Часто приходится спорить с кадровиками по вопросу обеспечения компетентности.
Их можно понять, т.к. кому хочется делать больше работы, а тем более заставлять руководителей заниматься своей работой?
Есть два момента, которые всплывают перед любым человеком, ставшим ответственным за организацию обработки персональных данных (ну или ответственным за всё что угодно другое в области установления и контроля требований):
- Довести обязанности.
- Обеспечить компетентность.
Я специально эти два пункта разделил и всегда делю, а многие так не делают и смешивают это во ВСЁ ОДНО - инструктаж, подпись в журнале и тд и тп.
И всегда объясняю коллегам, что это абсолютно разные вещи и инструментарий разный.
В первом случае: трудовой договор, приказ, должностной регламент. За это человек ставит подпись. Это вещи нечастые. Редкие.
НО! Ставить подпись под знакомством с каждой инструкцией и изменениями в ней, после наставлений, семинаров и т.п. - это никуда не годится или кто-то просто не видит иной работы.
При этом, а куда девается второй пункт - компетентность?
О нём то как раз забывают, соблюдая процедуру.
В пункте 1 главный вопрос - довести ответственность, чтоб человек просто и непротиворечиво её знал. Это в области ПДн - пара абзацев.
В пункте 2 - главное, чтобы работа, каждая операция делалась качественно. Это серьезный пласт работы ВСЕХ руководителей.
Компетентность можно обеспечивать многими методами:
- образование
- повышение квалификации
- тренинги
- опыт
- навыки
- приглашение консультанта
- наставничество
- доступность актуальных документов и практик электронно
Эти пункты я, как правило, насильно вставляю во внутреннюю политику по персональным данным, говоря таким образом: "ребята, если вы хотите, чтобы работа делалась эффективно и результативно, то ответственность должно быть равно компетентность и эту совокупность мероприятий нужно осуществлять".
Кадровики конечно просят этот "методический кусок" исключить, чтобы не дай бог не пришлось этого всего делать.
Но видимо их пугает совсем не это, а то, что это ведь обязанности руководителей отделов, ответственного за организацию обработки ПДн, что означает, что этих лиц как-то надо заставлять это делать.
А делать надо что: например, согласно хорошей практике, приведенной в ISO 9001, руководители САМИ должны оценивать компетентность своих подчиненных и организовывать все необходимые меры, чтобы довести компетентность до нужного уровня. Тут разнообразие форм. Одно только наставничество что значит. Заметьте, не сами работники должны предпринимать усилия.
Фактически речь об оценке компетентности самих руководителей в этой области управления, т.к. если посмотреть чуть сверху, то их ведь тоже нужно оценивать вышестоящим руководителям.
Многие кадровики за это переживают и, если заметили его, то просят этот пункт исключить из политики.
С уважением.