HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi

Samankaltaiset tiedostot
vastineen mukainen ehdotus Tarkistettu ehdotus Tarkistettu ehdotus Asiakassuunnitelma

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

1(9) LIITE vastineen mukainen ehdotus Tarkistettu ehdotus. 5 Asiakassuunnitelma. 5 Asiakassuunnitelma

Talousvaliokunta klo 11:20

Juha Lavapuro Lausunto

Lausunto sosiaali- ja terveysministeriön vastineista asioissa HE 16/2018 vp ja HE 15/2017 vp

Juha Lavapuro Lausunto

Juha Lavapuro Kirjallinen lausunto

Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys

TIETOSUOJAVALTUUTETUN TOIMISTO

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausunto eduskunnan perustuslakivaliokunnalle hallituksen esityksestä eduskunnalle laiksi työttömyysturvalain muuttamisesta (HE 5/2015 vp)

Johannes Heikkonen Turun Yliopisto. Eduskunnan perustuslakivaliokunnalle. HE 111/2016 vp Hallituksen esitys eduskunnalle nuorisolaiksi.

SOSIAALI- JA TERVEYSVALIOKUNNALLE

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Maa- ja metsätalousministeriö

7 Poliisin henkilötietolaki 50

Lausunto luonnoksesta hallituksen esitykseksi laeiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi

Juha Lavapuro Lausunto. Asia: Hallituksen esitys HE 72/2017 vp eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä

L. Lehtonen/ll EDUSKUNNAN SOSIAALI- JA TERVEYSVALIOKUNNALLE

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

HALLITUKSEN ESITYS LAIKSI ASIAKKAAN VALINNANVAPAUDESTA SOSIAALI- JA TERVEYDENHUOLLOSSA JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (HE 16/2018 vp)

LAUSUNTO Dnro 5935/96/2018

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

HE 16/2018, valinnanvapauslain henkilötietojen suojaa koskevien säännösten suhteessa EU:n yleiseen tietosuoja-asetukseen

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Helsingin kaupunki Pöytäkirja 1 (5)

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Tilannekatsaus Harri Jokiranta

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Lakivaliokunnalle. PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 19/2012 vp. Hallituksen esitys eduskunnalle henkilötietojen

Eduskunnan perustuslakivaliokunnalle

Mikael Hidén. PERUSTUSLAKIVALIOKUNTA KELLO 9.00 HE 40/18 vp varhaiskasvatuslaiksi ja eräiksi siihen liittyviksi laeiksi

Sosiaali- ja terveysvaliokunta Muutosjohtaja Marjukka Turunen Erikoisasiantuntija Maritta Korhonen

~ - ". ()IKEUSMINISTERIC)

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

HE 15/2017 vp Asetuksenantovaltuudet

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

HE 190/2005 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- yhdellä vuodella siten, että laki olisi voimassa 31 päivään joulukuuta 2006.

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

Juha Lavapuro Lausunto

HALLITUKSEN ESITYS EDUSKUNNALLE VARHAISKASVATUSLAIKSI JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (HE 40/2018 VP)

Sivistysvaliokunnalle

Johannes Heikkonen Turun Yliopisto. Eduskunnan perustuslakivaliokunnalle

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Juha Lavapuro Kirjallinen lausunto

HE 165/1998 vp PERUSTELUT

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Ilmoitetaan, että asia on saapunut valiokuntaan lausunnon antamista varten suurelle valiokunnalle.

Lausunto Hallituksen esityksestä eduskunnalle säteilylaiksi ja eräiksi siihen liittyviksi laeiksi (HE 28/2018 vp)

OM:n lausunto; luonnos hallituksen esitykseksi eduskunnalle genomilaiksi

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

HE 112/2009 vp. Esityksessä ehdotetaan säädettäväksi laki Kansaneläkelaitoksen oikeudesta saada vammaisten henkilöiden tulkkipalveluja koskevia

HE 107/2018 vp. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

Tutkittavan informointi ja suostumus

Janne Salminen Kirjallinen lausunto. Perustuslakivaliokunnalle

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

hallintovaliokunnalle.

3. HE 236/2002 vp laeiksi väestötietolain ja henkilökorttilain muuttamisesta. Kuultavina: puheenjohtaja Erkki Hartikainen, Vapaa-ajattelijain Liitto

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tulevat säädösmuutokset ja tietosuoja

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 389/03/ LAUSUNTOPYYNTÖNNE LUONNOKSESTA SOSIAALI- JA TERVEYDENHUOLLON VALINNANVAPAUSLAINSÄÄDÄNNÖKSI

Sote-asiakastietojen käsittely

PÄÄASIALLINEN SISÄLTÖ

Pykälämuutosehdotukset koskien perustuslakivaliokunnan lausuntoa PeVL 65/2018 vp esitysten HE 16/2018 vp ja HE 52/2017 vp osalta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Transkriptio:

Kirjallinen lausunto Niklas Vainio Sosiaali- ja terveysvaliokunnalle HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi 1. Lausunnon lähtökohdat Valiokunta on pyytänyt minulta lausuntoa koskien yllä mainitun hallituksen esityksen ja siihen liittyvän hallituksen antaman vastineen sisältämää tietosuojasääntelyä. Lausuntoni perustuu hallituksen esitykseen, 18.6.2018 päivättyyn Sosiaali- ja terveysministeriön ja valtiovarainministeriön vastineeseen sekä 27.6.2018 päivättyyn Sosiaali- ja terveysministeriön kirjelmään ja sen liitteeseen (3.7. lähetetty korjattu versio). Arvioin esitystä erityisesti eduskunnan perustuslakivaliokunnan lausunnossaan PeVL 15/2018 vp esittämien säätämisjärjestysponsien kannalta. Valiokunta esittää lausunnossaan ehdotetun lain tietosuojaa koskevasta sääntelystä yhtäältä yleisen tason huomioita, jotka tulisi ottaa huomioon sääntelyn rakenteessa ja kaikissa tietosuojaa koskevissa säännöksissä. Koska osa valiokunnan huomioista on yleisluontoisia, niiden perusteella ei voi tehdä yksiselitteistä arviota ehdotetusta sääntelystä. Toisaalta valiokunta esittää tiettyihin pykäliin paikantuvia huomioita, jotka ovat osin teknisiä ja osin laajempaa selvitystä vaativia. Lain perustuslainmukaisuus edellyttää nähdäkseni kuitenkin sekä yleisten että erityisten vaatimusten huomioonottamista. 2. Arkaluonteisten tietojen käsittelyn rajaaminen välttämättömään Perustuslakivaliokunnan lausunnon mukaan hallituksen esityksen perusteella syntyy epäselvä kuva siitä, millaista henkilötietojen käsittelyä ehdotettuun monituottajamalliin lopulta sisältyy. Perustuslakivaliokunta on hiljattain tarkistanut kantaansa henkilötietojen käsittelyä koskevan sääntelyn lakitasoisuuden, kattavuuden ja yksityiskohtaisuuden vaatimuksista. Valiokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 :n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa. Kuitenkin valiokunta katsoo, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuojaasetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. 1

Valiokunta korostaa erityisesti arkaluonteisten tietojen käsittelyn rajaamista täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään. Henkilötietojen käsittelyä ehdotetussa valinnanvapausmallissa koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa. Valiokunnan mielestä valinnanvapauslakiehdotusta on olennaisesti täydennettävä, että se täyttää nämä vaatimukset. Tällaisen täydennyksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Tulkitsen valiokunnan kannan tarkoittavan, että lähtökohtaisesti perustuslain 10 :n 1 momentin henkilötietojen suojaa koskeva velvoite toteutuu Euroopan unionin yleisen tietosuoja-asetuksen sääntelyllä. Ennen kaikkea tämä koskee ei-arkaluonteisia henkilötietoja, joiden käsittelystä ei tarvitse säätää kansallisesti lainkaan tai ainakaan yhtä yksityiskohtaisesti kuin ennen yleistä tietosuoja-asetusta tarvitsi. Koska arkaluonteisten henkilötietojen käsittely on lähellä yksityiselämän suojan ydinaluetta (PeVL 37/2013 vp, s. 2/I), tällaistä käsittelyä koskevaa sääntelyä on kuitenkin tarkasteltava perusoikeuksien rajoittamisedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. Tarvittaessa arkaluonteisten tietojen suoja on näissä tilanteissa turvattava kansallisella erityislainsäädännöllä, mihin yleinen tietosuoja-asetus antaa mahdollisuuden (muun muassa 9 artiklan 3 ja 4 kohdat). Kaikissa tapauksissa ei siten ole perustuslain kannalta riittävää jättää arkaluonteisten tietojen käsittelyä yleisen tietosuoja-asetuksen sääntelyn varaan. Valinnanvapauslakia koskevassa lausunnossaan perustuslakivaliokunta korostaa tietosuojaasetuksen riskiperusteista lähestymistapaa. Valiokunta nostaa esille erityisesti laajoihin arkaluonteisia tietoja sisältäviin tietokantoihin liittyvät vakavat riskit, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myöskin kapitaatiokorvauksen määrittelyssä käytettävä tietokanta sisältää perustuslakivaliokunnan käsityksen mukaan erittäin merkittävää arkaluonteista tietoa. Tietokantaan kohdistuvasta tietomurrosta, tietovuodosta tai väärinkäytöstä seuraisi valiokunnan arvion mukaan hyvin merkittävä perusoikeusloukkaus. Koska valiokunnan lausunnon mukaan lakiehdotusta on "olennaisesti täydennettävä" ja sääntelyn on oltava "yksityiskohtaista ja kattavaa", ei tietosuojasääntelyä saada perustuslainmukaiseksi vain yksittäisillä teknisillä korjauksilla, vaan arkaluonteisten tietojen käsittelyä on kuvattava järjestelmällisemmin, yksiselitteisemmin ja tarkemmin. Tässä voidaan mahdollisesti soveltaa tietosuoja-asetusta edeltävässä lainsäädännössä käytettyä mallia, jossa henkilötietojen käsittelystä säännellään ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (ks. esim. PeVL 38/2016 vp). Lisäksi kaikkien käsiteltävien arkaluonteisten tietojen kohdalla on arvioitava, onko tieto välttämätön kyseisessä laajuudessa vai riittääkö suppeampi tieto. Myös geneettiseen ja biometriseen tietoon liittyen voi olla tarpeen säätää erityisistä suojatoimista (ks. (PeVL 13/2017 vp, s. 5, PeVL 29/2016 vp, s. 5; tietosuoja-asetuksen 9 artiklan 4 kohta). Riskiperustaisuudesta seuraa, että joissakin käsittelytilanteissa, esimerkiksi suurten tietokantojen kohdalla, voi olla tarpeen säännellä pääsystä tietokantaan ja erityisistä, tavallista tasoa korkeammista tietoturvatoimista, jotka ovat suhteessa arkaluonteisten tietojen keskitystä keräämisestä aiheutuvaan perusoikeusriskiin. 2

Esimerkiksi 74 :n mukaan kiinteän korvauksen laskennassa muodostettavaan tietokantaan talletettaisiin koko väestöä koskevia arkaluonteisia tietoja, jotka ehdotuksen mukaan säilytettäisiin 12 vuotta. Perustuslakivaliokunta on painottanut erityisesti arkaluonteisten tietojen säilytysajan rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (ks. esim. PeVL 31/2017 vp, PeVL 13/2017 vp). Valiokunta on pitänyt ongelmallisen pitkänä esimerkiksi viiden vuoden säilytysaikaa EES-rajatarkastusjärjestelmässä ja on katsonut, että säilytysajan on syytä olla olennaisesti esitettyä lyhyempi. Valiokunta on lisäksi todennut olevan syytä arvioida mahdollisuuksia porrastaa tietojen säilytysaikaa suhteessa siihen hyötyyn, joka tiedoilla voi olla hyväksyttävien tavoitteiden saavuttamisen kannalta. Valiokunnan mielestä tämä arvio on tehtävä ennen kaikkea henkilötietojen käsittelyn pääasiallisen käyttötarkoituksen näkökulmasta. Valiokunta on myös huomauttanut, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp). Rekisterin pääasiallinen käyttötarkoitus on korvauksen laskeminen, mihin nähden 12 vuoden säilytysaika on ilmiselvästi liian pitkä ja suhteellisuusperiaatteen vastainen. 12 vuoden säilytysaikaa on vastineessa perusteltu korvausten oikeellisuutta koskevien myöhempien selvitystarpeiden vuoksi. Vastineessa viitataan yleiseen 10 vuoden saatavien vanhentumisaikaan. Säilytysajan oikeasuhteisuuden toteutumiseksi asiassa on syytä arvioida muita keinoja, esimerkiksi vanhentumisaikaa koskevan sääntelyn muuttamista. 3. Salassapidettävien tietojen antaminen maakunnalle (60 ja 79 ) Perustuslakivaliokunta katsoi lausunnossaan koskien ehdotetun valinnanvapauslain 60 :ää, että mikäli tarkoituksena on, että maakunnalle on säännöksen perusteella velvollisuus ilmoittaa salassapidettäviä potilas- ja asiakastietoja salassapitovelvollisuuden estämättä, on ehdotettua sääntelyä täsmennettävä ja muutettava perustuslain 10 :n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Perustuslakivaliokunta on viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 :n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta arvioidessaan kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 10/2014 vp, s. 6/II, PeVL 19/2012 vp, s. 3 4 ja PeVL 62/2010 vp, s. 4/I). Ehdotuksen 60 :ään on nyt lisätty ilmaus "salassapitosäännösten estämättä" perustuslakivaliokunnan käytännön edellyttämällä tavalla. Lisäksi ehdotetussa säännöksessä todetaan, että "Tiedot on ilmoitettava siten, että siinä on yksilöity asiakas, hänen saamansa palvelun 3

ajankohta ja annettu palvelu sosiaali- ja terveydenhuollon asiakasmaksuista annettujen säännösten mukaisella tarkkuudella." Säännöksen muotoilusta jää epäselväksi, onko tarkoitus rajata annettavat tiedot näihin tietoihin, vai koskeeko ilmoittamisvelvollisuus myös joitain muita välttämättömiä tietoja. Säännöksen tarkkarajaisuutta parantaisi annettavien tietojen rajoittaminen siinä lueteltuihin tietoihin. Tässä yhteydessä säännöksen 1 momenttiin on lisätty virke "Edellä tarkoitettuihin maakunnalle ja maakunnan liikelaitokselle annettaviin tietoihin ei sisälly henkilötietoja". Sanamuotonsa puolesta virke näyttää pyrkivän määrittelemään, ovatko annettavat tiedot henkilötietoja. Se on näin ollen ristiriidassa yleisen tietosuoja-asetuksen kanssa. Arvio luovutettavien tietojen henkilötietoluonteesta on kuitenkin tehtävä luovutustilanteessa, jolloin on kiinnitettävä huomiota muun muassa siihen, ilmeneekö luovutettavista palvelutoimintaa koskevista tiedoista suoraan tai epäsuorasti henkilötietoja. Alkuperäistä tarkoitusta toteuttaisi siksi paremmin muotoilu "Edellä tarkoitettuihin maakunnalle ja maakunnan liikelaitokselle annettaviin tietoihin ei saa sisältyä henkilötietoja". Perustuslakivaliokunnan mukaan vastaava ongelma liittyy myös lain 79 :ään. Muutetussa 79 :ssä tietojen luovuttamiseen ei ole liitetty tarpeellisuuden vaatimusta niin kuin perustuslakivaliokunnan käytännössä on edellytetty. Muutettu 79 näyttää lisäksi koskevan vain tietojärjestelmien yhteentoimivuuden edellytyksiä, mutta sanamuotonsa perusteella siinä ei perusteta sen enempää velvollisuutta kuin oikeuttakaan tietojen luovuttamiseen. 4. Asiakas- ja potilastietojen käsittely ja rekisterinpito (76 ) Perustuslakivaliokunta katsoi lausunnossaan, että valinnanvapauslakiehdotuksen 76 :n 2 momentti näyttäisi mahdollistavan esimerkiksi salassapidettävien potilastietojen luovuttamisen maakunnan rekisteristä palveluntuottajan toimesta. Perustuslakivaliokunnan mielestä on selvää, että säännös on välttämättömyysedellytyksestä huolimatta arkaluonteisten tietojen yleiseen käsittelyyn tällaisessa sääntelykontekstissa valtuuttavana ongelmallisen avoin. Valiokunta ei ole pitänyt esimerkiksi hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (PeVL 59/2010 vp, s. 4/I). Säännöstä on olennaisesti täsmennettävä. Tällainen täsmennys on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallituksen vastineessa 76 on uusittu. Uuden muotoilun mukaan palveluntuottajat saavat käyttää potilas- ja asiakastietoja vain siinä määrin kuin se on tarpeen kunkin suunnitelma-asiakirjan käyttötarkoituksen mukaiseksi toteuttamiseksi, muuttamiseksi taikka uuden suunnitelman laatimiseksi. Perustuslakivaliokunnan kritiikki liittyi siihen, että ehdotettu säännös mahdollisti muun muassa tietojen luovuttamisen. Uusi muotoilu on aiempaa rajatumpi, koska siinä tietojen käsittely on sidottu tiettyyn tarkoitukseen, joskaan siinä ei edelleenkään rajata sallittuja käsittelytapoja, vaan esimerkiksi tietojen luovuttaminen tai niiden yhdistäminen toiseen rekisteriin on lähtökohtaisesti sallittua. 4

Muutetun 76 :n 1 momentissa säädettäisiin, että "Maakunta on tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä näiden järjestämisvastuulleen kuuluvassa toiminnassa syntyneiden asiakas- ja potilastietojen osalta." Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan henkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Asetus antaa kansallista liikkumavaraa rekisterinpitäjän määrittelyssä, ja saman säännöksen mukaan rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Siten on mahdollista määrittää ehdotetun 76 :n 1 momentin mukaisesti rekisterinpitäjä kansallisessa lainsäädännössä. Kysymys siitä kuka on rekisterinpitäjä on olennainen rekisteröidyn tietosuojaoikeuksien toteutumisen kannalta. Pykälän kokonaisuudesta on pääteltävissä, että palveluntuottajat sekä niiden palveluksessa olevat ja toimeksiannosta tai muutoin niiden lukuun toimivat on tulkittu tässä tilanteessa pelkiksi henkilötietojen käsittelijöiksi. Kuitenkin jos käytännössä palvelun tarjoamisen yhteydessä esiintyy tilanteita, joissa tosiasiallinen valta henkilötietojen käsittelyn tarkoituksen ja keinojen määrittelystä on palveluntuottajalla tai yhdessä maakunnalla ja palveluntuottajalla, rekisterinpitäjän velvoitteet koskevat myös palveluntuottajaa. Valiokunnan on syytä selvittää, ovatko tällaiset tilanteet mahdollisia ja tarvittaessa muuttaa sääntelyä siten, ettei henkilötietojen käsittelyn yhteydessä synny epäselvyyttä siitä, keitä kaikkia rekisterinpitäjän velvoitteet kulloinkin koskevat. Ehdotetun 76 :n 2 momentissa säädettäisiin myös, että 1 momentissa tarkoitetut palveluntuottajat sekä niiden palveluksessa olevat ja toimeksiannosta tai muutoin niiden lukuun toimivat saavat käyttää asiakassuunnitelman yhteenvedon lisäksi kyseiseen rekisteriin tallennettuja yksittäisiä suunnitelma-asiakirjoja sekä niihin liittyviä potilas- ja asiakastietoja vain siinä määrin kuin se on tarpeen kunkin suunnitelma-asiakirjan käyttötarkoituksen mukaiseksi toteuttamiseksi, muuttamiseksi taikka uuden suunnitelman laatimiseksi. Säännöksen sanamuoto jättää epäselväksi, onko säännöksessä tarkoitus säätää henkilötietojen käsittelyperusteesta ohi yleisen tietosuoja-asetuksen vai onko tarkoitus, että käsittelyperuste määräytyy tietosuoja-asetuksen perusteella ja 2 momentin säännös pelkästään rajaa käsittelyä ("vain siinä määrin kuin"). Säännöstä on syytä selkiyttää tältä osin. Ehdotetun 76 :n 3 momentissa säädettäisiin maakunnan liikelaitoksen oikeudesta käyttää asiakassuunnitelman tarpeen arvioimiseksi ja asiakassuunnitelman yhteenvedon laatimiseksi välttämättömiä asiakas- ja potilastietoja. Myös tässä kohdin on päällekkäisyyttä yleisen tietosuojaasetuksen kanssa, joten sääntelyä on syytä selkiyttää EU-oikeuden etusijan vuoksi. 5. 77 :n 6 momentin asetuksenantovaltuus Perustuslakivaliokunta katsoi lausunnossaan, että valinnanvapauslakiehdotuksen 77 :n 6 momenttiin sisältyi henkilötietojen suojaan liittyviä olennaisia oikeudellisia riskejä asetuksenantovaltuuden väljyyden vuoksi. Uudessa ehdotuksessa 76 :n 2 momenttia on täsmennetty ja 6 :ssä viitataan nyt vain mahdollisuuteen antaa asetuksella tarkempia säännöksiä tiedonhallintapalvelujen teknisestä toteutuksesta. Tämä muutos poistaa nähdäkseni perustuslakivaliokunnan viittaaman riskin. 5

6. Kansaneläkelaitoksen oikeus saada ja luovuttaa tietoja (80 1 ja 2 momentti) Perustuslakivaliokunta kiinnitti huomiota valinnanvapauslakiehdotuksen 80 :n 1 momentin ja 2 momentin tietojen saamista koskevien oikeuksien väljyyteen ja yleisluontoisuuteen. Uusitun 80 :n 1 ja 2 momentissa on täsmennetty luovutettavat tiedot ja niiden luovuttajat, joten säännökset ovat olennaisesti tarkentuneet. Uudessa 2 momentissa Kansaneläkelaitokselle luovutettavien tietojen joukossa ovat terveystietojen lisäksi esimerkiksi tiedot työmarkkinaasemasta ja työkyvyttömyydestä, työttömyystiedot, tulo- ja verotiedot ja tiedot perhesuhteista. Valinnanvapauslakia koskevassa hallituksen esityksessä tai hallituksen vastineessa ei ole selitetty, miksi nämä tiedot ovat välttämättömiä kiinteän korvauksen laskemiseksi, joten 2 momenttia on tarpeen tarkastella vielä tietojen välttämättömyyden näkökulmasta. Lisäksi tietojen luovuttamista olisi perusteltua rajoittaa myös ajallisesti koskemaan tiettyä aikaväliä. 7. Tietojen toissijainen käyttö Uusitun 80 :n 3 momentti on kielellisesti puutteellinen, mutta se koskee Kansaneläkelaitoksen oikeutta käyttää sillä muulla perusteella olevia henkilötietoja kiinteän korvauksen laskennassa. Valinnanvapauslakia koskevassa lausunnossaan perustuslakivaliokunta totesi henkilötietojen käyttämisestä muuhun kuin alkuperäiseen käyttötarkoitukseen, että tällaista ns. toissijaista käyttöä arvioidessaan perustuslakivaliokunta on korostanut arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on perustuslakivaliokunnan mukaan ollut syytä suhtautua kielteisesti esimerkiksi laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä (PeVL 14/2009 vp, s. 4/II). Käyttötarkoitussidonnaisuudesta on voitu tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 1/2018 vp, PeVL 14/2017 vp). Kansaneläkelaitos saisi salassapitosäännösten estämättä käyttää tietoja sen asiakkaille myönnetyistä lääkkeiden erityiskorvausoikeuksista ja sairausvakuutuksesta korvatuista lääkkeistä sekä muita lailla säädettyjen tehtävien hoitamista varten saamiaan tietoja asiakkaiden koulutustasosta, työllisyydestä ja sosioekonomisesta asemasta. Kyseiset tiedot ovat luonteeltaan arkaluonteisia ja ne on kerätty koko väestöä koskevaan laajaan tietokantaan. Ehdotetussa tietojen käyttötavassa terveystietoihin yhdistettäisiin koulutustasoa, työllisyyttä ja sosioekonomista asemaa koskevia tietoja tavalla, joka ei ole ollut rekisteröityjen ennakoitavissa tietoja alunperin kerättäessä. Kyseessä olisi säännöllinen, koko väestöä koskeva yhdistäminen. Kun tietojen alkuperäinen käyttötarkoitus on liittynyt asiakkaan hoitoon, työllistymiseen, sosiaaliturvaan tai vastaaviin yksilöllisiin oikeuksiin, uusi käyttötarkoitus liittyisi sosiaali- ja terveyspalveluiden järjestämisen hallinnollisiin tarpeisiin. Tällaista henkilötietojen käsittelyä ei voi pitää vähäiseksi luonnehdittavana poikkeuksena ja siitä olisi muodostumassa alkuperäisten rekisterien merkittävä käyttötapa alkuperäisen käyttötavan rinnalle, joten ehdotettu sääntely ei ole perustuslakivaliokunnan käytännössään muotoilemien periaatteiden mukainen. 6

Perustuslakivaliokunnan lausunnossaan ongelmallisena pitämä 65 :n 5 momentti on hallituksen vastineeseen sisältyvässä uudessa 65 :ssä poistettu, mutta vastaava ongelma näyttää nyt siirtyneen edellä mainitulla tavalla esityksen 80 :n 3 momenttiin. 8. Profilointi ja automatisoitu päätöksenteko Perustuslakivaliokunta edellytti lausunnossaan, että sosiaali- ja terveysvaliokunta tarkoin selvittää, mukautuuko ehdotettu sääntely tietosuoja-asetuksessa profiloinnilta ja automatisoidulta päätöksenteolta edellytettyyn. Asiasta on esitetty selvitys hallituksen vastineessa. Perustuslakivaliokunnan lausunnossa tuodaan esille riski siitä, että palvelujen tuottajan asiakkaille määrättäisiin esimerkiksi tutkimuksia eri lailla riippuen siitä, paljonko heistä maksetaan kapitaatiokorvausta, jos asiakaskohtaisen korvauksen suuruus on palveluntuottajan tiedossa. Perustuslakivaliokunta esitti ratkaisuna tämän riskin poistamiseksi sitä, että lakiin lisätään säännös, jonka mukaan korvaus maksetaan suoran valinnan palveluntuottajille yhtenä kokonaisuutena ilman asiakaskohtaista erittelyä. Sosiaali- ja terveysvaliokunnan olisi lisäksi varmistettava säännösperustaisesti, että mainituilla tuottajilla ei ole oikeutta saada tietoa asiakaskohtaisesta profiilista. Uusitun 74 :n 2 momenttiin on lisätty säännös korvauksen maksamisesta yhtenä kokonaisuutena, mikä täyttää perustuslakivaliokunnan ensimmäisen edellytyksen. Lisäksi on lisätty säännös, jonka mukaan maakunnalla ja palvelun tuottajalla ei ole oikeutta saada tietoa asiakaskohtaisista painokertoimista. Hallituksen vastineessa ei ole esitetty selvitystä siitä, kuinka tämä säännös suhtautuu muualla lainsäädännössä oleviin asianosaisen tiedonsaantia koskeviin säännöksiin, esimerkiksi julkisuuslain 11 :ään ja hallintoprosessuaalisiin säännöksiin. Näin jää epäselväksi, kuinka tehokas ehdotettu säännös todellisuudessa olisi käytännössä. On tosin syytä huomata, että perustuslakivaliokunnan riskinä pitämä asiakkaiden syrjivä kohtelu on jossain määrin mahdollista vaikka palveluntarjoajat eivät saisi tietoonsa asiakaskohtaisia painokertoimia, koska painokertoimen määräytymiseen vaikuttavat tekijät ovat julkisia ja palveluntarjoajilla on asiakassuhteen perusteella pääsy osaan tarvetekijöistä. Henkilötietojen käyttö tähän tarkoitukseen on sinänsä yleisen tietosuoja-asetuksen vastaista, mutta vaikeaa valvoa. 74 :n 3 momentissa säädettäisiin, että "Rekisterin tietoja ei saa luovuttaa muuhun käyttötarkoitukseen" ja että "Kiinteän korvauksen laskennassa käytettyjä asiakaskohtaisia tietoja ei saa luovuttaa muuhun käyttötarkoitukseen." Säännökset ovat sinänsä perusteltuja henkilötietojen käsittelyn käyttötarkoitussidonnaisuuden kannalta, mutta niitä on syytä täsmentää siten, että on selvää, että tiedot tulee kuitenkin luovuttaa rekisteröidylle tietosuoja-asetuksen 15 artiklan mukaisesti. Helsingissä 15.8.2018 Niklas Vainio OTM, FM 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute