Hoppa till huvudnavigeringen

Direkt till innehållet

RP 101/2020 rd

Senast publicerat 11-06-2020 14:18

Regeringens proposition RP 101/2020 rd Regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om smittsamma sjukdomar ändras temporärt.  

Enligt förslaget ska det inrättas ett informationssystem för att effektivisera brytandet av smittkedjor för det coronavirus som orsakat covid-19-epidemin, i syfte att spåra upp personer som eventuellt exponerats för viruset.  

Institutet för hälsa och välfärd ska temporärt ha som uppgift att tillhandahålla ett informationssystem som utnyttjar mobil teknik. Informationssystemet ska bestå av en mobilapplikation och ett bakomliggande system. Användningen av mobilapplikationen ska vara avgiftsfri och frivillig för befolkningen.  

Enligt förslaget ska det bakomliggande systemet förvaltas av Folkpensionsanstalten för Institutet för hälsa och välfärds räkning.  

Lagen ska också innehålla bestämmelser om behandlingen och skyddandet av personuppgifter i samband med användningen av informationssystemet.  

Den föreslagna lagen avses träda i kraft den 31 augusti 2020 och gälla till och med den 31 mars 2021. 

MOTIVERING

Bakgrund och beredning

1.1  Bakgrund

I Kina utbröt i början av 2020 en covid-19-epidemi, som orsakas av ett nytt coronavirus. Sjukdomen spred sig snabbt utanför Kina till nästan alla länder i världen. Världshälsoorganisationen WHO klassade covid-19-epidemin som pandemi den 11 mars 2020. På grund av pandemin råder undantagsförhållanden i Finland. Statsrådet fattade beslut om saken den 16 mars 2020 och beslutet gäller tills vidare. 

På grund av covid-19-epidemin har det således i Finland införts flera åtgärder som begränsar medborgarnas grundläggande fri- och rättigheter och vars syfte har varit att trygga befolkningens hälsa samt hälso- och sjukvårdens funktionsförmåga. Trots att regeringen har, för att bekämpa epidemin, beslutat om flera åtgärder som syftar till att förebygga de olägenheter som orsakas av restriktionerna, har begränsningarna också haft skadliga sociala och ekonomiska konsekvenser. 

I statsrådets principbeslut av den 6 maj 2020 om en plan för en hybridstrategi för hantering av covid-19-krisen konstateras det att man genom de restriktioner som vidtagits och de rekommendationer som getts har lyckats tygla epidemins framfart och skydda riskgrupperna. I Finland är det därför möjligt att stegvis övergå till nästa fas i bekämpningen av epidemin. Hybridstrategin innebär en kontrollerad övergång från omfattande restriktioner till allt mer riktade åtgärder och en effektiviserad hantering av epidemin i enlighet med lagen om smittsamma sjukdomar, beredskapslagen och eventuella andra författningar, särskilt i enlighet med principen om att testa, spåra, isolera och behandla. Målsättningen är att med hjälp av hybridstrategin effektivt kunna tygla epidemin på ett sätt som i så liten utsträckning som möjligt har negativa konsekvenser för människor, företag, samhället och tillgodoseendet av de grundläggande fri- och rättigheterna. 

Hybridstrategin för hantering av epidemin grundar sig på kontinuerlig uppföljning och utnyttjande av insamlad inhemsk och internationell forskningsdata.  

Avvecklingar av enskilda restriktioner kan stödjas genom bland annat rekommendationer. I hybridstrategin stöder man sig förutom på hanteringen av restriktioner och den gradvisa avvecklingen även på genomförandet av principen om att testa, spåra, isolera och behandla. Genom omfattande testning, spårning av smittkedjor, isolering av personer som insjuknat och karantän för dem som exponerats går det att förhindra att sjukdomen sprids, dock inte endast med hjälp av dessa åtgärder. Funktionen hos modellen för att testa, spåra, isolera och behandla kan effektiviseras med hjälp av en mobilapplikation som baserar sig på frivillighet och som respekterar integritetsskyddet.  

Det är behövligt att fortsätta följa hybridstrategin för hantering av epidemin till dess att epidemin har fåtts under kontroll på global nivå. Vid beslutsfattandet om hybridstrategin har de epidemiologiska, juridiska och övriga samhälleliga aspekterna av hanteringen av epidemin sammanjämkats på ett så hållbart sätt som möjligt. Regeringen bedömer genomförandet av och tidpunkten för enskilda åtgärder i ljuset av ny information och som en del av den samlade politiska bedömningen.  

Trots att covid-19-epidemins spridning har stannat upp i Finland, betyder det inte att den allvarliga faran är över. Denna lägesbild gör det dock möjligt att gradvis avveckla restriktioner och att vidta alternativa restriktioner och andra åtgärder för att minska de samhälleliga olägenheterna. Vilka restriktioner som ska användas och när de ska användas väljs utifrån en samlad bedömning, så att den positiva effekten på begränsningen av epidemin är så stor som möjligt i förhållande till de negativa sociala och ekonomiska konsekvenser som restriktionerna medför.  

Det är nödvändigt att sörja för smittspårning, isolering av smittade och placering i karantän av personer som eventuellt har exponerats. Informationssystemet som utnyttjar mobil teknik kan vara till hjälp i detta arbete. I enlighet med statsrådets principbeslut påskyndas ibruktagandet av informationssystemet, och målet är att det kan tas i bruk under sommaren. 

Europeiska kommissionen har också den 8 april 2020 utfärdat en rekommendation om användning av mobil teknik i covid-19-krisen (C(2020) 2296 final), och konstaterar att en mobilapplikation avsedd för spårning av smittkedjor sannolikt kan medföra fördelar i hanteringen av krisen. I rekommendationen lyfter Europeiska kommissionen bland annat fram att de grundläggande fri- och rättigheterna ska iakttas vid utarbetandet av applikationerna och att användningen av applikationerna ska vara tidsmässigt begränsad till tiden för den rådande krisen. 

1.2  Beredning

Social- och hälsovårdsministeriet tillsatte den 14 maj 2020 ett projekt för beredning av ibruktagandet av en applikation för spårning av kontakter i anslutning till covid-19-epidemin. För projektet tillsattes en styrgrupp, en arbetsgrupp för att bereda en regeringsproposition med förslag till ändring av lagstiftningen samt en arbetsgrupp för att samordna de nationella synpunkterna i det internationella och nationella samarbetet kring Europeiska kommissionens rekommendation av den 8 april 2020. Enligt beslutet om tillsättande går mandatperioden ut den 31 december2020, men den arbetsgrupp som bereder ändringar i lagstiftningen har haft till uppgift att utarbeta en regeringsproposition om spårningsapplikationen så snart som möjligt.  

Propositionen har beretts i den ovan nämnda arbetsgrupp som bereder regeringspropositionen. I arbetsgruppen ingick företrädare för social- och hälsovårdsministeriet, justitieministeriet, finansministeriet, kommunikationsministeriet och Institutet för hälsa och välfärd. Arbetsgruppen har under arbetets gång hört en sakkunnig från Folkpensionsanstalten och en från Esbo stad. Under beredningen har också dataombudsmannen hörts. 

Propositionen har också behandlats i projektets styrgrupp, där utöver de ovannämnda ministerierna även Institutet för hälsa och välfärd, Vasa sjukvårdsdistrikt, Päijät-Hämeen hyvinvointikuntayhtymä, Helsingfors och Nylands sjukvårdsdistrikt, Helsingfors stad samt Finlands Kommunförbund var representerade.  

På grund av propositionens brådskande natur har det varit nödvändigt att frångå anvisningarna om hörande i samband med lagberedningen. Om propositionen har begärts utlåtanden i två faser enligt följande:  

Regeringens proposition baserar sig på social- och hälsovårdsministeriets färdplan för ibruktagande av en applikation för spårning av närkontakter som stöd för hanteringen av covid-19-epidemin. Regeringen behandlade färdplanen den 22 april 2020, varefter utlåtanden begärdes om beredningsmaterialet. Begäran om utlåtande publicerades den 28 april 2020 och svarstiden gick ut den 5 maj 2020. Sammanlagt inkom 63 svar. Den största gruppen av respondenterna var representanter för ämbetsverk och inrättningar inom statsförvaltningen (21 respondenter). Från aktörer inom social- och hälsovården inkom sammanlagt 12 svar. Dessutom var begäran om utlåtande av allmänt intresse bl.a. för universitet, företag och privatpersoner. Av utlåtandena gjordes ett sammandrag som finns tillgängligt på adressen

Utkastet till regeringens proposition publicerades i den elektroniska utlåtandetjänsten den 26 maj 2020. Begäran om utlåtande sändes till flera mottagare. Svarstiden gick ut den 1 juni 2020. Sammanlagt inkom 52 utlåtanden. Remissinstanserna var aktörer inom social- och hälsovården, statliga myndigheter, kommuner och andra aktörer, såsom olika förbund och organisationer. Av utlåtandena gjordes ett sammandrag som finns tillgängligt på adressen

Propositionen har behandlats i delegationen för kommunal ekonomi och kommunalförvaltning den 29 maj 2020. 

Nuläge och bedömning av nuläget

När covid-19-sepidemin hade utvecklats till en pandemi införde regeringen i mars snabbt en helhet av restriktioner som grundade sig på rekommendationer, lagstiftning för normalförhållanden och beredskapslagstiftning. Effektiviteten hos arbetet med att spåra dem som exponerats för viruset påverkar det i vilken mån andra metoder måste användas för att förhindra spridningen av epidemin.  

Under covid-19-epidemin har lagen om smittsamma sjukdomar (1227/2016) iakttagits vid spårningsarbetet. Enligt lagen om smittsamma sjukdomar styr och stöder Institutet för hälsa och välfärd smittspårning och utredning av epidemier i kommunerna och sjukvårdsdistrikten samt genomför epidemiutredningar. En viktig uppgift i handlingsmodellen är att möjliggöra att det erbjuds kompetenta resurser för kommunernas och sjukvårdsdistriktens spårningsarbete, från både den kommunala sektorn och den privata sektorn. 

Man strävar efter att förhindra och begränsa spridningen av smittsamma sjukdomar genom tidig diagnostisering av smittade, genom spårning av exponerade och andra smittade samt genom olika restriktioner som riktar sig till individen, såsom isolering av insjuknade och karantän för exponerade.  

Enligt 1 § i lagen om smittsamma sjukdomar är syftet med lagen att förebygga smittsamma sjukdomar och spridningen av dem samt deras negativa konsekvenser för människor och samhället. Enligt 2 § i den lagen tillämpas lagen på ordnandet och genomförandet av bekämpningen av smittsamma sjukdomar samt på planering, styrning, uppföljning och övervakning av arbetet. De statliga myndigheter och sakkunniginrättningar som avses i lagen samt kommunerna och samkommunerna ska enligt 6 § systematiskt bekämpa smittsamma sjukdomar och förbereda sig på störningar inom hälso- och sjukvården. De ska inom sitt verksamhetsområde vidta omedelbara åtgärder efter att ha fått vetskap om förekomsten av eller risken för en smittsam sjukdom som kräver bekämpningsåtgärder. Enligt 7 § 1 mom. ankommer den allmänna planeringen, styrningen och övervakningen av bekämpningen av smittsamma sjukdomar på social- och hälsovårdsministeriet. Ministeriet ansvarar för den rikstäckande beredskapen för störningar inom hälso- och sjukvården eller för hot om sådana, och för ledarskapet i dessa situationer.  

I lagen om smittsamma sjukdomar föreskrivs det om Institutet för hälsa och välfärds uppgifter vid bekämpningen av smittsamma sjukdomar. Enligt 7 § 2 mom. är Institutet för hälsa och välfärd nationell sakkunniginrättning för bekämpningen av smittsamma sjukdomar. I lagen föreskrivs det också om andra myndigheters uppgifter och skyldigheter vid bekämpningen av smittsamma sjukdomar. 

I lagen om smittsamma sjukdomar finns det också bestämmelser om smittspårning och om behandling av personuppgifter som en del av detta arbete. Enligt 23 § 1 mom. i den lagen ska den läkare som i kommunen ansvarar för smittsamma sjukdomar utreda lokala epidemier och spåra smittan. Enligt 2 mom. i den paragrafen styr den läkare som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar utredningen av epidemier och smittspårningen inom samkommunen för sjukvårdsdistriktet samt utför utredning av en utbredd epidemi i samarbete med kommunerna.  

Om en epidemi har spridit sig till området för flera samkommuner för ett sjukvårdsdistrikt, om sjukdomen är särskilt allvarlig eller om epidemiutredningen annars är viktig för hela riket, styr och stöder Institutet för hälsa och välfärd smittspårningen och utredningen av epidemier i kommunerna och inom området för samkommunerna för sjukvårdsdistrikten samt genomför epidemiutredningar. Institutet för hälsa och välfärd utreder epidemier och ansvarar för epidemiutredningar och smittspårning som kräver internationellt samarbete. 

Den smittade personens kontakter kartläggs genom intervjuer. Syftet med kartläggningen av kontakterna är att identifiera de personer som exponerats för smitta så tidigt som möjligt för att spridning av sjukdomen ska kunna förhindras effektivt. Beroende på områdets epidemiologiska läge och resurser identifieras, listas och klassificeras kontakterna i nära kontakter och andra kontakter. För nära kontakter är smittrisken större än för andra kontakter. 

I fråga om de exponerade utreds i regel namn och telefonnummer. De nära kontakterna kontaktas per telefon och de informeras om eventuell smitta och om hur man söker vård, och till dem ställs frågor om eventuella symptom. Man strävar också efter att fastställa exponeringssituationen. 

I enlighet med Institutet för välfärd och hälsas anvisningar för åtgärder uppmanas de nära kontakterna att undvika sociala kontakter och resor samt att följa hur symtomen utvecklas i 14 dygn efter den sista exponeringen. Vid exponering inom familjer är karantänens längd 21 dygn från början av symptomen, eller om det är fråga om en symtomfri person, från provtagningsdagen. Om andra kontakter kan nås, informeras de om eventuell exponering och om hur man söker vård. Detta görs dock inte om en person med coronavirussjukdom har varit symtomfri. 

Inom hälso- och sjukvården görs eventuella anteckningar i journalhandlingarna i enlighet med patientlagen (lagen om patientens ställning och rättigheter, 785/1992). I patientlagen finns det också bestämmelser om patientens rätt till information (5 och 9 §), patientens självbestämmanderätt (6 §) och en minderårig patients ställning (7 §). 

Den läkare som i kommunen eller sjukvårdsdistriktet ansvarar för smittsamma sjukdomar kan med stöd av 60 § i lagen om smittsamma sjukdomar besluta att en person som konstaterats eller med fog misstänks ha utsatts för en allmänfarlig smittsam sjukdom ska hållas i karantän i högst en månad. Karantän ska i regel genomföras i samförstånd med den som exponerats. Läkaren ska ge den som meddelats beslut om karantän instruktioner för hur smittspridning kan förhindras och säkerställa att personen i fråga är beredd och klarar av att följa dem (RP 13/2016 rd). Enligt 60 § 2 mom. kan en läkare fatta beslut om karantän också oberoende av personens vilja. 

Den som har förordnats i karantän och som blir tvungen att bli borta från arbetet ska informeras om att han eller hon har rätt att få dagpenning vid smittsam sjukdom enligt 82 § i lagen om smittsamma sjukdomar för att ersätta inkomstbortfall. 

Vid verksamhetsenheterna för hälso- och sjukvård ska det enligt anvisningarna för åtgärder finnas information om alla arbetstagare som har behandlat patienter som insjuknat i coronavirussjukdomen eller som har behandlat covid-19-prover.  

Arbetsfördelningen mellan kommunerna och sjukvårdsdistrikten varierar från område till område och från fall till fall t.ex. beroende på det fall som konstaterats och exponeringens karaktär. Institutet för hälsa och välfärd stöder regionala aktörer vid smittspårning av massexponeringar och sköter spårningsarbetet vid gränsöverskridande exponering och t.ex. vid exponering på flyg. Eventuella karantänbeslut i hemlandet fattas också i dessa fall av behöriga myndigheter, dvs. i Finland av de läkare i kommunerna och sjukvårdsdistrikten som ansvarar för smittsamma sjukdomar. 

På internationell nivå samarbetar Institutet för hälsa och välfärd med hälsovårdsmyndigheter i andra länder, om det bland de fall som exponerats eller bekräftats finns medborgare i andra länder, om smitta har fåtts från utlandet eller om exponeringen sker i ett gränsöverskridande trafikmedel. Systemet för tidig varning Early Warning and Response System (EWRS) förenar Europeiska kommissionens, Europeiska centrumet för förebyggande och kontroll av sjukdomar ECDC:s samt EU:s och EES-ländernas folkhälsomyndigheter, som på nationell nivå ansvarar för anmälningarna och fastställer de åtgärder som behövs för att skydda folkhälsan. Via EWRS kan också material som innehåller personuppgifter sändas i skyddad form till den nationella hälsomyndigheten. 

WHO:s Internationella hälsoreglemente (International Health Regulations, IHR) samlar kontaktuppgifter till kontaktpersoner från alla undertecknande länder, och med dem utövas samarbete också vid gränsöverskridande spårningar. 

Målsättning

Statsrådet uppdaterade covid-19-strategin den 22 april 2020 efter att ha tagit del av experters bedömningar av läget. Eftersom man i Finland hittills har lyckats väl med att tygla epidemin, har det i Finland varit möjligt att stegvis övergå till en fas i tyglandet av epidemin där man från omfattande restriktioner övergår till allt mer riktade åtgärder och en effektiviserad hantering av epidemin i enlighet med lagen om smittsamma sjukdomar, beredskapslagen och eventuella andra författningar. Målet är att med hjälp av hybridstrategin effektivt kunna bromsa epidemin på ett sätt som i så liten utsträckning som möjligt har negativa konsekvenser för människor, företag, samhället och tillgodoseendet av de grundläggande fri- och rättigheterna. 

I hybridstrategin stöder man sig förutom på hanteringen av restriktioner och den gradvisa avvecklingen också på genomförandet av principen om att testa, spåra, isolera och behandla. Enligt hybridstrategin går det att genom omfattande testning, spårning av smittkedjor, isolering av personer som insjuknat och karantän för dem som exponerats förhindra att sjukdomen sprids, dock inte endast med hjälp av dessa åtgärder. Funktionen hos modellen för att testa, spåra, isolera och behandla kan effektiviseras med hjälp av en mobilapplikation som baserar sig på frivillighet och som respekterar integritetsskyddet.  

Målet är att en person själv ska kunna medverka till att stoppa spridningen av coronaviruset med hjälp av en mobilapplikation som erbjuds befolkningen. Det ska vara helt frivilligt att ta i bruk och använda mobilapplikationen samt att sluta använda den. Personen får information om sin eventuella exponering via mobilapplikationen. Med hjälp av mobilapplikationen får också sådana personer som har exponerats och som bäraren av viruset inte känner eller som bäraren inte minns att han eller hon har träffat information om sin eventuella exponering, och de kan nås snabbare och effektivare om personen beslutar att dela med sig av informationen om sin eventuella exponering till aktörer inom hälso- och sjukvården. Den som fått information om sin eventuella exponering har möjlighet att aktivt följa sina symtom, att få ytterligare information och anvisningar och att därigenom också vidta åtgärder för att förhindra eventuell spridning av smittan. En person kan förmedla den information om sin eventuella exponering som han eller hon fått via applikationen till hälso- och sjukvården och få information om hur han eller hon ska agera. Mobilapplikationen effektiviserar således avbrytandet och spårningen av smittkedjor.  

Om informationssystemet fungerar effektivt, utgör det en del av en större helhet för uppföljning av exponering för coronaviruset samt smittspårning. Det föreslagna informationssystemet räcker inte ensamt till för att lösa behoven att spåra och avbryta smittkedjor. Systemet ersätter eller automatiserar inte det nuvarande spårningsarbetet vid verksamhetsenheter inom hälso- och sjukvården där de exponerade kontaktas, men med hjälp av systemet kan det fås mer täckande information om eventuella exponerade. Informationssystemet kan göra det snabbare att nå dem som exponerats och att hänvisa personer med symtom till tester och vård.  

Det är dessutom möjligt att till mobilapplikationen ansluta funktioner för spridning av tillförlitlig hälsoinformation och anvisningar, varvid ibruktagandet av applikationen också medför fördelar som gäller effektivare informationsstyrning. När en smittad person anmäler sin smitta till mobilapplikationen kan han eller medverka till att stoppa spridningen av coronaviruset. Då kan andra användare av mobilapplikationen, efter att ha fått kännedom om sin eventuella exponering via mobilapplikationen, agera enligt hälso- och sjukvårdens anvisningar t.ex. genom att undvika nära kontakter, fästa noggrannare uppmärksamhet vid sitt hälsotillstånd och vid behov låta testa sig. På så sätt kan användningen av applikationen göra det möjligt att tygla spridningen av coronaviruset. Den som använder mobilapplikationen kan delta i skyddet av befolkningens hälsa genom att anmäla smitta till mobilapplikationen och genom att agera aktivt efter att ha fått kännedom om sin eventuella exponering. Mobilapplikationen kan medföra ytterligare nytta för det arbete för att spåra smittsamma sjukdomar som utförs i kommunerna i och med att ett större antal personer som eventuellt exponerats för viruset kan nås på basis av kontaktbegäran. Även om det är frivilligt att göra en kontaktbegäran via applikationen, kan personen dock också med de metoder som används för närvarande själv kontakta hälso- och sjukvården för att be om anvisningar. Mobilapplikationen kan också vara till nytta vid bekämpningen av eventuella framtida epidemier, eftersom det är möjligt att göra statistiska analyser av det föreslagna informationssystemets funktion och nytta vid uppföljningen av covid-19-epidemin och utvärderingen av informationssystemets funktion.  

Faktorer som påverkar de tilläggsfördelar som det föreslagna informationssystemet medför är bl.a. hur många som tar i bruk mobilapplikationen (befolkningstäckning) och hur aktivt de har bluetooth-kontakten på, människors motivation att använda applikationen på lång sikt, hur många användare som delar uppgifter om sin eventuella exponering till hälso- och sjukvården och hur ofta hälsovårdsmyndigheten måste utföra överlappande arbete när man i spårningsarbetet i vissa fall kontaktar samma person både på basis av intervjuer med en smittad person och på basis av uppgifter om eventuell exponering som fåtts från informationssystemet (information från applikationen vs. traditionell informationsinsamling). De tilläggsfördelar som det föreslagna informationssystemet medför för hälsovårdsmyndigheten beror dessutom på hur ofta människor anmäler sin eventuella exponering till hälso- och sjukvården. 

Mobilapplikationen och den tillhörande kommunikationen ska genomföras på finska och svenska. För att nå så många som möjligt och för att främja likabehandling är det dock skäl att sträva efter att applikationen och den tillhörande kommunikationen kunde genomföras också på andra språk än nationalspråken, särskilt på andra språk som allmänt används i Finland. Dessutom bör man vid genomförandet av applikationen fästa uppmärksamhet vid samernas möjligheter att få information på och använda sitt eget språk. Också information och anvisningar om ibruktagandet av applikationen kunde översättas till flera språk, för att även andra personer än de som behärskar nationalspråken ska kunna få information om applikationen och använda den. 

3.1  Allmän beskrivning av informationssystemet

Med hjälp av det föreslagna informationssystemet kan man spåra upp dem som eventuellt exponerats för sjukdomen genom att utnyttja de mobila enheternas bluetooth-teknik så att det i enheterna sparas uppgifter om möten mellan personer. Informationssystemet består av mobilapplikationer som personer frivilligt tar i bruk och av ett bakomliggande system som förvaltas av Institutet för hälsa och välfärd. Informationssystemet sparar individuella pseudonyma identifierare, vilket innebär att enskilda personer som varit i närkontakt med varandra inte kan identifieras direkt utifrån dem. Informationssystemet sparar inte geografisk information. Figur 1 nedan sammanfattar principen för hur informationssystemet fungerar.  

Figur 1. Principen för hur informationssystemet fungerar 

När personer som har tagit i bruk mobilapplikationen möts, sparar mobilapplikationerna decentraliserat varandras starkt krypterade uppgifter om kontakt i användarnas mobila enheter. De uppgifter om kontakter som sparas är individuella pseudonyma identifierare, tidpunkten och varaktigheten för mötet samt styrkan hos bluetooth-signalen vid mötet. Enskilda personer kan inte identifieras direkt utifrån uppgifterna om kontakter, och personerna själva får inte se de uppgifter om kontakter som mobilapplikationen sparat.  

Om en person som har tagit i bruk applikationen bekräftas vara smittad av covid-19, får personen vid sin kontakt med hälso- och sjukvården i kommunen eller i samkommunen för sjukvårdsdistriktet en öppningskod med hjälp av vilken han eller hon kan förmedla sin egen pseudonyma identifierare till det bakomliggande systemet. Öppningskoden kan innehålla uppgift om från och med vilken tidpunkt personen har kunnat sprida smittan. Om personen matar in sin öppningskod i mobilapplikationen, sänds de pseudonyma identifierarna från mobilapplikationen till det bakomliggande systemet som förvaltas av en myndighet. Det bakomliggande systemet registrerar den smittade personens pseudonyma identifierare och för en förteckning över alla smittade personers pseudonyma identifierare. När andra personers mobilapplikationer kontaktar det bakomliggande systemet sänder systemet de smittade personernas pseudonyma identifierare till applikationen i samtliga användares telefoner. Applikationen i telefonen jämför de smittade personernas pseudonyma identifierare med de pseudonyma identifierare som sparats i telefonen vid möten med mobilapplikationer och härleder på basis av en jämförelse om exponering eventuellt har skett. Om en eventuell exponering har skett, ska applikationen meddela personen detta och ge honom eller henne anvisningar.  

Personen får inte se den smittade personens pseudonyma identifierare eller information om tidpunkten för en eventuell exponering. Efter detta kan den som eventuellt har exponerats för smitta själv, om han eller hon så önskar, dela uppgifterna om sin eventuella exponering, sina eventuella symtom och sina kontaktuppgifter (namn, telefonnummer, hemkommun och vid behov tillfällig bostadsort) till de behöriga myndigheterna inom hälso- och sjukvården. De uppgifter som personen lämnat ska sparas i ett temporärt register som skapats för detta ändamål för att personen ska kunna kontaktas. Om en person kontaktas, görs eventuella anteckningar i journalhandlingarna inom hälso- och sjukvården, på vilka bestämmelserna i patientlagen tillämpas. 

Uppgifterna om kontakter raderas från de mobila enheterna senast 21 dygn från det att de registrerades. De pseudonyma identifierarna för smittade personer raderas också ur det bakomliggande systemet senast 21 dygn från det att de registrerades. Dessa tidsgränser kan behöva ses över om det kommer fram nya uppgifter om hur viruset beter sig. Uppgifterna får enligt förslaget sparas i högst 21 dygn på basis av den nuvarande informationen, men det ska vara möjligt att radera dem också tidigare. Enligt principen om lagringsminimering i allmänna dataskyddsförordningen får uppgifter inte behandlas under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Om en person raderar applikationen från sin telefon, raderas uppgifterna i telefonen samtidigt. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

I Finland är smittspårning samt isolerings- och karantänåtgärder enligt lagen om smittsamma sjukdomar effektiva metoder för att begränsa och bekämpa spridningen av covid-19-epidemin. Åtgärderna enligt lagen om smittsamma sjukdomar kan stödjas genom det föreslagna informationssystemet. Utgångspunkten för hanteringen av situationen med en smittsam sjukdom är att identifiera den som insjuknat och att med hjälp av effektiv och snabb smittspårning få information om personens närkontakter och dem som eventuellt exponerats för smitta. Informationssystemet effektiviserar möjligheterna att spåra upp personer som eventuellt exponerats tidigare än för närvarande. Effektiv och snabb spårning av exponerade spelar en nyckelroll när man vill lätta på begränsningsåtgärderna. Om informationssystemet, som utnyttjar mobil teknik, kan bidra till att effektivisera spårningen av de exponerade, kan man rikta åtgärder som förhindrar att sjukdomen sprids, såsom anvisningar från hälso- och sjukvården, direkt till dem. Således kan ibruktagandet av informationssystemet i bästa fall minska behovet av begränsningar som allmänt riktar sig till hela befolkningen.  

Med hjälp av det föreslagna informationssystemet kan man spåra upp potentiella exponerade personer som varit i närkontakt med en smittspridare och snabbare informera dem om att de blivit exponerade. Med hjälp av informationssystemet är det möjligt att kartlägga och spåra upp dem som varit i närheten av den smittade tillräckligt länge och som således eventuellt utsatts för viruset effektivare än enbart med hjälp av smittspårning enligt lagen om smittsamma sjukdomar. Med hjälp av informationssystemet kan man spåra upp också sådana applikationsanvändare i vars närhet den smittade personen inte minns att han eller hon varit eller som han eller hon inte själv känner och som annars inte skulle kunna spåras upp. För att man inom hälso- och sjukvårdssystemet ska kunna dra nytta av informationssystemet och uppnå kostnadseffektivitet är det viktigt att resurserna riktas på ett ändamålsenligt sätt till att med hjälp av kontaktbegäran spåra upp dem som eventuellt exponerats och till fortsatta åtgärder som behövs för dem. Genom att effektivt rikta åtgärderna till dem som eventuellt exponerats kan man i viss mån också undvika onödiga kostnader som orsakas av allmänna åtgärder eller begränsningar som riktas till alla.  

Det arbete för att hantera covid-19-epidemin som i Finland utförs av smittskyddsläkarna och hälso- och sjukvårdens servicesystem stöds för närvarande inte ännu med nationella lösningar som utnyttjar mobil teknik. Expertsynpunkter har i olika sammanhang lyft fram möjligheten att med hjälp av en mobilapplikation som personen har tagit i bruk kartlägga och spåra upp personer som varit i närkontakt med någon som har insjuknat i coronavirussjukdomen. För närvarande baserar sig den kontakt som yrkesutbildade personer som utreder en smittsam sjukdom tar med de exponerade på sådana uppgifter om närkontakter och på sådana kontaktuppgifter den insjuknade lämnat. Således fås ingen information om sådana exponerade personer som den smittade personen inte känner personligen eller som den smittade inte längre i efterhand kommer ihåg att han eller hon har träffat. Syftet med mobilapplikationen är att spåra upp i synnerhet dessa personer som potentiellt exponerade. 

Redan i nuläget kan en person göra en symtombedömning i den nationella Omaolo.fi-tjänsten och via den hänvisas till att kontakta hälso- och sjukvården. Hälso- och sjukvårdspersonalen kan då utifrån en bedömning av servicebehovet hänvisa personen till ett test. Testprocessen kan inledas också när en person spåras upp genom sådan spårning av exponerade som utförs enligt lagen om smittsamma sjukdomar. Syftet med testningen är att förhindra att sjukdomen sprids genom att isolera den som blivit smittad av covid-19, skydda riskgrupperna, säkerställa att det finns tillräckligt med personal för kritiska arbetsuppgifter och trygga att hälso- och sjukvården är bärkraftig, stödja spårningen av smittkedjor samt stödja bildandet av en lägesbild av epidemins förlopp. Denna information är viktig när nödvändigheten, proportionaliteten och varaktigheten av olika begränsningsåtgärder bedöms. Ibruktagandet av mobilapplikationen kan bedömas öka testningen av sjukdomen och därmed också konstaterandet av sjukdomen, vilket också ger information om lägesbilden av sjukdomens spridning. 

Med hjälp av mobilapplikationen kan individernas frivilliga deltagande i bromsandet av epidemin stödjas och effektiviseras. Utgångspunkten för ibruktagandet av applikationen är att man har förtroende för den på myndighetsansvar baserade applikationen och att användningen av applikationen är frivillig. När det gäller den föreslagna applikationen baserar sig förtroendet på att informationssystemet och den mobilapplikation som ingår i det tillhandahålls av Institutet för hälsa och välfärd, som enligt lagen om smittsamma sjukdomar också i övrigt är nationell sakkunniginrättning för bekämpningen av smittsamma sjukdomar. Det är möjligt att det på marknaden kommer ut också andra system eller lösningar som lämpar sig för smittspårning, men på dem tillämpas inte den lagstiftning som här föreslås och de omfattas således inte av det myndighetsansvar som föreslås i propositionen. Dessutom har den aktiveringskod som den smittade matar in i applikationen fåtts av hälsovårdsmyndigheterna, vilket betyder att man via applikationen inte kan sprida information om smitta utan att smittan har konstaterats inom hälso- och sjukvården. När det gäller det informationssystem som avses i propositionen baserar sig förtroendet också på att uppgifterna i enlighet med de föreslagna bestämmelserna samlas in och sparas endast i så liten omfattning och en så kort tid som behövs och att uppgifterna inte används för andra ändamål. 

Med hjälp av det föreslagna informationssystemet och den mobilapplikation som ingår i det får en person som fått uppgifter om eventuell exponering information till stöd för sitt handlande. Med hjälp av applikationen kan man förmedla inte bara uppgifter om exponering utan också anvisningar. En person kan på eget initiativ undvika kontakt med andra så snart som möjligt efter att ha fått kännedom om sin eventuella exponering.  

I nuläget baserar sig spårningen av exponerade på lagen om smittsamma sjukdomar. Enligt 22 § i den lagen är den som insjuknat eller med fog misstänks ha insjuknat skyldig att meddela den läkare som utreder saken namnen på de personer som eventuellt kan vara smittkälla eller som kan ha blivit smittade. Enligt 60 § i den gällande lagen om smittsamma sjukdomar kan den läkare i tjänsteförhållande som i kommunen ansvarar för smittsamma sjukdomar eller den läkare i tjänsteförhållande som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar besluta att en person ska hållas i karantän i högst en månad. Beslut om karantän kan meddelas den som konstaterats eller med fog misstänks ha utsatts för en allmänfarlig smittsam sjukdom.  

Med hjälp av det föreslagna informationssystemet kan beslut om karantän enligt lagen om smittsamma sjukdomar meddelas effektivare än för närvarande, eftersom man med hjälp av den mobilapplikation som personen tagit i bruk kan få information om en större mängd personer som eventuellt exponerats än för närvarande. Dessutom kan information om eventuell exponering i många fall fås snabbare än för närvarande. Det ska dock vara frivilligt att ta i bruk och använda mobilapplikationen, och den som använder applikationen är inte skyldig att i enlighet med 22 § i lagen om smittsamma sjukdomar lämna sådan information om eventuell exponering som han eller hon fått med hjälp av applikationen. Den information som mobilapplikationen ger om eventuell exponering kan dock inte ensam utgöra en sådan befogad misstanke som avses i 60 § i lagen om smittsamma sjukdomar om att en person har utsatts för en allmänfarlig smittsam sjukdom, utan det ska också finnas andra bevis på exponeringen. När mobilapplikationen används går det inte att med säkerhet identifiera exponeringen, eftersom applikationen inte kan identifiera alla rådande omständigheter som påverkar exponeringen. 

Även om mobilapplikationen tas i bruk är avsikten att även i fortsättningen arbeta med spårningen av smittkedjor på samma sätt som för närvarande, dvs. att den som utför spårningsarbetet per telefon tar kontakt med en person som eventuellt exponerats eller dennes lagliga företrädare. På patientens ställning och rättigheter samt på anteckningar i journalhandlingarna ska bestämmelserna i patientlagen tillämpas. 

Allmänna dataskyddsförordningen och det handlingsutrymme den medger

Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig, och i den nationella allmänna lag som kompletterar den, dvs. dataskyddslagen (1050/2018).  

Med personuppgifter avses enligt allmänna dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. Som identifierbar betraktas en fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Med pseudonymisering avses behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Pseudonymiserade uppgifter eller annars pseudonyma uppgifter är dock personuppgifter och på dem ska dataskyddslagstiftningen därför tillämpas. 

För behandlingen av personuppgifter ska det finnas en sådan allmän rättslig grund som avses i artikel 6 i allmänna dataskyddsförordningen. Den rättsliga grund som bäst lämpar sig för behandling av personuppgifter i samband med informationssystemet är artikel 6.1 e i allmänna dataskyddsförordningen, där det anges att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen kan dock inte direkt basera sig på nämnda punkt i allmänna dataskyddsförordningen, utan enligt artikel 6.3 i den förordningen ska grunden för behandlingen fastställas antingen i enlighet med unionsrätten eller med en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Eftersom det inte finns någon lagstiftning på området, ska det föreskrivas särskilt om behandlingen av personuppgifter i samband med mobilapplikationen. 

När behandlingen av personuppgifter grundar sig på artikel 6.1 e i allmänna dataskyddsförordningen ska medlemsstatens nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas så som föreskrivs i artikel 6.3 i den förordningen. Den föreslagna mobilapplikationen kan under den rådande covid-19-epidemin anses uppfylla ett mål av allmänt intresse och vara proportionell mot det mål som eftersträvas med den med beaktande av de fördelar som uppnås med informationssystemet och som beskrivs närmare i propositionen. Enligt artikel 6.3 i allmänna dataskyddsförordningen kan det i den rättsliga grunden för behandlingen föreskrivas t.ex. om de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, för vilka ändamål personuppgifter får lämnas ut, lagringstid samt typer av behandling och förfaranden för behandling. 

I samband med informationssystemet behandlas också uppgifter om hälsa. De betraktas som sådana i artikel 9 i allmänna dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter och vars behandling i princip är förbjuden. Behandling av sådana uppgifter är tillåten endast om det utöver den allmänna behandlingsgrunden enligt artikel 6.1 i den förordningen finns en sådan särskild behandlingsgrund som avses i artikel 9.2.  

Enligt artikel 9.2 i i allmänna dataskyddsförordningen är behandling av uppgifter om hälsa tillåten när det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan. Behandlingen av uppgifter om hälsa i samband med informationssystemet kan grunda sig på denna punkt i allmänna dataskyddsförordningen. Också i detta fall förutsätts dock lagstiftning om saken och det ska dessutom föreskrivas om lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter och friheter. I skäl 52 i ingressen till allmänna dataskyddsförordningen nämns som en grund för behandling av uppgifter om hälsa att förebygga eller kontrollera smittsamma sjukdomar och andra allvarliga hot mot hälsan. 

Riksdagens grundlagsutskott har påpekat att nationell speciallagstiftning om skydd för personuppgifter bör reserveras för situationer då den är dels tillåten enligt allmänna dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter. Grundlagsutskottet har i den konstitutionella bedömningen av behandlingen av personuppgifter ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer. Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För bestämmelser i lag gäller i sin tur det generella kravet att lagen ska vara exakt och noga avgränsad.  

Vid bedömningen av behovet av speciallagstiftning och hur pass detaljerad den ska vara ska man också i enlighet med det riskbaserade synsätt som krävs enligt allmänna dataskyddsförordningen också beakta de hot och risker som behandlingen av uppgifterna medför. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat anses det vara med mer detaljerade bestämmelser. Särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, vilket inneburit t.ex. att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt inskränkningarnas acceptabilitet och proportionalitet. Det bör finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. 

Med beaktande av att behandlingen av personuppgifter inom informationssystemet avses gälla en stor grupp av personer, att de uppgifter om hälsa som behandlas hör till särskilda kategorier av personuppgifter samt att behandlingen av uppgifter även i övrigt medför risker, finns det skäl att i de bestämmelser som gäller informationssystemet och den behandling av personuppgifter som sker i samband med det föreskriva om behandlingen av personuppgifter tillräckligt detaljerat och noggrant avgränsat inom ramen för det regleringsutrymme som allmänna dataskyddsförordningen medger. Dessutom ska det föreskrivas om lämpliga skyddsåtgärder i enlighet med artikel 9.2 i i allmänna dataskyddsförordningen. 

4.2  De huvudsakliga konsekvenserna

Samhälleliga konsekvenser

Det informationssystem som syftar till att effektivisera spårning och brytande av smittkedjor för sjukdomen covid-19 har samhälleliga konsekvenser. Den som tar i bruk mobilapplikationen kan själv delta i och påverka den allmänna kontrollen av sjukdomen covid-19. Människor har vanligen behov av att bedöma sina egna symtom och få tillförlitlig hälsoinformation. En person har dessutom behov av att få information om sin eventuella exponering, så att han eller hon utan dröjsmål kan vidta frivilliga åtgärder för att förhindra eventuell spridning av smitta. Människor kan således sörja inte bara för sin egen hälsa utan också för hälsan i sin närmiljö, eftersom applikationen också kan förmedla information till dem som eventuellt exponerats för viruset. Informationssystemet kan också ha konsekvenser för hälso- och sjukvårdsverksamheten, eftersom arbetet med att spåra smitta kan gå snabbare när de personer som har tagit i bruk mobilapplikationen meddelar hälso- och sjukvården om att de eventuellt har exponerats.  

Ekonomiska konsekvenser

Det informationssystem som syftar till att effektivisera spårning och brytande av smittkedjor för covid-19 har ekonomiska konsekvenser. Informationssystemet och utvecklandet och förvaltandet av den mobilapplikation och de bakomliggande system som ingår i systemet medför kostnader. Kostnader orsakas också av att information förmedlas till allmänheten om möjligheten att använda mobilapplikationen och om annan kommunikation i anslutning till användningen av informationssystemet. Dessutom kan ändringar i verksamhetsmodellen leda till ett behov att utveckla även andra informationssystem som används i spårningsverksamheten. I den tredje tilläggsbudgeten föreslås ett anslag på 6 miljoner euro för genomförandet av denna helhet. Befolkningen använder applikationen i sina smarttelefoner, och användningen av applikationen medför i princip inga extra kostnader.  

Mobilapplikationen kan ha konsekvenser för smittspårningsverksamheten. Applikationen kan effektivisera spårningen genom att göra det möjligt att spåra upp de exponerade i större utsträckning och snabbare än för närvarande. Man kan då delvis undvika de samhälleliga kostnader i anslutning till eventuellt insjuknande som orsakas av sådana exponerade personer som inte kan spåras upp med nuvarande metoder. Med hjälp av det föreslagna informationssystemet kan man undvika de samhälleliga kostnader som spridningen av covid-19-epidemin orsakar när smittkedjorna snabbare kan brytas. Sådana kostnader är bl.a. samhälleliga kostnader i anslutning till vården av insjuknade och till beslut om karantän. Dessa kostnader kan potentiellt vara mycket höga om epidemin sprids ytterligare.  

Syftet med mobilapplikationen är också att spåra upp en större krets av personer som eventuellt exponerats än för närvarande, vilket innebär att kontaktandet av dem och utredningen av deras situation samt eventuella beslut om karantän medför mer arbete i anslutning till spårningen och därmed ökar de direkta kostnaderna för spårningsverksamheten i kommunerna och samkommunerna för sjukvårdsdistrikten.  

Eftersom det föreslagna informationssystemet inte samlar in geografisk information och inte gör det möjligt att på ett identifierbart sätt koppla ihop en smittad person och en eventuell exponerad person med varandra, kan systemet inte användas för att identifiera vilka exponeringar som är kopplade till varandra i kedjor eller grupper. Emellertid ökar antalet personer som behöver kontaktas. Detta medför behov av tilläggsresurser för spårningsarbetet och därigenom extra kostnader. Kostnader föranleds dessutom av en eventuellt mer omfattande testning av exponerade och av beslut om karantän. Kostnader föranleds också av att Folkpensionsanstalten beviljar dagpenning vid smittsam sjukdom till ett eventuellt större antal personer som meddelats beslut om karantän.  

Kommunen är enligt 9 § i den gällande lagen om smittsamma sjukdomar skyldig att inom sitt område ordna bekämpningen av smittsamma sjukdomar på det sätt som föreskrivs i folkhälsolagen (66/1972), hälso- och sjukvårdslagen (1326/2010) och lagen om smittsamma sjukdomar. Kommunerna och samkommunerna för sjukvårdsdistriktet ansvarar i enlighet med 23 § i den gällande lagen om smittsamma sjukdomar också för utredning av epidemier och spårningsverksamhet i anslutning till smittsamma sjukdomar. Enligt 1 mom. i den paragrafen ska den läkare som i kommunen ansvarar för smittsamma sjukdomar utreda lokala epidemier och spåra smittan. Enligt 2 mom. i den paragrafen styr den läkare som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar utredningen av epidemier och smittspårningen inom samkommunen för sjukvårdsdistriktet samt utför utredning av en utbredd epidemi i samarbete med kommunerna. Kommunernas uppgifter enligt lagen om smittsamma sjukdomar är statsandelsåligganden enligt 1 § i lagen om statsandel för kommunal basservice (1704/2009). Propositionen innehåller dock inga nya uppgifter eller skyldigheter för kommunerna eller samkommunerna för sjukvårdsdistrikten och de nuvarande uppgifterna utvidgas inte. Kommunens uppgifter förblir oförändrade till följd av propositionen.  

Med tanke på uppgifterna för kommunen och samkommunen för sjukvårdsdistriktet ger det på mobilteknik baserade informationssystemet kommunerna och samkommunerna för sjukvårdsdistriktet effektivare information än för närvarande om de exponerade personer vars spårning, testning och eventuella vård redan i enlighet med den gällande lagen om smittsamma sjukdomar, folkhälsolagen och hälso- och sjukvårdslagen hör till kommunen och samkommunen för sjukvårdsdistriktet.  

Det finns också ekonomiska konsekvenser som är indirekta och de kan uppstå genom att man snabbare och i större utsträckning kan spåra upp de exponerade i och med att de snabbare får anvisningar och meddelas eventuella beslut om test eller karantän, vilket ökar möjligheterna för att hindra att sjukdomen sprids. Om man effektivare än för närvarande kan stoppa spridningen av sjukdomen, uppnås kostnadsfördelar i form av lägre vårdkostnader och mindre belastning på hälso- och sjukvårdssystemet. Dessutom främjar det föreslagna informationssystemet möjligheterna att lätta på andra restriktioner. Detta kan också minska de direkta och indirekta kostnader som restriktionerna medför för samhället och som kan vara ansenliga. 

Det är svårt att exakt uppskatta de ovan konstaterade ekonomiska kostnaderna och deras kostnadsnytta i euro. Dessa påverkas av flera olika faktorer. Propositionens konsekvenser beror framför allt på i vilken utsträckning mobilapplikationen tas i bruk bland befolkningen. Detta påverkas i synnerhet av förtroendet bland befolkningen för att systemet fungerar samt på epidemins aktuella omfattning. Om epidemiläget förblir lugnt är det sannolikt att mobilapplikationen tas i bruk endast i liten utsträckning. Om epidemin utvidgas väsentligt tas applikationen sannolikt i bruk i större utsträckning. Enskilda beslut om ibruktagande påverkas sannolikt också av den upplevda otrygghetskänslan i anslutning till spridningen av sjukdomen. 

Det möjliga antalet personer som tar i bruk applikationen kan i fortsättningen bedömas noggrannare i samband med genomförandet och testningen av informationssystemet. Också de uppgifter som fås från försöket med ett mobilapplikationsprojekt för att spåra sjukdomen covid-19, som pågick inom Vasa sjukvårdsdistrikt, kan utnyttjas i denna bedömning.  

Även internationellt sett är det föreslagna tillvägagångssättet att spåra upp dem som exponerats för smitta nytt, och det finns knappt några erfarenheter av dess konsekvenser. De stater som först tog i bruk ett motsvarande system, såsom Singapore och Australien, har byggt upp sina system utifrån en s.k. centraliserad modell och denna modell har ansetts förknippad med osäkerhet om huruvida dataskyddet tillgodoses. Ibruktagandet av systemet och därmed också resultaten i dessa länder har inte motsvarat förväntningarna, och detta är en orsak till att den lösning som föreslås i denna proposition baserar sig på en s.k. decentraliserad modell. I den decentraliserade modellen behandlas personuppgifter i mindre utsträckning. Det finns ännu inga användarerfarenheter av den föreslagna modellen från andra länder. 

Institutet för hälsa och välfärd ska i genomförande- och testfasen bedöma behovet av nationella anvisningar för kommunerna och samkommunerna om behandlingen av de uppgifter om exponering som fåtts med hjälp av det föreslagna informationssystemet. Enbart den information som informationssystemet ger om en eventuell exponering kan dock inte utgöra en sådan i 60 § i lagen om smittsamma sjukdomar avsedd befogad misstanke om att en person har utsatts för en allmänfarlig smittsam sjukdom, till följd av vilken personen kan meddelas beslut om karantän, utan det ska också finnas andra bevis på exponering. Mobilapplikationen kan inte med säkerhet identifiera att exponering har skett, eftersom den inte känner till alla omständigheter som påverkar exponeringen. Med hjälp av det på mobilteknik baserade informationssystemet är det möjligt att effektivare än för närvarande spåra upp sådana exponerade personer som den smittade inte känner eller inte kommer ihåg att han eller hon har träffat. Ett avsevärt antal sådana exponerade kan eventuellt spåras upp beroende på omfattningen av mobilapplikationens ibruktagande, sjukdomsläget samt applikationens tekniska egenskaper och tillförlitlighet när det gäller identifiering av exponerade. En del av de identifierade kan vara sådana att det utifrån de kontakter som tas i samband med spårningen inte framgår något annat om dem som tyder på exponering eller smitta än den information som fåtts med hjälp av mobilapplikationen. Då har den läkare som ansvarar för smittsamma sjukdomar eller någon annan yrkesutbildad person inom hälso- och sjukvården som utför spårningsarbete inga andra uppgifter till stöd för det beslutsfattande som grundar sig på en medicinsk bedömning än att användarens mobilapplikation har informerat om att personen eventuellt exponerats för smitta. En del av dem som fått information via applikationen kan däremot ha annan information som påverkar eventuell exponering och som framgår av spårningsarbetet. Riktlinjerna kan även ha konsekvenser för de direkta och indirekta kostnader och kostnadsfördelar för de offentliga finanserna som propositionen medför.  

Enligt propositionen ska Transport- och kommunikationsverkets cybersäkerhetscenter bedöma informationssäkerheten i informationssystemet. Enligt en preliminär bedömning tar bedömningen av informationssäkerheten i informationssystemet cirka fyra veckor i anspråk och kostnaderna för bedömningen beräknas vara ungefär 80 000 euro. 

Tillstånds- och tillsynsverket för social- och hälsovården ska enligt vad som föreslås utöva tillsyn över informationssäkerheten i informationssystemet. Redan nu utövar Tillstånds- och tillsynsverket för social- och hälsovården tillsyn över kraven på informationssäkerhet enligt lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) och lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019). För den nuvarande tillsynen har det reserverats ett årsverke. Tillstånds- och tillsynsverket för social- och hälsovården bör reserveras tilläggsresurser för tillsynsuppgifter enligt den föreslagna lagen för den tid lagen är i kraft och för den verkställighet av lagen som föregår lagens ikraftträdande. 

Bedömning av konsekvenser för befolkningen

Det ska vara avgiftsfritt och frivilligt för befolkningen att ta i bruk och använda den mobilapplikation som effektiviserar spårningen och brytandet av smittkedjor för covid-19. För att använda mobilapplikationen krävs det en smarttelefon, och alla har inte tillgång till en sådan. För att ta i bruk applikationen kan det också krävas särskilda datatekniska färdigheter. I Finland använder av 99 procent av hushållen en mobiltelefon och 90 procent av hushållen använder en dator eller pekplatta. Nästan alla under 44-åringar har tillgång till en smarttelefon. Av 45–65-åringarna har över 90 procent en smarttelefon och för 65–74-åringarna är motsvarande siffra 63 procent. Av 75–89-åringarna har bara 27 procent en smarttelefon. För att applikationen ska vara till nytta på befolkningsnivå måste den användas i tillräckligt täckande grad av befolkningen. Om målet är att 60 procent av befolkningen ska använda applikationen, innebär det att 3,3 miljoner personer ska ladda ner applikationen inom en kort tid.  

Användningen av applikationen ska grunda sig på eget beslutsfattande och egen aktivitet av användaren när applikationen används, och då ska man beakta personens möjlighet att använda applikationen självständigt eller med stöd samt att förstå applikationens betydelse bl.a. med tanke på dataskyddet. I samband med användningen av mobilapplikationen går det att särskilja å ena sidan nedladdning av applikationen från applikationsbutiken och användning av applikationen i telefonen och å andra sidan förmedling till hälso- och sjukvården av de uppgifter om eventuell exponering som fåtts via applikationen.  

Ibruktagandet av applikationen innebär att användarens personuppgifter kommer att behandlas, varvid bestämmelserna om dataskydd och olika persongruppers möjligheter att förstå hur de personuppgifter som gäller honom eller henne behandlas ska beaktas. Genom att sända en begäran om kontakt med hjälp av applikationen kan användaren lämna ut en eventuell uppgift om exponering som fåtts via informationssystemet till en verksamhetsenhet inom hälso- och sjukvården, om han eller hon beslutar att göra detta. Vid behandlingen av uppgifter om exponering inom hälso- och sjukvården tillämpas patientlagen. 

Vilken nytta människor upplever att de får av att använda applikationen samt hur väl människor känner till den behandling av personuppgifter som hänger samman med applikationen inverkar på i hur omfattande utsträckning applikationen tas i bruk. Detta kan i väsentlig grad påverkas genom information om applikationens funktion riktad till befolkningen. I samband med förverkligandet av det föreslagna informationssystemet är det möjligt att genom kommunikativa metoder stödja omfattningen av ibruktagandet av applikationen och på så sätt effektivisera de fördelar som eftersträvas med propositionen.  

Grundlagsutskottet har vid bedömningen av den lagstiftning som utfärdats med stöd av befogenheterna enligt beredskapslagen särskilt betonat betydelsen av konventionen om barnets rättigheter och konventionen om rättigheter för personer med funktionsnedsättning samt av Europeiska sociala stadgan när det gäller äldre personers rättigheter. Dessutom har utskottet framhållit att de diskrimineringsförbud som ingår i grundlagen och i internationella människorättskonventioner ska beaktas vid tillämpningen av lagstiftningen (GrUB 4/2020 rd och GrUB 15/2020 rd). Dessa omständigheter har betydelse också med tanke på denna proposition. Därför kommer konsekvenserna för dessa grupper av personer att bedömas separat nedan. 

Bedömning av konsekvenser för barn

I Finland har många barn en smarttelefon och det ska vara möjligt att ladda ner mobilapplikationen från applikationsbutiken utan någon särskild åldersgräns, varvid åldersgränsen i huvudsak bestäms i enlighet med den åldersgräns som uppställts av applikationsbutiken. I samband med nedladdningen av applikationen ska det finnas information om för hur gamla barn applikationen lämpar sig. När mobilapplikationen tas i bruk är det inte fråga om tillhandahållande av informationssamhällets tjänster enligt artikel 8 i den allmänna dataskyddsförordningen, och därför tillämpas inte den åldersgräns på 13 år som fastställts nationellt med stöd av förordningen. Således bestäms samtycket till behandling av personuppgifter för en minderårig person i enlighet med övrig nationell lagstiftning: när det är fråga om ett ärende som gäller en minderårig person utövas beslutanderätten av hans eller hennes vårdnadshavare (4 och 5 § i lagen angående vårdnad om barn och umgängesrätt, 361/1983). 

Likaledes är det i samband med nedladdningen av applikationen viktigt att beakta barnets möjlighet att förstå hur hans eller hennes personuppgifter behandlas i samband med användningen av applikationen. Barnet har rätt till privatliv och kan inte nödvändigtvis bedöma hur hans eller hennes uppgifter behandlas i samband med användningen av applikationen och därefter. All information och kommunikation som avser behandling av uppgifter och som är riktad till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. 

Patientlagen tillämpas om ett barn som använder applikationen eller hans eller hennes förälder beslutar att meddela hälso- och sjukvården om de uppgifter om eventuell exponering som fåtts via applikationen. Det finns ingen fastställd åldersgräns i patientlagen, utan den minderårigas självbestämmanderätt är bunden till hans eller hennes ålder och utvecklingsnivå samt till den förmåga att fatta beslut om sin vård som följer av dessa. Vården av en minderårig patient ska enligt 7 § i patientlagen ske i samförstånd med patienten, om han eller hon med beaktande av ålder eller utveckling kan fatta beslut om vården. Om en minderårig patient inte kan fatta beslut om sin vård, ska han eller hon vårdas i samförstånd med sin vårdnadshavare eller någon annan laglig företrädare.  

Det bör däremot beaktas att alla barn inte har tillgång till en smarttelefon eller att barnets vårdnadshavare kan begränsa barnets möjligheter att ladda ner applikationer. Tillgängligheten tillgodoses således inte nödvändigtvis för alla barn och applikationen får inte ersätta andra spårningsåtgärder. Den aktör som spårar smittkedjorna tar även i framtiden kontakt med ett barn som eventuellt exponerats eller barnets föräldrar per telefon. Den läkare som ansvarar för att spåra smittkedjan bedömer enligt 7 § i patientlagen barnets förmåga att fatta beslut om sin vård. Läkaren kan under vården i enlighet med patientlagen besluta om huruvida barnet är kapabelt att själv fatta beslut om sin vård eller om barnets vårdnadshavare har beslutanderätt i ärendet. 

Utgångspunkten för förverkligandet av mobilapplikationen ska vara att förverkligandet av applikationen så fullt ut som möjligt tryggar barnets rätt till privatliv, delaktighet, tillgång till information och bästa möjliga hälsotillstånd. Informationssystemet förverkligas också med beaktande av barnens behov, så att det också erbjuder barnen en möjlighet att medverka till att stoppa spridningen av coronaviruset och en kanal för snabb information om eventuell exponering. Om informationssystemet förverkligas på detta sätt bidrar det således till att främja tillgodoseendet av barnets rättigheter i denna epidemisituation. 

Applikationen ska vara enkel att använda så att också barn ska ha möjlighet att dra nytta av applikationen. Vid nedladdningen av applikationen ska informationen om behandlingen av uppgifterna formuleras på ett ändamålsenligt sätt även på lättläst språk, med beaktande av olika åldersnivåer. Även barn har rätt att få information om epidemin. Den information som förmedlas via applikationen ska vara begriplig på ett sätt som motsvarar barnets ålder. Det är viktigt att också de anvisningar som fås via applikationen om hur man ska agera när man får exponeringsinformation utarbetas på ett tydligt sätt. Det centrala är att ge den minderåriga råd att agera på ett sätt som tryggar hans eller hennes intressen i samband med att han eller hon har fått eventuella exponeringsuppgifter via applikationen.  

Konsekvenser för ställningen för äldre personer och personer med funktionsnedsättning

I Finland har många äldre människor eller alla personer med funktionsnedsättning inte tillgång till en smarttelefon. Många har behov av stöd av en annan person när de använder en smarttelefon. Om applikationen förverkligas även med beaktande av behoven för äldre personer och personer med funktionsnedsättning, erbjuder den också dem möjlighet att medverka till att stoppa spridningen av coronaviruset och en kanal för snabb information om eventuell exponering.  

Enligt det som konstateras ovan tar i praktiken den aktör som spårar smittkedjorna fortfarande kontakt med en person som har exponerats eller dennes lagliga företrädare per telefon, och mobilapplikationen ersätter inte denna kontakt. Den läkare som ansvarar för spårningen av smittkedjan bedömer personens förmåga att fatta beslut om sin vård i enlighet med 6 § 2 och 3 mom. i patientlagen samt eventuellt behovet av att personens lagliga företrädare medverkar i beslutsfattandet. Läkaren kan senare under vården i enlighet med patientlagen fatta beslut om huruvida personen är kapabel att själv fatta beslut om sin vård. 

En del äldre personer och en del personer med funktionsnedsättning kan ha betydande svårigheter att förstå betydelsen av att använda en applikation som baserar sig på eget beslutsfattande och egen aktivitet av användaren. Det kan vara svårt eller till med omöjligt för dem att tekniskt ta i bruk en smart enhet och i synnerhet en mobilapplikation. Dessa personer kan helt och hållet lämnas utanför möjligheten att använda applikationen. Vid bedömningen av vilka konsekvenser detta har för jämlikhet och skyddande av människors hälsa ska man beakta andra åtgärder som vidtagits under covid-19-epidemin och som hänför sig till personer över 70 år och andra som hör till s.k. riskgrupper. De anvisningar, enligt vilka man ska undvika närkontakter med andra människor och stanna hemma samt det förbud mot att besöka boendeenheter och vårdinrättningar, har i betydande grad kunnat bidra till att de som hör till nämnda grupper har undgått att bli smittade.  

När applikationen tas i bruk ska förpliktelserna i FN:s konvention om rättigheter för personer med funktionsnedsättning beaktas. De viktigaste i detta sammanhang är skyldigheten att involvera (artikel 4.3), kravet på skälig anpassning (artikel 2), design för alla (artikel 2) samt tillgänglighet (artikel 9). Även artikel 11 i konventionen, enligt vilken konventionsstaterna ska vidta alla åtgärder som är nödvändiga för att säkerställa skydd och säkerhet för personer med funktionsnedsättning som är i risksituationer, ska beaktas.  

Applikationen ska vara enkel att använda så att alla som använder applikationen ska ha möjlighet att dra nytta av applikationen. När applikationen laddas ner ska informationen om behandlingen av uppgifterna formuleras på ett lättläst språk, med beaktande av olika befolkningsgrupper. Det är viktigt att de anvisningar som fås via applikationen om hur man ska agera när man får exponeringsinformation utarbetas på ett tydligt sätt och på ett tillgängligt sätt med hjälp av olika kommunikationssätt. När det gäller kommunikationen men också annars måste det ses till att de personer som använder hjälpmedel har möjlighet att använda applikationen och få information om den.  

Med stöd av övergångsbestämmelsen i 17 § 2 mom. i lagen om tillhandahållande av digitala tjänster (306/2019) tillämpas tillgänglighetskraven på mobilapplikationer från och med den 23 juni 2021. Med beaktande av betydelsen av den mobilapplikation som ska utvecklas, ska tillgänglighetskraven beaktas i mobilapplikationen innan den tas i bruk. I detta sammanhang bör det beaktas att tillgänglighetskraven kan bli tvingande på basis av de rimliga anpassningar som avses i 15 § i diskrimineringslagen (1325/2014), om en person med funktionsnedsättning begär det. 

I samband med ibruktagandet av mobilapplikationen är det viktigt att kommunicera om den på ett så förståeligt sätt att varje befolkningsgrupps rätt till information tillgodoses på ett förståeligt sätt. Ibruktagandet av applikationen kan också orsaka oro och ångest å ena sidan när risken för smitta konkretiseras när applikationen används eller å andra sidan i situationer där en person inte kan använda applikationen, även om han eller hon vill det. Denna oro kan undanröjas med hjälp av den information som ges om applikationen. Det är viktigt att informera om att mobilapplikationen som sådan inte ersätter traditionellt spårningsarbete.  

En heltäckande och effektiv användning av mobilapplikationen kan för sin del effektivisera brytandet och spårningen av smittkedjorna och på så sätt för sin del påverka hurdana restriktioner som behöver upprätthållas för att särskilt skydda personer som hör till riskgrupper. En omfattande användning av mobilapplikationen kan för sin del göra det möjligt att avveckla de restriktioner som gäller riskgrupper. Således kan användningen av en mobilapplikation i samhället indirekt förbättra handlingsfriheten för personer som hör till riskgrupper och därmed tillgodoseendet av självbestämmanderätten, och därigenom kan också riskgruppernas grundläggande rättighet att upprätthålla liv och hälsa tryggas. 

Konsekvenser i fråga om dataskydd

I samband med det föreslagna informationssystemet behandlas personuppgifter och det har konsekvenser för skyddet av personuppgifter.  

Sådana behandlingssituationer som förekommer i samband med det myndighetsbaserade informationssystemet, som föreslås och beskrivs ovan och som syftar till att bryta smittkedjorna och spåra upp dem som eventuellt har exponerats för smitta, har inte tidigare varit aktuella i Finland. Med beaktande av den nya typen av behandling, behandlingens art, den eftersträvade omfattningen, sammanhanget och ändamålen samt den typ av uppgifter som ska behandlas (särskilt hälsouppgifter), kan det bedömas att behandlingen i anknytning till ett sådant informationssystem som det föreslagna i princip kan medföra risker för fysiska personers rättigheter och friheter. I princip är det möjligt att användaren kan identifieras, varvid det är möjligt att känsliga uppgifter om användaren avslöjas. Andra slag av personuppgiftsincidenter är möjliga. Risken kan vara att personuppgifterna senare används för ändamål som den registrerade personen inte har förutsett.  

På grund av riskerna ska det ingripas i dem i propositionen genom flera åtgärder. Riskerna i fråga om skyddet av personuppgifter reduceras väsentligt med hjälp av frivillig användning och åtgärder som främjar användarens kunskapsmässiga självbestämmanderätt. Ingen tvingas ta i bruk mobilapplikationen, utan användningen av den baserar sig på frivillighet. En person kan när som helst ta applikationen ur bruk. Det föreslås också att anmälan av egna kontaktuppgifter till aktörerna inom hälso- och sjukvården sker på frivillig basis, och då kan personen själv fatta beslut om saken.  

Riskerna i samband med ytterligare behandling minskas effektivt genom att det i lagen exakt föreskrivs om vad personuppgifterna får användas till och att uppgifterna inte får användas för andra ändamål. De personuppgifter som behandlas ska inte lagras centraliserat i myndighetens register, utan största delen av de uppgifter som behandlas ska sparas decentraliserat i användarnas enheter. Typen av personuppgifter som behandlas ska begränsas till endast de uppgifter som behövs och de ska specificeras på lagstiftningsnivå. Den maximala lagringstiden för personuppgifter ska i standardfall vara mycket kort (21 dygn). 

När mobilapplikationen tas i bruk ska inga direkta identifieringsuppgifter samlas in eller registreras om användaren. Varje användare ska få en unik pseudonym identifierare som ändras regelbundet. Såsom konstateras ovan betraktas också pseudonyma identifierare som personuppgifter. Riskerna i fråga om dataskyddet minskas dock avsevärt genom att man i stället för direkta identifieringsuppgifter effektivt behandlar pseudonyma uppgifter, alltså s.k. pseudonyma identifierare, som förändras tillräckligt ofta. Utgångspunkten är att det på basis av dem är mycket svårt att identifiera användaren. Det är inte möjligt att identifiera någon enbart med hjälp av den pseudonyma identifieraren, utan identifiering förutsätter i princip överskottsinformation.  

Det ska sörjas för informationssäkerheten i informationssystemet på det sätt som lagstiftningen förutsätter. Riskerna i anslutning till informationssäkerheten, såsom personuppgiftsincidenter, minskas genom att alla personuppgifter inte lagras i det centraliserade systemet. Dessutom föreslås det att det särskilt föreskrivs att informationssäkerheten i informationssystemet ska bedömas innan systemet tas i bruk i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), och att uppfyllandet av kraven på informationssäkerhet inte bara ska övervakas genom allmän tillsyn utan också av Tillstånds- och tillsynsverket för social- och hälsovården.  

Behandlingsåtgärder kan anses vara behövliga i det rådande epidemiläget. I samhället är en kontrollerad övergång från omfattande restriktioner till allt mer riktade åtgärder behövlig. Informationssystemet kan bidra till att möjliggöra denna övergång. Enligt bedömningar är informationssystemet som en del av en mer omfattande strategi ett nyttigt verktyg för att bryta smittkedjorna, vilket har positiva effekter med tanke på hälsoskyddet. På det sätt som det beskrivs ovan ska personuppgifter behandlas endast i nödvändig omfattning i enlighet med principen om uppgiftsminimering. Användningen av mobilapplikationer ska grunda sig på frivillighet. Således kan behandlingen också anses stå i rätt proportion till dess syfte på det sätt som dataskyddslagstiftningen förutsätter. 

Dessutom bör det noteras att den allmänna dataskyddslagstiftningen i sig ställer många krav på den personuppgiftsansvarige och personuppgiftsbiträdet i anslutning till behandlingen av personuppgifter. I den allmänna dataskyddsförordningen föreskrivs det dessutom om den registrerades rättigheter, såsom rätten att få uppgifter om behandlingen av sina personuppgifter, rätten att kontrollera uppgifter om sig själv samt rätten att radera uppgifter om sig själv. De krav i den allmänna dataskyddsförordningen som gäller behandling av personuppgifter ska beaktas i utvecklingen av systemet och i systemets funktion. Den personuppgiftsansvarige ska bland annat beakta kraven som gäller inbyggt dataskydd och dataskydd som standard på det sätt som föreskrivs i den allmänna dataskyddsförordningen. Det är skäl att också fästa uppmärksamhet t.ex. vid att informationen om behandlingen av personuppgifter är tydlig och begriplig.  

I artikel 35 i den allmänna dataskyddsförordningen finns det bestämmelser om en skyldighet att genomföra en konsekvensbedömning avseende dataskydd, om en viss typ av behandling – i synnerhet sådan där ny teknik används – med beaktande av dess art, omfattning, sammanhang och ändamål sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Såsom det beskrivs ovan kan den föreslagna applikationen vara förknippad med sådana risker. Även Europeiska dataskyddsstyrelsen (EDPB) har i sina riktlinjer av den 21 april 2020 ansett att en konsekvensbedömning avseende dataskydd måste genomföras innan mobilapplikationer som syftar till att spåra och bryta smittkedjorna införs. Således ska den personuppgiftsansvarige innan behandlingen genomföra en noggrannare bedömning av vilka konsekvenser den planerade behandlingen har med tanke på skyddet av personuppgifter i enlighet med kraven i den allmänna dataskyddsförordningen. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

Det är möjligt att applikationer eller andra lösningar med syftet att följa smitta kommer ut på marknaden. Sådana lösningar stöds dock inte av myndighetsverksamhet och har således inte heller kontakt med hälso- och sjukvården. I sådana lösningar är det t.ex. inte möjligt att i samtliga fall på ett tillförlitligt sätt utnyttja den fastställda information om smitta som myndigheten producerar. Lösningarna är således förknippade med möjligheter till missbruk t.ex. så att en person meddelar om smitta trots att det inte finns någon smitta. Eventuella andra lösningar stöder därmed inte nödvändigtvis hälso- och sjukvårdens verksamhet, utan kan leda till onödigt arbete och oro hos de människor som använder dem. Europeiska kommissionen har i sin rekommendation som gäller detta också påpekat att införandet av applikationer absolut måste ske i nära samarbete med hälsovårdsmyndigheterna.  

Ett alternativ till den lösning som baserar sig på den föreslagna decentraliserade modellen är en centraliserad modell. Den skiljer sig från den decentraliserade modellen på så sätt att de smittade personernas kontaktuppgifter överförs från deras telefoner till en bakgrundsserver där exponering kan upptäckas. Detta ökar avsevärt informationsmängden i det bakomliggande systemet och har således en större inverkan på skyddet för privatlivet och personuppgifter för en person. I många länder som infört den centraliserade modellen innebär detta också att personens verkliga identitet registreras i det bakomliggande systemet, vilket innebär en större risk med tanke på skyddet för privatlivet och personuppgifter. Därför har många länder övergått från planering av en centraliserad modell till planering av en decentraliserad modell. I remissvaren om färdplanen ansåg flera respondenter att en decentraliserad modell är klart bättre än en centraliserad modell. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

Internationellt har man identifierat behovet av att använda mobilapplikationer vid hanteringen av covid-19-pandemin. En användning av olika mobilapplikationer kan stödja de funktionella behov som eftersträvas, såsom spårning av exponerade och brytande av smittkedjor, självbedömning av symtom och tillgång till tillförlitlig hälsoinformation, anmälan om smitta till en person för frivilliga restriktioner och andra åtgärder, möjlighet att i myndighetsverksamhet införa ändamålsenliga restriktioner och bedöma konsekvenserna av vidtagna åtgärder, meddela fastställd information om immunitetsskyddet samt utbyta myndighetsinformation och skapa en lägesbild inklusive krav på gränsöverskridande informationsutbyte. Olika länder har närmat sig behovet av att använda mobilapplikationer med varierande tillvägagångssätt.  

Endast i ett fåtal länder har det utfärdats lagstiftning som stöder användning av sådan teknik som utnyttjar mobilapplikationer. Bland annat i Norge har det med stöd av en ändring av lagen om smittsamma sjukdomar utfärdats en förordning som reglerar användningen av en applikation, de uppgifter som samlas in via applikationen och lagringen av dem samt slår fast att det norska folkhälsoinstitutet (Folkehelseinstituttet) är ansvarig myndighet. Förordningen är i kraft till och med den 1 december 2020. Norges hälso- och omsorgsdepartement (Helse- og omsorgsdepartementet) kan förlänga föreskriftens giltighetstid (med beaktande av begränsningarna i lagen om smittsamma sjukdomar). Bland EU-länderna har bl.a. Bulgarien, Kroatien, Slovakien och Slovenien har antagit lagstiftning som stöder en kartläggning av exponerade på basis av lokalisering av personer. Bland länderna utanför EU har bl.a. Sydkorea efter MERS-epidemin 2015 gjort en lagändring som gäller övervakning av medborgarnas rörelser i samband med bekämpningen av en epidemi. Dessutom har det utfärdats annan förpliktande lagstiftning för telefonoperatörer. Även i andra länder utanför EU, såsom Chile, utreds behoven av att ändra lagstiftningen.  

Den 8 april 2020 antog kommissionen en rekommendation om en unionsgemensam verktygslåda för användning av mobilapplikationer och anonymiserade rörlighetsdata för att bekämpa och komma ut ur covid-19-krisen. Kommissionens rekommendation beskriver den unionsgemensamma verktygslådan (verktygslåda, toolbox Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States) för utnyttjande av teknik och data under covid-19-krisen och för att komma ut ur den, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata. Finlands ståndpunkt i fråga om rekommendationen har framförts i statsrådets utredning E 44/2020 rd av den 24 april 2020. På grundval av rekommendationen utarbetade kommissionen och medlemsstaterna en gemensam verktygslåda med gemensamt överenskomna praktiska anvisningar för medlemsstaterna när de utvecklar och tar i bruk mobilapplikationer till stöd för spårning av smittkedjor. Den första versionen av verktygslådan publicerades den 15 april 2020 och den vidareutvecklas utifrån de erfarenheter som fåtts. Verktygslådan har kompletterats särskilt i fråga om definitionerna av gränsöverskridande interoperabilitet (IOP).  

Dessutom publicerade kommissionen den 16 april 2020 ett meddelande som gällde vägledning om appar till stöd för kampen mot covid-19-pandemin med avseende på dataskydd (C(2020) 2523 final), och i samband med beredningen av vägledningen hördes EDPB. EDPB har gett sina egna anvisningar om dataskyddsaspekter i anslutning till applikationer den 21 april 2020. Rekommendationerna och anvisningarna på EU-nivå samt kommissionens och medlemsstaternas gemensamma verktygslåda (toolbox) har beaktats i beredningen av den nationella lagstiftningen och i utvecklingen av applikationen. Finland anser att det arbete som görs inom ramen för EU för att främja interoperabiliteten mellan olika mobilapplikationer är viktigt och följer aktivt med och deltar i arbetet. När de tekniska och juridiska detaljerna i fråga om interoperabiliteten har preciserats kan det i fortsättningen separat bedömas under vilka förutsättningar Institutet för hälsa och välfärd, när en person särskilt fattar beslut om detta, trots sekretessbestämmelserna eventuellt kan lämna ut uppgifter som lagrats i informationssystemet till de myndigheter som ansvarar för de bakomliggande systemen i anslutning till medlemsstaternas mobilapplikationer. I fortsättningen förutsätter detta dock eventuell separat lagberedning och en konsekvensbedömning i anslutning till den. 

Medlemsstaterna kommer på grundval av rekommendationen att rapportera till kommissionen om de åtgärder som vidtagits för inbördes utvärdering. I juni 2020 inleder kommissionen en utvärdering av hur medlemsländerna har framskridit i frågan och vilken effekt rekommendationen har haft. Kommissionen kan utfärda ytterligare rekommendationer till medlemsstaterna.  

Enligt kommissionens rekommendation bör de grundläggande fri- och rättigheterna, särskilt integritetsskyddet och dataskyddet samt förebyggandet av övervakning och stigmatisering, stå i centrum för hela verksamhetsmodellen. Applikationerna bör därför bygga på frivillighet, vara godkända av de nationella hälsovårdsmyndigheterna, respektera den personliga integriteten och personuppgifterna bör vara sekretessbelagda på ett säkert sätt. Applikationerna bör tas ur bruk och uppgifterna i dem bör utplånas omedelbart när de inte längre behövs. Även i flera av de europeiska tillvägagångssätten har man inom ramen för utvecklingsarbetet beaktat kontaktspårningsapplikationen TraceTogether från Singapore, där en person ger sitt samtycke till att uppgifter om närkontakter delas med hälsovårdsmyndigheten via applikationen. Sedan de inledande skedena av utvecklingsarbetet i Finland har man särskilt granskat de fördelar och de eventuella nackdelar med ett centraliserat och decentraliserat tillvägagångssätt som lyfts fram i den internationella diskussionen. Inom ramen för denna granskning har man för att fastställa Finlands lösning i realtid bekantat sig med lösningar som utvecklats i EU- och EES-länder, såsom utvecklingsarbetet i Norge, Frankrike, Tyskland, Schweiz, Danmark och Estland. De kontaktspårningsapplikationer som har tagits i bruk på Island och i Norge är exempel på metoder med en stark koppling till hälsovårdsmyndigheterna. I Norge har lagstiftningen om smittsamma sjukdomar ändrats och en ny förordning har utfärdats i samband med införandet av kontaktspårningsapplikationen. Av de övriga nordiska länderna har Sverige ännu inte börjat utveckla sin egen mobilapplikation. 

Remissvar

Utkastet till regeringens proposition publicerades i den elektroniska utlåtandetjänsten den 26 maj 2020. Dessutom sändes begäran om utlåtande till flera mottagare. Svarstiden gick ut den 1 juni 2020. Tiden för hörandet var kort på grund av de rådande undantagsförhållandena och ärendets brådskande natur. Sammanlagt inkom 52 utlåtanden. Remissinstanserna var aktörer inom social- och hälsovården, statliga myndigheter, kommuner och andra aktörer, såsom olika förbund och organisationer. I begäran om utlåtande begärdes utlåtanden av olika aktörer om målen och konsekvenserna med propositionen och dessutom specificerade ändringsförslag till paragraferna. Man önskade ytterligare att få remissinstansernas helhetssyn på propositionen.  

I huvudsak förhöll man sig positivt till propositionen, men en del av frågorna delade dem som lämnade utlåtande. En majoritet av dem som lämnade utlåtande såg informationssystemet som en möjlighet att effektivisera spårningen och brytandet av coronavirusepidemins smittkedjor. Remissinstanserna identifierade olika osäkerhetsfaktorer som gjorde det svårt att bedöma konsekvenserna av informationssystemet eller dess funktion. Remissinstanserna önskade i synnerhet en precisering av rollfördelningen mellan de olika aktörerna inom informationssystemet. Det ansågs viktigt att informationssystemet integreras på ett framgångsrikt sätt med den spårningsverksamhet som finns sedan tidigare. Flera remissinstanser fäste uppmärksamhet vid hur de uppgifter om exponering som en person får via mobilapplikationen förhåller sig till möjligheten att fatta beslut om karantän i enlighet med 60 § i lagen om smittsamma sjukdomar. Propositionen har preciserats i detta hänseende. Remissinstanserna lämnade enskilda förslag till ändringar av paragrafer som gällde t.ex. ett förtydligande av de ansvariga aktörernas uppgifter samt säkerställandet av integritetsskyddet och dataskyddet. I propositionen har man i mycket stor utsträckning beaktat remissinstansernas förslag till preciseringar samt på basis av utlåtandena justerat motiveringarna och konsekvensbedömningarna i propositionen.  

Beredningsunderlaget till regeringens proposition och de utlåtanden som har lämnats in samt ett sammandrag av utlåtandena finns i den offentliga tjänsten på adressen

Specialmotivering

4 a kap. Ett informationssystem för att effektivare bryta smittkedjor för covid-19 och spåra upp personer som eventuellt exponerats för coronavirus  

43 a §.Institutet för hälsa och välfärds uppgifter i samband med verkställandet av informationssystemet  

I 1 mom. föreskrivs det om Institutet för hälsa och välfärds uppgifter. Institutet för hälsa och välfärd ges enligt förslaget den nya uppgiften att tillhandahålla ett informationssystem för att effektivisera brytandet av smittkedjorna för covid-19 genom uppspårning av personer som eventuellt har exponerats för coronavirus. Informationssystemet ska bestå av en mobilapplikation och ett bakomliggande system till den. Institutet för hälsa och välfärd ska ha som uppgift att tillhandahålla, godkänna och förvalta informationssystemet. Meningen är att Institutet för hälsa och välfärd ska tillhandahålla mobilapplikationen avgiftsfritt och att det ska vara frivilligt att ta den i bruk och att använda den. Ingen är skyldig att ta applikationen i bruk. En person som tagit mobilapplikationen i bruk kan när som helst sluta använda den. Det är upp till användaren själv att besluta om han eller hon vill ha bluetooth-förbindelsen påslagen, meddela via applikationen att han eller hon är smittad eller begära att en verksamhetsenhet för hälso- och sjukvård tar kontakt. 

I 2 mom. föreskrivs det att Institutet för hälsa och välfärd ska vara personuppgiftsansvarig i fråga om behandlingen av personuppgifter i samband med informationssystemet. Som personuppgiftsansvarig ska Institutet för hälsa och välfärd se till att de krav uppfylls som i den allmänna dataskyddsförordningen ställs på personuppgiftsansvariga, exempelvis att informera de registrerade på lämpligt sätt. Det viktiga är att den berörda personen får heltäckande, begriplig och lättillgänglig information om hur mobilapplikationen fungerar och hur personuppgifterna i det sammanhanget behandlas. Informationen till barn och andra grupper med särskilda behov måste särskilt uppmärksammas.  

I 3 mom. föreskrivs det att Institutet för hälsa och välfärd svarar för informationssystemets funktion och för godkännandet av dess informationssäkerhet och kan ställa närmare krav i fråga om systemets funktion och informationssäkerhet. De närmare krav på informationssäkerhet som anges i fråga om bedömning av och godkännande av systemets informationssäkerhet i lagen om bedömning av myndigheternas informationssystem och datakommunikation (1406/2011) kompletteras av den personuppgiftsansvariges skyldighet att vidta adekvata dataskyddsåtgärder enligt dataskyddsförordningen. Teknisk och administrativ bedömning av informationssäkerheten har allmänt taget ansetts vara en bra metod för riskhantering i fråga om informationssystem. Bedömningen stöder den riskbedömning som systemets ägare gör om informationssäkerheten i systemet. Bedömningen av informationssäkerheten fungerar som en extra skyddsåtgärd i enlighet med den allmänna dataskyddsförordningen, och bestämmelser om detta ingår i 43 g §.  

Det föreskrivs i 4 mom. att Institutet för hälsa och välfärd ska ha till uppgift att se till att informationssystemet används bara så länge som det behövs för att bryta smittkedjor för sjukdomen covid-19. När användningen av informationssystemet avslutas ska Institutet för hälsa och välfärd se till att personuppgifterna raderas och att applikationerna tas bort hos applikationsbutikerna.  

43 b §. Folkpensionsanstaltens uppgifter i samband med förvaltningen av det bakomliggande systemet 

I paragrafen föreskrivs det om Folkpensionsanstaltens uppgifter. Folkpensionsanstalten ska för Institutet för hälsa och välfärds räkning svara för förvaltningen av det bakomliggande systemet på det sätt som Institutet för hälsa och välfärd bestämmer. Folkpensionsanstalten fungerar enligt förslaget som personuppgiftsbiträde.  

43 c §.Behandlingen av personuppgifter i samband med användningen av informationssystemet 

I denna paragraf föreskrivs det om behandlingen av personuppgifter i samband med användningen av informationssystemet.  

I 1 mom. föreskrivs det om vad personuppgifterna får användas till. Enligt den föreslagna bestämmelsen får personuppgifter vid användningen av informationssystemet behandlas på det sätt som föreskrivs i bestämmelsen för att bryta smittkedjor för sjukdomen covid-19 och för att spåra upp och informera personer som använder applikationen och eventuellt har exponerats för smitta. Dessutom får personuppgifter behandlas för sådana statistiska ändamål som behövs för att följa hur covid-19-epidemin fortskrider och för att bedöma informationssystemets funktionalitet. Att få statistik över t.ex. antalet användare och antalet användare som begärt kontakt är nödvändigt för att kunna bedöma informationssystemets funktionalitet. Genom att föra statistik får man information om t.ex. i vilken kommun det finns exponerade som har begärt kontakt och därigenom information om den aktuella epidemisituationen och hur den utvecklas. Det bör i fråga om statistikföringen noteras att resultatet av behandlingen för statistiska ändamål inte är personuppgifter utan aggregerade data där enskilda personer inte längre går att identifiera. Anonymiserade statistiska uppgifter kan därmed utnyttjas för t.ex. vetenskaplig forskning.  

Enligt momentet får personuppgifterna endast användas för de ändamål som anges i det föreslagna kapitlet. Följaktligen begränsas användningen till endast de ändamål som nämns i bestämmelsen, och personuppgifterna får inte heller senare användas för andra ändamål som är förenliga med själva användningssyftet. Personuppgifter som samlats in med hjälp av informationssystemet får alltså inte användas eller utlämnas exempelvis för vetenskaplig forskning, kommersiella ändamål eller brottsbekämpning. För tydlighetens skull innehåller momentet ett uttryckligt förbud mot att använda uppgifterna för de ändamål som nämns ovan. Uppgifterna kan således inte vara föremål för t.ex. rätten att få information enligt 4 kap. 2 § i polislagen (872/2011).  

I 2 mom. föreslås bestämmelser om de personuppgifter som får behandlas i informationssystemet. I samband med informationssystemet behandlas enligt 1 punkten uppgifter om användarnas pseudonyma identifierare. När applikationen tas i bruk ska användaren inte förse den med sina direkta identifieringsuppgifter, utan varje användare tilldelas en slumpmässig pseudonym identifierare. Dessa pseudonyma identifierare kan bytas ut till exempel efter en viss tid.  

I 2 punkten föreskrivs att det i samband med informationssystemet också behandlas uppgifter om pseudonyma identifierare för de andra användare som användaren har träffat, de så kallade kontakterna. I samband med informationssystemet behandlas uppgifter om pseudonyma identifierare för sådana andra användare som användaren träffar och med hjälp av vilka det kan utredas vilka användare som eventuellt har exponerats för smitta. Enligt denna punkt får från möten mellan människor behandlas i sammanhanget behövliga uppgifter om mötenas varaktighet och tidpunkten för dem samt styrkan hos den mobila enhetens bluetooth-signal vid mötena. Utifrån dessa uppgifter kan man bedöma om det har skett exponering. På lagnivå fastställs dock inte exempelvis hur lång tid det krävs för exponering. På det sättet kan man utifrån vid respektive tidpunkt bästa tillgängliga faktabas bestämma vilken typ av kontakt som krävs för att man ska få en smitta som orsakar coronavirusinfektion. Information om exponeringens varaktighet, tidpunkt eller bluetooth-signalens intensitet lämnas dock inte till den användare som fått ett meddelande om exponering. 

Enligt 3 punkten får uppgifter om pseudonyma identifierare behandlas i informationssystemet för sådana användare som via applikationen anmält sig vara smittade. Eftersom denna uppgift i praktiken avslöjar att personen i fråga har konstaterats bära på coronavirussmitta, är det fråga om en hälsouppgift som betraktas som en uppgift som hör till särskilda kategorier av personuppgifter. Det är således nödvändigt att se till att det i lagstiftningen föreskrivs om lämpliga skyddsåtgärder på det sätt som förutsätts i artikel 9.2 i) i den allmänna dataskyddsförordningen. En skyddsåtgärd är att behandlingen av uppgifterna sker utifrån den registrerades egen frivilliga anmälan. Som skyddsåtgärder kan dessutom betraktas den särskilda bedömning av informationssäkerheten hos systemet som föreslås i denna proposition samt den tillsynsuppgift avseende applikationens informationssäkerhet som förslås för Tillstånds- och tillsynsverket för social- och hälsovården.  

Enligt 4 punkten får uppgifter om eventuell exponering behandlas i samband med informationssystemet. Med uppgift om eventuell exponering avses den information en applikationsanvändare får om eventuell exponering för smitta. En förutsättning för att uppgiften ska skickas är att en smittad applikationsanvändare i applikationen anmäler att han eller hon konstaterats vara smittad. Även uppgifter om eventuell exponering kan betraktas som hälsouppgifter. Som sådana skyddsåtgärder som avses i den allmänna dataskyddsförordningen omfattas dessa uppgifter av de åtgärder som beskrivs med avseende på uppgifter enligt 3 punkten.  

Enligt 5 punkten får i samband med informationssystemet dessutom sådan nödvändig information behandlas som användaren har uppgett vid begäran om kontakt. Sådana nödvändiga personuppgifter är namn, telefonnummer, hemkommun och de symtom personen uppgett. Vid behov kan dessutom personens tillfälliga boningsort uppges. Uppgiften behövs i sådana fall då personen inte vistas i sin officiella hemkommun. Det är frivilligt att lämna ut och att meddela uppgifter. De uppgifter som avses i punkten ska betraktas som hälsouppgifter, eftersom det att personen kontaktas innebär att uppgifter som gäller personens eventuella symtom och därmed hälsotillstånd avslöjats. Kontaktandet innebär dessutom kännedom om eventuell exponering för coronavirussmitta, som också bör betraktas som hälsoinformation med beaktande av syftet med behandlingen. Uppgifterna omfattas av ovan beskrivna skyddsåtgärder enligt allmänna dataskyddsförordningen. En skyddsåtgärd utöver dessa är den tystnadsplikt enligt 13 § 2 mom. i patientlagen som gäller personer som arbetar inom hälso- och sjukvården. I artikel 9.2 i) i allmänna dataskyddsförordningen nämns uttryckligen tystnadsplikt i fråga om skyddsåtgärder. 

I 3 mom. föreskrivs att de uppgifter som räknas upp i de föreslagna bestämmelserna i 2 mom. 1, 2 och 4 punkten får sparas i användarens mobila enhet i enlighet med den decentraliserade lösningen för informationssystemet. De uppgifter som räknas upp i 2 mom. 3 och 5 punkten får dock registreras i det bakomliggande systemet. Detta är nödvändigt med tanke på själva konceptet för informationssystemet. Dessa uppgifter bör registreras i det bakomliggande systemet så att andra användares applikationer kan kontrollera om det har förekommit kontakter som exponerar för smitta. I detta moment föreskrivs det uttryckligen att de uppgifter som anges i 2 mom. 3 punkten får användas för att spåra upp användare som har exponerats för smitta, och de uppgifter som nämns i 2 mom. 5 punkten registreras för utlämnande till en verksamhetsenhet för hälso- och sjukvård i en kommun eller i en samkommun för ett sjukvårdsdistrikt eller myndigheten Ålands hälso- och sjukvård på det sätt som anges i den föreslagna 43 e §. Uppgifterna kan dessutom utnyttjas för anonymiserade statistiska uppgifter i enlighet med 1 mom. Personuppgifter som sparas i det bakomliggande systemet får alltså inte användas för andra ändamål.  

I 4 mom. ingår bestämmelser om förvaringstiden för personuppgifter. De uppgifter som avses i 2 mom. 1–5 punkten ska enligt den föreslagna bestämmelsen raderas och förstöras inom 21 dagar från det att de har registrerats. Den föreslagna maximitiden för bevarande av uppgifterna grundar sig på den epidemiologiska kunskap som finns om inkubationstiden för coronaviruset, som är 14 dygn, och på det faktum att det är nödvändigt att utöver denna maximitid bevara uppgifterna ytterligare sju dagar för att användaren av mobilapplikationen ska ha tillräckligt med tid på sig att låta testa sig och reagera på informationen om att han eller hon är smittad. Uppgifterna ska dock raderas och förstöras tidigare, om behandlingen av dem inte längre är nödvändig. Uppgifterna ska dock i varje fall raderas och förstöras senast när informationssystemet i enlighet med 43 a § 4 mom. tas ur bruk. Enligt 21 § 2 mom. i lagen om informationshantering inom den offentliga förvaltningen (906/2019) ska informationsmaterialen förstöras på ett informationssäkert sätt. Bestämmelser om närmare behandling och radering av de uppgifter som avses i föreslagna 2 mom. 5 punkten från de temporära registren i verksamhetsenheter inom hälso- och sjukvården i en kommun eller i en samkommun i ett sjukvårdsdistrikt finns i den föreslagna 43 e §. 

43 d §.Undantag från meddelandeskyldigheten enligt 22 § 

Enligt den föreslagna bestämmelsen ska den som använder mobilapplikationen inte på det sätt som avses i 22 § i lagen om smittsamma sjukdomar vara skyldig att meddela en läkare uppgifter som samlats in med hjälp av informationssystemet. Syftet med bestämmelsen är att förtydliga förhållande mellan meddelandeskyldigheten och den frivilliga användningen av mobilapplikationen. Den skyldighet enligt 22 § i lagen om smittsamma sjukdomar som en person som insjuknat eller misstänks ha insjuknat har att meddela den läkare som utreder saken för förhindrande av att sjukdomen sprider sig ska inte gälla uppgifter som inkommit med hjälp av det föreslagna informationssystemet. Meddelandet av sådana uppgifter, liksom den övriga användningen av mobilapplikationen, ska vara frivillig och grunda sig på varje användares eget beslut att använda applikationen och lämna uppgifter om exponering som inkommit med hjälp av den om han eller hon så önskar till verksamhetsenheten för hälso- och sjukvård i kommunen eller i samkommunen för ett sjukvårdsdistrikt eller till myndigheten Ålands hälso- och sjukvård. 

43 e §.Behandlingen av sådana uppgifter om eventuell exponering som har erhållits med hjälp av informationssystemet  

I paragrafen föreskrivs det om behandlingen av sådana uppgifter om eventuell exponering som har erhållits med hjälp av det föreslagna informationssystemet och som användaren frivilligt har meddelat.  

Enligt bestämmelserna i 1 mom. har Institutet för hälsa och välfärd trots sekretessbestämmelserna rätt att till verksamhetsenheter för hälso- och sjukvård i kommuner och i samkommuner för sjukvårdsdistrikt eller Ålands hälso- och sjukvård lämna ut sådana uppgifter som avses i 43 c § 2 mom. 5 punkten som personen har meddelat via applikationen och som behövs för att en verksamhetsenhet ska kunna kontakta en person som exponerats för smitta för bedömning av hans eller hennes behov av vård eller av andra åtgärder som behövs för att bekämpa covid-19-epidemin, såsom t.ex. en eventuell karantän. I praktiken sker kontaktandet per telefon. Enligt 27 § 29 punkten i självstyrelselagen för Åland (1144/1991) har riket lagstiftningsbehörighet i fråga om smittsamma sjukdomar hos människor. Därför gäller lagen om smittsamma sjukdomar också på Åland. Ordnandet av hälso- och sjukvården på Åland hör dock med stöd av 18 § 12 punkten i självstyrelselagen till landskapets lagstiftningsbehörighet. På Åland har hälso- och sjukvårdsuppgifterna genom landskapslagen anförtrotts landskapsmyndigheterna och de åländska kommunerna har inga sådana uppgifter. För landskapets hälso- och sjukvård svarar Ålands hälso- och sjukvård. För att Institutet för hälsa och välfärd ska ha befogenheter som är angivna på lagnivå att lämna ut uppgifter som avses i den föreslagna bestämmelsen också till den verksamhetsenhet för hälso- och sjukvård som går under namnet Ålands hälso- och sjukvård, ska denna myndighet också nämnas i 1 mom. 

I 2 mom. föreskrivs om rätten att registrera dessa uppgifter. Enligt momentet får uppgifter om eventuell exponering för smitta som framgår av en begäran om kontakt införas i ett temporärt register som inrättats av en verksamhetsenhet för hälso- och sjukvård i en kommun eller i en samkommun för ett sjukvårdsdistrikt och användas när exponerade kontaktas i enlighet med 1 mom. I det temporära registret införs inte några andra personuppgifter. Det föreskrivs också i momentet att uppgifterna utan dröjsmål ska raderas ur ett sådant register och förstöras så snart de inte längre är nödvändiga för ändamålet. I regel behöver uppgifterna i registret inte längre bevaras i det skede då verksamhetsenheten för hälso- och sjukvård i kommunen eller i samkommunen för sjukvårdsdistriktet har varit i kontakt med en exponerad person i enlighet med en begäran om kontakt. 

Det föreskrivs i 3 mom. att enbart den information som mobilapplikationen ger om eventuell exponering inte kan betraktas som sådan befogad misstanke för exponering för en allmänfarlig smittsam sjukdom som avses i 60 §. Det måste finnas någon annan fog för misstanke om exponering än den information om eventuell exponering som mobilapplikationen ger.  

43 f §.Styrningen av det bakomliggande systemets förvaltning 

Enligt 7 § i lagen om smittsamma sjukdomar ankommer den allmänna planeringen, styrningen och övervakningen av bekämpningen av smittsamma sjukdomar på social- och hälsovårdsministeriet. Ministeriet svarar för den rikstäckande beredskapen för störningar inom hälso- och sjukvården eller för hot om sådana, och för ledarskapet i dessa situationer. Bestämmelserna gäller förvaltningen av det bakomliggande systemet. Social- och hälsovårdsministeriet ska enligt bestämmelsen styra och ha uppsikt över Folkpensionsanstalten vid fullgörandet av det uppdrag som avses i 43 b §. Bestämmelser om Folkpensionsanstaltens ställning och övervakning ingår i lagen om Folkpensionsanstalten (731/2001). Enligt 1 § i lagen är Folkpensionsanstalten en självständig offentligrättslig inrättning och tillsynen över dess verksamhet hör till de fullmäktige som riksdagen valt. Enligt 68 § i grundlagen svarar varje ministerium inom sitt ansvarsområde för att förvaltningen fungerar som sig bör. Statsrådet kan således styra verkställigheten av lagstiftningen vid Folkpensionsanstalten, förutsatt att det finns bestämmelser om styrningen i lag och att Folkpensionsanstalten fortfarande bevarar sin självständighet och oavhängighet som upphovsman till enskilda avgöranden om hur lagen ska tillämpas. 

43 g §.Bedömningen av informationssystemets informationssäkerhet 

I lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation föreskrivs det att Transport- och kommunikationsverket har till uppgift att på myndigheternas begäran göra en bedömning i fråga om informationssystem eller datakommunikation. Verket kan också på begäran utfärda ett intyg som visar att informationssystemet uppfyller kraven på informationssäkerhet. Cybersäkerhetscentret vid Transport- och kommunikationsverket kan med stöd av lagen bedöma informationssäkerheten i en mobilapplikation som beställts av en myndighet. Vid bedömningen av informationssäkerheten kan Cybersäkerhetscentret utnyttja de närmare krav på datasäkerhet som Institutet för hälsa och välfärd ställer på informationssystemet och de krav på datasäkerhet som i allmänhet används vid bedömningen. Institutet för hälsa och välfärd kan i sin tur utnyttja bedömningen för godkännandet av systemet och dess informationssäkerhet. Att det utfärdas bestämmelser om bedömningen av informationssäkerheten påverkar inte den personuppgiftsansvariges skyldighet att vidta adekvata åtgärder med avseende på datasäkerheten. Bedömningen av informationssäkerheten fungerar som en extra skyddsåtgärd i enlighet med den allmänna dataskyddsförordningen. 

43 h §.Tillsyn 

Bestämmelsen gäller den tillsynsuppgift Tillstånds- och tillsynsverket för social- och hälsovården har, och den gäller informationssäkerheten i det föreslagna informationssystemet. Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka informationssäkerheten i systemet. Verket har erfarenhet och kompetens för övervakning av informationssystem inom social- och hälsovårdssektorn.  

Behandlingen av personuppgifter i samband med informationssystemet övervakas av dataombudsmannen. Enligt 8 § i dataskyddslagen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen dataombudsmannen. I den allmänna dataskyddsförordningen föreskrivs det om tillsynsmyndighetens uppgifter och befogenheter, och Tillstånds- och tillsynsverket för social- och hälsovårdens tillsynsuppgift begränsar inte dataombudsmannens tillsynsuppgifter. 

Ikraftträdande

Den föreslagna lagen avses träda i kraft den 31 augusti 2020 och gälla till och med den 31 mars 2021.  

Lagen avses träda i kraft så att informationssystemet ska kunna utnyttjas för brytandet av smittkedjor för sjukdomen covid-19. Trots det måste det tekniska utvecklandet av systemet beaktas med tanke på ikraftträdandet, eftersom det inte blir färdigt genast. Enligt bedömningar behövs informationssystemet när man bereder sig inför allvarligare utbrott av epidemin under hösten och vintern. Det är dock svårt att i förväg bedöma hur covid-19-epidemin utvecklar sig och när epidemin kommer att vara över. Informationssystemet ska dock enligt förslaget vara i bruk endast så länge som det behövs för att bryta smittkedjor för covid-19. 

Förhållande till grundlagen samt lagstiftningsordning

Syftet med propositionen är att erbjuda medborgarna en mobilapplikation som baserar sig på frivillighet. Med hjälp av applikationen effektiviseras brytandet av smittkedjorna för covid-19 genom att personer som eventuellt exponerats för coronavirus spåras upp. Avsikten är att epidemins spridning ska kunna hanteras genom medborgarnas frivilliga åtgärder och inom ramen för de befogenheter som den sedvanliga lagstiftningen ger för att det inte ska behövas några sådana restriktioner enligt beredskapslagen som på ett genomgripande sätt inverkar på de grundläggande fri- och rättigheterna. En effektiv hantering av epidemin är nödvändig för att skydda människors liv, hälsa och omsorg samt för att förhindra att social- och hälsovårdssystemet blir överbelastat. Att upprätthålla funktionsförmågan hos hälso- och sjukvårdssystemet under en pandemi är enligt grundlagsutskottet en synnerligen vägande grund med tanke på de grundläggande fri- och rättigheterna. Denna grund har samband med det allmännas skyldighet enligt 7 § 1 mom. i grundlagen att trygga vars och ens rätt till liv samt att även under en pandemi tillförsäkra var och en tillräckliga hälsovårds- och sjukvårdstjänster samt främja befolkningens hälsa (19 § 3 mom. i grundlagen). Detta berättigar exceptionellt långtgående myndighetsåtgärder som också ingriper i människors grundläggande fri- och rättigheter (GrUB 2/2020 rd). 

Lagförslaget är av betydelse med tanke på det skydd för privatlivet och personuppgifter som tryggas enligt bestämmelserna i 10 § i grundlagen.  

De föreslagna bestämmelserna är viktiga också med tanke på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. Enligt den artikeln ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. EU-domstolens domar bestämmer det centrala innehållet i skyddet för privatlivet och personuppgifter i dessa avseenden. Likaså har artikel 8 om rätten till skydd för privat- och familjeliv i Europakonventionen i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter. 

Grundlagsutskottet anser att de detaljerade bestämmelser i den allmänna dataskyddsförordningen, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i den allmänna dataskyddsförordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom den allmänna dataskyddsförordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Grundlagsutskottet anser att skyddet för personuppgifter härefter i första hand bör tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen (GrUU 14/2018 rd, s 4). Grundlagsutskottet anser också att vi med tanke på tydligheten bör förhålla oss restriktiva när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger. Behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som krävs i den allmänna dataskyddsförordningen också måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet har i den konstitutionella bedömningen av behandlingen av personuppgifter ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer (se GrUU 14/2018 rd, s. 6 och GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För bestämmelser i lag gäller i sin tur det generella kravet att lagen ska vara exakt och noga avgränsad. Regleringen av befogenheter är enligt grundlagsutskottets uppfattning vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2).  

Grundlagsutskottet har också konstaterat att det inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Utskottet har emellertid kommenterat förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Enligt grundlagsutskottets tolkningspraxis är det viktigt att det, i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Närmare bestämmelser om användningen av det nationella handlingsutrymmet finns ovan i avsnittet ”Den allmänna dataskyddsförordningen och det handlingsutrymme den medger”. Såsom konstateras i avsnittet kan handlingsutrymmet för den föreslagna regleringen härledas från artiklarna 6.1 e och 9.2 i den allmänna dataskyddsförordningen, enligt vilka behandling av uppgifter som hör till särskilda kategorier av personuppgifter får regleras när det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan, samtidigt som lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs. 

Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Grundlagsutskottet anser vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (se GrUU 14/2018 rd, s. 8). Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4).  

Med hjälp av den mobilapplikation som föreslås sparas pseudonyma identifierare för andra användare i närheten. Detta gäller bara de personer som har tagit mobilapplikationen i bruk. Av den pseudonyma identifieraren framgår inte i sig användarens identitet, och identifieraren kan i regel inte kopplas till personen utan oskäliga åtgärder. Eftersom pseudonyma identifierare i enskilda undantagsfall kan kopplas till en person, ska de betraktas som personuppgifter. Med tanke på den konstitutionella bedömningen av förslaget är det dock väsentligt att en lösning som baserar sig på pseudonyma identifierare är förenad med betydligt mindre risker med tanke på de grundläggande fri- och rättigheterna än en lösning där personen kan identifieras direkt.  

Ibruktagandet av applikationen sker på användarens eget initiativ. Överföringen av uppgifter till det bakomliggande system som upprätthålls av en myndighet förutsätter dessutom ett uttryckligt godkännande av användaren. Grundlagsutskottet har ansett att ett samtycke av en person vars grundläggande fri- och rättigheter begränsas kan i sig spela en roll i en konstitutionell bedömning. Utskottet har ändå i sin praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som rättslig grund för ingrepp i de grundläggande fri- och rättigheterna. Utskottet har ansett det vara väsentligt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ges och hur det återtas, att det säkerställs att samtycket är genuint och ges av fri vilja och att lagstiftningen är nödvändig (se GrUU 7/2010 rd, GrUU 37/2005 rd och GrUU 19/2000 rd). Utskottet har ansett att bestämmelserna om den lagbaserade rätten att behandla känsliga personuppgifter efter att samtycket återkallats är av betydelse med tanke på individens självbestämmanderätt (se GrUU 48/2014 rd, s. 2/II). 

Enligt grundlagsutskottet är samtycke som ges i en situation med bristande jämvikt, såsom i en klientbetjäningssituation inom hälso- och sjukvården, enligt vad som framgått av utskottets praxis nödvändigtvis genuint frivilligt, och i en sådan situation har klienten inte nödvändigtvis faktiska möjligheter att överväga betydelsen av samtycket. Utskottet har dessutom i sådana lagstiftningssammanhang fäst uppmärksamhet vid att samtycket ska grunda sig på tillräcklig information (se t.ex. GrUU 10/2012 rd, s. 2/II). Enligt utskottet är det också osannolikt att detta krav uppfylls, om samtycket ges t.ex. i samband med vården av patienten (GrUU 1/2018 rd). 

Såsom närmare beskrivs i motiveringen till propositionen grundar sig behandlingen av personuppgifter på artikel 6.1 e i den allmänna dataskyddsförordningen och i fråga om särskilda kategorier av personuppgifter på artikel 9.2 i förordningen. Att personen ska ge sitt godkännande av att uppgifterna överförs kompletterar denna rättsliga grund som en skyddsåtgärd i fråga om behandlingen av personuppgifter. Användaren ska fatta beslut om att ta applikationen i bruk, meddela att han eller hon är smittad och sända en begäran om kontakt på eget initiativ och frivilligt. Användaren fattar inte beslut i en kundbetjäningssituation eller i närvaro av en företrädare för hälso- och sjukvården, utan vid en tidpunkt som användaren själv väljer. Institutet för hälsa och välfärd har i egenskap av personuppgiftsansvarig skyldighet att informera användaren om hur personuppgifter behandlas i applikationen. Användaren kan när som helst ta bort applikationen från sin mobila enhet, varvid de uppgifter som sparats i applikationen raderas. Användaren överför med hjälp av applikationen uppgifter om sig själv till myndigheten i syfte att skydda sig själv och andra mot covid-19-smitta. Arrangemanget tillgodoser således användarens självbestämmanderätt över uppgifterna och är inte på samma sätt problematiskt som ett sådant arrangemang där uppgifter som myndigheten redan har används för ett annat användningsändamål med användarens samtycke (jfr GrUU 1/2018 rd). 

De uppgifter som samlas in ska i regel bevaras i användarens mobiltelefon. Uppgifterna bevaras i högst 21 dygn. Tiden för bevarande av uppgifterna grundar sig på den epidemiologiska kunskap som finns om inkubationstiden för coronaviruset, som är 14 dygn, och på det faktum att det är nödvändigt att utöver denna maximitid bevara uppgifterna ytterligare sju dagar för att användaren av mobilapplikationen ska ha tillräckligt med tid på sig att reagera på informationen. En person som har blivit smittad med coronaviruset kan frivilligt ge applikationen tillstånd att till en hälsovårdsmyndighets server överföra uppgift om den pseudonyma identifierare som han eller hon använder, varvid de personer som har installerat applikationen och som vistas i närheten av den smittade kan få ett meddelande om eventuell exponering för coronavirussmitta. Den smittade personen kan inte direkt identifieras genom meddelandet. En användare som fått uppgift om eventuell exponering kan om han eller hon så önskar skicka en begäran om kontakt till hälso- och sjukvårdsmyndigheten. Begäran ska föras in i ett temporärt register som en verksamhetsenhet för hälso- och sjukvård i en kommun eller i en samkommun för ett sjukvårdsdistrikt har inrättat. Eftersom de uppgifter som sänts till myndigheten kan leda till slutsatsen att en person eventuellt har exponerats för virus och de dessutom kan innehålla information om personens symtom, är uppgifterna sådana hälsouppgifter som hör till de särskilda kategorier av personuppgifter som avses i den allmänna dataskyddsförordningen och som kan betraktas som känsliga personuppgifter i den mening som avses i grundlagsutskottets tolkningspraxis. I lagförslaget har särskild uppmärksamhet fästs vid sådana hälsouppgifter som hör till särskilda kategorier av personuppgifter. 

Då grundlagsutskottet har bedömt de patientuppgiftsregister som det föreskrivs om i hälso- och sjukvårdslagen har den understrukit att då det är fråga om ett register som innehåller känsliga uppgifter är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas (GrUU 41/2010 rd, s.3). Ett dataintrång, ett dataläckage eller missbruk av en omfattande databas som innehåller känsliga uppgifter kan leda till en mycket betydande kränkning av de grundläggande fri- och rättigheterna (GrUU 15/2018 rd).  

Behandlingen av personuppgifter i det system som avses i propositionen har planerats med iakttagande av de principer för inbyggt dataskydd och dataskydd som standard som avses i artikel 25 i den allmänna dataskyddsförordningen bl.a. så att utgångspunkten är att uppgifterna har pseudonymiserats och behandlingen och överföringen av dem har minimerats. Lagförslaget innehåller en förpliktande bestämmelse enligt vilken informationssäkerheten hos det föreslagna informationssystemet innan det tas i bruk ska bedömas i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation och dessutom ska Tillstånds- och tillsynsverket för social- och hälsovården övervaka att systemet uppfyller kraven på informationssäkerhet. 

Syftet med uppgifterna ska vara avgränsat på rättslig grund och de får inte användas för sekundära ändamål, såsom brottsbekämpning.  

En väsentlig fråga med tanke på de grundläggande fri- och rättigheterna är om enbart den information om eventuell exponering som erhållits via applikationen kan leda till ett karantänbeslut enligt 60 § i lagen om smittsamma sjukdomar. Grundlagsutskottet har bedömt att ett beslut om karantän innebär ett ingrepp i åtminstone den personliga frihet som avses i 7 § 1 mom. i grundlagen (GrUU 26/2006 rd, s. 2/II). Grundlagsutskottet har dessutom ansett att beslut om karantän är frihetsberövande enligt 7 § 3 mom. i grundlagen och artikel 5 i Europakonventionen, vilket innebär ett mycket långtgående ingrepp i individens personliga frihet (GrUU 11/2016 rd, s. 5). 

Enbart det meddelande om eventuell exponering som användaren får via applikationen eller den information om att ett sådant meddelande mottagits som användaren lämnar till hälsovårdsmyndigheten i samband med en begäran om kontakt kan enligt förslaget inte användas som grund för ett karantänbeslut. Såsom redovisats ovan i propositionen kan en sådan uppgift i sig inte anses uppfylla förutsättningarna enligt 60 § i lagen om smittsamma sjukdomar för en exponering för sjukdom som med fog misstänks vara en allmänfarlig sjukdom.  

Enligt förslaget ska lagen vara i kraft för viss tid. Mobilapplikationen och tillhörande bakomliggande system ska användas endast under den pågående coronavirusepidemin och de lagrade uppgifterna ska raderas utan dröjsmål när systemet inte längre används. Av grundlagen följer att statsrådet då också vid behov ska vidta förberedande åtgärder för upphävande av lagen, om den i sin gällande lydelse inte längre uppfyller de krav på nödvändighet och proportionalitet som hör till de allmänna förutsättningarna för begränsning av de grundläggande fri- och rättigheterna eller de särskilda krav som följer av 10 § i grundlagen och den allmänna dataskyddsförordningen. 

De begränsningar av de grundläggande fri- och rättigheterna som beskrivs ovan kan anses ha ett godtagbart syfte med en stark koppling till 7 § 1 mom. och 19 § 3 mom. i grundlagen. Med beaktande av den pseudonymisering som ligger till grund för behandlingen av uppgifter, minimeringen av behandlingen av de pseudonymiserade uppgifterna, den korta förvaringstiden för uppgifterna, att utlämnandet av uppgifter grundar sig på personens egen viljeyttring, arrangemangen för säkerställande av informationssäkerheten och den föreslagna lagens tidsbundenhet, kan de föreslagna begränsningarna dessutom anses vara förenliga med proportionalitetskravet för begränsningarna av de grundläggande fri- och rättigheterna. 

Enligt 6 § 1 mom. i grundlagen är alla lika inför lagen. Bestämmelsen uttrycker vid sidan av det kravet på juridisk likabehandling även idén om faktisk jämställdhet. I principen ingår ett förbud mot godtycke och ett krav på enahanda bemötande i likadana fall. Den allmänna principen om likabehandling kompletteras genom diskrimineringsförbudet i 6 § 2 mom., enligt vilket ingen utan godtagbart skäl får särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. En sådan annan orsak kan vara exempelvis boningsort (RP 309/1993 rd, s. 44–47; se t.ex. GrUU 15/2018 rd, s. 6–7, GrUU 26/2017 rd, s. 36–41 och 44–45 och GrUU 67/2014 rd, s. 3). Den helhet som utgörs av 6 § och 19 § 3 mom. i grundlagen förutsätter att det allmänna genom lag på ett jämlikt sätt ska tillförsäkra var och en rätt till tillräckliga social- och hälsovårdstjänster. En bedömning av om tjänsterna är tillräckliga eller inte kan utgå från en nivå som "ger alla människor förutsättningar att fungera som fullvärdiga medlemmar i samhället" (RP 309/1993 rd, s. 75–76). Hänvisningen till alla människor som berättigade till hälso- och sjukvårdstjänster kräver enligt grundlagsutskottet i sista hand en individuell bedömning av om servicen är tillräcklig eller inte (GrUU 15/2018 rd, s. 6, GrUU 30/2013 rd, s. 3). 

Den mobilapplikation som avses i propositionen kan frivilligt installeras av vem som helst. Med hjälp av mobilapplikationen kan den som installerat den få information om sin eventuella exponering samt anvisningar. Det finns dock andra sätta att få tillgång till motsvarande anvisningar. Användningen av mobilapplikationen påverkar inte personens rätt att bli testad för covid-19 eller att få vård för den sjukdomen.  

Såsom framgår av propositionen i övrigt har medborgarna överlag stor tillgång till mobilapparater. En del av befolkningen använder dock inte smarttelefoner, och allmänt taget har barn under skolåldern, äldre och personer med funktionsnedsättning smarttelefoner i betydligt mindre utsträckning. Applikationen installeras sannolikt av den del av befolkningen som också har många kontakter med andra människor till exempel på grund av sitt arbete och för vilka användningen av applikationen är till särskilt stor nytta. De direkta individuella fördelarna med applikationen kommer endast de personer som har installerat applikationen till godo. Enligt bedömningar gagnar användningen av applikationen indirekt även dem som inte tar den i bruk. Det finns inget alternativt sätt att följa exponeringen för coronaviruset som tryggar jämlikheten bättre än detta.  

Vidare bör det notera att covid-19 hos barn nästan utan undantag är lindrig och att barn sprider coronaviruset mindre än vuxna. Inom socialvårdstjänsterna har det vidtagits särskilda skyddsåtgärder när det gäller äldre och personer med funktionsnedsättning. Dessutom har personer över 70 år fått anvisningar om att undvika kontakt med andra. Tillhandahållandet av applikationen äventyrar således inte vars och ens rätt att enligt eget behov få tillräckliga hälsovårdstjänster i enlighet med 19 § 3 mom. i grundlagen. 

Med stöd av vad som anförts ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

Lag om temporär ändring av lagen om smittsamma sjukdomar 

I enlighet med riksdagens beslut 
fogas temporärt till lagen om smittsamma sjukdomar (1227/2016) ett nytt 4 a kap. som följer: 
4 a kap. 
Ett informationssystem för att effektivare bryta smittkedjor för covid-19 och spåra upp personer som eventuellt exponerats för coronavirus  
43 a §  
Institutet för hälsa och välfärds uppgifter i samband med verkställandet av informationssystemet  
Institutet för hälsa och välfärd tillhandahåller, godkänner och förvaltar ett informationssystem, bestående av en mobilapplikation med tillhörande bakomliggande system, för uppspårning av personer som eventuellt exponerats för coronavirus. Mobilapplikationen är avgiftsfri för användarna och användningen av den är frivillig.  
Institutet för hälsa och välfärd är personuppgiftsansvarig i fråga om behandlingen av personuppgifter i samband med informationssystemet. 
Institutet för hälsa och välfärd svarar för informationssystemets funktion och godkännandet av dess informationssäkerhet och kan ställa närmare funktionella och tekniska krav på systemet samt krav på dess informationssäkerhet.  
Institutet för hälsa och välfärd ska se till att informationssystemet används bara så länge som det behövs för att bryta smittkedjor för sjukdomen covid-19. 
43 b § 
Folkpensionsanstaltens uppgifter i samband med förvaltningen av det bakomliggande systemet 
Folkpensionsanstalten ska för Institutet för hälsa och välfärds räkning svara för förvaltningen av det bakomliggande systemet på det sätt som Institutet för hälsa och välfärd bestämmer.  
43 c § 
Behandlingen av personuppgifter i samband med användningen av informationssystemet 
Vid användningen av informationssystemet får personuppgifter behandlas på det sätt som föreskrivs i detta kapitel för att bryta smittkedjor för sjukdomen covid-19 och för att spåra upp och informera personer som använder applikationen och eventuellt har exponerats för smitta samt för de statistiska ändamål som behövs för att följa hur covid-19-epidemin fortskrider och bedöma informationssystemets funktion. Personuppgifter får användas endast för de ändamål som är förenliga med detta kapitel, och de får inte användas för polisundersökningar, förundersökningar, rättegångar eller andra ändamål som har samband med lagövervakning. 
I samband med användningen av informationssystemet får följande personuppgifter behandlas: 
1) användarens pseudonyma identifierare,  
2) pseudonyma identifierare för de andra användare som användaren har träffat samt behövliga uppgifter om mötenas varaktighet och tidpunkten för dem samt styrkan hos bluetooth-signalen från den mobila enheten vid tidpunkten i fråga, 
3) pseudonyma identifierare för användare som anmält sig vara smittade,  
4) information som användaren har fått om att han eller hon eventuellt har exponerats,  
5) namn, telefonnummer, hemkommun och vid behov tillfällig boningsort samt uppgifter om symtom som en användare har uppgett i samband med en sådan begäran om kontakt som avses i 43 e § 1 mom. 
De uppgifter som avses i 2 mom. 1, 2 och 4 punkten får sparas i användarens mobila enhet. I det bakomliggande systemet får de uppgifter som avses i 2 mom. 3 punkten registreras för uppspårning av de applikationsanvändare som eventuellt exponerats för smitta, och de uppgifter som nämns i 2 mom. 5 punkten registreras för utlämnande till en verksamhetsenhet för hälso- och sjukvård i en kommun eller i en samkommun för ett sjukvårdsdistrikt eller till Ålands hälso- och sjukvård i enlighet med bestämmelserna i 43 e §.  
De uppgifter som avses i 2 mom. 1–5 punkten ska raderas och förstöras inom 21 dagar från det att de har registrerats. Uppgifterna ska dock raderas och förstöras senast när informationssystemet tas ur bruk i enlighet med 43 a § 4 mom. 
43 d § 
Undantag från meddelandeskyldigheten enligt 22 § 
Med undantag från vad som föreskrivs i 22 § behöver den som använder en mobilapplikation som avses i detta kapitel inte meddela de uppgifter som han eller hon har fått med hjälp av informationssystemet till en läkare.  
43 e § 
Behandlingen av sådana uppgifter om eventuell exponering som har erhållits med hjälp av informationssystemet 
Institutet för hälsa och välfärd har trots sekretessbestämmelserna rätt att till verksamhetsenheter för hälso- och sjukvård i kommuner och i samkommuner för sjukvårdsdistrikt och till Ålands hälso- och sjukvård lämna ut sådana i 43 c § 2 mom. 5 punkten avsedda uppgifter som behövs för att verksamhetsenheten ska kunna kontakta personer som eventuellt exponerats för smitta för bedömning av deras behov av vård eller av andra åtgärder som behövs med tanke på bekämpningen av covid-19-epidemin. 
De uppgifter om eventuell exponering som framgår av en begäran om kontakt enligt 1 mom. får sparas i ett temporärt register som inrättats av en verksamhetsenhet för hälso- och sjukvård i kommunen eller i samkommunen för sjukvårdsdistriktet för att användas när exponerade kontaktas enligt 1 mom. En uppgift ska utan dröjsmål raderas ur registret och förstöras när den inte längre är nödvändig för detta ändamål. 
Enbart den information som mobilapplikationen ger om eventuell exponering kan inte betraktas som sådan befogad misstanke om exponering för en allmänfarlig smittsam sjukdom som avses i 60 §.  
43 f § 
Styrningen av det bakomliggande systemets förvaltning  
Social- och hälsovårdsministeriet styr och har uppsikt över Folkpensionsanstalten vid fullgörandet av det uppdrag som avses i 43 b §. 
43 g §  
Bedömningen av informationssystemets informationssäkerhet 
Transport- och kommunikationsverket ska bedöma informationssystemets informationssäkerhet innan det tas i bruk i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011).  
43 h § 
Tillsyn 
Tillstånds- och tillsynsverket för social- och hälsovården utövar tillsyn över informationssäkerheten i informationssystemet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 2020 och gäller till och med den 31 mars 2021. 
 Slut på lagförslaget 
Helsingfors den 11 juni 2020 
StatsministerSannaMarin
Familje- och omsorgsministerKristaKiuru