site templates free download

Szkolenia

W ostatnim czasie Polska Izba Hotelarzy skupia się na szerzeniu wiedzy w zakresie ochrony danych osobowych.

JAK UDOWODNIĆ, ŻE HOTEL JEST ZGODNY Z RODO?

PO CO I JAK ZGŁASZAĆ NARUSZENIA OCHRONY DANYCH OSOBOWYCH DO URZĘDU?

PODSUMOWANIE WARSZTATÓW PT.
"PODSTAWA STOSOWANIA RODO TO RZETELNA ANALIZA RYZYKA"

Warsztat przeprowadzony: 24 i 29 września 2020 r. pod auspicjami Polskiej Izby Hotelarzy
oraz ZYXEL NETWORKS
Opublikowane: 02.10.2020 r.

Aktywny udział w tym warsztacie to dowód na to, że ochrona prywatności Gości hotelowych jest dla Uczestników ważna, a to dobra informacja dla Gości tych Hoteli.

Branża hotelowa jest w polu zainteresowania cyber-przestępców, dlatego, że są tam takie same dane, jak w bankach (np. dane z kart kredytowych), jak u lekarza (np. informacje ze "spa"), jak w firmie telekomunikacyjnej (dane kontaktowe wraz z danymi z dowodu tożsamości).

W toku symulacji analizy ryzyka "RODO w Hotelu" ćwiczyliśmy na czym polega zasada podejścia "opartego na ryzyku". Do dyspozycji są co najmniej 2 metody.

Pierwsza metoda analizy ryzyka bazuje na poradniku wydanym w grudniu 2017 r. przez poprzednika UODO, vide: https://uodo.gov.pl/pl/123/208  

Podstawą drugiej metody analizy ryzyka jest poradnik ENISA dla małych i średnich przedsiębiorstw, vide: https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing/at_download/fullReport

Na podstawie tego poradnika ENISA opracowała narzędzia on-line do analizy ryzyka, vide: https://www.enisa.europa.eu/news/enisa-news/securing-personal-data-a-risky-business

Analizę ryzyka przeprowadziliśmy w oparciu o obie metody. W związku z tym badaliśmy, jaki wpływ na dane Pracowników, Gości, Dostawców, Kandydatów do pracy i Klientów B2B może mieć utrata poufności, integralności lub dostępności do danych tych kategorii osób. Natomiast prawdopodobieństwo wystąpienia ryzyka dla poszczególnych kategorii osób, których dane dotyczą, ocenialiśmy na podstawie zestawu 20 pytań z 4 zakresów tematycznych.

W celu wykonania tego zadania do naszej dyspozycji były plik z arkuszami kalkulacyjnymi, który zawierał:

a) arkusz z listą rodzajów naruszeń prawi i wolności osób, których dane dotyczą,

b) arkusz z wybranymi zagrożeniami wg CERT,

c) arkusz do analizy ryzyka (do wpisania wyników analizy)

d) arkusz z mapowaniem zagrożeń wg CERT na funkcje rozwiązania ZYXEL seria ATP.

Arkusze kalkulacyjne do analizy ryzyka

Przykładowa mapa ryzyka w Hotelu

Prezentacja wstępna

Prezentacja podsumowująca

Nagranie z przebiegu warsztatu 29.09.2020 r.

Na zakończenie podsumowania warsztatów z analizy ryzyka dziękujemy:

Panu Aleksandrowi Styś z firmy ZYXEL - https://www.zyxel.com/pl/pl/ - która była Sponsorem i Patronem technicznym Warsztatów

Panu Markowi Łuczyńskiemu - Prezesowi Zarządu PIH - za wsparcie w organizacji szkolenia.

Prowadzącemu zajęcia - panu Krzysztofowi Kowalskiemu - z firmy Kowalski ORG, która była Patronem merytorycznym Warsztatów.

WARSZTATY Z OCHRONY DANYCH 
"RODO w HOTELU"

POLSKA IZBA HOTELARSTWA, ORGANIZUJE DLA NASZYCH CZŁONKÓW BEZPŁATNE SZKOLENIE Z OCHRONY DANYCH, KTÓRE MA PRAKTYCZNY WYMIAR, PONIEWAŻ JEST REALIZOWANE W FORMIE GRY SYMULACYJNEJ

CEL SZKOLENIA

1. PRZYGOTOWANIE DO KONTROLI Z URZĘDU.

2. ZAPEWNIENIE GOŚCIOM PRYWATNOŚCI.

"Zaniedbasz, to stracisz"

Konfucjusz

ZAKRES SZKOLENIA

1. DOBIERANIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH DO OCHRONY DANYCH.

2. ĆWICZENIE, CO ZROBIĆ W SYTUACJI NARUSZENIA OCHRONY DANYCH.

3. JAK WYKAZYWAĆ ROZLICZALNOŚĆ RODO.

SCENARIUSZ SYMULACJI

Hotel wymaga utrzymania zgodności z RODO i zapewnienia, że prywatność Gości hotelowych jest chroniona. Uczestnicy wcielają się w Pracowników hotelu, do których Właściciel i Zarząd mają całkowite zaufanie. Zadaniem Uczestników jest dobrać środki ochrony danych, tak aby ochronić Hotel przed naruszeniem zasad ochrony danych, a następnie ocenić ryzyko. Spośród 30 środków ochrony danych, to od Was zależy, które zostaną wybrane.

Uczestnicy maja do dyspozycji ograniczony budżet, a każdy środek ochrony ma wpływ na poziom ochrony danych i na pracochłonność.

Po każdym etapie sytuacja się zmienia, więc Uczestnicy dostają ocenę swoich dokonań liczoną w dodatkowych punktach bezpieczeństwa, które Mistrz IOD-a dodaje za odpowiednie kombinacje środków ochrony.

Zespołowo są oceniane, wybierane środki ochrony, które należy zastosować. Wyniki zespołów są porównywane. Najlepszy wynik nie jest taki oczywisty, ponieważ na Uczestników czekają na pułapki. 

Nie ma 100% zabezpieczeń, dlatego po mimo wysiłków Uczestników i tak może dojść do naruszenia ochrony. Dlatego trzeba wiedzieć, jak na to reagować, ćwicząc reagowanie na naruszenia, tak żeby ograniczyć straty.

Dlatego zadaniem Uczestników podzielonych na zespoły będzie zapewnienie odpowiednich środków technicznych i organizacyjnych. Ponieważ nie ma 100% zabezpieczeń, w zależności od dobranych środków ochrony danych każdy zespół zmierzy się z różnego kalibru naruszeniami ochrony danych, które miały miejsce w innych Hotelach i zostały udokumentowane.

Na koniec zespoły przeanalizują poziom ryzyka w Hotelu, po tym, jak naruszenie ochrony danych zostanie zażegnane. Ocena poziomu ryzyka będzie m. in. zależna od tego, jak każdy z zespołów poradzi sobie ze skutkami naruszenia ochrony danych oraz jak zaplanuje ograniczenie wystąpienia naruszenia w przyszłości.

Dlatego podczas tego szkolenia można bez konsekwencji popełniać błędy, ale również osiągać szybkie sukcesy, ponieważ jest to gra symulacyjna nt. rozliczalności ochrony danych, w której możliwości rozwiązania jest wiele, a po każdym ćwiczeniu omawiamy wyniki zespołów.

Jak uniknąć reklamacji składanych przez Gości zaniepokojonych o prywatność swoich danych oraz przygotować się na ewentualne kontrole z Urzędu Ochrony Danych Osobowych? Na to pytanie odpowie szkolenie "RODO w Hotelu" - wydarzenie, podczas którego będzie się można do tego przygotować.

PROGRAM SZKOLENIA: "RODO w HOTELU"

Warsztat w formie gry symulacyjnej zapewnia maksimum zaangażowania Uczestnika, a tym samym praktyczną wiedzę do wykorzystania w Hotelu, zaraz po powrocie ze szkolenia.

12:00 - 12:15: WPROWADZENIE DO ZASAD SZKOLENIA

12:15 - 13:00: PLANOWANIE OCHRONY DANYCH

13:00 - 13:15: OCENA PLANOWANIA OCHRONY

13:15 - 14:00: ZARZĄDZANIE INCYDENTEM OCHRONY DANYCH

14:00 - 14:15: OCENA ZARZĄDZANIA INCYDENTEM

14:15 - 14:45: ANALIZA RYZYKA OCHRONY DANYCH

14:45 - 15:00: OCENA ANALIZY RYZYKA

15:00 - 15:10: ZAKOŃCZENIE SZKOLENIA

Bio Prowadzącego Warsztaty
"RODO w Hotelu"

Zarejestrowany w Urzędzie Ochrony Danych Osobowych Inspektor Ochrony Danych. Bezpieczeństwem informacji biznesowych zajmuje się od 2005 r., a ochroną danych osobowych od 2013 r. Ma za sobą kilkanaście projektów związanych z RODO.
Należy do SABI Stowarzyszenia Inspektorów Ochrony Danych - sabi.org.pl. 
Doradca Prezesa Polskiej Izby Hotelarstwa ds. ochrony prywatności Gości i Pracowników Hoteli.

Dlaczego do realizacji szkoleń 
"RODO w Hotelu" stosowana jest gamifikacja (gra symulacyjna)?

Zwiększenie zaangażowania Pracowników i Klientów w szkolenia z wykorzystaniem koncepcji rekonstrukcji doświadczenia w procesie uczenia się.

Jak pisał słynny reformator edukacji Dewey: „...edukacja powinna...dostarczać takich doświadczeń, które pogłębiają sens poprzednich i prowadzą do nowych.” W tej koncepcji rozwoju jest ścisłe powiązanie działania z rozumowaniem. Osoba ucząca się „uświadamia sobie wzajemne powiązania pomiędzy doświadczeniem a konsekwencjami swojego postępowania.(...) a następnie w procesie symbolizacji przetwarza te relacje w znaczenie.” Przełożeniem tych teoretycznych rozważań na praktykę jest wykorzystanie mechaniki znanej np. z gier symulacyjnych, czyli gamifikacji. 

Podsumowanie Warsztatów
"RODO w HOTELU",
04 marca 2020 r.

Krzysztof D. Kowalski, 06.03.2020 r.

Szanowni Państwo,

Dziękujemy, tym którzy wzięli udział w Warsztacie "RODO w HOTELU".

Aktywny udział, to dowód na to, że ochrona prywatności Gości hotelowych jest dla Uczestników ważna, a to dobra informacja dla Gości tych Hoteli.

Branża hotelowa jest w polu zainteresowania hakerów, dlatego, że są tam takie same dane, jak w bankach (np. dane z kart kredytowych), jak u lekarza (np. informacje ze "spa"), jak w firmie telekomunikacyjnej (dane kontaktowe wraz z danymi z dowodu tożsamości).

W toku gry symulacyjnej "RODO w Hotelu" Uczestnicy ćwiczyli na czym polega zasada rozliczalności oraz podejście oparte na analizie ryzyka. 

ANALIZA RYZYKA

Podstawą stosowania RODO jest analiza ryzyka. Na ryzyko zaś składa się:

- zagrożenie i prawdopodobieństwo jego wystąpienia,

- wpływ zagrożenia na osobę, której dane dotyczą i waga tego wpływu na poufność, integralność i dostępność danych.

Pamiętajmy, że analizujemy wpływ wystąpienia zagrożenia na osobę, której dane dotyczą, a nie na nasz Hotel.

Więcej nt. analizy ryzyka znajdą Państwo na stronie UODO, w dokumencie pt "Jak rozumieć i stosować podejście oparte na ryzyku?", vide: https://uodo.gov.pl/pl/123/208

Przykłady ryzyka w Hotelu, które wspólnie opracowaliśmy na szkoleniu, znajdą Państwo pod podanym linkiem.

ROZLICZALNOŚĆ

Rozliczalność, to taki dobór środków ochrony danych, aby Hotel był w stanie wykazać ich przestrzeganie.

W związku z powyższym, na podstawie analizy ryzyka, powinny być dobrane, odpowiednie do skali zagrożeń, techniczne i organizacyjne środki ochrony danych.

Czyli, co do zasady, inaczej będzie chronić dane osobowe kameralny Hotel, a inaczej międzynarodowa sieć Hoteli.

Pod podanym linkiem znajdą Państwo przykładową listę środków ochrony danych. Lista jest otwarta i należy ją stosować adekwatnie do ryzyka.

INCYDENTY

Nie każdy incydent bezpieczeństwa informacji będzie naruszeniem ochrony danych osobowych. Jednak z uwagi na fakt, że nie ma 100% zabezpieczeń, stąd rekomendujemy przygotować się na sytuację naruszenia ochrony danych.

Czyli:

- co i jak powinni zgłaszać pracownicy?

- w jaki sposób zgłoszenie incydentu powinno być obsłużone?

- czy notyfikować naruszenie do UODO i informować podmioty danych?

Stąd polecamy Państwu zalecenia UODO, co do obowiązków związanych z naruszeniami ochrony danych osobowych pt. "Obowiązki związane z naruszeniami ochrony danych osobowych", vide: https://uodo.gov.pl/pl/134/1029 .

NA ZAKOŃCZENIE PODSUMOWANIA

Jeszcze raz dziękujemy za udział w szkoleniu.

Natomiast osoby, które po mimo rejestracji udziału nie dotarły na szkolenie, zachęcamy do zapoznania się z materiałami ze szkolenia oraz zadawania pytań na adres: biuro@polskaizbahotelarstwa.pl. 

Jeśli będą Państwo mieli dodatkowe pomysły na inne tego typu szkolenia, to prosimy o wiadomość na biuro@polskaizbahotelarstwa.pl. 

Na zakończenie dziękujemy: 

Na zakończenie dziękujemy:

Pani Katarzynie Bany i jej zespołowi z Talaria Resort & Spa za zaproszenie do swojego obiektu, udostępnienie sali, poczęstunek na poziomie, jakiego oczekiwali Uczestnicy i prowadzący szkolenie. Panu Markowi Łuczyńskiemu - Prezesowi Zarządu PIH - za wsparcie w organizacji szkolenia. 

Panu Aleksandrowi Styś z firmy ZYXEL - https://www.zyxel.com/pl/pl/ - która była Sponsorem i Patronem technicznym Warsztatów, za wsparcie w przygotowaniu i realizacji szkolenia. 

Panu Krzysztofowi Kowalskiemu - z firmy Kowalski ORG, która była Patronem merytorycznym Warsztatów, za prowadzenie zajęć.

PATRONAT MERYTORYCZNY I TECHNICZNY 

JAK PRZETWARZAMY DANE OSOBOWE

Administratorem danych osobowych jest POLSKA IZBA HOTELARSTWA


Dane kontaktowe: biuro@polskaizbahotelarstwa.pl, ul. Kuracyjna 26, 84-150 Hel

Dane osobowe przetwarzane są w celu poinformowania o bezpłatnym szkoleniu organizowanym dla Członków Izby, lub w przypadku zgłoszenia udziału w szkoleniu do identyfikacji nadawcy oraz obsługi zgłoszenia udziału w warsztacie, przesłanego w wiadomości elektronicznej.

Podstawą prawną przetwarzania jest prawnie uzasadniony interes, jakim jest realizacja statutowych zadań Polskiej Izby Hotelarstwa, do jakich należy organizowanie bezpłatnych dla Członków Izby szkoleń branżowych i informowanie o miejscu, czasie i programie szkolenia.

Państwa dane będą ujawniane naszym sponsorom i patronom merytorycznym szkolenia, czyli firmie Zyxel i Kowalski ORG, w celu poprawnej realizacji warsztatów oraz w celu marketingu bezpośredniego rozwiązań do zabezpieczania sieci komputerowych..

Mają Państwo prawo do:
a) żądania dostępu do swoich danych osobowych oraz ich sprostowania,
b) usunięcia lub ograniczenia przetwarzania, lub wniesienia sprzeciwu wobec przetwarzania,
c) wniesienia skargi do organu nadzorczego, link: https://uodo.gov.pl/pl/83/155 .

Z poważaniem
Prezes Polskiej Izby Hotelarstwa 
Marek Łuczyński