Viimeksi julkaistu 28.7.2025 16.41

Valiokunnan lausunto PeVL 3/2024 vp U 61/2022 vp Perustuslakivaliokunta Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (U 61/2022 vp): Perustuslakivaliokuntaan on saapunut jatkokirjelmä UJ 3/2024 vp - U 61/2022 vp mahdollisia toimenpiteitä varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • hallitusneuvos Joni Komulainen 
    sosiaali- ja terveysministeriö
  • erityisasiantuntija Essi Suonvieri 
    sosiaali- ja terveysministeriö
  • ylitarkastaja Tiina Pasanen 
    Tietosuojavaltuutetun toimisto
  • oikeusneuvos, professori Juha Lavapuro 
  • professori Lasse Lehtonen 

Viitetiedot

Perustuslakivaliokunta on aiemmin antanut asiasta lausunnon PeVL 50/2022 vp

VALTIONEUVOSTON JATKOKIRJELMÄ

Ehdotus

Euroopan komissio antoi 3.5.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final). Nyt arvioitavana on valtioneuvoston kirjelmää täydentävä jatkokirjelmä komission ehdotuksesta. 

Valtioneuvoston kanta

Pääministeri Orpon hallituksen hallitusohjelman mukaan Suomi osallistuu aktiivisesti EU:n terveysdata-avaruuden (EHDS) puitteissa tehtävään työhön. 

Suomen kannat komission asetusehdotukseen on kuvattu U-kirjelmässä (U 61/2022 vp). Suomen aikaisempia kantoja täsmennetään seuraavasti: 

Valtioneuvosto katsoo, että asetusehdotukseen on neuvottelujen kuluessa tehty runsaasti Suomen neuvottelutavoitteiden mukaisia muutoksia. 

Suomi ilmaisee huolen ehdotuksen 1 artiklan 6A kappaleen muotoilusta, jonka voi tulkita mahdollistavan EHDS-asetuksella luotavan järjestelmän soveltamatta jättämisen tavalla, joka saattaa vaarantaa asetuksen tavoitteiden, erityisesti EU:n laajuisen toisiokäyttöympäristön, toteutumisen. 

Suomi pitää edelleen tärkeänä, että sääntely on selkeää suhteessa Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/679 (EU:n yleinen tietosuoja-asetus) ja Euroopan parlamentin ja neuvoston asetukseen (EU) 2022/868 (datanhallinta-asetus) ja Euroopan parlamentin ja neuvoston asetukseen (EU) 2020/1828 datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä (datasäädös). Henkilötietojen suojasta tulisi ottaa asetusehdotukseen vain sellaiset tietosuoja-asetusta täydentävät säännökset, jotka ovat välttämättömiä henkilötietojen käsittelyn riskeihin nähden. Suomi pitää tärkeänä, että kolmikantaneuvotteluissa ei mentäisi terveystietojen toisiokäyttöön liittyvän erityisen vastustamisoikeuden (opt-out) osalta esitettyä neuvoston yleisnäkemystä pidemmälle. 

Yksityiselämän ja henkilötietojen suojaa koskevia valtiosääntöoikeudellisia Suomen neuvottelutavoitteita ei ole yleisnäkemyksessä täysimääräisesti huomioitu. Tähän on tarvetta kiinnittää huomiota jatkoneuvotteluissa. Suomi pitää tärkeänä, että myös datan haltijan määritelmä on selkeä erityisesti suhteessa tietosuojalainsäädännön soveltamiseen (tämä on erityisen tärkeää, jotta on selvää, mikä taho katsotaan rekisterinpitäjäksi tai henkilötietojen käsittelijäksi). Suomi pitää tärkeänä, että datan haltijan määritelmä mahdollistaisi vähintään yhtä laajan sosiaali- ja terveystietojen toissijaisen käytön niiltä rekisterinpitäjiltä, jotka on Suomen toisiolaissa mainittu. Tältä osin parlamentin ehdotus datan haltijan määritelmäksi vastaa enemmän Suomen neuvottelutavoitteita. 

Suomi pyrkii kolmikantaneuvotteluissa edistämään mahdollisuutta asettaa kansallisia tietoturvaa, toiminnallisuuksia ja yhteentoimivuutta koskevia vaatimuksia potilaskertomusjärjestelmille sekä mahdollisuutta edellyttää järjestelmien vaatimustenmukaisuuden kolmannen osapuolen arviointia. Parlamentin kanta sinällään vastaisi enemmän Suomen neuvottelutavoitteiden edellyttämiä potilastietojen tietoturvaa, toiminnallisuuksia ja yhteentoimivuutta koskevia tietojärjestelmiä koskevia kolmannen osapuolen arviointia koskevia vaatimuksia kuin neuvoston yleisnäkemys. Tältä osin Suomi pitää hyvänä, että kolmikantaneuvotteluissa siirryttäisiin lähemmäksi parlamentin kantaa tietosuoja-, tietoturva- ja toimivuusriskit riittävällä tasolla huomioiden ja Suomi pyrkii vaikuttamaan tähän. Suomi ei kuitenkaan kannata parlamentin esittämää potilaskertomusjärjestelmien täysharmonisaatiota, koska Suomen nykyisen sosiaali- ja terveydenhuollon tiedonhallinnan kokonaisekosysteemin ylläpito edellyttää myös tulevaisuudessa kansallisia vaatimuksia esimerkiksi yhteentoimivuuden todentamiseen liittyen. Suomi pyrkii edistämään selkeyttä sääntelyn piiriin kuuluvien potilaskertomusjärjestelmien ja niihin kohdistuvien EU-tasolla harmonisoitavien vaatimusten rajaamisessa. Toisaalta, jos neuvoston yleisnäkemyksen mukaisesti EHDS-asetuksen vaatimuksenmukaisuus arvioidaan itsesertifioinnilla kolmannen osapuolen arvioinnin sijaan, neuvotteluissa on tärkeä varmistaa, että ehdotus mahdollistaisi myös tällöinkin kansallisten lisävaatimusten asettamisen. 

Suomi kannattaa terveystietoihin pääsystä vastaavien elinten ja turvattujen käsittely-ympäristöjen velvollisuutta säilyttää henkilökohtaisia sähköisiä terveystietoja Euroopan unionin alueella, kuitenkin ottaen huomioon mahdollisuuden antaa kolmansien maiden tiedonkäyttäjille pääsy turvattuihin käsittely-ympäristöihin tietosuoja-asetuksen säännökset huomioiden. 

VALIOKUNNAN PERUSTELUT

Arvion lähtökohdat

(1) Euroopan komissio antoi 3.5.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final). Ehdotuksen keskeisinä tavoitteina on voimaannuttaa yksilöitä mahdollistamalla paremman pääsyn heidän sähköisiin terveystietoihinsa samalla helpottaen vapaata liikkuvuutta siten, että myös terveystiedot kulkevat mukana, vapauttaa datataloutta mahdollistamalla aidot sisämarkkinat digitaalisille terveyspalveluille ja tuotteille ja luoda tarkkarajaisia sääntöjä, miten ei-tunnisteellisia yksilön terveystietoja voitaisiin käyttää muun muassa tieteelliseen tutkimukseen, innovaatiotoimintaan, päätöksenteko- ja sääntelytehtäviä varten. 

(2) Asetusehdotus jakautuu sisällön osalta kahteen keskeiseen osaan, jäsenmaiden välisen ensiökäytön yhteistyön ja jäsenmaiden välisen toisiokäytön yhteistyön sääntelyyn. Ensisijaisella käytöllä (ensiökäyttö) tarkoitetaan käyttötarkoitusta, jonka vuoksi tiedot on alun perin tallennettu. Toissijainen käyttö (toisiokäyttö) tarkoittaa, että tietoja käytetään muussa kuin siinä ensisijaisessa käyttötarkoituksessa, jonka vuoksi ne on alun perin tallennettu. 

(3) Perustuslakivaliokunta on antanut mainittua ehdotusta koskevasta valtioneuvoston kirjelmästä (U 61/2022 vp) lausunnon PeVL 50/2022 vp. Valiokunta yhtyi valtioneuvoston arvioon, jonka mukaan asetusehdotus oli vielä sen sisällön ja perustelujen perusteella sillä tavoin täsmentymätön, että sen hyväksyttävyyttä kansallisen perusoikeusjärjestelmän kokonaisuuden kannalta oli vaikea arvioida, ja totesi, että valtioneuvoston ei tule hyväksyä asetusehdotusta tuolloin ehdotetussa muodossa sille tuolloin esitetyin perusteluin. Valiokunnan mukaan asetusehdotus vaati runsaasti jatkovalmistelua (PeVL 50/2022 vp, kappale 10). Nyt arvioitavana on mainittua valtioneuvoston kirjelmää täydentävä jatkokirjelmä, jossa tehdään selkoa asetuksen jatkovalmistelusta. 

(4) Perustuslakivaliokunnan mukaan (PeVL 50/2022 vp, kappale 3) terveysdata-avaruutta koskeva sääntely on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. 

(5) Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla (ks. PeVL 14/2018 vp, s. 4—5). 

(6) Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5). 

(7) Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Lainsäätäjän liikkumavaraa rajoittaa erityisesti arkaluonteisten henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). Arkaluonteisten tietojen käsittelyn on oltava välttämätöntä ja sääntelyn täsmällistä ja tarkkarajaista. 

(8) Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta keskeisenä tiedollista itsemääräämisoikeutta (ks. esim. PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8). Valiokunnan käytännössä itsemääräämisoikeuden on katsottu kiinnittyvän useisiin perusoikeuksiin, erityisesti perustuslain 7 §:n säännöksiin henkilökohtaisesta vapaudesta ja koskemattomuudesta sekä perustuslain 10 §:n säännöksiin yksityiselämän suojasta (ks. PeVL 48/2014 vp, s. 2/II). Perustuslakivaliokunnan mukaan itsemääräämisoikeutta korostava sääntely on ollut erityisen perusteltua nyt käsillä olevassa sääntelykontekstissa (PeVL 4/2021 vp, kappale 19). 

(9) Perustuslakivaliokunnan mukaan terveydentilatiedot ovat valtiosääntöisesti arkaluonteisiksi arvioitavia henkilötietoja (ks. esim. PeVL 15/2018 vp, s. 35—43, PeVL 1/2018 vp). Valiokunta on hyvin vakiintuneesti painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Valiokunnan mielestä esimerkiksi arkaluonteisten tietojen rekisteröinti merkitsee erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). 

(10) Perustuslakivaliokunnan mielestä erityisen merkityksellistä on, että jatkokirjelmästä ilmenee sääntelyn koskevan myös geneettisiä tietoja. Geneettisten tietojen avulla on mahdollista paitsi yksilöidä myös tunnistaa luotettavalla tavalla jokainen henkilö. Geneettiset tiedot voivat paljastaa arkaluonteisia tietoja niin henkilöstä itsestään kuin hänen sukulaisistaan. Toisin kuin monet muut tiedot, geneettisiä tietoja ei ole mahdollista vaihtaa tai muuttaa esimerkiksi tietovuodon tapahtumisen jälkeen. Ulkopuolisen tahon hallussa geneettisiä tietoja voidaan erityisesti tekoälyn kehittymisen myötä käyttää väärin tavoilla, joita kaikilta osin ei tällä hetkellä ole mahdollista edes arvioida (ks. myös PeVL 37/2021 vp). 

(11) Perustuslakivaliokunta on kiinnittänyt erityistä huomiota myös siihen, että kun terveydenhuollossa on kansallisesti siirrytty käyttämään valtakunnallisia sähköisiä tietojärjestelmäpalveluja, voi tällaisiin järjestelmiin kohdistuvasta tietomurrosta, tietovuodosta tai väärinkäytöstä seurata hyvin merkittävä perusoikeusloukkaus. Merkityksellistä tässä suhteessa on ollut myös tietojen mahdollinen käsittely muussa kuin alkuperäisessä keräämistarkoituksessaan. Valiokunta on tällaisessa sääntely-ympäristössä painottanut myös tietoteknisesti varmistetun hoitosuhteen tai asiayhteydestä säädettäväksi ehdotetun merkitystä (PeVL 4/2021 vp, kappale 23, PeVL 71/2018 vp, s. 4). 

(12) Myös EU:n yleisen tietosuoja-asetuksen 9 artiklan mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Terveyttä koskevat tiedot ovat tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden käsittely on 9 artiklan 1 kohdan ilmaiseman pääsäännön mukaan kiellettyä. Artiklan 2 kohdan mukaan 1 kohdan käsittelykieltoa ei kuitenkaan sovelleta, jos jokin 9 artiklan 2 kohdan a—j alakohdissa oleva edellytys täyttyy. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saadaan tämän perusteella käsitellä muun muassa asianomaisen henkilön nimenomaisella suostumuksella (a alakohta). 

(13) Perustuslakivaliokunta on arvioidessaan sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia (jäljempänä myös toisiolaki, PeVL 1/2018 vp) korostanut erityisesti arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Nyt arvioitavan asetusehdotuksen kannalta merkityksellistä on, että terveystietoja käsitellään jatkokirjelmän mukaan toisiokäytössä anonymisoituina tai pseudonymisoituina, jolloin aineistoista ei ole mahdollista tunnistaa yksittäistä henkilöä. Kirjelmässä ei kuitenkaan tarkemmin selosteta anonymisoinnin alaa tai tehokkuuutta. Valiokunnan mukaan myös alun perin arkaluonteisia henkilötietoja voidaan käsitellä anonymisoituna ilman yksityiselämän tai henkilötietojen suojan vaarantumista, mikäli anonymisointi on tehokasta (ks. myös PeVL 1/2018 vp). Komission asetusehdotuksen johdantokappaleessa 64 viitataan kuitenkin siihen, että nyt käsillä olevassa sääntelykontekstissa tällaista tehokasta anonymisointia ei voida aina saavuttaa. Vaikka käytettäisiin viimeisintä teknologiaa edustavia anonymisointitekniikkoja, on johdantokappaleessa esitetyn arvion mukaan edelleen erityisesti harvinaisten sairauksien kohdalla olemassa riski siitä, että uudelleentunnistaminen saattaa olla tai siitä voi tulla mahdollista käyttäen muita menetelmiä kuin ne, joita voidaan kohtuudella pitää todennäköisinä. 

Arvio asetusehdotuksesta

(14) Perustuslakivaliokunnan alkuperäisen arvion mukaan asetusehdotuksessa on kyse perusoikeuksien kannalta hyvin merkittävästä sääntelystä (PeVL 50/2022 vp, kappale 10). Valiokunta toistaa arvionsa. Valiokunta kiinnittää valtioneuvoston huomiota siihen, että edellä valtakunnallisten tietojärjestelmäpalvelujen väärinkäytön muodostamasta uhasta sanottu huomioiden nyt ehdotetun EU:n laajuisen terveystietojen käsittelyn välttämättömyys ei vaikuta ainakaan kaikilta osin ilmeiseltä. Valtioneuvoston on asetuksen jatkovalmistelussa kiinnitettävä huomiota myös ehdotetun järjestelmän perusteltavuuteen edellä mainitut riskit huomioiden. 

(15) Perustuslakivaliokunta kiinnitti asetusehdotusta arvioidessaan huomiota mm. ehdotetun sääntelyn suhteeseen EU:n yleiseen tietosuoja-asetukseen ja kansalliseen terveydentilatietojen käsittelyä koskevaan sääntelyyn (PeVL 50/2022 vp, kappale 12), kansalliseen liikkumavaraan (kappale 14), henkilötietoja koskeviin suojatoimiin ja niiden täsmälliseen sääntelyyn (kappale 15) sekä komission toimivaltaan antaa ns. delegoituja säädöksiä (kappale 20 ja 21). Valiokunnan käsityksen mukaan asetusehdotuksen sisältö on näiltä osin parantunut merkittävästikin. Valiokunta pitää tärkeänä, että neuvoston yleisnäkemyksessä ehdotetun asetuksen 1 artiklaan on lisätty kirjaus siitä, että asetuksella ei rajoiteta yleisen tietosuoja-asetuksen soveltamista, ja että asetus täsmentää ja täydentää yleisen tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia. Valiokunnan mielestä ehdotetun asetuksen määritelmien vastaavuuteen suhteessa yleisen tietosuoja-asetuksen määritelmiin sekä vastaavasti valvontaviranomaisen toimivallan sääntelyn yhdenmukaisuuteen tulee kuitenkin kiinnittää edelleen huomiota. 

(16) Perustuslakivaliokunta toistaa kuitenkin edelleen arvionsa siitä, että ehdotuksen perusteella on edelleen hyvin vaikeata muodostaa selkeää käsitystä siitä, millaisia muutoksia ehdotus merkitsee jo säädetyille ensiö- ja toisiokäytön muodoille, millaiseksi asetuksen suhde EU:n tietosuoja-asetukseen lopulta muodostuu ja miten asetusehdotuksen sääntely vaikuttaa kansalliseen terveydentilatietojen käsittelyä koskevaan lainsäädäntöön (ks. PeVL 50/2022 vp, kappale 12). Asetusehdotuksen valtiosääntöoikeudellista arviointia vaikeuttaa joiltain osin edelleen myös asetusehdotuksessa käytettyjen käsitteiden epämääräisyys ja tulkinnanvaraisuus (PeVL 50/2022 vp, kappale 11). Sääntely on kokonaisuudessaan vaikeaselkoista ja vaivalloista. 

(17) Perustuslakivaliokunta painottaa kiinnittäneensä varsin usein huomiota sääntelyn muodostumiseen sekavaksi ja vaikeasti hahmottuvaksi (ks. esim. PeVL 47/2006 vp, s. 2/I, PeVL 43/2006 vp, s. 2/I, PeVL 41/2006 vp, s. 2/I, PeVL 25/2005 vp, s. 5). Valiokunta on edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (ks. esim. PeVL 60/2014 vp, s. 3/I). Valiokunta on korostanut myös, että sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. esim. PeVL 51/2016 vp, s. 5, PeVL 45/2016 vp, s. 3). Valiokunta on korostanut, että vaikeaselkoisuudella on nyt käsillä olevassa sääntely-yhteydessä myös terveydenhuollon ammattihenkilöiden oikeusturvaa heikentävää merkitystä (PeVL 4/2021 vp, kappale 13). Valiokunta korostaa sanotun merkitystä edelleen (PeVL 50/2022 vp, kappale 11). 

(18) Perustuslakivaliokunta kiinnittää edelleen lisäksi huomiota siihen, että asetusehdotuksessa henkilötietojen rajat ylittävä käsittely perustuu pääsääntöisesti ehdotettavaan asetukseen ja suostumuksen merkitys jää edelleen jossain määrin epäselväksi (ks. myös PeVL 50/2022 vp, kappale 16). 

(19) Perustuslakivaliokunta kiinnittää siten edelleen erityistä huomiota toissijaiseen käyttöön käyttötarkoitussidonnaisuuden ja itsemäärämisoikeuden näkökulmasta (ks. PeVL 50/2022 vp, kappale 9). Valiokunta on arvioidessaan sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia (PeVL 1/2018 vp) korostanut erityisesti arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on perustuslakivaliokunnan mukaan ollut syytä suhtautua kielteisesti esimerkiksi laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä (ks. myös PeVL 14/2009 vp, s. 4/II). Käyttötarkoitussidonnaisuudesta on voitu tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. myös esim. PeVL 14/2017 vp, s. 5—6). Jatkokirjelmässä kuvattu tietoaineistokategorioiden ja käyttötarkoitusten rajaaminen merkitsee joiltain osin parannusta tässä suhteessa. 

(20) Nyt arvioitavan jatkokirjelmän mukaan Suomi pitää lisäksi tärkeänä, että jatkovalmistelussa ei mentäisi terveystietojen toisiokäyttöön liittyvän erityisen vastustamisoikeuden (opt out) osalta esitettyä neuvoston yleisnäkemystä pidemmälle. Opt out tarkoittaa luonnollisen henkilön erityistä oikeutta vastustaa henkilötietojensa käsittelyä toisiokäyttötarkoituksiin. Asetusehdotukseen on ehdotettu lisättäväksi erityiset vastustamisoikeutta koskevat artiklat, joissa annetaan jäsenmaille oikeus säätää kansallisella lainsäädännöllä siitä, että luonnollinen henkilö voi vastustaa henkilötietojensa käsittelyä toissijaiseen käyttöön. 

(21) Valtioneuvoston mukaan asetusehdotuksessa olisi ollut parempi jättää henkilötietojen suoja laajemmin tietosuoja-asetuksen varaan. Riskinä erillisen suostumusedellytyksen tai erityisen vastustamisoikeuden mahdollisuuden säätämisessä on valtioneuvoston mukaan se, että toisiokäyttöön soveltuvat tietoaineistot eivät ole edustavia ja kattavia, mikä voisi vaikeuttaa eurooppalaisen tutkimuksen toteuttamista. Perustuslakivaliokunnan mielestä sääntely on tältä osin edelleen epäselvää ja tulkinnanvaraista. Jatkovalmistelussa on syytä kiinnittää erityistä huomiota tiedollisen itsemääräämisoikeuden asianmukaiseen toteutumiseen. Valiokunta toteaa valtioneuvoston tavoin, että yksityiskohtaisemmat säännökset ovat näissä kysymyksissä valtiosääntöoikeudellisesti perusteltuja. 

(22) Perustuslakivaliokunta on arvioinut alkuperäistä asetusehdotusta kiinnittämällä huomiota siihen, että valiokunnan saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia. Ottaen huomioon tietosuoja-asetuksen suoraan soveltuva riskiperustainen sääntely, perustuslaista ei valiokunnan mukaan johdu lähtökohtaisesti velvollisuutta säännellä tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä koskevaa käsittelyä tieteellisessä tutkimuksessa tietosuoja-asetuksen edellyttämää sisällöllisesti enemmän rajoittavin säännöksin, mikäli sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluonteisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 50/2022 vp, kappale 19, PeVL 4/2021 vp, kappale 21, PeVL 20/2020 vp, s. 5—6). Valiokunta toistaa arvionsa tieteellisen tutkimuksen osalta. Sanottu ei valiokunnan mielestä kuitenkaan estä tarkempaa sääntelyä esimerkiksi suostumuksen edellytyksistä ja vastustamisoikeudesta. 

(23) Perustuslakivaliokunnan mukaan on ollut kuitenkin selvää, että sosiaali- ja terveystietojen luovuttaminen muuna kuin vähäisenä poikkeuksena käyttötarkoitussidonnaisuudesta pidettävään kehittämis- ja innovaatiotoimintaan ei voi perustua esimerkiksi terveydenhuollon asiakaspalvelutilanteessa annettuun suostumukseen. Valiokunnan käsityksen mukaan epätasapainoisessa tilanteessa, esimerkiksi terveydenhuollon asiakaspalvelutilanteessa, annettava suostumus ei välttämättä ole valiokunnan käytännössä edellytetysti — tai tietosuoja-asetuksessa tarkoitetulla tavalla — aidosti vapaaehtoinen, eikä tällaisessa tilanteessa asiakkaalla ole välttämättä tosiasiallisia mahdollisuuksia harkita suostumuksen merkitystä (PeVL 1/2018 vp, s. 6 ja 10). 

(24) Perustuslakivaliokunnan käsityksen mukaan ehdotettu tietoaineistokategorioiden täsmennys merkitsisi osittaista parannusta mainittuihin suostumuksen vapaaehtoisuuteen liittyviin ongelmiin. Toisaalta valtioneuvoston jatkokirjelmässäkin (s. 6) arvioidaan, että kehittämis- ja innovaatiotoimintaa koskeva sääntely ei vastaa perustuslakivaliokunnan lausuntokäytännön edellyttämiä vaatimuksia. Sääntelyä on edelleen syytä kehittää. 

VALIOKUNNAN LAUSUNTO

Perustuslakivaliokunta ilmoittaa,

että se kiinnittää huomiota lausunnossa mainittuihin valtiosääntöoikeudellisiin seikkoihin. 
Helsingissä 29.2.2024 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Heikki Vestman kok 
 varapuheenjohtaja 
Vilhelm Junnila ps 
 jäsen 
Maria Guzenina sd 
 jäsen 
Petri Honkonen kesk 
 jäsen 
Hannu Hoskonen kesk 
 jäsen 
Teemu Keskisarja ps 
 jäsen 
Johannes Koskinen sd 
 jäsen 
Jarmo Lindberg kok 
 jäsen 
Mats Löfström 
 jäsen 
Mira Nieminen ps 
 jäsen 
Johanna Ojala-Niemelä sd 
 jäsen 
Karoliina Partanen kok 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mikael Koillinen