Senast publicerat 30-12-2022 10:00

Utlåtande GrUU 25/2021 rd RP 96/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lag om ändring av 60 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården

Till social- och hälsovårdsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om ändring av 60 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (RP 96/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 

Sakkunniga

Utskottet har hört 

  • regeringsråd Joni Komulainen 
    social- och hälsovårdsministeriet
  • specialsakkunnig Jukka Lähesmaa 
    social- och hälsovårdsministeriet
  • biträdande dataombudsman Heljä-Tuulia Pihamaa 
    Dataombudsmannens byrå
  • professor Lasse Lehtonen 
  • professor Janne Salminen. 

PROPOSITIONEN

Regeringen föreslår ändring av övergångsbestämmelsen i lagen om sekundär användning av personuppgifter inom social- och hälsovården. 

Lagen avses träda i kraft så snart som möjligt. 

I motiven till lagstiftningsordningen bedöms lagförslagets förhållande till grundlagen med avseende på grundlagens 10 § om skydd för privatlivet och i 124 § om överföring av förvaltningsuppgifter på andra än myndigheter. 

Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. Regeringen ser det dock som önskvärt att grundlagsutskottet lämnar utlåtande i ärendet. 

UTSKOTTETS ÖVERVÄGANDEN

(1)Regeringen föreslår att övergångsbestämmelsen i lagen om sekundär användning av personuppgifter inom social- och hälsovården (nedan även lagen om sekundär användning) ändras så att lagens krav på informationssäkra driftmiljöer tillämpas först från och med den 1 maj 2022. Före den nämnda tidpunkten får uppgifter dock lämnas ut till tillståndshavaren för behandling med stöd av lag, även om det i ansökan om dataanvändningstillstånd inte anvisas en sådan informationssäker driftmiljö för behandlingen av uppgifterna som avses i lagen. Utlämnande av uppgifter förutsätter då ett för viss tid beviljat dataanvändningstillstånd som gäller högst till och med den 30 april 2022. 

(2)Enligt propositionsmotiven (s. 4) har andra aktörer än Tillståndsmyndigheten trots den pågående övergångsperioden inte en sådan informationssäker driftmiljö som förutsätts i lagen om sekundär användning och där Tillståndsmyndigheten kan lämna ut datamaterialet så att det kan behandlas av tillståndshavaren. Utvecklingen och revisionen av driftmiljöer har inte framskridit på planerat sätt. Enligt propositionsmotiven finns det flera orsaker till detta. När lagen om sekundär användning stiftades bedömdes det att byggandet av informationssäkra driftmiljöer skulle ta cirka två år från lagens ikraftträdande, men denna bedömning har visat sig vara felaktig. 

(3)I propositionen föreslås dessutom att övergångsbestämmelsen i lagen om sekundär användning ändras så att rättigheter, skyldigheter och åtgärder som grundar sig på betydande kliniska fynd i lagen tillämpas från och med den 1 januari 2024. Förslaget till bestämmelse motiveras med att regleringen ska samordnas med de ändringar i informationssystemen som förutsätts av lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården, som redan godkänts i riksdagen med grundlagsutskottets medverkan (GrUU 4/2021 rd). 

(4)Förslaget är betydelsefullt med avseende på skyddet för privatlivet och personuppgifter i 10 § i grundlagen. Bestämmelserna är av betydelse också med avseende på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. 

(5)Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

(6)Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning måste bedömas utifrån det riskbaserade förhållningssätt som också dataskyddsförordningen kräver, vilket innebär att avseende måste fästas vid de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

(7)Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 13/2016 rd och GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt, och bestämmelserna om behandling av känsliga uppgifter måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (se t.ex. GrUU 65/2018 rd, s. 45 och GrUU 15/2018 rd, s. 40). Utskottet betonade dock i samband med bedömningen av dataskyddslagen att i fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in och att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 

(8)Bestämmelserna i dataskyddsförordningen är direkt tillämpliga också på sådan behandling av personuppgifter som avses i lagen om sekundär användning. Förordningen förpliktar den personuppgiftsansvarige att exempelvis bedöma de risker som behandlingen av personuppgifter medför för de registrerades rättigheter och friheter och säkerställa att säkerheten vid behandlingen av personuppgifter motsvarar de risker som behandlingen av dem medför under behandlingens hela livscykel. Grundlagsutskottet har således inget att invända mot innehållet i den nu föreslagna regleringen. Utskottet anser att statsrådet på grund av den skyldighet att trygga de grundläggande fri- och rättigheterna och de mänskliga rättigheterna som föreskrivs för det allmänna i 22 § i grundlagen bör följa utvecklingen inom sektorn och sträva efter att främja en effektiv användning av övergångstiden. 

(9)Grundlagsutskottet fäster dock uppmärksamhet vid att enligt 16 § 3 mom. i grundlagen är vetenskapens, konstens och den högsta utbildningens frihet tryggad. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikeln inte anses vara oförenlig med de ursprungliga ändamålen. 

(10)Grundlagsutskottet bedömde i samband med stiftandet av lagen om sekundär användning att behandling för ändamål av allmänt intresse inte är problematisk med tanke på skyddet för privatlivet och personuppgifter enligt 10 § 1 mom. i grundlagen (GrUU 1/2018 rd, s. 5, se även GrUU 3/2004 rd, s. 2). Utskottet ansåg dock vid bedömningen av lagen om sekundär användning att det är särskilt beklagligt att regeringen på grund av tidsplanen för ikraftträdandet av dataskyddsförordningen varit tvungen att överlämna den då aktuella propositionen före propositionen med förslag till allmän lagstiftning som ska komplettera Europeiska unionens allmänna dataskyddsförordning. Utskottet fäste uppmärksamhet vid att det i regeringens proposition med förslag till lag om sekundär användning hänvisas till att dataskyddslagen sannolikt kommer att medföra begränsningar åtminstone när personuppgifter behandlas för forskning och statistikföring. Utskottet menade att regeringen självfallet skulle ha lämnat propositionen om den allmänna lagen före propositionen om speciallagen (GrUU 1/2018 rd, s. 5). Utskottet bedömde sedermera bestämmelserna i dataskyddslagen också med tanke på grundlagsskyddet för vetenskapsfriheten och uppmanade förvaltningsutskottet att till vissa delar ändra bestämmelserna inom de gränser som dataskyddsförordningen tillåter så att vetenskapsfriheten bättre blir tillgodosedd (GrUU 14/2018 rd, s. 17). 

(11)Enligt en utredning som grundlagsutskottet fått har bestämmelserna i lagen om sekundär användning inneburit betydligt mer omfattande konsekvenser för den vetenskapliga forskningen än bestämmelserna i dataskyddsförordningen. Med beaktande av dataskyddsförordningens direkt tillämpliga riskbaserade reglering anser utskottet att grundlagen i princip inte ger upphov till någon skyldighet att i fråga om vetenskaplig forskning reglera behandlingen av sådana särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen genom mer innehållsmässigt begränsande bestämmelser än vad som förutsätts i dataskyddsförordningen. Det är också av betydelse att bestämmelser om behandlingen av uppgifter för vetenskaplig forskning dessutom finns i dataskyddslagen. Regleringen ska dock i sin helhet skapar tillräckliga förutsättningar för ett faktiskt skydd av känsliga personuppgifter (GrUU 4/2021 rd, stycke 21, GrUU 20/2020 rd, s. 6). Viktig med avseende på skyddet för personuppgifter är enligt utskottet också rätten att bestämma över information om sig själv särskilt i fråga om medicinsk forskning och behandling av patientuppgifter (se t.ex. GrUU 4/2021 rd, GrUU 23/2020 rd, s. 9, GrUU 2/2018 rd, s. 8). 

(12)Enligt grundlagsutskottets uppfattning har lagen om sekundär användning visat sig vara svår att tillämpa i praktiken och ofta lett till oklarheter i förhållande till annan lagstiftning (se även GrUU 23/2020 rd, s. 7). Utskottet har ofta fäst uppmärksamhet vid att bestämmelserna om behandling av personuppgifter blir förvirrande och svårbegripliga (se t.ex. GrUU 4/2021 rd, stycke 13 och de utlåtanden som det hänvisas till där). Därför har utskottet förutsatt att målgruppen för bestämmelserna utan svårigheter ska kunna tillämpa dem (se t.ex. GrUU 60/2014 rd, s. 3). 

(13)Social- och hälsovårdsutskottet bör noggrant granska behoven att revidera lagen om sekundär användning särskilt med tanke på den vetenskapliga forskningen. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslaget kan behandlas i vanlig lagstiftningsordning. 
Helsingfors 18.6.2021 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 medlem 
Outi Alanko-Kahiluoto gröna 
 medlem 
Bella Forsgrén gröna 
 medlem 
Maria Guzenina sd 
 medlem 
Petri Honkonen cent 
 medlem 
Olli Immonen saf 
 medlem 
Mikko Kinnunen cent 
 medlem 
Anna Kontula vänst 
 medlem 
Jukka Mäkynen saf 
 medlem 
Wille Rydman saml 
 medlem 
Ari Torniainen cent 
 medlem 
Heikki Vestman saml 
 medlem 
Tuula Väätäinen sd 
 ersättare 
Johannes Koskinen sd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.