Utlåtande
GrUU
1
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den
Till social- och hälsovårdsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den (RP 159/2017 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 
Sakkunniga
Utskottet har hört 
konsultativ tjänsteman
Pia-Liisa
Heiliö
social- och hälsovårdsministeriet
regeringssekreterare
Helena
Raula
social- och hälsovårdsministeriet
lagstiftningsdirektör
Tuula
Majuri
justitieministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
överinspektör
Raisa
Leivonen
dataombudsmannens byrå
professor
Juha
Lavapuro
professor
Lasse
Lehtonen
professor
Olli
Mäenpää
professor
Tuomas
Ojanen
professor (emeritus)
Teuvo
Pohjolainen.
PROPOSITIONEN
I propositionen föreslås en ny lag om sekundär användning av personuppgifter inom social- och hälsovården. Det föreslås också att lagen om Institutet för hälsa och välfärd, lagen om patientens ställning och rättigheter, lagen om klientens ställning och rättigheter inom socialvården, lagen om elektroniska recept, läkemedelslagen, lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om smittsamma sjukdomar och lagen om utredande av dödsorsak ändras samt att lagen om riksomfattande personregister för hälsovården och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården upphävs. 
Genom de föreslagna lagarna ändras bestämmelserna inom det aktuella lagstiftningsområdet så att de motsvarar kraven enligt EU:s allmänna dataskyddsförordning, som ska tillämpas från och med den 25 maj 2018. 
De föreslagna lagarna avses träda i kraft den 1 januari 2018. En del av bestämmelserna ska dock tillämpas först efter en övergångsperiod. 
I motiveringen till lagstiftningsordning granskar regeringen lagförslaget med avseende på grundlagens 10 § 1 mom. om skydd för privatlivet och skydd för personuppgifter, 12 § 2 mom. om offentlighetsprincipen, 80 § om rättssäkerhet och 124 § om delegering av en offentlig förvaltningsuppgift till någon annan än en myndighet. 
Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning men anser det önskvärt att grundlagsutskottets utlåtande om propositionen inhämtas. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Syftet med propositionen är att skapa tidsenliga och enhetliga förutsättningar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverksamheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas sekundärt, det vill säga i annat syfte än det ursprungliga registrerings- och användningsändamålet. Enligt den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården föreskrivs om hur man på hälso- och välfärdsområdet kan utnyttja social- och hälsovårdens kunduppgifter samt andra personuppgifter som finns lagrade i de rikstäckande personregistren för statistikföring, forskning, innovations- och utvecklingsverksamhet, undervisning, informationsledning, myndigheternas styr- och tillsynsuppgifter samt för planering och utredningar. Användningsändamålen för känsliga och sekretessbelagda personuppgifter breddas jämfört med nuläget. Åtminstone delvis nya bland de användningsändamål som föreskrivs i lagen är utvecklings- och innovationsverksamhet, undervisning, informationsledning samt myndighetsstyrning och myndighetstillsyn. 
Förslaget är av betydelse för skyddet för privatlivet och skyddet av personuppgifter. I sin bedömning av bestämmelser av det här slaget har grundlagsutskottet brukat anse att bestämmelserna måste granskas mot 10 § i grundlagen. Enligt den paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Utskottet har därför i sin praxis betonat att det behövs heltäckande och detaljerad reglering på lagnivå om behandling av personuppgifter (se t.ex. GrUU 31/2017 rd, s. 2). 
Grundlagsutskottet har också fäst uppmärksamhet vid att Europeiska unionens allmänna dataskyddsförordning lägger fast reglerna för skydd av fysiska personer vid behandling av personuppgifter och reglerna för fri rörlighet för personuppgifter (se GrUU 31/2017 rd, s. 3, GrUU 42/2016 rd, s. 3). Utskottet anser också att det är av relevans att artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna tillförsäkrar var och en rätt till skydd för personuppgifter (GrUU 31/2017 rd, s. 3). Utskottet har också påpekat att man vid tillämpningen av EU-lagstiftningen om behandling av personuppgifter måste ta hänsyn till respekten för privatlivet enligt artikel 7 och skyddet för personuppgifter enligt artikel 8 i EU:s stadga om de grundläggande rättigheterna och att EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet för personuppgifter (se t.ex. GrUU 21/2017 rd). 
Grundlagsutskottet har följaktligen ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (se även GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4, GrUU 54/2010 rd, s. 2). Dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se även t.ex. GrUU 51/2014 rd, s. 2/II). 
Det ingår inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har framhållit att det därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Dataskyddsförordningen föreskriver om nationellt handlingsutrymme i vissa frågor. 
Utöver detta har grundlagsutskottet särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Utskottets tolkningspraxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. 
Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/I), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet särskilt lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Exempelvis föranleder registreringen av biometriska kännetecken som anses utgöra känsliga uppgifter ett särskilt behov att se till att de personuppgifter som sparas i systemet blir skyddade mot risker för missbruk och mot alla slag av olaglig åtkomst och användning (GrUU 13/2017 rd, GrUU 29/2016 rd). Utskottet har särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 13/2017 rd och GrUU 3/2017 rd). 
Grundlagsutskottet har dessutom lyft fram kravet på ändamålsbegränsning, framför allt i fråga om behandling av känsliga uppgifter. När det gällt till exempel omfattande register med biometriska kännetecken har det enligt grundlagsutskottet funnits orsak att förhålla sig negativ till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för (GrUU 14/2009 rd, s. 4). I de fallen har bara exakt avgränsade och mycket små undantag kunnat göras från ändamålsbegränsningen. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål (se också t.ex. GrUU 14/2017 rd). 
Grunderna för regleringen
Att den föreslagna lagen tillåter sekundär användning av social- och hälsovårdsuppgifter innebär enligt grundlagsutskottet till vissa delar att användningsändamålet för känsliga uppgifter ändras i mycket väsentlig grad. Ändringen gäller en ytterst omfattande datamängd. Å andra sidan går lagförslagen till vissa delar ut på att samordna gällande lagstiftning och att förbättra skyddet för personuppgifter när det gäller både dataskydd och datasäkerhet vid behandlingen av personuppgifter. 
I propositionen påpekar regeringen att den sekundära användningen av uppgifterna måste uppfylla villkoren i dataskyddsförordningen. När uppgifter behandlas för ett annat användningsändamål än det primära användningsändamålet ska behandlingen av uppgifterna i enlighet med artikel 5 vara förenlig med det ursprungliga ändamålet. Ytterligare behandling av uppgifter ska enligt artikel 6.4 i dataskyddsförordningen grunda sig på medlemsstaternas lagstiftning som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23 i förordningen. De mål som föreskrivs i artikel 23 är bland annat viktiga mål i anslutning till det allmänna intresset, såsom folkhälsa och social trygghet samt skydd av den registrerade eller andras rättigheter och friheter. Vidare ska det för behandlingen finnas en grund enligt artikel 6.1 och en grund enligt artikel 9.2 för behandlingen av känsliga uppgifter (s. 94 i RP). 
Uppgifter som betraktas som känsliga och som gäller bland annat personers hälsa och genetiska uppgifter hör enligt artikel 9 i dataskyddsförordningen till s.k. särskilda kategorier av personuppgifter. Personuppgifter av den här typen som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör enligt skäl 51 i förordningen åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. 
Grundlagsutskottets uppfattning är att bestämmelserna i grunden är förenliga med dataskyddsförordningen till denna del. Enligt artikel 5.1 b i förordningen ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikeln inte anses vara oförenlig med de ursprungliga ändamålen. 
Grundlagsutskottet anser att behandling för ändamål av allmänt intresse inte utgör något problem med avseende på skyddet för privatliv och personuppgifter enligt 10 § 1 mom. i grundlagen (GrUU 3/2004 rd, s. 2). Bestämmelser om behandling för ändamål av den här typen finns också i personuppgiftslagens 4 kap. om behandling av personuppgifter för särskilda ändamål. Bestämmelserna har tillkommit med grundlagsutskottets medverkan (GrUU 25/1998 rd). På motsvarande sätt är grunderna för de föreslagna bestämmelserna om sekundär användning för undervisning, informationsledning och myndigheternas planering och utredningar godtagbara med hänsyn till 10 § 1 mom. i grundlagen. 
Det är dock särskilt beklagligt att regeringen på grund av tidsplanen för ikraftträdandet av dataskyddsförordningen varit tvungen att överlämna den nu aktuella propositionen före propositionen med förslag till allmän lagstiftning som ska komplettera Europeiska unionens allmänna dataskyddsförordning. I propositionen uppger regeringen att när den allmänna lag som justitieministeriet bereder blir färdig kommer den sannolikt att leda till begränsningar åtminstone när personuppgifter behandlas för forskning och statistiska ändamål (s. 177 i RP). Utskottet menar att regeringen självfallet bör lämna propositionen om den allmänna lagen före propositionen om speciallagen (se också GrUU 49/2017 rd, s. 4). 
Utvecklings- och innovationsverksamhet
Enligt 2 § i lagförslag 1 ska uppgifter kunna behandlas och lämnas ut också för utvecklings- och innovationsverksamhetens behov. Med utvecklings- och innovationsverksamhet avses enligt definitionen i 3 § 1 mom. 4 punkten i lagförslaget tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster. Trots skyldigheterna att iaktta sekretess ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter enligt 38 § 1 mom. i lagförslaget i enskilda fall få ge användningstillstånd till uppgifterna, om utvecklings- och innovationsverksamheten genomförs på annat sätt än genom metoder inom vetenskaplig forskning och den registrerade har gett sitt samtycke till behandling av uppgifterna för ändamålet i fråga. Utan samtycke får uppgifterna lämnas ut anonymiserade. 
Personuppgifter ska få användas för utvecklings- och innovationsverksamhet även om verksamheten inte bedrivs med hjälp av metoder inom vetenskaplig forskning. Bestämmelserna om vetenskaplig forskning enligt dataskyddsförordningen ska tillämpas på sådan utvecklings- och innovationsverksamhet, står det i propositionen (s. 95). Med tanke på 10 § 1 mom. i grundlagen anser utskottet därför att den föreslagna användningen för utvecklings- och innovationsverksamhet inte är jämförbar med de ovannämnda bestämmelserna som tillåter användning för ändamål av allmänt intresse. Enligt utredning har sådan här användning heller inte i dataskyddsförordningen jämställts med behandling som är förenlig med det ursprungliga ändamålet och som syftar till att tillgodose det allmänna intresset. 
I propositionen uppger regeringen att man i Finland av försiktighetsskäl har gett begreppet vetenskaplig forskning en snäv tolkning på social- och hälsovårdsområdet och att detta har medfört att uppgifter inte har lämnats ut för tillämpad eller kommersiell forskning eller utvecklings- och innovationsverksamhet, vilket i sin tur har lett till att datalagren inte utnyttjats i någon större utsträckning (s. 68 i RP). Propositionen har som mål att främja innovations- och utvecklingsverksamhet och skapa förutsättningar för tillväxt i Finland. Genom lagstiftningen skapas förutsättningar för verksamhet på en kundorienterad marknad. När tillgången till social- och hälsovårdsuppgifter för forskning, utveckling och innovativ verksamhet blir smidigare och snabbare är avsikten att bygga nya nätverk mellan offentliga aktörer och företag i Finland (s. 69 i RP). Utskottet menar att propositionens syften samt motiveringen och konsekvensanalysen gällande utvecklings- och innovationsverksamhet ger vid handen att syftet med lagförslaget är att göra det möjligt att i relativt stor omfattning använda känsliga personuppgifter inom social- och hälsovården för kommersiella ändamål. 
Det är således svårt att betrakta bestämmelserna som ett exakt avgränsat och mycket litet undantag. Utvecklings- och innovationsverksamheten är inte i bestämmelserna avgränsad exempelvis till utvecklings- och innovationsverksamhet för vissa syften. Behandling för andra ändamål än de ursprungliga föreslås bli ett ytterst betydande sätt att använda känsliga personuppgifter inom social- och hälsovården. Utskottet ser det dock som betydelsefullt att 53 § 3 mom. i lagförslag 1 innehåller ett förbud att använda uppgifter om en enskild person som erhållits med stöd av denna lag för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person. Utskottet har ansett att bestämmelser av den här typen är konstitutionellt korrekta med avseende på ändamålsbegränsningen (se GrUU 10/2012 rd, s. 3). Syftet med behandlingen är således inte att utöva offentlig makt gällande individer, utan uppgifterna behandlas för att förstå större helheter och till exempel för att få nya forskningsresultat. 
Utskottet anser emellertid att förslagen till bestämmelser om användning av känsliga personuppgifter för utvecklings- och innovationsverksamhet berör själva kärnan i skyddet för personuppgifter, som hör till privatlivet (GrUU 37/2013 rd, s. 2). Utskottet vill därför särskilt lyfta fram de föreslagna förutsättningarna för behandling, anonymiseringen av uppgifter och behandlingen på grundval av samtycke. 
Utlämnande av anonymiserade uppgifter för utvecklings- och innovationsverksamhet
Enligt 38 § 2 mom. i lagförslag 1 ska uppgifter få lämnas ut i anonymiserad form utan den registrerades samtycke i enlighet med 45 §. Enligt 45 § ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter med stöd av artikel 9.2 g och artikel 86 i dataskyddsförordningen bedöma om de begärda uppgifterna kan anonymiseras. Artiklarna föreskriver om samordning av offentlighet och dataskydd för officiella handlingar i lagstiftningen och om en möjlighet att avvika från det principiella förbudet mot behandling av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9. Enligt artikel 9.2 g får känsliga uppgifter behandlas om det är nödvändigt av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, förutsatt att den står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
Utlämnandet av anonyma uppgifter äventyrar enligt propositionen inte den registrerades eller medborgarens ställning, eftersom individen inte längre kan identifieras i uppgifterna. I motiveringen framhåller regeringen att man vid anonymisering måste se till att rätt teknik används för att slutresultatet verkligen ska vara anonymt och individens rättsliga ställning inte heller i praktiken äventyras (s. 84 i RP). Vid anonymisering ska uppmärksamhet fästas vid den teknik som används för att det inte längre ska vara möjligt att identifiera en registrerad (s. 177 i RP). 
När uppgifterna har anonymiserats effektivt är det inte längre fråga om personuppgifter och de kräver därmed inte särskilt skydd, står det i propositionen (s. 177). Informationen har anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar. Sådan information berörs inte längre av normerna för behandlingen av personuppgifter (s. 96 i RP). 
Enligt definitionen i artikel 4 i dataskyddsförordningen avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Enligt skäl 26 i förordningen gäller dataskyddsprinciperna all information som rör en identifierad eller identifierbar fysisk person. Också personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör enligt skälet anses som uppgifter om en identifierbar fysisk person. 
I skälet står det vidare att för att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör enligt skälet därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Dataskyddsförordningen berör därför enligt skälet inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål. 
Grundlagsutskottet anser att de avgränsningar av förordningens tillämpningsområde som anges i skälet är problemfria med avseende på skyddet för privatlivet och personuppgifter enligt 10 § 1 mom. i grundlagen. Utskottets uppfattning är också att personuppgifter som ursprungligen varit känsliga effektivt kan behandlas anonymiserade utan att skyddet för privatlivet eller personuppgifter äventyras. Det är väsentligt att en effektiv anonymisering även ges en säker rättsgrund. Enligt utskottets uppfattning är det självklart att en effektiv anonymisering inte kan garanteras enbart genom att identifieringsuppgifter om fysiska personer, såsom namn och personbeteckning, avlägsnas från ett så omfattande datamaterial som nu är aktuellt. De ovannämnda skrivningarna i propositionsmotiven anger dock vilka element som är viktigast för att anonymiseringen ska vara effektiv, menar utskottet. 
Avgränsningen av räckvidden enligt skäl 26 i dataskyddsförordningen och definitionen av personuppgift i förordningen innebär att den nationella lagstiftaren har möjlighet att lagstifta om myndigheternas skyldigheter när det gäller att genomföra anonymiseringen, eftersom behandlingen av anonymiserade personuppgifter inte ingår i förordningens räckvidd. Grundlagsutskottets uppfattning är dock att det är väsentligt att den nationella lagstiftningen inte kan syfta till att kringskära förordningens räckvidd ytterligare. Med stöd av artikel 9.4 i dataskyddsförordningen får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den föreslagna rätten att lämna ut uppgifter gäller en exceptionellt omfattande datamängd med känsliga uppgifter. 
Därför måste social- och hälsovårdsutskottet noga reda ut det möjliga området för nationell lagstiftning och i väsentlig grad precisera 38 och 45 § i lagförslag 1 till den del paragraferna gäller möjligheten att lämna ut anonymiserade uppgifter för utvecklings- och innovationsverksamhet enligt 38 § utan samtycke av den registrerade. En sådan precisering kan göras till exempel genom att så detaljerat som möjligt lagstifta om de anonymiseringskrav som beskrivs i propositionsmotiven. Om den nationella lagstiftaren enligt social- och hälsovårdsutskottets uppfattning inte har handlingsutrymme nog att göra en sådan här precisering, måste möjligheten att från myndighetsregister lämna ut anonymiserade uppgifter för utvecklings- och innovationsverksamhet enligt 38 § strykas i de här bestämmelserna. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Utlämnande av uppgifter för utvecklings- och innovationsverksamhet på grundval av samtycke
Enligt 38 § 1 mom. i lagförslag 1 ska uppgifter få lämnas ut för utvecklings- och innovationsverksamhet om den registrerade har gett sitt samtycke till behandling av uppgifterna för ändamålet i fråga. Tillstånd får ges så att det uppfyller villkoren i den registrerades samtycke. 
Grundlagsutskottet har ansett att samtycke från en person vars grundläggande fri- och rättigheter begränsas i sig kan spela en roll i en konstitutionell bedömning. Men utskottet har ändå i sin tidigare praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som rättslig grund för ingrepp i de grundläggande fri- och rättigheterna. Förfarandet är inte förenligt med rättsstatsprincipen enligt 2 § 3 mom. i grundlagen, där det sägs att all utövning av offentlig makt ska bygga på lag. Dessutom ska befogenheten att ingripa i den enskildes grundläggande fri- och rättigheter alltid läggas fast i en tillräckligt noggrant avgränsad lag med ett exakt tillämpningsområde (GrUU 30/2010 rd, s. 6/II). Utskottet har därför ansett det klart att skyddet för de grundläggande fri- och rättigheterna som rättslig fråga inte alltid kan förlora i betydelse bara för att det föreskrivs i lag att någon åtgärd kräver att den som saken gäller ger sitt samtycke. Skyddet kan inte i vilket som helst ärende vara beroende av den berörda personens samtycke. Utskottet har i det här avseendet sett det som väsentligt vad som kan betraktas som juridiskt relevant samtycke i en viss situation. Utskottet har också krävt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ges och hur det återtas, att det säkerställs att samtycket är genuint och ges av fri vilja och att lagstiftningen är nödvändig (GrUU 19/2000 rd, s. 3, GrUU 27/1998 rd, s. 2, GrUU 19/2000 rd, s. 3). 
Utskottet anser att det också är väsentligt med avseende på det aktuella lagförslaget att 8 § i den gällande personuppgiftslagen, som stiftats med grundlagsutskottets medverkan, tillåter behandling av personuppgifter på grundval av samtycke. Också känsliga personuppgifter kan med stöd av 12 § i lagen behandlas i undantagsfall, om den registrerade har gett sitt uttryckliga samtycke till det. Motsvarande kan konstateras om lagen om offentlighet i myndigheternas verksamhet, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Handlingen kan också innehålla känsliga personuppgifter (se även GrUU 42/2016 rd, s. 3). 
Grundlagsutskottet har tidigare ansett att bestämmelsen om rätt att behandla känsliga personuppgifter efter återkallat samtycke är av betydelse för individens självbestämmanderätt. Grundlagsutskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till grundlagens 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet (se GrUU 48/2014 rd, s. 2). 
I artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna tryggas rätten till skydd för personuppgifter för var och en. Enligt artikeln ska uppgifterna behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 6 i dataskyddsförordningen är behandlingen av personuppgifter lagenlig bland annat när den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Enligt artikel 9 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter likaså tillåtet på grundval av samtycke, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. 
Enligt skäl 43 i dataskyddsförordningen bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. I skäl 42 i förordningen står det att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. 
Av motiveringen till 38 § i lagförslag 1 framgår det att syftet med paragrafen är att möjliggöra användningen av samtycke och särskilt dynamiskt samtycke, när registeruppgifterna behandlas för ändamål inom utvecklings- och innovationsverksamhet. Med dynamiskt samtycke avses en digital plattform, där registrerade interaktivt kan delta och påverka sitt eget samtycke och se vad de har gett samtycke till. Registrerade kan även ändra sitt samtycke med hjälp av plattformen (s. 130 i RP). 
När det gäller givande av samtycke ska även skäl 33 i ingressen till dataskyddsförordningen beaktas, enligt vilket registrerade bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas, står det i propositionsmotiven. Enligt utredning är stycket dock inte tillämpligt på de föreslagna bestämmelserna om utvecklings- och innovationsverksamhet som inte bedrivs enligt de standarder för vetenskaplig forskning som avses i stycket. Definitionen av utvecklings- och innovationsverksamhet i lagförslaget är jämförelsevis öppen. Lagförslaget definierar inte exakt och noga avgränsat de möjliga områdena och syftena i fråga om utvecklings- och innovationsverksamheten. Således instämmer utskottet i regeringens slutsats i motiveringen, att registrerade måste ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt (s. 130 i RP). 
Beträffande kraven på samtycket hänvisar regeringen också till att paragrafen inte föreskriver om någon noggrannare form för samtycket, eftersom den följer direkt av bestämmelserna i dataskyddsförordningen, särskilt artikel 7. När dataskyddsförordningen medger det kan formen på samtycket variera beroende på vilka uppgifter som i varje enskilt fall används (s. 130 i RP). Skrivningen hänför sig antagligen till att förordningen kräver uttryckligt samtycke till behandling av särskilda kategorier av personuppgifter. Grundlagsutskottet vill också peka på bestämmelserna om återkallande av samtycke i artikel 7 i förordningen. Förordningsbestämmelserna är relevanta också vid bedömningar av subjektet för samtycket, så det går inte att fritt införa nationella bestämmelser med avvikelse från förordningen, till exempel i fråga om vem som ska ge samtycke till att uppgifter om specifika familjer inom socialvården lämnas ut eller betydelsen av minderårigas samtycke, om det inte finns någon explicit grund för detta i förordningen. I skäl 38 i förordningen står det uttryckligen att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. 
Enligt grundlagsutskottet står det dock klart att personuppgifter inom social- och hälsovården inte får lämnas ut för utvecklings- och innovationsverksamhet exempelvis utifrån ett samtycke som givits i ett administrativt förfarande eller i kundtjänsten inom hälso- och sjukvården. Ett samtycke som ges i en sådan obalanserad situation är inte nödvändigtvis genuint frivilligt på det sätt som utskottet krävt i sin praxis eller som avses i dataskyddsförordningen. Inte heller har kunden nödvändigtvis faktiska möjligheter att tänka igenom vad samtycket innebär. I sammanhang av den här typen har utskottet påpekat att samtycket måste grunda sig på tillräcklig information (se t.ex. GrUU 10/2012 rd, s. 3). Utskottet anser att det är osannolikt att det här kravet uppfylls om samtycket ges till exempel i anknytning till vården av en patient. 
Enligt artikel 9 i förordningen får medlemsstaterna i sin nationella rätt föreskriva att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. Utskottets uppfattning är att det vore motiverat att det här nationella handlingsutrymmet med avseende på 10 § i grundlagen också kunde användas på så sätt att medlemsstaten i sin lagstiftning ställer vissa villkor för samtycke som rättslig grund för behandling av uppgifter som avses i artikel 9 utan att ändå helt och hållet förbjuda användningen av samtycke. Med stöd av artikel 9.4 i dataskyddsförordningen får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. 
Utskottet ser det som beklagligt att regeringen i propositionen inte på tillbörligt sätt beskriver området för det nationella handlingsutrymmet till denna del. Social- och hälsovårdsutskottet måste noga utreda omfattningen av det nationella handlingsutrymmet och inom ramen för det precisera bestämmelsen på så sätt att de uppgifter som avses i artikel 9 i dataskyddsförordningen får lämnas ut för utvecklings- och innovationsverksamhet enligt 38 § på de villkor för samtycke som anges i förordningen men också utifrån ett samtycke som i sak är avgränsat till vissa forskningsområden eller forskningsprojekt och som faktiskt ges frivilligt och på grundval av tillräcklig information i andra sammanhang än kundtjänst inom social- eller hälsovården. Utskottet ser inget hinder för att lagstifta om att samtycket ska ges exempelvis via en digital plattform som beskrivs i propositionen, skilt från kundtjänsten. Om det inte finns nationellt handlingsutrymme för att precisera bestämmelserna på detta sätt, måste dessa ändras så att det inte blir tillåtet att ur myndighetsregister lämna ut kunduppgifter inom social- och hälsovården för utvecklings- och innovationsverksamhet enligt 38 § på grundval av samtycke. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 59 § 5 mom. i lagförslag 1 föreskrivs det att uppgifter som före lagens ikraftträdande samlats in med den berördas samtycke får användas och lämnas ut för användningsändamål enligt 2 § trots vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte i väsentlig mån avviker från de syften för vilka uppgifterna har lämnats. Motiveringen till bestämmelsen är relativt kortfattad men säger ut att bestämmelsen gäller behandlingen av uppgifter som frivilligt lämnats till myndigheterna och utlämnande av dem för användningsändamål enligt 2 §. Vid insamlingen av gamla uppgifter har man inte nödvändigtvis använt skriftliga blanketter för samtycke eller också kan det av andra skäl vara svårt att tolka samtyckena, står det i motiveringen (s. 155 i RP). Social- och hälsovårdsutskottet bör noga utreda den föreslagna bestämmelsens exakta räckvidd och förhållande till de villkor som förordningen ställer på samtycke. Enligt social- och hälsovårdsministeriets utredning till grundlagsutskottet bör fokus ligga på hur övergångsbestämmelsen förhåller sig till biobankslagens bestämmelse om samtycke, som tillkommit med grundlagsutskottets medverkan (GrUU 10/2012 rd). Grundlagsutskottet menar att det också står klart att det utifrån så här öppna övergångsbestämmelser inte går att göra avsteg från den reglering av samtycke gällande utvecklings- och innovationsverksamhet som måste införas med anledning av utskottets ståndpunkt till lagstiftningsordningen. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till dess 38 och 45 § beaktas på behörigt sätt.  
Helsingfors 7.2.2018 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Jaana
Laitinen-Pesola
saml
medlem
Ville
Niinistö
gröna
medlem
Juha
Rehula
cent
ersättare
Mats
Löfström
sv
ersättare
Johanna
Ojala-Niemelä
sd.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 31.10.2018 11:30