Ja na Twoim miejscu powiadomiłabym kierownika jednostki, informując go jednocześnie o wynikających z ustawy o ochronie danych osobowych jego obowiązkach w tym zakresie (oczywiście starając się zrobić to „w rękawiczkach”). Art. 36 i następne ustawy stanowią, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
A zgodnie z ustawą administratorem danych jest organ, (…) podmiot lub osoba, o których mowa w art. 3, decydująca o celach i środkach przetwarzania danych osobowych, a więc kierownik jednostki. Zgłosiłabym mu ten fakt, wskazując na konieczność wprowdzenia zasad ochrony i postępowania przy przetwarzaniu
danych osobowych, a decyzję, co zrobić z faktem już zaistniałym (zaginięciem) niech podejmie kierownik.