1.1  Bakgrund

I Kina utbröt i början av 2020 en covid-19-epidemi, som orsakas av ett nytt coronavirus. Sjukdomen spred sig snabbt utanför Kina till nästan alla länder i världen. Världshälsoorganisationen WHO klassade covid-19-epidemin som pandemi den 11 mars 2020. På grund av pandemin råder undantagsförhållanden i Finland. Statsrådet fattade beslut om saken den 16 mars 2020 och beslutet gäller tills vidare. 

På grund av covid-19-epidemin har det således i Finland införts flera åtgärder som begränsar medborgarnas grundläggande fri- och rättigheter och vars syfte har varit att trygga befolkningens hälsa samt hälso- och sjukvårdens funktionsförmåga. Trots att regeringen har, för att bekämpa epidemin, beslutat om flera åtgärder som syftar till att förebygga de olägenheter som orsakas av restriktionerna, har begränsningarna också haft skadliga sociala och ekonomiska konsekvenser. 

I statsrådets principbeslut av den 6 maj 2020 om en plan för en hybridstrategi för hantering av covid-19-krisen konstateras det att man genom de restriktioner som vidtagits och de rekommendationer som getts har lyckats tygla epidemins framfart och skydda riskgrupperna. I Finland är det därför möjligt att stegvis övergå till nästa fas i bekämpningen av epidemin. Hybridstrategin innebär en kontrollerad övergång från omfattande restriktioner till allt mer riktade åtgärder och en effektiviserad hantering av epidemin i enlighet med lagen om smittsamma sjukdomar, beredskapslagen och eventuella andra författningar, särskilt i enlighet med principen om att testa, spåra, isolera och behandla. Målsättningen är att med hjälp av hybridstrategin effektivt kunna tygla epidemin på ett sätt som i så liten utsträckning som möjligt har negativa konsekvenser för människor, företag, samhället och tillgodoseendet av de grundläggande fri- och rättigheterna. 

Hybridstrategin för hantering av epidemin grundar sig på kontinuerlig uppföljning och utnyttjande av insamlad inhemsk och internationell forskningsdata.  

Avvecklingar av enskilda restriktioner kan stödjas genom bland annat rekommendationer. I hybridstrategin stöder man sig förutom på hanteringen av restriktioner och den gradvisa avvecklingen även på genomförandet av principen om att testa, spåra, isolera och behandla. Genom omfattande testning, spårning av smittkedjor, isolering av personer som insjuknat och karantän för dem som exponerats går det att förhindra att sjukdomen sprids, dock inte endast med hjälp av dessa åtgärder. Funktionen hos modellen för att testa, spåra, isolera och behandla kan effektiviseras med hjälp av en mobilapplikation som baserar sig på frivillighet och som respekterar integritetsskyddet.  

Det är behövligt att fortsätta följa hybridstrategin för hantering av epidemin till dess att epidemin har fåtts under kontroll på global nivå. Vid beslutsfattandet om hybridstrategin har de epidemiologiska, juridiska och övriga samhälleliga aspekterna av hanteringen av epidemin sammanjämkats på ett så hållbart sätt som möjligt. Regeringen bedömer genomförandet av och tidpunkten för enskilda åtgärder i ljuset av ny information och som en del av den samlade politiska bedömningen.  

Trots att covid-19-epidemins spridning har stannat upp i Finland, betyder det inte att den allvarliga faran är över. Denna lägesbild gör det dock möjligt att gradvis avveckla restriktioner och att vidta alternativa restriktioner och andra åtgärder för att minska de samhälleliga olägenheterna. Vilka restriktioner som ska användas och när de ska användas väljs utifrån en samlad bedömning, så att den positiva effekten på begränsningen av epidemin är så stor som möjligt i förhållande till de negativa sociala och ekonomiska konsekvenser som restriktionerna medför.  

Det är nödvändigt att sörja för smittspårning, isolering av smittade och placering i karantän av personer som eventuellt har exponerats. Informationssystemet som utnyttjar mobil teknik kan vara till hjälp i detta arbete. I enlighet med statsrådets principbeslut påskyndas ibruktagandet av informationssystemet, och målet är att det kan tas i bruk under sommaren. 

Europeiska kommissionen har också den 8 april 2020 utfärdat en rekommendation om användning av mobil teknik i covid-19-krisen (C(2020) 2296 final), och konstaterar att en mobilapplikation avsedd för spårning av smittkedjor sannolikt kan medföra fördelar i hanteringen av krisen. I rekommendationen lyfter Europeiska kommissionen bland annat fram att de grundläggande fri- och rättigheterna ska iakttas vid utarbetandet av applikationerna och att användningen av applikationerna ska vara tidsmässigt begränsad till tiden för den rådande krisen. 

1.2  Beredning

Social- och hälsovårdsministeriet tillsatte den 14 maj 2020 ett projekt för beredning av ibruktagandet av en applikation för spårning av kontakter i anslutning till covid-19-epidemin. För projektet tillsattes en styrgrupp, en arbetsgrupp för att bereda en regeringsproposition med förslag till ändring av lagstiftningen samt en arbetsgrupp för att samordna de nationella synpunkterna i det internationella och nationella samarbetet kring Europeiska kommissionens rekommendation av den 8 april 2020. Enligt beslutet om tillsättande går mandatperioden ut den 31 december2020, men den arbetsgrupp som bereder ändringar i lagstiftningen har haft till uppgift att utarbeta en regeringsproposition om spårningsapplikationen så snart som möjligt.  

Propositionen har beretts i den ovan nämnda arbetsgrupp som bereder regeringspropositionen. I arbetsgruppen ingick företrädare för social- och hälsovårdsministeriet, justitieministeriet, finansministeriet, kommunikationsministeriet och Institutet för hälsa och välfärd. Arbetsgruppen har under arbetets gång hört en sakkunnig från Folkpensionsanstalten och en från Esbo stad. Under beredningen har också dataombudsmannen hörts. 

Propositionen har också behandlats i projektets styrgrupp, där utöver de ovannämnda ministerierna även Institutet för hälsa och välfärd, Vasa sjukvårdsdistrikt, Päijät-Hämeen hyvinvointikuntayhtymä, Helsingfors och Nylands sjukvårdsdistrikt, Helsingfors stad samt Finlands Kommunförbund var representerade.  

På grund av propositionens brådskande natur har det varit nödvändigt att frångå anvisningarna om hörande i samband med lagberedningen. Om propositionen har begärts utlåtanden i två faser enligt följande:  

Regeringens proposition baserar sig på social- och hälsovårdsministeriets färdplan för ibruktagande av en applikation för spårning av närkontakter som stöd för hanteringen av covid-19-epidemin. Regeringen behandlade färdplanen den 22 april 2020, varefter utlåtanden begärdes om beredningsmaterialet. Begäran om utlåtande publicerades den 28 april 2020 och svarstiden gick ut den 5 maj 2020. Sammanlagt inkom 63 svar. Den största gruppen av respondenterna var representanter för ämbetsverk och inrättningar inom statsförvaltningen (21 respondenter). Från aktörer inom social- och hälsovården inkom sammanlagt 12 svar. Dessutom var begäran om utlåtande av allmänt intresse bl.a. för universitet, företag och privatpersoner. Av utlåtandena gjordes ett sammandrag som finns tillgängligt på adressen https://stm.fi/sv/projektet?tunnus=STM053:00/2020. 

Utkastet till regeringens proposition publicerades i den elektroniska utlåtandetjänsten den 26 maj 2020. Begäran om utlåtande sändes till flera mottagare. Svarstiden gick ut den 1 juni 2020. Sammanlagt inkom 52 utlåtanden. Remissinstanserna var aktörer inom social- och hälsovården, statliga myndigheter, kommuner och andra aktörer, såsom olika förbund och organisationer. Av utlåtandena gjordes ett sammandrag som finns tillgängligt på adressen https://stm.fi/sv/projektet?tunnus=STM056:00/2020. 

Propositionen har behandlats i delegationen för kommunal ekonomi och kommunalförvaltning den 29 maj 2020. 

3.1  Allmän beskrivning av informationssystemet

Med hjälp av det föreslagna informationssystemet kan man spåra upp dem som eventuellt exponerats för sjukdomen genom att utnyttja de mobila enheternas bluetooth-teknik så att det i enheterna sparas uppgifter om möten mellan personer. Informationssystemet består av mobilapplikationer som personer frivilligt tar i bruk och av ett bakomliggande system som förvaltas av Institutet för hälsa och välfärd. Informationssystemet sparar individuella pseudonyma identifierare, vilket innebär att enskilda personer som varit i närkontakt med varandra inte kan identifieras direkt utifrån dem. Informationssystemet sparar inte geografisk information. Figur 1 nedan sammanfattar principen för hur informationssystemet fungerar.  

Figur 1. Principen för hur informationssystemet fungerar 

När personer som har tagit i bruk mobilapplikationen möts, sparar mobilapplikationerna decentraliserat varandras starkt krypterade uppgifter om kontakt i användarnas mobila enheter. De uppgifter om kontakter som sparas är individuella pseudonyma identifierare, tidpunkten och varaktigheten för mötet samt styrkan hos bluetooth-signalen vid mötet. Enskilda personer kan inte identifieras direkt utifrån uppgifterna om kontakter, och personerna själva får inte se de uppgifter om kontakter som mobilapplikationen sparat.  

Om en person som har tagit i bruk applikationen bekräftas vara smittad av covid-19, får personen vid sin kontakt med hälso- och sjukvården i kommunen eller i samkommunen för sjukvårdsdistriktet en öppningskod med hjälp av vilken han eller hon kan förmedla sin egen pseudonyma identifierare till det bakomliggande systemet. Öppningskoden kan innehålla uppgift om från och med vilken tidpunkt personen har kunnat sprida smittan. Om personen matar in sin öppningskod i mobilapplikationen, sänds de pseudonyma identifierarna från mobilapplikationen till det bakomliggande systemet som förvaltas av en myndighet. Det bakomliggande systemet registrerar den smittade personens pseudonyma identifierare och för en förteckning över alla smittade personers pseudonyma identifierare. När andra personers mobilapplikationer kontaktar det bakomliggande systemet sänder systemet de smittade personernas pseudonyma identifierare till applikationen i samtliga användares telefoner. Applikationen i telefonen jämför de smittade personernas pseudonyma identifierare med de pseudonyma identifierare som sparats i telefonen vid möten med mobilapplikationer och härleder på basis av en jämförelse om exponering eventuellt har skett. Om en eventuell exponering har skett, ska applikationen meddela personen detta och ge honom eller henne anvisningar.  

Personen får inte se den smittade personens pseudonyma identifierare eller information om tidpunkten för en eventuell exponering. Efter detta kan den som eventuellt har exponerats för smitta själv, om han eller hon så önskar, dela uppgifterna om sin eventuella exponering, sina eventuella symtom och sina kontaktuppgifter (namn, telefonnummer, hemkommun och vid behov tillfällig bostadsort) till de behöriga myndigheterna inom hälso- och sjukvården. De uppgifter som personen lämnat ska sparas i ett temporärt register som skapats för detta ändamål för att personen ska kunna kontaktas. Om en person kontaktas, görs eventuella anteckningar i journalhandlingarna inom hälso- och sjukvården, på vilka bestämmelserna i patientlagen tillämpas. 

Uppgifterna om kontakter raderas från de mobila enheterna senast 21 dygn från det att de registrerades. De pseudonyma identifierarna för smittade personer raderas också ur det bakomliggande systemet senast 21 dygn från det att de registrerades. Dessa tidsgränser kan behöva ses över om det kommer fram nya uppgifter om hur viruset beter sig. Uppgifterna får enligt förslaget sparas i högst 21 dygn på basis av den nuvarande informationen, men det ska vara möjligt att radera dem också tidigare. Enligt principen om lagringsminimering i allmänna dataskyddsförordningen får uppgifter inte behandlas under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Om en person raderar applikationen från sin telefon, raderas uppgifterna i telefonen samtidigt. 

4.1  De viktigaste förslagen

I Finland är smittspårning samt isolerings- och karantänåtgärder enligt lagen om smittsamma sjukdomar effektiva metoder för att begränsa och bekämpa spridningen av covid-19-epidemin. Åtgärderna enligt lagen om smittsamma sjukdomar kan stödjas genom det föreslagna informationssystemet. Utgångspunkten för hanteringen av situationen med en smittsam sjukdom är att identifiera den som insjuknat och att med hjälp av effektiv och snabb smittspårning få information om personens närkontakter och dem som eventuellt exponerats för smitta. Informationssystemet effektiviserar möjligheterna att spåra upp personer som eventuellt exponerats tidigare än för närvarande. Effektiv och snabb spårning av exponerade spelar en nyckelroll när man vill lätta på begränsningsåtgärderna. Om informationssystemet, som utnyttjar mobil teknik, kan bidra till att effektivisera spårningen av de exponerade, kan man rikta åtgärder som förhindrar att sjukdomen sprids, såsom anvisningar från hälso- och sjukvården, direkt till dem. Således kan ibruktagandet av informationssystemet i bästa fall minska behovet av begränsningar som allmänt riktar sig till hela befolkningen.  

Med hjälp av det föreslagna informationssystemet kan man spåra upp potentiella exponerade personer som varit i närkontakt med en smittspridare och snabbare informera dem om att de blivit exponerade. Med hjälp av informationssystemet är det möjligt att kartlägga och spåra upp dem som varit i närheten av den smittade tillräckligt länge och som således eventuellt utsatts för viruset effektivare än enbart med hjälp av smittspårning enligt lagen om smittsamma sjukdomar. Med hjälp av informationssystemet kan man spåra upp också sådana applikationsanvändare i vars närhet den smittade personen inte minns att han eller hon varit eller som han eller hon inte själv känner och som annars inte skulle kunna spåras upp. För att man inom hälso- och sjukvårdssystemet ska kunna dra nytta av informationssystemet och uppnå kostnadseffektivitet är det viktigt att resurserna riktas på ett ändamålsenligt sätt till att med hjälp av kontaktbegäran spåra upp dem som eventuellt exponerats och till fortsatta åtgärder som behövs för dem. Genom att effektivt rikta åtgärderna till dem som eventuellt exponerats kan man i viss mån också undvika onödiga kostnader som orsakas av allmänna åtgärder eller begränsningar som riktas till alla.  

Det arbete för att hantera covid-19-epidemin som i Finland utförs av smittskyddsläkarna och hälso- och sjukvårdens servicesystem stöds för närvarande inte ännu med nationella lösningar som utnyttjar mobil teknik. Expertsynpunkter har i olika sammanhang lyft fram möjligheten att med hjälp av en mobilapplikation som personen har tagit i bruk kartlägga och spåra upp personer som varit i närkontakt med någon som har insjuknat i coronavirussjukdomen. För närvarande baserar sig den kontakt som yrkesutbildade personer som utreder en smittsam sjukdom tar med de exponerade på sådana uppgifter om närkontakter och på sådana kontaktuppgifter den insjuknade lämnat. Således fås ingen information om sådana exponerade personer som den smittade personen inte känner personligen eller som den smittade inte längre i efterhand kommer ihåg att han eller hon har träffat. Syftet med mobilapplikationen är att spåra upp i synnerhet dessa personer som potentiellt exponerade. 

Redan i nuläget kan en person göra en symtombedömning i den nationella Omaolo.fi-tjänsten och via den hänvisas till att kontakta hälso- och sjukvården. Hälso- och sjukvårdspersonalen kan då utifrån en bedömning av servicebehovet hänvisa personen till ett test. Testprocessen kan inledas också när en person spåras upp genom sådan spårning av exponerade som utförs enligt lagen om smittsamma sjukdomar. Syftet med testningen är att förhindra att sjukdomen sprids genom att isolera den som blivit smittad av covid-19, skydda riskgrupperna, säkerställa att det finns tillräckligt med personal för kritiska arbetsuppgifter och trygga att hälso- och sjukvården är bärkraftig, stödja spårningen av smittkedjor samt stödja bildandet av en lägesbild av epidemins förlopp. Denna information är viktig när nödvändigheten, proportionaliteten och varaktigheten av olika begränsningsåtgärder bedöms. Ibruktagandet av mobilapplikationen kan bedömas öka testningen av sjukdomen och därmed också konstaterandet av sjukdomen, vilket också ger information om lägesbilden av sjukdomens spridning. 

Med hjälp av mobilapplikationen kan individernas frivilliga deltagande i bromsandet av epidemin stödjas och effektiviseras. Utgångspunkten för ibruktagandet av applikationen är att man har förtroende för den på myndighetsansvar baserade applikationen och att användningen av applikationen är frivillig. När det gäller den föreslagna applikationen baserar sig förtroendet på att informationssystemet och den mobilapplikation som ingår i det tillhandahålls av Institutet för hälsa och välfärd, som enligt lagen om smittsamma sjukdomar också i övrigt är nationell sakkunniginrättning för bekämpningen av smittsamma sjukdomar. Det är möjligt att det på marknaden kommer ut också andra system eller lösningar som lämpar sig för smittspårning, men på dem tillämpas inte den lagstiftning som här föreslås och de omfattas således inte av det myndighetsansvar som föreslås i propositionen. Dessutom har den aktiveringskod som den smittade matar in i applikationen fåtts av hälsovårdsmyndigheterna, vilket betyder att man via applikationen inte kan sprida information om smitta utan att smittan har konstaterats inom hälso- och sjukvården. När det gäller det informationssystem som avses i propositionen baserar sig förtroendet också på att uppgifterna i enlighet med de föreslagna bestämmelserna samlas in och sparas endast i så liten omfattning och en så kort tid som behövs och att uppgifterna inte används för andra ändamål. 

Med hjälp av det föreslagna informationssystemet och den mobilapplikation som ingår i det får en person som fått uppgifter om eventuell exponering information till stöd för sitt handlande. Med hjälp av applikationen kan man förmedla inte bara uppgifter om exponering utan också anvisningar. En person kan på eget initiativ undvika kontakt med andra så snart som möjligt efter att ha fått kännedom om sin eventuella exponering.  

I nuläget baserar sig spårningen av exponerade på lagen om smittsamma sjukdomar. Enligt 22 § i den lagen är den som insjuknat eller med fog misstänks ha insjuknat skyldig att meddela den läkare som utreder saken namnen på de personer som eventuellt kan vara smittkälla eller som kan ha blivit smittade. Enligt 60 § i den gällande lagen om smittsamma sjukdomar kan den läkare i tjänsteförhållande som i kommunen ansvarar för smittsamma sjukdomar eller den läkare i tjänsteförhållande som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar besluta att en person ska hållas i karantän i högst en månad. Beslut om karantän kan meddelas den som konstaterats eller med fog misstänks ha utsatts för en allmänfarlig smittsam sjukdom.  

Med hjälp av det föreslagna informationssystemet kan beslut om karantän enligt lagen om smittsamma sjukdomar meddelas effektivare än för närvarande, eftersom man med hjälp av den mobilapplikation som personen tagit i bruk kan få information om en större mängd personer som eventuellt exponerats än för närvarande. Dessutom kan information om eventuell exponering i många fall fås snabbare än för närvarande. Det ska dock vara frivilligt att ta i bruk och använda mobilapplikationen, och den som använder applikationen är inte skyldig att i enlighet med 22 § i lagen om smittsamma sjukdomar lämna sådan information om eventuell exponering som han eller hon fått med hjälp av applikationen. Den information som mobilapplikationen ger om eventuell exponering kan dock inte ensam utgöra en sådan befogad misstanke som avses i 60 § i lagen om smittsamma sjukdomar om att en person har utsatts för en allmänfarlig smittsam sjukdom, utan det ska också finnas andra bevis på exponeringen. När mobilapplikationen används går det inte att med säkerhet identifiera exponeringen, eftersom applikationen inte kan identifiera alla rådande omständigheter som påverkar exponeringen. 

Även om mobilapplikationen tas i bruk är avsikten att även i fortsättningen arbeta med spårningen av smittkedjor på samma sätt som för närvarande, dvs. att den som utför spårningsarbetet per telefon tar kontakt med en person som eventuellt exponerats eller dennes lagliga företrädare. På patientens ställning och rättigheter samt på anteckningar i journalhandlingarna ska bestämmelserna i patientlagen tillämpas. 

Allmänna dataskyddsförordningen och det handlingsutrymme den medger

Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig, och i den nationella allmänna lag som kompletterar den, dvs. dataskyddslagen (1050/2018).  

Med personuppgifter avses enligt allmänna dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. Som identifierbar betraktas en fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Med pseudonymisering avses behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Pseudonymiserade uppgifter eller annars pseudonyma uppgifter är dock personuppgifter och på dem ska dataskyddslagstiftningen därför tillämpas. 

För behandlingen av personuppgifter ska det finnas en sådan allmän rättslig grund som avses i artikel 6 i allmänna dataskyddsförordningen. Den rättsliga grund som bäst lämpar sig för behandling av personuppgifter i samband med informationssystemet är artikel 6.1 e i allmänna dataskyddsförordningen, där det anges att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen kan dock inte direkt basera sig på nämnda punkt i allmänna dataskyddsförordningen, utan enligt artikel 6.3 i den förordningen ska grunden för behandlingen fastställas antingen i enlighet med unionsrätten eller med en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Eftersom det inte finns någon lagstiftning på området, ska det föreskrivas särskilt om behandlingen av personuppgifter i samband med mobilapplikationen. 

När behandlingen av personuppgifter grundar sig på artikel 6.1 e i allmänna dataskyddsförordningen ska medlemsstatens nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas så som föreskrivs i artikel 6.3 i den förordningen. Den föreslagna mobilapplikationen kan under den rådande covid-19-epidemin anses uppfylla ett mål av allmänt intresse och vara proportionell mot det mål som eftersträvas med den med beaktande av de fördelar som uppnås med informationssystemet och som beskrivs närmare i propositionen. Enligt artikel 6.3 i allmänna dataskyddsförordningen kan det i den rättsliga grunden för behandlingen föreskrivas t.ex. om de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, för vilka ändamål personuppgifter får lämnas ut, lagringstid samt typer av behandling och förfaranden för behandling. 

I samband med informationssystemet behandlas också uppgifter om hälsa. De betraktas som sådana i artikel 9 i allmänna dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter och vars behandling i princip är förbjuden. Behandling av sådana uppgifter är tillåten endast om det utöver den allmänna behandlingsgrunden enligt artikel 6.1 i den förordningen finns en sådan särskild behandlingsgrund som avses i artikel 9.2.  

Enligt artikel 9.2 i i allmänna dataskyddsförordningen är behandling av uppgifter om hälsa tillåten när det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan. Behandlingen av uppgifter om hälsa i samband med informationssystemet kan grunda sig på denna punkt i allmänna dataskyddsförordningen. Också i detta fall förutsätts dock lagstiftning om saken och det ska dessutom föreskrivas om lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter och friheter. I skäl 52 i ingressen till allmänna dataskyddsförordningen nämns som en grund för behandling av uppgifter om hälsa att förebygga eller kontrollera smittsamma sjukdomar och andra allvarliga hot mot hälsan. 

Riksdagens grundlagsutskott har påpekat att nationell speciallagstiftning om skydd för personuppgifter bör reserveras för situationer då den är dels tillåten enligt allmänna dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter. Grundlagsutskottet har i den konstitutionella bedömningen av behandlingen av personuppgifter ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer. Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För bestämmelser i lag gäller i sin tur det generella kravet att lagen ska vara exakt och noga avgränsad.  

Vid bedömningen av behovet av speciallagstiftning och hur pass detaljerad den ska vara ska man också i enlighet med det riskbaserade synsätt som krävs enligt allmänna dataskyddsförordningen också beakta de hot och risker som behandlingen av uppgifterna medför. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat anses det vara med mer detaljerade bestämmelser. Särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, vilket inneburit t.ex. att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt inskränkningarnas acceptabilitet och proportionalitet. Det bör finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. 

Med beaktande av att behandlingen av personuppgifter inom informationssystemet avses gälla en stor grupp av personer, att de uppgifter om hälsa som behandlas hör till särskilda kategorier av personuppgifter samt att behandlingen av uppgifter även i övrigt medför risker, finns det skäl att i de bestämmelser som gäller informationssystemet och den behandling av personuppgifter som sker i samband med det föreskriva om behandlingen av personuppgifter tillräckligt detaljerat och noggrant avgränsat inom ramen för det regleringsutrymme som allmänna dataskyddsförordningen medger. Dessutom ska det föreskrivas om lämpliga skyddsåtgärder i enlighet med artikel 9.2 i i allmänna dataskyddsförordningen. 

4.2  De huvudsakliga konsekvenserna

Samhälleliga konsekvenser

Det informationssystem som syftar till att effektivisera spårning och brytande av smittkedjor för sjukdomen covid-19 har samhälleliga konsekvenser. Den som tar i bruk mobilapplikationen kan själv delta i och påverka den allmänna kontrollen av sjukdomen covid-19. Människor har vanligen behov av att bedöma sina egna symtom och få tillförlitlig hälsoinformation. En person har dessutom behov av att få information om sin eventuella exponering, så att han eller hon utan dröjsmål kan vidta frivilliga åtgärder för att förhindra eventuell spridning av smitta. Människor kan således sörja inte bara för sin egen hälsa utan också för hälsan i sin närmiljö, eftersom applikationen också kan förmedla information till dem som eventuellt exponerats för viruset. Informationssystemet kan också ha konsekvenser för hälso- och sjukvårdsverksamheten, eftersom arbetet med att spåra smitta kan gå snabbare när de personer som har tagit i bruk mobilapplikationen meddelar hälso- och sjukvården om att de eventuellt har exponerats.  

Ekonomiska konsekvenser

Det informationssystem som syftar till att effektivisera spårning och brytande av smittkedjor för covid-19 har ekonomiska konsekvenser. Informationssystemet och utvecklandet och förvaltandet av den mobilapplikation och de bakomliggande system som ingår i systemet medför kostnader. Kostnader orsakas också av att information förmedlas till allmänheten om möjligheten att använda mobilapplikationen och om annan kommunikation i anslutning till användningen av informationssystemet. Dessutom kan ändringar i verksamhetsmodellen leda till ett behov att utveckla även andra informationssystem som används i spårningsverksamheten. I den tredje tilläggsbudgeten föreslås ett anslag på 6 miljoner euro för genomförandet av denna helhet. Befolkningen använder applikationen i sina smarttelefoner, och användningen av applikationen medför i princip inga extra kostnader.  

Mobilapplikationen kan ha konsekvenser för smittspårningsverksamheten. Applikationen kan effektivisera spårningen genom att göra det möjligt att spåra upp de exponerade i större utsträckning och snabbare än för närvarande. Man kan då delvis undvika de samhälleliga kostnader i anslutning till eventuellt insjuknande som orsakas av sådana exponerade personer som inte kan spåras upp med nuvarande metoder. Med hjälp av det föreslagna informationssystemet kan man undvika de samhälleliga kostnader som spridningen av covid-19-epidemin orsakar när smittkedjorna snabbare kan brytas. Sådana kostnader är bl.a. samhälleliga kostnader i anslutning till vården av insjuknade och till beslut om karantän. Dessa kostnader kan potentiellt vara mycket höga om epidemin sprids ytterligare.  

Syftet med mobilapplikationen är också att spåra upp en större krets av personer som eventuellt exponerats än för närvarande, vilket innebär att kontaktandet av dem och utredningen av deras situation samt eventuella beslut om karantän medför mer arbete i anslutning till spårningen och därmed ökar de direkta kostnaderna för spårningsverksamheten i kommunerna och samkommunerna för sjukvårdsdistrikten.  

Eftersom det föreslagna informationssystemet inte samlar in geografisk information och inte gör det möjligt att på ett identifierbart sätt koppla ihop en smittad person och en eventuell exponerad person med varandra, kan systemet inte användas för att identifiera vilka exponeringar som är kopplade till varandra i kedjor eller grupper. Emellertid ökar antalet personer som behöver kontaktas. Detta medför behov av tilläggsresurser för spårningsarbetet och därigenom extra kostnader. Kostnader föranleds dessutom av en eventuellt mer omfattande testning av exponerade och av beslut om karantän. Kostnader föranleds också av att Folkpensionsanstalten beviljar dagpenning vid smittsam sjukdom till ett eventuellt större antal personer som meddelats beslut om karantän.  

Kommunen är enligt 9 § i den gällande lagen om smittsamma sjukdomar skyldig att inom sitt område ordna bekämpningen av smittsamma sjukdomar på det sätt som föreskrivs i folkhälsolagen (66/1972), hälso- och sjukvårdslagen (1326/2010) och lagen om smittsamma sjukdomar. Kommunerna och samkommunerna för sjukvårdsdistriktet ansvarar i enlighet med 23 § i den gällande lagen om smittsamma sjukdomar också för utredning av epidemier och spårningsverksamhet i anslutning till smittsamma sjukdomar. Enligt 1 mom. i den paragrafen ska den läkare som i kommunen ansvarar för smittsamma sjukdomar utreda lokala epidemier och spåra smittan. Enligt 2 mom. i den paragrafen styr den läkare som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar utredningen av epidemier och smittspårningen inom samkommunen för sjukvårdsdistriktet samt utför utredning av en utbredd epidemi i samarbete med kommunerna. Kommunernas uppgifter enligt lagen om smittsamma sjukdomar är statsandelsåligganden enligt 1 § i lagen om statsandel för kommunal basservice (1704/2009). Propositionen innehåller dock inga nya uppgifter eller skyldigheter för kommunerna eller samkommunerna för sjukvårdsdistrikten och de nuvarande uppgifterna utvidgas inte. Kommunens uppgifter förblir oförändrade till följd av propositionen.  

Med tanke på uppgifterna för kommunen och samkommunen för sjukvårdsdistriktet ger det på mobilteknik baserade informationssystemet kommunerna och samkommunerna för sjukvårdsdistriktet effektivare information än för närvarande om de exponerade personer vars spårning, testning och eventuella vård redan i enlighet med den gällande lagen om smittsamma sjukdomar, folkhälsolagen och hälso- och sjukvårdslagen hör till kommunen och samkommunen för sjukvårdsdistriktet.  

Det finns också ekonomiska konsekvenser som är indirekta och de kan uppstå genom att man snabbare och i större utsträckning kan spåra upp de exponerade i och med att de snabbare får anvisningar och meddelas eventuella beslut om test eller karantän, vilket ökar möjligheterna för att hindra att sjukdomen sprids. Om man effektivare än för närvarande kan stoppa spridningen av sjukdomen, uppnås kostnadsfördelar i form av lägre vårdkostnader och mindre belastning på hälso- och sjukvårdssystemet. Dessutom främjar det föreslagna informationssystemet möjligheterna att lätta på andra restriktioner. Detta kan också minska de direkta och indirekta kostnader som restriktionerna medför för samhället och som kan vara ansenliga. 

Det är svårt att exakt uppskatta de ovan konstaterade ekonomiska kostnaderna och deras kostnadsnytta i euro. Dessa påverkas av flera olika faktorer. Propositionens konsekvenser beror framför allt på i vilken utsträckning mobilapplikationen tas i bruk bland befolkningen. Detta påverkas i synnerhet av förtroendet bland befolkningen för att systemet fungerar samt på epidemins aktuella omfattning. Om epidemiläget förblir lugnt är det sannolikt att mobilapplikationen tas i bruk endast i liten utsträckning. Om epidemin utvidgas väsentligt tas applikationen sannolikt i bruk i större utsträckning. Enskilda beslut om ibruktagande påverkas sannolikt också av den upplevda otrygghetskänslan i anslutning till spridningen av sjukdomen. 

Det möjliga antalet personer som tar i bruk applikationen kan i fortsättningen bedömas noggrannare i samband med genomförandet och testningen av informationssystemet. Också de uppgifter som fås från försöket med ett mobilapplikationsprojekt för att spåra sjukdomen covid-19, som pågick inom Vasa sjukvårdsdistrikt, kan utnyttjas i denna bedömning.  

Även internationellt sett är det föreslagna tillvägagångssättet att spåra upp dem som exponerats för smitta nytt, och det finns knappt några erfarenheter av dess konsekvenser. De stater som först tog i bruk ett motsvarande system, såsom Singapore och Australien, har byggt upp sina system utifrån en s.k. centraliserad modell och denna modell har ansetts förknippad med osäkerhet om huruvida dataskyddet tillgodoses. Ibruktagandet av systemet och därmed också resultaten i dessa länder har inte motsvarat förväntningarna, och detta är en orsak till att den lösning som föreslås i denna proposition baserar sig på en s.k. decentraliserad modell. I den decentraliserade modellen behandlas personuppgifter i mindre utsträckning. Det finns ännu inga användarerfarenheter av den föreslagna modellen från andra länder. 

Institutet för hälsa och välfärd ska i genomförande- och testfasen bedöma behovet av nationella anvisningar för kommunerna och samkommunerna om behandlingen av de uppgifter om exponering som fåtts med hjälp av det föreslagna informationssystemet. Enbart den information som informationssystemet ger om en eventuell exponering kan dock inte utgöra en sådan i 60 § i lagen om smittsamma sjukdomar avsedd befogad misstanke om att en person har utsatts för en allmänfarlig smittsam sjukdom, till följd av vilken personen kan meddelas beslut om karantän, utan det ska också finnas andra bevis på exponering. Mobilapplikationen kan inte med säkerhet identifiera att exponering har skett, eftersom den inte känner till alla omständigheter som påverkar exponeringen. Med hjälp av det på mobilteknik baserade informationssystemet är det möjligt att effektivare än för närvarande spåra upp sådana exponerade personer som den smittade inte känner eller inte kommer ihåg att han eller hon har träffat. Ett avsevärt antal sådana exponerade kan eventuellt spåras upp beroende på omfattningen av mobilapplikationens ibruktagande, sjukdomsläget samt applikationens tekniska egenskaper och tillförlitlighet när det gäller identifiering av exponerade. En del av de identifierade kan vara sådana att det utifrån de kontakter som tas i samband med spårningen inte framgår något annat om dem som tyder på exponering eller smitta än den information som fåtts med hjälp av mobilapplikationen. Då har den läkare som ansvarar för smittsamma sjukdomar eller någon annan yrkesutbildad person inom hälso- och sjukvården som utför spårningsarbete inga andra uppgifter till stöd för det beslutsfattande som grundar sig på en medicinsk bedömning än att användarens mobilapplikation har informerat om att personen eventuellt exponerats för smitta. En del av dem som fått information via applikationen kan däremot ha annan information som påverkar eventuell exponering och som framgår av spårningsarbetet. Riktlinjerna kan även ha konsekvenser för de direkta och indirekta kostnader och kostnadsfördelar för de offentliga finanserna som propositionen medför.  

Enligt propositionen ska Transport- och kommunikationsverkets cybersäkerhetscenter bedöma informationssäkerheten i informationssystemet. Enligt en preliminär bedömning tar bedömningen av informationssäkerheten i informationssystemet cirka fyra veckor i anspråk och kostnaderna för bedömningen beräknas vara ungefär 80 000 euro. 

Tillstånds- och tillsynsverket för social- och hälsovården ska enligt vad som föreslås utöva tillsyn över informationssäkerheten i informationssystemet. Redan nu utövar Tillstånds- och tillsynsverket för social- och hälsovården tillsyn över kraven på informationssäkerhet enligt lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) och lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019). För den nuvarande tillsynen har det reserverats ett årsverke. Tillstånds- och tillsynsverket för social- och hälsovården bör reserveras tilläggsresurser för tillsynsuppgifter enligt den föreslagna lagen för den tid lagen är i kraft och för den verkställighet av lagen som föregår lagens ikraftträdande. 

Bedömning av konsekvenser för befolkningen

Det ska vara avgiftsfritt och frivilligt för befolkningen att ta i bruk och använda den mobilapplikation som effektiviserar spårningen och brytandet av smittkedjor för covid-19. För att använda mobilapplikationen krävs det en smarttelefon, och alla har inte tillgång till en sådan. För att ta i bruk applikationen kan det också krävas särskilda datatekniska färdigheter. I Finland använder av 99 procent av hushållen en mobiltelefon och 90 procent av hushållen använder en dator eller pekplatta. Nästan alla under 44-åringar har tillgång till en smarttelefon. Av 45–65-åringarna har över 90 procent en smarttelefon och för 65–74-åringarna är motsvarande siffra 63 procent. Av 75–89-åringarna har bara 27 procent en smarttelefon. För att applikationen ska vara till nytta på befolkningsnivå måste den användas i tillräckligt täckande grad av befolkningen. Om målet är att 60 procent av befolkningen ska använda applikationen, innebär det att 3,3 miljoner personer ska ladda ner applikationen inom en kort tid.  

Användningen av applikationen ska grunda sig på eget beslutsfattande och egen aktivitet av användaren när applikationen används, och då ska man beakta personens möjlighet att använda applikationen självständigt eller med stöd samt att förstå applikationens betydelse bl.a. med tanke på dataskyddet. I samband med användningen av mobilapplikationen går det att särskilja å ena sidan nedladdning av applikationen från applikationsbutiken och användning av applikationen i telefonen och å andra sidan förmedling till hälso- och sjukvården av de uppgifter om eventuell exponering som fåtts via applikationen.  

Ibruktagandet av applikationen innebär att användarens personuppgifter kommer att behandlas, varvid bestämmelserna om dataskydd och olika persongruppers möjligheter att förstå hur de personuppgifter som gäller honom eller henne behandlas ska beaktas. Genom att sända en begäran om kontakt med hjälp av applikationen kan användaren lämna ut en eventuell uppgift om exponering som fåtts via informationssystemet till en verksamhetsenhet inom hälso- och sjukvården, om han eller hon beslutar att göra detta. Vid behandlingen av uppgifter om exponering inom hälso- och sjukvården tillämpas patientlagen. 

Vilken nytta människor upplever att de får av att använda applikationen samt hur väl människor känner till den behandling av personuppgifter som hänger samman med applikationen inverkar på i hur omfattande utsträckning applikationen tas i bruk. Detta kan i väsentlig grad påverkas genom information om applikationens funktion riktad till befolkningen. I samband med förverkligandet av det föreslagna informationssystemet är det möjligt att genom kommunikativa metoder stödja omfattningen av ibruktagandet av applikationen och på så sätt effektivisera de fördelar som eftersträvas med propositionen.  

Grundlagsutskottet har vid bedömningen av den lagstiftning som utfärdats med stöd av befogenheterna enligt beredskapslagen särskilt betonat betydelsen av konventionen om barnets rättigheter och konventionen om rättigheter för personer med funktionsnedsättning samt av Europeiska sociala stadgan när det gäller äldre personers rättigheter. Dessutom har utskottet framhållit att de diskrimineringsförbud som ingår i grundlagen och i internationella människorättskonventioner ska beaktas vid tillämpningen av lagstiftningen (GrUB 4/2020 rd och GrUB 15/2020 rd). Dessa omständigheter har betydelse också med tanke på denna proposition. Därför kommer konsekvenserna för dessa grupper av personer att bedömas separat nedan. 

Bedömning av konsekvenser för barn

I Finland har många barn en smarttelefon och det ska vara möjligt att ladda ner mobilapplikationen från applikationsbutiken utan någon särskild åldersgräns, varvid åldersgränsen i huvudsak bestäms i enlighet med den åldersgräns som uppställts av applikationsbutiken. I samband med nedladdningen av applikationen ska det finnas information om för hur gamla barn applikationen lämpar sig. När mobilapplikationen tas i bruk är det inte fråga om tillhandahållande av informationssamhällets tjänster enligt artikel 8 i den allmänna dataskyddsförordningen, och därför tillämpas inte den åldersgräns på 13 år som fastställts nationellt med stöd av förordningen. Således bestäms samtycket till behandling av personuppgifter för en minderårig person i enlighet med övrig nationell lagstiftning: när det är fråga om ett ärende som gäller en minderårig person utövas beslutanderätten av hans eller hennes vårdnadshavare (4 och 5 § i lagen angående vårdnad om barn och umgängesrätt, 361/1983). 

Likaledes är det i samband med nedladdningen av applikationen viktigt att beakta barnets möjlighet att förstå hur hans eller hennes personuppgifter behandlas i samband med användningen av applikationen. Barnet har rätt till privatliv och kan inte nödvändigtvis bedöma hur hans eller hennes uppgifter behandlas i samband med användningen av applikationen och därefter. All information och kommunikation som avser behandling av uppgifter och som är riktad till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. 

Patientlagen tillämpas om ett barn som använder applikationen eller hans eller hennes förälder beslutar att meddela hälso- och sjukvården om de uppgifter om eventuell exponering som fåtts via applikationen. Det finns ingen fastställd åldersgräns i patientlagen, utan den minderårigas självbestämmanderätt är bunden till hans eller hennes ålder och utvecklingsnivå samt till den förmåga att fatta beslut om sin vård som följer av dessa. Vården av en minderårig patient ska enligt 7 § i patientlagen ske i samförstånd med patienten, om han eller hon med beaktande av ålder eller utveckling kan fatta beslut om vården. Om en minderårig patient inte kan fatta beslut om sin vård, ska han eller hon vårdas i samförstånd med sin vårdnadshavare eller någon annan laglig företrädare.  

Det bör däremot beaktas att alla barn inte har tillgång till en smarttelefon eller att barnets vårdnadshavare kan begränsa barnets möjligheter att ladda ner applikationer. Tillgängligheten tillgodoses således inte nödvändigtvis för alla barn och applikationen får inte ersätta andra spårningsåtgärder. Den aktör som spårar smittkedjorna tar även i framtiden kontakt med ett barn som eventuellt exponerats eller barnets föräldrar per telefon. Den läkare som ansvarar för att spåra smittkedjan bedömer enligt 7 § i patientlagen barnets förmåga att fatta beslut om sin vård. Läkaren kan under vården i enlighet med patientlagen besluta om huruvida barnet är kapabelt att själv fatta beslut om sin vård eller om barnets vårdnadshavare har beslutanderätt i ärendet. 

Utgångspunkten för förverkligandet av mobilapplikationen ska vara att förverkligandet av applikationen så fullt ut som möjligt tryggar barnets rätt till privatliv, delaktighet, tillgång till information och bästa möjliga hälsotillstånd. Informationssystemet förverkligas också med beaktande av barnens behov, så att det också erbjuder barnen en möjlighet att medverka till att stoppa spridningen av coronaviruset och en kanal för snabb information om eventuell exponering. Om informationssystemet förverkligas på detta sätt bidrar det således till att främja tillgodoseendet av barnets rättigheter i denna epidemisituation. 

Applikationen ska vara enkel att använda så att också barn ska ha möjlighet att dra nytta av applikationen. Vid nedladdningen av applikationen ska informationen om behandlingen av uppgifterna formuleras på ett ändamålsenligt sätt även på lättläst språk, med beaktande av olika åldersnivåer. Även barn har rätt att få information om epidemin. Den information som förmedlas via applikationen ska vara begriplig på ett sätt som motsvarar barnets ålder. Det är viktigt att också de anvisningar som fås via applikationen om hur man ska agera när man får exponeringsinformation utarbetas på ett tydligt sätt. Det centrala är att ge den minderåriga råd att agera på ett sätt som tryggar hans eller hennes intressen i samband med att han eller hon har fått eventuella exponeringsuppgifter via applikationen.  

Konsekvenser för ställningen för äldre personer och personer med funktionsnedsättning

I Finland har många äldre människor eller alla personer med funktionsnedsättning inte tillgång till en smarttelefon. Många har behov av stöd av en annan person när de använder en smarttelefon. Om applikationen förverkligas även med beaktande av behoven för äldre personer och personer med funktionsnedsättning, erbjuder den också dem möjlighet att medverka till att stoppa spridningen av coronaviruset och en kanal för snabb information om eventuell exponering.  

Enligt det som konstateras ovan tar i praktiken den aktör som spårar smittkedjorna fortfarande kontakt med en person som har exponerats eller dennes lagliga företrädare per telefon, och mobilapplikationen ersätter inte denna kontakt. Den läkare som ansvarar för spårningen av smittkedjan bedömer personens förmåga att fatta beslut om sin vård i enlighet med 6 § 2 och 3 mom. i patientlagen samt eventuellt behovet av att personens lagliga företrädare medverkar i beslutsfattandet. Läkaren kan senare under vården i enlighet med patientlagen fatta beslut om huruvida personen är kapabel att själv fatta beslut om sin vård. 

En del äldre personer och en del personer med funktionsnedsättning kan ha betydande svårigheter att förstå betydelsen av att använda en applikation som baserar sig på eget beslutsfattande och egen aktivitet av användaren. Det kan vara svårt eller till med omöjligt för dem att tekniskt ta i bruk en smart enhet och i synnerhet en mobilapplikation. Dessa personer kan helt och hållet lämnas utanför möjligheten att använda applikationen. Vid bedömningen av vilka konsekvenser detta har för jämlikhet och skyddande av människors hälsa ska man beakta andra åtgärder som vidtagits under covid-19-epidemin och som hänför sig till personer över 70 år och andra som hör till s.k. riskgrupper. De anvisningar, enligt vilka man ska undvika närkontakter med andra människor och stanna hemma samt det förbud mot att besöka boendeenheter och vårdinrättningar, har i betydande grad kunnat bidra till att de som hör till nämnda grupper har undgått att bli smittade.  

När applikationen tas i bruk ska förpliktelserna i FN:s konvention om rättigheter för personer med funktionsnedsättning beaktas. De viktigaste i detta sammanhang är skyldigheten att involvera (artikel 4.3), kravet på skälig anpassning (artikel 2), design för alla (artikel 2) samt tillgänglighet (artikel 9). Även artikel 11 i konventionen, enligt vilken konventionsstaterna ska vidta alla åtgärder som är nödvändiga för att säkerställa skydd och säkerhet för personer med funktionsnedsättning som är i risksituationer, ska beaktas.  

Applikationen ska vara enkel att använda så att alla som använder applikationen ska ha möjlighet att dra nytta av applikationen. När applikationen laddas ner ska informationen om behandlingen av uppgifterna formuleras på ett lättläst språk, med beaktande av olika befolkningsgrupper. Det är viktigt att de anvisningar som fås via applikationen om hur man ska agera när man får exponeringsinformation utarbetas på ett tydligt sätt och på ett tillgängligt sätt med hjälp av olika kommunikationssätt. När det gäller kommunikationen men också annars måste det ses till att de personer som använder hjälpmedel har möjlighet att använda applikationen och få information om den.  

Med stöd av övergångsbestämmelsen i 17 § 2 mom. i lagen om tillhandahållande av digitala tjänster (306/2019) tillämpas tillgänglighetskraven på mobilapplikationer från och med den 23 juni 2021. Med beaktande av betydelsen av den mobilapplikation som ska utvecklas, ska tillgänglighetskraven beaktas i mobilapplikationen innan den tas i bruk. I detta sammanhang bör det beaktas att tillgänglighetskraven kan bli tvingande på basis av de rimliga anpassningar som avses i 15 § i diskrimineringslagen (1325/2014), om en person med funktionsnedsättning begär det. 

I samband med ibruktagandet av mobilapplikationen är det viktigt att kommunicera om den på ett så förståeligt sätt att varje befolkningsgrupps rätt till information tillgodoses på ett förståeligt sätt. Ibruktagandet av applikationen kan också orsaka oro och ångest å ena sidan när risken för smitta konkretiseras när applikationen används eller å andra sidan i situationer där en person inte kan använda applikationen, även om han eller hon vill det. Denna oro kan undanröjas med hjälp av den information som ges om applikationen. Det är viktigt att informera om att mobilapplikationen som sådan inte ersätter traditionellt spårningsarbete.  

En heltäckande och effektiv användning av mobilapplikationen kan för sin del effektivisera brytandet och spårningen av smittkedjorna och på så sätt för sin del påverka hurdana restriktioner som behöver upprätthållas för att särskilt skydda personer som hör till riskgrupper. En omfattande användning av mobilapplikationen kan för sin del göra det möjligt att avveckla de restriktioner som gäller riskgrupper. Således kan användningen av en mobilapplikation i samhället indirekt förbättra handlingsfriheten för personer som hör till riskgrupper och därmed tillgodoseendet av självbestämmanderätten, och därigenom kan också riskgruppernas grundläggande rättighet att upprätthålla liv och hälsa tryggas. 

Konsekvenser i fråga om dataskydd

I samband med det föreslagna informationssystemet behandlas personuppgifter och det har konsekvenser för skyddet av personuppgifter.  

Sådana behandlingssituationer som förekommer i samband med det myndighetsbaserade informationssystemet, som föreslås och beskrivs ovan och som syftar till att bryta smittkedjorna och spåra upp dem som eventuellt har exponerats för smitta, har inte tidigare varit aktuella i Finland. Med beaktande av den nya typen av behandling, behandlingens art, den eftersträvade omfattningen, sammanhanget och ändamålen samt den typ av uppgifter som ska behandlas (särskilt hälsouppgifter), kan det bedömas att behandlingen i anknytning till ett sådant informationssystem som det föreslagna i princip kan medföra risker för fysiska personers rättigheter och friheter. I princip är det möjligt att användaren kan identifieras, varvid det är möjligt att känsliga uppgifter om användaren avslöjas. Andra slag av personuppgiftsincidenter är möjliga. Risken kan vara att personuppgifterna senare används för ändamål som den registrerade personen inte har förutsett.  

På grund av riskerna ska det ingripas i dem i propositionen genom flera åtgärder. Riskerna i fråga om skyddet av personuppgifter reduceras väsentligt med hjälp av frivillig användning och åtgärder som främjar användarens kunskapsmässiga självbestämmanderätt. Ingen tvingas ta i bruk mobilapplikationen, utan användningen av den baserar sig på frivillighet. En person kan när som helst ta applikationen ur bruk. Det föreslås också att anmälan av egna kontaktuppgifter till aktörerna inom hälso- och sjukvården sker på frivillig basis, och då kan personen själv fatta beslut om saken.  

Riskerna i samband med ytterligare behandling minskas effektivt genom att det i lagen exakt föreskrivs om vad personuppgifterna får användas till och att uppgifterna inte får användas för andra ändamål. De personuppgifter som behandlas ska inte lagras centraliserat i myndighetens register, utan största delen av de uppgifter som behandlas ska sparas decentraliserat i användarnas enheter. Typen av personuppgifter som behandlas ska begränsas till endast de uppgifter som behövs och de ska specificeras på lagstiftningsnivå. Den maximala lagringstiden för personuppgifter ska i standardfall vara mycket kort (21 dygn). 

När mobilapplikationen tas i bruk ska inga direkta identifieringsuppgifter samlas in eller registreras om användaren. Varje användare ska få en unik pseudonym identifierare som ändras regelbundet. Såsom konstateras ovan betraktas också pseudonyma identifierare som personuppgifter. Riskerna i fråga om dataskyddet minskas dock avsevärt genom att man i stället för direkta identifieringsuppgifter effektivt behandlar pseudonyma uppgifter, alltså s.k. pseudonyma identifierare, som förändras tillräckligt ofta. Utgångspunkten är att det på basis av dem är mycket svårt att identifiera användaren. Det är inte möjligt att identifiera någon enbart med hjälp av den pseudonyma identifieraren, utan identifiering förutsätter i princip överskottsinformation.  

Det ska sörjas för informationssäkerheten i informationssystemet på det sätt som lagstiftningen förutsätter. Riskerna i anslutning till informationssäkerheten, såsom personuppgiftsincidenter, minskas genom att alla personuppgifter inte lagras i det centraliserade systemet. Dessutom föreslås det att det särskilt föreskrivs att informationssäkerheten i informationssystemet ska bedömas innan systemet tas i bruk i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), och att uppfyllandet av kraven på informationssäkerhet inte bara ska övervakas genom allmän tillsyn utan också av Tillstånds- och tillsynsverket för social- och hälsovården.  

Behandlingsåtgärder kan anses vara behövliga i det rådande epidemiläget. I samhället är en kontrollerad övergång från omfattande restriktioner till allt mer riktade åtgärder behövlig. Informationssystemet kan bidra till att möjliggöra denna övergång. Enligt bedömningar är informationssystemet som en del av en mer omfattande strategi ett nyttigt verktyg för att bryta smittkedjorna, vilket har positiva effekter med tanke på hälsoskyddet. På det sätt som det beskrivs ovan ska personuppgifter behandlas endast i nödvändig omfattning i enlighet med principen om uppgiftsminimering. Användningen av mobilapplikationer ska grunda sig på frivillighet. Således kan behandlingen också anses stå i rätt proportion till dess syfte på det sätt som dataskyddslagstiftningen förutsätter. 

Dessutom bör det noteras att den allmänna dataskyddslagstiftningen i sig ställer många krav på den personuppgiftsansvarige och personuppgiftsbiträdet i anslutning till behandlingen av personuppgifter. I den allmänna dataskyddsförordningen föreskrivs det dessutom om den registrerades rättigheter, såsom rätten att få uppgifter om behandlingen av sina personuppgifter, rätten att kontrollera uppgifter om sig själv samt rätten att radera uppgifter om sig själv. De krav i den allmänna dataskyddsförordningen som gäller behandling av personuppgifter ska beaktas i utvecklingen av systemet och i systemets funktion. Den personuppgiftsansvarige ska bland annat beakta kraven som gäller inbyggt dataskydd och dataskydd som standard på det sätt som föreskrivs i den allmänna dataskyddsförordningen. Det är skäl att också fästa uppmärksamhet t.ex. vid att informationen om behandlingen av personuppgifter är tydlig och begriplig.  

I artikel 35 i den allmänna dataskyddsförordningen finns det bestämmelser om en skyldighet att genomföra en konsekvensbedömning avseende dataskydd, om en viss typ av behandling – i synnerhet sådan där ny teknik används – med beaktande av dess art, omfattning, sammanhang och ändamål sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Såsom det beskrivs ovan kan den föreslagna applikationen vara förknippad med sådana risker. Även Europeiska dataskyddsstyrelsen (EDPB) har i sina riktlinjer av den 21 april 2020 ansett att en konsekvensbedömning avseende dataskydd måste genomföras innan mobilapplikationer som syftar till att spåra och bryta smittkedjorna införs. Således ska den personuppgiftsansvarige innan behandlingen genomföra en noggrannare bedömning av vilka konsekvenser den planerade behandlingen har med tanke på skyddet av personuppgifter i enlighet med kraven i den allmänna dataskyddsförordningen. 

5.1  Handlingsalternativen och deras konsekvenser

Det är möjligt att applikationer eller andra lösningar med syftet att följa smitta kommer ut på marknaden. Sådana lösningar stöds dock inte av myndighetsverksamhet och har således inte heller kontakt med hälso- och sjukvården. I sådana lösningar är det t.ex. inte möjligt att i samtliga fall på ett tillförlitligt sätt utnyttja den fastställda information om smitta som myndigheten producerar. Lösningarna är således förknippade med möjligheter till missbruk t.ex. så att en person meddelar om smitta trots att det inte finns någon smitta. Eventuella andra lösningar stöder därmed inte nödvändigtvis hälso- och sjukvårdens verksamhet, utan kan leda till onödigt arbete och oro hos de människor som använder dem. Europeiska kommissionen har i sin rekommendation som gäller detta också påpekat att införandet av applikationer absolut måste ske i nära samarbete med hälsovårdsmyndigheterna.  

Ett alternativ till den lösning som baserar sig på den föreslagna decentraliserade modellen är en centraliserad modell. Den skiljer sig från den decentraliserade modellen på så sätt att de smittade personernas kontaktuppgifter överförs från deras telefoner till en bakgrundsserver där exponering kan upptäckas. Detta ökar avsevärt informationsmängden i det bakomliggande systemet och har således en större inverkan på skyddet för privatlivet och personuppgifter för en person. I många länder som infört den centraliserade modellen innebär detta också att personens verkliga identitet registreras i det bakomliggande systemet, vilket innebär en större risk med tanke på skyddet för privatlivet och personuppgifter. Därför har många länder övergått från planering av en centraliserad modell till planering av en decentraliserad modell. I remissvaren om färdplanen ansåg flera respondenter att en decentraliserad modell är klart bättre än en centraliserad modell. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

Internationellt har man identifierat behovet av att använda mobilapplikationer vid hanteringen av covid-19-pandemin. En användning av olika mobilapplikationer kan stödja de funktionella behov som eftersträvas, såsom spårning av exponerade och brytande av smittkedjor, självbedömning av symtom och tillgång till tillförlitlig hälsoinformation, anmälan om smitta till en person för frivilliga restriktioner och andra åtgärder, möjlighet att i myndighetsverksamhet införa ändamålsenliga restriktioner och bedöma konsekvenserna av vidtagna åtgärder, meddela fastställd information om immunitetsskyddet samt utbyta myndighetsinformation och skapa en lägesbild inklusive krav på gränsöverskridande informationsutbyte. Olika länder har närmat sig behovet av att använda mobilapplikationer med varierande tillvägagångssätt.  

Endast i ett fåtal länder har det utfärdats lagstiftning som stöder användning av sådan teknik som utnyttjar mobilapplikationer. Bland annat i Norge har det med stöd av en ändring av lagen om smittsamma sjukdomar utfärdats en förordning som reglerar användningen av en applikation, de uppgifter som samlas in via applikationen och lagringen av dem samt slår fast att det norska folkhälsoinstitutet (Folkehelseinstituttet) är ansvarig myndighet. Förordningen är i kraft till och med den 1 december 2020. Norges hälso- och omsorgsdepartement (Helse- og omsorgsdepartementet) kan förlänga föreskriftens giltighetstid (med beaktande av begränsningarna i lagen om smittsamma sjukdomar). Bland EU-länderna har bl.a. Bulgarien, Kroatien, Slovakien och Slovenien har antagit lagstiftning som stöder en kartläggning av exponerade på basis av lokalisering av personer. Bland länderna utanför EU har bl.a. Sydkorea efter MERS-epidemin 2015 gjort en lagändring som gäller övervakning av medborgarnas rörelser i samband med bekämpningen av en epidemi. Dessutom har det utfärdats annan förpliktande lagstiftning för telefonoperatörer. Även i andra länder utanför EU, såsom Chile, utreds behoven av att ändra lagstiftningen.  

Den 8 april 2020 antog kommissionen en rekommendation om en unionsgemensam verktygslåda för användning av mobilapplikationer och anonymiserade rörlighetsdata för att bekämpa och komma ut ur covid-19-krisen. Kommissionens rekommendation beskriver den unionsgemensamma verktygslådan (verktygslåda, toolbox Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States) för utnyttjande av teknik och data under covid-19-krisen och för att komma ut ur den, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata. Finlands ståndpunkt i fråga om rekommendationen har framförts i statsrådets utredning E 44/2020 rd av den 24 april 2020. På grundval av rekommendationen utarbetade kommissionen och medlemsstaterna en gemensam verktygslåda med gemensamt överenskomna praktiska anvisningar för medlemsstaterna när de utvecklar och tar i bruk mobilapplikationer till stöd för spårning av smittkedjor. Den första versionen av verktygslådan publicerades den 15 april 2020 och den vidareutvecklas utifrån de erfarenheter som fåtts. Verktygslådan har kompletterats särskilt i fråga om definitionerna av gränsöverskridande interoperabilitet (IOP).  

Dessutom publicerade kommissionen den 16 april 2020 ett meddelande som gällde vägledning om appar till stöd för kampen mot covid-19-pandemin med avseende på dataskydd (C(2020) 2523 final), och i samband med beredningen av vägledningen hördes EDPB. EDPB har gett sina egna anvisningar om dataskyddsaspekter i anslutning till applikationer den 21 april 2020. Rekommendationerna och anvisningarna på EU-nivå samt kommissionens och medlemsstaternas gemensamma verktygslåda (toolbox) har beaktats i beredningen av den nationella lagstiftningen och i utvecklingen av applikationen. Finland anser att det arbete som görs inom ramen för EU för att främja interoperabiliteten mellan olika mobilapplikationer är viktigt och följer aktivt med och deltar i arbetet. När de tekniska och juridiska detaljerna i fråga om interoperabiliteten har preciserats kan det i fortsättningen separat bedömas under vilka förutsättningar Institutet för hälsa och välfärd, när en person särskilt fattar beslut om detta, trots sekretessbestämmelserna eventuellt kan lämna ut uppgifter som lagrats i informationssystemet till de myndigheter som ansvarar för de bakomliggande systemen i anslutning till medlemsstaternas mobilapplikationer. I fortsättningen förutsätter detta dock eventuell separat lagberedning och en konsekvensbedömning i anslutning till den. 

Medlemsstaterna kommer på grundval av rekommendationen att rapportera till kommissionen om de åtgärder som vidtagits för inbördes utvärdering. I juni 2020 inleder kommissionen en utvärdering av hur medlemsländerna har framskridit i frågan och vilken effekt rekommendationen har haft. Kommissionen kan utfärda ytterligare rekommendationer till medlemsstaterna.  

Enligt kommissionens rekommendation bör de grundläggande fri- och rättigheterna, särskilt integritetsskyddet och dataskyddet samt förebyggandet av övervakning och stigmatisering, stå i centrum för hela verksamhetsmodellen. Applikationerna bör därför bygga på frivillighet, vara godkända av de nationella hälsovårdsmyndigheterna, respektera den personliga integriteten och personuppgifterna bör vara sekretessbelagda på ett säkert sätt. Applikationerna bör tas ur bruk och uppgifterna i dem bör utplånas omedelbart när de inte längre behövs. Även i flera av de europeiska tillvägagångssätten har man inom ramen för utvecklingsarbetet beaktat kontaktspårningsapplikationen TraceTogether från Singapore, där en person ger sitt samtycke till att uppgifter om närkontakter delas med hälsovårdsmyndigheten via applikationen. Sedan de inledande skedena av utvecklingsarbetet i Finland har man särskilt granskat de fördelar och de eventuella nackdelar med ett centraliserat och decentraliserat tillvägagångssätt som lyfts fram i den internationella diskussionen. Inom ramen för denna granskning har man för att fastställa Finlands lösning i realtid bekantat sig med lösningar som utvecklats i EU- och EES-länder, såsom utvecklingsarbetet i Norge, Frankrike, Tyskland, Schweiz, Danmark och Estland. De kontaktspårningsapplikationer som har tagits i bruk på Island och i Norge är exempel på metoder med en stark koppling till hälsovårdsmyndigheterna. I Norge har lagstiftningen om smittsamma sjukdomar ändrats och en ny förordning har utfärdats i samband med införandet av kontaktspårningsapplikationen. Av de övriga nordiska länderna har Sverige ännu inte börjat utveckla sin egen mobilapplikation.