Choć nowe unijne prawo dotyczące ochrony danych osobowych wchodzi w życie dopiero w maju 2018 r., to już zaczęło się polowanie na fachowców w tej dziedzinie. A jest ich bardzo niewielu.
Grupa Getin Leasing szuka eksperta, który pokieruje procesem dostosowania spółek do wymogów RODO, czyli nowego unijnego prawa o ochronie danych osobowych. Grupa Dentsu Aegis, czyli polski oddział globalnej sieci marketingowej, chce zatrudnić data protection specialist, a nawet kilku prawników specjalizujących się w ochronie danych osobowych. Medicover poszukuje specjalisty ds. bezpieczeństwa informacji. Takich ofert jest mnóstwo i to z wielu branż: telekomunikacyjnej (T-Mobile), finansowej (BPH Towarzystwo Funduszy Inwestycyjnych) czy administracyjnej (Administracja Domów Miejskich ADM Sp. z o.o. w Bydgoszczy).
Choć wielka reforma ochrony danych osobowych (czyli RODO) wejdzie w życie pod koniec maja 2018 r., już zaczął się ruch na rynku pracy dla specjalistów w tej dziedzinie. Już albo dopiero, bo reforma jest tak poważna, że od wielu miesięcy eksperci ostrzegają, iż polski biznes i administracja muszą się do niej solidnie przygotowywać. Za złamanie nowych przepisów będą groziły bardzo poważne kary finansowe, sięgające 20 mln euro lub 4 proc. rocznego obrotu. Każda instytucja operująca na tzw. dużej skali danych musi mieć swojego data personal officera (DPO), czyli specjalistę dbającego o przestrzeganie prawa.
– W firmach ruch i poszukiwanie takich ekspertów dopiero się zaczyna. Ale w kancelariach i branży doradczej już jest prawdziwe wariactwo i wyrywanie sobie specjalistów. W końcu wcale nie mamy ich za wielu, ale lada moment ich praca będzie naprawdę bardzo cenna – mówi nam Tomasz Osiej, radca prawny w kancelarii Omni Modo. – Sami szukamy prawników takiej specjalizacji w trzech miastach. W Krakowie i Wrocławiu jeszcze jest trochę ludzi na rynku. Ale w Warszawie wszyscy są już zajęci – dodaje.
Według wyliczeń europejskiej agencji badawczej IAPP to zapotrzebowanie jest tak duże, że sięgnie 75 tys. miejsc pracy.
Analitycy wyliczyli to tak: Inspektorzy danych osobowych na pewno będą niezbędni w firmach zatrudniających powyżej 250 osób. IAPP wydzieliła trzy kategorie. W sektorach transportowym, usługach hotelowych i spożywczych oraz specjalistycznych usługach, jak doradztwo czy badania naukowe, inspektor będzie niezbędny w co drugiej dużej firmie. W telekomunikacji i mediach – w każdej. A w pozostałych uznano, że zatrudnienie nowej osoby będzie dotyczyło co najmniej 15 proc. Według analityków, bez inspektora nie da sobie rady ponad 1,2 tys. europejskich instytucji finansowych. Zapotrzebowanie sektora publicznego oszacowano bardzo ogólnie, opierając się tylko na łącznej liczbie pracowników administracji w Unii i wyliczono, że będzie to co najmniej 4 tys. ekspertów. – To bardzo delikatny szacunek. Mówi się coraz częściej, że tylko w Polsce sektor publiczny będzie potrzebował nawet kilkunastu tysięcy specjalistów – dodaje Osiej.
Strażników danych będą musiały zatrudnić też firmy i instytucje spoza UE aktywnie handlujące i współpracujące z państwami Unii. W USA zaowocuje to 9 tys. miejsc pracy, a w Chinach 7,5 tys.
– Szukamy. Nie jest lekko, bo każdy specjalista od RODO jest na wagę złota. Zarówno w Stanach, jak i w Unii. I to nie jest tak, że instytucjom tak dużym, jak my wystarczy jeden DPO. To musi być cały zespół złożony z prawników i analityków danych, i z ekspertów od cyberbezpieczeństwa. A najlepiej, by takie zespoły były przy naszych oddziałach w każdym państwie unijnym – mówi nam Geff Brown, radca generalny Microsoft.
Popyt przekłada się na płace. Data personal officer, czyli specjalista na najwyższym szczeblu, może liczyć też na najwyższe zarobki. Po pierwsze, dlatego że takie funkcje pełnić będą mogli tylko wyspecjalizowani prawnicy, a za ich pracę korporacje płacą miesięcznie od 12 tys. zł brutto wzwyż. Po drugie, jest ich na rynku najmniej, więc nawet urzędy chcąc zatrudnić ekspertów będą musiały zapłacić im co najmniej 6 tys. zł. Taka pensja, niezła nawet na rynku komercyjnym, także w budżetówce wcale nie jest za wysoka. Na niewiele mniej mogą też liczyć szeregowi inspektorzy danych osobowych czy technicy zajmujący się tym tematem w urzędach.

ROZMOWA

Nowy obowiązek dla wielu firm i instytucji

Dr Maciej Kawecki doradca ds. ochrony danych osobowych w gabinecie politycznym ministra cyfryzacji

Podobno wielka reforma danych osobowych ma wywołać powstanie 75 tys. nowych miejsc pracy.
W Polsce?
Nie, globalnie.
Wcale mnie to nie zaskakuje. Nawet w stosunku do samej Polski. Przecież zgodnie z nowym unijnym prawem o ochronie danych osobowych (RODO) w wielu organizacjach wyznaczenie inspektora ochrony danych będzie obowiązkowe. W tych wszystkich, które pracują na wielkich danych. Nie mamy dokładnych wytycznych, jakie to instytucje, są tylko wskazania. A te idą w taką stronę: indywidualna praktyka lekarska nie będzie musiała, ale szpital jak najbardziej, kancelaria nie, ale duża firma kancelaryjna tak, zwykły sklep też nie, ale sieć choćby średniej wielkości, która np. wydaje karty stałego klienta – tak. Zatem liczba podmiotów, które mogą być objęte tym obowiązkiem, jest ogromna. Dlatego liczba 75 tys. ekspertów od ochrony danych może spokojnie odnosić się i do samej Polski.
Mamy ich tylu?
Oj nie. Administratorów bezpieczeństwa informacji (ABI) działających w polskich firmach jest ok. 20 tys. Trzeba więc jak najszybciej zacząć szkolić specjalistów.
W jakiej dziedzinie? I kogo, prawników?
Tak, ale nie tylko. Najbliżej jest wyspecjalizowanym w cyberbezpieczeństwie, w kwestiach ochrony prywatności, wspomnianym ABI, ale też pracownikom działów kadr, bo oni mają z danymi, i to wrażliwymi, spore doświadczenie.
Czym będzie się różniła praca nowego speca od danych od pracy ABI?
Nie dostanie wytycznych. Nie będzie jak obecnie katalogu niezbędnych kroków do podjęcia np. tego, że hasła muszą być zmieniane co 30 dni i mieć osiem znaków alfanumerycznych. Nowi eksperci, wiedząc, czym zajmuje się ich organizacja, będą musieli sprawdzić, jak ma się to do wymogów RODO, i samemu opracować zasady. To będzie wymagało sporo wiedzy i pracy.
Czyli na pewno podskoczą stawki w takiej branży.
Powinny, bo to będzie bardzo odpowiedzialna praca. Kary za złamanie RODO naprawdę będą poważne, bo sięgające aż 20 mln euro lub 4 proc. rocznych globalnych przychodów firmy.
Każda instytucja powinna takiego eksperta zatrudnić?
Na pewno każda publiczna. Szczególnie samorządy. Od urzędu gminy zaczynając. W stosunku do sektora prywatnego to będzie konieczne dla większych graczy. Ale każda firma będzie musiała sama podjąć decyzję: czy potrafi tak zorganizować pracę, że specjalista od RODO nie będzie potrzebny, czy lepiej kogoś mieć. Zatrudnić u siebie, czy korzystać z outsourcingu.
To będzie poważne obciążenie dla gospodarki i dla biznesów?
Nie patrzmy na tę reformę jak na obciążenie. To raczej wyzwanie, które ma doprowadzić do wyrównania szans na całym rynku UE i stymulować biznes. Polski system ochrony danych jest na wysokim poziome i wiele państw będzie musiało teraz do nas równać. Plusem dla konsumentów będzie to, że pojawi się certyfikacja przedsiębiorców, którzy będą identyfikować się spełnianiem warunków RODO. Pojawiają się też rozwiązania prorynkowe, np. umożliwienie bankom korzystania z biometrii w celu identyfikacji klientów. To świetne pole do popisu dla start-upów w przygotowaniu rozwiązań, które pomogą biznesowi na sprawnym wdrożeniu takich zasad.
Nie ma biznesowego ryzyka?
Jako jedno z największych wskazałbym to, że część przedsiębiorców uzna, że nowe prawo jest dla nich nie do wdrożenia, i dojdzie do forum shopping, czyli ucieczek firm z UE w celu poszukiwania korzystniejszej jurysdykcji, np. do Chin. Ale pamiętajmy, nowe prawo jest terytorialne, czyli będzie obwiązywało także firmy spoza UE świadczące usługi obywatelom Unii. Choć nie potrafię odpowiedzieć, czy w przypadku złamania przez nie prawa kary będą w ich przypadku egzekwowalne.
Konsumenci odczują te zmiany?
Na pewno wzrośnie – co już teraz obserwujemy – świadomość konsumencka. Ludzie coraz częściej chcą wiedzieć, na co i po co instytucjom ich dane. W efekcie zapewne niektóre korporacje będą musiały zrewidować to, jak tworzą produkty i usługi, bo być może większa ochrona danych spowoduje też ich większe koszty produkcji. Właśnie szykujemy ocenę skutków regulacji do polskiej ustawy i badamy także ten efekt.