Rodo a przechowywanie znalezionych nośników danych w starostwach

Nośniki mogą zawierać dane osobowe, które zgodnie z RODO muszą być chronione

Prezes UODO wciąż zmaga się z wpływającą od starostów korespondencją, wskazującą na problemy z przechowywaniem zagubionych nośników danych. Pracownicy starostwa powiatowego są zobowiązani do zabezpieczenia danych, zawartych na znalezionych nośnikach. Nie jest jednak jasne, w jakim zakresie ponoszą oni odpowiedzialność za dane osobowe utrwalone na różnych urządzeniach przenośnych. Z całą pewnością muszą oni przestrzegać przepisów RODO. Pytanie brzmi: w jakim zakresie?

Nośniki i dane osobowe

Do miejskich i powiatowych biur rzeczy znalezionych coraz częściej trafiają znalezione np. w komunikacji miejskiej telefony komórkowe, tablety czy aparaty fotograficzne. Na takich nośnikach mogą znajdować się także dane osobowe szczególnej kategorii. Dane zapisane na przenośnych urządzeniach mogą dotyczyć nie tylko sfery prywatnej czy wręcz intymności osób fizycznych, ale także zawierać informacje objęte tajemnicami prawnymi lub nawet dotyczące zabronionych czynów. O szczególnych kategoriach danych osobowych możemy mówić w przypadku informacji o:

  • przekonaniach religijnych lub światopoglądowych,
  • pochodzeniu rasowym lub etnicznym,
  • poglądach politycznych i przynależności do związków zawodowych,
  • danych genetycznych lub biometrycznych,
  • stanie zdrowia, orientacji seksualnej i samej seksualności.

Znaleziono nośnik danych, co dalej?

Zasady postępowania ze znalezionymi urządzeniami reguluje Ustawa o rzeczach znalezionych z 20 lutego 2015 r. (Dz. U. z 2019 r. poz. 908). Przepisy prawa wskazują na obowiązek zabezpieczenia przez starostów znalezionych rzeczy. W starostwie powiatowym w przypadku znalezienia nośnika danych konieczne jest prowadzenie postępowania w sprawach odbierania zawiadomień o znalezieniu rzeczy. Pracownicy starostwa powiatowego są odpowiedzialni także za przyjmowanie i przechowanie przedmiotów znalezionych oraz poszukiwanie osób, które są uprawnione do odbioru rzeczy. Art. 19 ust. 1 Ustawy podaje natomiast, że w przypadku, gdy znaleziona rzecz nie zostanie odebrana przez osobę do tego uprawnioną, starosta zawiadamia o tym znalazcę. Następnie wzywa go do odbioru przedmiotu w ciągu dwóch tygodni. Jeśli przedmiot nie zostanie odebrany w wyznaczonym czasie to jego właścicielem automatycznie staje się powiat. Taki tryb postępowania powoduje, że starostwo wchodzi w posiadanie danych osobowych, jakie znajdują się w pamięci laptopa czy na pendrivie.

Inspektor Ochrony Danych

Luki w prawie

Obecnie starości chcąc postępować zgodnie z przepisami zawartymi w Ustawie o rzeczach znalezionych, mogą jednocześnie łamać przepisy dotyczące RODO. Ustawa w pewnych sytuacjach nakazuje bowiem przekazanie sprzętu znalazcy, który wchodzi tym samym w posiadanie zawartych na nośniku danych osobowych. Wprawdzie może być tutaj stosowany art. 6 ust. 1 lit. e RODO. W takim przypadku dane osobowe przetwarzane mogą być w zakresie niezbędnym do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Rozwiązanie to nie wyczerpuje jednak tematu.

Trudności rodzi także określenie, kto jest administratorem w odniesieniu do danych zgromadzonych na znalezionym nośniku. Niełatwym jest także określenie celu przechowywania danych osobowych przez podmiot dysponujący nośnikiem, ale nie dysponujący przy tym danymi, bo nie wykorzystuje ich w żaden sposób. Kolejną kwestią jest przetwarzanie danych osobowych dla konkretnego celu, o którym decyduje administrator. Dostęp do podstawowych danych jest bowiem niezbędny do ustalenia, kto jest ich administratorem. Pojawia się też problem, czy znalezione sprzęty elektroniczne mogą być ponownie wprowadzone na rynek. W przypadku dobrej jakości komputerów czy sprzętu fotograficznego jest to możliwe, jednak pojawia się pytanie co z zawartymi na nich danymi.

RODO a znalezione nośniki danych

Już samo przechowywanie nośnika sprawia, że dane osobowe przetwarzane są przez starostwa, tak więc niezbędne jest tutaj zastosowanie odpowiedniej podstawy prawnej. Z artykułu 4 pkt 2 ustawy RODO wynika, że przetwarzanie danych osobowych obejmuje takie operacje, jak m.in.: przechowywanie, przeglądanie, usuwanie lub niszczenie danych. Istotny jest także fakt, że to administrator jest odpowiedzialny za przetwarzanie danych zgodnie z zasadami określonymi w art. 5 RODO, w tym także wyrażoną w art. 5 ust. 1 lit. f RODO zasadą poufności.

Motyw 39 RODO wskazuje natomiast, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność. Oznacza to również ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu. To także ochrona przed nieuprawnionym korzystaniem z takich danych i z tego sprzętu. Zatem starostowie, realizując obowiązki nałożone na nich przepisami ustawy o rzeczach znalezionych, powinni zadbać o to, aby dane osobowe nie zostały udostępnione osobom nieuprawnionym.

Zagadnienie to wymaga więc rozważenia możliwości wprowadzenia odpowiednich regulacji prawnych. Potrzeba konkretnych rozwiązań, które będą precyzowały nie tylko kwestię ochrony danych osobowych, ale też odpowiedzialności za przechowywane dane. Istotny jest też proces właściwego postępowania z danymi osobowymi, które znajdują się na przechowywanych w starostwach nośnikach danych.

Źródło:
Newsletter UODO dla inspektorów danych osobowych, nr 8-9/2022 (41/42)
https://uodo.gov.pl/pl/138/159

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!