iSecure logo
Blog

Lex Kamilek a nowe obowiązki z zakresu ochrony danych osobowych w hotelach

Za dwa tygodnie (15 sierpnia) minie termin dostosowania się do wymogów tzw. ustawy Kamilka. Tymczasem wielu właścicieli obiektów noclegowych nie wie, jak ma wdrożyć nowe przepisy, co będzie podlegać kontroli i jak sprawdzać pokrewieństwo gości z małoletnimi. Gospodarze nie wiedzą, jak pytać, a rodzice nie chcą odpowiadać.

Zacznijmy od początku – czym w ogóle jest tzw. Lex Kamilek?

Przykre wydarzenia z 2023 roku, wskutek których zmarł ośmioletni Kamilek z Częstochowy, stanowiły podstawę do znowelizowania przepisów chroniących dzieci przed przemocą, czyli wprowadzenia tzw. „Lex Kamilek”. Nowe przepisy obowiązują od 15 lutego 2024 roku, natomiast do 15 sierpnia br. podmioty mają czas na wdrożenie obowiązków.

Lex Kamilek to szereg uregulowań prawnych, które mają zapewnić większą ochronę małoletnim przed przemocą oraz przestępczością na tle seksualnym. Przepisy wprowadzają obowiązek kontroli pracowników, mających styczność z małoletnimi, jak i w niektórych przypadkach, wprowadzenie standardów ochrony małoletnich.

Kogo obowiązuje Lex Kamilek?

Ta nowa regulacja obowiązuje następujące grupy i instytucje:

  1. Pracownicy mający styczność z małoletnimi: Wszyscy pracownicy, którzy mają bezpośredni kontakt z dziećmi, są zobowiązani do przejścia kontroli w celu weryfikacji ich przeszłości kryminalnej, szczególnie pod kątem przestępstw na tle seksualnym i przemocy.
  2. Szkoły i placówki oświatowe: Wszystkie szkoły, przedszkola i inne placówki edukacyjne muszą przestrzegać nowych przepisów, co obejmuje kontrolę personelu oraz wdrożenie standardów ochrony dzieci.
  3. Organizacje pozarządowe i społeczne: Fundacje, stowarzyszenia oraz inne organizacje działające na rzecz dzieci i młodzieży muszą również dostosować się do wymagań dotyczących kontroli pracowników i ochrony małoletnich.
  4. Instytucje zdrowotne: Szpitale, przychodnie i inne placówki medyczne, które oferują usługi dla dzieci, są zobowiązane do przestrzegania przepisów dotyczących kontroli pracowników oraz wprowadzenia odpowiednich standardów ochrony.
  5. Instytucje kultury i sportu: Teatry, domy kultury, kluby sportowe oraz inne placówki oferujące zajęcia dla dzieci muszą wprowadzić wymagane regulacje, w tym kontrolę pracowników.

Lex Kamilek ma na celu uregulowanie i kontrolę działań osób oraz instytucji, które mają bezpośredni kontakt z dziećmi.

W tym artykule skupię się na obowiązkach, które ww. regulacja nakłada na branżę hotelarską, która w swojej codziennej działalności również ma styczność z małoletnimi.

Najważniejsze nowe obowiązki i uprawnienia hotelarzy

  1. Weryfikacja niekaralności

Obowiązek weryfikacji niekaralności pracownika spoczywa obecnie na pracodawcach prowadzących działalność związaną z kontaktami pracowników z małoletnimi (dzieci do 18 roku życia):

  • wychowaniem,
  • edukacją,
  • wypoczynkiem,
  • leczeniem,
  • uprawianiem sportu,
  • rozwojem duchowym,
  • świadczeniem porad psychologicznych,
  • realizacją innych zainteresować przez małoletnich,
  • opieką nad małoletnimi.

W związku z powyższym pracodawca zatrudniając w branży hotelarskiej, której usługi skierowane są również do małoletnich, ma obowiązek:

  • uzyskać informację czy dane przyszłego pracownika lub osoby dopuszczanej do działalności są zamieszczone w Rejestrze Sprawców Przestępstw na Tle Seksualnym z dostępem ograniczonym, lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze,
  • pozyskać od przyszłego pracownika lub osoby dopuszczanej do działalności informację o karalności dot. niektórych przestępstw,
  • odebrać od przyszłego pracownika lub osoby dopuszczanej do działalności oświadczenie o państwach, w których zamieszkiwał w ciągu ostatnich 20 lat.

O ile informację z Rejestru uzyskuje sam przyszły pracodawca, o tyle informację o karalności przyszły pracownik ma obowiązek dostarczyć we własnym zakresie – po uzyskaniu odpowiedniego dokumentu z KRK. Opłatę za zaświadczenie z KRK ponosi przyszły pracownik. Dokumenty te załącza się do akt osobowych pracownika.

Warto zaznaczyć, że nowe przepisy dotyczą wyłącznie osób, z którymi umowy o pracę są zawierane lub które zaczynają działalność od 15 lutego 2024 roku. Nie ma zatem konieczności weryfikacji osób zatrudnionych przed tą datą, chyba że następuje zmiana w ich umowie o pracę lub w rodzaju prowadzonej przez nich działalności.

Dokument potwierdzający weryfikację danej osoby, pracodawca załącza do akt osobowych pracownika albo do dokumentacji osoby dopuszczonej do takiej działalności. Pracodawca (ma obowiązek dokonać weryfikacji m.in. przed nawiązaniem stosunku pracy. Dopiero zatem po dokonaniu weryfikacji pracodawca będzie miał możliwość zatrudnienia kandydata.

W związku z powyższym, na gruncie RODO, pracodawca musi zaktualizować obowiązki informacyjne wobec osób, z którymi nawiązuje współprace (rekrutacje), ponieważ z punktu widzenia ochrony danych osobowych, dokument ten należy klasyfikować jako zawierający dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa. Są to dane, które zgodnie z art. 10 RODO, podlegają szczególnym warunkom przetwarzania.

Przetwarzania takich informacji wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Pracodawcom na przetwarzanie takich danych osobowych kandydatów do pracy zezwala art. 21 ust. 3 ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich.

  1. Zapewnienie bezpieczeństwa dokumentom zawierającym dane osobowe szczególnych kategorii

Poza spełnieniem obowiązku z zakresu HR wskazanym w pkt. 1 powyżej ważne jest również, odpowiednie zabezpieczenie i uwzględnienie przetwarzanie danych o karalności w wewnętrznej dokumentacji z zakresu ochrony danych osobowych.

Przechowywanie akt osobowych w zamykanych metalowych szafach, przeszkolenie oraz upoważnienie do przetwarzania danych pracowników mających dostęp do takich informacji, czy zastosowanie oświadczeń o zachowaniu poufności, to podstawy, które powinny być zastosowane w każdej organizacji.

Jeśli prowadzenie akt osobowych przekazane jest firmie zewnętrznej, należy również przeanalizować, czy zawarta umowa powierzenia przetwarzania danych, jest wystarczająca.

  1. Aktualizacja klauzul informacyjnych

W związku z nowymi regulacjami, pracownicy hoteli i pensjonatów mają teraz obowiązek sprawdzać stopień pokrewieństwa między dorosłymi turystami a dziećmi, obserwować ich relacje i interweniować w przypadku podejrzenia niewłaściwych zachowań.

Pracownik np. recepcji może zadawać pytania dorosłemu, jak i dziecku – może upewniać się, że dorosły jest jego rodzicem/opiekunem, lub weryfikować, czy dziecko czuje się bezpiecznie, a to wiąże się z przetwarzaniem nowych, dotychczas niezbieranych przez hotelarzy danych o klientach. Co z kolei nasuwa wniosek, że należy zaktualizować klauzulę informacyjną realizowaną wobec klientów.

  1. Aktualizacja Rejestru Czynności Przetwarzania, przeprowadzenie analizy ryzyka

W związku z realizacją obowiązków wskazanych w pkt. 1 i 3 powyżej, administratorzy będą zbierać nowe informacje o pracownikach oraz gościach hotelowych, lub realizować wobec nich zupełnie nowe działania, a to wymaga aktualizacji prowadzonych rejestrów oraz przeanalizowania ryzyk dla tych procesów.

  1. Szkolenia/działania edukacyjne dla pracowników

Ostatnim, ale być może najważniejszym elementem, są szkolenia dla pracowników, którzy będą mieć bezpośredni kontakt z klientami.

Dodatkowe pytania zadawane przez personel hotelowy dorosłym klientom, czy rozmowy z nieletnimi weryfikujące relacje łączące ich z dorosłymi, mogą budzić wątpliwości rodziców/opiekunów prawnych, którzy dotychczas nie spotykali się z takimi praktykami.

Dlatego też niezwykle ważnym aspektem jest odpowiednie poinformowanie pracowników zbierających te dane o klientach o podstawach prawnych tych żądań. To oni stanowią pierwszą linię w kontakcie z klientem i ich zadaniem jest uspokojenie i wskazanie, że takie działanie hotelu jest w pełni legalne, i nie stanowi naruszenia przepisów RODO.

Standardy Ochrony Małoletnich

Standardy Ochrony Małoletnich (dalej: SOM) to kolejny obowiązek, który wynika z regulacji Lex Kamilek i jest nałożony na następujące podmioty:

  1. organy zarządzające jednostką systemu oświaty oraz inną placówką oświatową, opiekuńczą, wychowawczą, resocjalizacyjną, religijną, artystyczną, medyczną, rekreacyjną, sportową lub związaną z rozwijaniem zainteresowań, do której uczęszczają albo w której przebywają lub mogą przebywać małoletni;
  2. organizatorów działalności oświatowej, opiekuńczej, wychowawczej, resocjalizacyjnej, religijnej, artystycznej, medycznej, rekreacyjnej, sportowej lub związanej z rozwijaniem zainteresowań przez małoletnich;
  3. podmioty świadczące usługi hotelarskie oraz turystyczne, a także prowadzące inne miejsca zakwaterowania zbiorowego.

Podmioty te mają obowiązek wprowadzić Standardy Ochrony Małoletnich, w której określą m.in. zasady dot. relacji między małoletnimi a personelem, zasady podejmowania interwencji, osoby odpowiedzialne za składanie zawiadomień, zasady korzystania z urządzeń z dostępem do Internetu, czy plan wsparcia małoletniego po ujawnieniu krzywdzenia.

Standardy udostępnia się na stronie internetowej oraz wywiesza w widocznym miejscu w lokalu w formie zupełnej oraz skróconej, przeznaczonej dla małoletnich. Muszą one zostać wprowadzone do 15 sierpnia 2024 roku.

Branża hotelarska „jeszcze” nieprzygotowana

Jak wskazuje badanie ankietowe przeprowadzone przez portal nocwanie.pl, wielu hotelarzy jeszcze nie przygotowało się do zmian, które zbliżają się wielkimi krokami.

„Procedury identyfikacji dziecka i jego relacji z osobą dorosłą, z którą przebywa w obiekcie wprowadziło 50 proc. uczestników badania, a 42 proc. opracowało i wdrożyło procedury reagowania na przypadki przemocy wobec dzieci. Szkolenia dla personelu z zakresu ochrony małoletnich przeprowadził co czwarty ankietowany, a 12 proc. nawiązało współpracę z lokalnymi instytucjami zajmującymi się ochroną dzieci. Z większymi trudnościami wiąże się stworzenie odpowiednich dokumentów. Samodzielnego opracowania Standardów Ochrony Małoletnich w obiekcie podjęło się 38 proc. respondentów. Z darmowych wzorów wyszukanych w Internecie skorzystało 28 proc. badanych, po pomoc do prawników zwróciło się 5 procent. Również 5 proc. skorzystało ze szkoleń przygotowanych przez organizacje turystyczne i instytucje Pozarządowe. Natomiast 32 proc. przyznaje, że nie ma jeszcze takiego dokumentu” – można dowiedzieć się z ankiety[1].

Podsumowanie

Podsumowując, wpływ Lex Kamilek na hotelarzy w Polsce jest dwojaki. Z jednej strony, wprowadza on dodatkowe obowiązki i potencjalnie zwiększa koszty operacyjne. Z drugiej strony, może przyczynić się do poprawy bezpieczeństwa małoletnich i wzrostu zaufania konsumentów, co może przynieść korzyści w dłuższym okresie. Hotelarze muszą więc dostosować swoje procesy i polityki do nowych przepisów do 15 sierpnia 2024 r.

Po tej dacie brak wdrożenia odpowiednich procedur będzie wiązać się z nałożeniem kary, która może wynieść nawet 30 tysięcy złotych, a zaprojektowanie nowych rozwiązań bez uwzględniania aspektów ochrony danych osobowych może skutkować także nałożeniem kary przez Prezesa UODO (m.in. niezastosowanie zasady privacy by design, brak obowiązków informacyjnych).

[1] https://www.nocowanie.pl/lex-kamilek-u-drzwi-recepcji–branza-noclegowa-wciaz-zdezorientowana.html

Pobierz wpis w wersji pdf

Podobne wpisy:

Uregulowanie stosunku powierzenia

Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia. Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych […]

4 istotne obszary, na które administrator powinien zwrócić szczególną uwagę przy powierzeniu przetwarzania danych

Czym jest powierzenie przetwarzania danych osobowych? Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której podmiot będący administratorem danych osobowych powierza podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) przetwarzanie danych w związku z realizacją przez ten podmiot określonych usług na rzecz administratora, takich jak np. rachunkowość, archiwizacja dokumentów, IT, monitoring, w określonych przypadkach rekrutacja pracowników […]

Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych – Norwegia

W ostatnich miesiąca nie cichną komentarze po kontroli przeprowadzonej przez UODO w zakresie sprawdzenia sposobu działań IOD-ów, na podstawie listy 27 pytań. Ich treść można poznać na stronie Urzędu (link: https://uodo.gov.pl/pl/138/2336), a także na naszym blogu (link: https://www.isecure.pl/blog/uodo-sprawdza-jak-pracuje-iod-czyli-o-co-chodzi-z-lista-27-pytan/). Z ciekawości przejrzałem strony innych organów ochrony danych osobowych i interesujące wyniki swojej kontroli/ankiety przedstawił w ubiegłym […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki