Sektor8 min czytania

SZBI dla hoteli i uzdrowisk w Sopocie — KSC i NIS 2

Profil gospodarczy Sopotu a KSC / NIS 2

Sopot to miasto o specyficznej gospodarce: dominującymi sektorami są hotelarstwo i gastronomia (Sheraton, Sofitel Grand, Marriott Courtyard, Mera Resort, Haffner), uzdrowiska i SPA (Sanatorium Helios, Leśnik), eventy i kongresy (Opera Leśna, Ergo Arena na granicy z Gdańskiem), a także administracja samorządowa (Urząd Miasta Sopotu z ~500 etatów). Ustawa o KSC i dyrektywa NIS 2 obejmują tylko część tych podmiotów — ale ci, którzy podlegają, mają znaczące obowiązki. Klucz: klasyfikacja PK vs PW z art. 5 KSC.

Sektor hotelarski i gastronomiczny nie jest wymieniony wprost w załącznikach nr 1 i 2 do KSC. Hotele zwykle podlegają KSC dopiero pośrednio — przez status podmiotu publicznego (uzdrowiska prowadzone przez SP ZOZ), przez przekroczenie progu wielkościowego w sektorze cyfrowym (jeśli platforma rezerwacji jest istotną częścią działalności) lub przez rejestrację w wykazie z urzędu (art. 7j KSC).

Kto z hotelarstwa Sopotu podlega ustawie

Analiza branża po branży:

Typ podmiotu w SopocieCzy podlega KSC?Podstawa prawna
Hotel komercyjny (np. Sheraton, Sofitel) — duży, ≥250 osóbCo do zasady NIE — hotelarstwo nie jest w zał. 1/2Wyjątek: jeśli platforma rezerwacji to dostawca usług cyfrowych z zał. 2
Hotel średni (50–249 osób)Co do zasady NIE
Hotel z SPA prowadzącym usługi medyczne (lecznicze)Może podlegać — jeśli SPA = podmiot leczniczyZał. 1 — ochrona zdrowia, jeśli ≥50 osób w działalności leczniczej
Uzdrowisko (SP ZOZ / spółka komunalna)TAK — podmiot publiczny lub leczniczyZał. 1 (PK/PW zależnie od wielkości) lub art. 5 ust. 2 pkt 8 KSC
Sanatorium prywatne ≥50 osóbTAKZał. 1 — ochrona zdrowia (art. 5 ust. 8 KSC)
Urząd Miasta Sopotu (~500 etatów)TAK — PKZał. 1 — podmioty publiczne (jednostka samorządu, urząd gminy ≥50 osób)
Restauracja sieciowa, gastronomia, agencja eventowaCo do zasady NIE
Operator karty rezerwacji turystycznej / OTATAK — jeśli platforma handlowaZał. 2 — dostawca internetowej platformy handlowej

Uzdrowiska i podmioty lecznicze w Sopocie

Uzdrowiska, sanatoria i hotele z SPA prowadzącym usługi lecznicze to najbardziej skomplikowana kategoria w Sopocie. Art. 5 ust. 8 KSC stanowi wprost: „Podmiot leczniczy, który nie jest przedsiębiorcą: 1) jest podmiotem ważnym, jeżeli zatrudnia od 50 do 249 osób; 2) jest podmiotem kluczowym, jeżeli zatrudnia co najmniej 250 osób". Liczba osób obejmuje wszystkich pracowników, nie tylko personel medyczny.

  • Uzdrowiska w formie SP ZOZ — podmiot publiczny + podmiot leczniczy (kumulacja podstaw). Klasyfikacja zależy od liczby etatów. Sanatorium z 80 etatami = PW.
  • Uzdrowiska prowadzone przez spółkę komunalną — samorządowy podmiot publiczny (art. 5 ust. 2 pkt 8 KSC), niezależnie od wielkości jest PW, jeśli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych.
  • Sanatoria prywatne komercyjne — podmiot leczniczy będący przedsiębiorcą. Stosuje się reguły zwykłe z zał. 1 sektor ochrony zdrowia (PK ≥250 osób, PW 50–249).
  • Hotel z SPA, gdzie SPA świadczy wyłącznie usługi kosmetyczne (bez aspektu medycznego) — nie jest podmiotem leczniczym. Hotel pozostaje poza KSC.
Uzdrowiska będące podmiotami publicznymi i PW stosują uproszczony SZBI z Załącznika nr 4 do KSC (art. 8 ust. 3 KSC), nie pełny SZBI z art. 8 ust. 1. To 18 obowiązkowych elementów + 9 zalecanych — znacząco mniejszy nakład niż pełen SZBI. Sprawdź SZBI wg Załącznika nr 4 — przewodnik.

Dane gości — przecięcie SZBI z RODO

Hotele i uzdrowiska w Sopocie przetwarzają dane gości (PESEL, dane kontaktowe, historia pobytów, dane zdrowotne w przypadku sanatoriów) na podstawie RODO. SZBI z KSC obejmuje SYSTEMY INFORMACYJNE wykorzystywane w procesach wpływających na świadczenie usługi — czyli także systemy hotelowe (PMS, CRM, system rezerwacji, EDM medyczny w sanatorium).

AspektRODOKSC / NIS 2
Podstawa prawnaRozp. (UE) 2016/679 — od 2018 r.Ustawa o KSC + dyrektywa NIS 2 (od 3.04.2026)
Zakres podmiotowyKażdy administrator danych osobowychPK/PW wg art. 5 KSC
Zgłoszenia naruszeńPUODO — 72h od stwierdzenia naruszeniaCSIRT — wczesne ostrzeżenie 24h, zgłoszenie 72h
Kary maksymalne20 mln EUR lub 4% obrotu (RODO art. 83)10 mln EUR lub 2% przychodów (PK, art. 73 ust. 3 KSC)
AudytBrak ustawowego obowiązku okresowegoCo 3 lata dla PK (art. 15 KSC)
Art. 76c ust. 1 KSC: jeżeli za to samo naruszenie ochrony danych osobowych PUODO już prawomocnie nałożył karę — organ właściwy ds. cyberbezpieczeństwa nie wszczyna postępowania karnego z KSC, poprzestaje na pouczeniu. To zasada non bis in idem dla naruszeń kumulatywnych. Zob. różnice między KSC a RODO.

Plan dostosowania krok po kroku

Plan dostosowania hotelu/uzdrowiska z Sopotu do KSC / NIS 2:

  1. Etap 1 — samoidentyfikacja: liczba etatów (w tym w SPA leczniczym), forma prawna (SP ZOZ vs sp. z o.o.), zakres usług medycznych. Wynik: podmiot kluczowy, ważny, lub poza KSC.
  2. Etap 2 — jeśli PK/PW: wpis do wykazu w systemie S46 (art. 7c KSC) w terminie 6 miesięcy od spełnienia przesłanek; dla istniejących 3.04.2026 — termin 3.10.2026.
  3. Etap 3 — wybór wariantu SZBI: pełny z art. 8 ust. 1 (PK i PW komercyjne) lub uproszczony z Załącznika nr 4 (PW publiczne).
  4. Etap 4 — inwentaryzacja systemów: PMS (Property Management System), CRM, system rezerwacji online, integracje z OTA (Booking.com, Expedia), terminale POS, kontrola dostępu do pokoi, monitoring CCTV, EDM (w SPA medycznym).
  5. Etap 5 — analiza ryzyka (art. 8 ust. 1 pkt 1 KSC) z uwzględnieniem specyfiki branży: ryzyko ransomware na PMS, kompromitacja CRM z danymi VIP-ów, atak na BMS (Building Management System), data breach kart kredytowych (PCI DSS).
  6. Etap 6 — wdrożenie 14 obszarów art. 8 ust. 1 pkt 2 lit. a–n KSC — z naciskiem na MFA dla pracowników recepcji, kryptografię danych płatniczych, szkolenia phishing (typowy wektor w hotelarstwie).
  7. Etap 7 — procedury reagowania na incydenty (art. 11 KSC): 24h ostrzeżenie, 72h zgłoszenie, miesiąc raport końcowy.
  8. Etap 8 — szkolenie kierownika hotelu/dyrektora uzdrowiska (art. 8e KSC) — raz w roku kalendarzowym.
  9. Etap 9 — audyt (PK) co 3 lata; PW — na żądanie organu (art. 15 ust. 1 i 1b KSC).
IdealData Sp. z o.o. (siedziba: Chwaszczyno k. Gdańska) świadczy usługi w zakresie audytów i wdrożeń SZBI dla podmiotów leczniczych, hotelarskich oraz operatorów SPA. Oferujemy obsługę jednostek z Sopotu i pozostałej części Trójmiasta. Czas dojazdu z siedziby do Sopotu: ok. 30 minut. Pierwsza konsultacja bezpłatna — pomożemy w wstępnej klasyfikacji i ocenie, czy podmiot podlega KSC.
FAQ5 pytań

Najczęstsze pytania

Czy hotel w Sopocie podlega ustawie o KSC?
Sam hotelarstwo nie jest wymienione w załącznikach nr 1 i 2 do KSC. Hotel komercyjny (sp. z o.o., ≥250 osób) co do zasady NIE jest objęty ustawą — chyba że: (1) prowadzi SPA z usługami leczniczymi i staje się podmiotem leczniczym wg art. 5 ust. 8 KSC; (2) operuje platformą rezerwacyjną kwalifikowaną jako „dostawca internetowej platformy handlowej" z zał. 2; (3) organ właściwy decyzją z art. 7l KSC uzna podmiot za PK/PW (rzadkie). Hotele bez aspektu medycznego są zwykle poza KSC, ale nadal podlegają RODO, PCI DSS oraz mogą być w łańcuchu dostaw klientów objętych KSC.
Czy uzdrowisko w Sopocie z 80 pracownikami jest podmiotem ważnym?
Tak. Art. 5 ust. 8 pkt 1 KSC: „Podmiot leczniczy, który nie jest przedsiębiorcą [...] jest podmiotem ważnym, jeżeli zatrudnia od 50 do 249 osób". Uzdrowisko jako podmiot leczniczy w formie SP ZOZ z 80 etatami spełnia tę przesłankę i jest PW. Obowiązki: pełny SZBI z art. 8 ust. 1 (uzdrowisko jako podmiot leczniczy NIE stosuje uproszczonego z zał. 4 — tylko PW będące „samorządową jednostką budżetową, samorządowym zakładem budżetowym, samorządową instytucją kultury albo spółką wykonującą zadania o charakterze użyteczności publicznej" wg art. 8 ust. 3 KSC). Rejestracja w wykazie do 3.10.2026, wdrożenie SZBI do 3.04.2027.
Czy hotelowy SPA bez działalności leczniczej podlega KSC?
Nie. SPA prowadzące wyłącznie usługi kosmetyczne, fizjoterapeutyczne nieoznaczone jako medyczne, masaże relaksacyjne — nie jest podmiotem leczniczym w rozumieniu ustawy z 15 kwietnia 2011 r. o działalności leczniczej. Hotel z takim SPA pozostaje poza KSC (chyba że spełnia inną przesłankę z art. 5). Granicą jest świadczenie usług zdrowotnych w rozumieniu ustawy o działalności leczniczej — np. zabiegów fizjoterapii prowadzonej przez fizjoterapeutę na podstawie skierowania, balneologii medycznej, rehabilitacji.
Czy hotel w Sopocie musi szyfrować dane gości?
Tak — niezależnie od KSC. Wymóg szyfrowania danych osobowych wynika z RODO (art. 32 — adekwatne środki techniczne i organizacyjne) oraz PCI DSS (dla danych kart płatniczych). Jeśli hotel jest objęty KSC (np. przez SPA medyczne lub OTA), dochodzą wymogi art. 8 ust. 1 pkt 2 lit. k KSC: „polityki i procedury stosowania kryptografii, w tym w stosownych przypadkach szyfrowania". W praktyce: PMS i CRM zaszyfrowane at-rest, transmisja TLS 1.2+, tokenizacja kart, MFA dla pracowników recepcji z dostępem do danych gości.
Czy Urząd Miasta Sopotu jest podmiotem kluczowym?
Tak. Urząd Miasta Sopotu z ~500 etatami (gmina miejska, urząd zatrudniający na 1 stycznia ≥50 osób w pełnym wymiarze czasu pracy na podstawie umowy o pracę) jest podmiotem kluczowym z mocy zał. nr 1 do KSC (sektor podmioty publiczne, pkt 4 — w odniesieniu do samorządu gminy). Stosuje pełny SZBI z art. 8 ust. 1, nie uproszczony z Załącznika nr 4. Audyt co 3 lata (art. 15). Pierwszy audyt dla istniejącego urzędu — do 3 kwietnia 2028 r.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.