Viimeksi julkaistu 11.3.2021 14.07

Valiokunnan lausunto PeVL 4/2021 vp HE 212/2020 vp  Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi

Perustuslakivaliokunta

Sosiaali- ja terveysvaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi (HE 212/2020 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava sosiaali- ja terveysvaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

 • hallitusneuvosJoniKomulainen
  sosiaali- ja terveysministeriö
 • erityisasiantuntijaAnnaKärkkäinen
  sosiaali- ja terveysministeriö
 • lainsäädäntöneuvosVirpiKorhonen
  oikeusministeriö
 • tietosuojavaltuutettuAnuTalus
  Tietosuojavaltuutetun toimisto
 • professoriLasseLehtonen
 • professoriSusannaLindroos-Hovinheimo
 • professoriTuomasOjanen
 • professoriTomiVoutilainen

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi uusi laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä tehtäviksi tarvittavat muutokset eräisiin muihin lakeihin.  

Lait on tarkoitettu tulemaan voimaan 1.4.2021. 

Hallituksen esityksen säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 10 §:ssä tarkoitetun yksityiselämän suojan, 80 §:ssä tarkoitetun asetuksen antamisesta ja 124 §:ssä julkisen hallintotehtävän antamisesta muun kuin viranomaisen hoidettavaksi säädetyn kannalta. Huomiota kiinnitetään myös Euroopan ihmisoikeussopimukseen, EU:n perusoikeuskirjaan ja EU:n yleiseen tietosuoja-asetukseen.  

Hallitus katsoo, että esitys on sopusoinnussa perustuslain kanssa, minkä vuoksi ehdotettu laki voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.  

VALIOKUNNAN PERUSTELUT

Arvion lähtökohdat

(1) Sosiaali- ja terveydenhuollossa käsitellään arkaluonteisina pidettäviä henkilötietoja, jotka koskevat esimerkiksi henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia ja henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä ehdotettavan lain (asiakastietolakiehdotus) 2 §:n 1 momentin mukaan laissa säädetään EU:n yleistä tietosuoja-asetusta täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sähköisesti terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa.  

(2) Hallituksen esitys on laadittu valtiopäivien päättymisen ja eduskuntavaalien toimittamisen johdosta rauenneen hallituksen esityksen HE 300/2018 vp pohjalta. Perustuslakivaliokunta antoi esityksestä lausunnon PeVL 71/2018 vp. Valiokunta piti eräiden säännösehdotusten täsmentämistä säätämisjärjestyskysymyksenä. 

(3) Ehdotus on merkityksellinen perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan.  

(4) Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5). 

(5) Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5). 

(6) Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Lainsäätäjän liikkumavaraa rajoittaa erityisesti arkaluonteisten henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). 

(7) Terveyttä koskevat tiedot ovat tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden käsittely on 9 artiklan 1 kohdan ilmaiseman pääsäännön mukaan kiellettyä. Artiklan 2 kohdan mukaan 1 kohdan käsittelykieltoa ei kuitenkaan sovelleta, jos jokin 9 artiklan 2 kohdan a—j alakohdissa oleva edellytys täyttyy. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saadaan tämän perusteella käsitellä muun muassa asianomaisen henkilön nimenomaisella suostumuksella (a alakohta). 

(8) Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia tietoja ei voida suoraan rinnastaa yleisen tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Kyseisten tietojen rekisteröinnin on kuitenkin kansallisesti katsottu sisältävän tavanomaista suuremman riskin kansalaisten yksityisyydelle ja oikeusturvalle, minkä vuoksi tietoja on perusteltua pitää valtiosääntöisesti arvioiden arkaluonteisina (PeVL 15/2018 vp, s. 38, ks. myös HE 96/1998 vp, s. 4/I). Poissuljettua ei myöskään ole, etteikö näihin tietoihin voisi sisältyä tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten esimerkiksi tietoja sosiaalihuollon asiakkaan terveydentilasta. 

(9) Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 65/2018 vp, s. 45, PeVL 15/2018 vp, s. 40).  

(10) Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (PeVL 15/2018 vp). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 38/2016 vp, s. 3). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 71/2014 vp, s. 3/I, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). 

(11) Yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta on painottanut, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6). 

(12) Hallituksen esityksen perusteluissa ja säätämisjärjestysperusteluissa lakiehdotuksia on tarkasteltu verraten seikkaperäisesti perusoikeuksien näkökulmasta. Perustuslakivaliokunta voi pääpiirteissään yhtyä esitettyyn. Valiokunta kiinnittää kuitenkin jäljempänä huomiota erityisesti säännöksiin tiedon luovuttamisesta ja niille esitettyihin perusteluihin. Perustuslakivaliokunta ei ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn suhdetta EU-oikeuteen. Sosiaali- ja terveysvaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa. Sosiaali- ja terveysvaliokunnan on syytä kiinnittää erityistä huomiota oikeudesta tietojen poistamiseen ja käsittelyn vastustamisesta tietosuoja-asetuksessa säädettyyn.  

(13) Perustuslakivaliokunnan mielestä sääntely on verraten vaikeaselkoista ja osin vaivalloista. Valiokunta on varsin usein kiinnittänyt huomiota sääntelyn muodostumiseen sekavaksi ja vaikeasti hahmottuvaksi (ks. esim. PeVL 47/2006 vp, s. 2/I, PeVL 43/2006 vp, s. 2/I, PeVL 41/2006 vp, s. 2/I, PeVL 25/2005 vp, s. 5). Valiokunta on edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (ks. esim. PeVL 60/2014 vp, s. 3/I). Valiokunta on korostanut myös, että sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. esim. PeVL 51/2016 vp, s. 5, PeVL 45/2016 vp, s. 3). Vaikeaselkoisuudella on nyt käsillä olevassa sääntely-yhteydessä myös sosiaali- ja terveydenhuollon ammattihenkilöiden oikeusturvaa heikentävää merkitystä.  

(14) Perustuslakivaliokunta on huomauttanut myös, että asiakas- ja potilastiedoista sekä niiden käsittelystä säädetään myös esimerkiksi sosiaalihuollon asiakaslaissa, potilaslaissa, julkisuuslaissa ja tietosuojalaissa (PeVL 71/2018 vp, s. 2, ks. myös PeVL 65/2018 vp, s. 44). Valiokunnan mielestä sääntelyn soveltamisalaa on syytä edelleen selventää erityisesti suhteessa muihin lakeihin. Sosiaali- ja terveysvaliokunnan on syytä selkeyttää sääntelyä yleisemminkin.  

Tiedollinen itsemääräämisoikeus ja tiedon luovuttamista koskeva sääntely

(15) Valtiosääntö turvaa perustuslain 1 §:n 2 momentin mukaan ihmisarvon loukkaamattomuuden ja yksilön vapauden ja oikeudet sekä edistää oikeudenmukaisuutta yhteiskunnassa. Yksilön oikeuksien ja vapauksien turvaamista koskevan maininnan piiriin kuuluu myös monien muiden oikeuksien käytön perustana oleva yksilön itsemääräämisoikeus eli vapaus määrätä itsestään ja toimistaan (HE 309/1993 vp, s. 42/I). Perustuslain 1 §:n 2 momentin säännös ilmaisee perustuslain keskeisen arvoperustan, ja se tulee ottaa huomioon perustuslain muita säännöksiä tulkittaessa (HE 1/1998 vp, s. 73/I).  

(16) Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän käsite voidaan ymmärtää henkilön yksityistä piiriä koskevaksi yleiskäsitteeksi. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä. Siihen kuuluu muun muassa yksilön oikeus määrätä itsestään ja ruumiistaan (HE 309/1993 vp, s. 52—53). Myös oikeus yksityisyyteen toteuttaa siten henkilön itsemääräämisoikeutta.  

(17) Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta keskeisenä tiedollista itsemääräämisoikeutta (ks. esim. PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8). Valiokunnan käytännössä itsemääräämisoikeuden on katsottu kiinnittyvän useisiin perusoikeuksiin, erityisesti perustuslain 7 §:n säännöksiin henkilökohtaisesta vapaudesta ja koskemattomuudesta sekä perustuslain 10 §:n säännöksiin yksityiselämän suojasta (ks. PeVL 48/2014 vp, s. 2/II). 

(18) Potilaan asemasta ja oikeuksista annetun lain (potilaslaki) 6 §:ssä säädetään potilaan itsemääräämisoikeudesta. Tiedollisen itsemääräämisoikeuden kannalta merkityksellistä on, että lain 13 §:n 2 momentin mukaan potilasasiakirjoihin sisältyviä salassapidettäviä tietoja ei ilman potilaan kirjallista suostumusta saa luovuttaa. Vastaava sääntely sisältyy sosiaalihuollon asiakkaan asemasta annettuun lakiin. Molempiin lakeihin sisältyvät myös säännökset tilanteista, joissa itsemääräämisoikeutta voidaan rajoittaa esimerkiksi luovuttamalla potilaan hoidon toteuttamiseksi välttämättömiä tietoja toiselle terveydenhuollon toimintayksikölle, jos suostumusta ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi. 

(19) Perustuslakivaliokunnan mielestä itsemääräämisoikeutta korostava sääntely on erityisen perusteltua nyt käsillä olevassa sääntelykontekstissa. Valiokunnan henkilötietojen suojaa koskevassa käytännössä on sinänsä korostettu lailla säätämisen tarvetta erityisesti silloin, kun henkilötietoja käsittelee viranomainen (ks. esim. PeVL 14/2018 vp, s. 4). Valiokunta on kiinnittänyt aiemmin huomiota kuitenkin myös siihen, että perustuslakivaliokunnan myötävaikutuksella (PeVL 25/1998 vp) säädetyn, sittemmin kumotun henkilötietolain 8 §:ssä mahdollistettiin henkilötietojen käsittely ensisijaisesti suostumuksen perusteella. Myös arkaluonteisten henkilötietojen käsittely oli lain 12 §:n nojalla poikkeuksellisesti mahdollista, mikäli rekisteröity on antanut siihen nimenomaisen suostumuksensa (PeVL 1/2018 vp, s. 9). Valiokunnan mukaan vastaavaa voidaan todeta perustuslakivaliokunnan myötävaikutuksella säädetystä viranomaisten toiminnan julkisuudesta annetusta laista, jonka 26 §:n mukaan viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon muun ohella, jos se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa. Tällainen asiakirja voi sisältää myös arkaluonteisia henkilötietoja (PeVL 43/1998 vp, ks. myös PeVL 42/2016 vp, s. 3). 

(20) EU:n perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Lisäksi tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista muun ohella silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tietosuoja-asetuksen 9 artiklan mukaan erityisten henkilötietoryhmien käsittely on mahdollista niin ikään nimenomaisen suostumuksen perusteella, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että erityisten henkilötietoryhmien lähtökohtaista käsittelykieltoa ei voida kumota rekisteröidyn suostumuksella. EU:n yleisen tietosuoja-asetuksen johdantokappaleessa 43 todetaan, että suostumuksen ei kuitenkaan pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.  

(21) Perustuslakivaliokunnan mukaan sanotun johdosta myös arkaluonteisten henkilötietojen käsittely voi tietyin edellytyksin perustua myös viranomaistoiminnassa perustuslain estämättä suostumukseen. Tämä ei kuitenkaan poista tarvetta varmistaa varsinkin käsillä olevan kaltaisessa arkaluontoisia henkilötietoja koskevassa perusoikeus- ja ihmisoikeusherkässä sääntely-yhteydessä, että sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 20/2020 vp, s. 5—6). 

(22) Asiakastietolakiehdotuksen mukaan sosiaali- ja terveydenhuollon ammattihenkilön oikeus käsitellä työssään tarvitsemaansa asiakas- ja potilastietoa perustuu pääsääntöisesti lainsäädäntöön ja asiakas- ja hoitosuhteen olemassaoloon eikä asiakkaalta kysyttävään suostumukseen. Perustuslakivaliokunta piti rauenneesta hallituksen esityksestä antamassaan lausunnossa tällaista perusratkaisua mahdollisena. Valiokunta kiinnitti kuitenkin huomiota siihen, että perustuslakivaliokunta on terveydenhuoltolain mukaisia potilastietorekistereitä arvioidessaan korostanut, että potilastietorekisterin kaltaisen arkaluonteisia tietoja sisältävän rekisterin ollessa kyseessä on erityisen tärkeää varmistua siitä, että väärinkäytön estävät tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun järjestelmä otetaan käyttöön (PeVL 71/2018 vp, s. 4, ks. myös PeVL 41/2010 vp, s. 3/II, PeVL 65/2018 vp, s. 47, PeVL 15/2018 vp, s. 13 ja 40). 

(23) Perustuslakivaliokunta kiinnitti aiemmassa lausunnossa huomiota myös siihen, että terveydenhuollossa on siirrytty käyttämään valtakunnallisia sähköisiä tietojärjestelmäpalveluja, ja lakiin ehdotettavat muutokset luovat edellytykset valtakunnallisten tietojärjestelmäpalvelujen käyttöönotolle sosiaalihuollossa. Valiokunnan mukaan tietojärjestelmien laajuus korosti sitä, että myös tuolloin ehdotetun käsittelyn mahdollistaviin järjestelmiin kohdistuvasta tietomurrosta, tietovuodosta tai väärinkäytöstä seuraisi valiokunnan arvion mukaan hyvin merkittävä perusoikeusloukkaus. Merkityksellistä oli, että osaa tiedoista käsiteltäisiin muussa kuin alkuperäisessä keräämistarkoituksessaan ja merkittävä osa tiedoista olisi luonteeltaan arkaluonteisia. Valiokunta painotti myös tietoteknisesti varmistetun hoitosuhteen tai asiayhteydestä säädettäväksi ehdotetun merkitystä. Sosiaali- ja terveysvaliokunnan oli perustusvaliokunnan mukaan syytä varmistua, että tällaiset tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun lakiehdotuksen mukaiset järjestelmät otetaan käyttöön (PeVL 71/2018 vp, s. 4). 

(24) Perustuslakivaliokunta kiinnitti erityistä huomiota tietojen luovuttamista koskevaan sääntelyyn. Valiokunnan käsityksen mukaan eräistä ehdotetuista säännöksistä ei ilmennyt, oliko tarkoituksena, että säännöksen perusteella luovutetaan salassapidettäviä potilas- ja asiakastietoja salassapitovelvollisuuden estämättä. Mikäli tämä oli tarkoitus, oli ehdotettua sääntelyä täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan edellä mainitun viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 71/2018 vp, s. 4). Tällainen muutos oli edellytyksenä sille, että asiakastietolakiehdotus olisi voitu käsitellä tavallisen lain säätämisjärjestyksessä. Esitys kuitenkin raukesi edellä sanotun mukaisesti. 

(25) Nyt arvioitavassa hallituksen esityksessä ehdotetaan, että sosiaalihuollon asiakastietojen ja potilastietojen luovutus salassapitosäännösten estämättä valtakunnallisten Kanta-palvelujen avulla perustuisi pääsääntöisesti informointiin, esitettävään lainsäädäntöön ja asiakas- ja hoitosuhteen olemassaoloon eikä asiakkaalta kysyttävään suostumukseen. Potilasta koskevan tiedon luovutus palvelunantajille toteutettaisiin valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun potilasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei potilas olisi kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta vain välttämättömiin potilastietoihin säädettäisiin 15 §:ssä. Vastaavasti luovutuspyyntöön perustuva sosiaalihuollon asiakasta koskevan tiedon luovutus palvelunantajille toteuttaisiin valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun asiakasta olisi informoitu 15 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo asiakkaan ja luovutuspyynnön esittäjän välillä olisi tietoteknisesti varmistettu, ellei asiakas olisi kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta vain välttämättömiin asiakastietoihin säädettäisiin 15 §:ssä. 

(26) Hallituksen esityksen perusteluissa (s. 6) nykyistä oikeustilaa kuvataan siten, että nykyisin potilas voi antaa suostumuksen potilastietojensa luovuttamiseen muille rekisterinpitäjille (palvelunantajille) ja halutessaan rajata suostumuksen laajuutta kielloin. Kun potilas käyttää toisen terveydenhuollon palvelunantajan palveluita, voi tämä hakea aiempia potilastietoja valtakunnallisista tietojärjestelmäpalveluista. Valtakunnallisista tietojärjestelmäpalveluista potilasasiakirjoja luovutetaan suostumuksen ja kieltojen määrittämissä rajoissa potilasasiakirjoja sen jälkeen, kun hoitosuhde on tietoteknisesti varmistettu. Hallituksen esityksessä viitataan siihen, että nykyisin terveydenhuollon potilastietoja voidaan luovuttaa laajan, toistaiseksi voimassa olevan ja kaikki potilastiedot kattavan suostumuksen avulla. Esityksessä katsotaan, että näin laaja suostumus ei täytä EU:n tietosuoja-asetuksen vaatimusta suostumuksen täsmällisyydestä, tarkkarajaisuudesta ja erityisten henkilötietoryhmien osalta nimenomaisuudesta (s. 47—48). Perustelujen mukaan esitetty vastaa myös valtakunnallisten tietojärjestelmäpalveluiden tosiasiallista toiminnallisuutta (s. 150). 

(27) Perustuslakivaliokunta on arvioinut vastaavaa sääntelyratkaisua hallituksen esityksestä terveydenhuoltolaiksi (HE 90/2010 vp) antamassaan lausunnossa (PeVL 41/2010 vp, s. 3). Valiokunta arvioi ehdotusta, jonka mukaan sairaanhoitopiirin kuntayhtymän alueen kunnallisen perusterveydenhuollon ja erikoissairaanhoidon potilasasiakirjat muodostavat yhteisen potilastietorekisterin. Valiokunnan mukaan potilaan oikeus kieltäytyä tietojensa käytöstä ja tätä vahvistava velvollisuus antaa potilaalle selvitys kielto-oikeuden mahdollisuudesta turvasivat valiokunnan mukaan tämäntyyppisessä sääntely-yhteydessä riittävät takeet potilaan itsemääräämisoikeuden toteutumiselle, vaikka arkaluonteisten terveydentilatietojen luovuttaminen toimintayksiköiden välillä ei ehdotuksen mukaan vaatinutkaan potilaan nimenomaista suostumusta. Valiokunta painotti, että tämän itsemääräämisoikeutta koskevan arvion ja erityisesti henkilötietojen suojan kannalta merkitystä oli säännöksillä potilastietojen käytön seurannasta sekä vaatimuksesta, jonka mukaan hoitosuhde potilaan ja luovutuspyynnön tekijän välillä on varmistettava tietoteknisesti. Ehdotettu sääntely ei näissä puitteissa muodostunut perustuslain kannalta ongelmalliseksi. Valiokunta korosti kuitenkin, että potilastietorekisterin kaltaisen arkaluonteisia tietoja sisältävän hajautetun rekisterin ollessa kyseessä on erityisen tärkeää varmistua siitä, että väärinkäytön estävät tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun järjestelmä otetaan käyttöön. 

(28) Perustuslakivaliokunnan mielestä tuolloin arvioidussa lakiehdotuksessa ehdotettu tietojen käsittely poikkesi kuitenkin laajuudeltaan olennaisesti nyt ehdotetusta potilastietojen ja sosiaalihuollon asiakastietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla. Kyse oli sairaanhoitopiirin kuntayhtymän sekä alueen kuntien yhteisrekisteristä. Nyt ehdotetaan valtakunnallista järjestelmää, johon suostumuksesta lähtökohtaisesti riippumaton tiedonsaantioikeus perustetaan asiakastietolakiehdotuksen 20 ja 21 §:n mukaisesti 3 §:n 7 kohdan määritelmäsäännöksen mukaisesti kaikille sosiaali- ja terveyspalvelujen järjestäjille ja tuottajille. Valiokunnan mielestä kyseessä on verraten syvälle käyvä rajoitus itsemääräämisoikeuteen. Rajoitusta on arvioitava perusoikeuksien yleisten ja tarvittaessa tietyn perusoikeuden erityisten rajoitusedellytysten kannalta kiinnittäen huomiota valiokunnan kutakin perusoikeutta koskevaan käytäntöön. 

(29) Perustuslakivaliokunta ilmaisee huolensa valitun suostumuksesta irtaantuvan sääntelyratkaisun päämääristä itsemääräämisoikeuden rajoituksen hyväksyttävyyden kannalta. Valiokunnan mielestä esimerkiksi hallituksen esityksessä (s. 7) valittua sääntelyratkaisua taustoittavaksi mainittu Sote-tieto hyötykäyttöön 2020 -strategia on jännitteisessä suhteessa valiokunnan käytäntöön, joka koskee arkaluonteisten henkilötietojen käsittelyn rajoittamista vain välttämättömään. Valiokunta kiinnittää huomiota myös siihen, että itsemääräämisoikeuden rajoitusta ei voi perustella sillä, että itsemääräämisoikeuden toteuttaminen vaatii merkittäviä teknisiä muutoksia tietojärjestelmiin (s. 49). Ottaen huomioon, että ehdotetun 20 §:n 2 momentin ja 21 §:n 2 momentin tietojen luovuttaminen terveydenhuollon ja sosiaalihuollon välillä vaatii kuitenkin suostumuksen, ei valiokunta ole myöskään vakuuttunut kaikista suostumuksen varaan perustuvan sääntelyvaihtoehdon hylkäämistä puoltavista perusteluista.  

(30) Perustuslakivaliokunta on jo aiemmin rauennutta hallituksen esitystä arvioidessaan katsonut, että tällainen suostumuksesta riippumaton lakiperustainen tiedonsaantioikeus arkaluonteisiin sosiaali- ja terveystietoihin on ehdotetussa valtakunnallisessa järjestelmässä säädettävä valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaisesti (PeVL 71/2018 vp, s. 4). 

(31) Nyt arvioitava tiedonsaantioikeuden sääntely täyttää hallituksen esityksen säätämisjärjestysperustelujen (s. 149) mukaan mainitussa käytännössä asetetut vaatimukset. Säätämisjärjestysperusteluiden mukaan potilastietojen ja sosiaalihuollon asiakastietojen luovuttamista valtakunnallisista tietojärjestelmäpalveluista koskevaan 20 ja 21 §:ään on tehty perustuslakivaliokunnan edellyttämät muutokset ja täsmennykset siten, että potilastietoja ja sosiaalihuollon asiakastietoja luovuttavat ja vastaanottavat tahot on määritelty lain määritelmissä tarkemmin. Luovuttaminen on lisäksi käyttötarkoituksen osalta rajattu vain potilaan ja asiakkaan sosiaali- ja terveydenhuollon järjestämisen, tuottamisen ja toteuttamisen käyttötarkoitukseen. Valiokunnan mielestä sosiaali- ja terveydenhuollon järjestämistä, tuottamista ja toteuttamista ei voi pitää erityisen tarkkana rajauksena. 

(32) Perustuslakivaliokunta kiinnittää lisäksi huomiota voimassa olevaan sääntelyyn. Voimassa olevan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 10 §:n 1 momentti sisältää yleisen rajoitussäännöksen, jonka mukaan potilastietoja saa luovuttaa valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Momentissa säädetään myös luovutuksen perusteesta edellyttämällä, että luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 §:n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. Momentin ensimmäinen lause lisättiin alun perin säännökseen eduskuntakäsittelyssä. Tarkoitus oli täsmentää ehdotettua säännöstä luovutuksen perusteista luovutuksen tarkoituksella ja luovutuksensaajilla (StVM 47/2006 vp).  

(33) Nyt arvioitavan asiakastietolakiehdotuksen 20 §:n mukaan terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle terveydenhuollon palvelunantajalle tai toiseen saman palvelunantajan potilasrekisteriin potilaan terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Lakiehdotuksen 21 §:ssä säädetään vastaavasti sosiaalihuollon asiakastietojen osalta. Perustuslakivaliokunnan käsityksen mukaan nyt ehdotettu lakiin perustuva arkaluonteisten tietojen käsittely on toteutettu poistamalla voimassa olevasta säännöksestä sääntely luovutuksen oikeusperusteesta. Valiokunnan käsityksen mukaan säännösehdotus merkitsee muun ohella sitä, että esimerkiksi voimassa olevassa sääntelyssä viitatut potilaslain 13 §:n 3 momentissa säädetyt itsemäärämisoikeuden rajoitusten edellytykset menettävät kokonaan merkityksensä. Tietoja saa luovuttaa toiselle terveydenhuollon palvelunantajalle tai toiseen saman palvelunantajan potilasrekisteriin, mikäli se on tarpeen potilaan terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. 

(34) Perustuslakivaliokunnan mielestä sääntely ei tältä osin täytä täsmällisyyden ja tarkkarajaisuuden vaatimusta. Valiokunnan mielestä esimerkiksi potilasasiakirjoista annettu sosiaali- ja terveysministeriön asetus osoittaa terveydenhuollon potilastietojen huomattavasti tarkemman sääntelyn olevan sinänsä mahdollista. Myös ehdotettu 15 §:n 2 momentissa säädetty valtuus säätää asetuksella siitä, mitä tietoja ammattihenkilöillä tai muilla asiakastietoja käsittelevällä henkilöillä olisi antamassaan palvelussa oikeus käyttää, tukee tällaista arviota. 

(35) Perustuslakivaliokunta on pitänyt mahdollisena tietojen luovutuksen salassapitosäännösten estämättä sitomista myös välttämättömyyteen jonkin tarkoituksen kannalta, mikäli luovutettavia tietosisältöjä ei ole sääntelyssä yksilöity. Nyt ehdotettuihin 20 ja 21 §:n säännöksiin ei välttämättömyyden vaatimusta ole sisällytetty, sillä perusteluiden (s. 151) mukaan asiakas- ja potilastietojen luovuttamista valtakunnallisten tietojärjestelmäpalveluiden avulla ei tietoteknisesti ole mahdollista rajata vain välttämättömän tiedon luovuttamiseen. Lisäksi säätämisjärjestysperusteluiden mukaan (s. 151) vasta potilasta hoitava ammattihenkilö tai asiakkaasta vastaava sosiaalihuollon ammattihenkilö pystyy arvioimaan, mikä on välttämätöntä asiakas- ja potilastietoa hoidon järjestämiseksi, tuottamiseksi ja toteuttamiseksi tai asiakkaan sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi.  

(36) Lakiehdotuksen 15 §:n 1 momentin mukaan käyttöoikeuksien on kuitenkin perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakas- ja potilastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on käyttöoikeus vain työtehtävissään tarvitsemiinsa välttämättömiin asiakastietoihin, joihin hänellä on tiedonsaantioikeus. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu lakiin perustuva oikeus.  

(37) Hallituksen esityksen mukaan tämä tietotekninen varmistus voidaan toteuttaa terveydenhuollossa potilashallinnon tietojen perusteella, esimerkiksi siten, että ennen potilastietojen käsittelyä tietojärjestelmään on oltava kirjautunut hallinnon merkintä asiakkaan kirjautumisesta sairaalan vuodeosastolle tai poliklinikalle. Jotta tällaisen merkinnän avulla voitaisiin riittävällä tavalla varmistua potilaan todella olevan asiakas- tai hoitosuhteessa tietoja käsittelevään ammattihenkilöön, tulisi hallinnon merkinnän olla tehnyt eri henkilö kuin kyseisen ammattihenkilön. Myös muita potilashallinnon kirjaamia ja potilastietojärjestelmään kirjattuja tietoja voisi käyttää hoitosuhteen teknisen päättelyn perusteena. Toinen tietojärjestelmän avulla toteutettu varmistuksen muoto voisi olla asiakkaan sähköisellä allekirjoituksella vahvistama hoitosuhde, asiakkaalta saatu suostumus tai muu luotettava tietotekninen varmistus siitä, että asiakas on asioimassa palveluja tuottavan tahon kanssa (s. 97). 

(38) Perustuslakivaliokunnan saaman selvityksen mukaan kuvatun kaltaisia tietoteknisiä varmistuksia ei valtakunnallisessa järjestelmässä ole kattavasti olemassa. Valiokunta on edellä viitatun mukaisesti painottanut hoitosuhteen varmistamista tietoteknisesti ja pitänyt ehdotetun sääntelymallin edellytyksenä valtakunnallista järjestelmää huomattavasti suppeammassa käsittelyssäkin, että väärinkäytön estävät tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun järjestelmä otetaan käyttöön. Valiokunnan mielestä käsittelyn välttämättömyyden ja muun lainmukaisuuden jälkikäteinen ja tehokas valvonta esimerkiksi lokitietojen avulla on sinänsä välttämätöntä, mutta ei kuitenkaan riittävä tae. Valiokunta on korostanut, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa vain rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan (PeVL 65/2018 vp, s. 47, PeVL 51/2018 vp, s. 5, PeVL 52/2018 vp, s. 4).  

(39) Perustuslakivaliokunnan mielestä myös sääntelyn sekavuus on omiaan aiheuttamaan väärinkäytösten mahdollisuuksia. Esimerkiksi hallituksen esityksen 6. lakiehdotuksen mukaan potilaan asemasta ja oikeudesta annetun lain 13 a §:ssä säilyisi säännösmuotoilu, jonka mukaan potilasasiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa. Säännösehdotuksista ei siten ilmene, voivatko nyt arvioitavat 20 ja 21 §:n säännökset tietojen luovuttamisesta toimia potilas- ja asiakastietojen käsittelyn perusteena 15 §:ssä viitatulla tavalla lakiin perustuvana oikeutena. 

(40) Perustuslakivaliokunnan mielestä sääntely ei siten kokonaisuutena arvioiden täytä niitä edellytyksiä, joita ehdotetun kaltainen itsemääräämisoikeutta turvaavasta suostumusedellytyksen pääsääntöisyydestä luopuminen edellyttäisi itsemääräämisoikeuden varaan rakentuvassa sosiaali- ja terveydenhuollon sääntely-ympäristössä. Valiokunnan mielestä aktiivista reagointia edellyttävä kielto-oikeus ei ole riittävä itsemääräämisoikeuden turvaamisen tae. Hallituksen esityksen 1. lakiehdotuksen 20 §:n 1 momentin ja 21 §:n 1 momentin sääntelyä tiedon luovuttamisesta on muutettava. Muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. 

(41) Perustuslakivaliokunnan käsityksen mukaan asiakastietolakiehdotuksen muuttaminen valiokunnan käytännössä edellytetyllä tavalla joko luovutettavia tietoja olennaisesti yksilöivämpään sääntelymalliin tai luovutuksen välttämättömyyden sekä asiakassuhteen tietoteknisen varmistamisen toteuttamiseen kytkeytyvin sääntelymallein koskee sillä tavoin lakiehdotuksen perusratkaisuja, että sääntelyn muuttaminen tähän suuntaan ei ole mahdollista eduskunnassa, vaan muutos olisi toteutettava hallituksen esityksellä. Valiokunta on pitänyt välttämättömänä ja hyvään lainsäädäntötapaan kuuluvana, että etenkin silloin, kun laajakantoiseen hallituksen esitykseen esitetään tehtäviksi hyvin merkittäviä ja esityksen perusratkaisuihin olennaisesti vaikuttavia muutoksia, asian valmistelu osoitetaan valtioneuvoston tehtäväksi (PeVL 9/2020 vp, s. 3, PeVL 26/2017 vp, s. 76, ks. myös PeVL 75/2014 vp, s. 8/II). Valiokunta pitää lisäksi selvänä, että tällaiset sääntelyratkaisut olisi myös vielä uudestaan saatettava perustuslakivaliokunnan arvioitaviksi.  

(42) Perustuslakivaliokunnan käsityksen mukaan säätämisjärjestyskysymykseksi edellä todettu muutosvaatimus itsemääräämisoikeutta paremmin turvaavaksi sääntelyksi voidaan kuitenkin tehdä eduskuntakäsittelyssä luopumalla ehdotetusta itsemääräämisoikeuden rajoituksen pääsääntöisyydestä säätämällä 20 ja 21 §:ssä tarkoitetun luovutuksen edellytykseksi suostumus.  

(43) Perustuslakivaliokunnan mielestä suostumuksesta voidaan perustuslain estämättä säätää voimassa olevan lain mukainen laaja suostumus, jos siihen kytketään mahdollisuus rajata suostumusta 18 §:ssä ehdotetun kaltaisin kielloin (ks. myös PeVL 10/2012 vp, s. 2—4). Suostumuksen sääntelyn on täytettävä valiokunnan käytännössä mainitut edellytykset. Suostumuksen on perustuttava esimerkiksi 15 §:n mukaisessa menettelyssä annettavaan riittävään tietoon (ks. myös esim. PeVL 23/2020 vp, s. 4—5), sen oltava vapaaehtoisesti annettu ja oltava myös peruutettavissa. Suostumuksen antamisen tavasta on säädettävä esimerkiksi voimassa olevan lain mukaisella sääntelyllä. Valiokunnan mielestä tällainen sääntely luo nyt käsillä olevassa sääntelykontekstissa riittävät edellytykset itsemääräämisoikeuden tosiasialliselle toteutumiselle (ks. myös PeVL 20/2020 vp, s. 5—6). Valiokunta painottaa, että sanottu ei estä säätämästä suostumusedellytykseen esimerkiksi potilaslain 13 §:ssä säädetyn kaltaisia poikkeuksia ja muita tiedonsaantioikeuksia.  

(44) Perustuslakivaliokunnan saaman selvityksen ja valtioneuvoston eräissä hallituksen esityksissä omaksuman kannan mukaan tällainen sääntely on myös EU:n tietosuoja-asetuksen näkökulmasta mahdollinen. Esimerkiksi hallituksen esityksessä laiksi tartuntatautilain väliaikaisesta muuttamisesta (HE 101/2020 vp) esitetään säätämisjärjestysperusteluissa (s. 31), että arkaluonteisten tietojen käsittely koronavilkkusovelluksessa perustuu kansalliseen lakiin tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan ja erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan i alakohdan viittaamalla tavalla. Henkilön antama hyväksyntä tietojen siirtämiseen täydentää oikeusperustaa henkilötietojen käsittelyn suojatoimena. 

(45) Olennaista tällöin on, että käsittelystä säädetään tietosuoja-asetuksen edellyttämällä tavalla asetuksen mukaiset edellytykset täyttävässä laissa, joka toimii käsittelyn asetuksen 6 ja 9 artiklassa tarkoitettuna perusteena. Sosiaali- ja terveysvaliokunnan on tällöin varmistuttava sääntelyn asianmukaisuudesta ja oikeasuhtaisuudesta tietosuoja-asetuksen kannalta. Laissa edellytetty suostumus voi tällöin toimia käsittelyn suojatoimena (ks. myös EU:n tietosuoja-asetuksen 68 artiklassa tarkoitetun Euroopan tietosuojaneuvoston lausunto kliinisiä lääketutkimuksia koskevan asetuksen ja yleisen tietosuoja-asetuksen välisestä vuoropuhelusta 3/2019, kohta 15). Valiokunnan käsityksen mukaan suostumuksen ei tällöin tarvitse täyttää suostumukselta asetuksessa edellytettyä, koska käsittely ei perustu siihen. Lisäksi asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. 

Säilytysajat

(46) Perustuslakivaliokunnan mukaan tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita (ks. PeVL 31/2017 vp). Pysyvää säilyttämistä voi puoltaa se, että tiedot ovat osin muuttumattomia tai hitaasti muuttuvia eikä niitä päivitetä pelkän ajan kulumisen vuoksi ja niiden pysyvä säilyttäminen on tarpeellista tehtävien hoitamiseksi (PeVL 54/2010 vp). Valiokunta on painottanut erityisesti arkaluonteisten tietojen säilytysajan rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (ks. esim. PeVL 31/2017 vp, s. 5, PeVL 13/2017 vp, s. 6). Valiokunta on esimerkiksi pitänyt viiden vuoden säilytysaikaa arkaluonteisten tietojen osalta pitkänä (PeVL 51/2018 vp, s. 16, PeVL 13/2017 vp, s. 6). 

(47) Asiakastietolakiehdotus ei sisällä valtakunnallisiin tietojärjestelmäpalveluihin liittyvää säilytysaikasääntelyä, vaikka palveluissa käsitellään tietosuoja-asetuksessa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja sekä muuten arkaluonteisia tietoja. Sosiaalihuollon asiakasasiakirjojen säilytysajoista on säädetty sosiaalihuollon asiakasasiakirjalaissa. Potilasasiakirjojen säilytysajoista on kuitenkin säädetty potilasasiakirjoista annetussa asetuksessa. Perustuslakivaliokunnan mukaan arkaluonteisiin henkilötietoihin kohdistuva lailla säätämisen vaatimus kohdistuu myös säilytysaikoihin (PeVL 14/2018 vp, s. 2 ja 6). Sääntelyä on täydennettävä.  

Voimaantulo

(48) Asiakastietolakiehdotuksen 8 §:n 2 momentissa velvoitettaisiin palvelunantajia tallentamaan asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun. Kuitenkin 8 §:n 3 momentissa ehdotetaan säädettäväksi, että sosiaali- ja terveysministeriön asetuksella voitaisiin säätää, milloin viimeistään ja missä laajuudessa 1 momentissa tarkoitetut alkuperäiset asiakirjat tulee tallentaa valtakunnalliseen arkistointipalveluun. 

(49) Ehdotettu asetuksenantovaltuus on merkityksellinen perustuslain 79 §:n 3 momentin kannalta. Sen mukaan laista tulee käydä ilmi, milloin se tulee voimaan. Erityisestä syystä laissa voidaan säätää, että sen voimaantuloajankohdasta säädetään asetuksella. Tästä voi olla kysymys esimerkiksi silloin, kun suuren lainsäädäntökokonaisuuden eri osien on tultava voimaan samana ajankohtana eikä tuota ajankohtaa ole lakia säädettäessä tarkoituksenmukaista tai mahdollista vielä vahvistaa (HE 1/1998 vp, s. 130/II, ks. myös PeVL 44/2018 vp, s. 3—4, PeVL 7/2005 vp, s. 11/ II). Perustuslakivaliokunnan käytännössä erityisenä syynä on pidetty myös lain voimaantuloajankohdan sidonnaisuutta Suomen kansainvälisten velvoitteiden tai esimerkiksi Euroopan unionin lainsäädännön voimaantuloon (ks. esim. PeVL 36/2010 vp, s. 3/I, PeVL 21/2007 vp, s. 2/II, PeVL 46/2006 vp, s. 4/I). 

(50) Asiakastietolakiehdotuksen 8 §:n 3 momentin perustelujen mukaan ehdotettu säännös mahdollistaisi sen, että arkistopalveluun tallennettaisiin ensi vaiheessa ne asiakirjat, jotka ovat keskeisimpiä sosiaali- ja terveydenhuollon eri toimintojen ja tietojenvaihdon kannalta. Tällä mahdollistettaisiin myös sosiaalihuollon vaiheittainen liittyminen valtakunnallisiin tietojärjestelmäpalveluihin.  

(51) Perustuslakivaliokunta ei ole katsonut tämänkaltaisten hallinnollisten toimenpiteiden aikatauluun liittyvien syiden täyttävän perustuslain 79 §:n 3 momentissa tarkoitetun erityisen syyn vaatimusta (ks. myös PeVL 3/2019 vp, s. 2—3). Tällaiset toimet ovat tavanomaisia lainsäädännössä, ja tarvittava aika niille voidaan varata päätettäessä lain voimaantuloajankohdasta lakia vahvistettaessa (PeVL 11/2014 vp, s. 7/II, PeVL 4/2014 vp, s. 5/II, PeVL 7/2005 vp, s. 11—12). Hallituksen esityksen 1. lakiehdotuksen 8 §:n 3 momenttia on siten muutettava, jotta lakiehdotus voidaan näiltä osin käsitellä tavallisen lain säätämisjärjestyksessä.  

Muita seikkoja

(52) Perustuslakivaliokunta kiinnittää huomiota asiakastietolakiehdotuksen 26 §:n sääntelyssä tietosuojavaltuutetulle osoitettaviin tehtäviin. Esityksen taloudellisten vaikutusten arvioinnissa ei ole uutta tehtävää huomioitu tietosuojavaltuutetun resurssien näkökulmasta lainkaan. Valiokunta on kiinnittänyt jo aiemmin valtioneuvoston huomiota perusoikeuskirjan 8 artiklan 3 kohdassa tarkoitetun riippumattoman viranomaisen keskeiseen merkitykseen tietosuojaperusoikeuden toteutumisen kannalta ja pitää edelleen tärkeänä, että valvontaviranomaiselle osoitetaan riittävät resurssit tehtävien asianmukaiseen hoitamiseen (ks. myös PeVL 11/2018 vp, s. 6, PeVL 3/2017 vp, s. 7). 

VALIOKUNNAN PÄÄTÖSESITYS

Perustuslakivaliokunta esittää,

että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan sen 8, 20 ja 21 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 
Helsingissä 2.3.2021 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja
AnttiRinnesd
varapuheenjohtaja
AnttiHäkkänenkok
jäsen
BellaForsgrénvihr
jäsen
MariaGuzeninasd
jäsen
PetriHonkonenkesk
jäsen
OlliImmonenps
jäsen
AnnaKontulavas
jäsen
MatsLöfströmr
jäsen
JukkaMäkynenps
jäsen
SakariPuistops
jäsen
WilleRydmankok
jäsen
AriTorniainenkesk
jäsen
HeikkiVestmankok
varajäsen
MarkkuEestiläkok
varajäsen
TarjaFilatovsd
varajäsen
MariHolopainenvihr
varajäsen
JohannesKoskinensd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvosMikaelKoillinen