Требуется: 2000 сотрудников для новой профессии в течение года, начальная зарплата $5000 (16тыс. шек.)
Каждый раз, когда мы используем Pango или записываем ребенка в детский сад, собирается наша информация. Для ее защиты регулирующий орган требует от каждой компании назначать специалиста по защите персональных данных. Это требование привело к нехватке экспертов, умеющих сочетать юриспруденцию и технологии, к увеличению зарплат на 50% и породило волну новых программ обучения.
Эксперт по защите конфиденциальности. «Я не помню, когда в последний раз придумывали профессию и говорили: „Через год нам понадобится 2000 таких специалистов“». (Фото: создано ИИ)
Это происходит десятки раз в день, незаметно для нас и без нашего ведома. Когда мы запускаем приложение для парковки, наше точное местоположение и номерной знак автомобиля сохраняются в базах данных компании.
Когда мы регистрируем ребенка в муниципальный детский сад, его информация передается на серверы внешней компании, которая занимается регистрацией в муниципалитете.
Даже когда мы просто идем по улице, умные камеры отслеживают наши движения, и когда мы проводим биометрической картой сотрудника на входе в офис, наш отпечаток пальца становится строкой кода в биометрической базе данных.
Собранные данные, информация, являются двигателем революции в области искусственного интеллекта. А опасность, которую этот сбор представляет для конфиденциальности каждого из нас, породила новую профессию.
Новые профессии рождаются в самых разных формах. Чаще всего они создаются в ответ на потребности рынка. Но в данном случае полагаться на рыночные силы было невозможно — на добрую волю компаний и организаций, собирающих информацию. Поэтому вмешался регулятор и ввел обязанность назначить конкретного человека для защиты частной жизни.
«Я не помню, когда в последний раз придумывали профессию и говорили: „Через год нам понадобится 2000 таких специалистов“», — говорит адвокат Алон Бахар, бывший глава Управления по защите персональных данных и соучредитель PrivMatch, платформы для подбора и обучения экспертов по защите персональных данных.
Эта фраза суммирует драму, разворачивающуюся среди тысяч организаций, которые после внесения поправок в Закон о защите персональных данных обязаны назначить «специалиста по защите данных» — и это только вчера.
Главная проблема в том, что таких специалистов просто недостаточно. Это ситуация, находящаяся на стыке технологического и правового аспектов, с очень специфическими и обширными требованиями, которые даже определены законом.
В эпоху, когда исчезают профессии, а высокотехнологичные компании увольняют сотни сотрудников, сфера защиты конфиденциальности фактически растет, как естественным путем, так и в соответствии с установленным Управлением по защите конфиденциальности сроком, определенным поправкой № 13 к закону .
Поправка вступила в силу в августе, но активное ее применение только начинается, и поэтому началась гонка за заполнение вакансий специалистов по защите данных.
Что вообще такое DPO?
Специалист по защите данных (DPO)— это человек, который должен выступать в роли контролера и выявлять нарушения конфиденциальности до того, как они произойдут. Для этой должности необходимы юридические знания в области законодательства о защите персональных данных, а также технологические знания, связанные с обработкой данных.
В соответствии с требованиями к этой должности, специалист по защите данных должен выявлять процессы обработки данных с высоким риском — такие как сбор данных в приложениях или с помощью камер видеонаблюдения — и проводить оценку воздействия на конфиденциальность, чтобы предотвратить ущерб еще до выхода продукта на рынок.
Его обязанности обширны и включают в себя оперативное управление утечками данных и кибер-инцидентами, извлечение уроков и отчетность перед регулирующим органом.
Кроме того, он должен действовать с полной профессиональной независимостью, без конфликта интересов, и напрямую отчитываться перед высшим руководством, чтобы влиять на важные решения в организации. «Он является ключевым звеном при утечке данных, — объясняет Бахар, — он тот фактор, который связывает технические, юридические и нормативные аспекты»
Адвокат Алон Бахар (фото Томер Якобсон)
Еще до вступления в силу 13-й поправки к закону спрос на юристов, специализирующихся на защите персональных данных, вырос в пять раз по сравнению с предыдущим годом, в то время как общий спрос на юристов за тот же период увеличился всего в 1,12 раза, согласно данным компании Codex, занимающейся подбором юридических кадров и карьерным консультированием.
«Этот рост отражает растущую обеспокоенность организаций по поводу юридических рисков и их стремление соблюдать нормативные требования, снижать риски судебных исков, наложения санкций и даже публикации имен организаций-нарушителей.
Защита персональных данных, которая когда-то считалась узкой юридической специальностью, теперь становится неотъемлемой частью деловой и технологической деятельности», — говорит Лиат Бен Цви Шевач, генеральный директор Codex.
Треть новых вакансий для юристов, специализирующихся на защите персональных данных, предлагается компаниями, а остальные — юридическими фирмами. Большинство вакансий предназначены для юристов с опытом работы от двух до четырех лет (45%), при этом четверть из них — для начинающих юристов.
Кроме того, большинство вакансий, связанных с защитой персональных данных, сочетают в себе защиту персональных данных с технологиями, ИТ или кибербезопасностью.
Лиат Бен Цви Шева, генеральный директор Codex. (фото Никки Вестфаль )
«Существует нехватка опытных специалистов, и в то же время открываются возможности для молодых юристов, начинающих свою карьеру.
Спрос отражает реальную потребность в связи между правом, технологиями и бизнесом, и те, кто способен на это, становятся ценным активом для организации», — говорит она.
Теперь, когда льготный период для внедрения поправки № 13 к закону закончился и начинается ее исполнение, спрос на специалистов по защите конфиденциальности в организациях еще больше возрос.
Кому это подходит?
Должность специалиста по защите данных (DPO) не является классической для юристов, как и для специалистов по кибербезопасности или IТ. С одной стороны, она требует глубокого понимания нормативно-правовых норм, а с другой — технологических знаний в области информационных систем, информационной безопасности и кибербезопасности, чтобы точно определить, где хранится информация и как она защищена.
«Очень мало специалистов в области технологий, которые разбираются в праве, и очень мало юристов, которые разбираются в технологиях», — говорит Бахар.
Он подсчитал, что в настоящее время в Израиле насчитывается около 200 экспертов, действительно обладающих значительными знаниями и опытом в двух основных областях, требующих специалиста по защите данных (DPO) на уровне, необходимом для крупной организации.
Кроме того, гораздо больше тех, кто прошел и продолжает проходить курсы DPO и накопил необходимые знания и опыт за определенный период времени.
Такая ситуация открывает двери для двух основных групп: юристов, которым надоела профессия и которые хотят изучать технологии, и специалистов по информационной безопасности и IТ, заинтересованных в продвижении на руководящие должности.
Как уже упоминалось, естественный спрос на рынке возрос после принятия поправки № 13 к закону, которая, по сути, требует от множества организаций назначения специалиста по защите данных (DPO).
«Закон требует этого не только от государственных министерств, но и от любых организаций, основной деятельностью которых является обработка данных», — говорит Бахар.
В список входят все государственные учреждения, государственные министерства, органы местного самоуправления и муниципальные корпорации. Кроме того, к ним относятся финансовые организации (банки, страховые компании), медицинские учреждения (фонды здравоохранения и больницы) и организации, занимающиеся сбором данных (например, приложения для парковки, такие как Pango или Slow-Park)
Помимо этих организаций, любой внешний поставщик, обрабатывающий информацию для этих организаций, также должен назначить сотрудника по защите персональных данных. «Подсчитайте сами: сотни государственных и финансовых организаций и тысячи других поставщиков, которые предоставляют им услуги и хранят информацию, — и мы уже в первый день вступления закона в силу охватили тысячи организаций, которым требуется сотрудник по защите персональных данных», — говорит он.
Это означает, что квалифицированные специалисты необходимы немедленно, в то время как в государственном секторе, согласно Комиссии по делам государственной службы, назначение должно быть внутренним, в частном секторе может быть назначен внешний специалист по защите данных (DPO). Другими словами, специалисты могут оказывать услуги нескольким организациям одновременно.
Например, компания Yazmco Pro предлагает услуги экспертов DPO для поддержки в вопросах соблюдения нормативных требований; Cyberoot предлагает услуги DPO, как и Datawatch.
Но, по мнению Бахара, этого будет недостаточно для организаций, собирающих значительную информацию. «Если регулирующий орган обнаружит, что организация назначила внешнего специалиста, не знакомого со всеми тонкостями деятельности организации, просто для выполнения своих обязательств, эта организация будет подвергнута санкциям, как если бы она не назначила DPO», — говорит он.
Начальная зарплата - $5000 (16 тысяч шекелей) в месяц.
СКРИНШОТ
Высокий спрос на специалистов по защите конфиденциальности привел к 50-процентному увеличению их заработной платы в течение года для сотрудников с опытом работы от 3 до 5 лет, согласно данным Codex. Если в 2024 году средняя зарплата опытных специалистов по защите конфиденциальности составляла 15 000 шекелей в месяц, то в 2026 году она достигнет 22 500 шекелей в месяц(более $7тыс.).
Также наблюдался рост заработной платы среди начинающих специалистов (с опытом работы 0-2 года), но он был более умеренным. С 14 000 шекелей в месяц в 2024 году до 16 000 шекелей в месяц в среднем в прошлом году.
Учитывая, что четверть вакансий в этой области открывается для начинающих специалистов, это возможность для юристов или IT-специалистов начать карьеру в быстрорастущей профессии. Для тех, кто имеет опыт работы 6-10 лет, рост был еще более умеренным (7%) — с 27 000 шекелей в месяц до 29 000 шекелей в месяц ($8,5 тыс. до ($9,2 тыс)в 2025 году.
Угроза штрафов в миллионы шекелей
Главное изменение ситуации по сравнению с прошлым, когда защита конфиденциальности также была обязательным требованием, заключается в санкциях . Раньше нарушение конфиденциальности обычно заканчивалось выговором или небольшим административным штрафом, но поправка 13 дает право налагать финансовые санкции, которые могут достигать сотен тысяч шекелей за каждое отдельное нарушение.
Для организации, которая хранит большой объем информации и совершает многочисленные нарушения или не назначает сотрудника по защите данных, как того требуют правила, совокупный ущерб может достигать миллионов шекелей. Таким образом, компании подвергаются значительному финансовому риску, что делает необходимость в назначении сотрудников на должности сотрудников по защите данных критически важной.
Как стать сотрудником отдела защиты данных (DPO)?
Нехватка экспертов по защите персональных данных, наряду с нормативными требованиями к их назначению, привела к появлению множества обучающих программ, словно грибы после дождя. Среди обучающих организаций есть и академические учреждения, такие как юридический факультет Тель-Авивского университета, Технион, Университет Бар-Илан, Академический колледж Сапира и Еврейский университет, которые предлагают специализированные программы обучения, большинство из которых координируются или признаются Управлением по защите персональных данных. Коллегия адвокатов предлагает практический семинар для юристов, желающих узнать о роли специалиста по защите персональных данных.
PrivMatch, совместный проект Codex, Bachar и адвоката Яакова Оза, предлагает комплексное обучение по программе DPO, а также трудоустройство и базу данных экспертов по вопросам конфиденциальности для организаций.
Кроме того, такие компании, занимающиеся обучением в сфере технологий, как John Bryce и See Security, предлагают курсы обучения DPO, причем John Bryce проводит занятия как для юристов и специалистов по информационной безопасности, соблюдению нормативных требований и регулированию, так и для менеджеров проектов и риск-менеджеров в организациях.
Продолжительность обучения сильно варьируется и составляет от 40 до 80 академических часов и от восьми до двадцати занятий для комплексной профессиональной подготовки, а также менее обширные вводные курсы и короткие или разовые семинары или ряд индивидуальных занятий для подготовки к этой роли для тех, кто уже работает в должности специалиста по защите данных или собирается начать работу в этой должности. Стоимость курсов начинается примерно с 5000 шекелей($1500) и может достигать 20 000 шекелей($6300) за комплексные программы, которые также включают управление кибербезопасностью.
Перевод с иврита
