Aparaty fotograficzne, telefony komórkowe czy laptopy, które znajdują się w biurach rzeczy znalezionych, mogą zawierać istotne dane osobowe. Przekazanie ich znalazcy, gdy nie odnajdzie się właściciel, może naruszać RODO.
Po sygnałach od starostów, którzy mają wątpliwości, czy oddawać znalezione nośniki znalazcom z zapisanymi na nich informacjami, czy też może wpierw je z nich wyczyścić, sprawą zajął się prezes Urzędu Ochrony Danych Osobowych.
Wystosował pismo do ministra spraw wewnętrznych i administracji z wnioskiem o rozważenie uregulowania w ustawie z 20 lutego 2015 r. o rzeczach znalezionych (t.j. Dz.U. z 2019 r. poz. 908) kwestii dotyczących postępowania z danymi osobowymi utrwalonymi na zagubionych nośnikach danych. Jego zdaniem kłopotliwy jest art. 19 ust. 1 wspomnianego aktu.
Wskazuje on, że gdy znaleziona rzecz nie zostanie w ciągu roku odebrana przez właściciela, starosta zawiadamia o tym znalazcę oraz wzywa go do odbioru rzeczy. Jeśli nie zgłosi się on po nią w ciągu dwóch tygodni od zawiadomienia urzędu, przedmiot przechodzi na własność powiatu. I tu zaczynają się kłopoty, bo przepisy nie uwzględniają faktu, że na nośnikach danych mogą znajdować się przeróżne dane osobowe – oprócz zwykłych, także te należące do szczególnych kategorii (np. dane medyczne czy dotyczące wyroków skazujących i czynów zabronionych). Nie powinno się ich zatem bezrefleksyjnie przekazywać znalazcy, nawet jeśli nie udało się odnaleźć prawowitego właściciela. Zdaniem prezesa UODO może to bowiem prowadzić do naruszenia podstawowych zasad określonych w art. 5 RODO (m.in. rzetelności, celowości, poufności, minimalizacji).
UODO stawia więc pytania MSWiA, czy starostowie powinni uzyskać prawo do sprawdzenia informacji zapisanych na znalezionych sprzętach – zarówno w celu ustalenia tożsamości właściciela, jak i zabezpieczenia danych wrażliwych przed dostępem osób nieuprawnionych? A może powinni takie informacje jakoś zabezpieczyć albo je po prostu usunąć? Tylko nie jest to takie proste, jakby się wydawało. Zabezpieczenie oznaczałoby bowiem konieczność przetwarzania tych danych, zaś usunięcie mogłoby być zaś nieskuteczne. – W internecie są bowiem dostępne proste w obsłudze programy pozwalające na odzyskanie teoretycznie usuniętych plików – tłumaczy Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO sp. z o.o. Jego zdaniem fizyczne zniszczenie nośników danych to jedyna droga do zagwarantowania, że nikt nie odzyska informacji na nich zawartych. Takie działanie wymagałoby jednak odpowiedniej podstawy prawnej. Z kolei, gdyby taki obowiązek został na starostów nałożony, to być może znalazcy rzadziej decydowaliby się oddawać znalezione nośniki danych do biur rzeczy znalezionych.
Zdaniem Adama Klimowskiego problem podjęty przez prezesa UODO, a wcześniej sygnalizowany przez starostów, rzeczywiście wymaga ingerencji ustawodawcy. – Współczesne nośniki danych są coraz mniejsze i mieszczą coraz więcej informacji. Niewykluczone zatem, że pod opieką któregoś z biur rzeczy znalezionych jest karta pamięci czy pendrive zawierający wiele rekordów danych osobowych, tylko jeszcze o tym nikt nie wie – mówi Klimowski. Ekspert przypomina, że rządowy komitet radiotelewizyjny w Hiszpanii (Radiotelevisión Española) otrzymał karę w wysokości 60 tys. euro za zgubienie raptem sześciu pendrive’ów z danymi, które – jak się okazało – zawierały dane szczególnej kategorii aż 11 tys. osób. To wyraźny sygnał dla starostów, że aparaty fotograficzne, telefony komórkowe czy laptopy zalegające na półkach biura rzeczy znalezionych mogą potencjalnie zawierać istotne dane. Należy więc pamiętać o ich odpowiednim zabezpieczeniu przed dostępem osób nieuprawnionych.
Zgodnie z art. 52 ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781) MSWiA do pisma UODO powinno się ustosunkować w ciągu 30 dni od jego otrzymania.