Viimeksi julkaistu 18.6.2021 11.19

Valiokunnan lausunto PeVL 25/2021 vp HE 96/2021 vp Perustuslakivaliokunta Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 60 §:n muuttamisesta

Sosiaali- ja terveysvaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 60 §:n muuttamisesta (HE 96/2021 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava sosiaali- ja terveysvaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitusneuvos Joni Komulainen 
    sosiaali- ja terveysministeriö
  • erityisasiantuntija Jukka Lähesmaa 
    sosiaali- ja terveysministeriö
  • apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa 
    Tietosuojavaltuutetun toimisto
  • professori Lasse Lehtonen 
  • professori Janne Salminen 

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain siirtymäsäännöstä  

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.  

Hallituksen esityksen säätämisjärjestysperusteluissa lakiehdotuksen suhdetta perustuslakiin tarkastellaan perustuslain 10 §:ssä turvatun yksityiselämän suojan ja 124 §:ssä julkisen hallintotehtävän antamisesta muun kuin viranomaisen hoidettavaksi säädetyn kannalta.  

Hallituksen käsityksen mukaan lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.  

VALIOKUNNAN PERUSTELUT

(1) Hallituksen esityksessä ehdotetaan muutettavaksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (jäljempänä myös toisiolaki) siirtymäsäännöstä siten, että lain tietoturvalliselta käyttöympäristöltä edellytettäviä vaatimuksia sovelletaan vasta 1 päivästä toukokuuta 2022. Ennen mainittua ajankohtaa tietoja voidaan kuitenkin luovuttaa luvansaajan käsiteltäväksi lain nojalla, vaikka tietolupahakemuksessa ei osoitettaisi laissa tarkoitettua tietoturvallista käyttöympäristöä tietojen käsittelylle. Tietojen luovuttaminen edellyttää tällöin määräajaksi annettua tietolupaa, joka on voimassa enintään 30 päivään huhtikuuta 2022.  

(2) Hallituksen esityksen perustelujen (s. 4) mukaan Tietolupaviranomaista lukuun ottamatta muilla tahoilla ei ole jo kuluneesta siirtymäajasta huolimatta toisiolain edellyttämää tietoturvallista käyttöympäristöä, jonne Tietolupaviranomainen voisi luovuttaa tietoaineiston luvansaajan käsiteltäväksi. Käyttöympäristöjen kehittäminen ja auditointi eivät ole edenneet kaavaillulla tavalla. Tähän on esityksen perustelujen mukaan useita syitä. Toisiolakia säädettäessä arvioitiin, että tietoturvallisten käyttöympäristöjen rakentaminen veisi lain voimaantulon jälkeen noin kaksi vuotta, mutta tämä arvio on osoittautunut virheelliseksi.  

(3) Hallituksen esityksessä ehdotetaan lisäksi toisiolain siirtymäsäännöstä muutettavaksi siten, että lain merkittäviin kliinisiin löydöksiin perustuvia oikeuksia, velvoitteita ja toimenpiteitä sovelletaan 1 päivästä tammikuuta 2024. Säännösehdotusta perustellaan sääntelyn yhteensovittamisella sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä perustuslakivaliokunnan myötävaikutuksella (PeVL 4/2021 vp) eduskunnassa jo hyväksytyn lain edellyttämien tietojärjestelmämuutosten kanssa.  

(4) Ehdotus on merkityksellinen perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. 

(5) Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5).  

(6) Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5).  

(7) Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 65/2018 vp, s. 45, PeVL 15/2018 vp, s. 40). Valiokunta painotti kuitenkin tietosuojalain arvion yhteydessä, että sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan ja korosti, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6). 

(8) Tietosuoja-asetuksen säännökset ovat myös toisiolain tarkoittamassa henkilötietojen käsittelyssä suoraan soveltuvia. Asetus velvoittaa rekisterinpitäjän esimerkiksi arvioimaan henkilötietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille aiheutuvat riskit ja varmistamaan, että henkilötietojen käsittelyn turvallisuus vastaa niiden käsittelystä aiheutuvia riskejä käsittelyn koko elinkaaren ajan. Perustuslakivaliokunnalla ei siten ole huomauttamista nyt ehdotetun sääntelyn sisällöstä. Valiokunnan mielestä perustuslain 22 §:ssä julkiselle vallalle säädetystä perus- ja ihmisoikeuksien turvaamisvelvoitteesta johtuen valtioneuvoston on syytä seurata alan kehitystä ja pyrittävä edistämään siirtymäajan tehokasta käyttöä. 

(9) Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että perustuslain 16 §:n 3 momentin mukaan tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. Tietosuoja-asetuksen 5 artiklan 1 b kohdan mukaan henkilötiedot on sinänsä kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten eikä näin kerättyjä henkilötietoja saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Artiklan mukaan myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei kuitenkaan katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa.  

(10) Perustuslakivaliokunta arvioi toisiolain säätämisen yhteydessä, että käsittely tällaisiin yleisen edun mukaisin tarkoituksiin ei ole ongelmallista perustuslain 10 §:n 1 momentissa turvattujen yksityiselämän ja henkilötietojen suojan kannalta (PeVL 1/2018 vp, s. 5, ks. myös PeVL 3/2004 vp, s. 2/II). Valiokunta piti toisiolakia arvioidessaan kuitenkin erityisen valitettavana sitä, että arvioitavana ollut esitys oli jouduttu tietosuoja-asetuksen voimaantuloaikataulusta johtuen antamaan ennen hallituksen esitystä Euroopan unionin yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi. Valiokunta kiinnitti huomiota siihen, että toisiolakia koskevassa hallituksen esityksessä viitataan siihen, että tietosuojalaista aiheutuu todennäköisesti rajoituksia ainakin silloin, kun henkilötietoja käsitellään tutkimus- ja tilastointitarkoituksiin. Valiokunnan mielestä oli selvää, että tällaisessa sääntelyasetelmassa valtioneuvoston olisi ollut syytä antaa yleislakia koskeva esitys ennen erityislakia koskevaa esitystä (PeVL 1/2018 vp, s. 5). Valiokunta arvioi sittemmin tietosuojalain sääntelyä myös tieteen vapauden perustuslainsuojan näkökulmasta ja kehotti hallintovaliokuntaa muuttamaan sääntelyä eräiltä osin tietosuoja-asetuksen mahdollistamissa rajoissa siten, että tieteen vapaus tulee paremmin turvatuksi (PeVL 14/2018 vp, s. 17). 

(11) Perustuslakivaliokunnan saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia. Ottaen huomioon tietosuoja-asetuksen suoraan soveltuvan riskiperustaisen sääntelyn valiokunnan mielestä perustuslaista ei johdu lähtökohtaisesti velvollisuutta säädellä tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä koskevaa käsittelyä tieteellisessä tutkimuksessa tietosuoja-asetuksen edellyttämää sisällöllisesti enemmän rajoittavin säännöksin. Merkityksellistä on myös, että tietojen käsittelystä tieteellistä tutkimusta varten säädetään lisäksi tietosuojalaissa. Sääntelyn on kuitenkin kokonaisuutena arvioiden luotava riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 4/2021 vp, kappale 21, PeVL 20/2020 vp, s. 5—6). Valiokunta on pitänyt henkilötietojen suojan kannalta keskeisenä myös tiedollista itsemääräämisoikeutta erityisesti lääketieteellisen tutkimuksen ja potilastietojen käsittelyn kohdalla (ks. esim. PeVL 4/2021 vp, PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8).  

(12) Perustuslakivaliokunnan käsityksen mukaan toisiolaki on osoittautunut käytännössä vaikeasti sovellettavaksi ja aiheuttanut usein epäselvyyttä suhteesta muuhun lainsäädäntöön (ks. myös PeVL 23/2020 vp, s. 7). Valiokunta on varsin usein kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn muodostumiseen sekavaksi ja vaikeasti hahmottuvaksi (ks. esim. PeVL 4/2021 vp, kappale 13 ja siinä viitatut lausunnot). Valiokunta on edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (ks. esim. PeVL 60/2014 vp, s. 3/I).  

(13) Sosiaali- ja terveysvaliokunnan on syytä tarkastella huolellisesti toisiolain uudistamistarpeita erityisesti tieteellisen tutkimuksen näkökulmasta.  

VALIOKUNNAN PÄÄTÖSESITYS

Perustuslakivaliokunta esittää,

että lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Helsingissä 18.6.2021 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Johanna Ojala-Niemelä sd 
 
jäsen 
Outi Alanko-Kahiluoto vihr 
 
jäsen 
Bella Forsgrén vihr 
 
jäsen 
Maria Guzenina sd 
 
jäsen 
Petri Honkonen kesk 
 
jäsen 
Olli Immonen ps 
 
jäsen 
Mikko Kinnunen kesk 
 
jäsen 
Anna Kontula vas 
 
jäsen 
Jukka Mäkynen ps 
 
jäsen 
Wille Rydman kok 
 
jäsen 
Ari Torniainen kesk 
 
jäsen 
Heikki Vestman kok 
 
jäsen 
Tuula Väätäinen sd 
 
varajäsen 
Johannes Koskinen sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Mikael Koillinen