравнению с 2021 г. и в два раза по сравнению с 2022 г. За неполный год суды рассмотрели 87 протоколов и назначили штрафы на общую сумму 4,6 млн руб. Однако сумма типичного штрафа составляет всего 60 тыс. руб., что является несущественной суммой для крупных и средних компаний. Российские власти намерены значительно ужесточить ответственность компаний за утечку персональных данных, что может рассматриваться как серьезный стимул для организаций к укреплению систем безопасности", - такую статистику по России за 2023 г. привел аналитический центр InfoWatch к отмечаемому 28 января Международному дню защиты персональных данных.

Среди требований к соискателям работодатели указывают навыки работы с персональными данными и большими объемами информации, знание российского закона "О персональных данных" и европейского регламента защиты персональных данных (GDPR), умение защищать интеллектуальную собственность компании и анализировать последние тенденции рынка, а также готовность к инспекционным проверкам и взаимодействию с государственными контролирующими органами. Кроме того, юристы должны уметь выявлять каналы утечек информации и внедрять системы информационной безопасности в компании.

Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов, сославшись на личный опыт проектов в области внедрения средств защиты информации, отметил, что чаще всего юристы в проектах по защите информации участвуют на этапе формирования требований к документам, сопровождающим проект: "Это прежде всего введение режима коммерческой тайны или других режимов обработки информации, регламенты доступа к информации, изменения в трудовых соглашениях, требования к процедуре сбора доказательств нарушений в электронном виде и т.п. В нашей практике встречались также внутренние (и внешние тоже встречались) юридические экспертизы проектов, например, не нарушает ли система борьбы с утечками, которая подразумевает сканирование и хранение электронной переписки сотрудников, действующего законодательства. Но обычно исполнители проектов со стороны поставщика не встречаются с юристами заказчика, а получают результаты их работы как исходные данные для внедрения различных систем защиты. Работа этих специалистов скорее сказывается на длительности предпроектного периода, чем на самом проекте по внедрению средств защиты информации, который делается на базе имеющейся документной базы в компании заказчика". При этом, по его мнению, участие таких специалистов практически не влияет на сроки проектов внедрения систем защиты от утечек данных.

По оценке Андрея Мишукова, участие юристов наоборот, скорее увеличивает сроки проектов, связанных с защитой персональных данных: "Сроки, конечно, увеличиваются, потому что требуется выполнить больше работ и принять дополнительные меры. Однако эффективность от этого не зависит. Скорее, здесь зависимы безопасность и соответствие требованиям законодательства. То есть если какой-то продукт разрабатывается, то участие таких специалистов позволяет обеспечить так называемый подход Privacy by Design. В такой модели безопасность включается на уровне дизайна и архитектуры продукта, а не в конце, когда защита ставится уже сверху. Такой подход позволяет снизить трудозатраты и сэкономить ресурсы, создавая при этом более безопасный продукт. Наличие таких специалистов обеспечивает безопасную обработку персональных данных, соответствующую требованию закона. Участие юристов, которые связаны с обработкой персональных данных, зависит от того, предусмотрена ли в проекте обработка персональных данных. Для этого они привлекаются на первом этапе, и после принимают решение, продолжать ли участие дальше. Но в любом случае, даже если у клиента нет таких экспертов, то мы можем помочь".

Юрист, экономист, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций, член Дискуссионного клуба юристов ИТ-отрасли Павел Катков назвал вызовом для таких юристов регулярное повышение технического образования в области информационной безопасности: "ИБ-ликбез юристов - задача EdTech-отрасли (онлайн-образование - прим. ComNews). Сейчас есть много достойных школ по разным видам практик. Если простой юрист хочет стать ИБ-юристом, пусть найдет себе наставника, пройдет курс в его школе и идет на рынок в новом качестве. При этом пусть будет готов постоянно повышать квалификацию: информационная безопасность - динамичная область".

Иван Кайсаров уверен, что сфера защиты информации, включая персональные данные, является перспективной, как с точки зрения практики для юристов, так и с точки зрения проведения различных курсов и образовательных программ: "Сейчас куда больше юристов, владеющих такими знаниями, чем еще несколько лет назад. С другой стороны, много вопросов, насколько глубокими и структурированными являются эти знания, чтобы осуществлять качественное консультирование. Представляется, что в Москве и Санкт-Петербурге таких кандидатов существенно больше и они могут обеспечить потребности бизнеса, однако далеко не во всех иных регионах такие специалисты представлены в нужном количестве. Уже сейчас можно увидеть большое количество курсов и повышений квалификаций в сфере персональных данных и защиты информации в целом. И действительно, на это есть спрос. Опять же, другой вопрос - качество знаний на этих курсах и насколько они готовят юристов, которые могут практически применять полученные знания и делать это правильно. В связи с этим крайне важно изучать, кто будет преподавать на программе/курсах, какой опыт у данного человека и квалификация, какие именно темы из персональных данных будут затронуты и т.п., чтобы получить действительно качественные знания".

Коллегия адвокатов Pen&Paper и ООО "СерчИнформ" отказались от комментариев. Zecurion не успел предоставить комментарий.