Utgångspunkter för bedömningen
Inom social- och hälsovården behandlas känsliga personuppgifter som kan gälla till exempel en patients hälsotillstånd, sjukdom eller funktionsnedsättning eller behandlingar eller andra motsvarande åtgärder. Det kan också finnas uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner. Enligt 2 § i den föreslagna lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (lagförslag 1) innehåller lagen bestämmelser om elektronisk behandling av kunduppgifter inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande, när uppgifterna behandlas i anslutning till ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Enligt paragrafen innehåller lagen också bestämmelser om behandlingen av uppgifter om välbefinnande i syfte att främja medborgarnas eget välbefinnande.
Förslaget är relevant med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. Grundlagsutskottet har nyligen justerat sin ståndpunkt om kraven på författningsnivå för bestämmelser om behandling av personuppgifter och på hur heltäckande och detaljerade bestämmelserna ska vara. Utifrån 10 § 1 mom. i grundlagen räcker det i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i fortsättningen i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5).
Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5).
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter begränsas särskilt av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (se GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3).
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd).
Enligt den praxis som grundlagsutskottet nyligen antagit bör bestämmelser om behandling av känsliga uppgifter fortfarande analyseras utifrån praxis för bestämmelser på lagnivå, i den utsträckning dataskyddsförordningen tillåter. Behovet av bestämmelser som är mer detaljerade än bestämmelserna i den allmänna dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6).
I propositionsmotiven och motiven till lagstiftningsordningen granskas lagförslagen rätt ingående ur de grundläggande rättigheternas perspektiv. Grundlagsutskottet kan i huvudsak hålla med om det som sägs i propositionen. Men samtidigt vill utskottet peka på vissa detaljer. Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Social- och hälsovårdsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten.
Tillämpningsområde
I 1 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården finns bestämmelser om tillämpningsområdet. Lagen ska tillämpas på elektronisk behandling av kunduppgifter inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande. Enligt motiven (s. 49) avses med elektronisk behandling av kunduppgifter att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter elektroniskt samt att vidta andra åtgärder som gäller kunduppgifter.
Grundlagsutskottet påpekar att bestämmelser om klient- och patientuppgifter och om behandlingen av dem också finns i exempelvis klientlagen, patientlagen, offentlighetslagen och dataskyddslagen (se också GrUU 65/2018 rd, s. 45). Utskottet anser att det är skäl att förtydliga regleringens tillämpningsområde särskilt med avseende på de andra lagarna.
I definitionsbestämmelsen i den föreslagna lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ingår en definition av kunduppgift som är central med tanke på tillämpningsområdet. I lagförslaget ingår inte någon definition av patientuppgift. Men i vissa bestämmelser i lagen föreskrivs det parallellt om behandling av klient- och patientuppgifter (t.ex. 7 §). Definitionsbestämmelsen bör kompletteras.
Åtkomstbehörighet
Enligt den föreslagna lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ska rätten för yrkesutbildade personer inom social- och hälsovården att behandla de klient- och patientuppgifter som de behöver i sitt arbete huvudsakligen grunda sig på lagstiftning och en existerande kund- och vårdrelation, och inte på ett samtycke som begärs av kunden. Uppgifterna får behandlas i den omfattning som användningsändamålet förutsätter. Administrering av åtkomsträttigheterna, utbildning av personalen samt andra tekniska och organisatoriska åtgärder förhindrar missbruk och lagstridig åtkomst till uppgifterna, sägs det i propositionen. Yrkesutbildade personer, organisationer och datatekniska enheter ska kunna identifieras på ett tillförlitligt sätt. Samtidigt förhindras det att ett obegränsat antal personer kommer åt uppgifterna och det säkerställs att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas.
Social- och hälsovårdsutskottet bör försäkra sig om att regleringen är godtagbar enligt EU:s allmänna dataskyddsförordning. Grundlagsutskottet påpekar dessutom att utskottet vid bedömningen av patientregister enligt lagen om hälso- och sjukvård underströk att det i fråga om register som innehåller känsliga uppgifter, exempelvis patientregister, är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och finns tillgänglig genast när registret börjar användas (GrUU 41/2010 rd, s. 3/I). Se också GrUU 65/2018 rd, s. 47, GrUU 15/2018 rd, s. 39—40.
Enligt motiven till lagförslaget har man inom hälso- och sjukvården övergått till att använda riksomfattande elektroniska informationssystemtjänster. De föreslagna ändringarna gör det möjligt att införa riksomfattande informationssystemtjänster i socialvården. Enligt grundlagsutskottet möjliggör också den nu föreslagna behandlingen datainbrott, informationsläckor eller missbruk som enligt utskottets bedömning leder till en betydande kränkning av de grundläggande fri- och rättigheterna, vilket ytterligare accentueras av informationssystemens omfattning. Av betydelse är att en del av uppgifterna behandlas i annat syfte än det för vilket de ursprungligen samlades in och att en avsevärd del av uppgifterna är av känslig natur (se GrUU 15/2018 rd, s. 40).
Enligt 14 § 1 mom. i den föreslagna lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ska behandlingen av kunduppgifter grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Åtkomsträttigheter får beviljas enbart till de nödvändiga kunduppgifter som varje enskild yrkesutbildad person eller annan person som behandlar sådana uppgifter behöver i sina arbetsuppgifter. Grundlagsutskottet framhåller betydelsen av det som föreslås i propositionen. Social- och hälsovårdsutskottet bör försäkra sig om att informationssäkerheten fungerar och finns tillgänglig genast när registret börjar användas.
Informationshanteringstjänst och utlämnande av uppgifter
I 11 § i förslaget till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården finns bestämmelser om informationshanteringstjänsten. Enligt grundlagsutskottets uppfattning verkar tjänsten vara avsedd för utlämnande av patient- eller klientuppgifter inte bara mellan tjänstetillhandahållare inom hälso- och sjukvården eller socialvården utan också mellan tjänstetillhandahållare inom socialvården och inom hälso- och sjukvården. Enligt motiven kan klienten eller patienten också via informationshanteringstjänsten se sådana uppgifter som är viktiga med tanke på klientens socialvård eller patientens hälso- och sjukvård och andra tjänster i anslutning till vården (s. 63). Enligt 11 § 3 mom. i lagförslaget får bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet.
Betydelsen av regleringen i lagförslaget och bemyndigandet att utfärda förordning är inte helt klar. Grundlagsutskottet noterar att den föreslagna bestämmelsens ordalydelse inte tillåter att sekretessbelagda patient- och klientuppgifter lämnas ut, eftersom det i bestämmelsen inte ingår någon skyldighet eller rätt att lämna ut uppgifterna trots sekretess. Meningen är sannolikt att rätten att få uppgifterna ska grunda sig på särskilda bestämmelser. Utskottet anser att en sådan avgränsning också bör skrivas in i bestämmelsen. Bestämmelsen är också relativt öppen, vilket ytterligare accentueras genom det bemyndigande att utfärda förordning som ingår i den.
Om avsikten är att på grundval av bestämmelsen lämna ut patient- och klientuppgifter trots sekretess, måste den föreslagna regleringen på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och för personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se även GrUU 15/2018 rd, s. 39). Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 19 och 20 § i lagförslag 1.
Förvaring av personuppgifter
I lagförslag 2 i propositionen ingår en bestämmelse om förvaring av klienthandlingar inom socialvården. I 27 § i lagförslag 2 i propositionen föreskrivs det att handlingar inom socialvården som registreras elektroniskt i den riksomfattande arkiveringstjänst som avses i kunduppgiftslagen ska förvaras varaktigt. I lagförslagen i propositionen föreslås det också en del andra rätt långa förvaringstider. Till exempel sägs det i 19 § i lagförslag 3 att de handlingar och uppgifter om handlingarna som har lagrats i receptcentret ska förvaras i receptcentret i 12 år efter patientens död eller i 120 år efter patientens födelse.
Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Utskottet har å andra sidan ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd).
Enligt grundlagsutskottet är det inte förenligt med skyddet för privatliv och personuppgifter enligt 10 § i grundlagen att handlingar inom socialvården ska förvaras varaktigt. Förvaringstiden enligt 27 § i lagförslag 2 i propositionen måste begränsas. Social- och hälsovårdsutskottet bör även i övrigt överväga om de föreslagna förvaringstiderna behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter till vad som är nödvändigt med avseende på syftet med förvaringen.
Bemyndiganden att utfärda förordning och bestämmelser samt meddela föreskrifter
Enligt 80 § 1 mom. i grundlagen kan republikens president, statsrådet och ministerierna utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Genom lag ska det dock utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag.
Enligt 9 § 3 mom. i lagförslag 1 får bestämmelser om vilka kundhandlingar som ska klassificeras som sådana som kräver särskilt skydd utfärdas genom förordning av social- och hälsovårdsministeriet. Bemyndigandet bör kompletteras med en behörig grundläggande bestämmelse om grunderna för att genom förordning föreskriva att en handling ska klassificeras som en handling som kräver särskilt skydd.
I 21 § i lagförslag 1 finns bestämmelser om förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. Enligt paragrafen kan handlingar med hjälp av de riksomfattande informationssystemtjänsterna förmedlas till den aktör utanför social- och hälsovården som handlingarna har upprättats för eller som med stöd av lag har rätt att få dem. I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten.
Bemyndigandena för myndigheterna att meddela föreskrifter måste granskas mot bakgrund av 80 § 2 mom. i grundlagen. Enligt det momentet kan även andra myndigheter än de som nämns i 80 § 1 mom. genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Dessutom ska tillämpningsområdet för ett sådant bemyndigande vara exakt avgränsat. Jämfört med ett bemyndigande att utfärda förordning ställs i allmänhet strängare krav på ett sådant bemyndigande bland annat när det gäller klar avgränsning av de frågor bemyndigandet kan gälla (se t.ex. GrUU 10/2016 rd, s. 4).
Grundlagsutskottet noterar att ordalydelsen i den föreslagna 21 § inte möjliggör förmedling av sekretessbelagda känsliga uppgifter utifrån syftet med upprättandet (”den som handlingarna har upprättats för”) om inte mottagaren med stöd av lag har rätt att få dem, vilket enligt bestämmelsen är det andra kriteriet för förmedlingen. Bestämmelsen måste preciseras. Om avsikten är att genom bemyndigandet att meddela föreskrifter i 2 mom. bestämma om möjlighet att trots sekretessbestämmelserna lämna ut handlingar som innehåller känsliga och sekretessbelagda personuppgifter utifrån syftet med upprättandet av handlingarna, måste den föreslagna regleringen på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och för personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se även GrUU 15/2018 rd, s. 40). Utan dessa ändringar kan lagförslag 1 inte behandlas i vanlig lagstiftningsordning.
Enligt 14 § i lagförslag 1 meddelar Institutet för hälsa och välfärd föreskrifter om de grunder enligt vilka tjänstetillhandahållaren ska bestämma åtkomstsrättigheterna till kunduppgifter för de personer som behandlar sådana uppgifter. I propositionsmotiven (s. 113) bedöms det att meddelandet av föreskrifter anknyter till de tekniska frågorna vid genomförandet av de riksomfattande informationssystemtjänsterna, och att behovet av reglering således är detaljerat och av teknisk karaktär. Föreskrifter om grunderna för behandling av känsliga personuppgifter är enligt grundlagsutskottets åsikt inte detaljerade eller av teknisk karaktär. Det är också relevant att bemyndigandet att meddela föreskrifter även verkar gälla ändring av användningsändamålet, om till exempel uppgifter som samlats in för ändamål inom hälso- och sjukvården behandlas för ändamål inom socialvården. Här måste det göras en betydlig precisering av bemyndigandet att meddela föreskrifter. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Övrigt
Enligt 43 § 2 mom. i lagförslag 1 tillämpas förvaltningslagens bestämmelser om tjänstemannajäv på utomstående experter. I motiven behandlas inte bestämmelsens förhållande till den övriga regleringen i förvaltningslagen. Enligt grundlagsutskottet möjliggör den föreslagna bestämmelsen kontradiktoriska slutsatser om hur tillämpningsområdet enligt 2 § 3 mom. i förvaltningslagen förhåller sig till kraven på rättssäkerhet och god förvaltning i 124 § i grundlagen (se också GrUU 42/2018 rd, s. 3, GrUU 28/2018 rd, s. 2). Utskottet anser att bestämmelsen måste kompletteras med de allmänna förvaltningslagarna. Alternativt måste hänvisningen till jävsbestämmelserna i förvaltningslagen strykas. I samband med det måste social- och hälsovårdsutskottet i sitt betänkande noga granska tillämpningsområdet för de allmänna förvaltningslagarna.