7.1
Lagen om sekundär användning av personuppgifter inom social- och hälsovården
1 §.Lagens syfte
. I propositionen föreslås att paragrafen ändras för att göra lagens tillämpningsområde tydligare. Den gällande lagens 1 § innehåller bestämmelser om datamaterial och organisationer som omfattas av lagens tillämpningsområde men som det vore ändamålsenligare att föreskriva om i den paragraf som gäller lagens tillämpningsområde, det vill säga 2 §. Det föreslås att 1 § ändras så att den endast innehåller lagens allmänna syfte.
I den föreslagna paragrafen förskrivs att syftet med denna lag är att möjliggöra en effektiv och informationssäker behandling av personuppgifter inom social- och hälsovården för sekundära användningsändamål. Lagens syfte ska dessutom vara att trygga individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter.
2 §.Tillämpningsområde och förhållande till annan lagstiftning.
Paragrafen föreslås bli ändrad med avseende på bestämmelserna om tillämpningsområdet så att innehållet i den gällande 1 § om datamaterial och organisationer fogas till den nya 2 §. Syftet med ändringen är att förtydliga tillämpningsområdet för lagen om sekundär användning av personuppgifter inom social- och hälsovården. Paragrafens rubrik preciseras enligt propositionen så att den hänvisar till bestämmelser om lagens tillämpningsområde och förhållande till annan lagstiftning. Dessutom föreslås det att det till paragrafen fogas ett nytt 4 mom. där det föreskrivs att lagen om sekundär användning av personuppgifter inom social- och hälsovården inte tillämpas på sådan behandling av personuppgifter som sker inom ramen för kliniska prövningar.
Paragrafens 1 mom. föreslås bli ändrat så att det uttrycker att lagen om sekundär användning av personuppgifter inom social- och hälsovården innehåller bestämmelser som kompletterar dataskyddsförordningen, när personuppgifter som avses i 2 mom. behandlas för användningsändamål som avses i det momentet.
De bestämmelser som hänför sig till användningsändamålen och som finns i den gällande lagens 1 mom. ska enligt propositionen flyttas till 2 mom. i den nya paragrafen. Bestämmelserna i den gällande paragrafens 2 mom. om organisationer och begränsningar i samband med behandlingen av uppgifter föreslås ingå i det ändrade 2 mom.
I det ändrade 2 mom. föreskrivs att lagen om behandling av personuppgifter inom social- och hälsovården tillämpas på behandling av personuppgifter som registrerats i social- och hälsovårdsverksamhet hos de organisationer som avses i 6 § och hos privata serviceanordnare inom socialvården eller hälso- och sjukvårdsvården samt för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården liksom även på samkörning av dessa personuppgifter med Folkpensionsanstaltens, Statistikcentralens, Pensionsskyddscentralens och Myndigheten för digitalisering och befolkningsdatas personuppgifter, med de begränsningar som anges i 6, 7 och 7 a §, när uppgifterna i fråga behandlas för följande användningsändamål, även om de inte ursprungligen har registrerats för de ändamålen:
1) statistikföring,
2) vetenskaplig forskning,
3) utvecklings- och innovationsverksamhet,
4) undervisning,
5) informationsledning,
6) myndighetsstyrning och myndighetstillsyn inom social- och hälsovården,
7) myndigheternas planerings- och utredningsuppgifter.
Enligt förslagets 3 mom. finns bestämmelser om grunder för utlämnande av personuppgifter och om mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 2 mom. i 4 och 5 kap.
Det föreslås att ett nytt 4 mom. fogas till paragrafen, där det förskrivs att lagen om sekundär användning av personuppgifter inom social- och hälsovården inte tillämpas på behandling av personuppgifter som sker i sådana situationer inom ramen för kliniska prövningar där försökspersonen i den kliniska prövningen eller försökspersonens lagliga företrädare har gett sitt samtycke till deltagande i prövningen eller om villkoren för prövning i nödsituationer uppfylls. Med kliniska prövningar ska i detta sammanhang avses på människor utförd inkräktande forskning som är antingen sådana kliniska prövningar som avses i EU:s prövningsförordning, sådana kliniska prövningar av medicintekniska produkter som avses i EU:s MD-förordning, sådana prestandastudier av produkter för in vitro-diagnostik som avses i EU:s IVD-förordning eller sådan medicinsk forskning som avses i forskningslagen.
Så som beskrivs ovan i avsnitt 2.6 har det alltsedan lagen om sekundär användning av personuppgifter inom social- och hälsovården trädde i kraft rått oklarhet kring hur lagen ska tillämpas på kliniska prövningar. Det var inte meningen ursprungligen att lagen om sekundär användning av personuppgifter inom social- och hälsovården skulle tillämpas på kliniska prövningar. Hur lagen om sekundär användning av personuppgifter inom social- och hälsovården relaterar till kliniska prövningar har dock inte i tillräcklig utsträckning lyfts fram på lagnivå i den lagen eller i det beredningsmaterial som ledde till stiftandet av lagen. Detta har lett till oklarhet beträffande det vilka lagar och förfaranden som gör det möjligt att för kliniska prövningar få tillgång till sådant datamaterial som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. Efter ikraftträdandet av lagen om sekundär användning av personuppgifter inom social- och hälsovården har det till lagstiftningen fogats enskilda särskilda bestämmelser om rätten att få uppgifter för kliniska prövningar, och de bestämmelserna gäller användning av uppgifter ur journalhandlingar vid kliniska prövningar samt användning av uppgifter om mikrobfynd ur Institutet för hälsa och välfärds register Hilmo och avoHilmo och register över smittsamma sjukdomar vid klinisk prövning av läkemedel. Dessa ändringar har dock lett till att regleringen blivit delvis splittrad och till oavsiktliga motsatta slutsatser om att lagen om sekundär användning av personuppgifter inom social- och hälsovården skulle tillämpas på behandlingen av andra personuppgifter vid kliniska prövningar. Den föreslagna bestämmelsen behövs således på lagnivå för att ange hur det ursprungligen var avsett med lagen om sekundär användning av personuppgifter inom social- och hälsovården, nämligen att den inte ska tillämpas på behandling av personuppgifter i samband med kliniska interventionsstudier.
Att behandlingen av personuppgifter har en annan lagstiftningsmässig ställning i samband med kliniska prövningar än i samband med registerstudier är motiverat av flera olika orsaker. De grundläggande lösningarna i lagen om sekundär användning av personuppgifter inom social- och hälsovården har ursprungligen valts som reglering utifrån utgångspunkterna för registerstudier. Registerstudier och kliniska prövningar skiljer sig dock avsevärt från varandra. Registerstudier baserar sig på användning av befintliga uppgifter och de är ofta retrospektiva, det vill säga i studierna granskas med hjälp av registeruppgifter händelser i det förgångna. Vid registerstudier riktas inga med studierna sammanhängande interventioner mot de personer som är föremål för studierna. I så kallade rena registerstudier står forskningsgruppen inte alls i kontakt med de personer som är föremål för studierna, utan materialet om dessa samlas in enbart med hjälp av befintliga registeruppgifter. De personer som är föremål för en studie får således inte nödvändigtvis någon direkt information om att uppgifter om dem används i studien, och av personerna själva inhämtas inget samtycke till att delta i studien eller till att personuppgifter om dem behandlas i studien. Information om behandling av personuppgifter och utövande av de registrerades rättigheter finns dock tillgänglig på Tillståndsmyndighetens och de i 6 § avsedda organisationernas webbplatser. Registerstudier har i princip inte heller någon direkt inverkan på den vård som de personer som är föremål för en studie får, och de personer som är föremål för en studie utsätts inte för risker genom studien på samma sätt som i samband med kliniska prövningar. Den som är föremål för en registerstudie har således i allmänhet en passiv roll i studien.
Vid genomförande av kliniska prövningar åter gäller den speciallagstiftning som beskrivs i avsnitt 2.6.2. Kliniska prövningar ska genomföras i enlighet med ett strikt forskningsprotokoll, som ska godkännas av kommittén för medicinsk forskningsetik innan prövningen inleds. När det gäller prövningar som avser medicintekniska produkter och läkemedel krävs dessutom tillstånd av Säkerhets- och utvecklingscentret för läkemedelsområdet. Vid kliniska prövningar är de personer är försökspersonernas deltagande i prövningen aktivt och informerat. Kliniska prövningar är prospektiva, alltså i dem studeras hur det läkemedel eller den anordning eller någon annan behandlingsmetod eller behandlingsåtgärd som är föremål för prövningen påverkar hälsotillståndet hos försökspersonerna över en viss tid. Vid kliniska prövningar står prövningsgruppen i direkt kontakt med försökspersonerna och dessa är föremål för inkräktande åtgärder som sammanhänger med prövningen, exempelvis administrering av prövningsläkemedel, provtagning eller genomförande av kirurgiska ingrepp. Kliniska prövningar frambringar ny information, och en prövning utgör ofta också en del av patientens vård. På samma sätt kan det hända att den som är föremål för en prövning utsätts för potentiella skadliga effekter eller andra risker till följd av prövningen.
Lagstiftningen om kliniska prövningar förutsätter att den som är föremål för en prövning ger informerat samtycke till att delta i prövningen. Det finns också noggranna bestämmelser om de krav som gäller samtycke och innehållet i den information som ska lämnas till den som är föremål för en prövning eller till någon annan som ger samtycke. Utöver den information som ska lämnas i fråga om själva prövningen ska den som är föremål för en prövning också ges information om hur personuppgifter, inklusive registeruppgifter, behandlas vid prövningen. Efter att ha fått den informationen kan den vars samtycke förutsätts överväga att delta i prövningen med beaktande av alla särdrag hos denna och utifrån sin egen bedömning antingen ge sitt samtycke till att delta i prövningen eller avböja. Trots att den registrerades samtycke i regel inte ska användas som grund för behandling av personuppgifter vid kliniska prövningar, samtycke till deltagande handlar i stället om en forskningsetisk skyddsåtgärd, fungerar samtycket samtidigt också som en dataskyddsrättslig säkerhetsåtgärd. När en person ger sitt samtycke till deltagande är det samtidigt också en viljeyttring om att personen godkänner den behandling av registeruppgifter som sker i samband med prövningen. Hur registeruppgifter behandlas i samband med kliniska prövningar kan således anses höra till försökspersonens självbestämmanderätt avseende information om honom eller henne själv, och i motsats till vad som är fallet vid registerstudier så utnyttjar försökspersoner i kliniska prövningar aktivt denna rätt när de överväger sitt deltagande i prövningen.
Kliniska prövningar övervakas också under prövningens gång, och i lagstiftningen har sponsorn och forskaren dessutom ålagts diverse skyldigheter som hänför sig till behandlingen av data vid kliniska prövningar och till säkerhetsrapportering. Det är dock inte möjligt att uppfylla dessa skyldigheter, om behandlingen av personuppgifter vid kliniska undersökningar måste göras i enlighet med kraven i lagen om sekundär användning av personuppgifter inom social- och hälsovården. Till exempel EU:s prövningsförordning förutsätter att den som utför en prövning till den elektroniska databas som upprätthålls av Europeiska läkemedelsmyndigheten anmäler misstänkta oväntade allvarliga biverkningar som framkommit vid prövningen, och det går inte att göra sådana anmälningar, om behandlingen av personuppgifter vid prövningen ska ske i sådana informationssäkra driftmiljöer som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. I ljuset av bestämmelserna i EU:s prövningsförordning samt MD-förordningen och IVD-förordningen är det dessutom oklart huruvida det vid prövningar som utförs inom ramen för nämnda förordningar alls är tillåtet att tillämpa särskilda nationella krav på informationssäkerhet, för förordningarnas syfte har varit att förenhetliga förutsättningarna för genomförande av klinisk prövning av läkemedel och medicintekniska produkter inom hela EU och förordningarna innehåller med avseende på detta inget uttryckligt nationellt spelrum.
I propositionen föreslås att det på behandlingen av personuppgifter vid kliniska prövningar i stället för lagen om sekundär användning av personuppgifter inom social- och hälsovården ska tillämpas annan lagstiftning. Centralast bland den lagstiftningen vore EU:s allmänna dataskyddsförordning. För att det inte i och med den föreslagna ändringen ska uppstå oklarhet om det med stöd av vilken lag registeruppgifter kan fås till förfogande för kliniska prövningar, föreslås det att det i lagförslagen 2–4 föreskrivs om vissa rättigheter att få uppgifter för kliniska prövningar som grundar sig på lagen. Utöver dessa är det möjligt att få andra registeruppgifter för prövningar med stöd av annan lagstiftning, som lämpar sig för respektive behandlingssituation.
3 §.Definitioner
. Det föreslås att termen informationssäker drifttjänst i paragrafens 10 punkt ändras till termen informationssäker överföringstjänst. Avsikten är att förtydliga definitionen, eftersom uppgifter och datamaterial enligt lagen om sekundär användning av personuppgifter inom social- och hälsovården ska överföras via en datasäker överföringstjänst.
Termen hanteringssystem för begäranden om information i 12 punkten föreslås bli ändrad till termen e-tjänst. Avsikten är att förtydliga definitionen, eftersom det i e-tjänsten ska behandlas både ansökningar om dataanvändningstillstånd och begäranden om information.
Med avseende på 13 punkten föreslås en teknisk ändring enligt vilken det i fråga om privata tjänsteproducenter hänvisas till lagen om tillsyn över social- och hälsovården (741/2023).
5 §.Tillståndsmyndighetens uppgifter
. Paragrafens 1 mom. föreslås bli ändrat så att Tillståndsmyndigheten behandlar dataanvändningstillstånd och begäranden om information samt svarar för insamling, samkörning, förbehandling och utlämnande för sekundär användning av de uppgifter som avses i ett dataanvändningstillstånd eller en begäran om information.
Det föreslås att 2 mom. ändras så att termen hanteringssystem för begäranden om information ersätts med termen e-tjänst och informationssäker driftmiljö ersätts med informationssäker överföringstjänst. Momentet föreslås i enlighet med 20 § bli ändrat så att Tillståndsmyndigheten ska ordna en tjänst för en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett dataanvändningstillstånd.
Paragrafens 4 mom. ändras enligt propositionen så att det motsvarar de ändringar som görs i 52 §. Tillståndsmyndigheten föreslås kunna producera anonymiserade resultat och säkerställa anonymiseringen hos producerade resultat. Bestämmelser om anonymisering av resultat föreslås ingå i 52 §.
6 §.Organisationer samt begränsningar i fråga om datamaterial.
Det föreslås att paragrafens rubrik ändras så att det inte längre hänvisas till tjänster i den, utan till organisationer och till begränsningar i fråga om datamaterial. Lagens struktur ändras enligt propositionen så att behörigheten när det gäller behandlingen av dataanvändningstillstånd och begäranden om information regleras i egna paragrafer och lagens 10, 11 och 44 § upphävs. Tillståndsmyndighetens och andra i 6 § avsedda organisationers ansvar för tjänster för sekundär användning av personuppgifter framgår av 3 kap. och behöver inte förtecknas i en separat paragraf. Bestämmelser om behörigheten när det gäller behandlingen av dataanvändningstillstånd och begäranden om information ska enligt propositionen utfärdas separat.
Enligt propositionen ändras 1 mom. så att det inte hänvisas till tjänster och myndigheter och organisationer som ansvarar för tjänsterna, utan till organisationer vars personuppgifter med stöd av lagen kan behandlas för användningsändamål enligt 2 §.
När det gäller 1 mom. 11 punkten föreslås en teknisk ändring där Befolkningsregistercentralen ändras till Myndigheten för digitalisering och befolkningsdata.
6 a §.Behörighet för behandling av dataanvändningstillstånd.
I propositionen föreslås att det till lagen fogas en ny paragraf om behörighet för behandling av dataanvändningstillstånd. Den nya paragrafen förtydligar lagens struktur och möjliggör en mer decentraliserad modell för behandlingen av dataanvändningstillstånd enligt lagen om sekundär användning av personuppgifter inom social- och hälsovården.
I paragrafens 1 mom. föreskrivs att om en ansökan om dataanvändningstillstånd gäller uppgifter som registrerats i Kanta-tjänsterna eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården, ska tillståndsansökan lämnas in till Tillståndsmyndigheten, som ska fatta beslutet om dataanvändningstillstånd. Med avseende på dessa uppgifter bevaras nuläget, enligt vilket dataanvändningstillstånden i fråga ska behandlas endast av Tillståndsmyndigheten. Det anses ändamålsenligt att sådana ansökningar om dataanvändningstillstånd som hänför sig till uppgifter i Kanta-tjänsterna fortsättningsvis koncentreras till Tillståndsmyndigheten.
Behörigheten för privata serviceanordnare inom socialvården eller hälso- och sjukvården att bevilja dataanvändningstillstånd ska även framöver innehas av en myndighetsaktör, eftersom beviljandet av dataanvändningstillstånd anses inbegripa sådan prövningsrätt som inte kan anförtros en privat aktör. Bestämmelser om detta finns i grundlagens 124 §, enligt vilken offentliga förvaltningsuppgifter kan anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock anförtros endast myndigheter. När rätten att lämna ut känsliga och sekretessbelagda personuppgifter för andra ändamål än deras primära användningsändamål utövas, ska rätten till skydd för privatlivet enligt 10 § 1 mom. i grundlagen tryggas. I den regeringsproposition som hänför sig till lagen om sekundär användning av personuppgifter inom social- och hälsovården (RP 159/2017 rd) anses det att det på grund av skyddet för personuppgifter och skyddet för kundens berättigade förväntningar, som är centralt med avseende på social- och hälsovårdsverksamhet, är motiverat att ansvaret för beviljandet av dataanvändningstillstånd i dessa situationer anförtros en myndighet. För att behandlingen av dataanvändningstillstånd ska vara tydlig och enhetlig har det ansetts vara bra att bevara nuläget, där dataanvändningstillstånd i fråga om privata serviceanordnares uppgifter behandlas av Tillståndsmyndigheten.
Enligt 2 mom. i den föreslagna paragrafen får sökanden lämna in en ansökan om dataanvändningstillstånd som gäller fler än en i 6 § avsedd organisations datamaterial antingen till Tillståndsmyndigheten eller separat till varje enskild organisation som är föremål för ansökan.
I 3 mom. föreskrivs att om sökanden lämnar in sin ansökan om dataanvändningstillstånd till Tillståndsmyndigheten, fattar myndigheten beslutet om dataanvändningstillstånd i fråga om alla personuppgiftsansvarigas datamaterial som är föremål för ansökan. Om sökanden däremot lämnar in ansökan separat till varje organisation som är föremål för ansökan, fattar varje organisation beslutet om dataanvändningstillstånd i fråga om sitt eget datamaterial.
Sökanden kan enligt propositionen alltså också i fortsättningen lämna in en ansökan om dataanvändningstillstånd som gäller flera organisationers datamaterial till Tillståndsmyndigheten och utnyttja en tjänst med en enda kontaktpunkt enligt en centraliserad modell, där sökanden får både dataanvändningstillstånd och datamaterialet på ett centraliserat sätt. Om sökanden lämnar in ansökan till Tillståndsmyndigheten, ska dataanvändningstillståndet behandlas på samma sätt som i den nuvarande modellen. Sökanden ska dock i enlighet med en decentraliserad modell kunna lämna in ansökan separat till varje organisation som är föremål för ansökan. Om sökanden lämnar in ansökan om dataanvändningstillstånd separat till varje organisation, får sökanden som svar flera beslut om dataanvändningstillstånd. Varje organisation ska ta ställning till ansökan om dataanvändningstillstånd i fråga om sitt eget datamaterial. Organisationerna ska dock vid bedömningen av ansökan beakta vilken inverkan en sammanslagning av olika registeransvarigas datamaterial har.
Enligt den gällande lagen behandlar de organisationer som avses i 6 § de ansökningar om dataanvändningstillstånd som gäller deras eget datamaterial. I den decentraliserade modellen ska de personuppgiftsansvariga fortfarande behandla ansökningar om dataanvändningstillstånd som gäller deras eget datamaterial. Om sökanden har valt att lämna in en ansökan om dataanvändningstillstånd som gäller uppgifter hos flera av de i 6 § avsedda organisationerna separat till varje enskild organisation, ska sökanden i sin ansökan ange vilka alla av de i 6 § avsedda organisationerna det är vars uppgifter ansökan gäller. Organisationerna ska vid behov kunna samarbeta vid behandlingen av en sådan ansökan om dataanvändningstillstånd som gäller flera organisationers uppgifter.
I enlighet med 46 § 2 mom. i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården meddelar Tillståndsmyndigheten föreskrifter om datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, i planen för användning av uppgifterna, i begäran om information samt i beslutet om dataanvändningstillstånd och om begäran om information. Gemensamma krav på datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, i begäran om information samt i beslutet om dataanvändningstillstånd och om begäran om information underlättar samarbetet och främjar enhetligheten mellan de i 6 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården avsedda organisationerna vid behandlingen av ansökningar om dataanvändningstillstånd och begäranden om information.
Enligt det föreslagna 4 mom. ska en ansökan om dataanvändningstillstånd som gäller uppgifter hos endast en av de organisationer som avses i 6 §1–8 punkten lämnas in till den organisationen, som själv fattar beslutet om dataanvändningstillstånd. Enskilda organisationer ska alltså fortfarande ha möjlighet att behandla ansökningar om dataanvändningstillstånd som gäller deras eget datamaterial.
I enlighet med vad som föreskrivs i 6 § i förvaltningslagen (434/2003) ska myndigheterna bemöta dem som uträttar ärenden hos förvaltningen jämlikt och använda sina befogenheter enbart för syften som är godtagbara enligt lag. Myndigheternas åtgärder ska vara opartiska och stå i rätt proportion till sitt syfte.
Enligt det föreslagna 5 mom. får den organisation som svarar för ett beslut om dataanvändningstillstånd begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd, om organisationen bedömer att det behövs. Denna rätt finns också i den gällande lagen.
6 b §.Behörighet för behandling av begäranden om information.
Det föreslås att det till lagen fogas en ny paragraf om behörighet för behandling av begäranden om information. På motsvarande sätt som när det gäller dataanvändningstillstånd ska det enligt förslaget också när det gäller begäranden om information möjliggöras en mer decentraliserad modell än tidigare. Den nya paragrafen motsvarar till sitt innehåll i huvudsak den föreslagna 6 a §.
I paragrafens 1 mom. föreskrivs att om en begäran om information gäller uppgifter som registrerats i Kanta-tjänsterna eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården, ska begäran om information lämnas in till Tillståndsmyndigheten, som ska fatta beslutet om begäran om information.
Enligt 2 mom. i den föreslagna paragrafen får sökanden lämna in en begäran om information som gäller fler än en i 6 § avsedd organisations datamaterial antingen till Tillståndsmyndigheten eller separat till varje enskild organisation som är föremål för begäran om information.
I förslagets 3 mom. föreskrivs att om sökanden lämnar in sin begäran om information till Tillståndsmyndigheten, fattar myndigheten beslutet om begäran om information i fråga om alla de personuppgiftsansvarigas datamaterial som är föremål för begäran om information. Om sökanden däremot lämnar in begäran om information separat till varje organisation som är föremål för begäran om information, ska varje organisation fatta beslutet om begäran om information i fråga om sitt eget datamaterial.
Enligt det föreslagna 4 mom. ska en begäran om information som gäller uppgifter hos endast en av de organisationer som avses i 6 §1–8 punkten lämnas in till den organisationen, som själv fattar beslutet om begäran om information.
6 c §.Överföring av behörighet för behandling av dataanvändningstillstånd och begäranden om information.
Enligt propositionen fogas till lagen en ny paragraf om överföring av behörigheten för behandling av dataanvändningstillstånd och begäranden om information.
Paragrafens 1 mom. föreslås innehålla en bestämmelse om att en organisation som avses i 6 § i fråga om sitt eget datamaterial kan överlåta behörigheten att meddela beslut om dataanvändningstillstånd och om begäranden om information till Tillståndsmyndigheten. Det ska då vara Tillståndsmyndigheten som fattar besluten om dataanvändningstillstånd och om begäranden om information i fråga om datamaterialet hos den personuppgiftsansvariga som överlåtit behörigheten.
Syftet med paragrafen är att göra det möjligt för enskilda organisationer att överföra behörigheten att behandla dataanvändningstillstånd och begäranden om information enligt lagen om sekundär användnings av personuppgifter inom social- och hälsovården till Tillståndsmyndigheten. Enligt den gällande lagen om sekundär användning av personuppgifter inom social- och hälsovården kan organisationerna överföra behörigheten i anknytning till dataanvändningstillstånd till Tillståndsmyndigheten. En överföring av behörigheten ska enligt propositionen kunna genomföras till exempel i en situation där en organisation anser att det är ändamålsenligt och med tanke på resurserna effektivt att det är Tillståndsmyndigheten som behandlar de dataanvändningstillstånd och begäranden om information som gäller datamaterialet hos organisationen i fråga. Organisationen föreslås kunna överlåta behörigheten till Tillståndsmyndigheten för viss tid eller tills vidare och den ska också när som helst kunna besluta att överföringen av behörigheten ska upphöra att gälla.
I paragrafens 2 mom. föreskrivs enligt förslaget att om en organisation har överlåtit behörigheten till Tillståndsmyndigheten eller om det handlar om en sådan ansökan om dataanvändningstillstånd eller en sådan begäran om information som gäller uppgifter som registrerats i Kanta-tjänsterna eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården och sökanden har lämnat in ansökan om dataanvändningstillstånd eller begäran om information separat till varje organisation som är föremål för ansökan eller begäran, fattar Tillståndsmyndigheten beslutet om dataanvändningstillstånd eller om begäran om information i fråga om den organisation som överlåtit behörigheten, de uppgifter som registrerats i Kanta-tjänsterna och registeruppgifterna hos de privata serviceanordnarna inom socialvården eller hälso- och sjukvården.
Om det är fråga om en ansökan som sökanden har lämnat in till flera personuppgiftsansvariga, behandlar Tillståndsmyndigheten ansökan till den del ansökan gäller uppgifter hos en organisation som överfört behörigheten, uppgifter i Kanta-tjänsterna eller uppgifter om privata serviceanordnare inom socialvården eller hälso- och sjukvården.
7 §.Undantag som gäller behandling av statistikmyndigheters uppgifter.
I propositionen föreslås att undantagen i fråga om behandling av statistikmyndigheters uppgifter ska bevaras, eftersom statistikmyndigheterna med stöd av statistiklagen har en särställning i behandlingen av uppgifter som samlats in för statistiska ändamål. Det föreslås att det till 1 mom. fogas hänvisningar till begäran om information, eftersom det i enlighet med den decentraliserade modellen ska vara möjligt för organisationerna att också behandla begäranden om information enligt lagen om sekundär användning av personuppgifter inom social- och hälsovården. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
De två sista meningarna i 1 mom., enligt vilka tillståndsansökan ska lämnas in via hanteringssystemet för begäranden om information, föreslås bli strukna. Det nuvarande hanteringssystemet för begäranden om information har inte kunnat utnyttjas effektivt som verktyg för förmedling av tillståndsansökningar och uppgifter till statistikmyndigheterna. I stället för hanteringssystemet för begäranden om information har andra metoder använts för att lämna uppgifter. Därför föreslås det att meningarna stryks som föråldrade.
Den hänvisning till 51 § 4 mom. som finns i paragrafens 3 mom. ändras enligt propositionen till 51 § 3 mom.
7 a §.Undantag som gäller behandlingen av Pensionsskyddscentralens, Myndigheten för digitalisering och befolkningsdatas och Statistikcentralens uppgifter.
Det föreslås att den särskilda ställningen i fråga om behandlingen Pensionsskyddscentralens, Myndigheten för digitalisering och befolkningsdatas och Statistikcentralens uppgifter, som det föreskrivs om i 11 § 2 mom. och 44 § 2 mom. i den gällande lagen, bevaras och att bestämmelserna om detta flyttas till en ny 7 a §. Avseendet är att det undantag som gäller behandlingen av Pensionsskyddscentralens, Myndigheten för digitalisering och befolkningsdatas och Statistikcentralens uppgifter genom den nya paragrafen ska bibehållas likadant som i den gällande lagen.
Enligt paragrafen ska på en ansökan om dataanvändningstillstånd eller en begäran om information som gäller sådana uppgifter hos Pensionsskyddscentralen, Myndigheten för digitalisering och befolkningsdata och Statistikcentralen som avses i 6 § 9–11 punkten tillämpas bestämmelserna i lagen om sekundär användning av personuppgifter inom social- och hälsovården, om dessa uppgifter samkörs med uppgifter hos en eller flera av de personuppgiftsansvariga som avses i 6 § 1–8 punkten, med uppgifter som registrerats i Kanta-tjänsterna eller med registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.
Pensionsskyddscentralen, Myndigheten för digitalisering och befolkningsdata och Statistikcentralen förblir således behöriga i fråga om sitt i 6 § avsedda material när endast uppgifter från en organisation begärs eller när deras material begärs samkörda med varandra.
8 §.Expertgrupp på hög nivå för Tillståndsmyndigheten.
Det föreslås att paragrafen ändras så att 1–3 mom. upphävs. Bestämmelserna i den gällande 8 § 4 mom. om en expertgrupp på hög nivå för Tillståndsmyndigheten ska enligt förslaget bevaras och paragrafens rubrik ändras så att den motsvarar den ändring som görs. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Syftet med ändringsförslaget är att förtydliga styrningen av Tillståndsmyndighetens verksamhet. I enlighet med vad som föreskrivs i 4 § 2 mom. i lagen om sekundär användning av personuppgifter inom social- och hälsovården ska Tillståndsmyndigheten omfattas av social- och hälsovårdsministeriets resultatstyrning. Bestämmelserna i 8 § 1–3 mom. i den gällande lagen om sekundär användning av personuppgifter inom social- och hälsovården innehåller bestämmelser om både Tillståndsmyndighetens resultatstyrning och utvecklingen av den gemensamma verksamheten mellan de personuppgiftsansvariga. I styrgruppen har det varit oklart huruvida man i styrningen ska koncentrera sig på Tillståndsmyndighetens verksamhet eller på en mer omfattande utveckling av den sekundära användningen av social- och hälsovårdsdata. Avsikten är att förtydliga styrningen så att Tillståndsmyndighetens resultatstyrning utgör en separat helhet vid utvecklingen av den sekundära användningen av social- och hälsovårdsdata. Det att de mer detaljerade bestämmelserna upphävs gör det möjligt att arrangera resultatstyrningen och styrningen av den sekundära användningen av social- och hälsovårdsdata i separata helheter och i en flexiblare sammansättning. Tillståndsmyndigheten ska enligt propositionen fortsättningsvis omfattas av social- och hälsovårdsministeriets resultatstyrning. Dessutom ska det vara möjligt att tillsätta andra grupper som stöder den sekundära användningen, såsom en mer omfattande styrgrupp för utveckling av den sekundära användningen av social- och hälsovårdsdata samt en utvecklingsgrupp för FoUI-verksamheten. Förtydligandet av styrningen tjänar samtidigt genomförandet av de övriga ändringar som föreslås i propositionen.
10 §.Tjänster som organisationer producerar för sekundär användning.
I propositionen föreslås att paragrafen upphävs. Det är inte nödvändigt att föreskriva särskilt om tjänsterna, eftersom Tillståndsmyndighetens och de i 6 § avsedda organisationernas ansvar för ordnandet av tjänsterna framgår av paragraferna i 3 kap.
11 §.Organisationernas ansvar för tjänsterna.
Det föreslås att paragrafen upphävs. Bestämmelser om behörigheten när det gäller behandlingen av dataanvändningstillstånd och begäranden om information ska enligt propositionen finnas i 6 a och 6 b §.
13 §.Rådgivningstjänster.
Enligt propositionen ändras paragrafens 2 mom. så att det inte längre hänvisas till de tjänster som avses i 10 §.
14 §.Tjänst för sammanställning, samkörning och förbehandling av datamaterial.
Det föreslås att 1 mom. ändras så att det i momentet tas in en hänvisning till de organisationer som avses i 6 §. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Paragrafens gällande 2 mom. föreslås bli upphävt, eftersom momentet innebär en upprepning av 51 §.
Paragrafens 3, 4 och 5 mom. föreslås bli 2, 3 respektive 4 mom.
Till det nya 2 mom. fogas enligt förslaget en hänvisning till de organisationer som avses i 6 §. Även Tillståndsmyndigheten och de organisationer som avses i 6 § ska enligt propositionen bevara en beskrivning av hur datamaterial och aggregerade statistiska uppgifter som de lämnat ut har bildats, av de pseudonymiserings- och anonymiseringsmetoder de använt och av de utlämnade slutresultaten.
16 §.Tillståndsmyndighetens e-tjänst.
I propositionen föreslås att paragrafens rubrik ändras genom att ersätta hanteringssystemet för begäranden om information med Tillståndsmyndighetens e-tjänst. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
I 1, 2 och 3 mom. ändras hänvisningarna till hanteringssystemet för begäranden om information till hänvisningar till Tillståndsmyndighetens e-tjänst. Dessutom föreslås det att 1 mom. ändras så att det via e-tjänsten ska lämnas in endast Tillståndsmyndighetens centrala utrednings- och kompletteringsbegäranden och sökandens utredningar och kompletteringar samt ändringar som gäller en ansökan. Syftet med ändringen är att möjliggöra att sådana småskaliga utredningar och kompletteringar som ska lämnas in under behandlingen av en ansökan kan lämna in per e-post.
17 §.Informationssäker överföringstjänst.
Det föreslås att paragrafens rubrik ändras genom att ersätta informationssäker drifttjänst med informationssäker överföringstjänst.
I paragrafens 1, 2 och 3 mom. ändras hänvisningarna till en informationssäker drifttjänst till hänvisningar till en informationssäker överföringstjänst.
Dessutom föreslås det att 1 mom. ändras så att det i momentet hänvisas till de organisationer som avses i 6 § och så att det blir möjligt att använda överföringstjänsten också mellan de organisationer som avses i 6 § samt mellan de organisationer som avses i 6 § och sökande. I den decentraliserade modellen ger detta organisationerna i 6 § möjlighet att använda en redan befintlig informationssäker överföringstjänst för utlämnande av uppgifter.
20 §.Informationssäker driftmiljö.
Enligt propositionen ändras paragrafen så att det inte längre i en ansökan separat behöver anges varför man önskar behandla datamaterial i någon annan informationssäker driftmiljö än Tillståndsmyndighetens informationssäkra driftmiljö. Alla informationssäkra driftmiljöer ska uppfylla samma krav med avseende på dataskydd och informationssäkerhet som anges i lagen om sekundär användning av personuppgifter inom social- och hälsovården och i Tillståndsmyndighetens föreskrifter, varför propositionen innebär att det inte längre finns skäl att göra åtskillnad mellan Tillståndsmyndighetens informationssäkra driftmiljö och andra informationssäkra driftmiljöer.
I propositionen föreslås att 1 mom. ändras så att en informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan organisation som avses i 6 § lämnat ut med stöd av denna lag ska ske i en informationssäker driftmiljö. Tillståndsmyndigheten ska ensam eller tillsammans med andra myndigheter ordna en tjänst för en informationssäker driftmiljö. Tjänster för informationssäkra driftmiljöer ska även kunna tillhandahållas av andra organisationer.
Paragrafens 2 mom. föreslås bli ändrat så att det i momentet tas in en hänvisning till de organisationer som avses i 6 §.
Paragrafens 3 mom. ändras enligt propositionen så att både Tillståndsmyndighetens informationssäkra driftmiljö och andra informationssäkra driftmiljöer ska uppfylla villkoren i 2 mom. och 21–29 §.
21 §.Identifiering av användare i informationssäkra driftmiljöer.
Paragrafens 2 mom., enligt vilket närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet, föreslås bli upphävt. Bestämmelser om det tekniska genomförandet av elektronisk identifiering och verifiering finns bland annat i EU:s förordning nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG samt i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009).
23 §.Skydd för informationssäkra driftmiljöer.
Det föreslås att 1 mom. ändras så att det hänvisar till de krav på informationssäkerheten som det föreskrivs om i 4 kap. i lagen om informationshantering inom den offentliga förvaltningen (906/2019). Den tidigare hänvisningen till 36 § i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen) är föråldrad. Bestämmelserna om de nuvarande skyldigheterna med avseende på statliga myndigheternas informationssäkerhet finns i lagen om informationshantering inom den offentliga förvaltningen. I och med lagen om informationshantering inom den offentliga förvaltningen upphävdes den förordning om informationssäkerheten inom statsförvaltningen (681/2010) som utfärdats med stöd av offentlighetslagen.
36 §.Tillståndsmyndighetens rätt att få och behandla uppgifter trots sekretessplikten.
Enligt propositionen ändras de hänvisningar till en informationssäker drifttjänst som finns i paragrafens 2 och 3 mom. till hänvisningar till en informationssäker överföringstjänst. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
36 a §.Rätt för den som sammanställer datamaterial att få och behandla uppgifter trots sekretessplikten.
Det föreslås att det till lagen fogas en ny 36 a § om rätt för den som sammanställer datamaterial att få och behandla uppgifter trots sekretessplikten. Paragrafen motsvarar innehållet i 36 § och ger en organisation som avses i 6 § 2, 3, 5, 7 eller 8 punkten och som sammanställer datamaterial från flera organisationer rätt att få och att behandla uppgifter.
I förslagets 1 mom. föreskrivs att om en organisation som avses i 6 § 2, 3, 5, 7 eller 8 punkten på det sätt som avses i 51 § har utsetts till att sammanställa datamaterial från flera organisationer, har organisationen oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter rätt att av de personuppgiftsansvariga som avses i 6 § på begäran få
1) uppgifter som avses i dataanvändningstillståndet för samlande, samkörning och förbehandling av uppgifterna och för utlämnande av uppgifterna till tillståndshavaren för behandling,
2) uppgifter för att bedöma om det är möjligt att anonymisera de uppgifter som avses i ansökan om dataanvändningstillstånd eller om det är möjligt att producera aggregerade statistiska uppgifter av de uppgifter som avses i 45 §,
3) uppgifter som behövs för produktion av aggregerade statistiska uppgifter, samt
4) andra uppgifter som är nödvändiga för skötseln av organisationens uppgifter enligt denna lag än de uppgifter som avses i 1–3 punkten.
Den som sammanställer datamaterialet ska endast få behandla sådana uppgifter som är nödvändiga för att sammanställa, samköra och förbehandla de uppgifter som avses i dataanvändningstillståndet och för att skapa aggregerade uppgifter. Den som sammanställer datamaterialet ska inte ha tillgång till andra organisationers registeruppgifter. Den som sammanställer datamaterial ska begära att organisationerna lämnar ut de uppgifter som avses i dataanvändningstillståndet eller begäran om information och sammanställa, samköra och förbehandla dem på samma sätt som Tillståndsmyndigheten enligt den gällande lagen.
I paragrafens 2 mom. föreskrivs enligt förslaget att de uppgifter som avses i 1 mom. lämnas ut till den som sammanställer datamaterialet via den informationssäkra överföringstjänsten eller någon annan informationssäker tjänst. Den som sammanställer datamaterialet kan för mottagande av uppgifter använda antingen den befintliga informationssäkra överföringstjänsten enligt 17 § eller någon annan informationssäker tjänst. En sådan tjänst ska uppfylla samma krav som den överföringstjänst som avses i 17 §.
Enligt 17 § 2 mom. i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården ska personuppgifternas integritet och ursprung säkerställas med en elektronisk underskrift när de förmedlas via en informationssäker överföringstjänst. Integritet och ursprung hos uppgifter som sänds av en organisation och med informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra överföringstjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem.
Den som sammanställer datamaterialet kan, enligt det föreslagna 3 mom., oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter, via den informationssäkra överföringstjänsten eller någon annan informationssäker tjänst plocka ut uppgifter enligt dataanvändningstillståndet ur sådana uppgifter och datalager hos de i 6 § avsedda organisationer ur vilka det med hänsyn till registrens och datalagrens innehåll och tekniska utförande är möjligt och ändamålsenligt.
Enligt 4 mom. är den som sammanställer datamaterialet personuppgiftsansvarig för de uppgifter som den fått på det sätt som avses i denna paragraf.
37 §.Utvecklings- och innovationsverksamhet.
Paragrafens 1 mom. föreslås bli ändrat så att det i momentet tas in en hänvisning till de organisationer som avses i 6 §. Rätten att behandla begäranden om information ska enligt propositionen decentraliseras, vilket innebär att också de organisationer som avses i 6 § ska kunna behandla begäranden om information för användningsändamål inom utvecklings- och innovationsverksamheten.
42 §.Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården.
Enligt propositionen ändras 3 mom. så att hänvisningen till en informationssäker drifttjänst ersätts med en hänvisning till en informationssäker överföringstjänst.
43 §.Allmänna grunder för beviljande av dataanvändningstillstånd.
Det föreslås att 5 mom. ändras så att det i momentet tas in hänvisningar till de organisationer som avses i 6 §. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
44 §.Behörighet för behandling av dataanvändningstillstånd.
I propositionen föreslås att paragrafen upphävs. Bestämmelser om behörighet för behandling av dataanvändningstillstånd föreslås ingå i den nya 6 a §.
45 §.Behandling av en begäran om information.
Det föreslås att paragrafens 1 och 2 mom. ändras så att det i momenten tas in hänvisningar till de organisationer som avses i 6 §. Enligt den decentraliserade modellen ska även de organisationer som avses i 6 § kunna behandla begäranden om information. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
46 §.Lämnande av ansökan om dataanvändningstillstånd och begäran om information till Tillståndsmyndigheten.
Enligt propositionen ändras de hänvisningar till systemet för hantering av begäranden om information som finns i paragrafens 1 mom. till hänvisningar till e-tjänsten. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Med avseende på 2 mom. föreslås att tillämpningsområdet för Tillståndsmyndighetens föreskrifter utvidgas så att föreskrifterna också omfattar datainnehållet och datastrukturerna i beslutet om dataanvändningsstillstånd och om begäran om information. Enligt det föreslagna momentet meddelar Tillståndsmyndigheten föreskrifter om datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, i planen för användning av uppgifterna, i begäran om information samt i beslutet om dataanvändningstillstånd och om begäran om information. I hybridmodellen är det viktigt att alla organisationer som avses i 6 § följer enhetliga anvisningar och modeller vid behandlingen av ansökningar om dataanvändningstillstånd, begäranden om information samt beslut om tillstånd och om begäran om information.
47 §.Tidsfrister för behandling av dataanvändningstillstånd
Paragrafens 1 mom. föreslås bli ändrat så att hänvisningen till myndigheten ersätts med en hänvisning till organisationen. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Paragrafens 2 mom. föreslås bli ändrat så att det i momentet tas in hänvisningar till de organisationer som avses i 6 §.
Med avseende på 3 mom. föreslås en teknisk ändring där 44 § 4 mom. ändras till 6 a § 5 mom.
Det föreslås att 4 mom. ändras så att det på motsvarande sätt som i 48 § tas in en tidsfrist i momentet. Om den utredning som sökanden anför till stöd för sin ansökan eller begäran är otillräcklig, ska den personuppgiftsansvarige enligt propositionen utan dröjsmål underrätta Tillståndsmyndigheten och sökanden om vilka tilläggsutredningar som krävs. De uppgifter som behövs för behandling av ansökan om dataanvändningstillstånd eller begäran om information ska då lämnas in till Tillståndsmyndigheten inom 15 vardagar från det att de tilläggsutredningar som erhållits av sökanden är tillräckliga.
48 §.Tidsfrister för utlämnande av uppgifter.
Det föreslås att paragrafen ändras så att den uppgift som en i 51 § avsedd sammanställare av datamaterial har fogas till paragrafen. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Paragrafens 1 mom. ändras enligt förslaget så att de två sista meningarna i momentet blir ett nytt 3 mom.
Ett nytt 2 mom. föreslås bli fogat till paragrafen, enligt vilket en personuppgiftsansvarig som avses i 6 § på begäran av en i 51 § avsedd sammanställare av datamaterial utan dröjsmål ska lämna ut registeruppgifter enligt ett beviljat dataanvändningstillstånd eller uppgifter som behövs för behandlingen av en begäran om information, dock senast inom 30 vardagar från det att organisationerna har fattat beslut om att uppgifterna får lämnas ut till sökanden.
Paragrafens 2, 3 och 4 mom. blir enligt förslaget 4, 5 respektive 6 mom., och till dem fogas en hänvisning till den i 51 § avsedda sammanställaren av datamaterial.
49 §.Avgift för dataanvändningstillstånd och för beslut om begäranden om information
I propositionen föreslås att det till paragrafen fogas ett nytt 2 mom. enligt vilket de avgifter som tas ut för dataanvändningstillstånd och beslut om begäranden om information ska vara transparenta.
Syftet med ändringen är att öka transparensen i fråga om de avgifter som tas ut för dataanvändningstillstånd och beslut om begäranden om information och kostnadsgrunderna för dem, så att den som gör en ansökan om dataanvändningstillstånd eller en begäran om information tydligt ska veta vad kostnaderna för behandlingen av dataanvändningstillstånd och begäran om information grundar sig på. Kostnadsgrunderna för avgifterna för sekundär användning av data har varit oklara i synnerhet när det gäller personuppgiftsansvarigas kostnader för utplockning och de dataanvändningstillstånd som enskilda personuppgiftsansvariga beviljar. Ändringen är tänkt att öka transparensen i avgifterna och därigenom också att förbättra enhetligheten i avgifterna mellan olika personuppgiftsansvariga.
På myndighetsavgifter för sekundär användning av data tillämpas lagen om grunderna för avgifter till staten (150/1992). Enligt 6 § i lagen om grunderna för avgifter till staten ska storleken på den avgift som staten tar ut för en offentligrättslig prestation motsvara beloppet av statens totalkostnader för prestationen. Lagen om grunderna för avgifter till staten tillämpas på avgifter till statliga myndigheter. Bestämmelser om välfärdsområdenas avgifter finns i lagen om välfärdsområden (611/2021). Enligt 22 § beslutar välfärdsområdesfullmäktige om de allmänna grunderna för de avgifter som tas ut för tjänster och andra prestationer.
I avgifterna för sekundär användning av data ska bestämmelserna i artikel 6 i dataförvaltningsakten om avgifter som tas ut för vidareutnyttjande av offentliga myndigheters data beaktas. Med offentliga myndigheter avses i dataförvaltningsakten statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ. Dataförvaltningsakten tillämpas på verksamheten hos de organisationer som avses i 6 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården.
Enligt artikel 6.2 i dataförvaltningsakten ska avgifter som tas ut av offentliga myndigheter för vidareutnyttjande av data vara transparenta, icke-diskriminerande, proportionella och objektivt motiverade och får inte begränsa konkurrensen. Enligt artikel 6.4 får de offentliga myndigheterna göra dessa data tillgängliga till en nedsatt avgift eller kostnadsfritt, särskilt för små och medelstora företag och uppstartsföretag, det civila samhället och utbildningsanstalter. Offentliga myndigheter får därför upprätta en förteckning över kategorier av vidareutnyttjare för vilka data för vidareutnyttjande ska göras tillgängliga till en nedsatt avgift eller kostnadsfritt. Dataförvaltningsakten tillåter att data görs tillgängliga till ett sänkt pris eller avgiftsfritt, vilket gör det möjligt för organisationer enligt lagen om sekundär användning att fortsättningsvis fastställa sänkta avgifter eller låta bli att ta ut avgifter av vissa användargrupper.
Enligt artikel 6.5 i dataförvaltningsakten ska avgifterna härledas från kostnaderna för att genomföra förfarandet för begäran om vidareutnyttjande av data och vara begränsade till nödvändiga kostnader i samband med reproduktion, tillhandahållande och spridning av data, klarering av upphovsrätt, anonymisering eller andra former av framställning av personuppgifter och affärshemligheter som föreskrivs i artikel 5.3, underhåll av den säkra behandlingsmiljön, förvärvande av rätten att tillåta vidareutnyttjande i enlighet med kapitel II i dataförvaltningsakten av tredje parter utanför den offentliga sektorn samt bistånd till vidareutnyttjare som begär de registrerades samtycke och tillstånd från datainnehavare vars rättigheter och intressen kan påverkas av ett sådant vidareutnyttjande. Enligt artikel 6.6 i dataförvaltningsakten ska offentliga myndigheter offentliggöra en beskrivning av huvudkategorierna av kostnader och reglerna för fördelning av kostnader.
50 §.Ersättningar för tjänster.
Paragrafen ändras enligt propositionen så att Tillståndsmyndigheten inte längre ska vara skyldig att fungera som mellanhand vid faktureringen av ersättningar. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
I det föreslagna 1 mom. föreskrivs det om ersättningar som Tillståndsmyndigheten får ta ut för tjänster. Bestämmelser om ersättningar som tas ut för tjänster som tillhandahålls av andra myndigheter finns i lagen om grunderna för avgifter till staten, den speciallagstiftning som gäller den aktuella myndigheten eller lagen om välfärdsområden.
Det föreslås att sista meningen i 2 mom. samt 3 mom. upphävs så att Tillståndsmyndigheten inte ska vara skyldig att fakturera de personuppgiftsansvarigas utplockningskostnader.
Slopande av genomfaktureringsskyldigheten innebär att varje personuppgiftsansvarig separat tar ut sina kostnader för utplockning i de fall då Tillståndsmyndigheten har beviljat dataanvändningstillstånd för flera organisationers datamaterial. De personuppgiftsansvarigas kostnader för utplockning utgör då inte längre en del av den avgift som Tillståndsmyndigheten tar ut. Syftet med ändringen är att förtydliga förfarandet för fakturering av kostnader, så att det för sökanden är klart vilken del av kostnaderna som föranleds av Tillståndsmyndighetens förfarande och vilken del av de personuppgiftsansvarigas utplockningsförfarande. Syftet är dessutom att minska den administrativa bördan i anslutning till faktureringen och de utmaningar som varit förenade med förskottsfaktureringsprocessen.
Enligt 8 § 1 mom. i förvaltningslagen ska myndigheterna inom ramen för sin behörighet och enligt behov ge sina kunder råd i anslutning till skötseln av ett förvaltningsärende samt svara på frågor och förfrågningar som gäller uträttandet av ärenden. Tillståndsmyndigheten och andra myndigheter som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården ska tillhandahålla denna rådgivning. Sökanden har med stöd av förvaltningslagen möjlighet att begära uppgifter om uträttandet av ärenden, såsom en kostnadskalkyl över vad det innebär att utnyttja ett dataanvändningstillstånd eller en begäran om information.
Den sista meningen i 4 mom. föreslås bli upphävd. Enligt den finns bestämmelser om avgifter som bedömningsorgan för informationssäkerhet tar ut för bedömningar i 11 § i lagen om bedömningsorgan för informationssäkerhet. I 11 § i lagen om bedömningsorgan för informationssäkerhet (1405/2011) föreskrivs det om den avgift som Transport- och kommunikationsverket tar ut för behandlingen av ärenden som gäller godkännande av bedömningsorgan för informationssäkerhet. Denna avgift tas ut av den som ansöker om godkännande av ett bedömningsorgan. Godkända bedömningsorgan för informationssäkerhet kan fritt prissätta de av sina tjänster som de skaffar på marknaden och avtala med uppdragsgivaren om kostnaderna för en bedömning. Det finns inga bestämmelser om avgifter för bedömningar som utförs av bedömningsorgan.
51 §.Sammanställande av datamaterial efter beviljande av dataanvändningstillstånd eller efter ett beslut om begäran om information.
Det föreslås att paragrafen ändras så att en decentraliserad modell möjliggörs vid behandlingen av datamaterial. Datamaterial från flera organisationer ska enligt förslaget kunna sammanställas och samköras inte bara av Tillståndsmyndigheten utan också av andra myndigheter som avses i paragrafen. I propositionen föreslås vidare att innehållet i den gällande paragrafen delas upp i flera paragrafer för tydlighetens skull. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.
Paragrafens rubrik föreslås bli ändrad så att den inkluderar beslut om begäranden om information. I enlighet med den decentraliserade modellen ges i propositionen också de organisationer som avses i 6 § rätt att behandla begäranden om information, och de myndigheter som avses i paragrafen ska kunna sammanställa datamaterial även när det gäller begäranden om information.
Det föreslås att 1 mom. ändras så att om Tillståndsmyndigheten har beviljat ett dataanvändningstillstånd eller fattat ett beslut om en begäran om information, ska den sammanställa och vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet eller producera de aggregerade statistiska uppgifter som avses i begäran om information.
Till paragrafen fogas enligt propositionen ett nytt 2 mom. där det föreskrivs att om tillståndsansökan eller begäran om information gäller flera organisationers uppgifter och varje organisation som avses i 6 § har beviljat dataanvändningstillstånd eller fattat beslut om begäran om information i fråga om sitt eget datamaterial, kan organisationerna i fråga besluta att antingen Tillståndsmyndigheten eller någon av de organisationer som avses i 6 § 2, 3, 5, 7 eller 8 punkten och som är föremål för tillståndsansökan eller begäran om information ska sammanställa datamaterialet. Om organisationerna inte når samförstånd om vilken organisation som ska sammanställa datamaterialet, ska datamaterialet sammanställas av Tillståndsmyndigheten. Den som sammanställer datamaterialet ska också vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet eller producera de aggregerade statistiska uppgifter som avses i begäran om information.
Flera organisationers datamaterial ska utöver Tillståndsmyndigheten också kunna sammanställas och förbehandlas av Institutet för hälsa och välfärd, Folkpensionsanstalten, Tillstånds- och tillsynsverket, Säkerhets- och utvecklingscentret för läkemedelsområdet eller någon offentlig serviceanordnare inom social- och hälsovården när organisationen i fråga är föremål för en ansökan om dataanvändningstillstånd eller en begäran om information. Det är motiverat att uppgiften att sammanställa och samköra flera organisationers datamaterial anförtros en myndighetsaktör, eftersom det är fråga om behandling av känsliga och särskilda kategorier av personuppgifter.
Institutet för hälsa och välfärd, Tillstånds- och tillsynsverket och Säkerhets- och utvecklingscentret för läkemedelsområdet är sådana statliga ämbetsverk eller inrättningar som avses i 4 § 1 mom. 1 punkten i offentlighetslagen. Folkpensionsanstalten är en sådan myndighet som avses i 4 § 1 mom. 5 punkten i offentlighetslagen. Institutet för hälsa och välfärd, Folkpensionsanstalten, Tillstånds- och tillsynsverket och Säkerhets- och utvecklingscentret för läkemedelsområdet behandlar känsliga social- och hälsovårdsuppgifter inom ramen för sina lagstadgade uppgifter. Myndigheterna har med stöd av gällande lagstiftning rätt att ta emot och behandla andra myndigheters och organisationers uppgifter inom ramen för sina lagstadgade uppgifter. Det är motiverat att dessa myndighetsaktörer ges rätt att sammanställa och samköra flera organisationers datamaterial när de är föremål för en ansökan om dataanvändningstillstånd eller en begäran om information.
Offentliga serviceanordnare inom social- och hälsovården enligt 6 § 8 punkten i lagen om sekundär användning är tjänstetillhandahållare som i egenskap av myndighet är skyldiga att se till att kunden får sådana tjänster eller förmåner som han eller hon har rätt till enligt lag eller ett myndighetsbeslut. Tillämpningsområdet för denna punkt omfattar välfärdsområdena, Helsingfors stad och HUS-sammanslutningen. Enligt 4 § 1 mom. 4 punkten i offentlighetslagen avses med myndigheter också välfärdsområdenas och välfärdssammanslutningarnas myndigheter samt kommunala myndigheter.
Enligt 2 § 3 och 4 mom. i lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland är HUS-sammanslutningen en sådan välfärdssammanslutning som avses i 58 § i lagen om välfärdsområden, och på HUS-sammanslutningen tillämpas det som i 8 kap. i lagen om välfärdsområden föreskrivs om välfärdssammanslutningar. När HUS-sammanslutningen ordnar hälso- och sjukvård med stöd av lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland ska på den dessutom tillämpas det som i vissa paragrafer i lagen om ordnande av social- och hälsovård föreskrivs om välfärdsområden. På HUS-sammanslutningen tillämpas dessutom vad som annanstans i lag föreskrivs om ordnande av hälso- och sjukvård.
Välfärdsområdena, Helsingfors stad och HUS-sammanslutningen ska enligt propositionen få rätt att sammanställa och samköra flera organisationers datamaterial. Aktörerna behandlar känsliga social- och hälsovårdsdata inom ramen för sina lagstadgade uppgifter. Välfärdsområdena, Helsingfors stad och HUS-sammanslutningen har erfarenhet av behandling av känsliga social- och hälsovårdsdata både för primära och sekundära användningsändamål. Välfärdsområdena och HUS-sammanslutningen bedriver forskning som berör social- och hälsovårdsdata och har en etablerad praxis för behandlingen av uppgifter som används i forskningen. Det är motiverat att dessa aktörer ges rätt att sammanställa och samköra datamaterial när de är föremål för en ansökan om dataanvändningstillstånd eller en begäran om information. Uppgiften skulle underlätta sekundär användning av data särskilt i välfärdsområdenas forskningsverksamhet.
För att myndigheterna ska kunna utföra uppgifter som gäller sammanställning och samkörning av datamaterial, bör de säkerställa tillräckliga resurser och tillräcklig kompetens för behandling av flera organisationers datamaterial. Institutet för hälsa och välfärd, HUS-sammanslutningen och vissa välfärdsområden har preliminärt varit intresserade av att sammanställa datamaterial från flera organisationer. I praktiken innebär det att myndigheterna måste säkerställa förvärvandet av kompetens av samma typ som Tillståndsmyndigheten för närvarande har när det gäller samkörning av datamaterial. Aktörerna ska dock inte förutsättas utföra sammanställnings- och sammanslagningsuppgifter, utan uppgiften ska enligt förslaget också kunna anförtros Tillståndsmyndigheten.
Enligt propositionen ska organisationerna kunna behandla de uppgifter som avses i ett dataanvändningstillstånd eller en begäran om information på det sätt som avses i 36 a §. Organisationerna ska ha rätt att av de personuppgiftsansvariga som avses i 6 § få de uppgifter som är nödvändiga för skötseln av sina uppdrag, såsom de uppgifter som avses i dataanvändningstillståndet, för sammanställning, samkörning och förbehandling av dem samt för produktion av aggregerade statistiska uppgifter. Organisationerna ska endast kunna få och kunna behandla sådana uppgifter som är nödvändiga för behandlingen av ett dataanvändningstillstånd eller en begäran om information.
Det är inte motiverat att ge social- och hälsovårdsministeriet, Arbetshälsoinstitutet, Pensionsskyddscentralen och myndigheten för digitalisering och befolkningsdata enligt 6 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården rätt att utföra uppdrag som gäller sammanställning och samkörning av datamaterial från organisationer som omfattas av den lagen. Organisationerna i fråga utför för närvarande inte några sådana uppgifter som gäller behandling av social- och hälsovårdsdata och är inte heller på basis av sina uppgifter aktörer av den typ som skulle motivera att de utför uppdrag som gäller sammanställning och samkörning av datamaterial.
Lagen om sekundär användning av personuppgifter inom social- och hälsovården tillämpas på Myndigheten för digitalisering och befolkningsdata till den del det för ändamål enligt den lagen behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsorter samt byggnadsuppgifter ur befolkningsdatasystemet. Social- och hälsovårdsministeriet och Myndigheten för digitalisering och befolkningsdata sköter enligt den gällande lagstiftningen inte sådana uppgifter som hänför sig till behandling av social- och hälsovårdsdata och som skulle motivera att de skötte uppdrag som gäller sammanställning och samkörning av datamaterial.
Arbetshälsoinstitutet enligt 6 § 6 punkten i lagen om sekundär användning av personuppgifter inom social- och hälsovården är enligt 1 § i lagen om arbetshälsoinstitutets verksamhet och finansiering ett självständigt offentligrättsligt samfund som grundats för forsknings- och serviceverksamhet på arbetarskyddets och arbetshälsovårdens område. Enligt 2 a § i den lagen kan Arbetshälsoinstitutet använda uppgifterna i registren över exponeringsmätningar och registret över arbetsrelaterade sjukdomar för forsknings- och utredningsverksamhet inom sitt eget område och lämna ut uppgifter ur registren för specificerad vetenskaplig forskning på institutets eget verksamhetsområde i enlighet med 28 § i lagen om offentlighet i myndigheternas verksamhet. Enligt 4 § 1 mom. 5 punkten i offentlighetslagen avses med myndigheter också självständiga offentligrättsliga inrättningar.
Pensionsskyddscentralen enligt 6 § 10 punkten i lagen om sekundär användning av personuppgifter är enligt 1 § i lagen om Pensionsskyddscentralen (397/2006) ett samordnande organ för verkställigheten och utvecklandet av det arbetspensionsskydd som avses i arbetspensionslagarna. Enligt 4 § 1 mom. 5 punkten i offentlighetslagen tillämpas lagen på Pensionsskyddscentralens handlingar i enlighet med 4 § 2 mom. Enligt 4 § 2 mom. i den lagen gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag.
När Arbetshälsoinstitutets och Pensionsskyddscentralens ställning och uppgifter enligt lagstiftningen tas i beaktande, är dessa organisationer inte den typ av aktörer som det är motiverat att ge rätt att behandla uppgifter hos organisationer som omfattas av lagen om sekundär användning i uppdrag som gäller sammanställning och samkörning av datamaterial.
Enligt propositionen ska sökanden i ansökan om dataanvändningstillstånd eller i begäran om information kunna föreslå vilken i 51 § avsedd organisation som ska sammanställa uppgifterna. De organisationer som är föremål för ansökan eller begäran ska fatta beslut om detta utifrån bland annat tillgängliga resurser och tillgänglig kompetens. Organisationerna föreslås kunna besluta att datamaterialet ska sammanställas antingen av Tillståndsmyndigheten eller av någon av de organisationer som avses i 6 § 2, 3, 5, 7 eller 8 punkten och som är föremål för ansökan eller begäran. Beslutet om den som ska sammanställa datamaterialet ska vara enhälligt. Om organisationerna trots allt inte når samförstånd om vilken organisation som ska sammanställa datamaterialet, ska datamaterialet enligt förslaget sammanställas av Tillståndsmyndigheten.
Den som ansöker om dataanvändningstillstånd har rätt att välja den informationssäkra driftmiljö i vilken han eller hon vill behandla det datamaterial som erhålls med stöd av dataanvändningstillståndet. Utgångsmässigt vore det motiverat att datamaterialet sammanställs av den myndighet till vars informationssäkra driftmiljö sökanden önskar att datamaterialet lämnas ut. Också här ska det dock kunna göras en prövning från fall till fall. Även privata aktörer ska enligt propositionen kunna tillhandahålla en informationssäker driftmiljö. Privata tjänsteleverantörer ska inte ha möjlighet att sammanställa datamaterial, utan för denna uppgift ska alltid en myndighet svara. Datamaterial som avses i ett dataanvändningstillstånd innehåller känsliga personuppgifter och personuppgifter som hör till särskilda kategorier av personuppgifter och det är motiverat att överlåta uppgiften att behandla dem till en myndighet.
Enligt artikel 28 i den allmänna dataskyddsförordningen får personuppgiftsansvariga anförtro behandlingen av personuppgifter åt personuppgiftsbiträden som handlar på deras vägnar. Den personuppgiftsansvarige får enligt den artikeln endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. De myndigheter som avses ovan ska enligt propositionen ha möjlighet att i uppdrag som gäller sammanställning av uppgifter anlita personuppgiftsbiträden som handlar på deras vägnar, om kraven i dataskyddsförordningen iakttas.
Paragrafens 2, 3 och 5 mom. föreslås bli upphävda och innehållet i 2 mom. föreslås bli förflyttat till en ny 51 a §. Innehållet i paragrafens 3 och 5 mom. föreslås bli förflyttat till en ny 51 b § i förändrad form.
Paragrafens nuvarande 4 mom. blir ett nytt 3 mom. Statistikcentralens och Institutet för hälsa och välfärds särställning som statistikmyndigheter förblir enligt förslaget oförändrad, vilket innebär att om det för ett användningsändamål behövs uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, ska statistikmyndigheten i fråga samköra samt vid behov förbehandla och pseudonymisera eller anonymisera de uppgifter som lämnas ut. Till momentet fogas en rätt för statistikmyndigheterna att producera de aggregerade statistiska uppgifter som avses i en begäran om information.
51 a §.Behandling av datamaterial i en enskild organisation.
Det föreslås att det till lagen fogas en ny 51 a § om behandling av datamaterial i en enskild organisation.
I den föreslagna paragrafens 1 mom. föreskrivs att om en sökande i en ansökan om dataanvändningstillstånd eller en begäran om information som gäller uppgifter hos flera organisationer som avses i 6 § anger att datamaterialet hos ett flertal av de organisationerna inte behöver samköras, ska varje organisation som avses i ansökan eller i begäran om information sammanställa, förbehandla och pseudonymisera eller anonymisera sitt eget datamaterial eller producera aggregerade statistiska uppgifter av det. Organisationerna kan använda sig av den pseunymiseringsnyckel som Tillståndsmyndigheten skapar.
Syftet med momentet är att möjliggöra en decentraliserad behandling av datamaterial där varje organisation behandlar och levererar sitt eget datamaterial till en informationssäker driftmiljö separat. Om flera organisationers datamaterial behöver pseudonymiseras med en enhetlig pseudonymiseringsnyckel, ska Tillståndsmyndigheten få producera pseudonymiseringsnyckeln.
I paragrafens 2 mom. föreskrivs att om en tillståndsansökan eller begäran om information gäller endast en organisations eget datamaterial, ska den i 6 § avsedda organisation som beviljat dataanvändningstillståndet eller fattat beslutet om begäran om information sammanställa, förbehandla och pseudonymisera eller anonymisera uppgifterna eller producera de aggregerade statistiska uppgifter som avses i begäran om information.
Paragrafens 3 mom. föreslås innehålla en bestämmelse om att en organisation i fråga om sitt eget datamaterial kan överlåta behörigheten att utföra den behandling av datamaterial som avses i denna paragraf till Tillståndsmyndigheten.
Enskilda organisationer som avses i 6 § föreslås få rätt att anonymisera sitt eget datamaterial. Informationen om att datamaterial alltid ska lämnas till Tillståndsmyndigheten för anonymisering föreslås bli struken ur paragrafen. En organisation ska dock kunna överlåta behörigheten att utföra uppgifter avseende behandling av datamaterial, såsom anonymisering, till Tillståndsmyndigheten.
51 b §.Utlämnande av datamaterial till en informationssäker driftmiljö.
Det föreslås att det till lagen fogas en ny 51 b § om utlämnande av datamaterial till en informationssäker driftmiljö. I den gällande lagen finns bestämmelser om utlämnande av datamaterial i 51 § 3 mom. Till regleringen fogas enligt propositionen en hänvisning till de tillstånd till undantag som avses i 51 c och 51 d §.
I andra situationer än de som avses i 51 c och 51 d § ska enligt den föreslagna paragrafens 1 mom. det datamaterial som baserar sig på ett dataanvändningstillstånd lämnas ut till tillståndshavaren för behandling i en i 20 § avsedd informationssäker driftmiljö via den informationssäkra överföringstjänsten eller någon annan informationssäker tjänst, om det inte har skapats aggregerade statistiska uppgifter av materialet.
I paragrafens 2 mom. föreskrivs att leverantören av en driftmiljö, innan en anslutning till tillståndshavaren öppnas, ska säkerställa att tillståndshavaren uppfyller kraven i dataanvändningstillståndet.
51 c §.Utlämnande av datamaterial till tillståndshavaren i någon annan säker driftmiljö.
I propositionen föreslås att det till lagen fogas en ny 51 b § om utlämnande av datamaterial i någon annan säker driftmiljö. Syftet med paragrafen är att möjliggöra internationellt forskningssamarbete med datamaterial som omfattas av lagen om sekundär användning. Paragrafen möjliggör utlämnande av datamaterial enligt lagen om sekundär användning också till sådana säkra driftmiljöer som inte är sådana informationssäkra driftmiljöer som avses i 20 § i lagen om sekundär användning. Det ska alltså vara möjligt att lämna ut datamaterial också till vissa utländska driftmiljöer, om sökanden kan visa att han eller hon uppfyller kraven i paragrafen. Till exempel kan det handla om en driftmiljö vid ett känt och tillförlitligt utländskt universitet eller universitetssjukhus. Avsikten är att paragrafen ska vara en temporär lösning för att möjliggöra internationellt forskningssamarbete innan EU:s förordning om ett europeiskt hälsodataområde börjar tillämpas.
I den föreslagna paragrafens 1 mom. föreskrivs att Tillståndsmyndigheten av särskilda skäl kan bevilja ett dataanvändningstillstånd där datamaterialet får lämnas ut i någon annan säker driftmiljö än en sådan informationssäker driftmiljö som avses i 20 §. Ett sådant dataanvändningstillstånd föreslås kunna beviljas, om
riskerna för den nationella säkerheten och andra risker som hänför sig till det datamaterial som lämnas ut med stöd av dataanvändningstillståndet är små,
en av deltagarna i projektet är en aktör som bedriver forskningsverksamhet i en finländsk forskningsorganisation, och
nivån på dataskyddet och informationssäkerheten vid behandlingen av datamaterialet är tillräcklig.
I det föreslagna 2 mom. föreskrivs att sökanden i sin ansökan om dataanvändningstillstånd ska motivera varför datamaterialet inte kan behandlas i en sådan informationssäker driftmiljö som avses i 20 § och lämna alla uppgifter som behövs för att Tillståndsmyndigheten ska kunna bedöma huruvida förutsättningarna enligt 1 mom. uppfylls. Dataanvändningstillståndet kan enligt förslaget förenas med närmare villkor för behandlingen av uppgifter.
Sökanden ska lämna Tillståndsmyndigheten alla uppgifter som behövs för att Tillståndsmyndigheten ska kunna bedöma hur kraven i 1 mom. uppfylls. Som bilaga till ansökan om dataanvändningstillstånd ska sökanden lämna in en plan för utnyttjande av uppgifterna och dataskydds- och informationssäkerhetsdokumentation enligt dataskyddslagstiftningen. Sökanden ska lämna ytterligare uppgifter om ansökan på begäran av Tillståndsmyndigheten.
I sin ansökan ska sökanden motivera varför undantag avseende dataanvändningstillståndet ska beviljas och varför datamaterialet inte kan behandlas i en sådan informationssäker driftmiljö som avses i 20 §. Utgångspunkten är att tillstånd till undantag ska kunna sökas endast i sådana situationer där det med tanke på projektets användningsändamål och genomförande inte är möjligt att behandla uppgifterna i en informationssäker driftmiljö enligt 20 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården. Det kunde exempelvis handla om en situation där utlämnande av uppgifter till en annan säker driftmiljö är nödvändigt för deltagande i ett internationellt forskningssamarbete och det internationella registerforskningsprojektet i fråga är betydande ur vetenskaplig synpunkt. Om det inom ett projekt är möjligt att behandla uppgifter i en informationssäker driftmiljö enligt 20 § i lagen om sekundär användning, ska uppgifterna lämnas ut till driftmiljön i fråga.
Tillståndsmyndigheten ska från fall till fall bedöma huruvida undantag kan beviljas för ett dataanvändningstillstånd. Prövningen ska grunda sig på en helhetsbedömning där både den potentiella nytta som genomförandet av projektet medför och de eventuella risker som behandlingen medför beaktas. Vid bedömningen av de krav som avses i 1 mom. ska de risker som hänför sig till det datamaterial som lämnas ut, och i synnerhet omfattningen och arten hos det datamaterial som lämnas ut, beaktas. Vid bedömningen kan avtalsarrangemangen för hantering av de risker som hänför sig till dataskyddet och informationssäkerheten beaktas. Driftsmiljön ska upprätthållas av en känd och tillförlitlig aktör. Till andra driftmiljöer än dem som avses i 20 § ska det enligt propositionen inte få lämnas ut sådant datamaterial som kan medföra en risk för den nationella säkerheten. Den nationella säkerheten kan påverkas till exempel av begäranden om att få tillgång till omfattande datamaterial om finländarnas social- eller hälsovårdsuppgifter eller socioekonomiska data.
Riskerna måste vara små för att undantag i fråga om ett dataanvändningstillstånd ska kunna beviljas. För att minska riskerna ska i andra säkra driftmiljöer i princip endast lämnas ut anonymiserat datamaterial. I anonymiserade data kvarstår endast en liten risk för att en enskild person ska kunna identifieras. Det ska enligt propositionen vara möjligt att lämna ut datamaterial i pseudonymiserad form endast om det är nödvändigt med tanke på användningsändamålet. Också då ska det säkerställas att datamaterialets omfattning och art har bedömts utifrån riskerna och minimeringsprincipen och att övriga krav som gäller behandlingen av uppgifterna uppfylls.
En av deltagarna i projektet ska förutsättas vara en aktör som bedriver forskningsverksamhet i en finländsk forskningsorganisation. Det kan vara fråga om en enskild finländsk forskare eller en forskningsorganisation som är etablerad i Finland. Kravet på att en finländsk forskare eller forskningsorganisation ska delta i projektet kan bidra till att minska de risker som hanteringen och utlämnandet av datamaterial utanför Finland kan medföra. Å andra sidan uppmuntrar kravet också till forskningssamarbete mellan finländska och utländska forskningsorganisationer.
Nivån på dataskyddet och informationssäkerheten vid behandlingen av datamaterialet ska enligt propositionen vara tillräcklig. För att uppfylla kravet ska det finnas tillgång till sådan dataskydds- och informationssäkerhetsdokumentation om behandlingen av datamaterialet och den driftmiljö där utlämnandet sker som är tillräcklig ur dataskyddsförordningens synvinkel. Bland annat den personuppgiftsansvariges ansvar enligt artikel 24 i dataskyddsförordningen, inbyggt dataskydd och dataskydd som standard enligt artikel 25 i den förordningen, register över behandling enligt artikel 30 i förordningen och säkerhet i samband med behandlingen enligt artikel 32 i förordningen ska beaktas. Om behandlingen av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska det finnas en sådan konsekvensbedömning avseende dataskydd som avses i artikel 35 i dataskyddsförordningen innan personuppgifterna behandlas. I vissa situationer kan också förhandssamråd med tillsynsmyndigheten enligt artikel 36 i dataskyddsförordningen komma i fråga. Om personuppgifter i ett projekt lämnas ut till tredjeländer, ska kraven i kapitel V i den allmänna dataskyddsförordningen på överföring av personuppgifter till tredjeländer, såsom beslut om adekvat skyddsnivå enligt artikel 45, beaktas vid utlämnandet. Den personuppgiftsansvarige ansvarar för att utarbeta dokumentation om behandlingen av personuppgifter i enlighet med dataskyddsförordningen.
Enligt den föreslagna paragrafens 2 mom. kan ett dataanvändningstillstånd förenas med närmare villkor för behandlingen av uppgifter. I de närmare villkoren ska särdragen hos den driftmiljö som är föremål för ett undantag avseende dataanvändningstillståndet beaktas, såsom övervakningen av driftmiljön och anonymiseringen av de resultat som produceras. De finländska myndigheternas möjligheter att övervaka behandlingen av uppgifter i en driftmiljö utanför Finland är små. Ett undantag inverkar också på möjligheten att säkerställa anonymiseringen av de resultat som exporteras ur en driftmiljö. Bestämmelserna i 52 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården tillämpas endast på informationssäkra driftmiljöer enligt 20 §. Det ska enligt propositionen vara möjligt att förena undantaget avseende dataanvändningstillståndet med närmare villkor som gäller behandlingen av uppgifter och som syftar till att säkerställa att de uppgifter som exporteras ur driftmiljön har anonymiserats på ett tillförlitligt sätt. Vid behov ska det förutsättas att Tillståndsmyndigheten säkerställer anonymiseringen hos de producerade resultaten.
I den föreslagna paragrafens 3 mom. föreskrivs att om Tillståndsmyndigheten har beviljat dataanvändningstillstånd enligt 1 §, ska den sammanställa och vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet och lämna ut det datamaterial som den producerat till tillståndshavaren för behandling i en annan säker driftmiljö än en sådan informationssäker driftmiljö som avses i 20 §.
51 d §.Utlämnande av anonymiserat datamaterial.
Enligt propositionen fogas till lagen en ny 51 d § om utlämnande av anonymiserat datamaterial. Den föreslagna paragrafen gör det möjligt att lämna ut anonymiserat datamaterial utanför de informationssäkra driftmiljöer som avses i 20 § i lagen om sekundär användning, om vissa villkor uppfylls.
Paragrafens 1 mom. innehåller bestämmelser om att en organisation som avses i 6 § av särskilda skäl kan bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §, om ansökan om dataanvändningstillstånd gäller endast sådana uppgifter som innehas av organisationen i fråga. Om en ansökan om dataanvändningstillstånd gäller uppgifter av flera organisationer som avses i 6 §, ska Tillståndsmyndigheten av särskilda skäl kunna bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför den informationssäkra driftmiljö som avses i 20 §.
En organisation ska kunna bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför den informationssäkra driftmiljö som avses i 20 §, om det är fråga om en ansökan om dataanvändningstillstånd som endast gäller organisationens eget datamaterial. Om en ansökan om dataanvändningstillstånd däremot gäller uppgifter hos flera av de organisationer som avses i 6 §, ska det vara Tillståndsmyndigheten som behandlar ansökan om dataanvändningstillstånd. Tillståndsmyndigheten ska behandla de dataanvändningstillstånd som gäller flera organisationers datamaterial, för att en centraliserad myndighet ska kunna bedöma riskerna för hela det datamaterial som begärs i ansökan om dataanvändningstillstånd och kunna anonymisera hela datamaterialet på ett enhetligt och tillförlitligt sätt. Enskilda organisationer har inte möjlighet att bedöma riskerna för hela datamaterialet, om de behandlar en ansökan om dataanvändningstillstånd endast med avseende på sitt eget datamaterial.
Enligt propositionen ska det vara möjligt att ansöka om undantag i sådana situationer där det går att behandla anonymiserat datamaterial på ett säkert sätt i en annan driftmiljö än en sådan informationssäker driftmiljö som avses i 20 § i lagen om sekundär användning. Sökanden ska i sin ansökan motivera varför anonymiserade uppgifter ska lämnas ut utanför den informationssäkra driftmiljö som avses i 20 §. Det kan till exempel handla om en situation där någon annan driftmiljö har sådana tekniska egenskaper eller programvaror som inte finns tillgängliga för de driftmiljöer som avses i 20 §.
Paragrafens 2 mom. föreslås innehålla en bestämmelse om att en organisation som avses i 6 § i fråga om sitt eget datamaterial kan överlåta behörigheten att meddela beslut om dataanvändningstillstånd till Tillståndsmyndigheten. Tillståndsmyndigheten fattar då besluten om dataanvändningstillstånd i fråga om datamaterialet hos den personuppgiftsansvariga som överlåtit behörigheten.
I förslagets 3 mom. föreskrivs att en förutsättning för beviljande av tillstånd enligt 1 mom. är att riskerna för datamaterialet är små och att datamaterialet kan anonymiseras på ett tillförlitligt sätt. Riskbedömningen ska göras från fall till fall och med beaktande av datamaterialets omfattning och art. Uppgifterna ska kunna anonymiseras på ett sådant sätt att det inte är möjligt att identifiera enskilda registrerade i det anonymiserade datamaterialet. På sådana anonymiserade uppgifter tillämpas inte längre kraven i dataskyddslagstiftningen.
Enligt skäl 26 i ingressen i dataskyddsförordningen bör principerna för dataskyddet inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar.
Om det aktuella datamaterialet innehåller uppgifter i fråga om vilka risken för ny identifiering med hjälp av tilläggsuppgifter är hög eller om det av någon annan orsak inte går att anonymisera datamaterialet på ett tillförlitligt sätt, ska det enligt propositionen vara möjligt att behandla ansökan om dataanvändningstillstånd på samma sätt som ett vanligt dataanvändningstillstånd, varvid datamaterialet lämnas ut för behandling i en informationssäker driftmiljö som avses i 20 §.
Paragrafens 4 mom. föreslås innehålla bestämmelser om att en organisation som avses i 6 § eller Tillståndsmyndigheten ska sammanställa och vid behov samköra och förbehandla samt anonymisera de uppgifter som specificeras i ett dataanvändningstillstånd och lämna ut det anonymiserade datamaterial som den producerat till tillståndshavaren. Om en enskild organisation har beviljat ett dataanvändningstillstånd i fråga om sitt eget datamaterial, ska den förbehandla och anonymisera datamaterialet och lämna ut de anonymiserade uppgifterna till tillståndshavaren. Om Tillståndsmyndigheten har beviljat dataanvändningstillståndet, ska den förbehandla och anonymisera datamaterialet och lämna ut de anonymiserade uppgifterna till tillståndshavaren.
52 §.Exportering av resultat ur en informationssäker driftmiljö.
Det föreslås att paragrafens rubrik ändras så att den hänför sig till paragrafens innehåll, som gäller exportering av resultaten ur en informationssäker driftmiljö. I 52 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården föreskrivs om publicering av resultat baserade på uppgifter utlämnade med stöd av ett dataanvändningstillstånd. Avsikten är dock att i paragrafen föreskriva om vilka slags uppgifter som kan exporteras ur en informationssäker driftmiljö, inte direkt om publicering av resultat. Syftet med paragrafen är att säkerställa att det inte går att exportera personuppgifter ur informationssäkra driftmiljöer.
Paragrafens 1 mom. ändras enligt propositionen till att innehålla bestämmelser om att när uppgifter med stöd av ett dataanvändningstillstånd har lämnats ut för behandling i en informationssäker driftmiljö enligt 20 § och de resultat som producerats på basis av uppgifterna exporteras ur den informationssäkra driftmiljön, så ska tillståndshavaren anonymisera de resultat som exporteras ur den informationssäkra driftmiljön. Tillståndshavaren ansvarar i princip för anonymiseringen av resultaten. Tillståndsmyndigheten kan på tillståndshavarens begäran producera anonymiserade resultat och lämna ut dem till tillståndshavaren.
Det föreslås att paragrafens 2 mom. ändras i sin helhet. Enligt det ändrade momentet ska tillståndshavaren, om det är tillståndshavaren som har anonymiserat resultaten, meddela Tillståndsmyndigheten att avsikten är att exportera resultaten ur den informationssäkra driftmiljön. Enligt förslaget ska Tillståndsmyndigheten utifrån en riskbaserad bedömning säkerställa anonymiseringen hos de producerade resultaten. Tillståndsmyndigheten ska säkerställa anonymiseringen både i fråga om sådana dataanvändningstillstånd som den själv har beviljat och i fråga om dataanvändningstillstånd som andra organisationer har beviljat. För att säkerställa anonymiseringen ska det gå att använda tekniska lösningar som gör det lättare och smidigare att säkerställa anonymiseringen. Tillståndsmyndigheten ska utifrån en riskbaserad bedömning säkerställa anonymiseringen hos de producerade resultaten. Till exempel när det gäller sådant datamaterial som är förenat med låg risk för identifiering av registrerade eller sådana tillståndshavare som tidigare på ett tillförlitligt sätt har producerat anonymiserade resultat, ska anonymiseringen kunna säkerställas genom slumpmässiga kontroller. Tillståndsmyndigheten ska på basis av tillståndshavarens anmälan meddela tillståndshavaren huruvida den kommer att säkerställa anonymiseringen.
I propositionen föreslås att det till paragrafen fogas ett nytt 3 mom. enligt vilket Tillståndsmyndigheten får meddela närmare föreskrifter om anonymiseringen av resultaten. I föreskrifterna är det möjligt att närmare bestämma hur anonymiseringen av resultat som exporteras ur en informationssäker driftmiljö ska genomföras på ett enhetligt och tillförlitligt sätt.
58 §.Överklagande.
För paragrafens del föreslås tekniska ändringar där hänvisningarna görs i enlighet med nuvarande anvisningar och hänvisningen till förvaltningsprocesslagen uppdateras till en hänvisning till lagen om rättegång i förvaltningsärenden (808/2019). Det föreslås att andra meningen i 2 mom. upphävs, eftersom bestämmelser om rätten att överklaga finns i 107 § i lagen om rättegång i förvaltningsärenden
.
60 §. Övergångsbestämmelser.
Med avseende på paragrafens 4, 8 och 9 mom. föreslås tekniska ändringar som föranleds av propositionen i övrigt. Dessutom föreslås det att det görs tekniska ändringar i den svenskspråkiga paragrafen i syfte att anpassa spräkdräkterna i den svenskspråkiga och den finskspråkiga paragrafen till varandra.