Viimeksi julkaistu 8.5.2021 13.53

Valiokunnan mietintö StVM 42/2020 vp HE 225/2020 vp Sosiaali- ja terveysvaliokunta Hallituksen esitys eduskunnalle laiksi tartuntatautilain väliaikaisesta muuttamisesta annetun lain muuttamisesta

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi tartuntatautilain väliaikaisesta muuttamisesta annetun lain muuttamisesta (HE 225/2020 vp): Asia on saapunut sosiaali- ja terveysvaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan lausunnon antamista varten. 

Lausunto

Asiasta on annettu seuraava lausunto: 

  • perustuslakivaliokunta 
    PeVL 42/2020 vp

Asiantuntijat

Valiokunta on kuullut (etäkuuleminen): 

  • hallitusneuvos Joni Komulainen 
    sosiaali- ja terveysministeriö
  • erityisasiantuntija Sari Palojoki 
    sosiaali- ja terveysministeriö
  • lainsäädäntöneuvos Tanja Jaatinen 
    oikeusministeriö
  • apulaistietosuojavaltuutettu Jari Råman 
    Tietosuojavaltuutetun toimisto
  • tiedonhallintajohtaja Aleksi Yrttiaho 
    Terveyden ja hyvinvoinnin laitos (THL)

Valiokunta on saanut ilmoitukset, ei lausuttavaa: 

  • liikenne- ja viestintäministeriö
  • Kansaneläkelaitos
  • Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira)

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi tartuntatautilain väliaikaisesta muuttamisesta annettua lakia.  

Esityksen tarkoituksena on mahdollistaa tartuntaketjujen katkaisua tehostavan mobiilisovelluksen eli Koronavilkun rajat ylittävä yhteentoimivuus muiden vastaavien sovellusten kanssa.  

Esityksessä säädettäisiin covid-19-epidemian aiheuttaneen koronaviruksen tartuntaketjujen katkaisua tehostavan tietojärjestelmän rajat ylittävän käytön yhteydessä tapahtuvasta henkilötietojen käsittelystä.  

Lakiin lisättäisiin uudet säännökset tietojärjestelmän rajat ylittävän käytön yhteydessä tapahtuvasta henkilötietojen luovuttamisesta toisen EU:n jäsenvaltion, Euroopan talousalueeseen kuuluvan valtion tai Sveitsin nimetylle kansalliselle viranomaiselle tai viralliselle elimelle koronavirukselle mahdollisesti altistuneiden henkilöiden tavoittamiseksi sekä mobiilisovelluksen käyttäjän suostumuksesta tietojen luovutukseen sekä tietojen käyttötarkoituksesta ja muusta käsittelystä.  

Esityksessä ehdotetaan lisäksi lain voimassaolosäännöstä muutettavaksi siten, että laki olisi voimassa 31.12.2021 saakka. 

Laki on tarkoitettu tulemaan voimaan 30.11.2020.  

VALIOKUNNAN PERUSTELUT

Ehdotettujen lakimuutosten tavoitteena on mahdollistaa EU- ja Eta-maissa sekä Sveitsissä kehitettyjen mobiilisovellusten yhteentoimivuus siten, että näiden maiden sovellusten käyttäjät voivat saada omaan sovellukseensa tiedon mahdollisesta altistumisestaan koronavirukselle, kun he ovat kohdanneet henkilön, jolla on käytössään toisessa EU- tai Eta-maassa tai Sveitsissä kehitetty sovellus. 

Yhteentoimivuus toteutetaan EU-komission tuottamalla ja tarjoamalla yhdyskäytäväpalvelulla. Se perustuu komission täytäntöönpanopäätökseen (EU) 2020/1023, joka on annettu potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun direktiivin 2011/24/EU (jäljempänä potilasdirektiivi) nojalla. Komission täytäntöönpanopäätöksen tavoitteena on mahdollistaa kansallisten mobiilisovellusten yhteentoimivuus, jotta näiden sovellusten avulla voidaan covid-19-epidemian tartuntaketjuja jäljittää ja mahdollisesta altistuksesta varoittaa myös silloin, kun sovellusten käyttäjät siirtyvät toiseen jäsenvaltioon. Osallistuminen täytäntöönpanopäätöksen mukaiseen yhteistyöhön ja rajat ylittävään tietojenvaihtoon on jäsenvaltioille vapaaehtoista. 

Tartuntatautilakiin lisättiin 9.7.2020 uusi väliaikaisesti voimassa oleva 4 a luku, jossa säädetään covid-19-tartuntaketjujen katkaisua tehostavasta tietojärjestelmästä koronavirukselle mahdollisesti altistuneiden tavoittamiseksi. Kyseisessä luvussa on säädetty tietojärjestelmän käytön yhteydessä tapahtuvasta henkilötietojen käsittelystä. Koska eri maiden mobiilisovellusten yhteentoimivuuden toteuttaminen edellyttää eräiltä osin uudenlaista henkilötietojen käsittelyä, on mainittua sääntelyä muutettava. Yhteentoimivuuden mahdollistamiseksi hallituksen esityksessä ehdotetaan säädettäväksi tietojärjestelmän yhteydessä tapahtuvasta henkilötietojen käsittelystä liittyen tietojen luovuttamiseen toisen maan sovelluksesta vastaavalle viranomaiselle tai viralliselle elimelle. Mobiilisovelluksen käyttäminen perustuu edelleen vapaaehtoisuuteen. Myös tietojen käsittely rajat ylittävissä tilanteissa on käyttäjälle vapaaehtoista.  

Sosiaali- ja terveysvaliokunta pitää ehdotettuja muutoksia tärkeinä ja tarpeellisina. Mobiilisovelluksen käyttäjä voi rajat ylittävän sovellusten yhteentoimivuuden myötä osallistua koronaviruksen leviämisen estämiseen aiempaa laajemmin, koska tartunnan saanut henkilö voi vapaaehtoisesti ja anonyymisti välittää tiedon mahdollisesta altistumisesta myös edellä todetuissa maissa kehitettyjen mobiilisovellusten käyttäjille. Näin myös heille välittyisi tieto tarpeesta olla yhteydessä terveydenhuollon palveluihin mahdollisten uusien tartuntojen estämiseksi silloin, kun he olisivat sovelluksen käyttöön perustuen koronavirukselle mahdollisesti altistuneita. Yhteentoimivuudella voisi hallituksen esityksen mukaan olla vaikutuksia myös matkustusrajoitusten purkamiseen, kun tartuntaketjujen katkaisu voisi tehostua kyseisten maiden välillä. 

Henkilötietojen käsittely rajat ylittävässä tietojen vaihdossa

Perustuslakivaliokunta toteaa lausunnossaan PeVL 42/2020 vp (s. 3), että hallituksen esityksestä ei riittävällä tavalla ilmene, millä tavalla järjestelyssä varmistetaan, että tartuntatautilaissa käyttötarkoitukselle säädettyjä rajoituksia noudatetaan myös sen jälkeen, kun tiedot luovutetaan ulkomaisille viranomaisille. Valiokunnan mielestä on varmistettava, ettei toisessa valtiossa käytössä olevassa tietojärjestelmässä tallenneta puhelinten sijaintitietoja ja kohtaamistietoja taikka käytetä tietoja tartuntatautilain 43 c §:n 1 momentin vastaisiin tarkoituksiin, kuten poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin. Perustuslakivaliokunta toteaa, että hallituksen esityksessä on sinänsä todettu, että kielto koskee myös muiden valtioiden viranomaisille luovutettavia tietoja viitaten sääntelyn taustalla olevaan komission täytäntöönpanopäätökseenkin. Sosiaali- ja terveysvaliokunnan on perustuslakivaliokunnan lausunnon mukaan syytä tarkastella lakiehdotusta tältä osin myös EU:n tietosuoja-asetuksen kannalta. Sääntelyä on tarvittaessa täsmennettävä, mikäli toimeenpantava EU-sääntely sen mahdollistaa. 

Sosiaali- ja terveysvaliokunta toteaa perustuslakivaliokunnan lausunnon johdosta seuraavaa. 

EU-komission tuottama ja tarjoama yhdyskäytäväpalvelu perustuu komission täytäntöönpanopäätökseen (EU) 2020/1023, jossa kuvataan tietojenvaihdon kokonaisuutta ja luodaan säännöt tietojenvaihtoon eli yhteentoimivuuteen osallistuville viranomaisille sekä tietojenvaihdolle. Täytäntöönpanopäätöksen 7 a artiklassa täsmennetään tyhjentävästi ne tiedot, joita yhdyskäytäväpalvelun kautta voidaan välittää rajat ylittävässä tietojenvaihdossa kansallisten mobiililaitteessa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä. Kun henkilötietoja vaihdetaan yhdyskäytäväpalvelun kautta, käsittely on artiklan mukaan rajoitettava helpottamaan kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuutta yhdyskäytäväpalvelussa ja kontaktien tavoittamisen jatkuvuutta rajat ylittävissä yhteyksissä. Näin ollen henkilötietoja ei lähtökohtaisesti saa käyttää muihin yhteensopimattomiin käyttötarkoituksiin. Täytäntöönpanopäätöksessä viitataan myös Euroopan tietosuojaneuvoston ohjeeseen ja lausuntoon, joissa tuodaan esiin, että tietojen käyttötarkoituksen tulee olla rajattu covid-19-kriisin hallintaan ja ulkopuolelle pitää rajata esimerkiksi kaupallinen ja lainvalvonnallinen käyttötarkoitus. Lisäksi käyttäjää informoidaan ennakollisesti tarkoituksista, joihin tietoja luovutetaan ja joita varten tietoja voidaan käsitellä, jolloin henkilötietojen suojaan puututaan vain käyttäjän ennakollisesti tiedossa olevalla ja rajatulla tavalla. 

Jokainen yhteentoimivuuteen osallistuva rekisterinpitäjä vastaa henkilötietojen käsittelystä yhdyskäytäväpalvelussa EU:n yleisen tietosuoja-asetuksen mukaisesti. EU:n jäsenvaltioissa sovelletaan sellaisenaan EU:n yleistä tietosuoja-asetusta. Valituista lähestymistavoista riippuen mobiilisovelluksen käytön yhteydessä tapahtuva henkilötietojen käsittely voi perustua joko suoraan yleiseen tietosuoja-asetukseen tai sitä täydentävään erityissääntelyyn. Yleisen tietosuoja-asetuksen mukaan henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. 

Potilasdirektiivin 14 artiklan mukaan unioni tukee ja helpottaa yhteistyön tekemistä ja tietojen vaihtamista jäsenvaltioiden välillä vapaaehtoisessa verkostossa, joka yhdistää jäsenvaltioiden nimeämät sähköisistä terveyspalveluista vastaavat kansalliset viranomaiset. Sähköisten terveyspalvelujen verkostossa nimetyt kansalliset viranomaiset ja viralliset elimet, jotka käsittelevät henkilötietoja yhdyskäytäväpalvelussa, voivat luottaa, että henkilötietojen käsittelyn tulee tapahtua EU:n yleisen tietosuoja-asetuksen mukaisesti sekä noudattaen Euroopan tietosuojaneuvoston, Euroopan tietosuojavaltuutetun ja komission ohjeistuksia. Yhdyskäytäväpalvelun käyttäminen edellyttää lisäksi sähköisten terveyspalvelujen verkostolle osoitettua hakemusta. Sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten ja virallisten elimien on osoitettava, että ne täyttävät sähköisten terveyspalvelujen verkoston yhteisrekisterinpitäjien alatyöryhmän asettamat yhteisesti sovitut juridiset, tekniset, organisatoriset sekä tietosuojaa ja tietoturvaa koskevat vaatimukset. Yhdyskäytäväpalveluun hakevien valtioiden on hakemusmenettelyn yhteydessä esimerkiksi vakuutettava, että ne käyttävät tietoja ainoastaan covid-19-kriisin ehkäisemisen kanssa yhteensopivalla tavalla ja että ne eivät käytä sijaintitietoja. 

EU:n yleisestä tietosuoja-asetuksesta, jota yhteentoimivuuteen osallistuvissa maissa noudatetaan, seuraa useita vaatimuksia rekisterinpitäjälle ja henkilötietojen käsittelijälle henkilötietojen käsittelystä. Lisäksi yleisessä tietosuoja-asetuksessa säädetään henkilötietojen käsittelyyn liittyvästä valvonnasta, jota suorittaa kansallinen nimetty viranomainen. Jokaisessa yhteentoimivuuteen liittyvässä valtiossa henkilötietojen käsittelyä valvotaan myös yhdyskäytäväpalvelusta saatavien henkilötietojen osalta. Lisäksi valtioiden on ennen yhdyskäytäväpalveluun liittymistä pyydettävä lausunto yleisen tietosuoja-asetuksen mukaiselta kansalliselta valvontaviranomaiselta. Euroopan tietosuojaneuvosto voi myös tehdä sitovia päätöksiä rajat ylittäviä käsittelytoimia koskevissa riita-asioissa ja varmistaa siten EU:n sääntöjen yhtenäinen soveltaminen, jotta samaa tapausta ei käsiteltäisi eri tavoin eri oikeudenkäyttöalueilla.  

Sosiaali- ja terveysvaliokunta katsoo, että ehdotettua sääntelyä ei edellä sanotun johdosta ole tarpeellista täsmentää, koska henkilötietojen käsittely perustuu mobiilisovellusten yhteentoimivuuteen osallistuvissa valtioissa toimeenpantavan EU-oikeuden lisäksi EU:n yleiseen tietosuoja-asetukseen ja sitä mahdollisesti täydentävään kansalliseen lainsäädäntöön. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti. Valtioiden on siten säädösperusteisesti noudatettava esimerkiksi henkilötietojen käsittelyä koskevaa käyttötarkoitussidonnaisuuden periaatetta, jonka mukaan henkilötietoja ei saa käsitellä alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin. Lisäksi yhteentoimivuuteen osallistuvien valtioiden on noudatettava komission täytäntöönpanopäätöstä sekä muuta komission antamaa esimerkiksi tietosuojaa koskevaa ohjeistusta. Yhdyskäytäväpalveluun hakevan valtion on osoitettava hakumenettelyssä, että se noudattaa asetettuja vaatimuksia. Valtiota ei hyväksytä yhdyskäytäväpalveluun mukaan, jos vaatimuksia ei noudateta.  

Mobiilisovelluksen käyttäjille annettava informaatio

Henkilötietojen siirtäminen muiden valtioiden viranomaisille edellyttää ehdotetun 43 i §:n 3 momentin mukaan käyttäjän nimenomaista suostumusta. Suostumuksesta tulee käydä ilmi, että se on annettu vapaaehtoisesti ja nimenomaisesti sekä tietoisena siitä, mihin tarkoituksiin mobiilisovelluksella siirrettyjä tietoja voidaan luovuttaa ja käyttää. Suostumuksesta on myös käytävä ilmi, ettei sitä ole annettu sosiaali- ja terveydenhuollon asiakaspalvelutilanteessa eikä viranomaismenettelyssä.  

Perustuslakivaliokunnan lausunnon (PeVL 42/2020 vp, s. 3) mukaan sääntelyssä on varmistettava suostumuksen perustuminen riittävään tietoon myös eri käyttötarkoitusten ja esimerkiksi tietojen luovutusten suhteen (ks. myös PeVL 20/2020 vp, s. 8). Perustuslakivaliokunta painottaa, että sovelluksen käyttäjille on suostumuksen antamisen perustaksi annettava selkeät ja kattavat tiedot siitä, mitä sovelluksen rajat ylittävän yhteentoimivuuden hyödyntäminen tarkoittaa henkilötietojen käsittelyn kannalta. 

Sosiaali- ja terveysvaliokunta yhtyy perustuslakivaliokunnan näkemykseen ja korostaa mobiilisovelluksen käyttäjille annettavan informaation merkitystä. On välttämätöntä, että nyt ehdotettujen säännösmuutosten johdosta sovelluksen toiminnallisuuden muuttuessa sen käyttäjille annetaan suostumuksen antamisen perustaksi myös rajat ylittävään yhteentoimivuuteen liittyen selkeä ja riittävän kattava informaatio siitä, millä tavalla ja mihin tarkoituksiin henkilötietoja käsitellään. Rekisterinpitäjänä Terveyden ja hyvinvoinnin laitoksen tulee huolehtia, että rekisteröityjää informoidaan selkeästi ja kattavasti tietojärjestelmän yhteydessä tapahtuvasta henkilötietojen käsittelystä. Sovelluksen käyttäjiä on informoitava myös siitä, miten henkilötietoja käsitellään tietojärjestelmän rajat ylittävän käytön yhteydessä.  

Säännösten voimassaolon jatkaminen

Covid-19-tartuntaketjujen katkaisua tehostavaa tietojärjestelmää koskevat tartuntatautilain 4 a luvun säännökset ovat voimassa 31.3.2021 asti. Terveyden ja hyvinvoinnin laitoksen on kuitenkin 43 a §:n 5 momentin mukaan huolehdittava, että tietojärjestelmä on käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi. 

Hallituksen esityksessä ehdotetaan 4 a luvun säännösten voimassaoloa jatkettavaksi vuoden 2021 loppuun. Syksyn 2020 aikana covid-19-epidemia on uudelleen selvästi kiihtynyt useimmissa EU-maissa sekä Suomessa. Covid-19-rokotteen kehitystyön etenemisestä huolimatta mobiilisovellusta ja sen taustajärjestelmää tarvitaan edelleen epidemian leviämisen estämiseksi vuoden 2021 aikana.  

Perustuslakivaliokunta toteaa lausunnossaan, ettei sillä ole huomauttamista vapaaehtoisuuteen perustuvan järjestelmän käyttöä määrittävän lainsäädännön voimassaolon pidentämisestä (PeVL 42/2020 vp, s. 3). 

Sosiaali- ja terveysvaliokunta pitää perusteltuna säännösten voimassaolon jatkamista ehdotetulla tavalla vuoden 2021 loppuun. 

VALIOKUNNAN PÄÄTÖSEHDOTUS

Sosiaali- ja terveysvaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 225/2020 vp sisältyvän lakiehdotuksen. 
Helsingissä 3.12.2020 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Markus Lohi kesk 
 
varapuheenjohtaja 
Mia Laiho kok 
 
jäsen 
Kim Berg sd 
 
jäsen 
Kaisa Juuso ps 
 
jäsen 
Noora Koponen vihr 
 
jäsen 
Aki Lindén sd 
 
jäsen 
Hanna-Leena Mattila kesk 
 
jäsen 
Ilmari Nurminen sd 
 
jäsen 
Minna Reijonen ps 
 
jäsen 
Juhana Vartiainen kok 
 
jäsen 
Heidi Viljanen sd 
 
jäsen 
Sofia Virta vihr 
 
varajäsen 
Merja Kyllönen vas 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Päivi Salo