Senast publicerat 07-10-2021 10:24

Betänkande ShUB 42/2020 rd RP 225/2020 rd Social- och hälsovårdsutskottet Regeringens proposition till riksdagen med förslag till lag om ändring av en lag om temporär ändring av lagen om smittsamma sjukdomar

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om ändring av en lag om temporär ändring av lagen om smittsamma sjukdomar (RP 225/2020 rd): Ärendet har remitterats till social- och hälsovårdsutskottet för betänkande och till grundlagsutskottet för utlåtande. 

Utlåtande

Utlåtande har lämnats av 

  • grundlagsutskottet 
    GrUU 42/2020 rd

Sakkunniga

Utskottet har hört (distanskontakt) 

  • regeringsråd Joni Komulainen 
    social- och hälsovårdsministeriet
  • specialsakkunnig Sari Palojoki 
    social- och hälsovårdsministeriet
  • lagstiftningsråd Tanja Jaatinen 
    justitieministeriet
  • biträdande dataombudsman Jari Råman 
    Dataombudsmannens byrå
  • direktör för informationstjänsterna Aleksi Yrttiaho 
    Institutet för hälsa och välfärd (THL).

Inget yttrande av 

  • kommunikationsministeriet
  • Folkpensionsanstalten
  • Tillstånds- och tillsynsverket för social- och hälsovården (Valvira).

PROPOSITIONEN

Regeringen föreslår ändringar i en lag om temporär ändring av lagen om smittsamma sjukdomar. 

Syftet med propositionen är att möjliggöra gränsöverskridande interoperabilitet mellan mobilapplikationen Coronablinkern, som medverkar till att effektivare bryta smittkedjor, och andra liknande applikationer. 

Bestämmelser föreslås om behandling av personuppgifter vid gränsöverskridande användning av ett informationssystem som är avsett att göra det effektivare att bryta smittkedjorna för det coronavirus som orsakat covid-19-epidemin. 

Till lagen fogas nya bestämmelser om utlämnande av personuppgifter vid gränsöverskridande användning av informationssystemet till en utsedd nationell myndighet eller ett utsett offentligt organ i en annan EU-medlemsstat, i en stat som hör till Europeiska ekonomiska samarbetsområdet eller i Schweiz för att nå personer som eventuellt har exponerats för coronaviruset. Vidare införs bestämmelser om användarens samtycke till att uppgifter lämnas ut, om de ändamål för vilka de får lämnas ut och om annan behandling av uppgifterna. 

Dessutom föreslår regeringen att lagens giltighetstid ändras till och med den 31 december 2021. 

Lagen avses träda i kraft den 30 november 2020. 

UTSKOTTETS ÖVERVÄGANDEN

Syftet med lagändringarna är att möjliggöra interoperabilitet mellan mobilapplikationer som tagits fram i EU- och EES-länderna samt i Schweiz så att användarna i dessa länder kan få information om eventuell exponering i sin egen applikation, när de har mött en person som använder en applikation som tagits fram i ett annat EU- eller EES-land eller i Schweiz. 

Interoperabiliteten genomförs via en samordnad nätsluss som tagits fram och tillhandahålls av Europeiska kommissionen. Den grundar sig på kommissionens genomförandebeslut (EU) 2020/1023, som antagits utifrån direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (nedan kallat patientrörlighetsdirektivet). Syftet med kommissionens genomförandebeslut är att möjliggöra interoperabilitet mellan nationella mobilapplikationer så att man med hjälp av dem ska kunna spåra smittkedjor för covid-19-epidemin och varna för eventuell exponering, också när användarna reser till en annan medlemsstat. Det är frivilligt för medlemsstaterna att delta i det samarbete och det gränsöverskridande informationsutbyte som avses i genomförandebeslutet. 

Till lagen om smittsamma sjukdomar fogades den 9 juli 2020 ett nytt temporärt 4 a kap. om ett informationssystem som medverkar till att effektivare bryta smittkedjor för covid-19. På så sätt ska man kunna nå dem som eventuellt exponerats för coronaviruset. I kapitlet finns bestämmelser om behandling av personuppgifter i samband med användningen av informationssystemet. Bestämmelserna måste ändras eftersom genomförandet av interoperabilitet mellan mobilapplikationer i olika länder till vissa delar kräver en ny typ av behandling av personuppgifter. För att möjliggöra interoperabilitet föreslås lagen få bestämmelser om behandling av personuppgifter i samband med informationssystemet vid utlämnande av uppgifter till en myndighet eller ett offentligt organ som ansvarar för en applikation i ett annat land. Det ska fortsatt vara frivilligt att använda mobilapplikationen. Vidare är det frivilligt för användaren att tillåta att uppgifter behandlas i gränsöverskridande situationer. 

Social- och hälsovårdsutskottet anser att ändringarna är viktiga och nödvändiga. De som använder en mobilapplikation kan tack vare interoperabiliteten mellan gränsöverskridande applikationer i högre grad än tidigare vara med och förhindra att coronaviruset sprids, eftersom en smittad person frivilligt och anonymt kan förmedla information om eventuell exponering också till användare av mobila applikationer som tagits fram i de nämnda länderna. På så sätt får också de information om behovet av att kontakta hälso- och sjukvården för att förhindra eventuella nya infektioner, när applikationen meddelar att de eventuellt har exponerats för coronaviruset. Interoperabiliteten kan enligt propositionen således också medverka till lättnader i reserestriktionerna, när smittkedjorna kan brytas effektivare i gränsöverskridande situationer. 

Behandling av personuppgifter vid gränsöverskridande informationsutbyte

Enligt grundlagsutskottet (GrUU 42/2020 rd, s. 3) framgår det dock inte i tillräcklig utsträckning av propositionen på vilket sätt systemet säkerställer att de restriktioner för användningsändamålet som föreskrivs i lagen om smittsamma sjukdomar iakttas också efter det att uppgifterna lämnas ut till utländska myndigheter. Följaktligen måste det enligt grundlagsutskottet säkerställas att det informationssystem som används i en annan stat inte sparar platsdata eller uppgifter om kontakter i fråga om telefoner eller använder uppgifterna för ändamål som strider mot 43 c § 1 mom. i lagen om smittsamma sjukdomar, exempelvis för polisundersökning, förundersökning eller rättegång. Det sägs i och för sig i propositionen, med hänvisning till det bakomliggande genomförandebeslutet av kommissionen, att förbudet också gäller uppgifter som lämnas ut till myndigheter i andra stater, påpekar grundlagsutskottet. I det hänseendet bör social- och hälsovårdsutskottet enligt grundlagsutskottet granska lagförslaget också med avseende på EU:s dataskyddsförordning. Bestämmelserna måste vid behov preciseras, om de EU-regler som ska genomföras tillåter det. 

Med anledning av utlåtandet från grundlagsutskottet framhåller social- och hälsovårdsutskottet följande. 

Den samordnade nätsluss som Europeiska kommissionen har tagit fram och tillhandahåller grundar sig på kommissionens genomförandebeslut (EU) 2020/1023, som beskriver informationsutbytet i dess helhet och skapar regler för utbytet, det vill säga för de myndigheter som är involverade i interoperabiliteten och för själva informationsutbytet. I artikel 7a i genomförandebeslutet preciseras det uttömmande vilka uppgifter som får förmedlas genom den samordnade nätslussen vid gränsöverskridande informationsutbyte mellan nationella mobilapplikationer för kontaktspårning och varning. Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen enligt artikeln vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang. Därmed får personuppgifter i princip inte användas för andra, oförenliga användningssyften. Genomförandebeslutet hänvisar också till riktlinjer och ett yttrande från Europeiska dataskyddsstyrelsen, där det understryks att användningsändamålet måste vara begränsat till hanteringen av covid-19-krisen och att exempelvis kommersiella och lagövervakningsrelaterade ändamål ska vara uteslutna. Dessutom informeras användaren i förväg om de ändamål som uppgifter lämnas ut för och som uppgifter får behandlas för. Det görs alltså ingrepp i skyddet för personuppgifter bara på ett begränsat sätt som användaren känner till i förväg. 

Varje personuppgiftsansvarig som deltar i interoperabiliteten ansvarar för behandlingen av personuppgifter i den samordnade nätslussen i enlighet med EU:s dataskyddsförordning. Den förordningen är direkt tillämplig rätt i alla medlemsstater. Beroende på de valda tillvägagångssätten kan behandlingen av personuppgifter i samband med användningen av mobilapplikationen antingen basera sig direkt på dataskyddsförordningen eller på specialbestämmelser som kompletterar den. Enligt förordningen får personuppgifternas fria rörlighet inom unionen inte begränsas eller förbjudas av orsaker som har att göra med skyddet av fysiska personer vid behandlingen av personuppgifter. 

Enligt artikel 14 i patientrörlighetsdirektivet ska unionen stödja och främja samarbetet om och utbytet av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. De nationella myndigheter och offentliga organ som har utsetts i nätverket för e-hälsa och som behandlar personuppgifter i den samordnade nätslussen kan lita på att personuppgifterna behandlas enligt EU:s dataskyddsförordning och enligt riktlinjer som utfärdats av Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen och kommissionen. Användningen av den samordnade nätslussen kräver dessutom en ansökan till nätverket för e-hälsa. De nationella myndigheter och offentliga organ som ansvarar för tjänster för e-hälsa ska bevisa att de uppfyller de gemensamt överenskomna juridiska, tekniska, organisatoriska samt datasekretess- och datasäkerhetsrelaterade krav som ställts av undergruppen för gemensamt personuppgiftsansvariga inom nätverket för e-hälsa. Vid ansökan om att delta i den samordnade nätslussen måste de ansökande staterna exempelvis försäkra sig om att de använder uppgifterna uteslutande på ett sätt som är förenligt med målet att förebygga covid-19-krisen och att de inte använder platsdata. 

De länder som deltar i interoperabiliteten måste följa dataskyddsförordningen, och det medför ett flertal krav för den personuppgiftsansvarige och personuppgiftsbiträdet vid behandling av personuppgifter. Dessutom föreskriver förordningen om den övervakning av behandlingen av personuppgifter som utförs av en nationell myndighet som utses av medlemsstaten. I varje stat som ansluter sig till interoperabiliteten övervakas också behandlingen av personuppgifter som kommer från den samordnade nätslussen. Dessutom måste staterna innan de går med i nätslussen begära yttrande av den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Europeiska dataskyddsstyrelsen kan också fatta bindande beslut i tvister om gränsöverskridande behandling och därmed säkerställa en samordnad tillämpning av EU:s regler, för att samma fall inte ska behandlas olika i olika jurisdiktioner. 

Med hänvisning till det som sägs ovan anser social- och hälsovårdsutskottet att de föreslagna bestämmelserna inte behöver preciseras, eftersom behandlingen av personuppgifter grundar sig dels på EU-rätt som genomförs i de stater som deltar i interoperabiliteten mellan mobilapplikationerna, dels på EU:s allmänna dataskyddsförordning och eventuell nationell lagstiftning som kompletterar den. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis. Staterna är således skyldiga att iaktta exempelvis principen om ändamålsbegränsning vid behandling av personuppgifter. Det innebär att personuppgifter inte får behandlas senare på ett sätt som är oförenligt med de ursprungliga ändamålen. Dessutom ska de stater som deltar i interoperabiliteten följa kommissionens genomförandebeslut och andra riktlinjer från kommissionen, till exempel om dataskydd. Den stat som vill gå med i den samordnade nätslussen ska vid ansökan visa att den uppfyller de föreskrivna kraven. För att godkännas måste kraven vara uppfyllda. 

Information till användare av mobilapplikationer

Överföringen av personuppgifter till myndigheter i andra stater kräver enligt det föreslagna 43 i § 3 mom. ett uttryckligt samtycke av användaren. Av samtycket ska det framgå att personen har lämnat det frivilligt och uttryckligt samt med vetskap om de ändamål för vilka uppgifter som överförts med mobilapplikationen får lämnas ut och användas. Det ska också framgå att samtycket inte har lämnats i samband med kundservice inom social- och hälsovården eller i ett myndighetsförfarande. 

Enligt utlåtandet från grundlagsutskottet (GrUU 42/2020 rd, s. 3) ska det i bestämmelserna säkerställas att samtycket grundar sig på tillräcklig information också i fråga om olika användningsändamål och till exempel utlämnande av uppgifter (se också GrUU 20/2020 rd, s. 8). Samtidigt betonar grundlagsutskottet att användarna som grund för samtycke måste ges tydlig och heltäckande information om vad applikationens gränsöverskridande interoperabilitet innebär med avseende på behandlingen av personuppgifter. 

Social- och hälsovårdsutskottet delar grundlagsutskottets uppfattning och understryker vikten av att användarna av mobilapplikationen informeras. När applikationens funktion ändras måste användarna, till följd av de föreslagna lagändringarna, som grund för samtycke ges tydlig och tillräckligt heltäckande information om hur och varför personuppgifter behandlas, också i samband med gränsöverskridande interoperabilitet. Som personuppgiftsansvarig är Institutet för hälsa och välfärd skyldigt att se till att de registrerade informeras tydligt och heltäckande om behandlingen av personuppgifter inom ramen för informationssystemet. Användarna måste också informeras om hur personuppgifter behandlas i samband med gränsöverskridande användning av informationssystemet. 

Förlängd giltighetstid

Bestämmelserna om ett informationssystem som medverkar till att effektivare bryta smittkedjor för covid-19 i 4 a kap. i lagen om smittsamma sjukdomar gäller till och med den 31 mars 2021. Institutet för hälsa och välfärd ska dock enligt 43 a § 5 mom. se till att informationssystemet används bara så länge som det behövs för att bryta smittkedjor för covid-19. 

Regeringen föreslår att giltighetstiden för 4 a kap. förlängs till och med den 31 december 2021. I höst har covid-19-epidemin tagit ny fart i de flesta EU-länder, även Finland. Trots att framtagningen av ett vaccin mot covid-19 framskrider behövs mobilapplikationen och det bakomliggande systemet fortfarande för att förhindra att epidemin sprids också nästa år. 

Grundlagsutskottet konstaterar i sitt utlåtande att det inte har något att anmärka mot att giltighetstiden för bestämmelserna om användningen av ett system som baserar sig på frivillighet förlängs (GrUU 42/2020 rd, s. 3). 

Social- och hälsovårdsutskottet anser det motiverat att giltighetstiden för bestämmelserna förlängs på det sätt som regeringen föreslår, till och med den 31 december 2021. 

FÖRSLAG TILL BESLUT

Social- och hälsovårdsutskottets förslag till beslut:

Riksdagen godkänner lagförslaget i proposition RP 225/2020 rd utan ändringar. 
Helsingfors 3.12.2020 

I den avgörande behandlingen deltog

ordförande 
Markus Lohi cent 
 
vice ordförande 
Mia Laiho saml 
 
medlem 
Kim Berg sd 
 
medlem 
Kaisa Juuso saf 
 
medlem 
Noora Koponen gröna 
 
medlem 
Aki Lindén sd 
 
medlem 
Hanna-Leena Mattila cent 
 
medlem 
Ilmari Nurminen sd 
 
medlem 
Minna Reijonen saf 
 
medlem 
Juhana Vartiainen saml 
 
medlem 
Heidi Viljanen sd 
 
medlem 
Sofia Virta gröna 
 
ersättare 
Merja Kyllönen vänst. 
 

Sekreterare var

utskottsråd 
Päivi Salo.