Senast publicerat 02-07-2025 19:57

Utlåtande GrUU 89/2022 rd RP 246/2022 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den

Till social- och hälsovårdsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den (RP 246/2022 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 

Sakkunniga

Utskottet har hört 

  • regeringsråd Joni Komulainen 
    social- och hälsovårdsministeriet
  • specialsakkunnig Anna Sandberg 
    social- och hälsovårdsministeriet
  • biträdande dataombudsman Heljä-Tuulia Pihamaa 
    Dataombudsmannens byrå
  • professor (emerita) Raija Huhtanen 
  • justitieråd, professor Juha Lavapuro 
  • professor Tuomas Ojanen. 

PROPOSITIONEN

Regeringen föreslår att det stiftas en ny lag om behandling av kunduppgifter inom social- och hälsovården. Samtidigt upphävs lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården och lagen om klienthandlingar inom socialvården samt de bestämmelser om behandling av kund- eller klientuppgifter som finns i andra lagar och som ingår i den nya lagen. I propositionen föreslås vidare sådana ändringar i 34 lagar som är nödvändiga på grund av den nya lagen. 

Lagarna avses träda i kraft den 1 januari 2024. 

I motiven till lagstiftningsordningen bedöms lagförslaget med avseende på grundlagens 7 § om rätt till liv, personlig frihet och integritet, 10 § om skydd för privatlivet och personuppgifter, 19 § om rätt till social trygghet, 80 § om utfärdande av förordningar, och 124 § om överföring av förvaltningsuppgifter på andra än myndigheter. 

Regeringen anser att lagförslaget kan behandlas i vanlig lagstiftningsordning. Det är dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1) Ett av de viktigaste syftena med propositionen (s. 27) är att förtydliga och förenhetliga lagstiftningen om informationshantering inom social- och hälsovården så den är tydlig och begriplig för dem som ska tillämpa den och så att lagstiftningen som helhet överensstämmer med dataskyddsförordningen. De centrala bestämmelserna om behandlingen av kundppgifter inom social- och hälsovården ska samlas i en lag och i sin helhet bringas i överensstämmelse med kraven i grundlagen och dataskyddsförordningen (se RP s. 28). 

(2) Grundlagsutskottet har ingenting att invända mot målet med bestämmelserna. Utskottet anser dock att det med tanke på syftena med bestämmelserna är beklagligt att de är svårbegripliga och delvis till och med besvärliga, i likhet med den lag om elektronisk behandling av klientuppgifter inom social- och hälsovården som stiftades med grundlagsutskottets medverkan (GrUU 4/2021 rd) och som redan nu föreslås bli upphävd. Ur denna synvinkel fäster utskottet särskild uppmärksamhet vid bestämmelsen om tillämpningsområdet i 2 § i lagförslag 1 i propositionen (nedan också förslaget till kunduppgiftslag), där det också bestäms om tillämpningen i förhållande till annan lagstiftning. 

(3) Grundlagsutskottet har i flera sammanhang påpekat att lagstiftningen har blivit mycket ogenomtänkt och svårtydd (se t.ex. GrUU 47/2006 rd, s. 2, GrUU 43/2006 rd, s.2, GrUU 41/2006 rd, s. 2, och GrUU 25/2005 rd, 5). Utskottet har förutsatt att målgruppen för bestämmelserna utan svårigheter ska kunna tillämpa dem (se till exempel GrUU 60/2014 rd). Utskottet har också betonat att det är särskilt viktigt med tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se till exempel GrUU 51/2016 rd, s. 5, GrUU 45/2016 rd, s. 3). Att den nu aktuella regleringen är svårbegriplig har också en negativ inverkan på rättsskyddet för yrkesutbildade personer inom social- och hälsovården (se även GrUU 4/2021 rd, stycke 13). 

(4) Grundlagsutskottet har också fäst särskild uppmärksamhet vid att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se till exempel GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Enligt grundlagsutskottet är det klart att EU:s dataskyddslagstiftning är en synnerligen starkt bidragande orsak till den komplicerade regleringen. Grundlagsutskottet anser trots det att social- och hälsovårdsutskottet bör undersöka om det finns något sätt att förtydliga regleringen. 

(5) Propositionen gäller bestämmelser om behandling av kunduppgifter inom social- och hälsovården. Inom social- och hälsovården behandlas känsliga personuppgifter som kan gälla till exempel en patients hälsotillstånd, sjukdom eller funktionsnedsättning eller behandlingar eller andra motsvarande åtgärder. Det kan också finnas uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner. 

(6) Förslaget är betydelsefullt med avseende på skyddet för privatlivet och personuppgifter i 10 § i grundlagen. Regleringen är av betydelse också med avseende på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. Grundlagsutskottet har nyligen fastställt utgångspunkterna för den konstitutionella bedömningen av bestämmelserna om behandling av klientuppgifter inom social- och hälsovården i samband med utskottets analys av den föreslagna lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (GrUU 4/2021 rd). Utskottet hänvisar till de utgångspunkter som då framförts utan att upprepa dem här. 

(7) I propositionsmotiven och motiven till lagstiftningsordningen granskas lagförslagen rätt ingående ur de grundläggande rättigheternas perspektiv. Grundlagsutskottet kan i huvudsak instämma i de slutsatser som framförts. Utskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Social- och hälsovårdsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som ställs i EU:s dataskyddsförordning. Utskottet anser att man i denna bedömning också bör fästa uppmärksamhet vid den praktiska genomförbarheten av de föreslagna rättigheterna i anslutning till dataskyddet. Enligt inkommen utredning skulle till exempel möjligheten till förbudsrätt organisationsvis också inom den privata hälso- och sjukvården avhjälpa svårigheterna med att rikta förbud vid varje servicehändelse. 

(8) Grundlagsutskottet anser att regleringen i huvudsak är utformad på behörigt sätt. Utskottet fäster dock uppmärksamhet vid rätten att få uppgifter, bestämmelserna om det tekniska gränssnittet och bestämmelserna om lagringstider. 

Rätt att få uppgifter

(9) I 8 kap. i förslaget till kunduppgiftslag finns det bestämmelser om rätten att få information och om utlämnande av kunduppgifter till kundens nära anhöriga, tjänsteproducenter och andra myndigheter och aktörer. Enligt motiven till lagstiftningsordningen i propositionen (s. 186) tryggas skyddet för privatlivet och självbestämmanderätten för människorna genom bestämmelserna om sekretess och tystnadsplikt för kunduppgifter inom social- och hälsovården samt genom bestämmelserna om behandling av kunduppgifter. En kund kan bestämma om utlämnande av sina kunduppgifter inom social- och hälsovården med hjälp av tillstånd för och förbud mot utlämnande samt med hjälp av förbud som gäller läkemedel som förskrivits till en patient. 

(10) Grundlagsutskottet anser att en sådan utgångspunkt fortfarande är motiverad med avseende på skyddet för privatlivet och personuppgifter samt klientens självbestämmanderätt. Utskottet har betonat att detta inte hindrar att det i samtyckeskravet bestäms om undantag och annan rätt att få information på det sätt som anges till exempel i 13 § i patientlagen (se närmare GrUU 4/2021 rd). Utskottet framhåller dock att social- och hälsovårdsutskottet bör försäkra sig om att de föreslagna bestämmelserna som gäller tillstånd för och samtycke till utlämnande av uppgifter är förenlig med EU:s allmänna dataskyddsförordning. Bestämmelserna bör också kompletteras med en definition av tillstånd för utlämnande av uppgifter. 

(11) I enlighet med vad som anförts ovan föreslås det vissa begränsningar i rätten att bestämma över information om sig själv. Exempelvis enligt 53 § 1 mom. i förslaget till kunduppgiftslag har de som deltar i tillhandahållandet av en tjänst vid tillhandahållandet av socialvårdens och hälso- och sjukvårdens gemensamma service rätt att få och använda sådana kundhandlingar som är nödvändiga för tillhandahållandet av tjänsten. Grundlagsutskottet anser att denna rätt att få uppgifter som avviker från samtyckeskravet har motiverats tämligen knapphändigt i propositionen. Social- och hälsovårdsutskottet bör utreda hur nödvändig den föreslagna rätten att få uppgifter är. 

(12) Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretess med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om datainnehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se till exempel GrUU 17/2016 rd, s. 2—3). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se till exempel GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd, s. 4). 

(13) Grundlagsutskottet noterar att även om rätten att få uppgifter i huvudsak på behörigt sätt är bunden till kravet på nödvändighet, framgår det inte till alla delar av regleringen uttryckligen vem eller vilka som har rätt att få eller lämna uppgifter. Exempelvis enligt motiveringen till 54 § (s. 111) kan patientuppgifter med stöd av 4 mom. lämnas ut inte bara inom hälso- och sjukvården utan också till de tjänstetillhandahållare som producerar socialtjänster i samband med vilka också hälso- och sjukvårdstjänster tillhandahålls. Sådana tjänster är till exempel hemvård, omsorgs- och boendetjänster samt institutions- och rehabiliteringstjänster inom missbrukarvården. Social- och hälsovårdsutskottet bör sträva efter att precisera bestämmelserna. 

(14) Enligt 66 § 3 mom. 9 punkten i förslaget till kunduppgiftslag har Folkpensionsanstalten, och enligt 5 § 1 mom. i lagförslag 8 Institutet för hälsa och välfärd, rätt att få och behandla kunduppgifter i syfte att för den tekniska kvalitetskontrollen av handlingar säkerställa att datastrukturerna är korrekta och interoperabla. Syftet har definierats tämligen vagt. Social- och hälsovårdsutskottet bör precisera bestämmelsen. 

Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren

(15) I 51 § i förslaget till kunduppgiftslag finns bestämmelser om minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren. I 1 mom. bestäms liksom i den gällande lagen om rätten för en minderårig patient inom hälso- och sjukvården att förbjuda att uppgifter om honom eller henne lämnas ut, när han eller hon med beaktande av sin ålder och utvecklingsnivå själv kan fatta beslut om vården. I 2 mom. finns en motsvarande bestämmelse om förbudsrätt för minderåriga klienter inom socialvården, som bygger på redan gällande rätt. 

(16) Grundlagsutskottet noterar att enligt det föreslagna 51 § 2 mom. om socialvård kan en minderårig inte förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, om det klart strider mot den minderåriges intresse. Motsvarande avgränsning har inte gjorts i 1 mom. Utskottet anser att social- och hälsovårdsutskottet bör överväga att införa motsvarande avgränsning i bestämmelsen om hälso- och sjukvård i 1 mom. 

(17) I propositionsmotiven (s. 101) betonas det i fråga om de föreslagna bestämmelserna att en yrkesutbildad person alltid vid anteckning av klientuppgifter ska säkerställa att barnet vet och förstår att uppgifterna syns för vårdnadshavaren och att han eller hon, om ålder och utvecklingsnivå kräver det, har rätt att förbjuda att uppgifterna lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt för barnet att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren. 

(18) Grundlagsutskottet betonar vikten av det som sägs i motiveringen. Social- och hälsovårdsutskottet bör fästa särskild uppmärksamhet vid situationer där utlämnande av uppgifter om en minderårig till vårdnadshavaren oberoende av den minderåriges förbud kan medföra hot om fysiskt våld mot den minderårige. Social- och hälsovårdsutskottet bör således fästa särskild uppmärksamhet vid definitionen av avvikelse från förbudsrätten och vid förfarandet när en avvikelse görs. 

Tekniskt gränssnitt

(19) Grundlagsutskottet fäster uppmärksamhet vid bestämmelserna om tekniskt gränssnitt i 57 § 1 mom. i den föreslagna kunduppgiftslagen. Den rätt att få uppgifter som avses i 53—55 och 64 § får tillgodoses med hjälp av ett tekniskt gränssnitt efter det att existensen av en vårdrelation eller klientrelation mellan patienten eller socialvårdsklienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Enligt motiveringen (s. 116) tillgodoses rätten att få information med hjälp av de riksomfattande informationssystemtjänsterna redan för närvarande med hjälp av ett tekniskt gränssnitt, även om det inte har funnits några särskilda bestämmelser om detta. 

(20) Rätten att få uppgifter med hjälp av ett tekniskt gränssnitt gäller enligt hänvisningen i det föreslagna 57 § 1 mom. också den rätt att få uppgifter av penninginstitut som avses i 64 § 2 mom. Vid ett förfarande enligt den bestämmelsen förutsätts det för att få uppgifter att en skriftlig begäran, som grundar sig på ett beslut, framställs till penninginstitutet. Innan begäran framställs ska kunden underrättas om den. 

(21) Grundlagsutskottet anser att det inbördes förhållandet mellan bestämmelserna är oklart. Utskottet har vid bedömningen av regeringens proposition till riksdagen med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den ansett att detaljerade kontouppgifter kan jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet. Enligt utskottets uppfattning var avsikten med den lagstiftningen att inrätta ett system genom vilket personuppgifter som omfattas av banksekretessen kunde lämnas ut till flera olika myndigheter utan tillräcklig förhandskontroll. Utskottet ansåg att propositionen inte innehöll godtagbart motiverade, konstitutionellt korrekta, exakta eller noggrant avgränsade bestämmelser om till exempel Folkpensionsanstaltens rätt att få information (GrUU 48/2018 rd, s. 8). 

(22) Enligt en utredning som grundlagsutskottet fått avses med den föreslagna bestämmelsen inte ett tekniskt gränssnitt som kan jämställas med ett sådant system som avses ovan. Utskottet anser dock att det inbördes förhållandet mellan 57 § 1 mom. och 64 § 2 mom. måste förtydligas och preciseras så att det tydligt framgår av bestämmelserna att förfarandet enligt 64 § 2 mom. också gäller utlämnande av uppgifter via ett tekniskt gränssnitt. Det här är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

Lagringstider

(23) Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (se GrUU 31/2017 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Utskottet har understrukit att framför allt lagringstiden för känsliga uppgifter ska vara begränsad på så sätt att uppgifterna bara får finnas lagrade så länge det är nödvändigt för att fullfölja det syfte för vilket uppgifterna har registrerats (se till exempel GrUU 31/2017 rd, s. 5, GrUU 13/2017 rd, s. 6). Utskottet har till exempel ansett att en lagringstid på fem år för känsliga uppgifter är lång (GrUU 51/2018 rd, s. 16, GrUU 13/2017 rd, s. 6). 

(24) Bestämmelser om lagringstiderna föreslås i bilagan till kunduppgiftslagen. Enligt 23 § i förslaget till kunduppgiftslag ska kundhandlingar i original samt sådana prov och modeller av organ som uppkommer vid undersökning och vård av en patient och som innehåller biologiskt material bevaras den tid som anges i bilagan. 

(25) Enligt grundlagsutskottet är det inte sedvanligt att bestämmelser om lagringstider meddelas i en bilaga till lagen. Det finns dock inget konstitutionellt hinder för detta. Social- och hälsovårdsutskottet måste särskilt försäkra sig om att de föreslagna långa lagringstiderna är nödvändiga. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkning som gäller tekniskt gränssnitt beaktas på behörigt sätt. 
Helsingfors 27.1.2023 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 vice ordförande 
Heikki Vestman saml 
 medlem 
Bella Forsgrén gröna 
 medlem 
Jukka Gustafsson sd 
 medlem 
Olli Immonen saf 
 medlem 
Hilkka Kemppi cent 
 medlem 
Jari Kinnunen saml 
 medlem 
Anna Kontula vänst 
 medlem 
Mats Löfström sv 
 medlem 
Sakari Puisto saf 
 medlem 
Wille Rydman saf 
 medlem 
Ville Valkonen saml 
 medlem 
Tuula Väätäinen sd 
 ersättare 
Johannes Koskinen sd. 
 

Sekreterare var

utskottsråd Mikael Koillinen.