VALTIONEUVOSTON KIRJELMÄ
Ehdotus
Euroopan komissio antoi 3.5.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final).
Valtioneuvoston kanta
Valtioneuvosto katsoo, että säädösehdotus on merkittävä osa laajempaa komission datastrategiaa ja työkalu sisämarkkinoiden edistämiselle datan avulla. Ehdotus on tulevaisuudessa merkittävä EU:n terveyspolitiikkaan laaja-alaisesti vaikuttava kokonaisuus ja askel kohti laajempaa terveysunionia. Terveystietojen käytön edistäminen on Suomelle kansallisesti tärkeä asia ja valtioneuvosto katsoo ehdotuksella olevan eurooppalaista lisäarvoa.
Valtioneuvosto pitää ehdotettua säädöstä tavoitteiltaan kannatettavana. Valtioneuvosto korostaa kuitenkin, että yhteiseurooppalaisen tietopohjan luomisen edellytyksiä ja sen vaatimaa työmäärää selvitetään jatkokäsittelyssä tarkemmin ottaen huomioon muun muassa jäsenmaiden erilaiset tilanteet ja hankkeeseen liittyvät kustannukset.
Valtioneuvosto tukee tavoitetta MinunTerveyteni@EU-hankkeen yhteistyön nopeuttamisesta sekä terveystietojen välittämisen ja toisiokäytön edistämisestä. Samalla tulisi varmistaa säännösten yhdenmukaisuus perusoikeuksien ja henkilötietojen suojaa koskevien vaatimusten kanssa.
Valtioneuvosto pitää hyvänä, että ehdotuksessa on hyödynnetty Suomen vastaavaa kansallista sääntelyä ja kokemuksia sekä katsoo sen hyödyttävän ehdotuksen käsittelyä eurooppalaisella tasolla.
Potilaiden ja ammattilaisten oikeudet ja velvollisuudet
Valtioneuvoston arvion mukaan ehdotus lisäisi potilaille ja terveydenhuollon ammattilaisille uusia ja tietosuoja-asetusta laajempia oikeuksia terveystietoihin. Ehdotusta olisi syytä täsmentää neuvottelujen aikana siltä osin, onko uusissa oikeuksissa ja velvollisuuksissa kyse tietosuoja-asetuksen mukaisen liikkumavaran käytöstä vai asetuksen täydentämisestä, ja millaiset vaikutukset uusilla oikeuksilla ja velvollisuuksilla olisi rekisteröidyn oikeuksiin.
Terveystietojen rajat ylittävä ensiökäyttö
Valtioneuvosto pitää hyvänä, että terveystietojen ensiökäytössä hyödynnetään rajat ylittävää jäsenvaltioiden välisestä MinunTerveyteni@EU–yhteistyötä sekä esimerkiksi Suomen ja Viron kokemuksia sähköisten lääkemääräyksien välittämisestä.
Valtioneuvoston alustavan arvion mukaan EU-kansalaiset hyötyisivät siitä, että nykyiseen potilasdirektiiviin ja sopimukseen perustuvissa palveluissa olisi mukana enemmän maita, jotta liikkuvuus ja hoidon jatkuvuus helpottuisivat. Valtioneuvosto katsoo ehdotuksen hyödyntävän esimerkiksi raja-alueiden asukkaita. Valtioneuvosto katsoo, että ehdotuksessa esitetyn MinunTerveyteni@EU–palveluiden tulisi voimaantullessaan hyödyntää laajasti jäsenmaita, eikä vain niitä jäsenmaita, joissa kansalaiset usein matkustavat jäsenvaltioiden välillä. Valtioneuvosto katsoo, että uudet palvelut toisaalta välillisesti edistäisivät myös terveysunionin syventymistä. Vaikka yhteistyöllä tähdätään organisatoriseen, tekniseen, semanttiseen ja juridiseen yhteentoimivuuteen, niin siirrettäviä tietoja ei kuitenkaan käännettäisi eri kielille. Tämä hankaloittaa esitettyjä tavoitteita ja hyötyjä ja tähän tulisi kiinnittää huomiota.
Valtioneuvosto pitää erityisen tärkeänä, että ehdotuksen sisältämien rajat ylittävien verkkoapteekkipalveluiden vaikutuksiin kiinnitettäisiin huomioita. Ehdotetuilla muutoksilla voi olla merkittäviä vaikutuksia lääkkeiden saatavuuteen ja jakeluun sekä lääkekorvausten toimeenpanoon Suomessa. Valtioneuvosto katsoo, että Suomen kannalta on välttämätöntä varmistaa, että asetus ei heikennä kotimaista lääketurvallisuutta ja apteekkivalvontaa.
Hyvinvointisovelluksia ja tietojärjestelmiä koskevat vaatimukset
Valtioneuvoston näkemyksen mukaan jatkovalmistelussa on tärkeä varmistaa henkilötietojen suojaa ja tietoturvallisuutta koskevien vaatimusten ja todentamisen menettelyjen korkea vaatimustaso. Valtioneuvosto katsoo, että itsearviointi ei ole riittävä keino varmistaa potilastietojärjestelmien tietoturvaa, ja että siltä on perusteltua edellyttää jatkossakin korkeaa tasoa. Lainsäädäntötoimien yhteydessä on aina arvioitava niiden välttämättömyyttä ja oikeasuhtaisuutta perusoikeuksien ja henkilötietojen suojan kannalta. Henkilötietojen käsittelyn yhteydessä on huomioitava henkilötietoihin liittyvä käyttösidonnaisuusperiaate ja kiinnitettävä huomiota siihen, että muuhun kuin alkuperäiseen käyttötarkoitukseen liittyvän henkilötietojen käsittelyn ei tule muodostua rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi. Sääntelyn tulisi olla täsmällistä ja tarkkarajaista tältä osin. Jatkovalmistelussa tulee varmistaa henkilötietojen suojan korkea vaatimustaso kuitenkin huomioiden asetuksella tavoiteltava eurooppalaisen tietoavaruuden edistäminen, joka on Euroopalle keskeinen kilpailukykytekijä.
Asetuksessa säädettäisiin myös hyvinvointisovelluksista, joille olisi mahdollista antaa ”leima” osoituksena vaatimusten täyttämisestä. Valtioneuvoston näkemyksen mukaan hyvinvointisovellusten vaatimusten ja niiden todentamisen vaatimustaso tulee olla jatkossakin korkealla tasolla, mutta asetuksessa ehdotetut vaatimukset eivät ole suoraan sovellettavissa hyvinvointisovelluksiin, vaan koskevat ennen kaikkea sähköisiä potilastietojärjestelmiä.
Valtioneuvosto kiinnittää huomiota, että potilastietojärjestelmille ja hyvinvointisovelluksille asetettavien uusien ja osittain uusien vaatimusten ja eurooppalainen sähköisten terveystietojen vaihtoformaatti ei tule aiheuttaa sosiaali-ja terveyshuollon palvelunantajille merkittäviä lisäkustannuksia.
Terveystietojen rajat ylittävä toisiokäyttö
Valtioneuvoston näkemyksen mukaan yhteiseurooppalainen sääntely on välttämätöntä terveystietojen ja niihin olennaisesti liittyvien arkaluontoisten henkilötietojen tutkimuksen, toisiokäyttöön liittyvän kansainvälisen tiedon saatavuuden ja vaihdon mahdollistamiseksi tulevaisuudessa, millä on puolestaan ratkaiseva merkitys sille, että voidaan tehokkaasti kehittää uusia lääkkeitä, hoitoja, toimintamalleja ja terveysteknologian ratkaisuja.
Valtioneuvosto pitää kannatettavana, että asetuksessa on mukana rekisteritiedon lisäksi koko tietokokonaisuus laajasti, mukaan lukien genomidata, biopankkidata ja kliiniset lääketutkimukset. Tämä samalla asettaa kuitenkin uusia vaatimuksia toimintamallien joustavuudelle eri käyttötapausten mahdollistamiseksi.
Valtioneuvoston näkemyksen mukaan jatkovalmistelussa tulee kiinnittää huomiota siihen, että sääntelyehdotus ei rajoita perusteettomasti tutkimuksen vapautta.
Ehdotusluonnos asettaa merkittäviä vaatimuksia hallinta- ja verkostorakenteelle. Valtioneuvosto katsoo eri maihin perustettavien yhteyspisteiden olevan hyödyllisiä ja edistävän rajat ylittävää tiedonvaihtoa. Valtioneuvosto pitää tärkeänä, että esitetty eurooppalaisen terveysdata-avaruuden neuvosto (European Digital and Health Data Board) edistäisi jäsenmaiden keskinäistä yhteistyötä.
Valtioneuvoston näkemyksen mukaan neuvotteluissa tulisi kiinnittää huomiota, ettei terveystietoihin pääsystä vastaava elin voisi luovuttaa asetusehdotuksen mukaisia tietoaineistoja ilman lupaharkintaa, jos kyseinen elin ei ole tehnyt tietolupapäätöstä määräajassa. Opetuksen käyttötarkoitusta sekä kehittämis- ja innovaatiotoimintaa tulisi, ottaen huomioon perustuslakivaliokunnan lausuntokäytäntö, täsmentää oikeusperustan ja sisällön osalta, jotta se mahdollistaisi myös terveysteknologian kehittämisen. Valtioneuvosto katsoo, että tutkimusprosesseihin tulee kiinnittää huomiota kokonaisuutena, ja että tarkastelussa on otettava huomioon myös julkisten varojen käyttö ja FAIR -periaatteet uudelleenkäytettävyyden näkökulmasta.
Valtioneuvosto tukee asetuksen tavoitetta määritellä toimintamalli, jolla terveystietoja ja terveyteen olennaisesti liittyviä tietoja voidaan tietoturvallisesti välittää eri maiden välillä unionin sisällä ja myös kansainvälisesti toisiokäyttötarkoituksissa ja kansallisten ja EU-viranomaistahojen lakisääteisten tehtävien mahdollistamiseksi. Valtioneuvoston näkemyksen mukaan rajat ylittävää tiedonvaihtoa koskevien tietoturvajärjestelyjen tulisi olla toimivia heti alusta alkaen, kun tietoja aletaan jäsenvaltioiden välillä vaihtaa. Ottaen huomioon käsiteltävien tietojoukkojen ja käyttötarkoitusten laajuus, on valtioneuvoston näkemyksen mukaan perusteltua, että sääntelyyn tulisi lisätä esitettyä enemmän erilaisia tietoturvaa lisääviä suojatoimia.
Valtioneuvosto pitää kannatettavaa, että ehdotuksessa säädettäisiin kielletyistä toisiokäyttötarkoituksista, mutta kiinnittää huomiota siihen, että ensiökäytön osalta ei ole esitetty säädettäväksi vastaavia kiellettyjä käyttötarkoituksia. Valtioneuvoston näkemyksen mukaan jatkovalmistelussa on varmistettava, ettei toisessa valtiossa käytössä olevassa tietojärjestelmässä tallenneta ehdotuksen mukaisia arkaluontoisia henkilötietoja ehdotuksen vastaisiin tarkoituksiin, kuten esimerkiksi poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin.
Vaikka ehdotuksen mukaisia tietolupaviranomaisia on mahdollista perustaa ja saada toimimaan uusien toimintamallien mukaisesti suhteellisen nopeastikin, koko muun kentän tutkijoiden ja rekisterinpitäjien muutos vie aikaa ja vaatii suuria panostuksia muutoksen hallintaan. Rajat ylittävän toisiokäytön täytäntöönpanossa kannattaa valtioneuvoston näkemyksen mukaan hyödyntää olemassa olevia kokemuksia ja eurooppalaisia yhteistoimintahankkeita sekä pilotteja.
Valtioneuvoston näkemyksen mukaan vuonna 2016 julkaistut FAIR Data periaatteet toimivat erinomaisena pohjana myös EHDS-sääntelyehdotuksen toisiokäytön sääntelylle.
Suhde muuhun lainsäädäntöön
Sääntelyn suhdetta, tietosuoja-asetukseen ja muuhun voimassa olevaan ja samanaikaisesti valmistelussa olevaan EU lainsäädäntöön ja kansainväliseen sääntelyyn tulisi jatkovalmistelussa ja neuvotteluissa olennaisesti selventää ja varmistaa, että sääntely on välttämätöntä ja oikeasuhteista suhteessa perusoikeuksiin. Valtioneuvoston alustavan arvion mukaan asetusehdotuksessa on runsaasti yksityiskohtia, joita tullaan lainsäädäntöprosessissa tarkastelemaan ja jotka vaativat täsmennystä. Keskeisintä juridisesti on sääntelyn yhdenmukaisuus muuhun jo voimassa olevaan EU-sääntelyyn (erityisesti tietosuoja-asetus) ja kansallisiin lakeihin ja samaan aikaan valmistelussa oleviin ja EU lakeihin. Valtioneuvosto katsoo, että eri säädösten ja säädösehdotusten keskinäisriippuvuuden vuoksi sääntelyä tulisi arvioida kokonaisuutena EU-lainsäädännön laadun, selkeyden ja toimivuuden kannalta. Valtioneuvosto kiinnittää huomiota myös U-kirjelmän kohdassa ehdotuksen oikeusperusta esitettyihin huomioihin.
Ehdotuksen muutoksenhakua ja seuraamusmaksuja koskevien säännösten oikeasuhtaisuutta ja yhteensopivuutta kansallisen järjestelmän kanssa tulee arvioida tarkemmin neuvottelujen edetessä.
Sääntelyn suhdetta, tietosuoja-asetukseen ja muuhun voimassa olevaan ja samanaikaisesti valmistelussa olevaan EU lainsäädäntöön ja kansainväliseen sääntelyyn tulisi jatkovalmistelussa ja neuvotteluissa olennaisesti selventää ja varmistaa, että sääntely on välttämätöntä ja oikeasuhteista suhteessa perusoikeuksiin.
Lainsäädäntövallan siirto
Valtioneuvosto kiinnittää huomiota, että jos delegoiduissa säädöksissä on kyse yksilön oikeuksien ja velvollisuuksien perusteista, niistä tulee säätää lainsäätämisjärjestyksessä hyväksyttävän unionin säädöksen tasolla. Säädösvallan delegointi voi koskea säädöksen muita kuin keskeisiä osia. Tältä osin esimerkiksi ehdotuksen 6 artiklan mukaisen listan muuttaminen tai lisääminen delegoidulla säädöksellä tai komissiolle ehdotettu toimivalta poistaa tai lisätä MinunTerveysTietoni@EU -palveluun kuuluvien tahojen joukkoa vaikuttavat olevan ongelmallisia, koska niillä puututaan keskeisesti asetuksen soveltamisalaan. Valtioneuvosto suhtautuu varauksellisesti tämän kaltaiseen toimivallan siirtoon ja arvioi komissiolle ehdotetun säädösvallan siirron laajuutta ja asianmukaisuutta tarkemmin neuvottelujen edetessä.
Ottaen huomioon, että asetusehdotus koskee keskeisiltä osiltaan valtiosääntöoikeudellisten arkaluonteisten henkilötietojen rajat ylittävää käsittelyä ja perustuslain mukaan henkilötietojen käsittelystä tulee säätää lailla, neuvotteluissa tulisi valtioneuvoston arvion mukaan varmistaa, että täytäntöönpanosäädöksillä ei päätetä lainsäädännön alaan kuuluvasta henkilötietojen käsittelystä. Valtioneuvoston näkemyksen mukaan kansallisilla viranomaisilla tulisi jatkossakin olla toimivalta päättää asiakirjojen julkisuudesta ja myös salassa pidettävien asiakirjojen luovuttamisesta kansallisen sääntelyn mukaisesti. Lisäksi jäsenmaille tulisi, ottaen huomioon jäsenmaiden erilaiset tekniset ja taloudelliset valmiudet, turvata mahdollisuus vaikuttaa, mitkä palvelut ja minkälaisella aikataululla jatkossa tulevat sääntelyyn piiriin. Kolmansien maiden osalta olisi syytä kiinnittää erityistä huomiota tietosuojan riittävyyttä koskeviin vaatimuksiin, jotka seuraavat suoraan tietosuoja-asetuksesta. Kolmannen maan tietosuojassa on kyse riittävyydestä, joka arvioidaan erikseen, ei täydellisestä vastaavuudesta tietosuoja-asetuksen kanssa.
Hallintomallin muutoksen vaikutukset
Ehdotus tekisi nykyisen rajat ylittävän MinunTerveyteni@EU-palveluiden kautta tapahtuvan terveystietojen välittämisen pakolliseksi.
Vaikka komissio arvioi, että yhteistyön velvoittaminen EU-regulaatiolla nopeuttaisi nykyistä ja tulevaa terveystietojen välittämistä, valtioneuvoston alustavan arvion mukaan sääntelyehdotus ei kuitenkaan tarjoa välineitä tuon yhteistyön nopeuttamiselle. Sen sijaan nykyiset ja uudet palvelut olisi toteutettava epärealistisilla lyhyillä voimaantuloajoilla: nykyiset käyttötapaukset vuoden ja uudet käyttötapaukset kolmen vuoden kuluttua ehdotuksen voimaantulosta. Komission vaikutusarviointikin keskittyy yleisen mallin mukaan tavoitteisiin, toteutustapaan ja odotettuihin tuloksiin, mikä ei huomioi riittävästi toimeenpanon mittakaavaa, monimutkaisuutta, iteratiivisuutta ja riskejä. Valtioneuvosto katsoo tämän takia, että ehdotuksen tavoitteiden toteutuminen edellyttää jatkovalmistelua ja että siinä tulee huomioida muun muassa realistiset voimaantuloajat, toteutettavuus, toistuvuus ja riskienhallinta.
Valtioneuvosto pitää tärkeänä hyödyntää eri viranomaisten ja laitosten yhteistyötä. Lisääntyvien viranomaistehtävien resursointiin on tärkeä kiinnittää huomiota.
Valtioneuvosto suhtautuu varauksellisesti ajatukseen, että yhteistyötä tekevät jäsenmaat olisivat tässä yhteistyössä tietosuoja-asetuksen mukaisia yhteisrekisterinpitäjiä, vaikka sinällään pandemian aikaisessa yhteistyössä (EFGS ja DCC) yhteisrekisterinpitäjien välistä yhteistyötä on jo jäsenmaiden kanssa tullut harjoitettua menestyksellisesti.
Valtioneuvosto arvioi toimintaa tukevat rakenteet, kun tiedetään varmemmin hallintamallin ja yhteistyömallin lopullinen muoto. Ennakoitavissa on kuitenkin nykyisen potilasdirektiivin 14 artiklan mukaisen sähköisten terveyspalvelujen verkoston yhteistyöhön perustuvan valmistelun lopettaminen. Ehdotuksen jatkovalmistelussa on tärkeää varmistaa, että sääntelyehdotus mahdollistaa jo olemassa olevien infrastruktuurien ja niiden palvelujen hyödyntämisen eikä johda julkisin varoin rahoitettaviin päällekkäisiin toimintoihin. Keskeistä uudessa yhteistyömallissa on varmistaa jäsenmaiden näkemysten huomioon ottaminen ja että lainsäädännön alaan kuuluvia asioita ei voisi siirtää komissiolle täytäntöönpanosäädöksillä. Lisäksi hallintomallissa tulee alusta alkaen mahdollistaa eri sidosryhmien osallistuminen.
Siirtymäajat ja täytäntöönpano
Ehdotuksen mukaan asetus tulisi sovellettavaksi 12 kuukauden kuluttua sen voimaantulosta.
Asetusehdotuksessa on vain muutamia siirtymäaikoja ja nekin ovat kovin lyhyitä. Valtioneuvoston katsoo tämän takia, että täytäntöönpanolle tulee varmistaa riittävä aika.
Valtioneuvosto kiinnittää huomiota, että sääntelyehdotuksen täytäntöönpano tulee turvata realistisilla siirtymäajoilla, resursseilla, rahoituksella, alusta alkaen toimivilla tietoturvaratkaisuilla ja kuulemalla alusta alkaen kaikkia keskeisiä sidosryhmiä, kuten esimerkiksi potilasjärjestöjä ja tutkimusyhteisöjä, keskeisiä hallinnonaloja ja toisiokäyttäjiä, kuten esimerkiksi korkeakouluja ja tutkimuslaitoksia. Tämä on myös hallitusohjelman mukaisen TKI-tiekartan mukaista.
Valtioneuvosto varaa mahdollisuuden syventää ja tarkentaa kantaansa valmistelun edessä.
VALIOKUNNAN PERUSTELUT
Arvion lähtökohdat
(1) Euroopan komissio antoi 3.5.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final). Ehdotuksen keskeisinä tavoitteina on voimaannuttaa yksilöitä mahdollistamalla paremman pääsyn heidän sähköisiin terveystietoihinsa ja samalla helpottaa vapaata liikkuvuutta siten, että myös terveystiedot kulkevat mukana, vapauttaa datataloutta mahdollistamalla aidot sisämarkkinat digitaalisille terveyspalveluille ja tuotteille ja luoda tarkkarajaisia sääntöjä, miten ei-tunnisteellisia yksilön terveystietoja voitaisiin käyttää muun muassa tieteelliseen tutkimukseen, innovaatiotoimintaan sekä päätöksenteko- ja sääntelytehtäviä varten.
(2) Asetusehdotus jakautuu sisällön osalta kahteen keskeiseen osaan. Ensimmäinen koskee jäsenmaiden välisen ensiökäytön yhteistyön ja jälkimmäinen jäsenmaiden välisen toisiokäytön yhteistyön sääntelyä.
(3) Ehdotettu sääntely on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. Perustuslakivaliokunnan mukaan Suomen perustuslaissa turvatut perusoikeudet ovat olleet merkityksellisiä myös EU-sääntelyn valmistelussa (ks. esim. PeVL 15/2017 vp, s. 4 ja PeVL 9/2017 vp, s. 5—6 ja niissä viitatut lausunnot). Suomen perustuslain tulee ohjata valtioneuvoston kannanmuodostusta EU-lainsäädännön valmistelussa (ks. esim. PeVL 20/2017 vp).
(4) Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla (ks. PeVL 14/2018 vp, s. 4—5).
(5) Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5).
(6) Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Lainsäätäjän liikkumavaraa rajoittaa erityisesti arkaluonteisten henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). Arkaluonteisten tietojen käsittelyn on oltava välttämätöntä ja sääntelyn täsmällistä ja tarkkarajaista.
(7) Perustuslakivaliokunnan mukaan terveydentilatiedot ovat valtiosääntöisesti arkaluonteisiksi arvioitavia henkilötietoja (ks. esim. PeVL 15/2018 vp, s. 35—43, PeVL 1/2018 vp). Valiokunta on hyvin vakiintuneesti painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Valiokunnan mielestä esimerkiksi arkaluonteisina tietoina pidettävien biometristen tunnisteiden rekisteröinti merkitsee erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I).
(8) Myös EU:n yleisen tietosuoja-asetuksen 9 artiklan mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Terveyttä koskevat tiedot ovat tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden käsittely on 9 artiklan 1 kohdan ilmaiseman pääsäännön mukaan kiellettyä. Artiklan 2 kohdan mukaan 1 kohdan käsittelykieltoa ei kuitenkaan sovelleta, jos jokin 9 artiklan 2 kohdan a—j alakohdissa oleva edellytys täyttyy. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saadaan tämän perusteella käsitellä muun muassa asianomaisen henkilön nimenomaisella suostumuksella (a alakohta).
(9) Perustuslakivaliokunta on arvioidessaan sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia (toisiolaki, PeVL 1/2018 vp) korostanut erityisesti arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on perustuslakivaliokunnan mukaan ollut syytä suhtautua kielteisesti esimerkiksi laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä (ks. myös PeVL 14/2009 vp, s. 4/II). Käyttötarkoitussidonnaisuudesta on voitu tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. myös esim. PeVL 14/2017 vp, s. 5—6).
Arvio asetusehdotuksesta
(10) Perustuslakivaliokunnan mielestä asetusehdotuksessa on kyse perusoikeuksien kannalta hyvin merkittävästä sääntelystä. Tällainen sääntely on laadittava huolellisesti perus- ja ihmisoikeudet asianmukaisesti huomioiden. Valtioneuvoston kirjelmässä (s. 20) kuitenkin arvioidaan, että asetusehdotus on vielä sen sisällön ja perustelujen perusteella sillä tavoin täsmentymätön, että sen hyväksyttävyyttä kansallisen perusoikeusjärjestelmän kokonaisuuden kannalta on vaikea arvioida. Valiokunta yhtyy arvioon ja toteaa, että valtioneuvoston ei tule hyväksyä asetusehdotusta nyt ehdotetussa muodossa sille nyt esitetyin perusteluin. Asetusehdotus vaatii runsaasti jatkovalmistelua.
(11) Asetusehdotuksen valtiosääntöoikeudellista arviointia vaikeuttaa myös asetusehdotuksessa käytettyjen käsitteiden epämääräisyys ja tulkinnanvaraisuus. Perustuslakivaliokunta kiinnittää sääntelyn selkeyden näkökulmasta erityistä huomiota asetuksen suhteeseen voimassa olevaan terveystietojen käsittelyä koskevaan sääntelyyn. Ehdotettu sääntely olisi EU-asetuksena kokonaisuudessaan velvoittavaa ja jäsenmaissa suoraan sovellettavaa lainsäädäntöä. Sillä on liityntä niin EU:n tietosuoja-asetukseen kuin kansalliseen terveydentilatietoja koskevaan lainsäädäntöön. Asetus ei kuitenkaan korvaisi soveltamisalallaan tietosuoja-asetusta, vaan tulisi sovellettavaksi sen kanssa täydentävästi. Rinnakkainen soveltaminen koskee valiokunnan käsityksen mukaan kansallista toisiolakia ja esimerkiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettua ns. asiakastietolakia ja edellyttää näin ollen kyseisten lakien yhteensovittamista asetusehdotuksen kanssa. Lisäksi osa asetuksen velvoitteista tulisi erikseen vielä kansallisessa lainsäädännössä asettaa eri oikeussubjekteille.
(12) Ehdotuksen perusteella on hyvin vaikeata muodostaa selkeää käsitystä siitä, millaisia muutoksia ehdotus merkitsee jo säädetyille ensiö- ja toisiokäytön muodoille, millaiseksi asetuksen suhde EU:n tietosuoja-asetukseen oikeastaan muodostuu ja miten asetusehdotuksen sääntely vaikuttaa kansalliseen terveydentilatietojen käsittelyä koskevaan lainsäädäntöön.
(13) Perustuslakivaliokunta on kansallisen lainsäädännön kohdalla varsin usein kiinnittänyt huomiota sääntelyn muodostumiseen sekavaksi ja vaikeasti hahmottuvaksi (ks. esim. PeVL 47/2006 vp, s. 2/I, PeVL 41/2006 vp, s. 2/I, PeVL 25/2005 vp, s. 5). Valiokunta on edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (ks. esim. PeVL 60/2014 vp, s. 3/I). Valiokunta on korostanut myös, että sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. esim. PeVL 51/2016 vp, s. 5, PeVL 45/2016 vp, s. 3). Valiokunta on korostanut, että vaikeaselkoisuudella on nyt käsillä olevassa sääntely-yhteydessä myös terveydenhuollon ammattihenkilöiden oikeusturvaa heikentävää merkitystä (PeVL 4/2021 vp, kappale 13). Valiokunta korostaa sanotun merkitystä edelleen.
(14) Perustuslakivaliokunta kiinnittää erityistä huomiota siihen, että valtioneuvoston kirjelmän (s. 28) mukaan ehdotus lisää paitsi potilaille myös terveydenhuollon ammattilaisille uusia ja tietosuoja-asetusta laajempia oikeuksia terveystietoihin, mutta valtioneuvoston käsityksen mukaan ehdotusta olisi syytä täsmentää neuvottelujen aikana siltä osin, onko uusissa oikeuksissa ja velvollisuuksissa kyse tietosuoja-asetuksen mukaisen liikkumavaran käytöstä vai asetuksen täydentämisestä. Selvää ei myöskään ole, millaiset vaikutukset uusilla oikeuksilla ja velvollisuuksilla olisi rekisteröidyn oikeuksiin.Valiokunta yhtyy arvioon ja painottaa kansallisen liikkumavaran merkitystä myös tässä suhteessa.
(15) Arkaluonteisten tietojen väärinkäytön muodostaman uhan vuoksi asetuksen jatkovalmistelussa tulee kiinnittää erityistä huomiota myös henkilötietoja koskeviin suojatoimiin ja niiden täsmälliseen sääntelyyn. Valiokunta pitää tästä näkökulmasta erityisen ongelmallisena asetusehdotuksen 46 artiklan 3 kohdan sääntelyä, jonka mukaan tietolupa on myönnettävä, jos terveystietoihin pääsystä vastaava elin ei tee päätöstä määräajassa.
(16) Asetusehdotuksessa henkilötietojen rajat ylittävä käsittely perustuisi pääsääntöisesti ehdotettavaan asetukseen. Ehdotuksen perusteella jää kuitenkin jossain määrin epäselväksi, missä kaikissa tilanteissa terveydentilatietojen käsittely on mahdollista henkilön suostumuksella. Perustuslakivaliokunnan mukaan itsemääräämisoikeutta korostava sääntely on ollut erityisen perusteltua nyt käsillä olevassa sääntelykontekstissa (PeVL 4/2021 vp, kappale 19). Valiokunnan mukaan sanotun johdosta myös arkaluonteisten henkilötietojen käsittely voi tietyin edellytyksin perustua myös viranomaistoiminnassa perustuslain estämättä suostumukseen (PeVL 4/2021 vp, kappale 21). Tämä ei kuitenkaan poista tarvetta varmistaa varsinkin käsillä olevan kaltaisessa arkaluonteisia henkilötietoja koskevassa perusoikeus- ja ihmisoikeusherkässä sääntely-yhteydessä, että sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluonteisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 20/2020 vp, s. 5—6).
(17) Perustuslakivaliokunnan mukaan on ollut selvää, että sosiaali- ja terveystietojen luovuttaminen muuna kuin vähäisenä poikkeuksena käyttötarkoitussidonnaisuudesta pidettävään kehittämis- ja innovaatiotoimintaan ei voi perustua esimerkiksi terveydenhuollon asiakaspalvelutilanteessa annettuun suostumukseen. Valiokunnan mukaan tällaisessa epätasapainoisessa tilanteessa annettava suostumus ei välttämättä ole valiokunnan käytännössä edellytetysti — tai tietosuoja-asetuksessa tarkoitetulla tavalla — aidosti vapaaehtoinen, eikä tällaisessa tilanteessa asiakkaalla ole välttämättä tosiasiallisia mahdollisuuksia harkita suostumuksen merkitystä (PeVL 1/2018 vp, s. 6 ja 10). Asetusehdotuksen sääntelyä on syytä selventää sanottu huomioiden.
(18) Asetusehdotus mahdollistaa edellä kuvatun kaksijakoisen sisältönsä mukaisesti terveydentilatietojen käytön sekä niiden keräämisen alkuperäiseen että muihin, toissijaisiin käyttötarkoituksiin. Valtioneuvoston kirjelmän (s. 23) mukaan on kuitenkin epäselvää, voisiko asetusehdotus johtaa siihen, että henkilötietojen toisiokäytöstä muodostuisi pääasiallinen tai merkittävä käyttötarkoitus suhteessa niiden ensisijaisiin käyttötarkoituksiin. Edellä sanotun mukaisesti käyttötarkoitussidonnaisuudesta poikkeamisen sääntely ei ole perustuslakivaliokunnan mukaan saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. myös esim. PeVL 14/2017 vp, s. 5—6). Valtioneuvoston on syytä kiinnittää erityistä huomiota asiaan jatkovalmistelussa.
(19) Perustuslakivaliokunta muistuttaa kuitenkin arvioineensa toisiolain muuttamisen yhteydessä (PeVL 25/2021 vp, kappale 11), että sen saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia. Ottaen huomioon tietosuoja-asetuksen suoraan soveltuva riskiperustainen sääntely perustuslaista ei valiokunnan mukaan johdu lähtökohtaisesti velvollisuutta säännellä tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä koskevaa käsittelyä tieteellisessä tutkimuksessa tietosuoja-asetuksen edellyttämää sisällöllisesti enemmän rajoittavin säännöksin, mikäli sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluonteisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 4/2021 vp, kappale 21, PeVL 20/2020 vp, s. 5—6).
(20) Komissiolle ehdotetaan annettavaksi laaja oikeus antaa delegoituja säädöksiä. Valtioneuvosto kiinnittää huomiota (s. 25) siihen, että delegoiduissa säädöksissä vaikuttaisi olevan kyse säädöksen keskeisistä osista. Valtioneuvoston käsityksen (s. 30) mukaan esimerkiksi ehdotuksen 6 artiklan mukaisen listan muuttaminen tai lisääminen delegoidulla säädöksellä tai komissiolle ehdotettu toimivalta poistaa tai lisätä tietopalveluun kuuluvien tahojen joukkoa vaikuttavat olevan ongelmallisia, koska delegoiduilla säädöksillä puututaan tässä kohdin keskeisesti asetuksen soveltamisalaan. Perustuslakivaliokunta yhtyy arvioon.
(21) Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaan lainsäätämisjärjestyksessä hyväksyttävässä säädöksessä voidaan siirtää komissiolle valta antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia. Perustuslakivaliokunnan kannan mukaan yksilön oikeuksien ja velvollisuuksien perusteista tulee säätää lainsäätämisjärjestyksessä hyväksyttävän unionin säädöksen tasolla (ks. esim. PeVL 37/2021 vp, kappale 42). Asetuksen soveltamisalan täsmällisyys ja tarkkarajaisuus on merkityksellistä erityisesti yksityiselämän ja henkilötietojen suojan kannalta. Sääntelyä on täsmennettävä jatkovalmistelussa.