Szkolenie z RODO – czy warto?

Medialny szum wokół ogromnych kar jakie mają grozić za naruszenie przepisów robi swoje. Oferty szkoleń regularnie zasypują moją hotelową skrzynkę już od dłuższego czasu. Masa ogólnych informacji krążących po internecie miesza w głowie. A wkrótce pojawią się maile od różnej maści cwaniaków, chcących zarobić na naszym nieprzygotowaniu. Jednocześnie słychać też głosy rozczarowań hotelarzy, którzy na szkoleniach już byli “i dalej nic nie wiedzą”. Trzeba wybierać rozsądnie. Nasz wybór padł na szkolenie oferowane przez ODO w Hotelu. Czy było warto?

Od teorii do praktyki

Dwudniowe szkolenie, w którym wziąłem udział, przygotował i prowadził Maciej Kopeć – ekspert w dziedzinie ochrony danych osobowych, z którym mamy przyjemność współpracować od kilku lat, choćby w zakresie obsługi naszego PMS. Specjalista, o którym wiemy, że dobrze zna naszą branżę i od lat zajmuje się również ochroną danych osobowych w hotelach. Nie było więc ryzyka, że trafimy na kogoś, kto opowie nam tylko ogólnie o nowych przepisach, nie znając hotelowych realiów. Z mojego punktu widzenia, wybór jak najbardziej trafiony.

Szkolenie rozłożone było na dwa dni, po około 6-7 godzin dziennie (w zależności od ilości pytań ze strony uczestników). Pierwszy dzień to dość długi wstęp teoretyczny. Drugi dzień to omówienie krok po kroku procesu wdrożenia i dokumentacji – czyli to, na czym najbardziej nam zależy.

To nie jest wpis sponsorowany 🙂 Mam nadzieję, że relacja z dwudniowych warsztatów szkoleniowych będzie przydatną wskazówką dla hotelarzy, którzy zastanawiają się czy warto zainwestować w szkolenie z RODO.

Jak wyobrażacie sobie 6 godzin szkoleniowych, zbudowanych głównie z teorii? Bez obaw, to nie takie straszne! Solidny wstęp teoretyczny przyda się osobom, które nie miały wcześniej styczności z ochroną danych osobowych. Hotelarze, którzy przechodzili wcześniej zgłaszanie swoich zbiorów do GIODO też nie powinni być rozczarowani. Oprócz podstawowych informacji na temat nowych przepisów, w pierwszy dzień dowiecie się:

• Co się zmieni w stosunku do dotychczasowych przepisów o ochronie danych osobowych.
• Jakie obowiązki niesie za sobą wprowadzenie RODO.
• Jakie są zagrożenia związane z RODO?
• Jak minimalizować ryzyko roszczeń?
• Jak dostosować się do nowych przepisów.

Tutaj ogromne znaczenie ma znajomość branży przez prowadzącego. Nie dostajemy bowiem suchego zestawu informacji i niezrozumiałych paragrafów. Dowiadujemy się o wyjątkach istotnych dla hoteli i słuchamy przykładów, które bez problemu odniesiemy do swoich realiów. Prowadzący doskonale orientuje się, jaki zakres przetwarzania danych nas interesuje, jakie są sposoby ich przetwarzania w hotelu, z jakimi podmiotami i na jakich zasadach współpracujemy (OTA, Profitroom, HotelSystems itd.). Cały czas mamy też możliwość zadawania pytań i rozwiewania na bieżąco wątpliwości. Oczywiście trzeba odsłuchać swoje i włożyć trochę wysiłku w utrzymanie skupienia przez tyle godzin. Temat nie jest lekki i przyjemny. Nie jest jednak jak na nudnym wykładzie. To raczej długa rozmowa z kimś, kto dobrze zna temat, rozumie nasze położenie i z kim operujemy wspólnym językiem. Oczywiście jeśli jesteśmy aktywni i zadajemy pytania.

W pierwszy dzień znajdzie się czas również na ważny praktyczny element – omówienie wzoru karty gościa. Jakie dane możemy zbierać, jak spełnić obowiązki informacyjne, jakie zgody uwzględnić. Na zachętę, wzór karty omawiany na szkoleniu możecie pobrać od magazynu BiznesHotel:

Drugi dzień jest w pełni skoncentrowany na procesie wdrożenia RODO w hotelu. Najpierw omawiane są ogólnie kolejne etapy wdrożenia. Później przechodzimy do analizy dokumentacji potrzebnej na każdym z etapów.

Na tej części szkolenia zdecydowanie warto być, nawet jeśli przegapiło pierwszy dzień. Hotelarze, którzy wcześniej wdrażali procedury ochrony danych osobowych w swoich obiektach, z pewnością ucieszą się, że nie muszą robić wszystkiego od początku. Część dokumentacji (w tym zalecanej, ale nieobowiązkowej) prawdopodobnie będzie pokrywać się z tym, co już macie (np.instrukcja zarządzania systemem informatycznym). Oprócz tego, czeka niestety sporo nowej dokumentacji, której przygotowanie bez uprzedniego szkolenia, mogłoby zająć naprawdę wiele godzin.

Znajdują się w niej zarówno proste i krótkie dokumenty (np. określenie administratora danych) jak i wielostronicowe analizy. Na szczególną uwagę zasługuje tutaj dokumentacja dotycząca szacowania ryzyka, która skonstruowana jest w przemyślany sposób i dostarcza sporo przykładów adekwatnych do działalności hotelowej. Warto wspomnieć, że dokumentacja przygotowana jest w oparciu o polskie i międzynarodowe normy dotyczące bezpieczeństwa, związane z bezpieczeństwem informatycznym PN-ISO IEC 27001 oraz PN-ISO IEC 27005.

Dwudniowa forma szkolenia nie pozwala oczywiście na omówienie wszystkiego. Dlatego dokumenty przygotowywane według takich samych zasad dla różnych obszarów przetwarzania danych, omawiane są tylko raz. Np. rejestr czynności przetwarzania danych osobowych, omawiany był dokładnie na przykładzie przetwarzania danych pracowników, nie gości. Całość szkolenia obraca się wokół przetwarzania danych w kilku obszarach – dotyczących m. in. pracowników, kandydatów do pracy, potencjalnych gości, obecnych i byłych gości itd. Omówienie pełnej dokumentacji dla każdego z obszarów, wymagałoby dodatkowych dni szkoleniowych. Dokumentacja jest jednak na tyle przejrzysta i logiczna, że wystarczy omówienie jednego obszaru, by później samodzielnie skonstruować kolejne. Należy jednak liczyć się z tym, że dokumentacji nie można omówić bez jej odczytywania. Trzeba więc znów być gotowym na słuchanie w skupieniu przez dość długi czas.

Po zakończeniu szkolenia, otrzymujemy całą omawianą dokumentację do samodzielnego wdrożenia. Są to szablony wszystkich niezbędnych dokumentów, które należy dostosować do realiów swojego obiektu. Są przygotowane z myślą o działalności hotelarskiej i wypełnione wszelkimi niezbędnymi zapisami oraz dużą ilością przykładów, które wprost odnoszą się do specyfiki branży.

Nie należy ich jednak traktować jako “gotowców”, które wydrukujemy, położymy na półce i w razie potrzeby przedstawimy w czasie kontroli. W trakcie szkolenia zrozumiemy, co i w jaki sposób należy przygotować. Całą dokumentację należy jednak krok po kroku dostosować do każdego hotelu z osobna. Mimo pewnych podobieństw w zakresie i metodach przetwarzania danych, każdy z nas może stosować inne procedury, inaczej oceniać ryzyko i stosować trochę inne zabezpieczenia.

Samodzielne przygotowanie takiego zestawu dokumentów, zwłaszcza dla osób, które wcześniej nie miały do czynienia z ochroną danych osobowych, byłoby zajęciem na kilka tygodni. Tym bardziej, że nie mówimy tu o dokumentach, których puste szablony możemy pobrać sobie w jakimś urzędzie. Możliwość pozyskania pełnej dokumentacji jest ogromnym atutem tego szkolenia. Czy jednak warto to robić, skoro dokumenty i tak trzeba samodzielnie dostosować? Może lepiej wykupić usługę wdrożenia?

Szkolić się, czy kupić wdrożenie?

W mojej ocenie warto jednak skorzystać ze szkolenia. W przypadku wykupienia samego wdrożenia, przedstawiciele hotelu prawdopodobnie i tak musieliby poświęcić sporo czasu, aby dokładnie opowiedzieć o wszystkich niuansach przetwarzania danych w ich obiekcie, o sposobach ich zabezpieczenia, o uprawnionych osobach itd. Następnie zostałoby to wprowadzone do dokumentacji, którą przechowywali byśmy bez głębszego zrozumienia, jakie zyskujemy w trakcie szkolenia. Ponadto dokumentację trzeba aktualizować i dostosowywać do zmian na bieżąco, co też wymaga jej zrozumienia.

Lepszym rozwiązaniem wydaje mi się pozyskanie wiedzy w trakcie szkolenia i samodzielne dostosowanie dokumentacji, która już w stanie wyjściowym jest dobrze przygotowana. Wdrożenie wszystkich niezbędnych procedur i uwzględnienie w dokumentach wszystkich przypadków charakterystycznych dla danego hotelu i tak będzie wymagało pracy ze strony hotelarza, nawet jeśli zlecamy wdrożenie firmie zewnętrznej.

W ramach omawianego szkolenia, mamy do czynienia z rodzajem wiedzy, który szczególnie sobie cenię. Otrzymujemy potrzebny zestaw narzędzi i wiedzę, która staje się dla nas rodzajem mapy. Wiemy jak poruszać się dalej i jesteśmy w stanie samodzielnie rozwijać temat, dopasowując rozwiązania nie tylko do wymogów formalnych, ale też do potrzeb hotelu. W razie wątpliwości, mamy wsparcie eksperta. Pod tym względem, szkolenie oferowane przez ODO w Hotelu jest zdecydowanie warte polecenia!