Rzeczy znalezione a RODO: wyzwania i obowiązki w zakresie ochrony danych osobowych
Obowiązująca od 19 maja 2026 r. nowelizacja przepisów ustawy o rzeczach znalezionych oraz Kodeksu cywilnego z 23 stycznia 2026 r. wprowadziła istotne zmiany, których celem jest nie tylko usprawnienie funkcjonowania systemu zwrotu zagubionych przedmiotów, ale także uregulowanie kwestii przetwarzania danych osobowych w tym procesie. W praktyce bowiem coraz więcej rzeczy znalezionych – od dokumentów po urządzenia elektroniczne – zawiera dane pozwalające na identyfikację osób fizycznych. Nowe regulacje nakładają zatem na znalazców, zarządców nieruchomości oraz organy publiczne obowiązek działania zgodnie z zasadami RODO oraz z zachowaniem zwiększonej dbałości o bezpieczeństwo informacji.
Zakres i charakter danych osobowych w rzeczach znalezionych
Rzeczy znalezione stanowią obecnie istotne źródło danych osobowych, często o bardzo szerokim zakresie. Mogą to być zarówno tradycyjne dokumenty (np. legitymacje, karty płatnicze, dokumenty tożsamości), jak i nowoczesne nośniki danych, takie jak telefony, laptopy czy pendrive’y. W zależności od rodzaju przedmiotu, dane mogą obejmować podstawowe informacje identyfikacyjne (imię, nazwisko, PESEL), dane finansowe, a nawet dane szczególnych kategorii, np. dotyczące zdrowia.
Szczególne ryzyko wiąże się z urządzeniami elektronicznymi, które mogą umożliwiać dostęp do dużych zbiorów danych – poczty elektronicznej, bankowości internetowej czy dokumentów zapisanych w chmurze. W takich przypadkach zagrożenie naruszenia prywatności jest wysokie, zwłaszcza gdy urządzenia nie są odpowiednio zabezpieczone, np. poprzez szyfrowanie. Najbardziej newralgiczny moment przypada na okres od zgubienia rzeczy do jej przekazania właściwemu organowi, kiedy dostęp do danych może uzyskać osoba nieuprawniona.
Kto odpowiada za ochronę danych osobowych przy rzeczach znalezionych?
Kluczową rolę w systemie przetwarzania danych związanych z rzeczami znalezionymi odgrywa starosta, który – co do zasady – pełni funkcję administratora danych osobowych. Odpowiada on za przyjmowanie rzeczy, prowadzenie postępowania, identyfikację właściciela oraz zapewnienie odpowiedniego poziomu ochrony danych. Jednocześnie odrębnymi administratorami mogą być także zarządcy nieruchomości lub środków transportu, którzy tymczasowo przechowują znalezione przedmioty.
Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. c RODO, co oznacza, że odbywa się ono w celu wykonania obowiązku prawnego – bez potrzeby uzyskiwania zgody osoby, której dane dotyczą. Jednocześnie na administratorach spoczywają liczne obowiązki, takie jak realizacja obowiązku informacyjnego, przestrzeganie zasad minimalizacji danych czy właściwa retencja. Szczególne znaczenie ma ograniczenie zakresu danych publikowanych w ogłoszeniach – co do zasady powinien on być minimalny i nie prowadzić do nadmiernego ujawnienia informacji.
Problematyka rzeczy znalezionych wykracza dziś poza klasyczne ramy prawa cywilnego i obejmuje istotny obszar ochrony danych osobowych. Skuteczne funkcjonowanie tego systemu wymaga wdrożenia odpowiednich procedur, obejmujących zabezpieczenie rzeczy, realizację obowiązków informacyjnych oraz kontrolę nad przepływem danych. W tej tematyce polecamy komentarz praktyczny Joanny Łukaszyk pt. „Rzeczy znalezione a ochrona danych osobowych – obowiązki, ryzyka i dokumentacja w praktyce ADO i IOD”, dostępny w LEX Ochrona Danych Osobowych, w którym można znaleźć szczegółowe omówienie problematyki oraz przydatną, praktyczną checklistę wspierającą prawidłowe stosowanie przepisów w tym obszarze.
