Senast publicerat 31-03-2021 11:46

Utlåtande GrUU 4/2021 rd RP 212/2020 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den

Till social- och hälsovårdsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den (RP 212/2020 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 

Sakkunniga

Utskottet har hört 

  • regeringsråd Joni Komulainen 
    social- och hälsovårdsministeriet
  • specialsakkunnig Anna Kärkkäinen 
    social- och hälsovårdsministeriet
  • lagstiftningsråd Virpi Korhonen 
    justitieministeriet
  • dataombudsman Anu Talus 
    Dataombudsmannens byrå
  • professor Lasse Lehtonen 
  • professor Susanna Lindroos-Hovinheimo 
  • professor Tuomas Ojanen 
  • professor Tomi Voutilainen. 

PROPOSITIONEN

Regeringen föreslår att det stiftas en ny lag om elektronisk behandling av kunduppgifter inom social- och hälsovården samt att det företas behövliga ändringar i vissa andra lagar. 

Lagarna avses träda i kraft 2.8.2021. 

I propositionens motiv till lagstiftningsordning granskas lagförslagen med avseende på grundlagens 10 § om skydd för privatlivet, 80 § om utfärdande av förordningar och 124 § om överföring av förvaltningsuppgifter på andra än myndigheter. Uppmärksamhet fästs också vid Europakonventionen, EU-stadgan om de grundläggande rättigheterna och EU:s allmänna dataskyddsförordning. 

Regeringen anser att propositionen är förenlig med grundlagen och att de föreslagna lagarna kan behandlas i vanlig lagstiftningsordning. Det är enligt regeringen dock önskvärt att grundlagsutskottet lämnar utlåtande i frågan. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1) Inom social- och hälsovården behandlas känsliga personuppgifter som kan gälla till exempel en patients hälsotillstånd, sjukdom eller funktionsnedsättning eller behandlingar eller andra motsvarande åtgärder. Det kan också finnas uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner. Enligt 2 § 1 mom. i den föreslagna lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (kunduppgiftslag) innehåller lagen bestämmelser som kompletterar och preciserar EU:s allmänna dataskyddsförordning, när kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. 

(2) Propositionen har utarbetats utifrån proposition RP 300/2018 rd, som förföll när riksmötet avslutades och riksdagsval förrättades. Grundlagsutskottet gav utlåtande GrUU 71/2018 rd om den propositionen. Utskottet ansåg att vissa förslag till bestämmelser måste preciseras för att förslaget skulle kunna behandlas i vanlig lagstiftningsordning. 

(3) Förslaget är relevant med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. De föreslagna bestämmelserna är av betydelse också med avseende på EU:s stadga om de grundläggande rättigheterna. Artikel 7 i stadgan tryggar respekten för privatlivet och artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. 

(4) Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

(5) Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

(6) Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme i synnerhet i fråga om behandling av känsliga personuppgifter begränsas särskilt av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II), vilket innebär att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (se GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 

(7) Uppgifter om hälsa hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Behandling av sådana uppgifter är enligt huvudregeln i artikel 9.1 förbjuden. Enligt artikel 2 punkt 2 ska punkt 1 dock inte tillämpas, om någon av förutsättningarna i punkt 2 led a—j gäller. Personuppgifter som hör till de särskilda kategorierna av personuppgifter får behandlas bland annat med den aktuella personens uttryckliga samtycke (led a). 

(8) Grundlagsutskottet har påpekat att uppgifter om en persons behov av socialvård eller om de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som personen får inte direkt kan jämställas med de särskilda kategorier av personuppgifter som definieras i artikel 9 i den allmänna dataskyddsförordningen. Registrering av dessa uppgifter har dock nationellt ansetts innebära en större risk än normalt för medborgarnas privatliv och rättsskydd, och därför är det vid en konstitutionell bedömning motiverat att betrakta dem som känsliga (GrUU 15/2018 rd, s. 38, RP 96/1998 rd, s. 4/I). Det är inte heller uteslutet att dessa uppgifter kan innehålla uppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Det kan då exempelvis gälla hälsotillståndet för en klient hos socialvården. 

(9) Grundlagsutskottet har redan tidigare lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 13/2016 rd och GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt, och bestämmelserna om behandling av känsliga uppgifter måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (se t.ex. GrUU 65/2018 rd, s. 45 och GrUU 15/2018 rd, s. 40). 

(10) Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretess med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om datainnehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se t.ex. GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd, s. 4). 

(11) Behovet av bestämmelser som är mer detaljerade än bestämmelserna i den allmänna dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen vägas in. Utskottet har framhållit att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 

(12) I propositionsmotiven och motiven till lagstiftningsordningen granskas lagförslagen rätt ingående ur de grundläggande rättigheternas perspektiv. Grundlagsutskottet kan i huvudsak hålla med om det som sägs i propositionen. Utskottet fäster dock nedan särskild uppmärksamhet vid bestämmelserna om utlämnande av uppgifter och de motiveringar som lagts fram för dem. Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Social- och hälsovårdsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. Social- och hälsovårdsutskottet bör särskilt beakta vad dataskyddsförordningen säger om rätten att radera uppgifter och motsätta sig behandlingen av uppgifter. 

(13) Grundlagsutskottet anser att bestämmelserna är ganska komplicerade och delvis svårbegripliga. Grundlagsutskottet har i flera sammanhang konstaterat att lagstiftningen har blivit mycket ogenomtänkt och svårtydd (se t.ex. GrUU 47/2006 rd, s. 2, GrUU 43/2006 rd, s.2, GrUU 41/2006 rd, s. 2, och GrUU 25/2005 rd, 5). Därför har utskottet förutsatt att målgruppen för bestämmelserna utan svårigheter ska kunna tillämpa dem (se t.ex. GrUU 60/2014 rd, s. 3). Utskottet har också betonat att det är särskilt viktigt med tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se t.ex. GrUU 51/2016 rd, s. 5, GrUU 45/2016 rd, s. 3). Att den nu aktuella regleringen är svårbegriplig har också en negativ inverkan på rättsskyddet för yrkesutbildade personer inom social- och hälsovården. 

(14) Grundlagsutskottet har också påpekat att bestämmelser om klient- och patientuppgifter och om behandlingen av dem också finns i exempelvis klientlagen, patientlagen, offentlighetslagen och dataskyddslagen (GrUU 71/2018 rd, s. 4, se också GrUU 65/2018 rd, s. 45). Utskottet anser att det är skäl att ytterligare förtydliga regleringens tillämpningsområde särskilt med avseende på de andra lagarna. Social- och hälsovårdsutskottet bör också mer allmänt precisera bestämmelserna. 

Rätten att bestämma över sina uppgifter och bestämmelserna om utlämnande av uppgifter

(15) Enligt 1 § 2 mom. i grundlagen ska konstitutionen trygga människovärdets okränkbarhet och den enskilda människans frihet och rättigheter samt främja rättvisa i samhället. Omnämnandet av tryggandet av den enskilda människans frihet och rättigheter omfattar också friheten att bestämma över sig själv och sitt handlande (RP 309/1993 rd, s. 45/II), vilket är en grund för att utöva många andra rättigheter. Bestämmelsen i 1 § 2 mom. i grundlagen ger uttryck för de grundläggande värderingarna i regeringsformen och skall beaktas vid tolkningen av regeringsformens övriga bestämmelser (RP 1/1998 rd, s. 74/I). 

(16) Enligt grundlagens 10 § 1 mom. är vars och ens privatliv tryggat. Begreppet privatliv kan uppfattas som ett allmänbegrepp för en persons privata krets. Skyddet för privatlivet utgår från att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning från myndigheter eller andra utomstående. Till privatlivet hör bland annat individens rätt att bestämma över sig själv och sin kropp (RP 309/1993 rd, s. 56—57). Även rätten till privatliv medverkar alltså till att uppfylla självbestämmanderätten. 

(17) Å andra sidan har utskottet ansett att rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (se t.ex. GrUU 23/2020 rd, s. 9, GrUU 2/2018 rd, s. 8). Utskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till grundlagens 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet (se GrUU 48/2014 rd, s. 2). 

(18) I 6 § i lagen om patientens ställning och rättigheter (patientlagen) föreskrivs det om patientens självbestämmanderätt. Med tanke på rätten att bestämma över sina uppgifter är det av betydelse att sekretessbelagda uppgifter i journalhandlingar enligt 13 § 2 mom. inte får lämnas ut utan patientens skriftliga samtycke. Motsvarande bestämmelser finns i lagen om klientens ställning och rättigheter inom socialvården. I båda lagarna ingår också bestämmelser om situationer där självbestämmanderätten kan begränsas exempelvis genom att uppgifter som är nödvändiga för vården av patienten lämnas ut till en annan verksamhetsenhet inom hälso- och sjukvården, om samtycke inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak. 

(19) Grundlagsutskottet anser att en reglering som betonar självbestämmanderätten är särskilt motiverad i den aktuella lagstiftningskontexten. Utskottet har i sin praxis angående skydd av personuppgifter i och för sig betonat behovet av reglering genom lag särskilt när personuppgifter behandlas av en myndighet (se t.ex. GrUU 14/2018 rd, s. 4). Utskottet har dock tidigare också fäst uppmärksamhet vid att 8 § i personuppgiftslagen, som stiftades med grundlagsutskottets medverkan (GrUU 25/1998 rd) men nu är upphävd, tillät behandling av personuppgifter i första hand efter samtycke. Också känsliga personuppgifter kunde med stöd av 12 § i den lagen behandlas i undantagsfall, om den registrerade gett sitt uttryckliga samtycke till det (GrUU 1/2018 rd, s. 9). Motsvarande kan enligt utskottet konstateras om lagen om offentlighet i myndigheternas verksamhet, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Handlingen kan också innehålla känsliga personuppgifter (GrUU 43/1998 rd, se även GrUU 42/2016 rd, s. 3). 

(20) Enligt artikel 8 i EU:s stadga om de grundläggande rättigheterna ska personuppgifter behandlas på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 6 i dataskyddsförordningen är behandlingen av personuppgifter lagenlig bland annat när den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Enligt artikel 9 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter likaså tillåtet på grundval av ett uttryckligt samtycke, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. Enligt skäl 43 i EU:s allmänna dataskyddsförordning bör samtycket dock inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. 

(21) Enligt grundlagsutskottet kan också behandlingen av känsliga uppgifter på grund av detta under vissa förutsättningar även i myndighetsverksamhet trots grundlagen grunda sig på samtycke. Detta undanröjer dock inte behovet av att, i synnerhet i den nu aktuella typen av sammanhang med nära koppling till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, säkerställa att regleringen i sin helhet skapar tillräckliga förutsättningar för ett faktiskt skydd av känsliga personuppgifter (GrUU 20/2020 rd, s. 6). 

(22) Enligt den föreslagna kunduppgiftslagen ska rätten för yrkesutbildade personer inom social- och hälsovården att behandla de klient- och patientuppgifter som de behöver i sitt arbete huvudsakligen grunda sig på lagstiftning och en existerande kund- och vårdrelation, och inte på ett samtycke som begärs av kunden. Grundlagsutskottet ansåg i sitt utlåtande om den proposition som förföll att en sådan grundläggande lösning är möjlig. Grundlagsutskottet påpekade dock att utskottet vid bedömningen av patientregister enligt lagen om hälso- och sjukvård underströk att det i fråga om register som innehåller känsliga uppgifter, exempelvis patientregister, är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och finns tillgänglig genast när registret börjar användas (GrUU 71/2018 rd, s. 4) se också GrUU 41/2010 rd, s. 3/I,GrUU 65/2018 rd, s. 47, GrUU 15/2018 rd, s. 13 och 40. 

(23) Grundlagsutskottet noterade dessutom i det tidigare utlåtandet att man inom hälso- och sjukvården har övergått till att använda riksomfattande elektroniska informationssystemtjänster och att de föreslagna ändringarna gör det möjligt att införa riksomfattande informationssystemtjänster i socialvården. Enligt utskottet möjliggjorde också den då föreslagna behandlingen datainbrott, informationsläckor eller missbruk som kunde leda till en betydande kränkning av de grundläggande fri- och rättigheterna, vilket ytterligare accentueras av informationssystemens omfattning. Av betydelse var att en del av uppgifterna behandlas i annat syfte än det för vilket de ursprungligen samlades in och att en avsevärd del av uppgifterna är känsliga till sin natur. Utskottet betonade också betydelsen av att det föreslogs att behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Social- och hälsovårdsutskottet skulle enligt grundlagsutskottet försäkra sig om att informationssäkerheten fungerar och finns tillgänglig genast när registret börjar användas (GrUU 71/2018 rd, s. 5). 

(24) Grundlagsutskottet fäste särskild uppmärksamhet vid bestämmelserna om utlämnande av uppgifter. Enligt utskottets uppfattning framgick det av vissa av de föreslagna bestämmelserna inte om avsikten var att med stöd av bestämmelsen lämna ut sekretessbelagda patient- och klientuppgifter trots sekretess. Om det var avsikten, måste den föreslagna regleringen på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och för personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se även GrUU 71/2018 rd, s. 5). Ändringen var en förutsättning för att förslaget till kunduppgiftslag skulle kunna behandlas i vanlig lagstiftningsordning. Som tidigare sagt förföll dock propositionen. 

(25) I den nu aktuella propositionen föreslås det att utlämnande av klientuppgifter och patientuppgifter inom socialvården genom Kanta-tjänsterna trots sekretessbestämmelserna ska basera sig på information, den föreslagna lagstiftningen och existensen av en kund- eller vårdrelation och inte på samtycke som begärs av kunden. Patientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationssystemtjänster efter det att patienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten med stöd av 18 § har förbjudit att uppgifter inom honom eller henne lämnas ut. I 15 § föreskrivs det om åtkomsträtt till endast nödvändiga patientuppgifter. På motsvarande sätt lämnas uppgifter om en socialvårdsklient på grund av en begäran med hjälp av riksomfattande informationssystemtjänster ut till tjänstetillhandahållare efter det att klienten har informerats i enlighet med 15 § och existensen av en kund- eller vårdrelation mellan klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte klienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. I 15 § bestäms det om åtkomsträtt till endast nödvändiga kunduppgifter. 

(26) I propositionsmotiven (s. 6) beskrivs det nuvarande rättsläget så att patienten för närvarande kan ge sitt samtycke till att patientuppgifter som rör honom eller henne lämnas ut till andra personuppgiftsansvariga (tjänstetillhandahållare), och om han eller hon så vill begränsa samtyckets omfattning genom förbud. När en patient anlitar en annan tjänstetillhandahållares hälso- och sjukvårdstjänster kan denne hämta tidigare patientuppgifter i de riksomfattande informationssystemtjänsterna. Journalhandlingar i de riksomfattande informationssystemtjänsterna lämnas ut inom de gränser som samtycket och förbuden bestämmer efter det att vårdrelationen har säkerställts datatekniskt. I propositionen hänvisas det till att patientuppgifter inom hälso- och sjukvården för närvarande kan lämnas ut med hjälp av ett vidsträckt samtycke som gäller tills vidare och som omfattar alla patientuppgifter. I propositionen anses det att ett så vidsträckt samtycke inte uppfyller EU:s dataskyddsförordnings krav på att samtycket ska vara exakt och noga avgränsat och uttryckligt i fråga om särskilda kategorier av personuppgifter (s. 49). Enligt motiveringen motsvarar är det som föreslås också förenligt med EU:s dataskyddsförordning och motsvarar de riksomfattande informationssystemtjänsternas verkliga funktionalitet (s. 154). 

(27) Grundlagsutskottet har bedömt en motsvarande regleringslösning i sitt utlåtande om regeringens proposition med förslag till lag om hälso- och sjukvård (RP 90/2010 rd) (GrUU 41/2010 rd, s. 3). Utskottet bedömde ett förslag om att patientjournalerna inom den kommunala primärvården och den specialiserade sjukvården inom samkommunen för ett sjukvårdsdistrikt ska bilda ett gemensamt patientregister. Patientens rätt att förbjuda att uppgifterna används och skyldigheten att informera patienten om möjligheten gav enligt utskottet i den typen av situationer fullgoda garantier för att patientens självbestämmanderätt tillgodoses, även om det enligt förslaget inte krävdes patientens uttryckliga samtycke för att känsliga uppgifter om hälsotillstånd skulle kunna lämnas ut mellan verksamhetsenheterna. Utskottet betonade att också bestämmelserna om uppföljning av användningen av patientuppgifterna och kravet att det datatekniskt måste säkerställas att det finns en vårdrelation mellan patienten och den som begär uppgifter spelar en roll för denna bedömning avseende självbestämmanderätten och särskilt för skyddet av patientuppgifter. Utifrån dessa utgångspunkter var den föreslagna regleringen inte problematisk med tanke på grundlagen. Utskottet underströk dock att ett patientregister är ett register som finns på flera ställen och innehåller känsliga uppgifter, och att det därför är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och finns tillgänglig genast när registret börjar användas. 

(28) Grundlagsutskottet anser dock att den behandling av uppgifter som föreslogs i det lagförslag som då bedömdes väsentligen avviker från det nu föreslagna utlämnandet av patientuppgifter och klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster. Det var fråga om ett register för samkommunen för ett sjukvårdsdistrikt. Nu föreslås ett riksomfattande system där rätten att få uppgifter i princip är oberoende av samtycke och som inrättas i enlighet med 20 och 21 § i förslaget till kunduppgiftslag. I enlighet med definitionsbestämmelsen i 3 § 7 punkten hör denna rätt till alla anordnare och producenter av social- och hälsotjänster. Utskottet anser att det är fråga om en tämligen djupgående inskränkning av självbestämmanderätten. En inskränkning ska bedömas med beaktande av de allmänna och vid behov de särskilda villkoren för inskränkning av de grundläggande fri- och rättigheterna samt med beaktande av utskottets praxis. 

(29) Grundlagsutskottet uttrycker sin oro vad syftet med den valda regleringen, som lösgör sig från kravet på samtycke, innebär med tanke på att det måste finnas godtagbara grunder för en inskränkning av självbestämmanderätten. Utskottet anser att till exempel strategin för utnyttjande av social- och hälsovårdsinformationen fram till 2020, som i propositionen (s. 7) nämns som bakgrund till den valda regleringslösningen, inte är helt oproblematiskt med tanke på utskottets praxis när det gäller att begränsa behandlingen av känsliga personuppgifter till vad som är absolut nödvändigt. Utskottet noterar också att en inskränkning av självbestämmanderätten inte kan motiveras med att förverkligandet av självbestämmanderätten kräver betydande tekniska ändringar i informationssystemen (s. 50). Med beaktande av att utlämnande av uppgifter mellan hälso- och sjukvården och socialvården enligt det föreslagna 20 § 2 mom. och 21 § 2 mom. dock kräver samtycke, är utskottet inte heller övertygat av alla motiveringar som talar för förkastandet av ett regleringsalternativ som baserar sig på samtycke. 

(30) Grundlagsutskottet ansåg redan vid bedömningen av den proposition som förföll att en lagbaserad rätt att oberoende av samtycke få känsliga social- och hälsovårdsuppgifter i det föreslagna riksomfattande systemet måste följa utskottets praxis om bestämmelser som rör rätten att få och att lämna ut uppgifter trots sekretess (GrUU 71/2018 rd, s. 5). 

(31) Den reglering av rätten att få uppgifter som nu granskas uppfyller enligt propositionens motiv till lagstiftningsordning (s. 153) de krav som ställs i nämnda praxis. Enligt propositionens motiv till lagstiftningsordning har de ändringar och preciseringar som grundlagsutskottet förutsätter företagits i 20 och 21 §, som gäller utlämnande av patientuppgifter och klientuppgifter inom socialvården från riksomfattande informationssystemtjänster, så att de aktörer som lämnar ut och tar emot patientuppgifter och klientuppgifter inom socialvården har definierats noggrannare i lagens definitioner. I fråga om användningsändamålet har utlämnandet dessutom vad användningsändamålet beträffar begränsats till ordnande, produktion och tillhandahållande av socialvård samt hälso- och sjukvård för patienten och klienten. Utskottet anser att ordnande, produktion och tillhandahållande av socialvård samt hälso- och sjukvård inte kan betraktas som en särskilt exakt avgränsning. 

(32) Vidare fäster utskottet uppmärksamheten vid de gällande bestämmelserna. I 10 § 1 mom. i den gällande lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården ingår en allmän begränsningsbestämmelse enligt vilken patientuppgifter får lämnas ut med hjälp av riksomfattande informationssystemtjänster endast till andra tillhandahållare av hälso- och sjukvårdstjänster för ordnande och tillhandahållande av hälso- och sjukvård för patienten. I det momentet föreskrivs det också att utlämnandet ska grunda sig antingen på patientens samtycke, 13 § 3 mom. 3 punkten i patientlagen eller någon annan bestämmelse i lag som ger rätt till utlämnande. Momentets första mening fogades ursprungligen till bestämmelsen vid riksdagsbehandlingen. Avsikten var att precisera den föreslagna bestämmelsen om grunderna för utlämnande med bestämmelser om syfte för utlämnandet och mottagare av uppgifterna (ShUB 47/2006 rd). 

(33) Enligt 20 § i den nu föreslagna kunduppgiftslagen får trots sekretessbestämmelserna patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan tjänstetillhandahållare inom hälso- och sjukvården eller till ett annat patientregister hos samma tjänstetillhandahållare för ordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. I 21 § i lagförslaget föreskrivs det på motsvarande sätt om klientuppgifter inom socialvården. Enligt grundlagsutskottets uppfattning har den nu föreslagna, på lag grundade behandlingen av känsliga uppgifter genomförts så att den gällande regleringens bestämmelser om rättslig grund för utlämnande har strukits. Enligt utskottets uppfattning innebär förslaget till bestämmelse bland annat att exempelvis de villkor för begränsning av självbestämmanderätten som anges i 13 § 3 mom. i patientlagen och som det hänvisas till i den gällande regleringen helt förlorar sin betydelse. Uppgifter får lämnas ut till en annan tillhandahållare av hälso- och sjukvårdstjänster eller till ett annat patientregister hos samma tillhandahållare av hälso- och sjukvårdstjänster, om det behövs för att ordna, producera och tillhandahålla hälso- och sjukvård för patienten. 

(34) Enligt grundlagsutskottet uppfyller regleringen till denna del inte kravet på exakthet och noggrann avgränsning. Enligt utskottet visar till exempel social- och hälsovårdsministeriets förordning om journalhandlingar att det i och för sig är möjligt att utfärda betydligt noggrannare bestämmelser om patientuppgifter inom hälso- och sjukvården. Även bemyndigandet enligt det föreslagna 15 § 2 mom. att genom förordning utfärda bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller stöder en sådan bedömning. 

(35) Grundlagsutskottet har ansett det möjligt att trots sekretessbestämmelserna binda utlämnandet av uppgifter även till att det är nödvändigt för ett visst syfte, om det datainnehåll som utlämnas inte har specificerats i lagstiftningen. Kravet på nödvändighet har inte tagits in i de nu föreslagna bestämmelserna i 20 och 21 §, eftersom det enligt motiveringen (s. 155) inte är datatekniskt möjligt att avgränsa utlämnandet av klient- och patientuppgifter med hjälp av de riksomfattande informationssystemtjänsterna till utlämnande av enbart nödvändiga uppgifter. Dessutom kan enligt motiven till lagstiftningsordning (s. 155) bara den yrkesutbildade person som vårdar patienten eller den yrkesutbildade person inom socialvården som ansvarar för klienten bedöma vad som är nödvändiga klient- och patientuppgifter för att ordna, producera och tillhandahålla vård eller ordna, producera och tillhandahålla socialvård för klienten. 

(36) Enligt 15 § 1 mom. i lagförslaget ska likväl åtkomsträttigheterna till kunduppgifter grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar klient- och patientuppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har åtkomsträtt endast till de nödvändiga kunduppgifter som han eller hon behöver i sina arbetsuppgifter och beträffande vilka han eller hon har rätt att få uppgifter. Grunden för behandlingen av klientuppgifter ska vara en klient- eller vårdrelation som säkerställts datatekniskt eller någon annan lagstadgad rätt.. 

(37) Enligt propositionen kan detta datatekniska säkerställande inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en anteckning i informationssystemet om att kunden har skrivits in på bäddavdelningen eller polikliniken. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en klientrelation eller vårdrelation med den yrkesutbildade person som behandlar uppgifterna, ska anteckningen ha gjorts av någon annan än denna yrkesutbildade person. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna (s. 101). 

(38) Enligt inkommen utredning finns det i det riksomfattande systemet inte heltäckande datatekniska verifieringar av det slag som beskrivs ovan. Utskottet har i enlighet med vad som anförts ovan också i betydligt mindre omfattande sammanhang än den nu den föreslagna regleringsmodellen betonat att vårdrelationen ska säkerställas datatekniskt och ansett att en förutsättning är att dataskyddsarrangemangen för att förhindra missbruk är fungerande och tillgängliga genast när systemet tas i bruk. Utskottet anser att det i och för sig är nödvändigt, men inte tillräckligt, att i efterhand och effektivt övervaka att behandlingen är nödvändig och laglig exempelvis med hjälp av logguppgifter. Utskottet har betonat att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem (GrUU 65/2018 rd, s. 47, GrUU 51/2018 rd, s. 5, GrUU 52/2018 rd, s. 4). 

(39) Grundlagsutskottet anser också att oklarheterna i regleringen kan leda till missbruk. Enligt exempelvis propositionens lagförslag 6 ska det i 13 a § i lagen om patientens ställning och rättigheter kvarstå en formulering enligt vilken bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården. Av de föreslagna bestämmelserna framgår således inte om de bestämmelser i 20 och 21 § om utlämnande av uppgifter som nu bedöms kan utgöra grund för behandlingen av patient- och klientuppgifter som en lagfäst rättighet på det sätt som avses i 15 §. 

(40) Grundlagsutskottet anser således att regleringen som helhet bedömd inte uppfyller förutsättningarna för att på det föreslagna sättet slopa huvudregeln om krav på samtycke, vilket tryggar självbestämmanderätten, i en regleringskontext inom social- och hälsovården som bygger på självbestämmanderätt. Utskottet anser att om rätten att förbjuda utlämnande kräver aktiva åtgärder, kan självbestämmanderätten inte säkerställas tillräckligt väl. Bestämmelserna om utlämnande av uppgifter i 20 § 1 mom. och 21 § 1 mom. i lagförslag 1 i propositionen måste ändras. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

(41) Ändring av förslaget till klientuppgiftslag på det sätt som förutsätts i utskottets praxis, det vill säga genom antingen en regleringsmodell som väsentligen specificerar de uppgifter som kan lämnas ut eller genom en regleringsmodell som anknyter till att utlämnandet är nödvändigt och till att kundrelationen är datatekniskt säkerställd, påverkar enligt grundlagsutskottets uppfattning till den grad lagförslagets grundläggande lösningar att ändringarna inte kan göras i riksdagen utan måste göras i en regeringsproposition. Utskottet har ansett att det är nödvändigt och hör till god lagstiftningssed att beredningen av ett ärende åläggs statsrådet, i synnerhet om det i en regeringsproposition föreslås mycket avgörande ändringar som i väsentlig grad påverkar de grundläggande lösningarna i propositionen (GrUU 9/2020 rd, s. 3, GrUU 26/2017 rd, s. 76, se även GrUU 75/2014 rd, s. 8/II). Utskottet anser dessutom att det är klart att sådana regleringslösningar ska föreläggas grundlagsutskottet för ny bedömning. 

(42) Enligt grundlagsutskottets uppfattning kan denna ändring, som bättre säkerställer självbestämmanderätten och är ett krav för vanlig lagstiftningsordning, likväl göras vid riksdagsbehandlingen på så sätt att den föreslagna begränsningen av självbestämmanderätten inte är huvudregel, utan att det i stället föreskrivs att samtycke är ett villkor för utlämnande enligt 20 och 21 §. 

(43) Grundlagsutskottet anser att det trots grundlagen är möjligt att föreskriva om ett brett samtycke på samma sätt som i den gällande lagen, om det förenas med en möjlighet att begränsa samtycket genom förbud av det slag som föreslås i 18 § (se även GrUU 10/2012 rd, s. 2—4). Regleringen av samtycket ska uppfylla de villkor som nämns i utskottets praxis. Samtycket ska grunda sig till exempel på tillräcklig information som ges i ett förfarande enligt 15 § (se även t.ex. GrUU 23/2020 rd, s. 4—5), det ska vara frivilligt och det ska också kunna återkallas. Om sättet att ge sitt samtycke ska det föreskrivas exempelvis på motsvarande vis som i den gällande lagen. Enligt utskottet skapar en sådan reglering i det aktuella lagstiftningskontexten tillräckliga förutsättningar för ett faktiskt förverkligande av självbestämmanderätten (se även GrUU 20/2020 rd, s. 6). Utskottet betonar att detta inte hindrar att det i samtyckeskravet bestäms om undantag och annan rätt att få information på det sätt som föreskrivs exempelvis i 13 § i patientlagen. 

(44) Enligt inkommen utredning och enligt statsrådets ståndpunkt sådan den uttrycks i vissa propositioner är en sådan reglering möjlig också med tanke på EU:s dataskyddsförordning. Till exempel i regeringens proposition med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar (RP 101/2020 rd) sägs det i motiveringen till lagstiftningsordningen (s. 32) att behandlingen av känsliga uppgifter i coronaapplikationen grundar sig på nationell lag på det sätt som avses i artikel 6.1 e i dataskyddsförordningen och i artikel 9.2 i i fråga om särskilda kategorier av personuppgifter. Att personen ska ge sitt godkännande till att uppgifterna överförs kompletterar denna rättsliga grund som en skyddsåtgärd i fråga om behandlingen av personuppgifter. 

(45) Det väsentliga är då att det på det sätt som dataskyddsförordningen förutsätter föreskrivs om behandlingen i en lag som uppfyller förutsättningarna enligt förordningen och som utgör den grund för behandlingen som avses i artiklarna 6 och 9 i förordningen. Social- och hälsovårdsutskottet ska då försäkra sig om att regleringen är ändamålsenlig och proportionerlig med tanke på dataskyddsförordningen. Det samtycke som förutsätts i lagen kan då utgöra en skyddsåtgärd för behandlingen (se även den i artikel 68 i EU:s dataskyddsförordning avsedda Europeiska dataskyddsstyrelsens yttrande 3/2019, punkt 15 om dialogen mellan förordningen om kliniska läkemedelsprövningar och den allmänna dataskyddsförordningen). Enligt utskottets uppfattning behöver samtycket då inte uppfylla det krav på samtycke som förutsätts i förordningen, eftersom behandlingen inte baserar sig på det. Enligt artikel 9.4 i den allmänna dataskyddsförordningen får medlemsstaterna dessutom behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. 

Förvaringstider

(46) Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (se GrUU 31/2017 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Utskottet har understrukit att framför allt lagringstiden för känsliga uppgifter ska vara begränsad på så sätt att uppgifterna bara får finnas lagrade så länge det är nödvändigt för att fullfölja det syfte för vilket uppgifterna har registrerats (se t.ex. GrUU 31/2017 rd, s. 5, GrUU 13/2017 rd, s. 6). Utskottet har till exempel ansett att en lagringstid på fem år för känsliga uppgifter är lång (GrUU 51/2018 rd, s. 16, GrUU 13/2017 rd, s. 6). 

(47) Förslaget till kunduppgiftslag innehåller inga bestämmelser om förvaringstid i anslutning till de riksomfattande informationssystemtjänsterna, även om tjänsterna behandlar sådana i dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter eller annars är av känslig art. Bestämmelser om förvaringstiderna för klienthandlingar inom socialvården finns i lagen om klienthandlingar inom socialvården. Bestämmelser om förvaringstiderna för journalhandlingar finns dock i förordningen om journalhandlingar. Enligt grundlagsutskottet gäller kravet på att bestämmelser om känsliga personuppgifter ska utfärdas genom lag också förvaringstiderna (GrUU 14/2018 rd, s. 2 och 6). Bestämmelserna måste kompletteras. 

Ikraftträdande

(48) I 8 § 2 mom. i förslaget till kunduppgiftslag åläggs tjänstetillhandahållarna att spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten. I 8 § 3 mom. föreslås dock en bestämmelse om att bestämmelser om när och i vilken omfattning originalhandlingar som avses i 1 mom. senast ska sparas i den riksomfattande arkiveringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. 

(49) Det föreslagna bemyndigandet att utfärda förordning har betydelse med avseende på 79 § 3 mom. i grundlagen. Det momentet föreskriver att det av en lag ska framgå när den träder i kraft. Av särskilda skäl kan det anges i en lag att tidpunkten för ikraftträdandet bestäms genom förordning. Det kan vara fråga om särskilda skäl exempelvis om de olika delarna av ett större lagstiftningskomplex ska träda i kraft vid samma tidpunkt och då det när lagen stiftas ännu inte är möjligt eller ändamålsenligt att fastställa tidpunkten (RP 1/1998 rd, s. 130–131, se också GrUU 44/2018 rd, s. 4, och GrUU 7/2005 rd, s. 11/II). I sin praxis har grundlagsutskottet ansett att också en koppling av ikraftträdandetidpunkten till Finlands internationella förpliktelser eller exempelvis EU-lagstiftning utgör ett sådant särskilt skäl (se t.ex. GrUU 36/2010 rd, s. 3/I, GrUU 21/2007 rd, s. 2/II, och GrUU 46/2006 rd, s. 3/II). 

(50) Enligt motiveringen till 8 § 3 mom. i förslaget till kunduppgiftslag gör den föreslagna bestämmelsen det möjligt att det i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis. 

(51) Grundlagsutskottet har ansett att orsaker som gäller tidsplanerna för sådana administrativa åtgärder inte uppfyller kravet på särskilda skäl i grundlagens 79 § 3 mom. (se också GrUU 3/2019 rd, s. 3). Föranstaltningar av detta slag hör till det normala lagstiftningsarbetet, och den behövliga tiden kan reserveras när beslut fattas om ikraftträdandet i samband med stadfästelsen av lagen (GrUU 11/2014 rd, s. 7/II, GrUU 4/2014 rd, s. 5/II, och GrUU 7/2005 rd, s. 11/II). Med andra ord måste 8 § 3 mom. i lagförslag 1 ändras för att det ska kunna behandlas i vanlig lagstiftningsordning till dessa delar. 

Övrigt

(52) Grundlagsutskottet noterar de uppgifter som i 26 § i förslaget till kunduppgiftslag anvisas dataombudsmannen. I bedömningen av propositionens ekonomiska konsekvenser har den nya uppgiften inte alls beaktats med tanke på dataombudsmannens resurser. Utskottet har redan tidigare fäst statsrådets uppmärksamhet vid den centrala betydelse som en oberoende myndighet enligt artikel 8.3 i stadgan om de grundläggande rättigheterna har för den grundläggande rätten till dataskydd, och anser det fortfarande viktigt att tillsynsmyndigheten ges tillräckliga resurser för att kunna sköta uppgifterna på behörigt sätt (se även GrUU 11/2018 rd, GrUU 3/2017 rd). 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till dess 8, 20 och 21 § beaktas på behörigt sätt. 
Helsingfors 2.3.2021 

I den avgörande behandlingen deltog

ordförande 
Antti Rinne sd 
 
vice ordförande 
Antti Häkkänen saml 
 
medlem 
Bella Forsgrén gröna 
 
medlem 
Maria Guzenina sd 
 
medlem 
Petri Honkonen cent 
 
medlem 
Olli Immonen saf 
 
medlem 
Anna Kontula vänst 
 
medlem 
Mats Löfström sv 
 
medlem 
Jukka Mäkynen saf 
 
medlem 
Sakari Puisto saf 
 
medlem 
Wille Rydman saml 
 
medlem 
Ari Torniainen cent 
 
medlem 
Heikki Vestman saml 
 
ersättare 
Markku Eestilä saml 
 
ersättare 
Tarja Filatov sd 
 
ersättare 
Mari Holopainen vihr 
 
ersättare 
Johannes Koskinen sd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.