Hoppa till huvudnavigeringen

Direkt till innehållet

RP 225/2020 rd

Senast publicerat 12-11-2020 16:22

Regeringens proposition RP 225/2020 rd Regeringens proposition till riksdagen med förslag till lag om ändring av en lag om temporär ändring av lagen om smittsamma sjukdomar

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I propositionen föreslås det ändringar i en lag om temporär ändring av lagen om smittsamma sjukdomar. 

Syftet med propositionen är att möjliggöra gränsöverskridande interoperabilitet för den mobilapplikation som effektiviserar brytandet av smittkedjorna, dvs. Coronablinkern, med andra motsvarande applikationer. 

Bestämmelser föreslås om behandling av personuppgifter i samband med gränsöverskridande användning av ett informationssystem som är avsett att göra det effektivare att bryta smittkedjorna för det coronavirus som orsakat covid-19-epidemin. 

Till lagen fogas nya bestämmelser om utlämnande av personuppgifter i samband med gränsöverskridande användning av informationssystemet till en utsedd nationell myndighet eller ett utsett offentligt organ i en annan EU-medlemsstat, i en stat som hör till Europeiska ekonomiska samarbetsområdet eller i Schweiz för att nå personer som eventuellt har exponerats för coronaviruset samt om användarens samtycke till att uppgifter lämnas ut och om de ändamål för vilka de får lämnas ut samt om annan behandling av uppgifterna. 

Dessutom föreslås det att lagens giltighetstid ändras så att lagen gäller till och med den 31 december 2021. 

Lagen avses träda i kraft den 30 november 2020. 

MOTIVERING

Bakgrund och beredning

1.1  Bakgrund

I 4 a kap. i lagen om smittsamma sjukdomar (1227/2016) finns bestämmelser om ett informationssystem för att effektivare bryta smittkedjor för covid-19-epidemin och spåra upp personer som eventuellt exponerats för coronaviruset. Propositionen om kapitlet (RP 101/2020 rd) utarbetades våren 2020. Lagändringen (582/2020) har trätt i kraft och gäller temporärt mellan den 31 augusti 2020 och den 31 mars 2021. Kapitlet föreskriver om ett temporärt uppdrag för Institutet för hälsa och välfärd att tillhandahålla ett informationssystem som utnyttjar mobil teknik. Informationssystemet består av en mobilapplikation och ett bakomliggande system. Det bakomliggande systemet förvaltas av Folkpensionsanstalten för Institutet för hälsa och välfärds räkning. Kapitlet innehåller också bestämmelser om behandling och skydd av personuppgifter i samband med användningen av informationssystemet.  

I samband med lagändringen var det uppenbart att det finns ett behov av att föreskriva att en mobilapplikation som tagits fram och införts i Finland ska samverka med mobilapplikationer som tagits fram i någon annan stat inom Europeiska unionen (EU) eller något annat land i Europeiska ekonomiska samarbetsområdet (EES). Med interoperabilitet avses att information om eventuell exponering kan skickas exempelvis till en estnisk mobilapplikation som innehas av en person bosatt i Estland och vice versa, om personerna har mötts och en eventuell exponering har skett. Det gick emellertid inte att ta in något förslag om interoperabilitet i proposition RP 101/2020 rd eftersom det i våras inte var klart hur interoperabilitet skulle genomföras på EU-nivå.  

Europeiska kommissionen beredde senare ett förslag till ändring av kommissionens genomförandebeslut 2019/1765/EU vad gäller det gränsöverskridande utbytet av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning i kampen mot covid-19-pandemin. Förslaget baserade sig på Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (patientrörlighetsdirektivet) https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX%3A32011L0024&from=FI&lang3=choose&lang2=choose&lang1=SV.. Syftet med ändringen var att möjliggöra interoperabilitet mellan nationella mobilapplikationer för att spåra smittkedjor vid covid-19. Ett utkast till genomförandebeslut överlämnades den 7 juli 2020 till kommittén för gränsöverskridande hälso- och sjukvård (kommitté för kommittéförfarande där kommissionen är ordförande). Genomförandebeslutet gick till omröstning och antogs vid ett möte i kommittén för gränsöverskridande hälso- och sjukvård den 13 juli 2020. Kommissionen antog beslutet den 15 juli 2020 (Kommissionens genomförandebeslut (EU) 2020/1023 av den 15 juli 2020 om ändring av genomförandebeslut (EU) 2019/1765 vad gäller det gränsöverskridande utbytet av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning i kampen mot covid-19-pandemin (nedan genomförandebeslutet) https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32020D1023&from=SV.. Kommissionen hade begärt yttrande om utkastet till genomförandebeslut från Europeiska datatillsynsmannen (EDPS) och utkastet ändrades på vissa punkter till följd av yttrandet. Det är frivilligt för medlemsstaterna att delta i det gränsöverskridande samarbetet och varje medlemsstat bedömer självständigt hur den kommer att implementera genomförandebeslutet nationellt. Europeiska dataskyddsstyrelsen (EDPB) utfärdade riktlinjer om dataskyddsaspekter i anslutning till applikationerna den 21 april 2020 https://edpb.europa.eu/our-work-tools/our-documents/linee-guida/guidelines-042020-use-location-data-and-contact-tracing_en. och den 16 juni 2020 https://edpb.europa.eu/our-work-tools/our-documents/jine/statement-data-protection-impact-interoperability-contact-tracing_en..  

Riksdagen informerades om beslutet om ändring av genomförandebeslutet med en E-skrivelse (E 88/2020 rd). Enligt E-skrivelsen kan Finland godkänna genomförandebeslutet och anser det nödvändigt att medlemsstaterna arbetar för att samordna sina åtgärder för att möta och komma ut ur covid-19-krisen. Innan medlemsländerna deltar i samarbetet måste de göra en ännu noggrannare bedömning av dess fördelar i förhållande till konsekvenserna för de grundläggande rättigheterna och andra konsekvenser, med beaktande av tillgänglig information, erfarenheter av hur tekniken fungerar och informationssäkerhet.  

Det går inte att exakt förutse hur covid-19-epidemin utvecklas de kommande månaderna. Pandemin kan komma att pågå globalt i flera månader till, eventuellt ömsom i tilltagande takt, ömsom i långsammare takt I det rådande läget är det nödvändigt att föreskriva om skyldigheter och restriktioner med kort varsel för att myndigheterna ska ha tillgång till nödvändiga verktyg för att förhindra att epidemin sprids. Bland annat på grund av den korta beredningstiden är det motiverat att i synnerhet vad beträffar de skyldigheter och restriktioner som allra mest ingriper i de grundläggande fri- och rättigheterna införa temporär lagstiftning, som särskilt avser hanteringen av covid-19-epidemin. 

1.2  Beredning

Social- och hälsovårdsministeriet tillsatte den 14 maj 2020 ett projekt för att förbereda införandet av en mobilapplikation för kontaktspårning under covid-19-epidemin. För projektet tillsattes en styrgrupp, en arbetsgrupp för att bereda en proposition om ändring av lagstiftningen och en arbetsgrupp för att samordna nationella ståndpunkter om det internationella och nationella samarbetet kring Europeiska kommissionens rekommendation av den 8 april 2020. Enligt beslutet om tillsättning löper mandatet ut den 31 december 2020. Arbetsgruppen för en lagändring ska utarbeta en proposition som möjliggör interoperabilitet mellan nationella mobilapplikationer som tas fram i olika EU-länder och den mobilapplikation som införts i Finland. 

Propositionen bereddes i den arbetsgrupp som tillsattes för beredningen. I arbetsgruppen ingick företrädare för social- och hälsovårdsministeriet, justitieministeriet, finansministeriet, kommunikationsministeriet och Institutet för hälsa och välfärd. Under arbetets gång hörde arbetsgruppen en sakkunnig från Folkpensionsanstalten. Också dataombudsmannen hördes.  

Propositionen behandlades dessutom i styrgruppen för projektet, där utöver ministerierna ovan även Institutet för hälsa och välfärd, Vasa sjukvårdsdistrikt, Päijät-Hämeen hyvinvointikuntayhtymä, Helsingfors och Nylands sjukvårdsdistrikt, Helsingfors stad och Finlands Kommunförbund var representerade. 

Utkastet till proposition publicerades i den elektroniska utlåtandetjänsten den 13oktober 2020. Inom den utsatta remisstiden kom det in 21 yttranden från bland annat riksdagens justitieombudsmans kansli, Finlands näringsliv, Folkpensionsanstalten, Institutet för hälsa och välfärd, justitieministeriet, kommunikationsministeriet, finansministeriet, tre sjukvårdsdistrikt och Helsingfors stad. Yttranden finns på adressen

Nuläge och bedömning av nuläget

2.1  Läget med Covid-19-epidemin

I regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar presenteras spårningen av smittkedjor vid covid-19-epidemin och ansvarsfördelningen enligt lagen om smittsamma sjukdomar vad beträffar förebyggande av spridning av smittsamma sjukdomar (se RP 101/2020 rd, s. 5–7). 

Den nya coronainfektionen klassificerades den 13 februari 2020 som en allmänfarlig smittsam sjukdom genom en förordning av statsrådet (69/2020). Sjukdomen är mycket smittsam och den är farlig. Det går att förhindra att sjukdomen sprids om det vidtas åtgärder som riktas mot de som insjuknat i sjukdomen, de som exponerats för sjukdomsalstrare eller de som med fog misstänks vara sådana personer. Vid nya coronainfektioner måste man således isolera de som insjuknat, vilket inskränker individens rörelsefrihet, och införa karantän för att förhindra att sjukdomen sprids. 

Den nya coronainfektionen kan vara allvarlig, rentav livshotande, särskilt för äldre och personer med kroniska sjukdomar. Än så länge finns det varken läkemedelsbehandling eller vaccin mot viruset. Eftersom viruset är nytt har befolkningen inga skyddande antikroppar, vilket bidrar till att viruset sprids. Världshälsoorganisationen WHO klassade det nya coronavirus som hade upptäckts i Wuhan i Kina som ett internationellt hot mot folkhälsan (Public Health Emergency of International Concern PHEIC) den 30 januari 2020. Det förutsätter att alla länder aktivt bevakar infektioner orsakade av det nya coronaviruset, tidigt identifierar sjukdomsfall och isolerar dem samt spårar exponerade personer för att förhindra fortsatt smitta. 

Det nya coronaviruset smittar mellan människor, i första hand som droppsmitta när en insjuknad person hostar, nyser, pratar eller sjunger. En del av de smittade får inga symtom alls eller mycket lindriga symtom. Följaktligen är de inte medvetna om att de är smittade, men även personer utan symtom kan smitta andra. I studier beskrivs fall där symtomfria personer har smittat andra i trånga rum inomhus. Viruset kan smitta redan några dagar innan symtomen uppträder. Enligt dagens kunskaper är den som insjuknat till följd av coronaviruset mest smittsam i början när sjukdomen ger symtom. Den smittsamma tiden varar uppskattningsvis 7–12 dagar vid lindrig sjukdom och upp till två veckor vid de allvarligaste formerna av sjukdomen.  

Statsrådet antog den 6 maj 2020 en hybridstrategi för hanteringen av coronakrisen. Enligt den vill regeringen med sina åtgärder förhindra att viruset sprids i samhället, trygga hälso- och sjukvårdens bärkraft och skydda i synnerhet människor i riskgrupperna. Eftersom Finland hittills har lyckats bra med att bromsa epidemins framfart, kan vi stegvis gå vidare till nästa fas i kampen mot epidemin. I hybridstrategin går Finland kontrollerat över från omfattande restriktioner till mer riktade åtgärder och intensifierad hantering av epidemin i överensstämmelse med författningarna. Målet är att vi med hjälp av hybridstrategin effektivt ska kunna bromsa epidemin med åtgärder som har så små negativa konsekvenser som möjligt för människor, företag, samhälle och tillgodoseende av de grundläggande fri- och rättigheterna. Hybridstrategin går ut på att kontinuerligt följa upp och utnyttja forskningsrön. Forskningsdata om coronaviruset, epidemins förlopp och effekterna av restriktionerna samlas in fortlöpande. I och med ny kunskap måste beslut och rekommendationer vid behov uppdateras snabbt, när epidemiläget förändras för att epidemin ska kunna hanteras med de medel som är effektivast med avseende på den samlade välfärden i samhället. Vid hanteringen av epidemin gäller det att ta hänsyn till den rättsliga ramen för de restriktioner som satts in, myndigheternas normala befogenheter och möjligheterna att föreskriva om nödvändiga nya befogenheter eller ändringar av befogenheterna. 

I social- och hälsovårdsministeriets handlingsplan (Social- och hälsovårdsministeriets publikationer 2020:27 https://julkaisut.valtioneuvosto.fi/handle/10024/162422.), som statsrådet godkände den 3 september 2020, beskrivs och styrs genomförandet av rekommendationer och restriktioner enligt hybridstrategin efter den första fasen av covid-19-epidemin. I handlingsplanen sägs det att en lägesbilds- och modelleringsgrupp för covid-19-epidemin tillsatt av social- och hälsovårdsministeriet har delat in den epidemiologiska lägesbilden i tre faser: utgångsnivå, upptrappningsfas och spridningsfas. Utgångsnivån motsvarar situationen i Finland sommaren 2020 med låg incidens och liten andel endemisk smitta. I upptrappningsfasen har den regionala incidensen ökat (antalet fall under 7 dagar > 6–15/100 000 invånare och antalet fall under 14 dagar > 10–25/100000 invånare); andelen positiva test är > 1 %; tidvis förekommer lokala och regionala smittkedjor; smittkällorna kan dock i regel spåras; behovet av sjukhusvård kan tillgodoses utan särskilda åtgärder. I spridningsfasen sprider sig smittan regionalt eller i större utsträckning bland befolkningen (antalet fall under 7 dagar > 12–25/100 000 invånare och antalet fall under 14 dagar > 18–50/100000 invånare); den dagliga ökningstakten är > 10 %; andelen positiva test är > 2 %; mindre än hälften av smittkällorna kan spåras; behovet av sjukhusvård och intensivvård ökar kraftigt. Institutet för hälsa och välfärd följer noga utvecklingen i det epidemiologiska läget. https://thl.fi/sv/web/infektionssjukdomar-och-vaccinationer/aktuellt/aktuellt-om-coronaviruset-covid-19/lagesoversikt-om-coronaviruset. 

Enligt handlingsplanen ska rekommendationer, restriktioner och andra åtgärder sättas in utifrån epidemiologisk och medicinsk lämplighet. På utgångsnivån betonas hygienrekommendationer som gäller hela befolkningen, lokala och regionala myndighetsåtgärder (identifiering av de underliggande orsakerna till smittspridning, testning och brytande av smittkedjor) och materiell beredskap inför en eventuell spridning av epidemin. När upptrappningsfasen hotar gäller det att ytterligare intensifiera åtgärderna enligt lagstiftningen om smittsamma sjukdomar, identifieringen av smittade personer samt spårningen och brytandet av smittkedjor. Dessutom införs nya metoder på individnivå för att förebygga smitta. Om epidemin trots alla försiktighetsåtgärder visar tecken på att växa sig till spridningsfasen, hör mer övergripande och strängare regionala och rikstäckande rekommendationer och restriktioner till de nödvändiga åtgärder som ytterligare måste införas. Dessutom gäller det att vara beredd på att öka vårdkapaciteten.  

Syftet med regeringens reserestriktioner är att bromsa och förhindra spridningen av covid-19-epidemin i Finland, trygga hälso- och sjukvårdens kapacitet och bärförmåga överallt i landet och skydda i synnerhet människor som hör till någon riskgrupp. Regeringen har följt det epidemiologiska läget och enligt statsrådets principbeslut av den 11 september 2020 (Statsrådets principbeslut om genomförande av hybridstrategin vid gränsöverskridande trafik och resor (VNK/2020/114)) är ”trafik över de yttre gränserna ... tillåten från EU-länder som inte hör till Schengenområdet samt för invånare i länder på Europeiska unionens gröna lista ((EU) 2020/912 av den 30 juni 2020) när incidensen av nya sjukdomsfall är högst 25 per 100 000 invånare under de föregående 14 dagarna.” För att ersätta gränskontrollerna vid de inre gränserna och för att säkerställa hälsosäkerheten vid de yttre gränserna anser regeringen det nödvändigt att införa ett koncept i gränstrafiken som utgår från den nationella hybridstrategin och som bygger på testning. Om epidemiläget förändras väsentligt, omprövar regeringen principbeslutet. Vad beträffar gränsöverskridande persontrafik är det ytterst viktigt att coronasmitta kan identifieras effektivt innan det uppstår fortsatta smitta eller smittkedjor som det är svårt att hantera. Social- och hälsovårdsministeriet har i en bakgrundspromemoria om principbeslutet av statsrådet konstaterat att slopade reserestriktioner ökar risken för smittspridning och kräver att resande testas i större omfattning. Sisäministeriön muistio 9.9.2020: Hybridistrategian toteuttaminen rajat ylittävässä liikenteessä ja matkustamisessa. 

I statsrådets principbeslut från den 6 maj 2020 sägs det att en mobilapplikation kan medverka till att spåra smittkedjor. En lagändring om en mobilapplikation utarbetades skyndsamt och applikationen infördes den 31 augusti 2020. Också Europeiska kommissionen utfärdade den 8 april 2020 en rekommendation om användning av mobil teknik i covid-19-krisen (C(2020) 2296 final) och konstaterade då att en mobilapplikation avsedd för kontaktspårning sannolikt kan medföra fördelar i hanteringen av krisen. Kommissionen har sedan dess vidtagit åtgärder för att förbättra interoperabiliteten mellan de nationella informations- och kommunikationstekniska systemen i nätverket för e-hälsa. I det syftet har kommissionen infört en digital infrastruktur som möjliggör interoperabilitet mellan nationella mobilapplikationer för kontaktspårning och varning. 

2.2  Informationssystem för att effektivare bryta smittkedjor för coronaviruset

Ett informationssystem som effektivare bryter smittkedjorna för coronaviruset togs i bruk den 31 augusti 2020, när en lagändring trädde i kraft. Före det gjorde Cybersäkerhetscentret vid Transport- och kommunikationsverket en bedömning av informationssäkerheten. Cybersäkerhetscentret upptäckte inga brister i informationssystemet som kan medföra väsentliga risker för informationssäkerheten eller uppföljningen av användarna. Centret lade dock fram vissa iakttagelser och utvecklingsförslag som ansågs vara viktiga för vidareutvecklingen av mobilapplikationen. https://thl.fi/documents/533963/5860112/Johdon_tiivistelm%C3%A4-Koronavilkku-arviointi_25.08.2020.pdf/221c17db-05dd-4222-c001-2124ec9cbbd8?t=1598597462979. Därutöver har Institutet för hälsa och välfärd låtit göra en konsekvensbedömning av dataskyddet. Både bedömningen av informationssäkerheten och konsekvensbedömningen av dataskyddet visar att dataskyddet håller god nivå. Det har också gjorts en hotmodellering och en plan för riskhantering. Applikationen följs upp och Institutet för hälsa och välfärd får lägesrapporter i egenskap av personuppgiftsansvarig. Om det finns konkreta hot mot informationssäkerheten eller dataskyddet ska de rapporteras och åtgärdas. Institutet för hälsa och välfärd kommer att beställa en ny analys av informationssäkerheten från en kommersiell aktör och analysen kommer att användas för vidareutvecklingen av applikationen. Arbetet inleds så snart vidareutvecklingen av applikationen har kommit i gång. Institutet för hälsa och välfärd tar sikte på att få det nationella cybersäkerhetsmärket beviljat för mobilapplikationen för att säkerställa att applikationens livscykel upprätthålls. Cybersäkerhetsmärket beviljas av Transport- och kommunikationsverket Traficom och det visar att en produkt eller en tjänst som är försedd med märket har utformats med särskild hänsyn till informationssäkerheten. https://tietoturvamerkki.fi/sv/. 

Fram till den 7 oktober 2020 hade mobilapplikationen Coronablinkern laddats upp i omkring 2,3 miljoner telefoner. Detta motsvarar 38 procent av befolkningen och ungefär 48 procent av de som använder en smarttelefon. Via mobilapplikationen har 314 fall av smitta rapporterats. Det är 38 procent av de smittfall som anmäldes till registret över smittsamma sjukdomar i september. Institutet för hälsa och välfärd bedömer att mobilapplikationen fungerar som väntat. Smittskyddsläkare har påpekat att det viktigaste med Coronablinkern och dess aktivitet är att den som larmas om eventuell exponering inte tvekar att låta testa sig om de får symtom. Hur stor roll applikationen spelar för hanteringen av epidemin som helhet kan bedömas bättre när applikationen har varit i bruk längre. 

2.3  Gränsöverskridande interoperabilitet

Kommissionen antog den 8 april 2020 en rekommendation om ett gemensamt instrument (verktygslåda, toolbox) för unionen avsedd för användning av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt vad beträffar mobilapplikationer och användning av anonymiserade mobilitetsdata (C (2020) 2296 final) https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.. Sett ur EU:s synvinkel är applikationerna relevanta inte bara med avseende på kampen mot viruset och möjligheterna att komma ut ur krisen, utan också med avseende på den inre marknaden. Efter rekommendationen har kommissionen tillsammans med medlemsländerna tagit fram modeller för ett decentraliserat och ett centraliserat angreppssätt för mobilapplikationer samt specifikationer av den gränsöverskridande interoperabiliteten för applikationer enligt den decentraliserade modellen https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilityspecs_en.pdf.. I EU-samarbetet har det varit viktigt att lösa frågan om teknisk interoperabilitet. Utgångspunkten för interoperabiliteten är att medborgarna i varje land använder en applikation som tagits fram i det egna landet och som hälsomyndigheten i landet ansvarar för. 

Syftet med kommissionens genomförandebeslut (EU) 2020/1023 är att möjliggöra interoperabilitet mellan nationella mobilapplikationer för att de ska kunna fortsätta spåra smittkedjor och varna för exponering under covid-19-epidemin, också när medborgarna reser till en annan medlemsstat. 

Genomförandebeslutet gör det möjligt för de nationella myndigheterna att utbyta information om hanteringen av covid-19-epidemin. Beslutet beskriver utbytet av information 

i dess helhet och skapa regler för informationsutbytet, det vill säga för de myndigheter som är involverade i interoperabiliteten och för själva informationsutbytet. Vidare fastställs regler för inrättande, administration och drift av det nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa. Nätverket för e-hälsa har uppdrag att främja större interoperabilitet mellan de nationella informations- och kommunikationstekniksystemen och gränsöverskridande överförbarhet för elektroniska hälsouppgifter vid gränsöverskridande hälso- och sjukvård. Sedan juni 2020 har man lättat på reserestriktionerna mellan medlemsstaterna och därför bör bättre interoperabilitet mellan nationella informations- och kommunikationstekniksystem uppnås mellan medlemsstaterna i nätverket för e-hälsa, genom införandet av en digital infrastruktur som möjliggör interoperabilitet mellan nationella mobilapplikationer som stöder kontaktspårning och varningar, framhåller kommissionen i genomförandebeslutet. I artikel 7a i genomförandebeslutet preciseras det uttömmande vilka uppgifter som får förmedlas genom den samordnade nätslussen vid gränsöverskridande informationsutbyte mellan nationella mobilapplikationer för kontaktspårning och varning. Alla identifikationsuppgifter som överförs genom den samordnade nätslussen måste vara pseudonymiserade. Genomförandebeslutet innehåller två bilagor, varav den ena fastställer reglerna för de gemensamt personuppgiftsansvariga för de uppgifter som behandlas och de andra reglerna för personuppgiftsbiträden. De deltagande medlemsstaterna, företrädda av de utsedda nationella myndigheterna eller offentliga organen, fastställer tillsammans syftet med och metoderna för behandling av personuppgifter genom den samordnade nätslussen och är därför gemensamt personuppgiftsansvariga. I egenskap av tillhandahållare av tekniska och organisatoriska lösningar för den samordnade nätslussen behandlar kommissionen pseudonymiserade personuppgifter för de deltagande medlemsstaternas räkning i den samordnade nätslussen i deras egenskap av gemensamt personuppgiftsansvariga, och är därför ett personuppgiftsbiträde. 

Målsättning

I regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar presenteras målen med det informationssystem som ska vara ett effektivare medel för att bryta smittkedjor (se RP 101/2020 rd, s. 7–8). Målet är att den enskilde själv ska kunna medverka till att stoppa spridningen av coronaviruset med hjälp av en kostnadsfri och frivillig mobilapplikation som erbjuds befolkningen.  

Syftet med propositionen är att nationellt implementera kommissionens genomförandebeslut (EU) 2020/1023. Syftet med genomförandebeslutet är att möjliggöra interoperabilitet mellan mobilapplikationer som tagits fram i EU- och EES-länderna samt i Schweiz, men länderna kan själva nationellt besluta om de åtgärder som krävs för interoperabilitet. Genom interoperabilitet kan länderna uppnå fördelar för att bryta smittkedjorna också i gränsöverskridande situationer. Med interoperabilitet mellan mobilapplikationer kan man också nå användare i andra länder och varna dem för eventuell exponering. På samma sätt kan de som använder den finländska applikationen, Coronablinkern, få information om eventuell exponering om de har haft relevant kontakt med någon som använt ett annat lands applikation. Interoperabiliteten kan således också medverka till lättnader i reserestriktionerna, när smittkedjorna kan brytas effektivare också i gränsöverskridande situationer.  

Syftet med propositionen är att möjliggöra interoperabilitet mellan mobilapplikationer som tagits fram i EU- och EES-länderna samt i Schweiz så att användarna i länderna kan få information om eventuell exponering i sin egen applikation, när de har mött en person som har tillgång till en applikation som tagits fram i ett annat EU- eller EES-land eller i Schweiz. Europeiska kommissionen framhåller i sin rekommendation av den 8 april 2020 att en mobilapplikation avsedd för spårning av smittkedjor sannolikt kan medföra fördelar i hanteringen av krisen. Sedan juni 2020 har man lättat på reserestriktionerna mellan medlemsstaterna och därför bör bättre interoperabilitet mellan nationella informations- och kommunikationstekniksystem uppnås mellan medlemsstaterna i nätverket för e-hälsa, genom införandet av en digital infrastruktur som möjliggör interoperabilitet mellan nationella mobilapplikationer som stöder kontaktspårning och varningar, framhåller kommissionen i genomförandebeslut (EU) 2020/1023. Syftet med genomförandebeslutet är att möjliggöra interoperabilitet mellan nationella mobilapplikationer för att de ska kunna fortsätta varna för exponering också när medborgarna reser mellan medlemsstaterna.  

I 4 a kap. i lagen om smittsamma sjukdomar finns bestämmelser om behandling av personuppgifter i samband med användningen av informationssystemet. Bestämmelserna måste ändras eftersom genomförandet av interoperabiliteten till vissa delar kräver en ny typ av behandling av personuppgifter. Propositionen föreskriver om behandling av personuppgifter för att möjliggöra interoperabilitet. Lagen föreslås därför få bestämmelser om behandling av personuppgifter i samband med informationssystemet samt om utlämnande av uppgifter till en myndighet eller ett offentligt organ som ansvarar för applikationen i ett annat land. Det ska vara frivilligt att använda mobilapplikationen. Vidare ska det vara frivilligt för användaren att behandla uppgifter i gränsöverskridande situationer. Följaktligen föreskrivs det i propositionen att användaren måste ge sitt samtycke till att uppgifter används och överlämnas.  

I regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar beskrivs det hur och enligt vilka principer det informationssystem som ska vara ett effektivare medel för att bryta smittkedjor fungerar (se RP 101/2020 rd, s. 8–10).  

Informationssystemet fungerar i huvudsak på samma sätt vid gränsöverskridande interoperabilitet, men i fortsättningen ska mobilapplikationen också identifiera ett möte med en applikation som tagits fram i ett annat EU- eller EES-land eller i Schweiz, om landet deltar i det gränsöverskridande informationsutbytet. När applikationen börjar användas eller uppdateras ska användaren med hjälp av informationssystemet informeras om behandlingen av personuppgifter vid gränsöverskridande användning mellan EU- och EES-länderna samt Schweiz. Vid möten med applikationer kommer pseudonyma identifierare i huvudsak att registreras på samma sätt. Användaren får ingen information om de pseudonyma identifierare som applikationen har registrerat. Systemet samlar inte heller in information om vilket lands applikation som applikationen har mött.  

Om någon som använder den finländska applikationen, Coronablinkern, konstateras vara smittad med covid-19 och matar in den öppningskod i applikationen som han eller hon fått från hälso- och sjukvården, sänds pseudonyma identifierare till det bakomliggande systemet i Finland. Det bakomliggande systemet registrerar den smittade personens pseudonyma identifierare och för en förteckning över pseudonyma identifierare för alla som anmält att de är smittade. När andra personers mobilapplikationer kontaktar det bakomliggande systemet sänder systemet de pseudonyma identifierarna för alla som anmält smitta till applikationen i samtliga användares telefoner. Applikationen jämför de pseudonyma identifierarna för de som anmält smitta med de pseudonyma identifierare som sparats i telefonen vid möten med mobilapplikationer och bedömer utifrån en jämförelse om exponering eventuellt har skett eller inte. Om en eventuell exponering har skett, ska applikationen underrätta personen och ge honom eller henne råd.  

Vid gränsöverskridande interoperabilitet ska den som anmäler smitta lämna uppgifter om de länder som han eller hon besökt och ge samtycke till att pseudonyma identifierare lämnas ut till myndigheterna i ett annat EU- och EES-land samt i Schweiz. Vid gränsöverskridande användning förblir informationssystemets funktion i princip densamma, men i fortsättningen ska den som använder en applikation som har tagits fram i ett annat land få ett larm om eventuell exponering i applikationen i sin telefon och anvisningar för fortsatta åtgärder på det sätt som hälsomyndigheten i det andra landet har bestämt. Om den som anmäler smitta i sin tur använder en applikation som tagits fram i ett annat EU- eller EES-land eller i Schweiz, ska en användare av applikationen i Finland, Coronablinkern, i fortsättningen få ett meddelande om eventuell exponering och anvisningar i Coronablinkern i sin telefon. Användaren får inte veta med vilket lands applikation det möte som gett upphov till meddelandet har skett. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

Gränsöverskridande interoperabilitet 

Med hjälp av det föreslagna informationssystemet för att effektivare bryta smittkedjor kan man spåra upp potentiella exponerade personer som varit i närkontakt med en smittspridare och snabbare informera dem om att de blivit exponerade. Målen med informationssystemet beskrivs närmare i propositionen med förslag till lag om ändring av lagen om smittsamma sjukdomar (se RP 101/2020 rd, s. 10–12). 

Informationssystemets gränsöverskridande interoperabilitet och den behandling av personuppgifter som det kräver kan göra det möjligt att effektivare bryta smittkedjorna för coronaviruset och förhindra att epidemin sprids också när människor rör sig mellan de länder som deltar i interoperabiliteten. I propositionen föreslås det därför att personuppgifter ska få behandlas också vid gränsöverskridande användning av informationssystemet. Behandlingen av personuppgifter vid gränsöverskridande användning innebär att personuppgifter som gäller den som använder mobilapplikationen, alltså Coronablinkern, också kan behandlas för det ändamålet. Personuppgifter kommer att behandlas för gränsöverskridande informationsutbyte genom den samordnade nätsluss som avses i kommissionens genomförandebeslut 2020/1023/EU. Personuppgifterna måste behandlas explicit i det syftet att en användare av en mobilapplikation som tagits fram i ett annat land ska kunna varnas för eventuell exponering, om användaren har mött användaren av Coronablinkern och applikationerna har varit tillräckligt länge nära varandra. Å andra sidan kan den som använder Coronablinkern, efter det att den gränsöverskridande användningen har inletts, få information om eventuell exponering av en person som använder ett annat lands applikation. Vid gränsöverskridande användning av informationssystemet behandlas inga platsdata. Det är också förbjudet att använda platsdata i mobiltelefonens operativsystem. Förbudet bygger på mobiltillverkarnas användningsvillkor och varje stat som går med i interoperabiliteten måste godkänna villkoren https://developer.apple.com/contact/request/download/Exposure_Notification_Addendum.pdf; https://blog.google/documents/72/Exposure_Notifications_Service_Additional_Terms.pdf.. Informationssystemet vet alltså inte i vilket land en användare av Coronablinkern befinner sig. Systemet kommer inte heller att veta vilket lands applikation den person använder som en användare av Coronablinkern möter. I propositionen föreslås det att pseudonyma identifierare ska kunna lämnas ut genom kommissionens samordnade nätsluss till utsedda nationella myndigheter eller offentliga organ i en medlemsstat i EU, i en stat som hör till Europeiska ekonomiska samarbetsområdet eller i Schweiz. Pseudonyma identifierare lämnas ut ur det bakomliggande system som Institutet för hälsa och välfärd ansvarar för och i egenskap av personuppgiftsansvarig ska Institutet för hälsa och välfärd alltså ansvara för utlämnandet av uppgifter. Syftet med att lämna ut uppgifter är att underrätta den som använder mobilapplikationen i ett land som deltar i interoperabiliteten om eventuell exponering för coronaviruset. De länder som är med i interoperabiliteten sparar pseudonyma identifierare i det bakomliggande systemet i högst 14 dagar. Därefter finns det inga data kvar om möten mellan identifierare. 

De länder som deltar i interoperabiliteten är skyldiga att följa kommissionens genomförandebeslut. Dessutom måste länderna uppfylla vissa villkor och ansöka om att få delta i interoperabiliteten. Målet med anslutningsprocessen är att säkerställa att medlemsstaterna har uppnått en viss mognadsgrad i sina förberedelser, det vill säga att de beaktar ramvillkoren i den nationella lagstiftningen och i EU-rättsakter, att applikationen följer riktlinjerna från nätverket för e-hälsa och att den tekniska beredskapen är ordnad. Den nationella medlemmen i nätverket för e-hälsa lämnar in ansökan till nätverkets sekretariat. Ansökan behandlas i en arbetsgrupp under nätverket för e-hälsa och den företräder praktiken de gemensamt personuppgiftsansvariga, alltså de länder som deltar i interoperabiliteten. I behandlingen av ansökan deltar också en teknisk underarbetsgrupp som bedömer de tekniska element kring interoperabiliteten som uppges i ansökan. Den underarbetsgrupp som företräder de gemensamt personuppgiftsansvariga har två dagar på sig att bedöma ansökan och göra invändningar. Om inga invändningar görs ska ansökan anses vara godtagen. Efter godkännandeprocessen följer införande. Också efter avslutad användning ska sekretariatet för nätverket för e-hälsa informeras. 

I propositionen föreslås det att den som använder en mobilapplikation ska kunna ge samtyckte till att uppgifter lämnas ut ur det bakomliggande systemet genom kommissionens samordnade nätsluss till utsedda nationella myndigheter eller offentliga organ i en medlemsstat i EU, i en stat som hör till Europeiska ekonomiska samarbetsområdet eller i Schweiz. Samtycke ska ges i applikationen. Praktiskt går det till så att samtycke begärs och ges när användaren frivilligt anmäler smitta i applikationen med den öppningskod som han eller hon fått från hälso- och sjukvården. I samband med att samtycke begärs ska användaren informeras om vart och för vilket ändamål uppgifterna lämnas ut. Om användaren ger sitt samtycke till att uppgifterna lämnas ut för ändamålet, förmedlar det bakomliggande systemet uppgifterna till den samordnade nätslussen som vidarebefordrar dem till myndigheten i ett annat land som deltar i interoperabiliteten. Om användaren inte ger sitt samtycke, förmedlas uppgifterna inte för det ändamålet utan endast till andra användare av Coronablinkern. Det ska således vara helt frivilligt att ge samtycke till att uppgifter lämnas ut. När användaren har gett sitt samtycke lämnas uppgifter, det vill säga pseudonyma identifierare, ut genom kommissionens samordnade nätsluss till utsedda nationella myndigheter eller offentliga organ i en medlemsstat i EU, i en stat som hör till Europeiska ekonomiska samarbetsområdet eller i Schweiz. Syftet med utlämnande av uppgifter är att få kontakt med personer som eventuellt har exponerats för coronaviruset. Uppgifter får i överensstämmelse med kommissionens genomförandebeslut 2020/1023/EU lämnas ut för högst 14 dagar innan identifierare har laddats upp. Efter att uppgifterna har lämnats ut upphör Coronablinkern att fungera eftersom användaren har konstaterats vara smittad.  

I propositionen föreslås det också att det till 43 c § i lagen om smittsamma sjukdomar fogas en ny 6 punkt. Den ska tillåta att uppgifter om de länder som har samband med den gränsöverskridande användningen av informationssystemet och om ursprungslandet för pseudonyma identifierare får behandlas när informationssystemet används. I praktiken blir användaren tillfrågad om länder som ingår i den gränsöverskridande användningen av informationssystemet när han eller hon meddelar smitta i applikationen. Kravet på rapportering av länder baserar sig på kommissionens dataskyddsprinciper. Pseudonyma identifierare för användarna kompletteras då med en landskod utifrån vilken de bakomliggande systemen i de länder som deltar i interoperabiliteten kan sluta sig till vilka länder det handlar om. 

Allmänna dataskyddsförordningen och det handlingsutrymme den medger 

Bestämmelser om behandling av personuppgifter finns dels i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig, dels dataskyddslagen (1050/2018) som är den nationella allmänna lag som kompletterar förordningen.  

Med personuppgifter avses enligt allmänna dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. Som det sägs i regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar (RP 101/2020 rd, s. 13) är också pseudonymiserade eller i övrigt pseudonyma uppgifter personuppgifter och dataskyddslagstiftningen ska därför tillämpas på dem.  

För behandlingen av personuppgifter ska det finnas en sådan allmän rättslig grund som avses i artikel 6 i allmänna dataskyddsförordningen. På samma sätt som vid annan behandling av personuppgifter i samband med informationssystemet är artikel 6.1 e i allmänna dataskyddsförordningen den rättsliga grund som bäst lämpar sig för behandling av personuppgifter i det fall som avses i denna proposition. Artikeln föreskriver att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen kan dock inte direkt basera sig på denna punkt i allmänna dataskyddsförordningen, utan enligt artikel 6.3 ska grunden för behandlingen fastställas antingen i enlighet med unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Eftersom det nuvarande 4 a kap. i lagen om smittsamma sjukdomar inte till alla delar innefattar behandling av personuppgifter i syfte att möjliggöra gränsöverskridande användning, måste det införas bestämmelser om den typen av behandling av personuppgifter. 

När behandlingen av personuppgifter grundar sig på artikel 6.1 e i allmänna dataskyddsförordningen ska medlemsstatens nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas på det sätt som föreskrivs i artikel 6.3. En applikations gränsöverskridande interoperabilitet kan anses uppfylla kravet på ett mål av allmänt intresse och den kan anses vara proportionell mot det mål som eftersträvas med den, med beaktande av de fördelar som uppnås med den och beskrivs närmare i propositionen. Enligt artikel 6.3 i allmänna dataskyddsförordningen kan det i den rättsliga grunden för behandlingen föreskrivas exempelvis om de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, för vilka ändamål personuppgifter får lämnas ut, lagringstid samt typer av behandling och förfaranden för behandling.  

Informationssystemets interoperabilitet med motsvarande system i andra länder kräver också att uppgifter om hälsa behandlas. De betraktas som sådana uppgifter som avses i artikel 9 i allmänna dataskyddsförordningen och hör till de särskilda kategorier av personuppgifter som det i princip är förbjudet att behandla. Behandling av den typen av uppgifter är tillåten endast om det utöver det allmänna behandlingsvillkoret enligt artikel 6.1 i den allmänna dataskyddsförordningen finns ett sådant särskilt behandlingsvillkor som avses i artikel 9.2.  

Enligt artikel 9.2 i i allmänna dataskyddsförordningen är behandling av uppgifter om hälsa tillåten när det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan. Behandlingen av uppgifter om hälsa i samband med informationssystemet kan grunda sig på denna punkt i allmänna dataskyddsförordningen. Också i detta fall krävs det dock lagstiftning om frågan, och det ska dessutom föreskrivas om lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter och friheter. I skäl 52 i ingressen till allmänna dataskyddsförordningen nämns som ett kriterium för att behandla uppgifter om hälsa att det sker för att förebygga eller kontrollera smittsamma sjukdomar och andra allvarliga hot mot hälsan.  

Riksdagens grundlagsutskott har påpekat att nationell speciallagstiftning om skydd för personuppgifter bör reserveras för situationer när den är dels tillåten enligt allmänna dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter. Vid bedömningen av behovet av speciallagstiftning och hur detaljerad den ska vara ska man i enlighet med det riskbaserade synsätt som krävs enligt allmänna dataskyddsförordningen också beakta de hot och risker som behandlingen av uppgifterna medför. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat kan det anses vara med mer detaljerade bestämmelser. I synnerhet rätt att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, vilket inneburit exempelvis att inrättande av register med sådana uppgifter måste bedömas mot villkoren för att inskränka de grundläggande fri- och rättigheterna, särskilt med avseende på inskränkningarnas acceptabilitet och proportionalitet. Det bör således finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. 

De uppgifter om hälsa som kommer att behandlas hör till särskilda kategorier av personuppgifter och behandlingen av uppgifter medför även i övrigt risker. Följaktligen finns det anledning att i bestämmelserna om informationssystemet och den behandling av personuppgifter som sker i samband med systemet föreskriva om behandlingen av personuppgifter tillräckligt detaljerat och noggrant avgränsat inom ramen för det regleringsutrymme som allmänna dataskyddsförordningen medger. Dessutom måste det föreskrivas om lämpliga skyddsåtgärder i enlighet med artikel 9.2 i i allmänna dataskyddsförordningen. Utöver andra skyddsåtgärder som ingår i 4 a kap. i lagen om smittsamma sjukdomar ska samtycke tjäna som skyddsåtgärd. Samtycke ska vara ett villkor för att uppgifter lämnas ut till en myndighet i ett annat land. 

4.2  De huvudsakliga konsekvenserna

I regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar har effekterna av ett informationssystem som effektiviserar brytandet av coronavirusets smittkedjor beskrivits från olika synvinklar (se RP 101/2020 rd s. 14–21). 

Informationssystemets föreslagna gränsöverskridande interoperabilitet orsakar några tillägg till de tidigare presenterade konsekvenserna. Efter inledandet av interoperabiliteten ska mobilapplikationen fungera på samma sätt som tidigare, och användaren ska informeras om den nya funktionen. Användarna av mobilapplikationen kan i och med den gränsöverskridande interoperabiliteten i allt större utsträckning delta i förebyggandet av coronavirusets spridning, eftersom de frivilligt och anonymt även kan informera användare av mobilapplikationer som har utvecklats i olika länder om smittan, och de får alltså uppgiften om att de eventuellt blivit exponerade till sin egen applikation. Användarna av applikationer som har utvecklats i andra länder är i kontakt med hälsovården i sitt eget land efter att ha fått veta om den eventuella exponeringen. Det ska alltså vara helt frivilligt att informera användare av en applikation som har utvecklats i ett annat land om smittan, och inga uppgifter lämnas ut om inte användaren ger sitt samtycke till detta.  

Genomförandet av interoperabiliteten har ekonomiska konsekvenser. Utvecklingen av informationssystemet och den mobilapplikation som ingår i det på det sätt som interoperabiliteten kräver orsakar kostnader. Till årets tredje tilläggsbudget beviljades ett anslag på sex miljoner euro för genomförandet av helheten. Kostnaderna för genomförandet av interoperabiliteten ska täckas med detta anslag. Förslaget innehåller inga nya uppgifter eller skyldigheter för samkommunerna för sjukvårdsdistrikten. Institutet för hälsa och välfärd ska alltjämt ansvara för kommunikationen och rådgivningen i anknytning till informationssystemet och mobilapplikationen. 

Syftet med förslaget är att bidra till att det inte blir nödvändigt att begränsa varornas, tjänsterna och personernas fria rörelse enligt EU:s fördrag med så långtgående åtgärder som det hittills vidtagits för att bekämpa coronaviruset. Med detta strävar man även efter positiva effekter med tanke på den inre marknadens och samhällets funktion. Dessutom vill man med verksamhet som överensstämmer med genomförandebeslutet förbättra medborgarnas möjligheter att själva delta i bekämpningen av viruset, när de rör sig inom EU på det sättet som resebegräsningarna tillåter.  

När det gäller behandlingen i anslutning till informationssystemet, fungerar Institutet för hälsa och välfärd som den personuppgiftsansvarige och ansvarar därmed för informationssäkerheten enligt den allmänna dataskyddsförordningen. Som en del av tryggandet av informationssäkerheten kan Institutet för hälsa och välfärd enligt lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (bedömningslagen) vid bedömningen av informationssäkerheten utnyttja det i nämnda lag föreskrivna förfarandet. På basis av 3 § i bedömningslagen får statsförvaltningsmyndigheterna för bedömning av informationssäkerheten i sina informationssystem och sin datakommunikation bara använda sig av det förfarande som avses i nämnda lag eller av ett sådant bedömningsorgan som har godkänts av Kommunikationsverket enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011). Med andra ord kan informationssäkerheten bedömas av Trafik- och kommunikationsverkets Cybersäkerhetscenter eller av ett bedömningsorgan son har godkänts enligt lagen om bedömningsorgan för informationssäkerhet. Det är meningen att Cybersäkerhetscentret bedömer informationssäkerheten av den gränsöverskridande användningen av informationssystemet. Enigt den preliminära uppskattningen tar bedömningen av informationssäkerheten cirka 4 veckor och dess kostnader är grovt räknat 50 000 euro. I artikel 35 i den allmänna dataskyddsförordningen föreskrivs det om skyldigheten att genomföra en konsekvensbedömning avseende dataskydd. Institutet för hälsa och välfärd genomförde en konsekvensbedömning innan informationssystemet togs i bruk, och denna bedömning kommer att uppdateras innan informationssystemets gränsöverskridande interoperabilitet inleds.  

Vid Institutet för hälsa och välfärd har konsekvenserna i anslutning till informationssystemet varit den betydande ökningen av arbetsmängden inom tekniskt och administrativt underhåll, riskhantering och övervakning. Informationssäkerhet och dataskydd har spelat en central roll för att Coronablinkern har kunnat införas på ett bra sätt, och de måste beaktas även framöver. Till exempel det tekniska underhållet av applikationen och det bakomliggande systemet förutsätter regelbundna möten, felutredningar samt ändringar i applikationen och systemet. Ändringsbehoven beror framför allt på ändringar i gränssnittet Google/Apple Exposure Notification, uppdateringar av operativsystemet Android/Apple OS, fel som upptäckts i funktionen av den mobila enheten samt på ändringar som syftar till att effektivisera applikationens funktion. Informationssystemets gränsöverskridande interoperabilitet för att möjliggöra informationsbytet kommer att ytterligare öka arbetsmängden för Institutet för hälsa och välfärd. För att kunna delta i samarbetet krävs det av Institutet för hälsa och välfärd omfattande deltagande i juridiskt och tekniskt samarbete mellan medlemsstaterna, när det gäller definition, planering, riskhantering och ibruktagande.  

Informationssystemets gränsöverskridande interoperabilitet påverkar mängden data som byts ut mellan mobilapplikationen och det bakomliggande systemet. Beroende på pandemisituationen samt antalet människor som använder applikationer som har getts ut i olika länder kan man uppskatta att det i fortsättningen överförs identifieringsdata mellan några hundra kilobyte till tiotals megabyte per dygn mellan applikationen och det bakomliggande systemet. Nuförtiden (september 2020) är den datatrafik som mobilapplikationen använder i storleksklassen några tiotals kilobyte per dygn. I finska telefonabonnemang ingår vanligen ett datapaket utan övre gräns, men i vissa abonnemang är datapaketet dock begränsat. Enligt statistik från OECD http://www.oecd.org/sti/broadband/broadband-statistics/. överförs det i finska mobila bredbandsuppkopplingar 23,48 Gt i månaden i genomsnitt, det vill säga cirka 771 Mt per dygn. Abonnemangen har vanligen ett begränsat EU-datapaket, vars storlek varierar enligt typen av abonnemang. De datatrafiksmängder som ingår i EU-datapaketen kan räknas i gigabyte. Därmed kan man uppskatta att inverkan av den ökade dataöverföringen är måttlig och att den bara i vissa fall kan leda till små tilläggskostnader för medborgarna. Tilläggskostnader uppstår mest sannolikt när en person reser utomlands, då användaren också har den största nyttan av applikationens interoperabilitet. Användaren kan påverka användningen av mobildata också genom att utnyttja alternativa förbindelser, till exempel wifi-nätet. Den ökade datatrafiken påverkar också det nätband som kan användas av andra applikationer, telefonens belastning och därmed också användningen av batteriet under dataöverföringen. Även med långsamma abonnemang (t.ex. 1 Mbit/s) tar det högst några minuter per dygn att ladda ner identifierare. Detta innebär att den ökade datatrafikens inverkan på batterikonsumtionen eller användningen av andra applikationer i telefonen kommer att vara rätt liten. 

I propositionen föreslås det att det ska föreskrivas om behandlingen av personuppgifter i anslutning till den gränsöverskridande användningen av ett informationssystem som effektiviserar brytandet av smittkedjor av coronaviruset som orsakat covid-19-epidemin. Därmed har den konsekvenser för skyddet av personuppgifter. Informationssystemets konsekvenser i fråga om dataskydd har mer allmänt beskrivits i regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar  

I de situationer av interoperabilitet som avses i lagförslaget blir det nödvändigt att behandla information om länder som ansluter sig till gränsöverskridande användning av informationssystemet och om ursprungsländerna av pseudonyma identifierare. Dessutom blir det nödvändigt att kunna överlämna pseudonyma identifierar av personer som meddelat om sin smitta till myndigheterna i ett annat land som deltar i interoperabiliteten. Jämfört med de nuvarande bestämmelserna är det fråga om behandling av nytt slag, som också delvis gäller hälsouppgifter, som hör till särskilda kategorier av personuppgifter (uppgift om smitta).  

På grund av konsekvenserna och risken för dataskyddet är det meningen att i propositionen åtgärda dessa på flera olika sätt. I 4 a kap. i lagen om smittsamma sjukdomar föreskrivs det redan noggrant om behandlingen av personuppgifter i samband med användningen av applikationen med beaktande av bland annat principen för minimering av informationsbehandlingen. De personuppgifter som behandlas ska begränsas till enbart uppgifter som är nödvändiga med tanke på användningssyftet, och de ska specificeras i lagstiftningen. Utgångspunkten är att den längsta tiden för att spara personuppgifter är mycket kort (21 dygn). De uppgifter som ska behandlas är pseudonyma, vilket minskar riskerna i anslutning till skyddet av personuppgifter, eftersom det är mycket svårt att identifiera en enskild användare på basis av dem. 

Riskerna för skyddet av personuppgifter minskas väsentligt av att användningen är frivillig samt genom åtgärder som främjar användarens självbestämmanderätt. Ingen tvingas ta mobilapplikationen i bruk utan dess användning baserar sig på frivillighet. Samtycket ska även fungera som tilläggsskydd i samband med den gränsöverskridande interoperabiliteten. En person ska bes om samtycke innan uppgifter lämnas till en myndighet eller annat offentligt organ som ansvarar för ett annat lands applikation. Man behöver inte ge sitt samtycke till detta. En person kan också när som helst sluta använda applikationen.  

Dessutom bör det noteras att den allmänna dataskyddslagstiftningen i sig ställer många krav på den personuppgiftsansvarige och personuppgiftsbiträdet i anslutning till behandlingen av personuppgifter. Den personuppgiftsansvarige ska bland annat beakta kraven som gäller inbyggt dataskydd och dataskydd som standard på det sätt som föreskrivs i den allmänna dataskyddsförordningen. Det finns även skäl att fästa uppmärksamhet vid bland annat det hur klar och förståelig den information som ges om den nya behandlingen av personuppgifter och samtycket gällande den är.  

Den gränsöverskridande interoperabiliteten förutsätter att Institutet för hälsa och välfärd som den personuppgiftsansvarige utan hinder av sekretessbestämmelserna kan lämna ut den pseudonyma identifieraren av en användare som meddelat om smitta till i artikel 7a.4 i genomförandebeslutet avsedda, utsedda nationella myndigheter eller offentliga organ som behandlar personuppgifter i en annan EU-medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz genom den i artikel 1.1.j i genomförandebeslutet avsedda samordnade nätslussen.  

De myndigheter som deltar i interoperabiliteten, som representeras av utsedda nationella myndigheter eller offentliga organ, fastställer tillsammans syftet och metoderna för behandlingen av personuppgifter som sker genom den samordnade nätslussen. Därmed är de enligt genomförandebeslutet gemensamt personuppgiftsansvariga. Kommissionen, som erbjuder den samordnade nätslussens tekniska och organisatoriska lösningar, behandlar pseudonymiserade personuppgifter för de deltagande personuppgiftsansvarigas räkning i den samordnade nätslussen, och är därför personuppgiftsbiträdet. 

Genomförandebeslutet fastställer rätt noga hur behandlingen av personuppgifter ska ske i ett gränsöverskridande kontext och hur till exempel ansvarsfördelningen mellan personuppgiftsansvariga och personuppgiftsbiträdet fastställs när det gäller den samordnade nätslussen. I genomförandebeslutet fastställs även personuppgifternas behandlingssyfte. Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen enligt artikel 7a i genomförandebeslutet vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang. Därmed får personuppgifter i princip inte användas för andra, oförenliga användningssyften. Genomförandebeslutet hänvisar också till riktlinjer och ett yttrande från Europeiska dataskyddsstyrelsen, där det understryks att ändamålet för användning av uppgifterna ska inskränkas till hantering av covid-19-krisen och att exempelvis kommersiell och lagövervakningsrelaterade syften måste vara uteslutna. ”Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” och ”EDPB statement of 16 June 2020 on the data protection impact of the interoperability of contact tracing apps”. Båda dokumenten finns på adressen https://edpb.europa.eu. Dessutom informeras användaren i förväg om de syften för vilka information lämnas och för vilka information kan behandlas, vilket betyder att skyddet för personuppgifter berörs bara på ett begränsat sätt som användaren är medveten om i förväg.  

Varje personuppgiftsansvarig som deltar i interoperabiliteten ansvarar för behandlingen av personuppgifter i den samordnade nätslussen i enlighet med den allmänna dataskyddsförordningen. EU:s allmänna dataskyddsförordning tillämpas som sådan i EU:s medlemsländer. Beroende på de valda tillvägagångssätten kan behandlingen av personuppgifter i samband med användningen av mobilapplikationen antingen basera sig direkt på den allmänna dataskyddsförordningen eller på specialbestämmelser som kompletterar den. I EES-länderna inleddes tillämpningen av den allmänna dataskyddsförordningen sommaren 2018, när den införlivades med avtalet om Europeiska ekonomiska samarbetsområdet (beslut av gemensamma EES-kommittén 154/2018, 6.7.2018). Europeiska kommissionen har i sitt beslut gällande Schweiz konstaterat att Schweiz uppfyller en adekvat nivå av dataskydd (kommissionens beslut 2000/518/EG enligt Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd av personuppgifter i Schweiz, 26.7.2000). Därmed uppfylls högklassigt skydd av personuppgifter även när personuppgifter behandlas i gränsöverskridande situationer. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

Kommissionens genomförandebeslut (EU) 2020/1023 förpliktar inte de medlemsstater som har godkänt det att delta i samarbetet enligt genomförandebeslutet. Deltagande i samarbetet enligt genomförandebeslutet och det gränsöverskridande utbytet av uppgifter är alltså helt frivilligt. Om Finland inte deltar i samarbetet enligt genomförandebeslutet, finns det inget behov att föreskriva om lämnande av personuppgifter. Å andra sidan, även om det föreskrevs om lämnandet av personuppgifter, behöver Finland inte delta i samarbetet, eller Finland godkänns inte nödvändigtvis som användare av den samordnade nätslussen. Kommissionen har också skapat regler för det hur en medlemsstat kan delta i samarbetet och ansluta sig till den samordnade nätslussen. En medlemsstat ska tillämpa patientrörlighetsdirektivet och dessutom ska en medlemsstat ansöka om anslutning till den samordnade nätslussen av nätverket för e-hälsa. För att kunna ansluta sig till den samordnade nätslussen måste en medlemsstat uppfylla vissa kriterier och ansöka om deltagande som användare av den samordnade nätslussen.  

Deltagande i det gränsöverskridande utbytet av uppgifter gör det möjligt att användare av applikationer i länder som deltar i interoperabiliteten kan bli informerade om en eventuell exponering även när de är på resa. På det här sättet kan användarna av applikationen skydda sin egen och andra människors hälsa. De kan anonymt meddela om sin smitta och motta information om en eventuell exponering och följa myndigheternas anvisningar. Det gränsöverskridande utbytet av uppgifter kan därmed ha betydelse för att förhindra spridning av coronaepidemin. Om Finland inte deltar i det gränsöverskridande utbytet av uppgifter, kan människor inte vara med och hindra spridning av epidemin med informations- och kommunikationstekniska medel. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

På grund av den folkhälsokris som covid-19-pandemin orsakat har flera av EU:s medlemsländer och EES-länder tagit i bruk eller planerat mobilapplikationer med vilka kontaktspårningen kan underlättas och med vilka det är möjligt att varna användare av dylika applikationer och uppmana dem till lämpliga åtgärder efter en eventuell exponering. I applikationerna tillämpas Bluetooth low energy-teknologi för att upptäcka närkontakter. Applikationernas interoperabilitet har säkrats med gemensamma definitioner så att de ska varna enskilda användare oberoende av i vilket land de finns, om landet deltar i interoperabiliteten. Ett centralt syfte med interoperabiliteten ska vara att så långt som möjligt begränsa gränsöverskridande uppgifter för att trygga interoperabiliteten samt för att samtidigt garantera kostnadseffektiviteten och tilliten mellan de deltagande medlemsstaterna. Kommissionen har berett en samordnad nätsluss, som möjliggör utbytet av uppgifter mellan olika länders applikationer inom hela EU. De första medlemsländerna, dvs. myndigheterna i Tjeckien, Danmark, Tyskland, Irland, Italien och Lettland, testade denna infrastruktur i mitten av september. Efter piloterfarenheter är målet att inleda det egentliga ibruktagandet när det gäller förmedlingen av personuppgifter den 15 oktober 2020. 

Med anledning av utvecklingen av covid-19-krisen under den senaste tiden har både kommissionen och Europeiska dataskyddsstyrelsen gett ut riktlinjer om mobilapplikationer och uppspårningsverktyg av kontakter med tanke på informationsskyddet. Strukturen av den digitala infrastruktur som möjliggör medlemsstaternas mobilapplikationer och deras interoperabilitet baserar sig på EU:s gemensamma verktygslåda, ovannämnda riktlinjer och tekniska specifikationer som man överenskommit om i nätverket för e-hälsa. 

Behandlingen av personuppgifterna för de användare som använder kontaktspårnings- och varningsapplikationer i mobila enheter, för vilken behandling medlemsländerna eller andra offentliga organisationer eller organ i medlemsstaten ansvarar, ska ske enligt den allmänna dataskyddsförordningen. Vid behandlingen av personuppgifter, som är på kommissionens ansvar, ska Europaparlamentets och rådets förordning (EU) 2018/1725 iakttas med tanke på förvaltningen av den samordnade nätslussen och tryggandet av dess säkerhet. 

Enligt en förfrågning som kommissionen gjorde i maj 2020 berättade fem av de länder (Tyskland, Kroatien, Litauen, Irland och Cypern) som ska ta tjänsten i bruk att rättsgrunden för databehandlingen genom den samordnade nätslussen är samtycke, tre medlemsländer (Finland, Lettland och Nederländerna) att det är den nationella lagstiftningen, två medlemsländer (Lettland och Malta) att det är samtycke utöver lagstiftningen, en medlemsland (Slovakien) meddelande att den inte ansluter sig till tjänsten och en (Polen) att rättsgrunden för behandlingen är genomförandebeslutet. 

Enligt en förfrågning som gemensamt personuppgiftsansvariga för den samordnade nätslussen genomförde den 26 augusti 2020 har rättsgrunden i vissa medlemsländer inte än specificerats (till exempel i Litauen, där behandlingen dock sannolikt ska basera sig en ändring av lagen om smittsamma sjukdomar). I Danmark ska rättsgrunden för behandlingen vara ett förordnande som baserar sig på lagen om smittsamma sjukdomar. Därtill förutsätts ett samtycke. Användningen av den samordnade nätslussen förutsätter dock separat samtycke. I Tjeckien bereds lagstiftningen, och den ska basera sig på folkhälsolagen. I Polen är rättsgrunden för behandlingen en lag som baserar sig på allmänt intresse och separat samtycke för den samordnade nätslussen. I Portugal ska rättsgrunden för behandlingen vara en lag som baserar sig på allmänt intresse samt samtycke. I Italien är rättsgrunden för behandlingen för närvarande lagstiftning som baserar sig på allmänt intresse, men det övervägs att rättsgrunden för den samordnade nätslussen dessutom ska vara samtycke. I och för sig möjliggör den nuvarande lagstiftningen behandlingen av uppgifter som förmedlas via den samordnade nätslussen enbart på basis av lagstiftningen. I Slovenien är rättsgrunden för behandlingen för närvarande en lag som baserar sig på allmänt intresse, men man håller på att förnya lagstiftningen. 

I en första våg den 19 oktober 2020 gick Tyskland, Italien och Irland med i den samordnade nätslussen. I den andra vågen den 26 oktober 2020 anslöt sig Spanien, Lettland och Kroatien. I den tredje vågen den 30 oktober 2020 står bland annat Danmark, Polen, Slovakien, Belgien och Litauen på tur. Nästa gång länder ansluter sig är den 30 november 2020. 

Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen enligt artikel 7a.1 vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang. Enligt kommissionens förfrågning i maj 2020 meddelade två (Finland och Cypern) av de 13 länder som besvarade förfrågningen att de även behandlar uppgifter från kontaktspårnings- och varningsapplikationer för statistiska och vetenskapliga ändamål. I Finland får uppgifter enligt 43 c § i lagen om smittsamma sjukdomar användas för statistiska ändamål. 

Enligt den allmänna dataskyddsförordningen får personuppgifternas fria rörlighet inom unionen inte begränsas eller förbjudas av orsaker som har att göra med skyddet av fysiska personer vid behandlingen av personuppgifter. Enligt artikel 14 i patientrörlighetsdirektivet ska unionen stödja och främja samarbete om och utbyte av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. De nationella myndigheter och offentliga organ som har utsetts i nätverket för e-hälsa och som behandlar personuppgifter i den samordnade nätslussen kan lita på det att personuppgifterna behandlas enligt den allmänna dataskyddsförordningen och enligt riktlinjer som utfärdats av Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” och ”EDPB statement of 16 June 2020 on the data protection impact of the interoperability of contact tracing apps”. Båda dokumenten finns tillgängliga på adressen . och kommissionen. Kommissionens rekommendation (EU) 2020/518 av den 8 april 2020 om en unionsgemensam verktygslåda för användningen av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata (EUT L 114, 14.4.2020, s. 7). Meddelande från kommissionen – Vägledning om appar till stöd för kampen mot covid-19-pandemin med avseende på dataskydd (EUT C 124 I, 17.4.2020, s. 1). Användningen av den samordnade nätslussen förutsätter dessutom en ansökan, som riktas till nätverket för e-hälsa. De nationella myndigheter och offentliga organ som ansvarar för tjänster för e-hälsa ska bevisa att de uppfyller de gemensamt överenskomna juridiska, tekniska, organisatoriska samt datasekretess- och datasäkerhetsrelaterade krav som ställts av undergruppen för gemensamt registeransvariga inom nätverket för e-hälsa.  

Kommissionen och de nationella myndigheter som har tillgång till den samordnade nätslussen testar och bedömer regelbundet effektiviteten av de tekniska och organisatoriska åtgärder med vilka säkerheten av behandlingen av personuppgifter i den samordnade nätslussen kan tryggas.  

Utan att begränsa de gemensamt registeransvarigas beslut att avsluta behandlingen i den samordnade nätslussen ska den samordnade nätslussens verksamhet avslutas senast 14 dygn efter det att alla nationella kontaktspårnings- och varningsapplikationer som har anslutits till nätet och används i mobila enheter har slutat att överföra nycklar genom den samordnade nätslussen. 

Remissvar

Utkastet till propositionen publicerades den 13 oktober 2020 i den elektroniska utlåtandetjänsten. Inom den utsatta tiden kom det in 21 yttranden. 

Yttrandena innehöll huvudsakligen positiva omdömen och gränsöverskridande interoperabilitet för informationssystemen ansågs i de flesta fall vara till nytta. Också skyddet för personuppgifter och privatlivet har beaktats på behörigt sätt, ansågs det.  

Riksdagens justitieombudsmans kansli påpekade att användningsändamålet för personuppgifter inte uttrycks särskilt tydligt eller öppet i kommissionens genomförandebeslut. Vidare är det öppet hur det vid utlämnande av uppgifter ska säkerställas att det mottagande landet tillämpar en inskränkning i användningen av uppgifter som motsvarar förbudet i 43 c § 1 mom. i lagen om smittsamma sjukdomar. Dessutom sägs det i yttrandet att uppgifter om möten mellan personer kan vara av betydelse exempelvis vid brottsutredningar. Också dataombudsmannens byrå lyfter i sina yttranden fram frågan om hur man i systemet kommer att försäkra sig om att restriktionerna i användningsändamålet enligt lagen om smittsamma sjukdomar följs också efter att uppgifter lämnas ut till en myndighet i utlandet. Förslaget har preciserats i det hänseendet. 

Specialmotivering

43 c §.Behandlingen av personuppgifter i samband med användningen av informationssystemet 

Det föreslås att till paragrafens 2 mom. fogas en ny 6 punkt. I samband med användningen av informationssystemet får man i de situationer som avses i 43 i § 2 mom. behandla uppgifter om de länder som ansluter sig till gränsöverskridande användning av informationssystemet. I praktiken fås informationen om de länder som ansluter sig till den gränsöverskridande användningen när en användare av applikationen som blivit smittad frivilligt anmäler smittan i applikationen. Samtidigt kan användaren uppge i vilka länder han eller hon har rest. Dessutom ska 2 mom. 5 punkten ändras till följd av ovannämnda ändring så att den punkt som finns i slutet av 5 punkten ändras till ett kommatecken. Till 3 mom. fogas en bestämmelse om att den nya uppgiften enligt 6 punkten får sparas i det bakomliggande systemet för spårning av de applikationsanvändare som eventuellt exponerats för smitta. Till paragrafens 4 mom. fogas en bestämmelse om att också uppgifter som avses i den nya 6 punkten ska raderas och förstöras inom 21 dygn från det att de har registrerats eller senast när informationssystemet tas ur bruk. 

43 i §.Behandlingen av personuppgifter i samband med gränsöverskridande användning av informationssystemet 

I paragrafen ska beskrivas om behandling av personuppgifter i samband med informationssystemets gränsöverskridande användning.  

I paragrafens 1 mom. ska föreskrivas om personuppgifternas användningssyfte i samband med informationssystemets gränsöverskridande användning. Enligt den föreslagna bestämmelsen får personuppgifter i samband med användningen av informationssystemet även behandlas för gränsöverskridande utbyte av uppgifter mellan nationella mobilapplikationer som används för att spåra upp personer som eventuellt exponerats för coronavirussjukdomen och de tillhörande bakomliggande systemen i en annan medlemsstat i Europeiska unionen (EU), en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz genom den samordnade nätsluss som avses i artikel 1.1 j i kommissionens genomförandebeslut (EU) 2020/1023 om ändring av genomförandebeslut (EU) 2019/1765 vad gäller det gränsöverskridande utbytet av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning i kampen mot covid-19-pandemin, nedan genomförandebeslutet. Genom bestämmelsen utvidgas det användningsändamål för personuppgifter som föreskrivs i 43 c § 1 mom. i lagen om smittsamma sjukdomar. Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen enligt artikel 7a i kommissionens genomförandebeslut (EU) 2020/1023 vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang. Beslutet hänvisar också till riktlinjer och ett yttrande från Europeiska dataskyddsstyrelsen, där det understryks att användningsändamålet måste vara begränsat till hantering av covid-19-krisen och att exempelvis kommersiella och lagövervakningsrelaterade ändamål ska vara uteslutna. Dessutom ska de länder som använder den samordnade nätslussen intyga att de använder uppgifterna uteslutande enligt metoder som är förenliga med prevention av covid-19-krisen. Som personuppgiftsansvarig ska Institutet för hälsa och välfärd se till att de registrerade informeras tydligt och heltäckande om behandlingen av personuppgifter inom ramen för informationssystemet.  

I 2 mom. ska föreskrivas om rätten av Institutet av hälsa och välfärd att lämna ut personuppgifter. Institutet för hälsa och välfärd ska utan hinder av sekretessbestämmelserna kunna lämna ut de i 43 c § 2 mom. 3 och 6 punkten i lagen om smittsamma sjukdomar avsedda behövliga uppgifterna till i artikel 7a.4 i genomförandebeslutet avsedda, utsedda nationella myndigheter eller offentliga organ i en annan EU-medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz för att spåra upp personer som eventuellt exponerats för coronaviruset. Uppgifter som avses i 43 c § 2 mom. 3 punkten i lagen om smittsamma sjukdomar gäller pseudonyma identifierare som ansluter sig till en mobilapplikationsanvändare som blivit smittad. Pseudonyma identifierare ska sparas i det bakomliggande systemet enligt 43 c 3 mom., från vilket de kan lämnas ut genom den samordnade nätslussen för att spåra upp personer som eventuellt exponerats för coronaviruset.  

I paragrafens 3 mom. ska det föreskrivas om det samtycke som användaren av mobilapplikationen gett för utlämnande av personuppgifter. Det handlar om en specifik skyddsåtgärd vid behandling av personuppgifter som är obligatorisk enligt artikel 9.2 i i den allmänna dataskyddsförordningen. Utlämnande av personuppgifter på det sätt som avses i 2 mom. till utsedda nationella myndigheter eller offentliga organ i en annan EU-medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz kräver att användaren gett sitt samtycke till det. Användaren ska ge samtycket frivilligt i mobilapplikationen. Av samtycket ska det framgå att det har lämnats frivilligt och uttryckligt samt med vetskap om de ändamål för vilka uppgifter som överförts med mobilapplikationen får lämnas ut och användas. Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen enligt artikel 7a.1 vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang. Applikationen ska berätta för vilka ändamål uppgifterna lämnas och för vilka ändamål de kan användas. Det ska också framgå att samtycket inte har lämnats i samband med kundservice inom social- och hälsovården eller i ett myndighetsförfarande. Institutet för hälsa och välfärd ansvarar för att samtycket som tillfrågas i mobilapplikationen ska uppfylla dessa kriterier.  

Ikraftträdandebestämmelsen  

Lagens ikraftträdandebestämmelse ska ändras på så sätt att lagens giltighet fortsätter till den 31 december 2021. 

Ikraftträdande

Det föreslås att lagen ska träda i kraft den 30 november 2020. 

Grundlagsutskottet har tagit ställning till giltighetstiden för temporära lagar i anknytning till covid-19-epidemin. Enligt utskottet är det av betydelse med avseende på en proportionerlig reglering att en föreslagen lag är avsedd att gälla temporärt (GrUU 7/2020 rd). I sin tolkningspraxis har grundlagsutskottet ansett att giltighetstiden för restriktioner som görs i de grundläggande fri- och rättigheterna till följd av covid-epidemin måste inskränka sig till det som är nödvändigt (t.ex. GrUU 14/2020 rd, s. 6). Covid-19-pandemin orsakar globalt en exceptionell belastning av social- och hälsovårdssystemen, ekonomin och samhällets olika sektorer. Under hösten 2020 har pandemin på nytt klart tilltagit i de flesta EU-länder inklusive Finland. Även om arbetet för att utveckla ett covid-19-vaccin fortsätter aktivt, är det osannolikt att det genom vaccineringar kan uppnås ett betydande avtagande av pandemin under 2021. Ett informationssystem som effektiviserar brytandet av smittkedjor är en del av hanteringen av epidemin. Effektiv och snabb spårning av smittkedjor har en nyckelställning vid förebyggandet av coronavirusets spridning. 

Ett villkor för att behandla personuppgifter enligt 4 a kap. i lagen om smittsamma sjukdomar är, utöver vissa andra krav, att personen ger sitt samtycke i förväg. Vidare krävs det samtycke för att lämna ut de uppgifter som avses i denna proposition. Det handlar således inte om tvingande eller förpliktande reglering som är oproportionerlig i förhållande till personens grundläggande fri- och rättigheter. Enligt 43 a § i lagen om smittsamma sjukdomar ska Institutet för hälsa och välfärd i vilket fall som helst se till att informationssystemet används bara så länge som det behövs för att bryta smittkedjor för sjukdomen covid-19. 

Verkställighet och uppföljning

Social- och hälsovårdsutskottet konstaterade i sitt betänkande ShUB 17/2020 rd https://www.eduskunta.fi/SV/vaski/Mietinto/Sidor/ShUB_17+2020.aspx. att riksdagen förutsätter att statsrådet ägnar mobilapplikationens och det bakomliggande systemets utveckling och funktion en mycket tät uppföljning, i synnerhet med tanke på integritetsskyddet och informationssäkerheten, och upprätthåller beredskap för att vid behov snabbt göra ändringar i regleringen eller på systemnivå. Statsrådet ska lämna en utredning om saken till riksdagen senast under höstsessionen 2021. 

10  Förhållande till andra propositioner

10.1  Samband med andra propositioner

Social- och hälsovårdsministeriet har även berett andra ändringar i lagen om smittsamma sjukdomar. Deras syfte är att hindra coronavirussjukdomens spridning bland befolkningen i enlighet med regeringens hybridstrategi och verksamhetsplan. Ett annat syfte med regleringen är att trygga social- och hälsovårdssystemets funktionsförmåga om sjukdomsläget förvärras. 

11  Förhållande till grundlagen samt lagstiftningsordning

Enligt lagförslaget ska man för att genomföra den interoperabilitet som avses i 4 a kap. i lagen om smittsamma sjukdomar även få behandla personuppgifter för gränsöverskridande utbyte av uppgifter mellan motsvarande mobilapplikationer i en annan medlemsstat i Europeiska unionen, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz och de tillhörande bakomliggande systemen. I anknytning till detta får även information om de länder som har samband med den gränsöverskridande användningen användas i systemet. I detta syfte ska Institutet för hälsa och välfärd utan hinder av sekretessbestämmelserna kunna lämna ut pseudonyma identifierare för den som meddelat om sin smitta till en behörig myndighet i en annan medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz. Ett villkor för utlämnande ska vara att användaren ger sitt samtycke. Ändringen av lagen om smittsamma sjukdomar har stiftats med grundlagsutskottets medverkan (GrUU 20/2020 rd). Den nu föreslagna utvidgningen baserar sig på samma grundläggande lösningar som det ursprungliga systemet. 

Syftet med förslaget är att effektivisera brytandet av smittkedjorna för covid-19 i synnerhet i gränsöverskridande situationer. En effektiv hantering av covid-19-epidemin är nödvändig för att skydda människors liv, hälsa och omsorg samt för att förhindra att social- och hälsovårdssystemet blir överbelastat. Grundlagsutskottet har konstaterat att upprätthållandet av funktionsförmågan i hälso- och sjukvårdssystemet under en pandemi är, med tanke på de grundläggande fri- och rättigheterna, ett tungt vägande skäl med koppling till det allmännas skyldighet enligt 7 § 1 mom. i grundlagen att trygga vars och ens rätt till liv och även under en pandemi tillförsäkra var och en tillräckliga hälsovårds- och sjukvårdstjänster samt främja befolkningens hälsa (19 § 3 mom. i grundlagen). Detta berättigar exceptionellt långtgående myndighetsåtgärder som också ingriper i människors grundläggande fri- och rättigheter (GrUB 2/2020 rd). 

Den föreslagna lagen möjliggör Finlands anslutning till gränsöverskridande utbyte av uppgifter, vilket utvidgar urvalet frivilliga metoder att bekämpa covid-19-epidemin och minskar behovet att förebygga utspridningen av covid-19-smittor med sådana metoder som begränsar de grundläggande fri- och rättigheterna. Till exempel begränsningar i samband med resor och inträde i landet betyder begränsningar i bland annat de personers rättigheter som har en familj i Finland men arbetsplats eller näringsverksamhet i en annan EU-medlemsstat. Till den här delen är förslaget av betydelse med tanke på bland annat 9 § (rörelsefrihet), 10 § (skydd för privatlivet inklusive skyddet för familjelivet) och 18 § (näringsfrihet och rätt till arbete) i grundlagen. 

Lagförslaget är av betydelse med tanke på det i 10 § i grundlagen föreskrivna skyddet för privatlivet och personuppgifter. De föreslagna bestämmelserna är även av betydelse med tanke på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikeln ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. EU-domstolens domar fastställer till den här delen det centrala innehållet i skyddet för privatlivet och personuppgifter. På samma sätt har artikel 8 i Europakonventionen, som gäller rätten till skydd för privat- och familjeliv, i rättspraxis för Europadomstolen för de mänskliga rättigheterna ansetts även täcka skyddet för personuppgifter.  

Grundlagsutskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Grundlagsutskottet anser att skyddet för personuppgifter i framtiden i första hand ska tillgodoses med stöd av den allmänna dataskyddsförordningen och nationella allmänna lagstiftningen (GrUU 14/2018 rd, s. 4). Grundlagsutskottet anser vidare att man med tanke på tydligheten bör förhålla sig restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Behovet av speciallagstiftning ska även bedömas i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet har framhävt de hot som behandlingen av känsliga uppgifter orsakar. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd eftersom behandlingen av uppgifterna kan innebära betydande risker för de grundläggande rättigheterna och friheterna (GrUU 20/2020 rd). 

Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 5, och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/I), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd, s. 4–5, och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd samt GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (till exempel GrUU 38/2016 rd, s. 3). 

Enligt grundlagsutskottet måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Bestämmelser om behandling av personuppgifter måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (GrUU 65/2018 rd, s. 45, GrUU 15/2018 rd, s. 40).  

Informationssystemets gränsöverskridande funktion förutsätter att pseudonyma identifierare av den användare som meddelat sin smitta ska lämnas ut till en utsedd nationell myndighet eller ett offentligt organ i en annan EU-medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz. Uppgifterna ansluter sig till hälsan och är därmed känsliga. Den reglering som lagförslaget innehåller är exakt och detaljerad och de uppgifter som ska lämnas ut har enbart begränsats till uppgifter vars behandling i detta sammanhang är nödvändigt. 

I konstitutionella analyser av behandlingen av personuppgifter har grundlagsutskottet sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (GrUU 14/2018 rd, s. 6, och GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 

Grundlagsutskottet har även konstaterat att det i princip inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Grundlagsutskottet har dock kommit med iakttagelser om förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Grundlagsutskottet har i sin tolkningspraxis lagt vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Det redogörs noggrannare for användningen av det nationella handlingsutrymmet ovan under rubriken ”Allmänna dataskyddsförordningen och det handlingsutrymme den medger”.  

Överlämnandet av uppgifter till andra staters myndigheter ska därtill förutsätta användarens uttryckliga samtycke. Av samtycket ska det framgå att det har lämnats frivilligt och uttryckligt samt med vetskap om de ändamål för vilka uppgifter som överförts med mobilapplikationen får lämnas ut och användas. Det ska också framgå att samtycket inte har lämnats i samband med kundservice inom social- och hälsovården eller i ett myndighetsförfarande. Som det ovan beskrivs noggrannare i motiveringarna till förslaget, ska behandlingen av personuppgifter grunda sig på artikel 6.1 e i den allmänna dataskyddsförordningen och i fråga om särskilda kategorier av personuppgifter på artikel 9.2 i förordningen, såsom behandlingen av personuppgifter i samband med ett informationssystem även för övrigt. Att personen ska ge sitt samtycke till att uppgifterna överförs kompletterar enbart denna rättsliga grund som en skyddsåtgärd i fråga om behandlingen av personuppgifter.  

Grundlagsutskottet har ansett att samtycke från en person vars grundläggande fri- och rättigheter begränsas i sig kan spela en roll i en konstitutionell bedömning. Utskottet har ändå i sin praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som rättslig grund för att ingripa i de grundläggande fri- och rättigheterna. Utskottet har i det här avseendet sett det som väsentligt vad som kan betraktas som juridiskt relevant samtycke i en viss situation. Vidare har utskottet krävt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ska ges och återtas, att det säkerställs att samtycket är riktigt och ges av fri vilja och att lagstiftningen är nödvändig (GrUU 19/2000 rd, s. 3/II, GrUU 27/1998 rd, s. 2/II, och GrUU 19/2000 rd, s. 3/II). Utskottet har ansett att bestämmelsen om rätt att behandla känsliga personuppgifter efter återkallat samtycke är av betydelse för individens självbestämmanderätt (se GrUU 48/2014 rd, s. 2/II).  

I sitt utlåtande GrUU 20/2020 rd förutsätter grundlagsutskottet att användningen av de uppgifter som används i informationssystemet för andra ändamål ska förbjudas genom ett förbud som är mer absolut och till sitt tillämpningsområde bredare än det som föreslagits. Ett sådant förbud finns i 43 c § 1 mom. i lagen om smittsamma sjukdomar, enligt vilket de uppgifter som behandlas i informationssystemet enbart får användas för syften som avses i 4 a kap. i lagen och enligt vilket de inte får användas för polisundersökningar, förundersökningar, rättegångar eller andra ändamål som har samband med lagövervakning. Uppgifterna får inte heller användas som enda grund vid beslutsfattande enligt 60 § eller vid annan utövning av offentlig makt som inte hänför sig till ett vårdbeslut som gäller covid-19-smitta. Detta förbud gäller även uppgifter som lämnas ut till andra staters myndigheter. I det föreslagna 43 i § 2 mom. begränsas användningsändamålet för de uppgifter som lämnas ut för spårning av mobilapplikationsanvändare som eventuellt blivit exponerade för smitta, vilket innebär att den begränsning som grundlagsutskottet förutsätter införs också till den här delen. 

På de grunder som angetts ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

Lag om ändring av en temporär lag om ändring av lagen om smittsamma sjukdomar 

I enlighet med riksdagens beslut 
ändras i lagen om temporär ändring av lagen om smittsamma sjukdomar (582/2020) 43 c § 2 mom. 5 punkten samt 3 och 4 mom. och ikraftträdandebestämmelsen samt 
fogas till 43 c § 2 mom. en ny 6 punkt och till lagen en ny 43 i § som följer: 
43 c § 
Behandlingen av personuppgifter i samband med användningen av informationssystemet 
 En icke ändrad del av lagtexten har utelämnats 
I samband med användningen av informationssystemet får följande personuppgifter behandlas: 
 En icke ändrad del av lagtexten har utelämnats 
5) namn, telefonnummer, hemkommun och vid behov tillfällig boningsort samt uppgifter om symtom som en användare har uppgett i samband med en sådan begäran om kontakt som avses i 43 e § 1 mom., 
6) i situationer som avses i 43 i § 2 mom. uppgift om de länder som ansluter sig till gränsöverskridande användning av informationssystemet. 
De uppgifter som avses ovan i 2 mom. 1, 2 och 4 punkten får sparas i användarens mobila enhet. I det bakomliggande systemet får de uppgifter som avses i 2 mom. 3 och 6 punkten registreras för uppspårning av de applikationsanvändare som eventuellt exponerats för smitta, och de uppgifter som nämns i 2 mom. 5 punkten registreras för utlämnande till en verksamhetsenhet för hälso- och sjukvård i en kommun eller i en samkommun för ett sjukvårdsdistrikt eller till Ålands hälso- och sjukvård i enlighet med 43 e §. 
De uppgifter som avses i 2 mom. ska raderas och förstöras inom 21 dygn från det att de har registrerats. Uppgifterna ska dock raderas och förstöras senast när informationssystemet tas ur bruk i enlighet med 43 a § 5 mom. 
43 i § 
Behandlingen av personuppgifter i samband med gränsöverskridande användning av informationssystemet 
I samband med användningen av informationssystemet får personuppgifter även behandlas för gränsöverskridande utbyte av uppgifter mellan nationella mobilapplikationer som används för att spåra upp personer som eventuellt exponerats för coronavirussjukdomen och de tillhörande bakomliggande systemen i en annan medlemsstat i Europeiska unionen (EU), en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz genom den samordnade nätsluss som avses i artikel 1.1.j i kommissionens genomförandebeslut (EU) 2020/1023 om ändring av genomförandebeslut (EU) 2019/1765 vad gäller det gränsöverskridande utbytet av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning i kampen mot covid-19-pandemin, nedan genomförandebeslutet.  
Institutet för hälsa och välfärd kan utan hinder av sekretessbestämmelserna lämna ut de i 43 c § 2 mom. 3 och 6 punkten avsedda behövliga uppgifterna till i artikel 7a.4 i genomförandebeslutet avsedda, utsedda nationella myndigheter eller offentliga organ i en annan EU-medlemsstat, en stat inom Europeiska ekonomiska samarbetsområdet eller i Schweiz för att spåra upp personer som eventuellt exponerats för coronaviruset. Uppgifterna lämnas ut genom den i artikel 1.1.j i genomförandebeslutet avsedda samordnade nätslussen. 
Utlämnandet av personuppgifter enligt 2 mom. kräver att användaren gett samtycke till det. Samtycket ges i applikationen. Av samtycket ska det framgå att det har lämnats frivilligt och uttryckligt samt med vetskap om de ändamål för vilka uppgifterna får lämnas ut och användas. Det ska också framgå att samtycket inte har lämnats i samband med kundservice inom social- och hälsovården eller i ett myndighetsförfarande. 
Denna lag träder i kraft den 31 augusti 2020 och gäller till och med den 31 december 2021. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 12 november 2020 
StatsministerSannaMarin
Familje- och omsorgsministerKristaKiuru