Viimeksi julkaistu 21.11.2025 8.54

Eduskunnan vastaus EV 127/2025 vp HE 87/2025 vp  Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta ja siihen liittyviksi laeiksi

HE 87/2025 vp
StVM 15/2025 vp

Asia

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta ja siihen liittyviksi laeiksi (HE 87/2025 vp). 

Valiokuntakäsittely

Valiokunnan mietintö: Sosiaali- ja terveysvaliokunta (StVM 15/2025 vp). 

Päätös

Eduskunta on hyväksynyt seuraavat lait: 

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 10 ja 11 §, 21 §:n 2 momentti, 44 § sekä 50 §:n 3 momentti,  
sellaisina kuin niistä ovat 11 § osaksi laissa 707/2023 ja 50 §:n 3 momentti laissa 1491/2019, 
muutetaan 1 ja 2 §, 3 §:n 10, 12 ja 13 kohta, 5 §:n 1, 2 ja 4 momentti, 6 §:n otsikko, johdantokappale ja 11 kohta, 7 ja 8 §, 13 §:n 2 momentti, 14, 16, 17 ja 20 §, 23 §:n 1 momentti, 36 §:n 2 ja 3 momentti, 37 §:n 1 momentti, 42 §:n 3 momentti, 43 §:n 5 momentti, 45—48 §, 50 §:n 2 ja 4 momentti, 51, 52 ja 58 § sekä 60 §:n 4, 8 ja 9 momentti,  
sellaisina kuin niistä ovat 8 § osaksi laissa 544/2022 ja 50 §:n 2 momentti laissa 1491/2019 ja 58 § osaksi laissa 767/2025, sekä 
lisätään  lakiin  uusi  6 a—6 c, 7 a ja 36 a §, 49 §:ään  uusi 2 momentti  sekä  lakiin  uusi 51 a—51 d § seuraavasti: 
1 § 
Lain tavoite 
Tämän lain tavoitteena on mahdollistaa sosiaali- ja terveystietojen tehokas ja tietoturvallinen käsittely toissijaisissa käyttötarkoituksissa. Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä. 
2 § 
Soveltamisala ja suhde muuhun lainsäädäntöön 
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 2 momentissa tarkoitettuja tietoja käsitellään mainitussa momentissa tarkoitettuihin käyttötarkoituksiin. 
Tätä lakia sovelletaan 6 §:ssä tarkoitettujen organisaatioiden sekä yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen käsittelyyn ja niiden yhdistämiseen Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Digi- ja väestötietoviraston henkilötietoihin 6, 7 ja 7 a §:ssä säädetyin rajauksin, kun kyseisiä tietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa: 
1) tilastointi; 
2) tieteellinen tutkimus; 
3) kehittämis- ja innovaatiotoiminta; 
4) opetus; 
5) tietojohtaminen; 
6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; 
7) viranomaisen suunnittelu- ja selvitystehtävä. 
Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 2 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa. 
Tätä lakia ei sovelleta kliinisestä lääketutkimuksesta annetun lain (983/2021), jäljempänä lääketutkimuslaki, 1 §:ssä tarkoitetussa kliinisessä lääketutkimuksessa, lääkinnällisistä laitteista annetun lain (719/2021) 3 luvussa tarkoitetussa lääkinnällisen laitteen kliinisessä tutkimuksessa tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksessa ja lääketieteellisestä tutkimuksesta annetun lain (488/1999), jäljempänä tutkimuslaki, 2 §:n 1 kohdassa tarkoitetussa lääketieteellisessä tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn, jos tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen noudattaen, mitä ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 536/2014 ja lääketutkimuslaissa, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 ja lääkinnällisistä laitteista annetussa laissa taikka tutkimuslaissa säädetään suostumuksen antamisesta tai jos mainituissa säädöksissä säädetyt hätätilanteessa suoritettavan tutkimuksen suorittamisen edellytykset täyttyvät.  
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
10) tietoturvallisella siirtopalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
12) asiointipalvelulla järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle; 
13) palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka sosiaali- ja terveydenhuollon valvonnasta annetussa laissa (741/2023) tarkoitettua yksityistä palvelujen tuottajaa; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
5 § 
Tietolupaviranomaisen tehtävät 
Tietolupaviranomainen käsittelee tietolupia ja tietopyyntöjä sekä vastaa tietoluvassa tai tietopyynnössä tarkoitettujen tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön. 
Tietolupaviranomainen ylläpitää asiointipalvelua tietopyyntöjen ja tietolupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista siirtopalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen järjestää tietoturvallista käyttöympäristöä koskevan palvelun, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietolupaviranomainen voi tuottaa anonymisoidut tulokset ja varmistaa tuotettujen tulosten anonymisoinnin. Tulosten anonymisoinnista säädetään 52 §:ssä. 
6 § 
Organisaatiot ja tietoaineistorajaukset 
Organisaatiot, joiden henkilötietoja voidaan käsitellä tämän lain nojalla 2 §:n mukaisiin käyttötarkoituksiin, ovat: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
11) Digi- ja väestötietovirasto siltä osin kuin väestötietojärjestelmästä tarvitaan tämän lain mukaisiin tarkoituksiin henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja. 
6 a § 
Tietolupakäsittelyyn liittyvä toimivalta 
Jos tietolupahakemus koskee sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, hakemus toimitetaan Tietolupaviranomaiselle, joka tekee tietolupaa koskevan päätöksen. 
Hakija voi toimittaa tietolupahakemuksen, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. 
Jos hakija toimittaa tietolupahakemuksen Tietolupaviranomaiselle, se tekee tietolupaa koskevan päätöksen kaikkien hakemuksen kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietolupaa koskevan päätöksen omien tietoaineistojensa osalta. 
Jos tietolupahakemus koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation tietoja, hakemus toimitetaan kyseiselle organisaatiolle, joka tekee tietolupaa koskevan päätöksen. 
Tietolupapäätöksestä vastaava organisaatio voi pyytää tietosuojavaltuutetulta lausuntoa tietolupahakemuksesta, jos arvioi sen tarpeelliseksi. 
6 b § 
Tietopyyntökäsittelyyn liittyvä toimivalta 
Jos tietopyyntö koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, tietopyyntö toimitetaan Tietolupaviranomaiselle, joka tekee tietopyyntöä koskevan päätöksen. 
Hakija voi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle pyynnön kohteena olevalle organisaatiolle erikseen. 
Jos hakija toimittaa tietopyynnön Tietolupaviranomaiselle, se tekee tietopyyntöä koskevan päätöksen kaikkien tietopyynnön kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa tietopyynnön jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta. 
Jos tietopyyntö koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation tietoja, tietopyyntö toimitetaan kyseiselle organisaatiolle, joka tekee tietopyyntöä koskevan päätöksen. 
6 c § 
Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto 
Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tietolupa- tai tietopyyntöpäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia tai tietopyyntöjä koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. 
Jos organisaatio on luovuttanut toimivallan Tietolupaviranomaiselle tai kyseessä on tietolupahakemus tai tietopyyntö, joka koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, ja hakija on toimittanut tietolupahakemuksen tai tietopyynnön jokaiselle hakemuksen tai pyynnön kohteena olevalle organisaatiolle erikseen, Tietolupaviranomainen tekee tietolupaa tai tietopyyntöä koskevan päätöksen toimivallan luovuttaneen organisaation, Kanta-palveluihin tallennettujen tietojen ja yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien rekisteritietojen osalta. 
7 § 
Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset 
Tilastokeskus ja Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (tilastoviranomaiset) vastaavat tilastotarkoituksiin keräämiensä tietojen tietolupa- ja tietopyyntöpäätöksistä tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista noudattaen, mitä tilastolaissa (280/2004) säädetään. Tietolupahakemus tai tietopyyntö, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisen tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle tai Terveyden ja hyvinvoinnin laitokselle. 
Tilastotarkoituksessa kerättyjen tietojen yhdistelemisestä ja luovuttamisesta säädetään 51 §:n 3 momentissa. 
7 a § 
Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskevat poikkeukset 
Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen 6 §:n 9—11 kohdassa tarkoitettuihin tietoihin kohdistuvaan tietolupahakemukseen tai tietopyyntöön sovelletaan tämän lain säännöksiä silloin, jos näitä tietoja yhdistetään yhden tai usean 6 §:n 1—8 kohdassa tarkoitetun rekisterinpitäjän tietoihin, Kanta-palveluihin tallennettuihin tietoihin tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin.  
8 § 
Tietolupaviranomaisen korkean tason asiantuntijaryhmä  
Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista. 
13 § 
Neuvontapalvelu 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, Tietolupaviranomaisen palvelujen sisältöä ja merkitystä sekä 14 §:n 4 momentissa tarkoitettuja valmisaineistoja. 
14 § 
Tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu 
Kun Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan myönteisen päätöksen, Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio kokoaa, tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoaineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon.  
Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista. 
Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella. 
Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen organisaatioiden tiedoista. Tietolupaviranomainen saa poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista. 
16 § 
Tietolupaviranomaisen asiointipalvelu  
Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa asiointipalvelua, jonka välityksellä tietolupahakemus tai tietopyyntö on toimitettava sille. 
Keskeiset Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä keskeiset hakijan laatimat selvitykset ja täydennykset sekä hakemusta koskevat muutokset toimitetaan asiointipalvelun välityksellä. Lupapäätös annetaan hakijalle tiedoksi asiointipalvelun välityksellä. 
Jos tietojen käytön edellytykseksi on säädetty tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan asiointipalvelun välityksellä. 
17 § 
Tietoturvallinen siirtopalvelu 
Tietolupaviranomainen ylläpitää tietoturvallista siirtopalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Tietoturvallisen siirtopalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä tarkoitettujen organisaatioiden välillä, 6 §:ssä tarkoitettujen organisaatioiden välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä, luvanhakijan ja Tietolupaviranomaisen sekä luvanhakijan ja 6 §:ssä tarkoitettujen organisaatioiden välillä. 
Kun henkilötietoja välitetään tietoturvallisen siirtopalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen siirtopalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009). 
Tietolupaviranomaisen on luotava tarvittavat rajapinnat tietoturvallisen siirtopalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla. 
20 § 
Tietoturvallinen käyttöympäristö 
Tietolupaviranomaisen tai muun 6 §:ssä tarkoitetun organisaation tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely toteutetaan tietoturvallisessa käyttöympäristössä. Tietolupaviranomainen järjestää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä koskevan palvelun. Tietoturvallisia käyttöympäristöjä koskevia palveluita voivat tarjota myös muut organisaatiot.  
Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa. 
Tietolupaviranomaisen tietoturvallisen käyttöympäristön ja muiden tietoturvallisten käyttöympäristöjen tulee täyttää 2 momentissa ja 21—29 §:ssä säädetyt edellytykset. 
23 § 
Tietoturvallisen käyttöympäristön suojaaminen 
Tietoturvallinen käyttöympäristö on suojattava noudattaen, mitä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 luvussa säädetään. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 luku 
Henkilötietojen toissijaisen käytön perusteet ja edellytykset 
Toissijaisen käytön yleiset perusteet 
36 § 
Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Edellä 1 momentissa tarkoitetut tiedot luovutetaan Tietolupaviranomaisen käyttöön tietoturvallisen siirtopalvelun välityksellä. 
Tietolupaviranomainen voi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
36 a § 
Tietoaineistojen kokoajan oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä 
Jos 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio on 51 §:ssä tarkoitetulla tavalla valittu usean organisaation tietoaineistojen kokoajaksi, sillä on salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä oikeus pyynnöstä saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä seuraavat tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot: 
1) tietoluvassa tarkoitetut tiedot tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä luovuttamiseksi luvansaajan käsiteltäväksi; 
2) tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai onko 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; sekä 
3) aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot. 
Edellä 1 momentissa tarkoitetut tiedot luovutetaan tietoaineistojen kokoajan käyttöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. 
Tietoaineistojen kokoaja on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä. 
37 § 
Kehittämis- ja innovaatiotoiminta 
Tietolupaviranomainen ja 6 §:ssä tarkoitettu organisaatio saa salassapitovelvoitteiden estämättä tuottaa tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin tieteellisenä tutkimuksena. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
42 § 
Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Edellä 2 momentissa tarkoitetut tiedot luovutetaan valvontaviranomaiselle tietoturvallisen siirtopalvelun välityksellä. 
43 § 
Tietoluvan myöntämisen yleiset perusteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä tietopyyntönä, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii asian käsittelyä tietolupahakemuksena, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on tehtävä asiaa koskeva päätös. 
45 § 
Tietopyynnön käsittely 
Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio päättää, onko tietopyyntö 2 §:ssä säädettyjen käyttötarkoitusten ja tietopyynnölle säädettyjen vaatimusten mukainen. 
Päätöstä tehdessään Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:ssä tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto. 
Jos tietoja pyydetään tieteellistä tutkimusta varten ja pyyntö koskee tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, käsitellään tietopyyntö kuitenkin noudattaen, mitä 7 §:ssä ja 51 §:n 3 momentissa säädetään. 
46 § 
Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle 
Tietopyyntö sekä tietolupahakemus on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma. 
Tietolupaviranomainen antaa määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista. 
47 § 
Tietolupakäsittelyn määräajat 
Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä organisaatiolle. 
Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittely edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä taikka erityisen vaativaa harkintaa. Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan. 
Jos tietolupapäätöksestä vastaava organisaatio pyytää 6 a §:n 5 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan organisaation määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut. 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivän kuluessa pyynnön saapumisesta. Jos hakijan hakemuksensa tai pyyntönsä tueksi esittämä selvitys on riittämätön, rekisterinpitäjän on ilmoitettava viipymättä Tietolupaviranomaiselle ja hakijalle, mitä lisäselvitystä edellytetään. Tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot on tällöin toimitettava Tietolupaviranomaiselle 15 arkipäivän kuluessa siitä, kun hakijalta saadut lisäselvitykset ovat riittäviä. 
48 § 
Tietojen luovutuksia koskevat määräajat 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle. 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot 51 §:ssä tarkoitetun tietoaineistojen kokoajan pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun organisaatiot ovat tehneet päätöksen siitä, että tiedot saa luovuttaa hakijalle. 
Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen tai tietoaineistojen kokoajan on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella. 
Jos tietojen luovuttaminen Tietolupaviranomaiselle tai tietoaineistojen kokoajalle ei ole mahdollista 1 momentissa säädetyssä määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on asetettava perustellusta syystä luovutukselle uusi määräaika. 
Tietolupaviranomaisen tai tietoaineistojen kokoajan on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä. 
Tietolupaviranomainen tai tietoaineistojen kokoaja voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen luovuttaminen edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä tai erityisen vaativaa tietojen yhdistelyä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan. 
49 § 
Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulee olla läpinäkyviä. 
50 § 
Palveluista perittävät korvaukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Korvaukset, jotka koskevat tietolupaan ja tietopyyntöä koskevaan päätökseen perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. 
Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
51 § 
Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen 
Jos Tietolupaviranomainen on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Jos kukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta tietolupahakemuksessa tai tietopyynnössä, joka koskee usean organisaation tietoja, usean organisaation tietoaineistot kokoaa joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio. Päätöksen siitä, mikä edellä tarkoitettu organisaatio kokoaa tietoaineistot, tekevät tietolupahakemuksen tai tietopyynnön kohteena olevat organisaatiot yhteistyössä perustuen organisaatioiden resursseihin ja käytettävissä olevaan asiantuntemukseen. Edellä 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio voi ilmoittaa, että se ei ole käytettävissä kyseiseen tehtävään. Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa Tietolupaviranomainen. Tietoaineistojen kokoaja myös tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa tietoturvallisen siirtopalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen joko Tilastokeskuksen tai Tietolupaviranomaisen tietoturvalliseen käyttöympäristöön tai muuhun tietoturvalliseen käyttöympäristöön. 
51 a § 
Tietoaineistojen käsittely yksittäisessä organisaatiossa 
Jos hakija ilmoittaa tietolupahakemuksessa tai tietopyynnössä, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, että usean organisaation tietoaineistoja ei ole tarpeen yhdistellä, jokainen hakemuksessa tai tietopyynnössä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi omat tietoaineistonsa tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Organisaatiot voivat käyttää pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta. 
Jos hakemus tai tietopyyntö on koskenut vain organisaation omia tietoaineistoja, tietoluvan myöntänyt tai tietopyyntöpäätöksen tehnyt 6 §:ssä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 
Organisaatio voi luovuttaa toimivallan tässä pykälässä tarkoitettuun tietoaineistojen käsittelyyn omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. 
51 b § 
Tietoaineistojen luovutus tietoturvalliseen käyttöympäristöön 
Muissa kuin 51 c ja 51 d §:ssä tarkoitetuissa tilanteissa tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. 
Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset. 
51 c § 
Tietoaineistojen luovutus muuhun turvalliseen käyttöympäristöön 
Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Tällainen tietolupa voidaan myöntää, jos: 
1) kansalliseen turvallisuuteen kohdistuvat ja muut tietoluvan nojalla luovutettavaan tietoaineistoon kohdistuvat riskit ovat vähäiset; 
2) yhtenä osallistujana hankkeessa on taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa; ja  
3) tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä on riittävä. 
Hakijan tulee perustella tietolupahakemuksessaan, miksi tietoaineistoa ei ole mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja antaa kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voi arvioida, täyttyvätkö 1 momentissa säädetyt edellytykset. Tietolupaan voidaan liittää tarkempia tietojen käsittelyä koskevia ehtoja. 
Jos Tietolupaviranomainen on myöntänyt 1 momentissa tarkoitetun tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi muussa turvallisessa käyttöympäristössä kuin 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. 
51 d § 
Anonymisoitujen tietoaineistojen luovutus 
Edellä 6 §:ssä tarkoitettu organisaatio voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos tietolupahakemus koskee ainoastaan kyseisen organisaation tietoja. Jos tietolupahakemus koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle. 
Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tässä pykälässä tarkoitettuja tietolupapäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. 
Edellä 1 momentissa tarkoitetun luvan myöntämisen edellytyksenä on, että tietoaineistoon kohdistuvat riskit ovat vähäiset ja että tietoaineisto on mahdollista anonymisoida luotettavalla tavalla. 
Edellä 6 §:ssä tarkoitettu organisaatio tai Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä anonymisoi tietoluvassa yksilöidyt tiedot ja luovuttaa tuottamansa anonymisoidun tietoaineiston luvansaajalle. 
52 § 
Tulosten tuominen ulos tietoturvallisesta käyttöympäristöstä 
Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan tuoda ulos tietoturvallisesta käyttöympäristöstä, luvansaaja anonymisoi tietoturvallisesta käyttöympäristöstä ulos otettavat tulokset. Tietolupaviranomainen voi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle. 
Jos tulokset on anonymisoinut luvansaaja, sen tulee ilmoittaa Tietolupaviranomaiselle, että se aikoo tuoda tulokset ulos tietoturvallisesta käyttöympäristöstä. Tietolupaviranomainen varmistaa tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella.  
Tietolupaviranomainen voi antaa tarkempia määräyksiä tulosten anonymisoinnista. 
58 § 
Muutoksenhaku 
Tässä laissa tarkoitettuun tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio, sekä Lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 
60 § 
Siirtymäsäännökset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 2 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä organisaatio voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tämän lain 14 §:n 1 ja 2 momenttia tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää Tietolupaviranomaisen asiointipalvelusta sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020. 
Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun asiointipalvelun välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . Lain 2 §:n 4 momentti tulee kuitenkin voimaan jo 1 päivänä tammikuuta 2026.  
Lain 2 §:n 4 momentin voimaantultua sellaiset asiakastiedot sekä muut 6 §:ssä tarkoitettujen organisaatioiden henkilötiedot, joita on tämän lain voimaan tullessa voimassa olleiden säännösten nojalla käsitelty tietoturvallisessa käyttöympäristössä kliinisen lääketutkimuksen, lääketieteellisen tutkimuksen tai lääkinnällisen laitteen kliinisen tutkimuksen tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksen toteuttamista varten, saadaan siirtää muuhun käyttöympäristöön, jos kliinisestä lääketutkimuksesta annetun lain 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain 21 c §:ssä tai lääkinnällisistä laitteista annetun lain 20 a §:ssä säädetyt edellytykset tietojen saamiselle ja tietojen muulle käsittelylle täyttyvät. 
 Lakiehdotus päättyy 

Laki kliinisestä lääketutkimuksesta annetun lain 30 ja 34 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan kliinisestä lääketutkimuksesta annetun lain (983/2021) 30 §:n 1 momentti ja 34 §, sellaisena kuin niistä on 34 § osaksi laissa 708/2023, seuraavasti: 
30 § 
Muutoksenhaku 
Lääkealan turvallisuus- ja kehittämiskeskuksen tämän lain nojalla ja lääketutkimusasetuksen 77 artiklan nojalla tekemään päätökseen sekä 34 §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). Jos asia, johon oikaisuvaatimus kohdistuu, koskee toimikunnan lausunnossa käsiteltyä seikkaa, pyytää keskus toimikunnalta lausunnon, ellei se ole ilmeisen tarpeetonta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
34 § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntiluvan myöntävän viranomaisen edustajalla on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi taikka tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntiluvan myöntävän viranomaisen edustajan tehtävien hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita; 
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 13 tai 14 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittavan mainituissa pykälissä tarkoitettu laillisesti nimetty edustaja on antanut tietoon perustuvan suostumuksensa tutkimukseen osallistumiselle ja 14 §:n 4 momentissa tarkoitetussa tilanteessa myös tutkittava itse on antanut osallistumiseen suostumuksensa. 
Jos tutkimus on lääketutkimusasetuksen 35 artiklassa tarkoitettu hätätilanteessa suoritettava kliininen lääketutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos 35 artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää kliinisessä lääketutkimuksessa saatujen tietojen käyttö säädetään lääketutkimusasetuksen 35 artiklan 3 kohdassa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta.  
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki lääkinnällisistä laitteista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lääkinnällisistä laitteista annetun lain (719/2021) 56 §:n 1 momentti ja 
lisätään lakiin uusi 20 a § seuraavasti: 
20 a § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita;  
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 25 tai 26 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittavan mainituissa pykälissä tarkoitettu laillisesti nimetty edustaja on antanut tietoon perustuvan suostumuksensa tutkimukseen osallistumiselle ja 26 §:n 4 momentissa tarkoitetussa tilanteessa myös tutkittava itse on antanut osallistumiseen suostumuksensa. 
Jos tutkimus on MD-asetuksen 68 artiklassa tarkoitettu hätätilanteessa suoritettava kliininen tutkimus tai IVD-asetuksen 64 artiklassa tarkoitettu hätätilanteessa suoritettava suorituskykytutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos MD-asetuksen 68 artiklassa tai IVD-asetuksen 64 artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää tutkimuksessa saatujen tietojen käyttö säädetään MD-asetuksen 68 artiklan 3 kohdassa ja IVD-asetuksen 64 artiklan 3 kohdassa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta. 
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
56 § 
Muutoksenhaku 
Lääkealan turvallisuus- ja kehittämiskeskuksen sekä ilmoitetun laitoksen MD-asetuksen, IVD-asetuksen tai tämän lain nojalla tekemään päätökseen sekä 20 a §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki lääketieteellisestä tutkimuksesta annetun lain 21 c ja 22 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c § sekä 22 a §:n otsikko ja 1 momentti, 
sellaisina kuin ne ovat, 21 c § laeissa 984/2021 ja 709/2023 sekä 22 a §:n otsikko ja 1 momentti laissa 1486/2019, seuraavasti: 
21 c § 
Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa 
Salassapitosäännösten estämättä toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä on tässä laissa tarkoitetun tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi oikeus saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja seuraavilta organisaatioilta, jos tietojen saanti ja käsittely on välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi: 
1) Terveyden ja hyvinvoinnin laitos siltä osin kuin tutkimuksessa tarvitaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja tai tartuntatautilain (1227/2016) 32 §:ssä tarkoitetun tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja; 
2) Kansaneläkelaitos siltä osin kuin tutkimuksessa tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja tai sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista; 
3) Lupa- ja valvontavirasto siltä osin kuin se käsittelee sosiaali- ja terveydenhuoltoon liittyviä asioita; 
4) Työterveyslaitos siltä osin kuin tutkimuksessa tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
5) Lääkealan turvallisuus- ja kehittämiskeskus; 
6) sosiaali- tai terveydenhuollon julkiset ja yksityiset palvelunjärjestäjät. 
Edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että tutkittava on antanut tietoon perustuvan suostumuksensa osallistua tutkimukseen. Jos tutkittava ei 7 tai 8 §:n nojalla voi itse antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja tietojen muulle käsittelylle on, että se, joka on oikeutettu antamaan suostumuksen tutkittavan puolesta, on antanut tietoon perustuvan suostumuksen osallistua tutkimukseen. Jos 8 §:n mukaan on hankittava myös alaikäisen tutkittavan oma suostumus tutkimukseen osallistumiselle silloin kun tutkittava ei voi itsenäisesti antaa tietoon perustuvaa suostumusta osallistua tutkimukseen, tarvitaan myös tutkittavan oma suostumus. 
Jos tutkimus on 10 a §:ssä tarkoitettu hätätilanteessa suoritettava tutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos 10 a §:ssä säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Oikeudesta kieltää tutkimuksessa saatujen tietojen käyttö säädetään 10 a §:n 4 momentissa. 
Jos tutkimus on 10 b §:ssä tarkoitettu klusteritutkimus, 1 momentissa tarkoitettuja tietoja on oikeus saada ja käsitellä tutkimuksessa 1 momentissa säädetyllä tavalla, jos tutkittava on antanut suostumuksensa osallistua tutkimukseen. Suostumuksesta säädetään 10 b §:n 3 momentissa. 
Tietojen luovuttaminen 1 momentissa tarkoitettujen toimijoiden käyttöön edellyttää, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta. Tietoja ei saa luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta. 
Jos 1 momentissa tarkoitettu viranomainen kieltäytyy luovuttamasta pyydettyjä tietoja, se tekee asiasta päätöksen. 
Tiedot on pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Vastaanottaja saa yhdistellä 1 momentin nojalla saamansa tiedot, jos tietojen yhdistely on välttämätöntä 1 momentissa tarkoitettujen tehtävien tai velvoitteiden hoitamiseksi. 
Potilasasiakirjoihin tehtävistä merkinnöistä ja potilasasiakirjojen säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023). 
22 a § 
Muutoksenhaku viranomaisen päätökseen 
Tässä laissa tarkoitettuun Lääkealan turvallisuus- ja kehittämiskeskuksen tekemään päätökseen sekä 21 c §:n 1 momentissa tarkoitetun viranomaisen tekemään rekisteritietojen luovuttamista koskevaan päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki Terveyden ja hyvinvoinnin laitoksesta annetun lain 5 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 a §:n 2 momentti, sellaisena kuin se on laissa 710/2023, ja 
muutetaan 5 a §:n 1 momentti, sellaisena kuin se on laissa 710/2023, seuraavasti: 
5 a § 
Tietojen luovuttaminen 
Edellä 5 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voidaan luovuttaa noudattaen, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), kliinisestä lääketutkimuksesta annetun lain (983/2021) 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c §:ssä ja lääkinnällisistä laitteista annetun lain (719/2021) 20 a §:ssä säädetään. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 61 §:n kumoamisesta 

Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain (703/2023) 61 §. 
2 § 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 
Helsingissä 19.11.2025 

Eduskunnan puolesta

puhemies   
pääsihteeri