Model kompetencyjny jest bardzo czasochłonną, ale bardzo precyzyjną metodą określania wymagań dla stanowiska. Jednym z pierwszych naszych projektów jest opisanie kluczowych kompetencji IOD – inspektora ochrony danych osobowych. A tak naprawdę na przykładzie IOD opracowanie kompetencji całego personelu bezpieczeństwa.
Personel bezpieczeństwa – jest naszą własną nazwą i obejmuje wszystkie osoby, które realizują jakiekolwiek czynności w zakresie bezpieczeństwa.
Dla przykładu personelem bezpieczeństwa będzie manager bezpieczeństwa informacji. Ale też i pani sprzątająca, która może natknąć się na wydruki z danymi osobowymi i będzie miała obowiązek zabezpieczyć dane i je przekazać.
Przebieg procesu
Określenie profili kompetencyjnych składa się z kilku dość prostych w opisie etapów, niestety na tyle czasochłonnych, że wiele firm nie decyduje się na te rozwiązania, pozostając przy tzw. klasycznym opisie stanowiska. W tworzeniu profili kompetencyjnych mamy następujące etapy:
- Klasyfikacja i opis kompetencji
- Tworzenie profili kompetencyjnych
Klasyfikacja i opis kompetencji
Pierwszym krokiem jest przygotowanie pewnej systematyki. Możemy skorzystać w niej z Europejskich Ram Kompetencyjnych, możemy też przygotować własną klasyfikację. Ważne, żeby ten etap zrealizować z pewną ostrożnością i dokładnością, ponieważ zmiany później są dość trudne w obszarze przygotowywanych narzędzi. W naszym projekcie proponujemy podział na trzy grupy:
- Wiedza
- Umiejętności
- Doświadczenie.
Przykładowa siatka kompetencji
Mając te trzy grupy kompetencji wpisujemy w nich już konkretne elementy. Np.
- Wiedza z zakresu prawa ochrony danych osobowych – w zakresie bezpieczeństwa danych (art 32);
- Wiedza z zakresu ochrony fizycznej osób i mienia i ochroną przed zniszczeniem fizycznym, zaborem, dewastacją (Ustawa o ochronie osób i mienia).
Nie chcę, aby artykuł był zbyt długi, więc tyle wystarczy. W podobnym obszarze przygotowujemy opisy w zakresie umiejętności:
- Umiejętność określenia adekwatności środków ochrony (organizacyjnych) w ochronie danych osobowych (art 32).
- Umiejętność określenia wymagań wobec ochrony fizycznej (Ustawa o ochronie osób i mienia).
Na chwilę zostawmy opisy, przejdźmy jeszcze do ich poziomowania. Każda kompetencja powinna być wyskalowana. W naszym projekcie zastosujemy podział:
- Poziom 3 – ekspert
- Poziom 2 – zaawansowany
- Poziom 1 – podstawowy.
Poniżej zaprezentowany został model, na którym opisywane są wymagania dla stanowiska.
Tworzenie profili kompetencyjnych
Przykładowy profil IOD – dla czystej funkcji, bez managera bezpieczeństwa.
- Wiedza z zakresu ochrony danych osobowych (RODO art 32) – poziom 3 (chcemy eksperta);
- Wiedza z zakresu bezpieczeństwa fizycznego (Ustawa o ochronie osób i mienia) – wystarczy nam poziom 1, podstawowy. Bo musi wiedzieć o co chodzi, ale nie musi być specem w zakresie doboru środków, czy nie musi być biegły w prawie. Oczywiście poziom 2 wskazany.
- Umiejętność stosowania środków (art 32 RODO) maksymalnie 2. Bo jego celem jest ocena, a nie wdrożenie.
- Umiejętność stosowania środków ochrony fizycznej – 1. Bo “od tego ma ludzi/firmy”
Zgoła inaczej wyglądałby profil, w którym IOD łączyłby funkcję managera bezpieczeństwa (ochrony) danych i to on określałby zasady, wskazywałby narzędzia etc. W tym przypadku zakres umiejętności musi być określony na wyższy.
Krótkie podsumowanie tej części. Mając opisane profile dla różnych osób w dziale bezpieczeństwa:
- IOD
- ASI – administrator systemu informatycznego
- Bezpiecznik od fizycznej (jako “dostawca” usług dla RODO)
- Inspektor / specjalista ochrony ppoż – jak wyżej.
Możemy wskazać jakie kompetencje są dla nas kluczowe, aby zespół ochrony danych działał skutecznie i sensownie. Poniżej przedstawione zostało porównanie profilu kandydata z profilem stanowiska. Poziomy poniżej wymagań, w organizacjach o wdrożonych ścieżkach rozwoju mogą wskazywać cele szkoleniowe dla osoby na dany rok.
Pomiar kompetencji wśród personelu lub kandydatów
Jednym z elementów, jaki zawsze dodaję w opisach kompetencji (np. w ramach warsztatów na szkoleniu Personel Bezpieczeństwa) jest nie tylko wskazanie poziomu kompetencji, ale również określenie sposobu ich pomiaru. Co do zasady:
- Dla wiedzy – są to testy teoretyczne i egzaminy;
- Dla umiejętności – są to prezentacje wykonanych prac, a co najmniej opis ich realizacji (najlepiej próbka);
- Dla doświadczenia – długość (w latach) i głębokość (ilość zrealizowanych projektów, czy projektów w których uczestniczyła osoba).
Testy, sprawdziany czy oceny doświadczenia są stałe dla poziomów kompetencyjnych. Nie ma znaczenia, czy będzie to ocena IOD, czy ASI, czy kogokolwiek. Jeśli uznajemy, że ma mieć kompetencję na poziomie 2 to stosujemy wcześniej opisane sprawdzenia (nawet scenariusz rozmowy kwalifikacyjnej) dla poziomu 2. Wymagania większe, to po prostu zastosowanie wyższego poziomu bądź uzupełnienie opisu kompetencji dodatkowej, związanej z charakterystyką danej organizacji.
Co dalej?
Obecnie projekt już rusza. Zaczynamy od opisu IOD – dlatego, że z kilkunastu osób już zgłoszonych do projektu większość to właśnie Inspektorzy Ochrony Danych. reprezentują różne branże co daje pewną różnorodność i … ciekawy kierunek, o którym za chwilkę. Wybór IOD w związku z tak liczną reprezentacją IOD-ów jest naturalny. Po prostu będziemy klasyfikować sami siebie, a więc to co jest potrzebne w codziennej pracy uczestników projektów, w tym co ich zaskoczyło, etc.
Kierunek rozwoju
Dzięki temu, że w grupie mamy różne branże i różne sektory rysuje się możliwość doprecyzowania profili do konkretnych branż. Np. medyczna wymaga wiedzy branżowej o dokumentacji medycznej. Medialna, wiedzy z zakresu prawa prasowego. Dlatego w kolejnym etapie (dopiero po zakończeniu podstawowego opisu “typowego IOD-a”) przejdziemy do kolejnych faz prac rozwojowych.
Osoby chętne do udziału zapraszamy niezmiennie do kontaktu przez mail, formularze kontaktowe czy messengera.
Dla przypomnienia: wyniki prac w formie już opisanego stanowiska, w tym modelu i poziomów kompetencyjnych z drukami Excel do profilowania stanowisk będą dostępne NIEODPŁATNIE do własnego wykorzystania.
O autorze:
Ponieważ obszar HR nie jest opisany, kilka zdań uzupełnienia. Autor jest managerem z ponad 20 letnim stażem. Kierował i zarządzał zespołami od kilku do ponad 700 osób. Od 2003 roku realizuje projekty HR (ponad 150 projektów), w tym opisy stanowisk, rekrutacje, systemy rozwoju zawodowego (ścieżki rozwoju), systemu oceny okresowej personelu, systemy adaptacji zawodowej, systemowe rozwiązania w zakresie szkolenia. Posiadając przygotowanie pedagogiczne opracowuje również kompletne systemy szkolenia (learning paths) otwarte oraz dla organizacji, tworzy kursy i szkolenia w dziedzinie bezpieczeństwa. Jest również pełnomocnikiem systemu ISO 9001 (certyfikowany z akredytacją) w organizacji zajmującej się szkoleniami, wpisanej do Bazy Usług Rozwojowych (BUR) i Rejestru Instytucji Szkoleniowych (RIS).
