GDPR, HR, ISO270001 a RACI matica v súvislostiach

Súvislosti vyplývajúce z poznania sú úžasná pomôcka. To, že GDPR a HR (Human Resources) problematika veľmi úzko súvisia, už mnoho spoločností vie. Potrebujú však k premyslenému a synergickému prepojeniu týchto dvoch oblastí aj RACI maticu? A ako sa vôbec pri spracovaní osobných údajov používa?

RACI matice a GDPR

GDPR využitie RACI matice pre správu osobných údajov priamo nevyžaduje, ale veľmi ju klientom doporučujem a aj im ju s ich asistenciou pripravujem.

Prečo?

Každý Prevádzkovateľ (správce) osobných údajov totiž priamo zodpovedá za súlad spracovania osobných údajovGDPR. Tú zodpovednosť musí pretaviť do interných procesov a v prípade väčších spoločností delegovať zodpovednosť na konkrétnych zamestnancov. V každom jednom momente však musí vedieť, kto a kedy za čo zodpovedá.

Ako to dosiahne? Jedným z vhodných riešení je práve RACI matice.

Ako používať RACI maticu v GDPR

Z pohľadu pravidiel pre ochranu osobných údajov sa domnievam, že najefektívnejšie je naviazať RACI na kategóriu spracovateľských operácií. Ich podmnožinou je potom (súvisiaca) kategória osobných údajov.

Musíte mať vôbec tieto (a aj iné) kategórie definované? Áno, musíte. Vyplýva to priamo z požiadaviek GDPR, najmä v článku 30. 

Aký je počet písmen v RACI matici? Väčšina z nás pozná 4:

  • R = Responsible/Vykonáva

  • A = Approver/Schvaľuje

  • C = Consulted/Konzultuje

  • I = Informed/Je informoán

Osobne ale používam 5 písmen a tým posledným písmenom je:

  • D = Zastupuje/Deputy

Venujme sa GDPR aj z pohľadu kybernetickej bezpečnosti

Prečo tam dávam to písmeno navyše? Pretože riešim GDPR komplexne a v synergií aj s HR a aj s  ISO 27001 (informačná bezpečnosť). Požiadavky majú totiž všetci rovnaké, tak prečo to ignorovať, aj keď si to klient priamo neobjednal? Okrem toho, aj HR a aj ISO27001 má za úlohu riešiť D - nahraditeľnosť. Ak to však HR a IT oddelenia nemajú doteraz ošetrené, tak je to veľká chyba. Takto majú urobený aspoň prvý krok.

Počet spracovateľských operácii sa líši firma od firmy. Korporáty ich majú niekoľko stoviek. Takže keď si potom vynásobíte 5 x niekoľko sto spracovateľských operácii, tak Vám vyjde celkom slušná požiadavka na čas a na konci veľká zbierka písmeniek. Ide ale o jedno rázovú aktivitu. Potom sa už iba sem-tam vyladí, ak vôbec.

Efektívne riadenie náboru ľudských zdrojov

Príklad použitia RACI pri delegovaní v náborovom procese (jednej zo spracovateľských operácií): 

  • R – Recruiter

  • A – Team Leader

  • C – HR manager

  • I – Plant manager

  • D – HR manager

Ten reťazec krokov môže ale byť rôzny v každej spoločnosti.

Raci matica vás pomôže ochrániť pred pokutou 

Ako som spomínal, RACI nie je z pohľadu GDPR povinná, z pohľadu HR a ISO 27001 však určite áno. Okrem toho to je pre autoritu (napr. Úrad na ochranu osobných údajov), prípadne pre audítora vyslaného vašim strategickým odberateľom, jasným indikátorom vašej silnej pozornosti venovanej tejto oblasti.

 K slovu prichádza RACI hlavne pri „zlom počasí“, teda napr. pri bezpečnostných incidentoch, alebo pri potrebe zastupovania z dôvodov fluktuácie, ochorenia, úmrtia a pod.

Preto je fajn mať v procesoch jasno aj formálne, a nie len zo zvyku.

Loading...