9
Förhållande till grundlagen samt lagstiftningsordning
Regeringens proposition är av betydelse med tanke på tryggandet av flera olika de grundläggande fri- och rättigheter.
I 19 § 1 mom. i grundlagen tryggas rätten till oundgänglig försörjning och omsorg. Med oundgänglig försörjning och omsorg avses en sådan inkomstnivå och sådana tjänster som tryggar förutsättningarna för ett människovärdigt liv. Momentet inbegriper också rätten till akut sjukvård. (RP 309/1993 rd, s. 73–74). Den omsorg som avses i bestämmelsen gäller bland annat social- och hälsovård. I 19 § 3 mom. i grundlagen föreskrivs det att det allmänna ska tillförsäkra var och en tillräckliga social-, hälsovårds- och sjukvårdstjänster samt främja befolkningens hälsa. Bestämmelsen kompletteras av de bestämmelser som ingår i allmän lagstiftning och speciallagstiftning om social- och hälsovård och i flera andra speciallagar. När det bedöms om social- och hälsovårdstjänsterna är tillräckliga är utgångspunkten en sådan nivå på tjänsterna som ger alla människor förutsättningar att fungera som fullvärdiga medlemmar i samhället. Med tillräckliga tjänster avses inte enbart skydd i sista hand. Tjänsternas kvalitet och tillräcklighet måste bedömas också med tanke på hela systemet för de grundläggande fri- och rättigheterna, t.ex. ur jämlikhetsperspektiv och med tanke på förbudet mot diskriminering. Enligt 6 § i grundlagen är alla lika inför lagen, och ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Bestämmelsen innehåller ett krav på rättslig jämlikhet och även på faktisk jämställdhet. Målet för social- och hälsovårdsreformen var att förbättra människors jämlikhet när ansvaret för att ordna social- och hälsovårdstjänster överfördes till större självstyrande regioner, dvs. välfärdsområdena (RP 241/2020 rd, s. 360). I 22 § i grundlagen föreskrivs det om skyldigheten för det allmänna att se till att de grundläggande fri- och rättigheterna tillgodoses. Genom speciallagstiftning har välfärdsområdena, HUS-sammanslutningen och Helsingfors stad ålagts en skyldighet att ordna social- och hälsovård för sina invånare och i vissa fall för personer som vistas i kommunen och för andra personer. Det allmänna ska aktivt skapa faktiska förutsättningar för att de grundläggande fri- och rättigheterna tillgodoses. Staten ska genom lagstiftningsåtgärder, en ändamålsenlig finansiering och fördelning av resurserna samt genom organisering av verksamheten se till att tillräckliga social- och hälsovårdstjänster blir tryggade.
Syftet med förslaget är att behandlingen av patientuppgifter i Nyland i funktionellt hänseende och trots särlösningen i så stor utsträckning som möjligt och med beaktande av dataskyddsrättsliga aspekter och grundläggande fri- och rättigheter ska motsvara behandlingen av patientuppgifter i andra välfärdsområden. Den temporära lagstiftningen om behandling av patientuppgifter i Nyland, dvs. 64 a § i införandelagen, har varit i kraft sedan den 10 juli 2022. Dessutom tillämpades i Nyland redan före det hälso- och sjukvårdslagens 9 §, som motsvarade verksamhetsmodellen enligt den nu gällande temporära lagstiftningen.
Syftet med förslaget är att trygga vars och ens rätt till oundgänglig försörjning och omsorg samt att uppnå en sådan nivå på tjänsterna som är både jämlik och ger alla människor förutsättningar att fungera som fullvärdiga medlemmar i samhället. Förslaget bör granskas ur grundlagssynvinkel särskilt med avseende på en jämlik behandling av patientuppgifter. Människor eller grupper av människor kan inte godtyckligt genom lag försättas i en gynnsammare eller ogynnsammare ställning än andra. Klausulen förutsätter dock inte att alla människor ska bemötas likadant i alla avseenden, om inte de förhållanden som inverkar på ärendet är likadana. Grundlagsutskottet har också av hävd konstaterat att den allmänna jämlikhetsprincipen inte ställer några stränga villkor för lagstiftarens prövning när man eftersträvar en lagstiftning som beaktar samhällsutvecklingen vid en viss tid (se t.ex. GrUU 20/2017 rd). Det som är centralt är huruvida särbehandlingen kan motiveras på ett sätt som är acceptabelt med tanke på systemet med grundläggande fri- och rättigheter (se t.ex. GrUU 75/2014 rd). Grundlagsutskottet har i olika sammanhang ur grundlagens jämlikhetsbestämmelse härlett kravet att särbehandlingen inte får vara godtycklig och att skillnaderna inte får bli oskäliga (se t.ex. GrUB 11/2009 rd, s. 2). Enligt förslaget avviker behandlingen av patientuppgifter som gäller patienter som bor i landskapet Nyland från behandlingen av patientuppgifter i de andra välfärdsområdena. Förslaget försätter dock inte patienter som bor i olika delar av Finland i en sinsemellan ojämlik ställning ens i fråga om behandlingen av personuppgifter, eftersom en patient som bor i landskapet Nyland alltid har rätt att förbjuda utlämnande av sina uppgifter mellan olika personuppgiftsansvariga. Således är patientens självbestämmanderätt över information om sig själv också skyddad. Syftet med förslaget är också att trygga möjligheten för yrkesutbildade personer inom hälso- och sjukvården att ge en patient sådan hälso- och sjukvård av god kvalitet som patienten har rätt till med stöd av patientlagen.
Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Begreppet privatliv kan förstås som ett samlande begrepp för en persons privata krets. Utgångspunkten för skyddet för privatliv är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående. Till privatlivet hör bland annat individens rätt att själv bestämma om sig själv och sin kropp (RP 309/1993 rd, s. 56–57). Även rätten till privatliv medverkar alltså till att uppfylla självbestämmanderätten.
De föreslagna bestämmelserna är av betydelse också med avseende på Europeiska unionens stadga om de grundläggande rättigheterna. I artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggas skyddet för privatlivet och i artikel 8 tryggas vars och ens rätt till skydd av sina egna personuppgifter. Enligt den artikeln ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. EU-domstolens domar bestämmer det centrala innehållet i skyddet för privatlivet och personuppgifter i dessa avseenden. Likaså har artikel 8 om rätten till skydd för privat- och familjeliv i den europeiska människorättskonventionen i rättspraxis för Europeiska domstolen för de mänskliga rättigheterna ansetts omfatta även skyddet för personuppgifter.
Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Grundlagsutskottet anser att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (se GrUU 14/2018 rd, s. 8). Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2/II, GrUU 10/2014 rd, s. 4/II).
Inom social- och hälsovården behandlas känsliga uppgifter som kan gälla exempel en persons hälsotillstånd, sjukdom eller funktionsnedsättning eller behandlingar eller därmed jämförbara åtgärder. Det kan också finnas uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner.
Hälsouppgifter är en sådan särskild kategori av personuppgifter som avses i artikel 9 i dataskyddsförordningen som enligt huvudregeln i artikel 9.1 inte får behandlas. Enligt artikel 9.2 ska förbudet mot behandling enligt punkt 1 dock inte tillämpas om något av de villkor som anges i artikel 9.2 a–j uppfylls. Personuppgifter som hör till särskilda kategorier av personuppgifter får enligt detta behandlas bland annat med uttryckligt samtycke av den berörda personen (led a).
I propositionen har det tidigare i avsnitt 3.2.3 tagits upp vilka konsekvenserna för dataskyddet är och vilka artiklar i dataskyddsförordningen som den behandling av personuppgifter som föreslås i propositionen grundar sig på. När den nya kunduppgiftslagen stiftades redogjordes det i motiveringen till regeringspropositionen på ett utförligt sätt om förslagets konsekvenser i fråga om dataskydd (avsnitt 4.2.3), och dessa konsekvenser gäller också de bestämmelser som föreslås i denna proposition. I denna proposition föreslås det dock sådana bestämmelser för Nyland som utgör ett undantag från den nya kunduppgiftslagen och enligt vilka patientuppgifter får lämnas ut mellan tjänstetillhandahållare som är myndigheter i Nyland, om inte patienten har förbjudit utlämnande av sina uppgifter. Som det konstaterats tidigare i propositionen är målet särskilt att trygga patientens rätt till god hälso- och sjukvård.
Enligt grundlagsutskottets utlåtandepraxis räcker det i princip med tanke på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven i dataskyddsförordningen. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses med stöd av dataskyddsförordningen och den nationella allmänna lagstiftningen. Ett restriktivt förhållningssätt till att införa nationell speciallagstiftning är sålunda att föredra och sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 4–5).
Enligt grundlagsutskottets utlåtandepraxis är det klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). Behovet av bestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen också vägas in. Utskottet har framhållit att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6).
I regeringens proposition har man strävat efter att beakta det nationella handlingsutrymme som dataskyddsförordningen tillåter. Det nationella handlingsutrymmet kan användas när behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, det vill säga när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Nationellt handlingsutrymme i fråga om behandling av särskilda kategorier av personuppgifter ingår i artikel 9.2 b, g, h, i och j och artikel 9.4 i dataskyddsförordningen. Alla de föreslagna specialbestämmelser som kompletterar dataskyddsförordningen och dataskyddslagen bedöms vara nödvändiga i Nyland. Dessutom bör det beaktas att den nya kunduppgiftslagens bestämmelser om behandling av patientuppgifter tillämpas på behandlingen av patientuppgifterna, och i denna proposition föreslås undantag endast i fråga om behandlingen av patientuppgifter hos tjänstetillhandahållare som är myndigheter i landskapet Nyland.
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2–3 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme vid utfärdandet av bestämmelser om behandling av känsliga personuppgifter begränsas i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren bör tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas med avseende på villkoren för begränsning av de grundläggande fri- och rättigheterna, särskilt med avseende på om en sådan begränsning är godtagbar och uppfyller kravet på proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattningen, exaktheten och innehållet i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se till exempel GrUU 38/2016 rd, s. 3).
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter är förknippade med allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter. I sista hand kan det vara en persons identitet som är hotad. (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det måste finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt och att bestämmelserna måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (GrUU 65/2018 rd, s. 45, GrUU 15/2018 rd, s. 40).
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretessbestämmelserna med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter har kunnat gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”uppgifterna är nödvändiga” för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5). I sina analyser av exakthet och innehåll har grundlagsutskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s 3). Å andra sidan har grundlagsutskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, låt vara att den är knuten till nödvändighetskriteriet (se till exempel GrUU 71/2014 rd s. 3/I, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I).
Konstitutionen ska enligt 1 § 2 mom. i grundlagen trygga människovärdets okränkbarhet och den enskilda människans frihet och rättigheter samt främja rättvisa i samhället. Omnämnandet av individens rättigheter och frihet omfattar också individens självbestämmanderätt, dvs. friheten att bestämma över sig själv och sitt handlande, vilket utgör grunden för utövningen av många andra fri- och rättigheter (RP 309/1993 rd, s. 45/II). Bestämmelsen i 1 § 2 mom. i grundlagen ger uttryck för de grundläggande värderingarna i grundlagen och ska beaktas vid tolkningen av grundlagens övriga bestämmelser (RP 1/1998 rd, s. 74/I).
Grundlagsutskottet har ansett att rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (se till exempel GrUU 23/2020 rd, s. 9, GrUU 2/2018 rd, s. 8). Grundlagsutskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till grundlagens 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet (se GrUU 48/2014 rd, s. 2).
I 6 § i patientlagen finns det bestämmelser om patientens självbestämmanderätt. Med tanke på självbestämmanderätten över information om sig själv är det av betydelse att kunduppgifter inom social- och hälsovården enligt 4 § 1 mom. i den nya kunduppgiftslagen är permanent sekretessbelagda. Enligt 4 § 2 mom. får en sekretessbelagd handling som innehåller kunduppgifter eller en kopia eller utskrift av en sådan handling inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. Enligt 6 § i den nya kunduppgiftslagen får undantag från tystnadsplikten och sekretessen göras med kundens samtycke eller om det föreskrivs om det. I lagen finns dessutom en bestämmelse om en situation där självbestämmanderätten kan begränsas till exempel genom att patientuppgifter som är nödvändiga för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en patient lämnas ut till en annan tjänstetillhandahållare inom hälso- och sjukvården utan tillstånd för utlämnande, om tillstånd för utlämnande inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak. I den nya kunduppgiftslagen föreskrivs det om behandlingen av kunduppgifter inom social- och hälsovården, och med stöd av den lagstiftningen omfattas tjänstetillhandahållare inom hälso- och sjukvården av flera skyldigheter som gäller behandlingen av patientuppgifter och som samtidigt fungerar som sådana skyddsåtgärder som avses i dataskyddsförordningen.
I denna proposition skyddas kundens självbestämmanderätt över information om sig själv genom rätten att förbjuda utlämnande av sina patientuppgifter. Patienten ska alltså alltid ha rätt att förbjuda förmedling av sina patientuppgifter. Syftet med förbudsrätten är att skydda patientens självbestämmanderätt över information om sig själv när patientuppgifter lämnas ut mellan olika personuppgiftsansvariga. Dessutom bör det beaktas att det i den nya kunduppgiftslagen föreskrivs om behandlingen av patientuppgifter och de skyldigheter i samband med den som tjänstetillhandahållare inom social- och hälsovården har, varvid nivån på skyddet för patientuppgifter är densamma i hela Finland.
Grundlagsutskottet har i sin praxis särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (se till exempel GrUU 14/2018 rd, s. 4). Grundlagsutskottet har dock tidigare också fäst uppmärksamhet vid att bestämmelserna i 8 § i personuppgiftslagen (523/1999), som stiftades med utskottets medverkan (GrUU 25/1998 rd) och senare upphävdes, tillät behandling av personuppgifter i första hand på grundval av samtycke. Också känsliga personuppgifter kunde med stöd av 12 § i den lagen behandlas i undantagsfall, om den registrerade hade gett sitt uttryckliga samtycke till det (GrUU 1/2018 rd, s. 9). Enligt grundlagsutskottet kan motsvarande konstateras om offentlighetslagen, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet lämna ut uppgifter ur en sekretessbelagd myndighetshandling bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. En sådan handling kan också innehålla känsliga personuppgifter. (GrUU 43/1998 rd, se även GrUU 42/2016 rd, s. 3).
Grundlagsutskottet har uttryckt oro över vad syftet med den valda regleringen, som lösgör sig från kravet på samtycke, innebär med tanke på att det måste finnas godtagbara grunder för en inskränkning av självbestämmanderätten. Utskottet har också noterat att en inskränkning av självbestämmanderätten inte kan motiveras med att förverkligandet av självbestämmanderätten kräver betydande tekniska ändringar i informationssystemen. (GrUU 4/2021 rd).
Grundlagsutskottet har i sitt utlåtande GrUU 7/2019 rd om förslaget till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den konstaterat att de uppgifter som förs in i personregister är sådana upptagningar som innehas av myndigheterna och som avses i 12 § 2 mom. i grundlagen (GrUU 3/2009 rd, s. 2/I). Bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om att myndigheterna verkar separat. I sin lagtillämpning är myndigheterna självständiga i relation till varandra. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas enligt 2 § i lagförslaget vad som föreskrivs i offentlighetslagen. Enligt 13 § i offentlighetslagen är den myndighet som innehar handlingarna behörig att besluta om behandlingen och utlämnandet av handlingarna. Grundlagsutskottet fäster med anledning av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen uppmärksamhet vid att det av bestämmelserna om samregisteransvarighet inte tydligt framgår vilken myndighet som är behörig att lämna ut uppgifter.
Enligt samma utlåtande anser grundlagsutskottet att lagförslagets bestämmelser om samregisteransvarighet och behandling av personuppgifter inom ramen för den inte är tillräckligt klara med tanke på 10 § i grundlagen, trots att man med anledning av grundlagsutskottets utlåtande GrUU 62/2018 rd har strävat efter att precisera regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets ovan nämnda praxis. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Grundlagsutskottet påpekar också i ovannämnda utlåtande att ett behörigt beaktande av ställningstagandet om lagstiftningsordning också kan kräva att de grundläggande lösningarna i regleringen ändras. Om den föreslagna regleringen av samregisteransvarighet inte möjliggör exempelvis sådan reglering om myndigheternas rätt att trots sekretessbestämmelserna få och lämna ut uppgifter som förutsätts i 10 § i grundlagen, måste den regleringsmodell som baserar sig på samregisteransvarighet slopas. Utskottet fäster uppmärksamhet vid att det enligt motiveringen till propositionen som alternativ har bedömts en modell där endast Migrationsverket är personuppgiftsansvarig i ärendehanteringssystemet för utlänningsärenden och endast utrikesministeriet är personuppgiftsansvarig i det nationella informationssystemet för viseringar. Då kan andra myndigheters rätt att få information lösas genom att föreskriva om utlämnande av information mellan myndigheter (s. 37). Enligt utredning till utskottet torde dataskyddsförordningen i strid med motiveringen (s. 38) inte hindra en sådan regleringslösning.
I sitt utlåtande (GrUU 41/2010 rd, s. 2–3) om regeringens proposition med förslag till lag om hälso- och sjukvård (RP 90/2010 rd) tog grundlagsutskottet ställning till det gemensamma patientregister som patientjournalerna vid den kommunala primärvården och specialiserade sjukvården inom samkommunen för ett sjukvårdsdistrikt bildar. Enligt grundlagsutskottet ger patientens rätt att förbjuda att uppgifterna används och skyldigheten att informera patienten om möjligheten i denna typ av situationer fullgoda garantier för att patientens självbestämmanderätt tillgodoses, även om utlämnande av känsliga uppgifter om patienters hälsotillstånd mellan verksamhetsenheterna inte krävde tillstånd av patienten enligt förslaget. Grundlagsutskottet framhävde att för denna bedömning av självbestämmanderätten och särskilt för skyddet av patientuppgifter är bestämmelser om uppföljning av patientuppgifterna och kravet att det datatekniskt måste säkerställas att det finns en vårdrelation mellan patienten och den som begär uppgifter av betydelse. Den föreslagna regleringen utgjorde inget konstitutionellt problem. Utskottet underströk dock att det i fråga om sådana register som i likhet med patientregistret finns på flera ställen och innehåller känsliga uppgifter är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas.
I grundlagsutskottets utlåtande (GrUU 17/2021 rd) om regeringens proposition om inrättande av välfärdsområden och om en reform av ordnandet av social- och hälsovården och räddningsväsendet (RP 241/2020 rd) konstateras att i 58 § i lagen om ordnande av social- och hälsovård föreslås det bestämmelser om registerföring av klient- och patientuppgifter som uppkommit i välfärdsområdenas verksamhet och de klient- och patientuppgifter som överförts till välfärdsområdena från kommuner och samkommuner, om utlämnande av uppgifter ur klient- och patientregister till privata tjänsteproducenter som producerar social- och hälsovårdstjänster för välfärdsområdena och om de privata tjänsteproducenternas skyldighet att spara klient- och patientuppgifter i välfärdsområdenas klient- och patientregister. Enligt 4 § 1 mom. 4 punkten i lagförslag 28 som gäller offentlighetslagen är de myndigheter som avses i offentlighetslagen välfärdsområdenas och välfärdssammanslutningarnas myndigheter och inte det välfärdsområde som 58 § i förslaget till lag om ordnande av social- och hälsovård hänvisar till. Enligt 58 § i den föreslagna lagen om ordnande av social- och hälsovård är välfärdsområdet en sådan personuppgiftsansvarig som avses i dataskyddsförordningen i fråga om de klient- och patientuppgifter som uppkommer i social- och hälsovård som omfattas av dess organiseringsansvar eller som överförs till det från kommuner och samkommuner. I den informativa hänvisningsbestämmelsen står det att bestämmelser om dessa klient- och patientuppgifter och om behandlingen av dem finns i lagen om klientens ställning och rättigheter inom socialvården, patientlagen, lagen om klienthandlingar inom socialvården, lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, offentlighetslagen och dataskyddslagen. Utifrån den föreslagna regleringen förblir det oklart till vilka delar den personuppgiftsansvariges skyldigheter gäller välfärdsområdet och till vilka delar myndigheterna. Regleringen och dess förhållande till det som särskilt föreskrivs om klient- och patientuppgifter enligt hänvisningarna i bestämmelsen måste preciseras. I samband med riksdagsbehandlingen av ovan nämnda proposition gjorde social- och hälsovårdsutskottet ovannämnda preciseringar som grundlagsutskottet förutsatte i sitt utlåtande så att de behöriga myndigheter som ansvarar för ordnandet av social- och hälsovårdstjänster är personuppgiftsansvariga enligt dataskyddsförordningen för de patientuppgifter som uppkommer i den verksamhet som omfattas av deras organiseringsansvar och för de patientuppgifter som överförts till dem från kommunernas och samkommunernas förvaltning.
Enligt de föreslagna bestämmelserna ska en behörig myndighet som vårdar en patient i landskapet Nyland och som ordnar och tillhandahåller hälso- och sjukvårdstjänster för ett välfärdsområde, Helsingfors stad eller HUS-sammanslutningen, samt den som handlar för en sådan myndighets räkning, har dock trots sekretessbestämmelserna rätt att i den utsträckning som vården av patienten förutsätter få och använda patientuppgifter som innehas av en annan behörig myndighet som ansvarar för ordnandet av hälso- och sjukvårdstjänster i ett välfärdsområde i landskapet Nyland, Helsingfors stad eller HUS-sammanslutningen, och patienten har rätt att förbjuda utlämnande av sina uppgifter. Syftet med bestämmelserna är således att trygga en god hälso- och sjukvård, men också att trygga patientens självbestämmanderätt över information om sig själv. Syftet med bestämmelserna är också att göra det möjligt att i landskapet Nyland behandla patientuppgifter så att behandlingen av patientuppgifter i fråga om invånarna i landskapet Nyland trots särlösningen som helhet motsvarar behandlingen av patientuppgifter i andra välfärdsområden. Social- och hälsovårdsutskottet har konstaterat (ShUB 11/2021 rd, s. 17) behovet av att reformera den rättsliga grunden för behandlingen av uppgifter inom social- och hälsovården så att den är tydlig, enhetlig och heltäckande och motsvarar kraven i Europeiska unionens stadga om de grundläggande rättigheterna, grundlagen och dataskyddsförordningen samt stöder servicesystemet inom social- och hälsovården och integrationen av social- och hälsovården. Regleringen bör enligt utskottet göras enhetlig och förtydligas så att behandlingen av personuppgifter och de registrerades rättigheter framgår på ett begripligt och entydigt sätt. Det är också nödvändigt att förtydliga förhållandet mellan olika lagar så att det i olika situationer inte råder oklarhet om vilken lag som ska tillämpas. Den nya kunduppgiftslagen har bidragit till att behandlingen av klient- och patientuppgifter som helhet blivit mer enhetlig, och för tydlighetens skull är det motiverat att ta in bestämmelser om behandling av patientuppgifter i Nyland i den nya kunduppgiftslagen.
I propositionen föreslås inte sådant gemensamt personuppgiftsansvar som avses i dataskyddsförordningen. I propositionen föreslås det att behandlingen av patientuppgifter i landskapet Nyland funktionellt ska motsvara behandlingen av patientuppgifter i andra välfärdsområden, men att patienten ska ha rätt att förbjuda utlämnande av sina uppgifter. Behandlingen av uppgifter på det föreslagna sättet strider inte mot bestämmelserna i dataskyddsförordningen. Som helhet motsvarar behandlingen av patientuppgifter enligt förslaget modellen enligt 9 § i hälso- och sjukvårdslagen, som grundlagsutskottet har gett utlåtande GrUU 41/2010 rd om och som inte var problematisk med tanke på grundlagen. På behandlingen av patientuppgifter tillämpas den nya kunduppgiftslagen, med stöd av vilken behandlingen ska begränsas så att en yrkesutbildad person har rätt att använda endast de nödvändiga kunduppgifter som personen behöver i sina arbetsuppgifter. På behandlingen av patientuppgifter tillämpas dessutom flera andra skyddsåtgärder som det redogjorts för ovan.
På de grunder som anges ovan anser regeringen att propositionen är förenlig med grundlagen och att den föreslagna lagen därför kan behandlas i vanlig lagstiftningsordning. Regeringen anser det dock vara önskvärt att grundlagsutskottet ger ett utlåtande i ärendet, eftersom propositionen innehåller bestämmelser om utlämnande av känsliga personuppgifter och bestämmelserna är av betydelse med tanke på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen.