Hoppa till huvudnavigeringen

Direkt till innehållet

GrUU 20/2020 rd

Senast publicerat 18-06-2020 14:24

Utlåtande GrUU 20/2020 rd RP 101/2020 rd  Regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar

Grundlagsutskottet

Till social- och hälsovårdsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar (RP 101/2020 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsrådVirpiKoivu
    justitieministeriet
  • lagstiftningsrådNiklasVainio
    justitieministeriet
  • konsultativ tjänstemanJoniKomulainen
    social- och hälsovårdsministeriet
  • regeringssekreterareOutiÄyräs-Blumberg
    social- och hälsovårdsministeriet
  • dataombudsmanReijoAarnio
    dataombudsmannens byrå
  • professorSusannaLindroos-Hovinheimo
  • professorOlliMäenpää.

Skriftligt yttrande har lämnats av 

  • juris doktor, universitetslektorAnuMutanen
  • professorTuomasOjanen.

PROPOSITIONEN

Regeringen föreslår att lagen om smittsamma sjukdomar ändras temporärt. 

Den föreslagna lagen avses träda i kraft den 31 augusti 2020 och gälla till och med den 31 mars 2021. 

I motiven till lagstiftningsordningen bedömer regeringen propositionen med avseende på grundlagens 6 § om jämlikhet, 10 § om skyddet för privatlivet och för personuppgifter och 19 § 3 mom. om rätt till social trygghet. I motiveringen till lagstiftningsordningen fästs dessutom uppmärksamhet vid artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna. 

Regeringen anser att lagförslaget kan behandlas i vanlig lagstiftningsordning Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

I syfte att spåra upp personer som kan ha exponerats för coronaviruset föreslår regeringen att det till lagen om smittsamma sjukdomar fogas bestämmelser om ett informationssystem som effektiviserar brytandet av smittkedjor. 

Det föreslås inte att lagförslaget ska utgöra ett sådant tillfälligt undantag från de grundläggande fri- och rättigheterna som kan utfärdas med stöd av 23 § i grundlagen. Grundlagsutskottet har betonat att de individuella begränsningarna enligt lagen om smittsamma sjukdomar är primära (GrUB 11/2020 rd, s. 5). Utskottet har betonat att 23 § i grundlagen endast kan tillämpas i exceptionella fall. Enligt den princip som framgår av 23 § i grundlagen och bland annat uttrycks i 4 § 2 mom. i beredskapslagen är myndigheternas normala befogenheter det primära också i undantagsförhållanden. Också lagstiftningsändringar som görs under undantagsförhållanden ska i första hand vara inskränkningar som uppfyller de allmänna kriterierna för inskränkning av de grundläggande fri- och rättigheterna. Vid behov ska de också uppfylla de särskilda kriterierna för inskränkning av respektive grundläggande fri- och rättighet. Ändringarna ska alltså inte avse sådana undantag från de grundläggande fri- och rättigheterna som avses i 23 § i grundlagen (GrUU 14/2020 rd, s. 2, GrUU 7/2020 rd, s. 2—3). Grundlagsutskottet anser således att den grundläggande lösningen i propositionen till denna del är ändamålsenlig. 

Skydd för personuppgifter

Syftet med lagförslagen i propositionen är att tillhandahålla en mobilapplikation som baserar sig på frivillighet. Med hjälp av applikationen effektiviseras brytandet av smittkedjorna för covid-19 genom att personer som eventuellt exponerats för coronaviruset spåras upp. Enligt propositionsmotiven (s. 10—11) kan man med hjälp av det föreslagna informationssystemet spåra upp potentiella exponerade personer som varit i närkontakt med en smittspridare och snabbare informera dem om att de blivit exponerade. Med hjälp av informationssystemet är det möjligt att effektivare än enbart med hjälp av smittspårning enligt lagen om smittsamma sjukdomar kartlägga och spåra upp dem som varit i närheten av den smittade tillräckligt länge och som således kan ha utsatts för viruset. Med hjälp av informationssystemet kan man spåra upp också sådana applikationsanvändare i vars närhet den smittade personen inte minns att han eller hon varit eller som han eller hon inte själv känner och som annars inte skulle kunna spåras upp. 

Enligt propositionsmotiven (s. 31) är avsikten att epidemins spridning ska kunna hanteras genom medborgarnas frivilliga åtgärder och inom ramen för de befogenheter som den sedvanliga lagstiftningen ger för att det inte ska behövas några sådana restriktioner enligt beredskapslagen som på ett genomgripande sätt inverkar på de grundläggande fri- och rättigheterna. I motiven till lagstiftningsordning sägs det att en effektiv hantering av epidemin är nödvändig för att skydda människors liv, hälsa och omsorg samt för att förhindra att social- och hälsovårdssystemet blir överbelastat. 

I propositionsmotiven hänvisas det till att när en mobilapplikation tas i bruk ska inga direkta identifieringsuppgifter samlas in eller registreras om användaren. Varje användare ska få en unik pseudonym identifierare som ändras regelbundet (s. 21). Med pseudonymisering avses behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan kopplas till en specifik registrerad, om inte kompletterande uppgifter används. I så fall ska dessa kompletterande uppgifter förvaras separat, och det ska genom tekniska och organisatoriska åtgärder säkerställas att personuppgifterna inte kan kopplas till en identifierad eller identifierbar fysisk person. Pseudonymiserade uppgifter eller annars pseudonyma uppgifter är dock personuppgifter och på dem ska dataskyddslagstiftningen därför tillämpas. 

I samband med informationssystemet behandlas uppgifter om hälsa. Enligt grundlagsutskottet är uppgifter om hälsotillstånd personuppgifter som i konstitutionellt hänseende bedöms vara känsliga (se t.ex. GrUU 15/2018 rd, s. 35—43, GrUU 1/2018 rd). Bland annat uppgifter som gäller personers hälsa hör också enligt artikel 9 i dataskyddsförordningen till de så kallade särskilda kategorierna av personuppgifter. 

Lagförslaget är av betydelse med tanke på det skydd för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. De föreslagna bestämmelserna är av betydelse också med tanke på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne. 

Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nationella allmänna lagstiftningen. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella lagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Social- och hälsovårdsutskottet ska således särskilt noggrant kontrollera att lagförslaget är förenligt med den allmänna dataskyddsförordningen. Den EU-rättsliga bedömningen av lagförslagen hör till grundlagsutskottets uppgifter endast till den del bedömningen görs utifrån en grund som berör grundlagen eller människorättskonventioner (GrUU 79/2018 rd). 

Grundlagsutskottet ser det dock som klart att behovet av nationell speciallagstiftning måste bedömas utifrån det riskbaserade synsätt som förutsätts också i dataskyddsförordningen, varvid uppmärksamhet fästs vid de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). Men utskottet understryker att det i den mån EU-lagstiftningen kräver eller möjliggör reglering på det nationella planet ska tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och för missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd eftersom behandlingen av uppgifterna kan innebära betydande risker för de grundläggande rättigheterna och friheterna. 

Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 5, och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 

Enligt grundlagsutskottet måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Bestämmelser om behandling av personuppgifter måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (GrUU 65/2018 rd, s. 45, GrUU 15/2018 rd, s. 40). 

Det är enligt grundlagsutskottet uppenbart att en inskränkning i de grundläggande fri- och rättigheterna inte kan vara relevant för sitt syfte och därmed nödvändig, om den inte ens i princip kan nå upp till det godtagbara mål som den bygger på (se t.ex. GrUB 11/2020 rd, se också GrUU 40/2017 rd, s. 4, GrUU 55/2016 rd, s. 4—5, och GrUU 5/2009 rd, s. 3/II). Grundlagsutskottet har betonat betydelsen av dessa aspekter också under coronavirusepidemin och tillämpningen av de undantag från de grundläggande fri- och rättigheterna som tillåts enligt 23 § i grundlagen (se t.ex. GrUB 11/2020 rd, s. 5). 

Att upprätthålla funktionsförmågan i hälso- och sjukvårdssystemet också under en pandemi är, med tanke på de grundläggande fri- och rättigheterna, ett tungt vägande skäl med koppling till det allmännas skyldighet enligt 7 § 1 mom. i grundlagen att trygga vars och ens rätt till liv och tillförsäkra var och en tillräckliga hälsovårds- och sjukvårdstjänster samt främja befolkningens hälsa (19 § 3 mom. i grundlagen). Som grundlagsutskottet tidigare konstaterat berättigar detta exceptionellt långtgående myndighetsåtgärder som också ingriper i människors grundläggande fri- och rättigheter (GrUB 2/2020 rd s. 4—5, GrUB 3/2020 rd, s. 3, GrUB 7/2020 rd, s. 4). Med beaktande av de ytterst vägande skälen för att ta i bruk beredskapslagen i den rådande pandemisituationen, det vill säga att trygga hälso- och sjukvårdssystemets funktionsförmåga och därigenom avvärja allvarliga hot mot människors liv och hälsa, har grundlagsutskottet inte ansett att befogenheterna under undantagsförhållandena i sig strider mot proportionalitetskravet (GrUB 2/2020 rd, s. 5, GrUB 3/2020 rd, s. 3, GrUB 7/2020 rd, s. 5). 

I propositionen (s. 20) hänvisas det till att det kan anses behövligt att behandla personuppgifter i det rådande epidemiläget. Enligt 43 a § 4 mom. i lagförslaget ska Institutet för hälsa och välfärd se till att informationssystemet används bara så länge som det behövs för att bryta smittkedjor för sjukdomen covid-19. 

Enligt grundlagsutskottet är det inte helt problemfritt att de föreslagna bestämmelserna inte anses nödvändiga med tanke på deras syfte och att lagförslaget inte har utarbetats med tanke på kravet på att behandlingen av känsliga uppgifter ska vara nödvändig. 

Enligt grundlagsutskottet är det dock av betydelse att det enligt 43 a § 1 mom. i lagförslaget är frivilligt att använda den aktuella mobilapplikationen. Enligt specialmotiveringen till bestämmelsen (s. 26) är ingen skyldig att ta applikationen i bruk. En person som tagit mobilapplikationen i bruk kan när som helst sluta använda den Det är upp till användaren själv att besluta om han eller hon vill ha bluetoothförbindelsen påslagen, meddela via applikationen att han eller hon är smittad eller begära att en verksamhetsenhet för hälso- och sjukvård tar kontakt. 

Grundlagsutskottet anser att den föreslagna frivilliga användningen av applikationen understryker att behandlingen av personuppgifter inte är nödvändig. Utskottet beklagar att man i en proposition som baserar sig på frivillighet inte på behörigt sätt redogjort för hur de grundläggande fri- och rättigheterna har beaktats i fråga om regleringens nödvändighet. Å andra sidan anser utskottet att rätten att bestämma över information om sig själv bör anses vara central med tanke på skyddet av personuppgifter (GrUU 2/2018 rd, 8). Utskottet har tidigare ansett att bestämmelsen om rätt att behandla känsliga personuppgifter efter återkallat samtycke är av betydelse för individens självbestämmanderätt. Självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till grundlagens 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet (se GrUU 48/2014 rd, s. 2). 

Grundlagsutskottet har ansett att till exempel det uppsökande ungdomsarbetet präglas av ett sådant frivilligt samarbete mellan serviceanordnaren och den unga som behöver stöd att den aktuella regleringskontexten kan stödja sig på behandling av personuppgifter baserad på samtycke (GrUU 42/2016 rd, s. 4), även om det var fråga om myndighetsverksamhet. I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Med avseende på detta föreskrivs det i 43 c § 1 mom. i lagförslaget i sig på behörigt sätt att uppgifter som samlas in via applikationen inte får användas för polisundersökningar, förundersökningar, rättegångar eller andra ändamål som har samband med lagövervakning. Utskottet betonar också att det i 43 e § 3 mom. i lagförslaget sägs att enbart den information som mobilapplikationen ger om eventuell exponering inte kan betraktas som sådan befogad misstanke om exponering för en allmänfarlig smittsam sjukdom som avses i 60 § i lagen om smittsamma sjukdomar, enligt vilken en person kan hållas i karantän. 

Grundlagsutskottet anser det vara betydelsefullt att den nu föreslagna behandlingen av personuppgifter i informationssystemet grundar sig på genuin frivillighet. Installation och användning av applikationen har inte heller ens indirekt föreskrivits som en förutsättning för att få någon tjänst, förmån eller annan prestation som det allmänna ansvarar för. Var och en kan om han eller hon så önskar låta bli att använda applikationen utan att det medför olägenhet för honom eller henne. Med beaktande särskilt av att patientlagen på normalt sätt tillämpas på behandlingen av exponeringsuppgifter inom hälso- och sjukvården, anser utskottet således att lagförslaget, trots kravet på att befogenheterna ska vara nödvändiga och kravet på att behandlingen av känsliga uppgifter ska vara nödvändig, till sin grundläggande lösning kan anses vara förenligt med grundlagen. Detta undanröjer dock inte behovet av att, i synnerhet i den nu aktuella typen av sammanhang med nära koppling till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, säkerställa att regleringen i sin helhet skapar tillräckliga förutsättningar för ett faktiskt skydd av känsliga personuppgifter. Utskottet anser också att det är klart att en sådan applikation som den nu föreslagna inte kan anses godtagbar exempelvis inom polisväsendet eller i annan utövning av offentlig makt, eftersom regleringen baserar sig på frivillighet. 

Enligt grundlagsutskottet bör det till regleringen fogas ett mer ovillkorligt och till tillämpningsområdet mer omfattande förbud att använda information som fåtts via applikationen som enda grund vid beslutsfattande enligt 60 §. Förbudet ska också omfatta annan utövning av offentlig makt än sådan som hänför sig till ett vårdbeslut som gäller covid-19-smitta. Den här ändringen är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning. 

Grundlagsutskottet betonar behovet av att se till att det i den offentliga myndighetsinformationen om applikationen på behörigt sätt redogörs för att användningen av den är frivillig. 

Grundlagsutskottet har med beaktande av bestämmelserna i dataskyddsförordningen och i lagen om informationshantering, vilken stiftats med grundlagsutskottets medverkan (GrUU 73/2018 rd), samt av bestämmelserna om journalhandlingar i patientlagen och om klienthandlingar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården inget att anmärka på informationssäkerheten i systemet. 

Samtycke

Enligt motiveringen till lagstiftningsordningen (s. 33) grundar sig behandlingen av personuppgifter på artikel 6.1 e i den allmänna dataskyddsförordningen och i fråga om särskilda kategorier av personuppgifter på artikel 9.2 i förordningen. Att personen ska ge sitt godkännande till att uppgifterna överförs kompletterar denna rättsliga grund som en skyddsåtgärd i fråga om behandlingen av personuppgifter. Användaren ska fatta beslut om att ta applikationen i bruk, meddela att han eller hon är smittad och sända en begäran om kontakt på eget initiativ och frivilligt. 

Enligt grundlagsutskottet bör social- och hälsovårdsutskottet noggrant försäkra sig om att den uppfattning som nämns i motiveringen och därmed den valda regleringsmodellen är förenliga med EU:s dataskyddsförordning. 

Grundlagsutskottet har ansett att samtycke från en person vars grundläggande fri- och rättigheter begränsas i sig kan spela en roll i en konstitutionell bedömning. Utskottet har ändå i sin tidigare praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som rättslig grund för att ingripa i de grundläggande fri- och rättigheterna. Förfarandet är inte förenligt med rättsstatsprincipen enligt 2 § 3 mom. i grundlagen, där det sägs att all utövning av offentlig makt ska bygga på lag. Dessutom ska befogenheten att ingripa i den enskildes grundläggande fri- och rättigheter alltid läggas fast i en tillräckligt noggrant avgränsad lag med ett exakt tillämpningsområde (GrUU 30/2010 rd, s. 6/II). Utskottet har därför ansett det klart att skyddet för de grundläggande fri- och rättigheterna som rättslig fråga inte alltid kan förlora i betydelse bara för att det föreskrivs i lag att någon åtgärd kräver att den som saken gäller ger sitt samtycke. Skyddet kan inte i vilket som helst ärende vara beroende av den berörda personens samtycke. Utskottet har i det här avseendet sett det som väsentligt vad som kan betraktas som juridiskt relevant samtycke i en viss situation. Vidare har utskottet krävt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ska ges och återtas, att det säkerställs att samtycket är riktigt och ges av fri vilja och att lagstiftningen är nödvändig (GrUU 19/2000 rd, s. 3, GrUU 27/1998 rd, s. 2, och GrUU 19/2000 rd, s. 3). En del av dessa krav beaktas enligt grundlagsutskottets uppfattning genom den ändring som utskottet förutsätter, det vill säga att regleringen avgränsas genom ett förbud att använda information som fåtts via applikationen vid beslutsfattande enligt 60 § och vid annan utövning av offentlig makt som inte hänför sig till ett vårdbeslut som gäller covid-19-smitta. 

Grundlagsutskottet har tidigare också fäst uppmärksamhet vid att 8 § i personuppgiftslagen, som stiftades med grundlagsutskottets medverkan (GrUU 25/1998 rd) men nu är upphävd, tillät behandling av personuppgifter efter samtycke. Också känsliga personuppgifter kunde med stöd av 12 § i den lagen behandlas i undantagsfall, om den registrerade gett sitt uttryckliga samtycke till det (GrUU 1/2018 rd, s. 9). Motsvarande kan enligt utskottet konstateras om lagen om offentlighet i myndigheternas verksamhet, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Handlingen kan också innehålla känsliga personuppgifter (GrUU 43/1998 rd, se även GrUU 42/2016 rd, s. 3). 

Enligt artikel 8 i EU:s stadga om de grundläggande rättigheterna ska personuppgifter behandlas på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 6 i dataskyddsförordningen är behandlingen av personuppgifter lagenlig bland annat när den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Enligt artikel 9 i dataskyddsförordningen är behandling av särskilda kategorier av personuppgifter likaså tillåtet på grundval av ett uttryckligt samtycke, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. 

Enligt skäl 43 i dataskyddsförordningen bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. I skäl 42 i förordningen står det att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Enligt grundlagsutskottets uppfattning är det nu undantagsvis inte fråga om en sådan situation, även om det är fråga om en tjänst som tillhandahålls av det allmänna. 

Enligt grundlagsutskottet får exempelvis personuppgifter inom social- och hälsovården inte lämnas ut för utvecklings- och innovationsverksamhet utifrån ett samtycke som givits exempelvis i ett administrativt förfarande eller i kundtjänsten inom hälso- och sjukvården. Ett samtycke som ges i en sådan obalanserad situation är inte nödvändigtvis genuint frivilligt på det sätt som utskottet krävt i sin praxis eller som avses i dataskyddsförordningen. Inte heller har kunden nödvändigtvis faktiska möjligheter att tänka igenom vad samtycket innebär (GrUU 1/2018 rd). Utskottet anser inte heller att en sådan bedömning kan göras av det system som nu föreslås. I sammanhang av den här typen har utskottet dessutom påpekat att samtycket måste grunda sig på tillräcklig information (se t.ex. GrUU 10/2012 rd, s. 3). Enligt utskottet är det också osannolikt att detta krav uppfylls, om samtycket ges till exempel i samband med vården av patienten (GrUU 1/2018 rd). 

I artikel 7 i dataskyddsförordningen föreskrivs det om förutsättningarna för samtycke, om frivillighet och om återkallande av samtycke. I artikel 9.2 a föreskrivs det dessutom uttryckligen om samtycke till behandling av uppgifter som hör till särskilda kategorier av personuppgifter. Förordningen innehåller detaljerade bestämmelser om information till den registrerade. Förordningen innehåller också särskilda bestämmelser om barns samtycke. Grundlagsutskottet anser att bestämmelserna i förordningen, tolkade och tillämpade på behörigt sätt i ljuset av EU:s stadga om de grundläggande rättigheterna, kan anses vara tillräckliga också ur konstitutionell synvinkel i fråga om den behandling av uppgifter som nu bedöms. 

Om social- och hälsovårdsutskottet anser att den behandling som avses i lagförslaget inte är sådan behandling som grundar sig på samtycke enligt dataskyddsförordningen och att artikel 7 inte ska tillämpas, ska lagförslagets bestämmelser om användning av applikationen kompletteras med exakta bestämmelser om samtycke inom ramen för de skyddsåtgärder som dataskyddsförordningen tillåter till denna del. I bestämmelserna ska det föreskrivas om sättet att ge och återkalla samtycket samt om säkerställande av att samtycket är äkta och baserar sig på fri vilja. I bestämmelserna ska det också säkerställas att samtycket grundar sig på tillräcklig information också i fråga om olika användningsändamål och till exempel utlämnande av uppgifter. Av samtycket ska det framgå att det inte har getts i samband med kundservice inom social- och hälsovården eller i något annat myndighetsförfarande. Denna komplettering av bestämmelserna är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning. 

Missgynnade grupper

Grundlagsutskottet betonar att man vid planeringen och ibruktagandet av den applikation som beskrivs i propositionen ska beakta skyldigheterna enligt FN-konventionen om rättigheter för personer med funktionsnedsättning, i synnerhet kraven på skälig anpassning, universell utformning och tillgänglighet. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslaget kan behandlas i vanlig lagstiftningsordning endast om utskottets konstitutionella anmärkningar om förbud att vid utövning av offentlig makt använda information som erhållits via applikationen och om villkorad komplettering av bestämmelserna för samtycke beaktas på behörigt sätt. 
Helsingfors 17.6.2020 

I den avgörande behandlingen deltog

ordförande
JohannaOjala-Niemeläsd
vice ordförande
AnttiHäkkänensaml
medlem
OutiAlanko-Kahiluotogröna
medlem
BellaForsgréngröna
medlem
MariaGuzeninasd
medlem
OlliImmonensaf
medlem
EevaKallicent (delvis)
medlem
HilkkaKemppicent
medlem
MikkoKinnunen.cent
medlem
AnnaKontulavänst
medlem
MatsLöfströmsv
medlem
JukkaMäkynensaf (delvis)
medlem
WilleRydmansaml
medlem
HeikkiVestmansaml
medlem
TuulaVäätäinensd
ersättare
JohannesKoskinensd
ersättare
MerjaMäkisalo-Ropponensd
ersättare
SariTanuskd.

Sekreterare var

utskottsrådMikaelKoillinen.