Viimeksi julkaistu 5.11.2025 16.03

Valiokunnan mietintö StVM 15/2025 vp HE 87/2025 vp Sosiaali- ja terveysvaliokunta Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta ja siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta ja siihen liittyviksi laeiksi (HE 87/2025 vp): Asia on saapunut sosiaali- ja terveysvaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan lausunnon antamista varten. 

Lausunto

Asiasta on annettu seuraava lausunto: 

  • perustuslakivaliokunta 
    PeVL 36/2025 vp

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Essi Suonvieri 
    sosiaali- ja terveysministeriö
  • johtaja Tuula Helander 
    sosiaali- ja terveysministeriö
  • erityisasiantuntija Eerika Majamaa 
    oikeusministeriö
  • ylitarkastaja Tiina Pasanen 
    tietosuojavaltuutetun toimisto
  • lääketieteellisen tiedekunnan dekaani Johanna Arola 
    Helsingin yliopisto
  • tenure track -professori Toni Seppälä 
    Tampereen yliopisto
  • professori Olli Raitakari 
    Turun yliopisto, lääketieteellinen tiedekunta
  • vt. johtaja Mervi Siltanen 
    Findata - Sosiaali- ja terveysalan tietolupaviranomainen
  • juristi Katja Toikka 
    Findata - Sosiaali- ja terveysalan tietolupaviranomainen
  • yksikön päällikkö Juuso Rahkola 
    Kansaneläkelaitos
  • tietosuojavastaava Jarkko Reittu 
    Terveyden ja hyvinvoinnin laitos (THL)
  • tutkimus- ja tutkimusinnovaatiojohtaja Taneli Raivio 
    HUS-yhtymä
  • asiantuntijalääkäri Kirsti Kähärä 
    Hyvinvointialueyhtiö Hyvil Oy
  • juristi Johanna Leimola 
    Pirkanmaan hyvinvointialue

Valiokunta on saanut kirjalliset lausunnot: 

  • opetus- ja kulttuuriministeriö
  • liikenne- ja viestintäministeriö
  • Digi- ja väestötietovirasto
  • Etelä-Suomen aluehallintovirasto
  • Tilastokeskus
  • professori Tomi Voutilainen 
    Itä-Suomen yliopisto
  • Säteilyturvakeskus
  • Eläketurvakeskus
  • Lääkealan turvallisuus- ja kehittämiskeskus Fimea
  • Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira)
  • Työterveyslaitos
  • professori, tutkimusjohtaja Aarno Palotie 
    Suomen molekyylilääketieteen instituutti (FIMM)
  • Lääketeollisuus ry
  • Suomalainen Lääkäriseura Duodecim
  • Suomen Lääkäriliitto ry
  • Suomen Perinnöllisyyslääkäriyhdistys ry
  • Länsi-Uudenmaan hyvinvointialue
  • Pohjois-Savon hyvinvointialue

Valiokunta on saanut ilmoituksen, ei lausuttavaa: 

  • Kuluttajaliitto ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia. Lisäksi ehdotetaan tehtäväksi lain muuttamisesta johtuvat muutokset kliinisestä lääketutkimuksesta annettuun lakiin, lääkinnällisistä laitteista annettuun lakiin, lääketieteellisestä tutkimuksesta annettuun lakiin sekä Terveyden ja hyvinvoinnin laitoksesta annettuun lakiin. Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetusta laista kumottaisiin yksi pykälä. 

Esitys liittyy pääministeri Petteri Orpon hallitusohjelman kirjaukseen, jonka mukaan tulee ratkaista sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain haasteet niin, että voidaan edistää Suomessa tehtävää tutkimusta ja mahdollisuutta hyödyntää tietoa. 

Esityksessä ehdotetaan useita merkittäviä muutoksia sosiaali- ja terveystietojen toissijaisesta käytöstä annettuun lakiin. Esityksen tavoitteena on mahdollistaa houkutteleva toimintaympäristö sekä kotimaisille että kansainvälisille tutkimus-, kehittämis- ja innovaatioalan toimijoille kansalaisten oikeuksia ja yksityisyyttä kunnioittaen sekä kansallinen turvallisuus varmistaen. 

Ehdotettu laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta on tarkoitettu tulemaan voimaan 1.5.2026. Kliinisiä tutkimuksia koskeva soveltamisalan täsmennys on kuitenkin tarkoitettu tulemaan voimaan jo 1.1.2026. Muut ehdotetut lait on tarkoitettu tulemaan voimaan 1.1.2026. 

VALIOKUNNAN YLEISPERUSTELUT

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, jäljempänä toisiolaki) tuli voimaan 1.5.2019. Toisiolain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely sekä niiden yhdistäminen eräiden keskusvirastojen henkilötietoihin. Toissijaisia käyttötarkoituksia ovat muun muassa tieteellinen tutkimus, tilastointi sekä kehittämis- ja innovaatiotoiminta. Toisiolain keskeisenä tarkoituksena on myös suojata kaikessa sosiaali- ja terveystietojen toissijaisessa käsittelyssä henkilötiedot siten, että kansalaisten luottamusta voidaan vahvistaa suhteessa heidän tietojensa käsittelyyn toissijaisessa käyttötarkoituksessa. Lailla perustettiin myös Sosiaali- ja terveysalan tietolupaviranomainen Findata, joka myöntää tietolupia toisiolaissa säädettävien tietojen käyttöön. 

Toisiolain soveltamisessa on ilmennyt useita haasteita, joihin on kiinnitetty huomiota muun muassa tutkijoiden, terveydenhuollon toimijoiden, viranomaisten ja kansalaisten taholta. Myös sosiaali- ja terveysvaliokunta on useaan otteeseen kiinnittänyt näihin ongelmiin huomiota sekä kiirehtinyt säädösvalmistelua näiden ongelmien ratkaisemiseksi. (muun muassa StVM 22/2021 vp, s. 12—13; StVM 17/2021 vp, s. 3; StVM 11/2021 vp, s. 16).  

Esityksessä ehdotetaan useita muutoksia toisiolakiin ja siihen liittyviin lakeihin. Muutosehdotukset liittyvät tietolupien, tietopyyntöjen ja tietoaineistojen käsittelyyn, kansainväliseen tutkimusyhteistyöhön, toisiokäytön maksuihin, tietoaineistojen ja tulosten anonymisointiin sekä toisiolain suhteeseen kliinisiin tutkimuksiin. Muutosehdotusten tavoitteena on luoda joustavuutta nykyiseen osittain keskitettyyn tietolupien ja tietopyyntöjen käsittelymalliin ja mahdollistaa niiden tehokas käsittely. Esityksen tavoitteena on perustelujen (s. 29) mukaan ratkaista keskeiset toisiolakiin liittyvät haasteet ja edistää rekisteritutkimusta ja kliinistä tutkimusta siten, että samalla huolehditaan kansalaisten yksityisyyden ja henkilötietojen suojasta. Lakiuudistuksen avulla halutaan purkaa lainsäädännön aiheuttamia hidasteita ja esteitä toisiokäytössä.  

Viitaten edellä mainittuihin ongelmiin toisiolain soveltamisessa valiokunta pitää esityksen tavoitteita ja ehdotuksia tärkeinä ja kannattaa lakiehdotusten hyväksymistä jäljempänä esitetyin muutoksin.  

Hajautettu malli

Esityksellä mahdollistetaan toisiolain mukaisten tietolupien ja tietopyyntöjen käsittelyssä hajautettu malli, jolloin hakija voi käyttää sekä nykyisen keskitetyn mallin mukaista tietolupa- ja tietopyyntökäsittelyä että ehdotetun hajautetun mallin mukaista käsittelyä (niin sanottu hybridimalli). Voimassa olevan lain mukaan Tietolupaviranomainen käsittelee kaikki tietolupahakemukset, jotka koskevat usean toisiolain 6 §:n organisaation tietoaineistoja ja kaikki toisiolain mukaiset tietopyynnöt. Muutosehdotusten myötä myös muut toisiolain 6 §:ssä tarkoitetut organisaatiot voivat käsitellä usean organisaation tietoaineistoja koskevia tietolupia ja toisiolain mukaisia tietopyyntöjä. Findatan lisäksi myös Terveyden ja hyvinvoinnin laitos, Kansaneläkelaitos, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus tai jokin sosiaali- ja terveydenhuollon julkinen palvelunjärjestäjä voi koota, yhdistellä ja esikäsitellä usean rekisterinpitäjän tietoaineistoja. 

Ehdotuksen mukaan hakija voi toimittaa tietolupahakemuksen tai tietopyynnön, joka koskee useamman kuin yhden toisiolain 6 §:ssä tarkoitetun organisaation tietoaineistoja joko Findatalle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. Jos hakija toimittaa hakemuksen tai pyynnön Findatalle, käsittelyprosessi toteutetaan kuten nykyisessä mallissa, jolloin Findata käsittelee hakemuksen tai pyynnön ja tekee päätöksen usean organisaation tietoaineistoja koskien. Jos taas hakija toimittaa hakemuksen tai pyynnön organisaatioille erikseen, tällöin jokainen organisaatio käsittelee ja tekee päätöksen omien tietoaineistojensa osalta. 

Ehdotetun mallin on katsottu valiokunnan asiantuntijakuulemisissa olevan varsin laajasti kannatettava ja oikeansuuntainen. Asiantuntijakuulemisen perusteella tietolupahakemusten käsittelyssä voi olla haasteellista arvioida, millainen vaikutus eri rekisterinpitäjien tietoaineistojen yhdistämisellä olisi. Vaikka ehdotetun hajautetun mallin on yhtäältä arvioitu tuovan kustannushyötyjä, on saadussa lausuntopalautteessa toisaalta esitetty mahdollisia kustannushyötyjä kohtaan myös kritiikkiä.  

Valiokunta toteaa, että asiantuntijakuulemisen perusteella voimassa olevassa toisiolaissa säädetty keskitetty malli tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittelylle on koettu joustamattomaksi ja ongelmalliseksi. Ehdotetun hajautetun mallin tarkoituksena on saadun selvityksen mukaan säilyttää voimassa olevan mallin hyvät puolet, jolloin tietolupa ja tietoaineistot on mahdollista saada edelleen keskitetyn lupaviranomaisen kautta. Keskitettyjen palvelujen tarve on tunnistettu erityisesti yrityssektorilla, jossa keskitetty lupamenettely ja tietoaineistojen kokoaminen on katsottu tehokkaammaksi kuin erilliset lupamenettelyt. Hajautetumpaa mallia puolestaan ovat kannattaneet muun muassa hyvinvointialueet, joissa mahdollisuus käsitellä usean hyvinvointialueen tietoja koskevia tietolupia sekä mahdollisuus koota ja yhdistellä hyvinvointialueiden tietoaineistoja on katsottu tarpeelliseksi. Näin ollen ehdotetulla sääntelyllä voidaan valiokunnan näkemyksen mukaan lisätä menettelyihin joustavuutta sekä mahdollistaa hakemusten, pyyntöjen ja tietojen käsittely eri toimijoiden kannalta erilaisissa tilanteissa tarkoituksenmukaisimmalla tavalla. Valiokunta pitää myönteisenä, että ehdotetun mallin arvioidaan edistävän ja lisäävän tutkimus- ja innovaatiotoimintaa sekä laskemaan niiden kustannuksia. Valiokunta painottaa, että hajautettu malli edellyttää kyseisiltä organisaatioilta yhteistyötä ja koordinaatiota lain sujuvan ja yhdenmukaisen soveltamisen varmistamiseksi sekä eri rekisterinpitäjien tietojen yhdistämisen vaikutusten arvioimiseksi. 

Valiokunta pitää kannatettavana rekisterinpitäjien laajempaa mahdollisuutta käsitellä ja tuottaa tietoaineistoja, mutta korostaa, että samalla on tärkeää huolehtia rekisteröityjen yksityisyyden suojasta. Valiokunnan asiantuntijakuulemisen perusteella hallituksen esityksessä mahdollistetaan varsin laajasti yksityiselämän suojan ydinalueelle kuuluvien tietojen käsittely toissijaisiin tarkoituksiin. Ehdotettu sääntely asettaa ennakkokontrolleja tietojen saannille ja käytölle. Asiantuntijakuulemisissa on kuitenkin korostettu myös sitä, että jälkikäteisen valvonnan mahdollistamiseksi toimivaltaisten viranomaisten on dokumentoitava riittävästi myös, miten välttämättömyysedellytystä on sovellettu kussakin tietolupa- tai tietopyyntöpäätöksessä. Tällä on merkitystä niin päätöksen saajan kuin käsittelyn kohteena olevien rekisteröityjen oikeusturvan kannalta. 

Valiokunnan asiantuntijakuulemisissa kiinnitettiin huomiota myös siihen, että rekisteröity voi joutua kohtuuttomaan tilanteeseen, jos hän on käyttänyt usean eri sosiaali- ja terveydenhuollon palvelunjärjestäjän palveluita ja joutuu tekemään oikeuksiensa käyttämistä koskevan pyynnön jokaiselle rekisterinpitäjälle erikseen. Kuulemisissa nostettiin esiin tarve perustaa kansallinen keskitetty palvelu rekisteröityjen oikeuksien, kuten vastustamisoikeuden käyttämiselle, koska rekisteröityjen oikeuksia koskevan pyynnön välittyminen eri rekisterinpitäjien välillä voi olla epävarmaa ilman keskitettyä palvelua. 

Valiokunta toteaa, että kansallinen keskitetty palvelu rekisteröityjen oikeuksien käyttämistä varten vahvistaisi rekisteröityjen oikeuksien toteutumista. Saadun selvityksen mukaan keskitetyn palvelun perustamisen kustannuksia selvitetään parhaillaan sosiaali- ja terveysministeriössä. Valiokunta korostaa, että palvelun toteuttamista on tarpeen arvioida jatkovalmistelussa. 

Toimivaltaisen viranomaisen määräytyminen

Hallituksen esityksessä toisiolakiin ehdotetaan lisättäväksi uusi 6 a § tietolupakäsittelyyn liittyvästä toimivallasta, 6 b § tietopyyntökäsittelyyn liittyvästä toimivallasta ja 6 c § tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirrosta. Toisiolain 51 §:ään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan, jos hakemus tai tietopyyntö on koskenut usean organisaation tietoja ja kukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöpäätöksen omien tietoaineistojensa osalta, kyseiset organisaatiot voivat päättää, että joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio kokoaa tietoaineistot. Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa Tietolupaviranomainen. 

Valiokunnan asiantuntijakuulemisissa on kiinnitetty huomiota siihen, että viranomaisten toimivaltasuhteiden lähtökohdat ja toimivallan siirtämisen edellytykset eivät ilmene laista riittävän täsmällisesti ja että ehdotetut säännökset mahdollistaisivat käytännössä rajoituksetta toimivallan siirtämisen toiselle viranomaiselle. Perustuslakivaliokunnan mielestä ehdotettu sääntely täyttää sinänsä perustuslakivaliokunnan käytännössä asetetut vähimmäisvaatimukset. Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että ehdotettu toimivaltaa ja sen siirtämistä koskeva sääntely on varsin vaikeaselkoista. Perustuslakivaliokunnan lausunnon mukaan sosiaali- ja terveysvaliokunnan on syytä selkeyttää ehdotettua sääntelyä.  

Sosiaali- ja terveysvaliokunta ehdottaa, että 1. lakiehdotuksen 6 c, 51, 51 a ja 51 d §:n sääntelyä selkeytetään ja täsmennetään jäljempänä yksityiskohtaisissa perusteluissa esitetyin tavoin. 

Kliiniset tutkimukset

Toisiolakiin ehdotetaan lisättäväksi uusi 2 §:n 4 momentti, jossa säädetään siitä, että toisiolakia ei sovelleta kliinisissä tutkimuksissa tapahtuvaan henkilötietojen käsittelyyn. Kliinisestä lääketutkimuksesta annettuun lakiin (983/2021), lääkinnällisistä laitteista annettuun lakiin (719/2021) sekä lääketieteellisestä tutkimuksesta annettuun lakiin (488/1999) ehdotetaan lisättäväksi täsmentävät säännökset siitä, millä edellytyksillä tutkittavaa koskevat rekisteritiedot on mahdollista saada kliinisten tutkimusten käyttöön. 

Valiokunta pitää ehdotettua sääntelyä kannatettavana ja tarpeellisena. Sosiaali- ja terveysvaliokunta ja perustuslakivaliokunta ovat aiemmin korostaneet tarvetta selvittää toisiolain suhdetta kliinistä lääketutkimusta koskevaan lainsäädäntöön sekä muuhun sosiaali- ja terveysalan tutkimustoimintaa koskevaan sääntelyyn (muun muassa StVM 22/2021 vp, s. 12—13; PeVL 23/2020 vp, s. 7). Toisiolain suhde muuhun tutkimuslainsäädäntöön on ollut epäselvä lain voimaantulosta lähtien. Epäselvyys on olennaisesti vaikeuttanut kliinisten tutkimusten suorittamisen edellytyksiä Suomessa, ja esityksen perustelujen (s. 19) mukaan esimerkiksi monien väestöä pitkäaikaisesti seuraavien isojen kohorttitutkimuksien aineistonkeruut ovat olleet pysähdyksissä pitkään. 

Myös valiokunnan asiantuntijakuulemisissa on ehdotettua kliinisiä tutkimuksia koskevaa sääntelyä lähtökohtaisesti kannatettu. Lausuntopalautteessa on kuitenkin nostettu esiin edelleen tarvetta selkeyttää tätä sääntelykokonaisuutta. Selkeyttämistarvetta on muun muassa liittyen Kanta-palvelujen hyödyntämiseen kliinisissä tutkimuksissa.  

Sosiaali- ja terveysministeriöltä saadun selvityksen mukaan esityksen 2.—4. lakiehdotuksen mukaan Kansaneläkelaitoksen tiedot kuuluvat kliinisten tutkimusten tiedonsaantioikeuksien piiriin ainoastaan siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista. Kanta-palveluihin tallennetut tiedot sen sijaan eivät esityksen perustelujen (s. 88) mukaan kuulu ehdotettujen kliinisten tutkimusten tiedonsaantioikeuksien piiriin. Asia edellyttää ministeriön näkemyksen mukaan jatkovalmistelua. 

Sosiaali- ja terveysministeriöltä saadun selvityksen mukaan tutkimuslainsäädännön selkiyttämiseksi on parhaillaan käynnissä hanke, jossa tarkoituksena on jatkaa sosiaali- ja terveydenhuollon tutkimustoimintaa koskevan sääntelyn yhteensovittamista ja selkiyttämistä. Valiokunta pitää mainittua hanketta välttämättömänä. Nyt käsittelyssä olevasta esityksestä huolimatta valiokunnan näkemyksen mukaan on edelleen tarve jatkaa sosiaali- ja terveydenhuollon tutkimustoimintaa koskevan lainsäädäntökokonaisuuden yhteensovittamista ja selkeyttämistä, jotta tutkimustoimintaa koskevat menettelyt olisivat henkilötietojen suoja turvaten mahdollisimman sujuvat.  

Kansainvälinen tutkimusyhteistyö

Kansainvälisen tutkimusyhteistyön edistämiseksi esityksessä ehdotetaan lisättäväksi toisiolakiin uusi 51 c §, jossa säädetään mahdollisuudesta luovuttaa pseudonymisoituja henkilötietoja sekä anonymisoituja tietoja muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön (niin sanottu poikkeustietolupa). Tällainen luovutus on kuitenkin mahdollista vain, jos tietoaineistojen käsittely täyttää 51 c §:ssä säädetyt edellytykset, kuten riittävät tietosuojan ja tietoturvan vaatimukset. Esityksen (s. 32) mukaan kyseessä voi olla esimerkiksi tutkimushanke, jossa tietoaineistoja käsitellään jonkin tunnetun ja luotettavan ulkomaisen yliopiston tai yliopistosairaalan turvallisessa käyttöympäristössä.  

Valiokunnan asiantuntijakuulemisissa ehdotettua sääntelyä on puollettu, koska toisiolain 20 §:ssä tarkoitettuja tietoturvallisia käyttöympäristöjä ei tällä hetkellä ole Suomen ulkopuolella, mikä vaikeuttaa suomalaisten tutkijoiden osallistumista kansainväliseen tutkimusyhteistyöhön. Toisiolaki ei estä sitä, että myös Suomen ulkopuolella sijaitseva käyttöympäristö auditoitaisiin toisiolain ja Tietolupaviranomaisen määräyksen mukaisesti. Käytännössä toisiolain 20 §:ssä tarkoitettuja käyttöympäristöjä ei kuitenkaan ole syntynyt Suomen ulkopuolelle ja ulkomaisten toimijoiden halukkuus auditoida käyttöympäristönsä Suomen kansallisten vaatimusten mukaisesti nähdään epätodennäköisenä. Ulkomaisilla tutkijoilla on mahdollisuus saada etäkäyttöyhteydellä pääsy toisiolain mukaisiin tietoturvallisiin käyttöympäristöihin ja käsitellä niissä suomalaisia tietoaineistoja. Lisäksi tutkijalle voidaan luovuttaa toisiolain mukaisia aggregoituja tilastotietoja. Näiden ei kuitenkaan ole katsottu olevan käytännössä riittäviä keinoja tutkimusyhteistyön edistämiseksi.  

Ehdotetun sääntelyn on valiokunnan asiantuntijakuulemisissa toisaalta katsottu olevan henkilötietojen suojan kannalta ongelmallista, koska ulkomaiselle turvalliselle käyttöympäristölle ei ole asetettu täsmällisiä tietosuoja- ja tietoturvavaatimuksia, kuten on tehty Suomessa toimiville tietoturvallisille käyttöympäristöille. 

Valiokunta pitää tärkeänä ehdotetun sääntelyn tavoitetta parantaa suomalaisten tutkijoiden mahdollisuuksia osallistua kansainväliseen tutkimusyhteistyöhön. Henkilötietojen käsittely kansainvälisessä tutkimusyhteistyössä on esityksen perustelujen (s. 39 ja 43) mukaan tarpeellista myös siksi, että voidaan edistää uusien hoitomuotojen ja -keinojen kehittämistä suomalaisten potilaiden tarpeisiin.  

Poikkeustietoluvassa tehdään sosiaali- ja terveysministeriöltä saadun selvityksen mukaan tietosuojalainsäädännön mukainen riskiperusteinen arviointi, jossa otetaan huomioon muun muassa tietoaineistoon kohdistuvat riskit ja tietoaineistojen käsittelyn tietosuojan ja tietoturvan taso. Poikkeustietoluvassa ei siten ole kyse vastaavanlaisesta arvioinnista kuin toisiolain 26 §:ssä tarkoitetussa arvioinnissa siitä, täyttääkö tietoturvallinen käyttöympäristö tietoturvallisuutta koskevat vaatimukset. Sen sijaan arviointi kohdistuu siihen, voidaanko poikkeustietolupa hakijan antamien tietojen perusteella myöntää. Arviointi perustuu näin ollen kokonaisharkintaan, jossa otetaan huomioon hankkeen toteutumisesta aiheutuvat potentiaaliset hyödyt ja käsittelystä aiheutuvat riskit. Valiokunta toteaa, että EU:n yleisen tietosuoja-asetuksen säännökset ja vaatimukset henkilötietojen käsittelylle ovat suoraan sovellettavia kaikissa EU:n ja ETA:n jäsenmaissa. Jos henkilötietoja luovutetaan kolmansiin maihin, luovutuksessa tulee huomioida yleisen tietosuoja-asetuksen V luvun vaatimukset henkilötietojen siirrosta kolmansiin maihin, kuten 45 artiklan mukainen tietosuojan riittävyyttä koskeva päätös. Valiokunta myös korostaa, että esityksen mukaan tiedot tulee anonymisoida tai pseudonymisoida ennen niiden luovuttamista muuhun turvalliseen käyttöympäristöön. Lisäksi Tietolupaviranomainen voi liittää tietolupaan tarkempia tietojen käsittelyä koskevia ehtoja. 

Euroopan parlamentin ja neuvoston asetus (EU) 2025/327 eurooppalaisesta terveystietoalueesta sekä direktiivin 2011/24/EU ja asetuksen (EU) 2024/2847 muuttamisesta (European Health Data Space, jäljempänä EHDS-asetus) tulee saadun selvityksen mukaan helpottamaan eurooppalaista tutkimusyhteistyötä, sillä asetus tulee luomaan toisiokäytön käyttöympäristöille yhteiset eurooppalaiset vaatimukset, joita sovelletaan 27.3.2029 lähtien. Komissio säätää selvityksen mukaan viimeistään 27.3.2027 mennessä täytäntöönpanosäädöksillä käyttöympäristöjä koskevista vaatimuksista. Esityksessä ehdotettu 51 c § olisi väliaikainen ratkaisu kansainvälisen tutkimusyhteistyön mahdollistamiselle ennen EHDS-asetuksen soveltamista. 

Valiokunta toteaa, että kansainvälisen tutkimusyhteistyötä koskevan sääntelyn soveltamista on tarpeen arvioida yhteistyössä keskeisten viranomaisten kanssa, jotta jatkovalmistelussa edistetään kansainvälistä tutkimusyhteistyötä turvaten samalla henkilötietojen suoja.  

Taloudelliset vaikutukset

Sosiaali- ja terveysministeriöltä saadun selvityksen mukaan esitys on tietokatkoksen vuoksi annettu eduskunnalle virheellisesti niin, että esityksessä ei ole tuotu esiin sen yhteyttä vuoden 2026 talousarvioesitykseen. Esityksen perusteluissa taloudellisia vaikutuksia käsittelevässä jaksossa (s. 24) todetaan muun muassa, että koska taloudelliset vaikutukset hyvinvointialueille ja muille organisaatioille ovat vielä epävarmoja, toimijoille ei tässä vaiheessa ehdoteta lisärahoitusta, vaan tehtävät suoritettaisiin nykyisillä resursseilla. 

Ministeriö on valiokuntakäsittelyn yhteydessä täsmentänyt, että esitys liittyy valtion vuoden 2026 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä. Esityksessä ehdotetut muutokset tarkoittavat ministeriöltä saadun selvityksen mukaan uusia tehtäviä toisiolain 6 §:ssä tarkoitetuille organisaatioille. Tehtävät tulevat selvityksen mukaan tarkoittamaan lisäresurssin ja uuden osaamisen tarvetta erityisesti pienemmillä hyvinvointialueilla. Uusien tehtävien toteuttamisen mahdollistamiseksi vuoden 2026 talousarvioesityksessä esitetään hyvinvointialueille 1 000 000 euron lisärahoitusta. 

Valiokunta pitää tärkeänä, että lakiehdotuksen tarkoittamiin muutoksiin varataan riittävä rahoitus. Valiokunta pitää myönteisenä, että valtion talousarvioesityksessä on esitetty lisärahoitusta hyvinvointialueille toisiolain muutosten ja tietoaineistojen käsittelyn laajentamisen toteuttamiseen. Lisärahoituksen tarkoituksena on sosiaali- ja terveysministeriöltä saadun selvityksen mukana helpottaa hyvinvointialueiden valmistautumista ehdotettuihin uusiin tehtäviin. Valiokunta toteaa, että hyvinvointialueiden rahoituksesta annetun lain (617/2021) 9 §:n mukaisesti hyvinvointialueiden lakiin perustuva tehtävien laadun tai laajuuden muutos tulee ottaa valtion rahoituksessa täysimääräisesti huomioon. Valiokunta pitää siten välttämättömänä, että tarkoitukseen varatun rahoituksen riittävyyttä ja kohdentumista seurataan ja arvioidaan sekä rahoitusta tarvittaessa muutetaan. Valiokunta korostaa, että kustannusvaikutuksia myös muille sääntelyssä tarkoitetuille toimijoille tulee seurata ja arvioida riittävän rahoituksen turvaamiseksi. 

Suhde EHDS-asetukseen

EHDS-asetus tuli voimaan 26.3.2025. Asetuksen yleinen soveltaminen alkaa 26.3.2027, jonka lisäksi asetus sisältää useita siirtymäaikoja. Asetuksen tarkoituksena on edistää sähköisten terveystietojen saatavuutta ensisijaista ja toissijaista käyttöä varten. Asetuksessa säädetään terveystietojen ensisijaista ja toissijaista käyttöä koskevista vaatimuksista ja hallinnosta sekä vaatimuksista potilaskertomusjärjestelmille ja hyvinvointisovelluksille. Asetuksella perustetaan rajat ylittävä infrastruktuuri sähköisten terveystietojen ensisijaista ja toissijaista käyttöä varten sekä ensisijaista ja toissijaista terveystietojen käyttöä koordinoiva eurooppalaisen terveystietoalueen neuvosto. 

Valiokunnan asiantuntijakuulemisissa kiinnitettiin huomiota nyt ehdotetun hallituksen esityksen suhteeseen EHDS-asetukseen. Kuulemisissa muun muassa todettiin, että EHDS-asetuksella voi olla vaikutusta toisiolakiin esitettyjen muutosten tarkoituksenmukaisuuteen, jos toisiolakia joudutaan jälleen muuttamaan suhteellisen pian esitettyjen muutosten voimaantulon jälkeen. 

Valiokunnan sosiaali- ja terveysministeriöltä saaman selvityksen mukaan kansallinen toisiolaki muistuttaa keskeisiltä osiltaan EHDS-asetuksen toisiokäyttöä koskevia säännöksiä, jonka vuoksi Suomi on paremmin valmistautunut EHDS-asetuksen soveltamiseen kuin useimmat muut jäsenmaat. Ministeriö toteaa lisäksi, että EHDS-asetus sisältää EU-asetuksille epätyypillisesti poikkeuksellisen paljon kansallista liikkumavaraa. Kansallista liikkumavaraa sisältyy toisiokäytön osalta useaan asetuksen säännökseen. 

Sosiaali- ja terveysministeriössä on saadun selvityksen mukaan käynnissä lainsäädäntöhanke, jonka tarkoituksena on toimeenpanna EHDS-asetuksen toisiokäyttöä koskeva osuus. Hankkeessa on tarkoitus arvioida, miten EHDS-asetuksen asettamat velvoitteet tullaan toteuttamaan kansallisesti ja millaista kansallista lainsäädäntöä tulisi säilyttää EHDS-asetuksen rinnalla. Hallituksen esitys EHDS-asetusta täydentävästä sääntelystä sosiaali- ja terveystietojen toissijaisesta käytöstä annettuun lakiin ja siihen liittyviin lakeihin on tarkoitus antaa eduskunnalle syksyllä 2026.  

Sosiaali- ja terveysministeriö toteaa, että useat sidosryhmät ovat tuoneet esille, että toisiolakia on syytä uudistaa pikaisesti siitä huolimatta, että EHDS-asetus on tullut voimaan ja sen toisiokäyttöä koskevaa lukua aletaan soveltaa vuonna 2029. Toisiolain uudistamista tullaan ministeriön mukaan jatkamaan EHDS-asetuksen toimeenpanon yhteydessä.  

Valiokunta pitää saadun selvityksen perusteella tutkimusyhteistyön edistämiseksi tärkeänä, että nyt ehdotetulla toisiolain muutoksella pyritään ratkaisemaan toisiolain keskeisimmät haasteet jo ennen EHDS-asetuksen soveltamista. Samalla valiokunta kuitenkin korostaa, että nyt ehdotettujen säännösten soveltamiskäytäntöä on syytä seurata ja arvioida sekä huolehtia, että EHDS-asetuksen kansallisessa toimeenpanossa huomioidaan asetuksen mahdollistama kansallinen liikkumavara siten, että asetuksen toimeenpano tukee tarkoituksenmukaisilta osiltaan kansallisia tarpeita. 

Valiokunta toteaa lopuksi, että nyt ehdotettujen muutosten lisäksi toisiolakiin liittyy saadun selvityksen mukaan myös muita muutostarpeita. Valiokunta pitää tärkeänä, että toisiolain soveltamisessa ilmenneisiin muihin haasteisiin ja muutostarpeisiin liittyvää valmistelua jatketaan sekä EHDS-asetuksen toimeenpanon yhteydessä että hallituksen esityksessä (s. 7) mainitussa tutkimuslainsäädännön selkiyttämistä koskevassa hankkeessa siten, että yhtäältä joustavoitetaan ja edistetään edelleen tutkimuksen tekemistä kuitenkin siten, että turvataan henkilötietojen käsittelyssä yksityisyyden suoja. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta

6 c §. Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto.

Valiokunta ehdottaa, että pykälän 1 momentin tietolupa- ja tietopyyntökäsittelyn sääntelyä selkeytetään ja täsmennetään. Säännöstä ehdotetaan täsmennettäväksi ensinnäkin siten, että toimivalta on mahdollista luovuttaa erikseen tietolupapäätösten ja tietopyyntöpäätösten osalta.  

Pykälän 1 momenttia ehdotetaan täsmennettäväksi siirron voimassaoloajan osalta siten, että toimivallan siirto voidaan tehdä toistaiseksi tai määräajaksi.  

Pykälän 1 momenttia ehdotetaan täsmennettäväksi myös siten, että toimivallan siirron tulee olla organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Siirron tulee siten perustua harkintaan siitä, onko organisaatiolla tarvittavia resursseja ja asiantuntemusta käsitellä omia tietoaineistojaan koskevia tietolupia tai tietopyyntöjä vai onko tarkoituksenmukaista antaa toimivalta niiden suhteen Tietolupaviranomaiselle.  

Lisäksi pykälän 1 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan organisaatio voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle, jos se katsoo, että toimivallan siirrolle ei ole enää perusteita. Jos siis organisaatio on jossain vaiheessa siirtänyt toimivallan Tietolupaviranomaiselle ja sillä olisikin myöhemmin tarvittavat resurssit ja asiantuntemus käsitellä omien tietoaineistojensa tietolupa- tai tietopyyntöpäätöksiä, organisaatio voi ilmoituksellaan palauttaa toimivallan itselleen. Tämän jälkeen organisaatio tekee omia tietoaineistojaan koskevat tietolupa- tai tietopyyntöpäätökset.  

Vastaavat toimivallan siirtoa koskevat täsmennykset ehdotetaan lakiehdotuksen 51 a ja 51 d §:ään.  

36 a §. Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto.

Pykälää ehdotetaan täsmennettäväksi, koska sääntely on välttämättömyysedellytyksen näkökulmasta liian väljä ja lisäksi ehdotetun sääntelyn on valiokunnan kuulemisissa katsottu mahdollistavan sen, että tietoaineistojen kokoaja itse voisi poimia rekisterinpitäjän tietovarannoista tietoluvan mukaiset tiedot.  

Pykälän 1 momenttia muutetaan siten, että kokoajalla on oikeus saada rekisterinpitäjiltä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot, jotka on lueteltu 1 momentin 1—3 kohdissa. Momentin 4 kohta poistetaan, sillä 1—3 kohdissa luetellut tiedot ovat sosiaali- ja terveysministeriöltä saadun selvityksen perusteella riittäviä 51 §:ssä säädettyjen tehtävien hoitamiseksi. 

Lisäksi ehdotettu pykälän 3 momentti poistetaan, koska pykälän 2 momentissa säädetään siitä, että 1 momentissa tarkoitetut tiedot toimitetaan tietoaineistojen kokoajalle 6 §:ssä tarkoitetuilta rekisterinpitäjiltä tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. Ehdotettu 3 momentin sääntely on siten tarpeeton. Tietoaineiston kokoajalla ei ole oikeutta poimia itse tietoja rekisterinpitäjän tietovarannoista. Pykälän 3 momentin poiston seurauksena ehdotettu 4 momentti siirtyy pykälän 3 momentiksi. 

51 §. Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen.

Pykälän 2 momenttia ehdotetaan täsmennettäväksi siten, että päätöksen siitä, mikä organisaatio kokoaa tietoaineistot, tekevät hakemuksen tai pyynnön kohteena olevat organisaatiot yhteistyössä perustuen organisaatioiden resursseihin ja käytettävissä olevaan asiantuntemukseen. Tietoaineistojen kokoajan tehtävä voidaan antaa joko Tietolupaviranomaiselle tai 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitetulle organisaatiolle. Säännöksen perusteella organisaatioiden tulee yhteistyössä arvioida, millä organisaatiolla on tarvittavat resurssit ja asiantuntemus kyseisten tietojen osalta usean organisaation tietoaineistojen kokoamiseen, yhdistämiseen, esikäsittelyyn, pseudonymisointiin tai anonymisointiin. Lähtökohtaisesti tietoaineistojen kokoajan tehtävä on tarkoituksenmukaista antaa joko Tietolupaviranomaiselle, jolla on jo ennestään kokemusta eri rekisterinpitäjien tietoaineistojen kokoamisesta, tai vaihtoehtoisesti sellaiselle momentissa tarkoitetulle viranomaistoimijalle, jonka tietoaineistot muodostavat suurimman osan tietolupahakemuksessa tai tietopyynnössä haettavista tiedoista. 

Momenttia täydennetään lisäksi siten, että 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio voi ilmoittaa, että se ei ole käytettävissä kyseiseen tehtävään. Jos organisaatio katsoo, että sillä ei ole tarvittavia resursseja ja asiantuntemusta usean rekisterinpitäjän tietoaineistojen kokoamiseen, organisaatio voi ilmoittaa, että se ei ole käytettävissä tähän tehtävään. Tällöin tietoaineistot kokoaa joko Tietolupaviranomainen tai jokin toinen momentissa tarkoitettu organisaatio. 

Kokoavaa viranomaista koskevan päätöksen tulee tapahtua yhteisymmärryksessä organisaatioiden kesken. Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa lakiehdotuksen mukaan Tietolupaviranomainen.  

51 a §. Tietoaineistojen käsittely yksittäisessä organisaatiossa.

Pykälän 3 momenttiin ehdotetaan vastaavia muutoksia toimivallan siirtoa koskevaan sääntelyyn kuin edellä 6 c §:n 1 momenttiin.  

51 d §. Anonymisoitujen tietoaineistojen luovutus.

Pykälän 2 momenttiin ehdotetaan vastaavia muutoksia toimivallan siirtoa koskevaan sääntelyyn kuin edellä 6 c §:n 1 momenttiin.  

VALIOKUNNAN PÄÄTÖSEHDOTUS

Sosiaali- ja terveysvaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 87/2025 vp sisältyvät 2.—6. lakiehdotuksen. Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 87/2025 vp sisältyvän 1. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Valiokunnan muutosehdotukset

1. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 10 ja 11 §, 21 §:n 2 momentti, 44 § sekä 50 §:n 3 momentti,  
sellaisina kuin niistä ovat 11 § osaksi laissa 707/2023 ja 50 §:n 3 momentti laissa 1491/2019, 
muutetaan 1 ja 2 §, 3 §:n 10, 12 ja 13 kohta, 5 §:n 1, 2 ja 4 momentti, 6 §:n otsikko, johdantokappale ja 11 kohta, 7 ja 8 §, 13 §:n 2 momentti, 14, 16, 17 ja 20 §, 23 §:n 1 momentti, 36 §:n 2 ja 3 momentti, 37 §:n 1 momentti, 42 §:n 3 momentti, 43 §:n 5 momentti, 45—48 §, 50 §:n 2 ja 4 momentti, 51, 52 ja 58 § sekä 60 §:n 4, 8 ja 9 momentti,  
sellaisina kuin niistä ovat 8 § osaksi laissa 544/2022 ja 50 §:n 2 momentti laissa 1491/2019 ja 58 § osaksi laissa 767/2025, sekä 
lisätään 2 §:ään uusi 4 momentti, lakiin uusi 6 a—6 c, 7 a ja 36 a §, 49 §:ään uusi 2 momentti sekä lakiin uusi 51 a—51 d § seuraavasti: 
1 § 
Lain tavoite 
Tämän lain tavoitteena on mahdollistaa sosiaali- ja terveystietojen tehokas ja tietoturvallinen käsittely toissijaisissa käyttötarkoituksissa. Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä. 
2 § 
Soveltamisala ja suhde muuhun lainsäädäntöön 
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 2 momentissa tarkoitettuja tietoja käsitellään mainitussa momentissa tarkoitettuihin käyttötarkoituksiin. 
Tätä lakia sovelletaan 6 §:ssä tarkoitettujen organisaatioiden sekä yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen käsittelyyn ja niiden yhdistämiseen Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Digi- ja väestötietoviraston henkilötietoihin 6, 7 ja 7 a §:ssä säädetyin rajauksin, kun kyseisiä tietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa: 
1) tilastointi; 
2) tieteellinen tutkimus; 
3) kehittämis- ja innovaatiotoiminta; 
4) opetus; 
5) tietojohtaminen; 
6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; 
7) viranomaisen suunnittelu- ja selvitystehtävä. 
Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 2 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa. 
Tätä lakia ei sovelleta kliinisestä lääketutkimuksesta annetun lain (983/2021), jäljempänä lääketutkimuslaki, 1 §:ssä tarkoitetussa kliinisessä lääketutkimuksessa, lääkinnällisistä laitteista annetun lain (719/2021) 3 luvussa tarkoitetussa lääkinnällisen laitteen kliinisessä tutkimuksessa tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksessa ja lääketieteellisestä tutkimuksesta annetun lain (488/1999), jäljempänä tutkimuslaki, 2 §:n 1 kohdassa tarkoitetussa lääketieteellisessä tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn, jos tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen noudattaen, mitä ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 536/2014 ja lääketutkimuslaissa, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 ja lääkinnällisistä laitteista annetussa laissa taikka tutkimuslaissa säädetään suostumuksen antamisesta tai jos mainituissa säädöksissä säädetyt hätätilanteessa suoritettavan tutkimuksen suorittamisen edellytykset täyttyvät.  
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
10) tietoturvallisella siirtopalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
12) asiointipalvelulla järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle; 
13) palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka sosiaali- ja terveydenhuollon valvonnasta annetussa laissa (741/2023) tarkoitettua yksityistä palvelujen tuottajaa; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
5 § 
Tietolupaviranomaisen tehtävät 
Tietolupaviranomainen käsittelee tietolupia ja tietopyyntöjä sekä vastaa tietoluvassa tai tietopyynnössä tarkoitettujen tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön. 
Tietolupaviranomainen ylläpitää asiointipalvelua tietopyyntöjen ja tietolupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista siirtopalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen järjestää tietoturvallista käyttöympäristöä koskevan palvelun, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietolupaviranomainen voi tuottaa anonymisoidut tulokset ja varmistaa tuotettujen tulosten anonymisoinnin. Tulosten anonymisoinnista säädetään 52 §:ssä. 
6 § 
Organisaatiot ja tietoaineistorajaukset 
Organisaatiot, joiden henkilötietoja voidaan käsitellä tämän lain nojalla 2 §:n mukaisiin käyttötarkoituksiin, ovat: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
11) Digi- ja väestötietovirasto siltä osin kuin väestötietojärjestelmästä tarvitaan tämän lain mukaisiin tarkoituksiin henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja. 
6 a § 
Tietolupakäsittelyyn liittyvä toimivalta 
Jos tietolupahakemus koskee sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, hakemus toimitetaan Tietolupaviranomaiselle, joka tekee tietolupaa koskevan päätöksen. 
Hakija voi toimittaa tietolupahakemuksen, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. 
Jos hakija toimittaa tietolupahakemuksen Tietolupaviranomaiselle, se tekee tietolupaa koskevan päätöksen kaikkien hakemuksen kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietolupaa koskevan päätöksen omien tietoaineistojensa osalta. 
Jos tietolupahakemus koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation tietoja, hakemus toimitetaan kyseiselle organisaatiolle, joka tekee tietolupaa koskevan päätöksen. 
Tietolupapäätöksestä vastaava organisaatio voi pyytää tietosuojavaltuutetulta lausuntoa tietolupahakemuksesta, jos arvioi sen tarpeelliseksi. 
6 b § 
Tietopyyntökäsittelyyn liittyvä toimivalta 
Jos tietopyyntö koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, tietopyyntö toimitetaan Tietolupaviranomaiselle, joka tekee tietopyyntöä koskevan päätöksen. 
Hakija voi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle pyynnön kohteena olevalle organisaatiolle erikseen. 
Jos hakija toimittaa tietopyynnön Tietolupaviranomaiselle, se tekee tietopyyntöä koskevan päätöksen kaikkien tietopyynnön kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa tietopyynnön jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta. 
Jos tietopyyntö koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation tietoja, tietopyyntö toimitetaan kyseiselle organisaatiolle, joka tekee tietopyyntöä koskevan päätöksen. 
6 c § 
Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto 
Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tietolupa- Valiokunta ehdottaa sisältöä muutettavaksi tai Muutosehdotus päättyy tietopyyntöpäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle Valiokunta ehdottaa sisältöä muutettavaksi toistaiseksi tai määräajaksi Muutosehdotus päättyy. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia Valiokunta ehdottaa sisältöä muutettavaksi tai Muutosehdotus päättyy tietopyyntöjä koskevat päätökset. Valiokunta ehdottaa sisältöä muutettavaksi Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. Muutosehdotus päättyy 
Jos organisaatio on luovuttanut toimivallan Tietolupaviranomaiselle tai kyseessä on tietolupahakemus tai tietopyyntö, joka koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, ja hakija on toimittanut tietolupahakemuksen tai tietopyynnön jokaiselle hakemuksen tai pyynnön kohteena olevalle organisaatiolle erikseen, Tietolupaviranomainen tekee tietolupaa tai tietopyyntöä koskevan päätöksen toimivallan luovuttaneen organisaation, Kanta-palveluihin tallennettujen tietojen ja yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien rekisteritietojen osalta. 
7 § 
Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset 
Tilastokeskus ja Terveyden ja hyvinvoinnin laitos tilastoviranomaisena ( tilastoviranomaiset ) vastaavat tilastotarkoituksiin keräämiensä tietojen tietolupa- ja tietopyyntöpäätöksistä tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista noudattaen, mitä tilastolaissa (280/2004) säädetään. Tietolupahakemus tai tietopyyntö, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisen tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle tai Terveyden ja hyvinvoinnin laitokselle. 
Tilastotarkoituksessa kerättyjen tietojen yhdistelemisestä ja luovuttamisesta säädetään 51 §:n 3 momentissa. 
7 a § 
Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskevat poikkeukset 
Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen 6 §:n 9—11 kohdassa tarkoitettuihin tietoihin kohdistuvaan tietolupahakemukseen tai tietopyyntöön sovelletaan tämän lain säännöksiä silloin, jos näitä tietoja yhdistetään yhden tai usean 6 §:n 1—8 kohdassa tarkoitetun rekisterinpitäjän tietoihin, Kanta-palveluihin tallennettuihin tietoihin tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin.  
8 § 
Tietolupaviranomaisen korkean tason asiantuntijaryhmä  
Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista. 
13 § 
Neuvontapalvelu 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, Tietolupaviranomaisen palvelujen sisältöä ja merkitystä sekä 14 §:n 4 momentissa tarkoitettuja valmisaineistoja. 
14 § 
Tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu 
Kun Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan myönteisen päätöksen, Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio kokoaa, tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoaineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon.  
Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista. 
Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella. 
Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen organisaatioiden tiedoista. Tietolupaviranomainen saa poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista. 
16 § 
Tietolupaviranomaisen asiointipalvelu  
Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa asiointipalvelua, jonka välityksellä tietolupahakemus tai tietopyyntö on toimitettava sille. 
Keskeiset Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä keskeiset hakijan laatimat selvitykset ja täydennykset sekä hakemusta koskevat muutokset toimitetaan asiointipalvelun välityksellä. Lupapäätös annetaan hakijalle tiedoksi asiointipalvelun välityksellä. 
Jos tietojen käytön edellytykseksi on säädetty tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan asiointipalvelun välityksellä. 
17 § 
Tietoturvallinen siirtopalvelu 
Tietolupaviranomainen ylläpitää tietoturvallista siirtopalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Tietoturvallisen siirtopalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä tarkoitettujen organisaatioiden välillä, 6 §:ssä tarkoitettujen organisaatioiden välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä, luvanhakijan ja Tietolupaviranomaisen sekä luvanhakijan ja 6 §:ssä tarkoitettujen organisaatioiden välillä. 
Kun henkilötietoja välitetään tietoturvallisen siirtopalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen siirtopalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009). 
Tietolupaviranomaisen on luotava tarvittavat rajapinnat tietoturvallisen siirtopalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla. 
20 § 
Tietoturvallinen käyttöympäristö 
Tietolupaviranomaisen tai muun 6 §:ssä tarkoitetun organisaation tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely toteutetaan tietoturvallisessa käyttöympäristössä. Tietolupaviranomainen järjestää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä koskevan palvelun. Tietoturvallisia käyttöympäristöjä koskevia palveluita voivat tarjota myös muut organisaatiot.  
Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa. 
Tietolupaviranomaisen tietoturvallisen käyttöympäristön ja muiden tietoturvallisten käyttöympäristöjen tulee täyttää 2 momentissa ja 21—29 §:ssä säädetyt edellytykset. 
23 § 
Tietoturvallisen käyttöympäristön suojaaminen 
Tietoturvallinen käyttöympäristö on suojattava noudattaen, mitä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 luvussa säädetään. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 luku 
Henkilötietojen toissijaisen käytön perusteet ja edellytykset 
Toissijaisen käytön yleiset perusteet 
36 § 
Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Edellä 1 momentissa tarkoitetut tiedot luovutetaan Tietolupaviranomaisen käyttöön tietoturvallisen siirtopalvelun välityksellä. 
Tietolupaviranomainen voi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
36 a § 
Tietoaineistojen kokoajan oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä 
Jos 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio on 51 §:ssä tarkoitetulla tavalla valittu usean organisaation tietoaineistojen kokoajaksi, sillä on salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä oikeus pyynnöstä saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltäValiokunta ehdottaa sisältöä muutettavaksi  seuraavat tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot Muutosehdotus päättyy
1) tietoluvassa tarkoitetut tiedot tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä luovuttamiseksi luvansaajan käsiteltäväksi; 
2) tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai onko 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; sekä 
3) aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot; 
Valiokunta ehdottaa sisältöä poistettavaksi 4) muut organisaation tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot kuin 1–3 kohdassa tarkoitetut tiedot. Poistoehdotus päättyy 
Edellä 1 momentissa tarkoitetut tiedot luovutetaan tietoaineistojen kokoajan käyttöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. 
Valiokunta ehdottaa sisältöä poistettavaksi Tietoaineistojen kokoaja voi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä sellaisista 6 §:ssä tarkoitettujen organisaatioiden tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. Poistoehdotus päättyy 
Tietoaineistojen kokoaja on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä. 
37 § 
Kehittämis- ja innovaatiotoiminta 
Tietolupaviranomainen ja 6 §:ssä tarkoitettu organisaatio saa salassapitovelvoitteiden estämättä tuottaa tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin tieteellisenä tutkimuksena. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
42 § 
Sosiaali- ja terveydenhuollon viranomaisohjaus ja –valvonta 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Edellä 2 momentissa tarkoitetut tiedot luovutetaan valvontaviranomaiselle tietoturvallisen siirtopalvelun välityksellä. 
43 § 
Tietoluvan myöntämisen yleiset perusteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä tietopyyntönä, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii asian käsittelyä tietolupahakemuksena, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on tehtävä asiaa koskeva päätös. 
45 § 
Tietopyynnön käsittely 
Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio päättää, onko tietopyyntö 2 §:ssä säädettyjen käyttötarkoitusten ja tietopyynnölle säädettyjen vaatimusten mukainen. 
Päätöstä tehdessään Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:ssä tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto. 
Jos tietoja pyydetään tieteellistä tutkimusta varten ja pyyntö koskee tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, käsitellään tietopyyntö kuitenkin noudattaen, mitä 7 §:ssä ja 51 §:n 3 momentissa säädetään. 
46 § 
Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle 
Tietopyyntö sekä tietolupahakemus on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma. 
Tietolupaviranomainen antaa määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista. 
47 § 
Tietolupakäsittelyn määräajat 
Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä organisaatiolle. 
Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittely edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä taikka erityisen vaativaa harkintaa. Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan. 
Jos tietolupapäätöksestä vastaava organisaatio pyytää 6 a §:n 5 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan organisaation määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut. 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivän kuluessa pyynnön saapumisesta. Jos hakijan hakemuksensa tai pyyntönsä tueksi esittämä selvitys on riittämätön, rekisterinpitäjän on ilmoitettava viipymättä Tietolupaviranomaiselle ja hakijalle, mitä lisäselvitystä edellytetään. Tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot on tällöin toimitettava Tietolupaviranomaiselle 15 arkipäivän kuluessa siitä, kun hakijalta saadut lisäselvitykset ovat riittäviä. 
48 § 
Tietojen luovutuksia koskevat määräajat 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle. 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot 51 §:ssä tarkoitetun tietoaineistojen kokoajan pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun organisaatiot ovat tehneet päätöksen siitä, että tiedot saa luovuttaa hakijalle. 
Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen tai tietoaineistojen kokoajan on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella. 
Jos tietojen luovuttaminen Tietolupaviranomaiselle tai tietoaineistojen kokoajalle ei ole mahdollista 1 momentissa säädetyssä määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on asetettava perustellusta syystä luovutukselle uusi määräaika. 
Tietolupaviranomaisen tai tietoaineistojen kokoajan on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä. 
Tietolupaviranomainen tai tietoaineistojen kokoaja voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen luovuttaminen edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä tai erityisen vaativaa tietojen yhdistelyä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan. 
49 § 
Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulee olla läpinäkyviä. 
50 § 
Palveluista perittävät korvaukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Korvaukset, jotka koskevat tietolupaan ja tietopyyntöä koskevaan päätökseen perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. 
Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
51 § 
Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen 
Jos Tietolupaviranomainen on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Jos Valiokunta ehdottaa sisältöä poistettavaksi hakemus tai tietopyyntö on koskenut usean organisaation tietoja ja  Poistoehdotus päättyykukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen omien tietoaineistojensa osaltaValiokunta ehdottaa sisältöä muutettavaksi  tietolupahakemuksessa tai tietopyynnössä, joka koskee usean organisaation tietoja, usean organisaation tietoaineistot kokoaa Muutosehdotus päättyy joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatioValiokunta ehdottaa sisältöä poistettavaksi  kokoaa tietoaineistot Poistoehdotus päättyy. Valiokunta ehdottaa sisältöä muutettavaksi Päätöksen siitä, mikä edellä tarkoitettu organisaatio kokoaa tietoaineistot, tekevät tietolupahakemuksen tai tietopyynnön kohteena olevat organisaatiot yhteistyössä perustuen organisaatioiden resursseihin ja käytettävissä olevaan asiantuntemukseen. Edellä 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio voi ilmoittaa, että se ei ole käytettävissä kyseiseen tehtävään. Muutosehdotus päättyy Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa Tietolupaviranomainen. Tietoaineistojen kokoaja myös tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa tietoturvallisen siirtopalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen joko Tilastokeskuksen tai Tietolupaviranomaisen tietoturvalliseen käyttöympäristöön tai muuhun tietoturvalliseen käyttöympäristöön. 
51 a § 
Tietoaineistojen käsittely yksittäisessä organisaatiossa 
Jos hakija ilmoittaa tietolupahakemuksessa tai tietopyynnössä, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, että usean organisaation tietoaineistoja ei ole tarpeen yhdistellä, jokainen hakemuksessa tai tietopyynnössä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi omat tietoaineistonsa tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Organisaatiot voivat käyttää pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta. 
Jos hakemus tai tietopyyntö on koskenut vain organisaation omia tietoaineistoja, tietoluvan myöntänyt tai tietopyyntöpäätöksen tehnyt 6 §:ssä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Organisaatio voi luovuttaa toimivallan tässä pykälässä tarkoitettuun tietoaineistojen käsittelyyn omien tietoaineistojensa osalta TietolupaviranomaiselleValiokunta ehdottaa sisältöä muutettavaksi  toistaiseksi tai määräajaksi. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. Muutosehdotus päättyy 
51 b § 
Tietoaineistojen luovutus tietoturvalliseen käyttöympäristöön 
Muissa kuin 51 c ja 51 d §:ssä tarkoitetuissa tilanteissa tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. 
Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset. 
51 c § 
Tietoaineistojen luovutus muuhun turvalliseen käyttöympäristöön 
Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Tällainen tietolupa voidaan myöntää, jos: 
1) kansalliseen turvallisuuteen kohdistuvat ja muut tietoluvan nojalla luovutettavaan tietoaineistoon kohdistuvat riskit ovat vähäiset; 
2) yhtenä osallistujana hankkeessa on taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa; ja  
3) tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä on riittävä. 
Hakijan tulee perustella tietolupahakemuksessaan, miksi tietoaineistoa ei ole mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja antaa kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voi arvioida, täyttyvätkö 1 momentissa säädetyt edellytykset. Tietolupaan voidaan liittää tarkempia tietojen käsittelyä koskevia ehtoja. 
Jos Tietolupaviranomainen on myöntänyt 1 momentissa tarkoitetun tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi muussa turvallisessa käyttöympäristössä kuin 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. 
51 d § 
Anonymisoitujen tietoaineistojen luovutus 
Edellä 6 §:ssä tarkoitettu organisaatio voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos tietolupahakemus koskee ainoastaan kyseisen organisaation tietoja. Jos tietolupahakemus koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle. 
Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tässä pykälässä tarkoitettuja tietolupapäätöksiä omien tietoaineistojensa osalta TietolupaviranomaiselleValiokunta ehdottaa sisältöä muutettavaksi  toistaiseksi tai määräajaksi Muutosehdotus päättyy. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia koskevat päätökset. Valiokunta ehdottaa sisältöä muutettavaksi Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. Muutosehdotus päättyy 
Edellä 1 momentissa tarkoitetun luvan myöntämisen edellytyksenä on, että tietoaineistoon kohdistuvat riskit ovat vähäiset ja että tietoaineisto on mahdollista anonymisoida luotettavalla tavalla. 
Edellä 6 §:ssä tarkoitettu organisaatio tai Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä anonymisoi tietoluvassa yksilöidyt tiedot ja luovuttaa tuottamansa anonymisoidun tietoaineiston luvansaajalle. 
52 § 
Tulosten tuominen ulos tietoturvallisesta käyttöympäristöstä 
Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan tuoda ulos tietoturvallisesta käyttöympäristöstä, luvansaaja anonymisoi tietoturvallisesta käyttöympäristöstä ulos otettavat tulokset. Tietolupaviranomainen voi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle. 
Jos tulokset on anonymisoinut luvansaaja, sen tulee ilmoittaa Tietolupaviranomaiselle, että se aikoo tuoda tulokset ulos tietoturvallisesta käyttöympäristöstä. Tietolupaviranomainen varmistaa tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella.  
Tietolupaviranomainen voi antaa tarkempia määräyksiä tulosten anonymisoinnista. 
58 § 
Muutoksenhaku 
Tässä laissa tarkoitettuun tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio, sekä Lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 
60 § 
Siirtymäsäännökset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 2 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä organisaatio voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tämän lain 14 §:n 1 ja 2 momenttia tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää Tietolupaviranomaisen asiointipalvelusta sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020. 
Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun asiointipalvelun välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20  . Lain 2 §:n 4 momentti tulee kuitenkin voimaan jo 1 päivänä tammikuuta 2026.  
Lain 2 §:n 4 momentin voimaantultua sellaiset asiakastiedot sekä muut 6 §:ssä tarkoitettujen organisaatioiden henkilötiedot, joita on tämän lain voimaan tullessa voimassa olleiden säännösten nojalla käsitelty tietoturvallisessa käyttöympäristössä kliinisen lääketutkimuksen, lääketieteellisen tutkimuksen tai lääkinnällisen laitteen kliinisen tutkimuksen tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksen toteuttamista varten, saadaan siirtää muuhun käyttöympäristöön, jos kliinisestä lääketutkimuksesta annetun lain 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain 21 c §:ssä tai lääkinnällisistä laitteista annetun lain 20 a §:ssä säädetyt edellytykset tietojen saamiselle ja tietojen muulle käsittelylle täyttyvät. 
 Lakiehdotus päättyy 

2. Laki kliinisestä lääketutkimuksesta annetun lain 30 ja 34 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan kliinisestä lääketutkimuksesta annetun lain (983/2021) 30 §:n 1 momentti ja 34 §, sellaisena kuin niistä on 34 § osaksi laissa 708/2023, seuraavasti: 
30 § 
Muutoksenhaku 
Lääkealan turvallisuus- ja kehittämiskeskuksen tämän lain nojalla ja lääketutkimusasetuksen 77 artiklan nojalla tekemään päätökseen sekä 34 §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). Jos asia, johon oikaisuvaatimus kohdistuu, koskee toimikunnan lausunnossa käsiteltyä seikkaa, pyytää keskus toimikunnalta lausunnon, ellei se ole ilmeisen tarpeetonta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
34 § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntiluvan myöntävän viranomaisen edustajalla on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi taikka tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntiluvan myöntävän viranomaisen edustajan tehtävien hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita; 
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 13 tai 14 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittavan mainituissa pykälissä tarkoitettu laillisesti nimetty edustaja on antanut tietoon perustuvan suostumuksensa tutkimukseen osallistumiselle ja 14 §:n 4 momentissa tarkoitetussa tilanteessa myös tutkittava itse on antanut osallistumiseen suostumuksensa. 
Jos tutkimus on lääketutkimusasetuksen 35 artiklassa tarkoitettu hätätilanteessa suoritettava kliininen lääketutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos 35 artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää kliinisessä lääketutkimuksessa saatujen tietojen käyttö säädetään lääketutkimusasetuksen 35 artiklan 3 kohdassa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta.  
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20  . 
 Lakiehdotus päättyy 

3. Laki lääkinnällisistä laitteista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lääkinnällisistä laitteista annetun lain (719/2021) 56 §:n 1 momentti, ja 
lisätään lakiin uusi 20 a § seuraavasti: 
20 a § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita;  
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 25 tai 26 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittavan mainituissa pykälissä tarkoitettu laillisesti nimetty edustaja on antanut tietoon perustuvan suostumuksensa tutkimukseen osallistumiselle ja 26 §:n 4 momentissa tarkoitetussa tilanteessa myös tutkittava itse on antanut osallistumiseen suostumuksensa. 
Jos tutkimus on MD-asetuksen 68 artiklassa tarkoitettu hätätilanteessa suoritettava kliininen tutkimus tai IVD-asetuksen 64 artiklassa tarkoitettu hätätilanteessa suoritettava suorituskykytutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos MD-asetuksen 68 artiklassa tai IVD-asetuksen 64 artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää tutkimuksessa saatujen tietojen käyttö säädetään MD-asetuksen 68 artiklan 3 kohdassa ja IVD-asetuksen 64 artiklan 3 kohdassa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta. 
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
56 § 
Muutoksenhaku 
Lääkealan turvallisuus- ja kehittämiskeskuksen sekä ilmoitetun laitoksen MD-asetuksen, IVD-asetuksen tai tämän lain nojalla tekemään päätökseen sekä 20 a §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20  . 
 Lakiehdotus päättyy 

4. Laki lääketieteellisestä tutkimuksesta annetun lain 21 c ja 22 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c § sekä 22 a §:n otsikko ja 1 momentti, 
sellaisina kuin ne ovat, 21 c § laeissa 984/2021 ja 709/2023 sekä 22 a §:n otsikko ja 1 momentti laissa 1486/2019, seuraavasti: 
21 c § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita; 
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 7 tai 8 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että se, joka on oikeutettu antamaan suostumuksen tutkittavan puolesta, on antanut tietoon perustuvan suostumuksen osallistua tutkimukseen. Jos 8 §:n mukaan on hankittava myös alaikäisen tutkittavan oma suostumus tutkimukseen osallistumiselle silloin kun tutkittava ei voi itsenäisesti antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, tarvitaan myös tutkittavan oma suostumus. 
Jos tutkimus on 10 a §:ssä tarkoitettu hätätilanteessa suoritettava tutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos 10 a §:ssä säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää tutkimuksessa saatujen tietojen käyttö säädetään 10 a §:n 4 momentissa. 
Jos tutkimus on 10 b §:ssä tarkoitettu klusteritutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos tutkittava on antanut suostumuksensa osallistua tutkimukseen. Suostumuksesta säädetään 10 b §:n 3 momentissa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta. 
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
Potilasasiakirjoihin tehtävistä merkinnöistä ja potilasasiakirjojen säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023). 
22 a § 
Muutoksenhaku viranomaisen päätökseen 
Tässä laissa tarkoitettuun Lääkealan turvallisuus- ja kehittämiskeskuksen tekemään päätökseen sekä 21 c §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20  . 
 Lakiehdotus päättyy 

5. Laki Terveyden ja hyvinvoinnin laitoksesta annetun lain 5 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 a §:n 2 momentti, sellaisena kuin se on laissa 710/2023, ja 
muutetaan 5 a §:n 1 momentti, sellaisena kuin se on laissa 710/2023, seuraavasti: 
5 a § 
Tietojen luovuttaminen 
Edellä 5 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voidaan luovuttaa noudattaen, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), kliinisestä lääketutkimuksesta annetun lain (983/2021) 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c §:ssä ja lääkinnällisistä laitteista annetun lain (719/2021) 20 a §:ssä säädetään. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20  . 
 Lakiehdotus päättyy 

6. Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 61 §:n kumoamisesta 

Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain (703/2023) 61 §. 
2 § 
Tämä laki tulee voimaan päivänä kuuta 20  . 
 Lakiehdotus päättyy 
Helsingissä 5.11.2025 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Krista Kiuru sd 
 varapuheenjohtaja 
Mia Laiho kok 
 jäsen 
Kim Berg sd 
 jäsen 
Bella Forsgrén vihr  
 jäsen 
Hilkka Kemppi kesk 
 jäsen 
Aki Lindén sd 
 jäsen 
Hanna-Leena Mattila kesk 
 jäsen 
Ville Merinen sd (osittain) 
 jäsen 
Anne Rintamäki ps 
 jäsen 
Päivi Räsänen kd 
 jäsen 
Pia Sillanpää ps 
 jäsen 
Oskari Valtola kok 
 jäsen 
Henrik Wickström 
 varajäsen 
Mari Kaunistola kok 
 varajäsen 
Hanna Laine-Nousimaa sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Päivi Salo