Utlåtande
GrUU
78
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till ändring av socialtrygghets- och försäkringslagstiftningen med anledning av EU:s allmänna dataskyddsförordning
Till social- och hälsovårdsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till ändring av socialtrygghets- och försäkringslagstiftningen med anledning av EU:s allmänna dataskyddsförordning (RP 52/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till social- och hälsovårdsutskottet. 
Sakkunniga
Utskottet har hört 
konsultativ tjänsteman
Inka
Hassinen
social- och hälsovårdsministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Olli
Mäenpää
professor (emeritus)
Teuvo
Pohjolainen
juris magister
Niklas
Vainio.
PROPOSITIONEN
I propositionen föreslås det sådana ändringar i socialtrygghets- och försäkringslagstiftningen som följer av EU:s allmänna dataskyddsförordning. 
När propositionen lämnades avsågs lagarna träda i kraft den 25 maj 2018, dvs. samma dag som dataskyddsförordningen började tillämpas. 
I motiven till lagstiftningsordningen bedöms lagförslagen med avseende på 10 § i grundlagen som reglerar skyddet för privatliv och personuppgifter. 
Regeringen anser att lagförslagen kan godkännas i vanlig lagstiftningsordning. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Syftet med regeringens proposition är att få den nationella lagstiftningen om social trygghet och försäkringsverksamhet att stämma överens med EU:s allmänna dataskyddsförordning. Dataskyddsförordningen är nationellt direkt tillämplig lagstiftning. Förordningen tillåter dock medlemsstaterna ett direktivliknande nationellt spelrum. På de villkor som anges i förordningen är det möjligt att precisera dess bestämmelser genom nationell lagstiftning. I vissa situationer ger förordningen dessutom möjlighet att genom nationell lagstiftning bestämma om undantag från rättigheterna och skyldigheterna i förordningen. Förordningen innehåller bestämmelser om vilka rättigheter och skyldigheter det är möjligt att avvika från, och om villkoren för undantag. 
Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att man i den mån som EU-lagstiftningen kräver eller möjliggör reglering på det nationella planet ska ta hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd och GrUU 25/2005 rd). 
Förslaget är relevant med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. Grundlagsutskottet har nyligen justerat sin ståndpunkt om kraven på författningsnivå för bestämmelser om behandling av personuppgifter och på hur heltäckande och detaljerade bestämmelserna ska vara. Utifrån 10 § 1 mom. i grundlagen räcker det enligt utskottet i princip att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i fortsättningen i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 
Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter begränsas särskilt av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II), vilket innebär att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (se GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Villkoren för att bevilja flertalet socialförsäkringsförmåner hänför sig till sökandens hälsotillstånd och funktionsförmåga. Till exempel i dessa situationer är det enligt regeringens proposition (s. 7) nödvändigt att behandla känsliga hälsouppgifter, som hör till de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen. 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 13/2016 rd och GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). 
Enligt den praxis som grundlagsutskottet nyligen antagit bör bestämmelser om behandling av känsliga uppgifter fortfarande analyseras utifrån praxis för bestämmelser på lagnivå, i den utsträckning som dataskyddsförordningen tillåter. Behovet av bestämmelser som är mer detaljerade än bestämmelserna i den allmänna dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Vid en konstitutionell bedömning av skyddet för personuppgifter ska tyngdpunkten enligt grundlagsutskottet därför ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga kraven i fråga om skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Det finns konstitutionella frågor också i samband med till exempel sådana garantier för rättssäkerhet och god förvaltning som kräver nationell lagstiftning (GrUU 14/2018 rd, s. 7, se ävenGrUU 26/2018 rd, s. 4). 
Missbruksregister
Bestämmelser om ett försäkringsbolags och ett utländskt försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar finns i 81 § i lagförslag 18 och i 30 kap. 3 a § i lagförslag 39 i regeringens proposition. Bestämmelser om rätten för kreditinstitut och finansiella institut att behandla personuppgifter som hänför sig till missbruk finns i 15 kap. 18 a § i lagförslag 45 i regeringens proposition. Regleringen möjliggör upprätthållandet av ett missbruksregister i den omfattning som det är nödvändigt för att förhindra och utreda brott eller överträdelser (som riktas direkt) mot verksamheten. 
Syftet med lagförslagen är att aktörerna i försäkringsbranschen ska kunna fortsätta att använda missbruksregistret även när dataskyddsförordningen träder i kraft. Förslaget motsvarar i huvudsak innehållet och villkoren i datasekretessnämndens tillstånd. Enligt propositionen grundar sig även de missbruksregister som kreditinstituteten för i dagsläget, och som kallas för register över betalningsstörningar, på datasekretessnämndens beslut. Registret ska innehålla uppgifter om de registrerades misstänkta brott, domar i brottmål och överträdelser. Grundlagsutskottet anser att regleringens syfte är godtagbart. 
Grundlagsutskottet tar dock fasta på att artikel 10 i den allmänna dataskyddsförordningen innehåller bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Enligt artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 om laglig behandling av personuppgifter endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Vidare sägs det i artikel 10 att ett fullständigt register över fällande domar i brottmål endast får föras under kontroll av en myndighet. 
Enligt lagförslagen ska försäkringsbolagen kunna behandla uppgifter om även misstänkta brott. I regeringens proposition hänvisas det till att den rättsliga grunden för behandlingen av personuppgifter anges i artikel 6.1 d i EU:s allmänna dataskyddsförordning, men eftersom man i anslutning till missbruksregistren måste kunna behandla i artikel 10 avsedda personuppgifter som rör fällande domar i brottmål samt överträdelser, behövs det separata nationella bestämmelser om detta (s. 59). Social- och hälsovårdsutskottet måste noggrant utreda hur lagförslagen stämmer överens med EU:s allmänna dataskyddsförordning. 
Rätt att få information
Bestämmelsen om att förutsättningen för användningen av rätten att få information är att den som söker förmånen inte själv tillhandahåller dessa uppgifter föreslås bli slopad i 19 kap. 1 § i lagförslag 31 i regeringens proposition. Grundlagsutskottet har ansett att utgångspunkten i fråga om sådana uppgifter om hälsa som avses i regleringen bör vara att den berörda personen själv tillhandahåller dem eller att utlämnandet av dem är beroende av hans eller hennes samtycke (GrUU 14/2002 rd, s. 4/I). Den föreslagna ändringen motiveras (s. 27) bara genom hänvisning till den föreslagna ändringen av 86 § i folkpensionslagen där ändringen i sin tur motiveras med att begränsningen inte har någon praktisk betydelse för pensionssökanden, eftersom bestämmelsen ger Folkpensionsanstalten och besvärsinstanserna rätt att få uppgifterna, även om pensionssökanden inte lämnar dem själv. Pensionssökanden kan med stöd av bestämmelsen inte förbjuda att uppgifterna lämnas ut. Trots att meningen stryks ska huvudprincipen när sjukpensionsärenden avgörs fortfarande vara att sökanden själv lämnar de uppgifter som behövs. En motsvarande ändring ingår också i vissa andra lagförslag. 
Regeringens proposition motiverar inte varför tillägget till 19 kap. 1 § i sjukförsäkringslagen, som grundlagsutskottet uttryckligen krävde när det begav sig, nu ska kunna ersättas enbart med ett uttalande som fogas till detaljmotiven till 86 § i folkpensionslagen, enligt vilket huvudprincipen fortfarande ska vara att sökanden själv lämnar de uppgifter som behövs. Social- och hälsovårdsutskottet bör behålla regleringens utgångspunkt om att den berörda parten tillhandahåller dem själv. Därtill bör utskottet också granska huruvida motiveringen till 86 §, dvs. att samtycket i ljuset av den allmänna dataskyddsförordningen är problematisk, är korrekt. Vid behov ska utskottet behålla konstruktionen att samtycket ska komma i första hand också i de lagförslag som ingår i regeringens proposition. 
Automatiserade beslut
Det föreslås att socialtrygghets- och försäkringslagstiftningen utökas med bestämmelser om automatiserade beslut. Automatiserade beslut ska vara tillåtna vid verkställigheten av lagstadgad social trygghet, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. Att fatta automatiserade beslut vid privatförsäkring ska vara tillåtet, men den registrerade ska ha rätt att kräva att ärendet ska behandlas på nytt av en fysisk person. Bestämmelserna om automatiserade beslut är relevanta med tanke på artikel 22 om automatiserat individuellt beslutsfattande i den allmänna dataskyddsförordningen. Social- och hälsovårdsutskottet bör se till att bestämmelserna inte strider emot det som står i förordningen. 
Grundlagsutskottet tar fasta på att möjligheten till automatiserade beslut i fråga om den lagstadgade sociala tryggheten har begränsats utifrån ärendets art och omfattning samt med beaktande av kraven på god förvaltning. Därmed ska automatiserat beslutsfattande enligt motiven (s. 18) bara vara möjligt i de ärenden där de rättsliga förutsättningarna är tillräckligt entydiga, så att avgörandet av ärendet inte förutsätter prövning från fall till fall. 
Grundlagsutskottet har nyligen granskat förslag till bestämmelser om automatiserat individuellt beslutsfattande (GrUU 70/2018 rd, s. 3—4, GrUU 62/2018 rd, s. 6—8) och ansett att regleringen av automatiserat beslutsfattande är viktig med avseende på skyddet för personuppgifter men i synnerhet i skenet av principerna för god förvaltning enligt grundlagens 21 § och bestämmelserna i grundlagens 118 § om tjänsteansvar. I och för sig har grundlagsutskottet inget att anmärka på målen för automatiserat beslutsfattande enligt propositionen (s. 17—18). Besluten ska enligt de föreslagna bestämmelserna få bygga på automatisk behandling bara om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. Lagen ska dock inte ange detaljerat i vilka situationer eller inom vilka ärendegrupper behandlingen kan ske helt automatiskt. Grundlagsutskottet menar följaktligen att regleringen måste preciseras. I regleringen om automatiserat beslutsfattande måste det anges mer exakt än i förslaget på vilka grunder ärenden kan avgöras genom automatiserat beslutsfattande. 
Grundlagsutskottet understryker också att avsikten med förslaget inte är att avvika från förvaltningslagens bestämmelser om till exempel hörande av part. Rätten att bli hörd hör till en god förvaltning, som tryggas i grundlagens 21 § 2 mom. Social- och hälsovårdsutskottet måste granska lagförslaget i relation till förvaltningslagen och precisera bestämmelserna också i detta avseende. Utskottet har med hänsyn till 21 § och kravet på att offentlig maktutövning ska grunda sig på lag noterat att man inte ens i en masshantering får äventyra kraven på god förvaltning eller parternas rättssäkerhet (GrUU 49/2017 rd, s. 5 och GrUU 35/2005 rd, s. 3). Social- och hälsovårdsutskottet bör därför fästa särskilt avseende även vid rättstrygghetsaspekten. Preciseringar av bestämmelserna om automatiska individuella beslut i de lagförslag som räknas upp i klämmen är en förutsättning för att lagförslagen ska kunna behandlas i vanlig lagstiftningsordning. 
Grundlagsutskottet har i samband med automatiska beslut också tagit fasta på förvaltningens lagbundenhet och tjänsteansvaret (GrUU 62/2018 rd, s. 7—8). I propositionen hänvisas det till att man vid skötseln av en offentlig förvaltningsuppgift även ska ta hänsyn till bestämmelser om tjänsteansvar, och att automatiseringen av besluten inte får ändra på vem som ansvarar för beslutsfattandet (s. 18). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag och i all offentlig verksamhet ska lag noggrant iakttas. I 118 § i grundlagen föreskrivs det om ansvar för tjänsteåtgärder. Enligt paragrafens 1 mom. svarar en tjänsteman för att hans eller hennes ämbetsåtgärder är lagenliga. Tjänstemannen svarar också för sådana beslut i ett kollegialt organ som tjänstemannen i egenskap av medlem av organet har biträtt. Enligt 2 mom. svarar en föredragande som inte har reserverat sig mot ett beslut för det som har beslutats på föredragningen. Enligt den första meningen i paragrafens 3 mom. har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. 
Grundlagsutskottet menar att grundlagens bestämmelser om förvaltningens lagbundenhetsprincip samt statens och tjänstemännens ansvar ger uttryck för principen om tjänstemannaförvaltning (GrUU 19/1985 rd, s. 3/II). I sin tolkningspraxis har utskottet dessutom ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda bland annat förutsätts att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (GrUU 26/2017 rd, s. 50, GrUU 33/2004 rd, s. 7/II, GrUU 46/2002 rd, s. 9). Social- och hälsovårdsutskottet måste precisera bestämmelserna. 
När grundlagsutskottet bedömde försöket med basinkomst tog det med anledning av kravet på bestämmelser i lag fasta på det urvalsförfarande som föreslogs då och dess transparens. Utskottet ansåg att lagen borde innehålla bestämmelser om offentliggörandet av programkoden och dess offentlighet i anslutning till urvalsförfarandet (GrUU 51/2016 rd, s. 5). Vid bedömningen av ett lagförslag om användning av flygpassageraruppgifter ansåg grundlagsutskottet att förvaltningsutskottet av orsaker som hänför sig till 12 § 2 mom. och 21 § i grundlagen också noga bör granska hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen (GrUU 29/2018 rd, s. 5). Social- och hälsovårdsutskottet bör också nu fästa avseende vid detta. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning,  
men lagförslag 4 bara om utskottets konstitutionella anmärkning till dess 113 a § beaktas på behörigt sätt, 
lagförslag 5 bara om utskottets konstitutionella anmärkning till dess 63 a § beaktas på behörigt sätt, 
lagförslag 6 bara om utskottets konstitutionella anmärkning till dess 18 a § beaktas på behörigt sätt, 
lagförslag 8 bara om utskottets konstitutionella anmärkning till dess 12 a § beaktas på behörigt sätt, 
lagförslag 14 bara om utskottets konstitutionella anmärkning till dess 7 § beaktas på behörigt sätt, 
lagförslag 17 bara om utskottets konstitutionella anmärkning till dess 26 f § beaktas på behörigt sätt, 
lagförslag 18 bara om utskottets konstitutionella anmärkning till dess 61 § beaktas på behörigt sätt, 
lagförslag 24 bara om utskottets konstitutionella anmärkning till dess 63 a § beaktas på behörigt sätt, 
lagförslag 26 bara om utskottets konstitutionella anmärkning till dess 10 c § beaktas på behörigt sätt, 
lagförslag 27 bara om utskottets konstitutionella anmärkning till dess 90 b § beaktas på behörigt sätt, 
lagförslag 28 bara om utskottets konstitutionella anmärkning till dess 162 a § beaktas på behörigt sätt, 
lagförslag 29 bara om utskottets konstitutionella anmärkning till dess 107 § beaktas på behörigt sätt, 
lagförslag 31 bara om utskottets konstitutionella anmärkning till dess 6 a § beaktas på behörigt sätt, 
lagförslag 34 bara om utskottets konstitutionella anmärkning till dess 105 b § beaktas på behörigt sätt, 
lagförslag 35 bara om utskottets konstitutionella anmärkning till dess 275 a § beaktas på behörigt sätt, 
lagförslag 36 bara om utskottets konstitutionella anmärkning till dess 3 a § beaktas på behörigt sätt, 
lagförslag 41 bara om utskottets konstitutionella anmärkning till dess 95 b § beaktas på behörigt sätt, och 
lagförslag 43 bara om utskottets konstitutionella anmärkning till dess 8 § beaktas på behörigt sätt. 
Helsingfors 28.2.2019 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Leena
Meri
saf
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Kaj
Turunen
saml
ersättare
Sirpa
Paatero
sd.
Sekreterare var
utskottsråd
Mikael
Koillinen
utskottsråd
Liisa
Vanhala.
Senast publicerat 1.3.2019 16:21