css templates

GAMIFIKACJA
RODO w Hotelu

ANALIZA RYZYKA ZGODNIE Z RODO

Realne przestrzegaeni zasad ochrony danych osobowych zaczyna się od analizy ryzyka.
Ma to zapewnić dobieranie środków ochrony odpowiednio do poziomu ryzyka.

Wstęp do gry

Jesteście Pracownikami hotelu, do których Właściciel i Zarząd mają całkowite zaufanie.
Waszym zadaniem jest dobrać środki ochrony danych, tak aby ochronić Hotel przed naruszeniem zasad ochrony danych, a następnie ocenić ryzyko.
Spośród 31 środków ochrony danych, to od Was zależy, które zostaną wybrane.
Pamiętajcie, że budżet jest ograniczony do 35 gazylionów, a każdy środek ochrony ma wpływ na poziom ochrony danych i na... pracochłonność.
Po każdym etapie sytuacja się zmienia, więc dostaniecie ocenę swoich dokonań liczoną w dodatkowych punktach bezpieczeństwa, które Mistrz IOD-a Wam doda za odpowiednie kombinacje środków ochrony - tych kombinacji jest 10. 
Zepołowo oceniacie, wybieracie które środki ochrony należy zastosować, nie ma konieczności wydania wszystkich gazylinów w pierwszej rundzie, bo nie wykorzystane przechodzą na kolejną rundę.
Wyniki zespołów są porównywane.
Najlepszy wynik nie jest taki oczywisty, ponieważ czekają na Was pułapki, których jest kilkanaście.
Nie ma 100% zabezpieczeń, dlatego po mimo Waszych wysiłków i tak może dojść do naruszenia ochrony.
Dlatego trzeba wiedzieć, jak na to reagować, ćwicząć reagowanie na naruszenia, tak żeby ograniczyć straty. 

Profil Hotelu

Hotel zatrudnia 15 Pracowników.
Obsługuje głównie Klientów biznesowych, tj. szkolenia, konferencje, imprezy integracyjne.
Jednak na czas weekendów obsługuje również indywidualnych gości a sezonowo także wesela i inne imprezy okolicznościowe.
Hotel ma swój basen i sauny, jednak nie świadczy usług Health & Wellness.
Hotel ma swój dział Sprzedaży i Marketingu, osobę odpowiedzialną za kadry i płace oraz drugą osobe odpowiedzialną za księgowość.
Nie mniej jednak Hotel jest obsługiwany przez zewnętrzną firmę odpowiedzilną za kadry, płace i księgowość.
Podobna sytuacja jest z IT, którym w Hotelu zajmuje się 1 osoba oraz 2 firmy zewnątrzne.
BHP również jest obsługiwane przez firmę zewnętrzną.
Hotel od czasu do czasu realizuje marketing bezpośredni do swoich Klientów biznesowych, z którymi ma długoletnie realacje, dzwoniąc lub wysyłając maila z informacją, która może zainteresować Klienta.

Cele przetwarzania

Przyjmowanie rezerwacji 

Meldowanie Gości 

Wystawianie
FV 

Marketing bezpośredni

Przygotowywanie ofert 

Współpraca i rozliczenia z dostawcami 

BHP

Obsługa Kadrowa i Płacowa

Ewidencja czasu pracy, wynagrodzenia 

Rekrutacja 

Umowa zlecenia: osoby nie prowadzące
działalności gospodarczej 

Monitoring CCTV - zapewnienie bezpieczeństwa

Organizacyjne środki ochrony

Zasady zarządzania projektami

Firma stosuje jasne i czytelne zasady egzekwowania czynności wykonywanych w celu osiągnięcia wyznaczonych celów głównych i pośrednich w skończonym czasie. Obejmuje między innymi planowanie, harmonogramowanie, realizację, kontrolę i rozliczanie zadań składających się na realizację celów projektu 

Regulamin obsługi incydentów

Lista kontrolna co ma zrobić kierownictwo firmy, w sytuacji kiedy Pracownik zgłasza podejrzenie naruszenia zasad ochrony danych. Celem jest to, aby tak szybko jak to możliwe zminimalizować wpływ na prawa i wolności podmiotów danych lub na poziom ochrony danych, przez przywrócenie poufności lub dostępności lub integarlności danych osobowych.  

Regulamin zgłaszania naruszeń

Lista kontrolna dla Pracowników z max. 5 punktami opisującymi, co należy zrobić w sytuacji podejrzenia naruszenia ochrony danych. Celem jest jak najszybsze przekazanie przez Pracownika odpowiedzialności za obsługę incydentu do kierownictwa firmy.  

Pisemne upoważanienie do przetwarzania danych

Wymaganie wynikające w art. 29 RODO, ponieważ każda osoba mająca dostep do danych osobowych przetwarza je wyłącznie na polecenie Administratora. Celem jest posiadanie udokumentowanego zbioru upoważnień do przetwarzania danych dla Pracowników. 

Umowy z podmiotami przetwarzającymi

Wymaganie wynikające z art. 28 RODO. Celem jest posiadanie wzoru umowy powierzenia, zbioru podpisanych umów i ewidencji umów powierzenia 

Dokumentacja konfiguracji sprzętu, oprogarmowania i usług IT

Dokument głównie w formacie .xls używany przez organizację do przechowywania informacji o zasobach sprzętowych i programowych. Dokumentacja działa jak repozytorium wiedzy nt. systemu informatycznego w firmie, a także przechowuje informacje dotyczące relacji między zasobami, np. ten przełączni obsługuje 12 urządzeń: x, y, z.... Dokumentacja zapewnia sposoby zrozumienia kluczowych zasobów organizacji i relacji pomiędzy nimi, takich jak systemy informacyjne, źródła danych, usługi, lub zależności na zasobach (np. działanie serwera zależy od poprawnej konfiguracji ustawień sieciowych), ale również cele określane dla zasobów (np. backup dla serwera głównego). 

Cykliczne raporty dot. stanu ochrony danych

Sformalizowany sposób zapewniania rozliczalności stosowania RODO. Celem jest informowanie Kierownictwa i Pracowników o ich obowiązkach i doradzanie im w zakresie stosowania RODO, monitorowanie przestrzegania RODO przez firmę, wsparcie w realizacji oceny skutków dla ochrony danych. Realizowane przez wyznaczonego Pracownika lub przez specjalistę z firmy zewnętrznej. Przy spełnieniu warunków opisanych w art. 37 RODO powołanie IOD-a jest obowiązkowe.

Zasady realizacji praw podmiotów danych

Lista kontrolna czynności, jakie należy podjąć, żeby zrealizować wymagania RODO wynikające z art. 15 - 22. Chodzi m. in. prawo do dostepu do danych, prawo do zapomnienia, prawo do przenoszenia danych etc.  

Regulamin zabezpieczenia dokumentacji papierowej

Lista kontrolna opisująca, jak należy przechowywać (kłaść, przenosić, przekazywać, drukować) papierowe dokumenty.

Regulamin korzystania z komputerów służbowych

Lista kontrolna opisująca, jak należy korzystać z komputera służbowego, tj. jak rozpoczynać pracę z komputerem, jak przerywać pracę z komputerem, jak kończyć pracę z komputerem, jak przenosić i przechowywać komputer, jeśli laptop, jak dbać o sprzęt i system operacyjny. 

Szkolenia

Człowiek nie jest najsłabszym ogniwem w systemie ochrony, człowiek jest po prostu na pierwszej linii ataku cyber-przestępców, dlatego szkolenia dają świadomość zagrożeń i narzędzia do ich zwalczania lub ograniczania. Poza tym zgodnie z art. 32 ust. 1 lit. d) RODO Administratora powinien regularnie testować,mierzyć i oceniać skuteczność środków ochroy danych, a to można osiągnąć m. in. przez szkolenie Pracowników i ocenianie wyników szkoleń.    

Procedura "Ocena skutków dla ochrony danych"

Obowiązek wynikający z art. 35, który należy realizować tylko i wyłącznie po spełnieniu warunków określonych w tym przepisie.  

Regulamin monitoringu wizyjnego

Obowiązek wynikający z art. 22 (2) Kodeksu Pracy 

Zasady realizacji obowiązku informacyjnego wobec podmiotów danych

Obowiązek wynikający z art. 12 - 14 RODO. Celem jest poinformowanie osoby, której dane dotyczą, w jakim celu, na jakiej podstawie i w jaki sposób będziemy przetwarzać jej dane.

Logiczne środki ochrony

Anonimizacja i pseudonimizacja

Umiejętność wykorzystania możliwości, jakie dają systemy CRM do anonimizowania (nieodwracalny proces, nikt nie rozpozna danych) lub pseudonimizowania (proces odwracalny, Administrator rozpozna dane) danych osobowych Gości. Celem jest spełnienie wymogu art 32 RODO dot. zachowania poufności danych oraz zapewnienie przestrzegania zasady ograniczania czasu przetwarzania i minimalizacji zakresu przetwarzanych danych.  

Kryptografia - "hasłowanie"

Wykorzystanie bezpłatnego oprogramowania typu VeraCrypt do szyfrowania plików, folderów, dysków lub pendrive'ów. Druga opcja polega na "hasłowaniu" plików w bezpłatnym oprogramowaniu do kompresowania danych. Celem jest spełnienie wymogu art 32 RODO dot. zachowania poufności danych. 

Tworzenie backup

Sformalizowany i udokumentowany sposób tworzenia kopii zapasowych, w tym kopii trzymanych w trybie "off-line". Celem jest zapewnienie dostępności i integralności danych.

Odtwarzanie backup

Sformalizowany i udokumentowany sposób odtwarzania kopii zapasowych, w tym testowanie poprawności odtwarzanych danych. Celem jest zapewnienie dostępności i integralności danych

Segmentacja sieci WiFi

Oddzielenie sieci WiFi, z której mogą korzystać Goście od sieci WiFi do celów służbowych.

Monitorowanie systemu IT i jego użytkowników

Sformalizowany i udokumentowany sposób powiadamiania osób odpowiedzialnych o próbach nieuprawnionego dostępu na poziomie okablowania, sieci, serwerów i innych zasobów (które mogą dotyczyć wartości materialnych i niematerialnych) oraz na poziomie aplikacji.

Antywirus/Antymalware na komputerze

Oprogramowanie antywirusowe zainstalowane, stale aktualizowane na komputerze Pracownika.

Ochrona sieci komputerowej "na wejściu i wyjściu"

Żeby ograniczyć ryzyko naruszenia zasad ochrony danych "na wejściu" do sieci komputerowej Hotelu stosujemy takie zabezpieczenia jak:
Antywirus
Antyspam
Filtrowanie treści
Wykrywanie "intruzów" w sieci komputerowej
Zautomatyzowane raportowanie zagrożeń "sieciowych".
Taka ochrona sieci komputerowej, to zmniejszenie do minimum prawdopodobieństwa i skutków ryzyka naruszenia praw i wolności.  

Menadżer haseł

Bezpłatne oprogramowanie typu KeePass pozwalające użytkownikowi zarządzać ważnymi danymi uwierzytelniającymi takimi jak konta, hasła, kody PIN, itd.

Fizyczne środki ochrony

Zabezpieczenie dostępu do miejsca przetwarzania - budynek/pomieszczenie

Zabezpieczenie w zamki lub czytniki kart wejść do pomieszczeń pracowniczych lub innych pomieszczeń zaplecza firmy, w szczególności tam, gdzie są przetwarzane dane

Zabezpieczenie dostępu do komputerów i drukarek - fizyczny dostęp do urządzenia

Zadbanie o ograniczenie dostępu do urządzeń przez osoby postronne. Może to być: filtr na ekran lub odpowiednie umiejscowienie komputera, lub PIN zabezpieczający do drukarki, lub dodatkowe bariery fizyczne np. stanowisko komputerowe za wysokim kontuarem, linka zabezpieczająca na komputer, drukarka w miejscu niedostępnym dla osób postronnych

Zabezpieczenie dostępu do dokumentacji papierowej

Zadbanie o ograniczenie dostępu do dokumentów przez osoby postronne. Może to być: dodatkowa szafka zamykana na klucz, odwracanie dokumentów wierzchem do dołu, kładzenie na dokumentach białych kartek lub dodatkowe bariery fizyczne np. wkładanie dokumentów do teczek.

System p-poż.

System, którego zadaniem jest ochrona ludzi i mienia przed zagrożeniami pożarowymi. Prosty system przeciwpożarowy składa się z detektorów ognia, detektorów dymu, centrali sterującej oraz siatki rur ze środkiem gaśniczym wraz z dyszami wylotowymi (np. stałe urządzenie gaśnicze).

Monitoring wizyjny

System pozwalający na śledzenie z odległości zdarzeń rejestrowanych przez jedną do nawet kilkuset kamer przemysłowych jednocześnie. W skład systemu wchodzą głównie rejestratory i kamery, z których obraz jest transmitowany do centrum odbiorczego, gdzie personel na monitorach może obserwować rejestrowane zdarzenia.

Poniżej karty do gry "RODO w Hotelu"

ATAK PHISING NA PRACOWNIKÓW

Jeden z najczęściej stosowanych ataków hakerskich. Wykorzystuje niewiedzę Pracownika lub zaawansowaną socjotechnikę.

Lista kontrolna - naruszenia ochrony danych

1. Zasady zgłaszania incydentu do UODO
2. Co to jest naruszenie danych osobowych?
3. Przykłady naruszeń
4. Jakie obowiązki w związku z naruszeniami danych osobowych przewiduje RODO?
5. Kiedy nie ma obowiązku zgłoszenia naruszenia Prezesowi UODO?
6. O jakich naruszeniach trzeba powiadomić Prezesa UODO?
7. W jaki sposób powiadomić Prezesa UODO o naruszeniu?
8. Jak szybko należy zgłosić naruszenie Prezesowi UODO?
9. Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?
10. Jakie informacje musi zawierać zgłoszenie o naruszeniu kierowane do Prezesa UODO?
11. Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą?
12. Sposoby informowania osób, których dane dotyczą o naruszeniu.
13. Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?
14. Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?
15. Czy RODO wymaga podjęcia innych kroków w związku z naruszeniem? 

Używamy 1 pliku "cookie". W Polityce Prywatności przeczytaj, dlaczego nie korzystamy z "cookies".