Projekt ustawy o ochronie ludności oraz o stanie klęski żywiołowej wnieśli do laski marszałkowskiej posłowie PiS (sprawozdawcą jest Paweł Szefernaker). Projekty poselskie nie podlegają takim konsultacjom, jak te, które przewidziane są dla projektów rządowych. Jednak w tej kadencji Marszałek Sejmu przyjął zasadę zbierania uwag do wszystkich projektów. Zastępca Szefa Kancelarii Sejmu RP Dariusz Salamończyk przedstawił do zaopiniowania Prezesowi UODO projekt ustawy o ochronie ludności oraz klęski żywiołowej.
Prezes UODO nie ma zastrzeżeń co do celu regulacji, która ma pomóc państwu w reagowaniu i ochronie ludności w razie zagrożeń, w tym klęsk żywiołowych. Wskazuje jednak, że projekt zakłada przetwarzanie różnego typu informacji, w tym danych osobowych, po to, by ułatwić reagowanie na skutki klęski żywiołowej. Dostęp do tych danych miałby bardzo szeroki krąg podmiotów. Projekt nie precyzuje jednak, jakie dane będą zbierane i jak przetwarzane.
Regulacja z uwagi na projektowane rozwiązania z udziałem nowych technologii – na szeroką skalę umożliwiająca przetwarzanie danych w wyjątkowych warunkach – wymaga wykonania tzw. testu prywatności – czyli oceny skutków dla ochrony danych osobowych (jak wskazuje art. 35 RODO).
Przeprowadzenie wskazanego testu prywatności uzasadniają:
- modele przetwarzania danych przyjęte w projektowanej ustawie,
- nowe powstające z tego tytułu zagrożenia o szczególnym charakterze w przypadku wystąpienia opisanych w ustawie zdarzeń,
- określenie nowych kategorii osób,
- objęcie zakresem regulacji szczególnych kategorii danych,
- ilość danych podlegających przetwarzaniu,
- przetwarzanie ich za pośrednictwem nowych technologii.
Projektowane przepisy nie powinny również tworzyć konstrukcji, które nie uwzględniają prawidłowości i bezpieczeństwa przetwarzanych danych osobowych, zgodnie z wymogami zawartymi w RODO. Jednym z założeń projektu jest utworzenie punktów kontaktowych realizujących zadania w obszarze ochrony ludności lub centrów zarządzania kryzysowego w przypadku wystąpienia klęski żywiołowej. Z brzmienia tych przepisów nie wynika jednak, czy jednostki zarządzania kryzysowego będą przetwarzać dane osobowe – a jeśli tak – jakie to będą dane. W projekcie nie określono czy w toku działań przetwarzane mogą być tzw. dane szczególne, określone w art. 9 RODO. Dlatego Prezes UODO ma wątpliwości czy projekt zapewnia odpowiednie zabezpieczenia w zakresie przestrzegania zasad przetwarzania danych osobowych.
Organy administracji rządowej i samorządowej, reagując na klęskę żywiołową, mają się wymieniać informacjami. Projektowane przepisy nie określają czy wymiana ta odbędzie się w sposób bezpieczny dla danych.
Projekt zakłada też, że organy ochrony ludności mogą żądać od kierujących jednostkami administracji rządowej i samorządowej niezwłocznego udzielania informacji, a także gromadzenia i przetwarzania danych niezbędnych do realizacji zadań określonych w art. 9. Nie wiadomo, o jakie informacje chodzi i czy gwarancje dla danych osobowych będą wystarczające. Przepis jest blankietowy. Odsyła ogólnie do zadań określonych w ustawie, brak jest jednak określenia, w ramach jakich zadań przetwarzane będą jakie dane osobowe (jakie ich kategorie).
Projekt przewiduje również rozwiązania w postaci wydawania aktów rangi wykonawczej przez uprawnione organy administracji rządowej lub samorządowej, co do których pojawia się wątpliwość, czy nie powinny być uregulowane na poziomie ustawowym. Przykładowo, wątpliwość dotyczy art. 51 projektu, w którym przewidziana jest możliwość wprowadzenia w czasie klęski żywiołowej „niezbędnych ograniczeń wolności i praw człowieka i obywatela”. Należy podkreślić, że niezależnie od oceny zgodności takich rozwiązań z perspektywy konstytucyjnego testu proporcjonalności i legalizmu, wprowadzanie tych ograniczeń na mocy zarządzenia czy decyzji nie może prowadzić do obniżenia w sposób nieproporcjonalny standardów ochrony praw i wolności osób, których dane dotyczą.
Z podobnych względów wątpliwości Prezesa UODO budzą również rozwiązania przewidujące, że w uzasadnionych przypadkach wiążące decyzje mogą być wydawane i przekazywane w formie ustnej, telefonicznie czy za pomocą środków komunikacji elektronicznej lub innych środków łączności. Przyjęcie takich rozwiązań powinno być poprzedzone wykonaniem testu proporcjonalności i oceną ryzyk dla przetwarzania danych osobowych.