iSecure logo
  • pl
  • en
    • Blog

    Lex Kamilek a nowe obowiązki z zakresu ochrony danych osobowych w hotelach

    Nina Zacharska
    Kategorie

    Za dwa tygodnie (15 sierpnia) minie termin dostosowania się do wymogów tzw. ustawy Kamilka. Tymczasem wielu właścicieli obiektów noclegowych nie wie, jak ma wdrożyć nowe przepisy, co będzie podlegać kontroli i jak sprawdzać pokrewieństwo gości z małoletnimi. Gospodarze nie wiedzą, jak pytać, a rodzice nie chcą odpowiadać.

    Zacznijmy od początku – czym w ogóle jest tzw. Lex Kamilek?

    Przykre wydarzenia z 2023 roku, wskutek których zmarł ośmioletni Kamilek z Częstochowy, stanowiły podstawę do znowelizowania przepisów chroniących dzieci przed przemocą, czyli wprowadzenia tzw. „Lex Kamilek”. Nowe przepisy obowiązują od 15 lutego 2024 roku, natomiast do 15 sierpnia br. podmioty mają czas na wdrożenie obowiązków.

    Lex Kamilek to szereg uregulowań prawnych, które mają zapewnić większą ochronę małoletnim przed przemocą oraz przestępczością na tle seksualnym. Przepisy wprowadzają obowiązek kontroli pracowników, mających styczność z małoletnimi, jak i w niektórych przypadkach, wprowadzenie standardów ochrony małoletnich.

    Kogo obowiązuje Lex Kamilek?

    Ta nowa regulacja obowiązuje następujące grupy i instytucje:

    1. Pracownicy mający styczność z małoletnimi: Wszyscy pracownicy, którzy mają bezpośredni kontakt z dziećmi, są zobowiązani do przejścia kontroli w celu weryfikacji ich przeszłości kryminalnej, szczególnie pod kątem przestępstw na tle seksualnym i przemocy.
    2. Szkoły i placówki oświatowe: Wszystkie szkoły, przedszkola i inne placówki edukacyjne muszą przestrzegać nowych przepisów, co obejmuje kontrolę personelu oraz wdrożenie standardów ochrony dzieci.
    3. Organizacje pozarządowe i społeczne: Fundacje, stowarzyszenia oraz inne organizacje działające na rzecz dzieci i młodzieży muszą również dostosować się do wymagań dotyczących kontroli pracowników i ochrony małoletnich.
    4. Instytucje zdrowotne: Szpitale, przychodnie i inne placówki medyczne, które oferują usługi dla dzieci, są zobowiązane do przestrzegania przepisów dotyczących kontroli pracowników oraz wprowadzenia odpowiednich standardów ochrony.
    5. Instytucje kultury i sportu: Teatry, domy kultury, kluby sportowe oraz inne placówki oferujące zajęcia dla dzieci muszą wprowadzić wymagane regulacje, w tym kontrolę pracowników.

    Lex Kamilek ma na celu uregulowanie i kontrolę działań osób oraz instytucji, które mają bezpośredni kontakt z dziećmi.

    W tym artykule skupię się na obowiązkach, które ww. regulacja nakłada na branżę hotelarską, która w swojej codziennej działalności również ma styczność z małoletnimi.

    Najważniejsze nowe obowiązki i uprawnienia hotelarzy

    1. Weryfikacja niekaralności

    Obowiązek weryfikacji niekaralności pracownika spoczywa obecnie na pracodawcach prowadzących działalność związaną z kontaktami pracowników z małoletnimi (dzieci do 18 roku życia):

    • wychowaniem,
    • edukacją,
    • wypoczynkiem,
    • leczeniem,
    • uprawianiem sportu,
    • rozwojem duchowym,
    • świadczeniem porad psychologicznych,
    • realizacją innych zainteresować przez małoletnich,
    • opieką nad małoletnimi.

    W związku z powyższym pracodawca zatrudniając w branży hotelarskiej, której usługi skierowane są również do małoletnich, ma obowiązek:

    • uzyskać informację czy dane przyszłego pracownika lub osoby dopuszczanej do działalności są zamieszczone w Rejestrze Sprawców Przestępstw na Tle Seksualnym z dostępem ograniczonym, lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze,
    • pozyskać od przyszłego pracownika lub osoby dopuszczanej do działalności informację o karalności dot. niektórych przestępstw,
    • odebrać od przyszłego pracownika lub osoby dopuszczanej do działalności oświadczenie o państwach, w których zamieszkiwał w ciągu ostatnich 20 lat.

    O ile informację z Rejestru uzyskuje sam przyszły pracodawca, o tyle informację o karalności przyszły pracownik ma obowiązek dostarczyć we własnym zakresie – po uzyskaniu odpowiedniego dokumentu z KRK. Opłatę za zaświadczenie z KRK ponosi przyszły pracownik. Dokumenty te załącza się do akt osobowych pracownika.

    Warto zaznaczyć, że nowe przepisy dotyczą wyłącznie osób, z którymi umowy o pracę są zawierane lub które zaczynają działalność od 15 lutego 2024 roku. Nie ma zatem konieczności weryfikacji osób zatrudnionych przed tą datą, chyba że następuje zmiana w ich umowie o pracę lub w rodzaju prowadzonej przez nich działalności.

    Dokument potwierdzający weryfikację danej osoby, pracodawca załącza do akt osobowych pracownika albo do dokumentacji osoby dopuszczonej do takiej działalności. Pracodawca (ma obowiązek dokonać weryfikacji m.in. przed nawiązaniem stosunku pracy. Dopiero zatem po dokonaniu weryfikacji pracodawca będzie miał możliwość zatrudnienia kandydata.

    W związku z powyższym, na gruncie RODO, pracodawca musi zaktualizować obowiązki informacyjne wobec osób, z którymi nawiązuje współprace (rekrutacje), ponieważ z punktu widzenia ochrony danych osobowych, dokument ten należy klasyfikować jako zawierający dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa. Są to dane, które zgodnie z art. 10 RODO, podlegają szczególnym warunkom przetwarzania.

    Przetwarzania takich informacji wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Pracodawcom na przetwarzanie takich danych osobowych kandydatów do pracy zezwala art. 21 ust. 3 ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich.

    1. Zapewnienie bezpieczeństwa dokumentom zawierającym dane osobowe szczególnych kategorii

    Poza spełnieniem obowiązku z zakresu HR wskazanym w pkt. 1 powyżej ważne jest również, odpowiednie zabezpieczenie i uwzględnienie przetwarzanie danych o karalności w wewnętrznej dokumentacji z zakresu ochrony danych osobowych.

    Przechowywanie akt osobowych w zamykanych metalowych szafach, przeszkolenie oraz upoważnienie do przetwarzania danych pracowników mających dostęp do takich informacji, czy zastosowanie oświadczeń o zachowaniu poufności, to podstawy, które powinny być zastosowane w każdej organizacji.

    Jeśli prowadzenie akt osobowych przekazane jest firmie zewnętrznej, należy również przeanalizować, czy zawarta umowa powierzenia przetwarzania danych, jest wystarczająca.

    1. Aktualizacja klauzul informacyjnych

    W związku z nowymi regulacjami, pracownicy hoteli i pensjonatów mają teraz obowiązek sprawdzać stopień pokrewieństwa między dorosłymi turystami a dziećmi, obserwować ich relacje i interweniować w przypadku podejrzenia niewłaściwych zachowań.

    Pracownik np. recepcji może zadawać pytania dorosłemu, jak i dziecku – może upewniać się, że dorosły jest jego rodzicem/opiekunem, lub weryfikować, czy dziecko czuje się bezpiecznie, a to wiąże się z przetwarzaniem nowych, dotychczas niezbieranych przez hotelarzy danych o klientach. Co z kolei nasuwa wniosek, że należy zaktualizować klauzulę informacyjną realizowaną wobec klientów.

    1. Aktualizacja Rejestru Czynności Przetwarzania, przeprowadzenie analizy ryzyka

    W związku z realizacją obowiązków wskazanych w pkt. 1 i 3 powyżej, administratorzy będą zbierać nowe informacje o pracownikach oraz gościach hotelowych, lub realizować wobec nich zupełnie nowe działania, a to wymaga aktualizacji prowadzonych rejestrów oraz przeanalizowania ryzyk dla tych procesów.

    1. Szkolenia/działania edukacyjne dla pracowników

    Ostatnim, ale być może najważniejszym elementem, są szkolenia dla pracowników, którzy będą mieć bezpośredni kontakt z klientami.

    Dodatkowe pytania zadawane przez personel hotelowy dorosłym klientom, czy rozmowy z nieletnimi weryfikujące relacje łączące ich z dorosłymi, mogą budzić wątpliwości rodziców/opiekunów prawnych, którzy dotychczas nie spotykali się z takimi praktykami.

    Dlatego też niezwykle ważnym aspektem jest odpowiednie poinformowanie pracowników zbierających te dane o klientach o podstawach prawnych tych żądań. To oni stanowią pierwszą linię w kontakcie z klientem i ich zadaniem jest uspokojenie i wskazanie, że takie działanie hotelu jest w pełni legalne, i nie stanowi naruszenia przepisów RODO.

    Standardy Ochrony Małoletnich

    Standardy Ochrony Małoletnich (dalej: SOM) to kolejny obowiązek, który wynika z regulacji Lex Kamilek i jest nałożony na następujące podmioty:

    1. organy zarządzające jednostką systemu oświaty oraz inną placówką oświatową, opiekuńczą, wychowawczą, resocjalizacyjną, religijną, artystyczną, medyczną, rekreacyjną, sportową lub związaną z rozwijaniem zainteresowań, do której uczęszczają albo w której przebywają lub mogą przebywać małoletni;
    2. organizatorów działalności oświatowej, opiekuńczej, wychowawczej, resocjalizacyjnej, religijnej, artystycznej, medycznej, rekreacyjnej, sportowej lub związanej z rozwijaniem zainteresowań przez małoletnich;
    3. podmioty świadczące usługi hotelarskie oraz turystyczne, a także prowadzące inne miejsca zakwaterowania zbiorowego.

    Podmioty te mają obowiązek wprowadzić Standardy Ochrony Małoletnich, w której określą m.in. zasady dot. relacji między małoletnimi a personelem, zasady podejmowania interwencji, osoby odpowiedzialne za składanie zawiadomień, zasady korzystania z urządzeń z dostępem do Internetu, czy plan wsparcia małoletniego po ujawnieniu krzywdzenia.

    Standardy udostępnia się na stronie internetowej oraz wywiesza w widocznym miejscu w lokalu w formie zupełnej oraz skróconej, przeznaczonej dla małoletnich. Muszą one zostać wprowadzone do 15 sierpnia 2024 roku.

    Branża hotelarska „jeszcze” nieprzygotowana

    Jak wskazuje badanie ankietowe przeprowadzone przez portal nocwanie.pl, wielu hotelarzy jeszcze nie przygotowało się do zmian, które zbliżają się wielkimi krokami.

    “Procedury identyfikacji dziecka i jego relacji z osobą dorosłą, z którą przebywa w obiekcie wprowadziło 50 proc. uczestników badania, a 42 proc. opracowało i wdrożyło procedury reagowania na przypadki przemocy wobec dzieci. Szkolenia dla personelu z zakresu ochrony małoletnich przeprowadził co czwarty ankietowany, a 12 proc. nawiązało współpracę z lokalnymi instytucjami zajmującymi się ochroną dzieci. Z większymi trudnościami wiąże się stworzenie odpowiednich dokumentów. Samodzielnego opracowania Standardów Ochrony Małoletnich w obiekcie podjęło się 38 proc. respondentów. Z darmowych wzorów wyszukanych w Internecie skorzystało 28 proc. badanych, po pomoc do prawników zwróciło się 5 procent. Również 5 proc. skorzystało ze szkoleń przygotowanych przez organizacje turystyczne i instytucje Pozarządowe. Natomiast 32 proc. przyznaje, że nie ma jeszcze takiego dokumentu” – można dowiedzieć się z ankiety[1].

    Podsumowanie

    Podsumowując, wpływ Lex Kamilek na hotelarzy w Polsce jest dwojaki. Z jednej strony, wprowadza on dodatkowe obowiązki i potencjalnie zwiększa koszty operacyjne. Z drugiej strony, może przyczynić się do poprawy bezpieczeństwa małoletnich i wzrostu zaufania konsumentów, co może przynieść korzyści w dłuższym okresie. Hotelarze muszą więc dostosować swoje procesy i polityki do nowych przepisów do 15 sierpnia 2024 r.

    Po tej dacie brak wdrożenia odpowiednich procedur będzie wiązać się z nałożeniem kary, która może wynieść nawet 30 tysięcy złotych, a zaprojektowanie nowych rozwiązań bez uwzględniania aspektów ochrony danych osobowych może skutkować także nałożeniem kary przez Prezesa UODO (m.in. niezastosowanie zasady privacy by design, brak obowiązków informacyjnych).

    [1] https://www.nocowanie.pl/lex-kamilek-u-drzwi-recepcji–branza-noclegowa-wciaz-zdezorientowana.html

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Paweł Wojciechowski

    Tworzenie baz danych na podstawie profilów osób na portalach branżowych typu LinkedIn w kontekście przetwarzania danych osobowych i zgodności z RODO

    W dobie cyfryzacji i globalizacji, portale branżowe takie jak LinkedIn stały się integralną częścią nowoczesnego rynku pracy i kluczowymi narzędziami w rozwoju kariery zawodowej oraz w zarządzaniu zasobami ludzkimi. Platformy te, w szczególności, umożliwiają profesjonalistom nie tylko prezentowanie swojego doświadczenia zawodowego, umiejętności i osiągnięć, ale także nawiązywanie i utrzymywanie cennych kontaktów biznesowych. Firmy z kolei […]

    Czytaj więcej
    Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
    Przemysław Siarka

    Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

    Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

    Czytaj więcej
    Maciej Łukaszewicz

    Pierwsza kara za naruszenie przepisów RODO podtrzymana

    W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki