SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISTA KÄYTTÖÄ KOS- KEVA HALLITUKSEN ESITYS (HE 159/2017)

Samankaltaiset tiedostot
Toisiolaki - Pykälämuutosten perustelut StV:lle

LAKI SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

LISÄLAUSUNTO KANSANELÄKELAITOKSEN ANTAMAAN LAUSUNTOON HALLITUKSEN ESITYKSESTÄ (HE

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Sosiaali- ja terveysalan tietolupaviranomainen

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

TIETOSUOJAVALTUUTETUN TOIMISTO

MALMIKASASTA KANSALLISEKSI AARTEEKSI - SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAINEN KÄYTTÖ. Neuvotteleva virkamies, OTK Joni Komulainen

Sosiaali- ja terveystiedon toissijainen käyttö: mikä muuttuu uuden lakiesityksen myötä

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

SOTE-tiedon toissijainen hyödyntäminen -

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Eduskunnan perustuslakivaliokunnalle

Tiedon toissijainen käyttö lainsäädännön kannalta Helena Raula. Hallitussihteeri

Tietosuoja-asetus ja sen kansallinen implementointi

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tutkittavan informointi ja suostumus

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Kansallinen tietosuojalaki

LAKI SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISESTA KÄYTÖSTÄ TIETOJOHTAMINEN

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

HE 47/2018 vp. Hallituksen esitys eduskunnalle laiksi Energiavirastosta annetun lain 1 :n muuttamisesta

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

HE 15/2017 vp Asetuksenantovaltuudet

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Jukka Lähesmaa. Erityisasiantuntija

Kunnan ja kuntayhtymän oikeudet hyödyntää toissijaista tietoa - Toissijainen sote-tiedon käyttö

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Sosiaali- ja terveystietojen toissijainen käyttö

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 103/2016 laki Euroopan unionin yhteisen kalastuspolitiikan kansallisesta täytäntöönpanosta (YKP-laki)

LAUSUNTO 1(6) neuvotteleva virkamies Pia-Liisa Heiliö hyvinvointi- ja palveluosasto hallitussihteeri Helena Raula ohjausosasto

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

Ohjauskirje 1 (6) Ohjauskirje biopankeille alaikäisten näytteiden ja tietojen käsittelyn perusteista

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

Sosiaali- ja terveystietojen toissijainen käyttö

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

HE 89/2006 vp. 2. Toiminnan tavoite Teknologian kehittämiskeskuksesta

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojavaltuutetun toimiston tietoisku

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

HE 21/1996 vp. Hallituksen esitys Eduskunnalle laiksi tieliikennelain 70 ja 108 :n muuttamisesta

7 Poliisin henkilötietolaki 50

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Tietosuojanäkökulma biopankkilainsäädäntöön

Tiedollinen itsemääräämisoikeus ja MyData

L. Lehtonen/ll

HE 79/1997 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ. ja henkilöstön edustuksesta yritysten hallinnossa YLEISPERUSTELUT

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Sosiaalityön päällikkö, p Tietopyynnöt: PL 4 (Pohjolankatu 21), Iisalmi

Talousvaliokunta klo 11:20

puh

Sosiaali- ja terveystietojen toissijainen käyttö

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Viranomaisten tietoaineistojen hyödyntämisen edistäminen tutkimuskäytössä

puh

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ


1993 vp - HE 78 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Omistajaohjauslakia koskeva hallituksen esitys

Tulevat säädösmuutokset ja tietosuoja

1994 vp - HE 28 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

1994 vp - HE 83 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Sote-asiakastietojen käsittely

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Työelämän tietosuojalaki Johanna Ylitepsa

Sähköisen lääkemääräyslain muutokset HE 219/ /251 THL/OPER lakimies Joni Komulainen Joni Komulainen, lakimies, OPER

HE 217/2014 vp. Ehdotettu laki on käsiteltävä eduskunnassa. Esityksessä ehdotetaan Ahvenanmaan itsehallintolakia muutettavaksi niin, että tehtä-

HE 136/2010 vp. Esityksessä ehdotetaan säädettäväksi laki

PÄÄASIALLINEN SISÄLTÖ

Tietosuojaseloste Espoon kaupunki

Tietosuoja-asetuksen johdanto-osan kappaleessa 33 todetaan seuraavaa:

Kirjaaminen sosiaali- ja terveydenhuollon yhteisissä. palveluissa ja Sote-henkilörekisterilakien uudistaminen

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

Transkriptio:

21.1.2019 1 / 14 Joni Komulainen, lakimies Eduskunta Sosiaali- ja terveysvaliokunta SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISTA KÄYTTÖÄ KOS- KEVA HALLITUKSEN ESITYS (HE 159/2017) Sosiaali- ja terveysministeriön vastineessa 4.12.2018 oli arvioitu sosiaali- ja terveystietojen toissijaista käyttöä koskevasta hallituksen esityksestä (HE 159/2017) annettuja lausuntoja, jotka sosiaali- ja terveysvaliokunta on saanut syysistuntokaudella 2017 sekä kevätistuntokaudella 2018 kuulemiltaan asiantuntijoilta. Niiden pohjalta oli asiantuntijaryhmän tuella laadittu muutosehdotuksia, jotka liittyvät valtaosin tietoaineistojen anonymisointiin sekä anonymisoitujen tietojen ja tietoluvan pohjalta luovutettavien tietojen käsittelyyn. Tässä vastineessa sosiaali- ja terveysministeriö esittää vastaukset vastinekuulemisessa 8.1.2019 esitettyihin valiokunnan kysymyksiin ja täydentää 22.1.2019 kuulemisessa esitettävää kalvosarjaa. Tietolupaviranomaisen asema THL:n yhteydessä 4 Edustaja Puska ilmaisi eriävän näkemyksensä toisiolain 4 :n sanamuotoon, jonka mukaan Sosiaali- ja terveysalan tietolupaviranomainen toimisi THL:n yhteydessä. Hän kysyi, onko Tietolupaviranomainen osa Terveyden ja hyvinvoinnin laitosta vai erillinen viranomainen. Sosiaali- ja terveysministeriön kannanotto: Kuten vastineessa 4.12.2018 on todettu, Sosiaali- ja terveydenhuollon tietolupaviranomainen on ehdotettu perustettavaksi nimenomaan THL:n yhteyteen erilliseksi viranomaiseksi puolueettomuuden ja objektiivisuuden takaamiseksi. Tämä ilmenee myös viranomaisen nimestä. Vastaavaa säädöstapaa on käytetty esimerkiksi arpajaislaissa (1047/2001). Sen 20 :n 2 momentin mukaan Sosiaali- ja terveysministeriön yhteydessä toimii avustusten valmistelua, maksatusta, seurantaa ja valvontaa varten Sosiaali- ja terveysjärjestöjen avustuskeskus. Säännös vastaa toisiolaissa esitettyä sääntelytapaa ja sillä on myös haluttu korostaa avustuskeskuksen itsenäisyyttä ja riippumattomuutta ministeriöstä. Toisiolain säännöksestä on valmistelun aikana keskusteltu myös oikeusministeriön edustajien kanssa, ja oikeusministeriön edustajat ovat korostaneet sitä, että lupaviranomaisen erillisasema turvaa sen toiminnan objektiivisuuden, puolueettomuuden ja riippumattomuuden, jotka ovat keskeisiä hyvän hallinnon takeita. Hallintolain 6 :n mukaankaan hyvän hallinnon oikeusperiaatteisiin kuuluu, että viranomaisen on kohdeltava hallinnossa asioivia tasapuolisesti sekä käytettävä toimivaltaansa yksinomaan lain mukaan hyväksyttäviin tarkoituksiin. Viranomaisen toimien on oltava puolueettomia ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Tietolupaviranomaiselle uskottavan toimivallan näkökulmasta on erittäin tärkeää, että Tietolupaviranomainen on selkeästi THL:sta erillinen viranomainen. Tietolupaviranomaisen tehtävien uskominen THL:lle viranomaisena merkitsisi THL:lle toimivaltaa päättää toisten viranomaisten tietojen luovuttamisesta myös THL:lle itselleen. THL on merkittävä toisiolaissa tarkoitettujen tietojen hyödyntäjä. SOSIAALI- JA TERVEYSMINISTERIÖ Meritullinkatu 8, Helsinki. PL 33, 00023 Valtioneuvosto. 0295 16001, stm.fi, @STM_Uutiset

2 / 14 Muun muassa Väestörekisterikeskus ja Kansaneläkelaitos ovat lausunnoissaan korostaneet, että Tietolupaviranomaisen on oltava selkeästi eriytetty THL:n omista tehtävistä. Oikeusministeriö ja tietosuojavaltuutettu ovat myös edellyttäneet säädettäväksi, että tietolupaviranomainen toimii saamiensa tietojen rekisterinpitäjänä. Ainoastaan THL on lausunnoissaan ja Eduskuntakuulemisissa epäillyt, että sääntely johtaisi Tietolupaviranomaisen epämääräiseen hallinnolliseen asemaan THL:n yhteydessä. Ministeriö ehdottaa tilanteen selkiyttämiseksi, että Tietolupaviranomaisen itsenäistä asemaa suhteessa THL:een korostetaan 4 :n 1 momentissa. Lain hallinnollista täytäntöönpanoa valmisteltaessa STM:ssä on todettu, että tulkintaa selkiyttäisi, jos laissa säädettäisiin, että Tietolupaviranomaisen johtajan nimittää sosiaali- ja terveysministeriö. Lakiliitteessä 4 :n 2 momenttia ehdotetaan siksi muutettavaksi siten, että Tietolupaviranomaisella on sosiaali- ja terveysministeriön asettaman erillisen ohjausryhmän lisäksi ministeriön nimittämä johtaja. Muutos selkiyttäisi Tietolupaviranomaisen hallinnollista asemaa ja olisi linjassa muiden ministeriön tulosohjauksessa toimivien viranomaisten nimittämiskäytännön kanssa. Jotta edes perusteltua epäilystä Tietolupaviranomaisen ja THL:n toiminnan keskinäisestä riippuvuudesta ei synny, on lupaviranomaisen toiminta toteutettava THL:n yhteydessä toimivassa itsenäisessä yksikössä, joka on tulosvastuussa suoraan STM:lle, ja jolla on oma erillinen johtajansa sekä ohjausryhmänsä. Siten lupaprosessi kyetään selkeästi eriyttämään THL:n omasta lakisääteisestä toiminnasta. THL on tällöin myös tietoluvan hakijana objektiivisesti arvioituna samassa asemassa muiden kanssa. Mahdollisuus perustaa osakeyhtiö (9 ) Edustaja Puska kiinnitti huomiota 9 :n mukaiseen oikeuteen perustaa osakeyhtiö. Sosiaali- ja terveysministeriöitä pyydettiin selvittämään, miksi osakeyhtiö voidaan perustaa, mutta perustamiseen ei ole laissa suoraan velvoitettu. Lisäksi hän halusi selvityksen, vaatiiko osakeyhtiön perustaminen aina lain vai voisiko yhtiön perustaa myös ilman lakia? Sosiaali- ja terveysministeriön kannanotto: Osakeyhtiön perustamiseen on hallituksen esityksessä haluttu antaa mahdollisuus. Osakeyhtiölle voitaisiin antaa lakiehdotuksen 10 :n 3 7 kohdassa tarkoitettuihin palveluihin liittyviä teknisluonteisia tehtäviä, joita ovat tietopyyntöjen hallintajärjestelmän, tietojen kokoamis-, yhdistämis-, ja esikäsittelypalvelun, tunnisteiden hallinnointipalvelun, tietoturvallisen käyttöpalvelun ja tietolupaviranomaisen tietoturvallisen käyttöympäristön kehittäminen ja ylläpito. Edellä mainittujen tehtävien hallinnoinnille oli lainvalmistelun yhteydessä kaavailtu kolmea eri vaihtoehtoa: 1. tehtävät voisivat olla Tietolupaviranomaisen normaalia viranomaistoimintaa. Tällöin siihen sovellettaisiin maksuperustelain säännöksiä.

3 / 14 2. tehtävät voitaisiin ulkoistaa kilpailuttamalla eri toimijat. Toimintaa ohjattaisiin tällöin sopimuksella; tai 3. toiminnasta voisi vastata osakeyhtiömuotoisena toimijana, jonka omistaisi joko Tietolupaviranomainen yksin taikka yhdessä 6 :ssä tarkoitetun organisaation, OKM:n, TEM:in tai VM:n kanssa. Yhtiöittämistä harkittaessa on otettava huomioon valtionyhtiöihin liittyvä sääntely, jos halutaan luoda valtionyhtiö. Valtionyhtiöiden kannalta merkittävä lainsäädäntö sisältyy osakeyhtiölain yleissäännösten lisäksi valtion yhtiöomistuksesta ja omistajaohjauksesta annettuun lakiin ja valtion omistajapolitiikkaa koskevaan valtioneuvoston periaatepäätökseen. Niitä tarkastellaan seuraavaksi. Oikeushenkilön perustaminen liittyy osaltaan 50 :ssä tarkoitettuihin palvelumaksuihin sekä mahdollisuuteen vastata palvelusta saatavilla tuotoilla joustavasti odotettavissa olevan palveluvolyymin kasvuun. Jos palvelua hoidettaisiin puhtaana viranomaistoimintana, tietolupaviranomaisen maksujen olisi perustuttava maksuperustelakiin. Jos sen sijaan osa toiminnoista hoidettaisiin yhtiössä, ansaintalogiikka voisi olla toisenlainen ja rahoitusmahdollisuudet olisivat joustavammat. Tällöin voitaisiin kiinnittää paremmin huomiota myös toimijoiden erilaisiin palveluntarpeisiin, sekä kustannusten oikeudenmukaiseen jakautumiseen. Olennaista on, että kaikki tiedon tarvitsijat saisivat tarvitsemansa tiedot laissa asetettujen ehtojen täyttyessä 47 ja 48 :n mukaisissa määräajoissa. Erilaiset palvelut ja suoritteet huomioon ottava hinnoittelu on jossain määrin mahdollista jo maksuperustelain nojalla. Osakeyhtiö voisi ottaa paremmin huomioon vaihtelevat palvelutarpeet myös hinnoittelussaan. Hinnoittelun olisi kuitenkin perustuttava tasapuolisiin ja yhteiskunnallisesti oikeudenmukaisiin perusteisiin ja oltava suhteessa toiminnasta syntyviin kustannuksiin. Toisin kuin Tietolupaviranomaisen, osakeyhtiön palvelutoiminta ei olisi riippuvainen valtion talousarviosta, joten palveluiden rahoittaminen olisi pitkäjänteisempää ja kustannusneutraalimpaa. Osakeyhtiö voisi reagoida joustavammin lisähenkilöstön sekä tehokkaampien tietojärjestelmien ja toiminnan kehittämisen tarpeisiin. Se voisi myös tehdä investointeja lainarahoituksella. Kehittyvälle ja laajentuvalle toiminnalle on aivan keskeistä, että tiedot ovat saatavissa nopeasti ja ennustettavasti. Odotettavissa on nopeasti erittäin huomattava kapasiteetin lisäystarve, kun valmisteilla olevien keskitetyn biopankkitoiminnan, syöpätutkimuskeskuksen sekä genomikeskuksen tietovarannot liitetään mukaan tietolupaviranomaisen toiminnan piiriin. Oikeushenkilö olisi hallituksen esityksen mukaan perustettava valtionyhtiönä, jolloin huomioon olisi otettava valtionyhtiöitä koskeva sääntely. Perustuslain 92 :n mukaan lailla säädetään toimivallasta ja menettelystä käytettäessä valtion osakasvaltaa yhtiöissä, joissa valtiolla on määräysvalta. Laissa säätämisen vaatimus on osittain toteutettu valtion yhtiöomistuksesta ja omistusohjauksesta annetulla lailla (1368/2007). 1 Sitä täydentää valtion omistajapolitiikkaa koskevaa valtioneuvoston 1 Valtion yhtiöomistuksesta ja omistusohjauksesta annetun lain 5 :n mukaisesti ministeriö vastaa pääsäännön mukaan yhtiön omistajaohjauksesta. Osakkeiden hallinnointi voidaan kuitenkin 6 :n mukaan osoittaa eduskunnan tai valtioneu-

4 / 14 periaatepäätös (3.11.2011). Tämä tarkoittaa, että toisiolaissa voidaan säätää mahdollisuudesta perustaa osakeyhtiö harkinnan mukaan. Ei siis ole välttämätöntä säätää, että osakeyhtiö on perustettava. 2 Yhtiölle määrättävistä tehtävistä ei tarvitsisi säätää kovin tarkkarajaisesti, ellei yhtiölle osoiteta julkisia hallintotehtäviä, jotka voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla. Toki muut syyt, kuten palveluoperaattorin ja lupaviranomaisen välinen tehtävien jako tai operaattorin toiminnan ohjaus voivat edellyttää laissa säätämistä. Yhtiöjärjestyksessä määritettäisiin tarkemmin muun muassa yhtiön toimiala ja tarkoitus. Hallituksen esityksessä ehdotetaan, että sosiaali- ja terveysministeriö saisi perustaa käyttölupaviranomaisen alaisuuteen osakeyhtiön hoitamaan toiminnan edellyttämää palvelua siltä osin kuin siihen ei liity merkittävää julkisen vallan käyttöä. Sosiaali- ja terveysministeriö vastaisi yhtiön osakkeiden omistuksesta ja hallinnoinnista. Valtionomistus olisi perusteltua myös siitä näkökulmasta, että yhtiön toimintaan liittyisi paljon arkaluonteisten henkilötietojen käsittelyä lain nojalla. Yhteenveto: Lakiehdotuksen 10 :n 3 7 kohdassa tarkoitettuihin palveluihin liittyviä tehtäviä tuottaisi joko Tietolupaviranomainen itse tai palvelut voisi tuottaa sen toimeksiannosta niin haluttaessa sosiaali- ja terveysministeriön perustama osakeyhtiö (mahdollisesti yhdessä muiden laissa mainittujen organisaatioiden kanssa). Yhtiö voisi hoitaa Tietolupaviranomaiselle säädettyjä tehtäviä siltä osin kuin niihin ei liity merkittävää julkisen vallan käyttöä. Lakia valmisteltaessa pidettiin tärkeänä, että Tietolupaviranomaisen toiminnasta olisi ensin käytännön voston päätöksellä määrätyn viraston, laitoksen tai valtion liikelaitoksen tehtäväksi. Muun muassa talousvaliokunta on katsonut mietinnössään (TaVM 9/2015 vp), että osakeomistusta ja osakkeiden hallinnointia ei voida jakaa. Osakkeiden hallinnoinnin ja omistajaohjauksen pitäisi olla samalla taholla, eli joko ministeriöllä tai määrätyllä virastolla laitoksella tai liikelaitoksella. Lisäksi, jos viranomainen vastaisi omistajaohjauksesta ja osakkeiden hallinnoinnista, tulisi varmistaa sen tosiasiallinen riippumattomuus ja puolueettomuus, sekä järjestää sen toiminta sillä tavoin, että se näyttäytyisi tasapuolisena, riippumattomana ja puolueettomana myös ulkopuolisille. 2 Aiemmin voimassa olleen Teknologian tutkimuskeskus VTT:stä annetun lain mallia noudattaen riittäisi, että todettaisiin, että laitos tai virasto voi huolehtia osasta sille määrätyistä tehtävistä hallinnoimalla asianomaista tehtävää suorittavaa osakeyhtiötä ja vastaamalla sen omistusohjauksesta. Ei siis olisi tarpeen määrätä, että osakeyhtiö on perustettava. Jos yhtiöittämisestä säädettäisiin täsmälleen edellä mainituin sanamuodoin, se edellyttäisi, että yhtiön tehtävät olisi ensin osoitettu viranomaiselle, mikä ei liene tarkoituksenmukaista. Se ei ole myöskään tarpeen, sillä esimerkiksi CSC- tieteen tietotekniikan keskus Oy:stä ei ole olemassa omaa lakia, vaan sen toiminta perustuu suoraan osakeyhtiölakiin, lakiin valtion yhtiöomistuksesta ja omistusohjauksesta ja muihin yleisiin normeihin. Huoltovarmuuskeskuksen osakeomistuksesta taas on säädetty viittaamalla valtion yhtiöomistuksesta ja omistusohjauksesta annettuun lakiin

5 / 14 kokemusta, ennen kuin arvioidaan, olisiko niitä perusteltua hoitaa teknisluonteisilta osin osakeyhtiömuodossa. Siksi katsottiin perustelluksi säätää mahdollisuudesta perustaa ( voidaan perustaa ei, on perustettava) osakeyhtiö. Yhtiön tehtävistä voitaisiin Tietolupaviranomaisen kokemusten perusteella antaa tarvittaessa tarkempia säännöksiä valtioneuvoston asetuksella. Yhtiöittämistä puoltaa lisäksi: - liiketaloudellisen toiminnan mahdollistaminen ja sen eriyttäminen Tietolupaviranomaisen päätöstoimivallasta; - mahdollisuus rahoittaa osakeyhtiön toimintaa palvelujen kysynnän volyymin edellyttämässä määrin valtion talousarviosta riippumatta, muun muassa lainarahoituksella; - osakeyhtiön mahdollisuus hinnoitella palvelut vapaammin, vaikkakin ottaen huomioon erilaisten asiakkaiden maksukyvyn ja yhteiskunnallisen oikeudenmukaisuuden sekä tasapuolisuuden vaatimukset; - mahdollisuus kehittää toiminnassa tarvittavat myynti- ja markkinointipalvelut ja -osaaminen liiketoimintalähtöisesti osakeyhtiössä paremmin kuin viranomaisena; sekä - mahdollisuus kehittää palvelutoimintaa kysynnän perusteella joustavammin kuin viranomaisena.

6 / 14 Kehittämis- ja innovaatiotoiminta 38 Edustaja Puska kysyi kehittämis- ja innovaatiotoimintaa koskevan 38 :n osalta tarkempia kriteerejä innovaatiotoiminnalle. Miltä osin tietoja voisi luovuttaa innovaatiotoimintaan? Innovaatiotoimintahan voisi hänen mukaansa olla ihan mitä vaan, vaikkapa markkinointia. Myös edustaja Alanko-Kahiluoto kiinnitti huomiota 38 :n kehittämis- ja innovaatiotoiminnan käsitteeseen. Jos tarkoitus kehittää palvelujärjestelmää, niin voisiko kyse olla mistä tahansa tiedoista? Sosiaali- ja terveysministeriön kannanotto: Toisiolain 3 :n 4 kohdan määritelmän mukaan kehittämis- ja innovaatiotoiminnalla tarkoitetaan teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon soveltamista ja käyttöä yhdessä tässä laissa tarkoitettujen henkilötietojen kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja tuotteita, prosesseja tai palveluja. Innovaatiotoiminta puolestaan on jo tutkimuksen avulla saadun tiedon ja sitä kautta kehitettyjen tuotteiden ja menetelmien edelleen kehittämistä siten, että niitä voidaan hyödyntää joko kaupallisesti tai muutoin laajamittaisesti esimerkiksi julkisissa sote-palveluissa. Hallituksen esityksessä on todettu, että innovaatio on uusi tuote, palvelu tai toimintatapa, joka synnyttää taloudellisia tai yhteiskunnallisia hyötyjä. Innovaatiotoiminta on tutkimus- ja kehittämistoimintaa laajempi käsite, joka tuote- ja prosessi-innovaatioiden lisäksi voi sisältää markkinointi- ja organisaatioinnovaatioiden käyttöönottoa organisaatiossa. Menestyvät yritykset pystyvät tuottamaan innovatiivisia uusia ratkaisuja ja kasvattamaan liikevaihtoaan korkean arvonlisän tuotteilla ja palveluilla. Suomessa julkisella sektorilla on tärkeä rooli aloilla, joilla on laajat yhteiskunnalliset ulkoisvaikutukset, kuten esimerkiksi sosiaali- ja terveyspalveluissa ja digitaalisuuden hyödyntämisessä. Erityisesti näillä sektoreilla julkisen sektorin toimenpiteillä voi olla erityisen merkittäviä vaikutuksia talouskasvuun ja uusien korkean lisäarvon investointien, kuten tutkimus-, kehittämis- ja innovaatiotoiminnan sijoittumiseen Suomeen. Kehittämis- ja innovaatiotoiminta ei kata olemassa oleviin tuotteisiin, palveluihin tai muihin meneillään oleviin toimintoihin viranomaisten vaatimuksesta, rutiininomaisesti tai säännöllisin väliajoin tehtäviä muutoksia, vaikka kyseiset muutokset merkitsisivät parannuksia. Vastineessa 4.12.2018 ministeriö ehdotti muun muassa perustuslakivaliokunnan lausuntoon perustuen, että 38 :n loppuun lisättäisiin uusi 4 momentti. Se rajaisi pykälän soveltamisalaa silloin, kun henkilötietoja halutaan käyttää kehittämis- ja innovaatiotoimintaan ilman rekisteröidyn suostumusta. Rajoitus oli aikaisemmin 1 momentissa koskien käsittelyä sekä suostumuksella että ilman suostumusta. Rajaukset vastaavat sellaisia tietosuoja-asetuksessa säädettyjä käyttötarkoituksia, joissa asetus sallii käytettäväksi kansallista liikkumavaraa, mikä on tarpeen erityisesti, kun sosiaali- ja terveystietoja käytetään ilman nimenomaista suostumusta. Tietosuoja-asetukseen tai tietosuojalakiin ei sisälly säännöksiä pykälässä tarkoitetun kaltaisesta kehittämis- ja innovaatiotoiminnasta. Jos tietoja pyydetään kehittämis- ja innovaatiotoimintaan vain aggregoituna tilastotietona, saa Tietolupaviranomainen tuottaa pyytäjälle tilastotiedon edellyttäen, että toiminnan tavoitteena on

7 / 14 1) edistää kansanterveyttä tai sosiaaliturvaa; tai 2) kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää; taikka 3) suojella yksilöitä tai turvata heidän oikeuksiaan ja vapauksiaan. Sosiaaliturva tässä yhteydessä sisältää paitsi taloudellisen tuen myös sosiaali- ja terveydenhuollon palvelut. Käyttöalaa olisi tarkoitus kuitenkin tulkita laveasti siten, että esimerkiksi ratkaisut, jotka tukevat sosiaali- ja terveyspalvelujärjestelmän ja sen hallinnon kehittämistä, lääkekehitystä tai yksilön hyvinvointia, tulisivat säännöksen piiriin. Yksilön suojeluun ja hänen oikeuksien ja vapauksiensa turvaamiseen voisivat liittyä esimerkiksi rokotteita ja lääkkeitä sekä sosiaali- ja terveydenhuollon palveluita koskevat vaikuttavuusarvioinnit. Kehittämis- ja innovaatiotoiminnasta aiheutuisi tällöin välittömiä hyötyjä yksilöille ja heidän hyvinvoinnilleen, kansanterveydelle sekä sosiaali- ja terveyspalvelujärjestelmän toimivuudelle. Eli tietojen käyttö kehittämis- ja innovaatiotoimintaan aggregoituna tilastotietona olisi mahdollista vain 38 :n 4 momentissa säädettyihin tarkoituksiin. Laki ei täten antaisi mahdollisuutta käyttää esimerkiksi henkilön terveystietoja vakuutuksia tai pankkilainoja myönnettäessä, markkinointiin ja työnhakijoiden arviointiin. Tällaisiin käyttötarkoituksiin hakija ei lain mukaan voisi saada tietolupaa. Pykälän 4 momenttiin ehdotetut rajaukset olisivat ministeriön käsityksen mukaan perustuslakivaliokunnan edellyttämällä tavalla riittävän tarkkarajaiset. Esimerkkinä 38 :n suomista mahdollisuuksista on, että soten toimijat voivat seurata, verrata ja arvioida palvelujärjestelmiensä ja palveluketjujensa toimivuutta nykyistä säännöllisemmin, tiiviimmin ja tarkemmin, sekä muuttaa havaittuja epäkohtia nopeammin kuin tieteellisen tutkimuksen menetelmät antavat mahdollisuuden. Molemmilla menetelmillä on omat vahvuutensa, eikä 38 :n mukaisesti tuotettu tieto tee tarpeettomaksi tieteellisellä tutkimuksella saavutettavia tuloksia. Sen sijaan myös tutkijat ja tutkimushankkeet voisivat hyödyntää säännöksen suomia mahdollisuuksia selvittääkseen joitakin tutkimuksen aikana esiin nousseita kysymyksiä, joita ei ole tutkimussuunnitelmaa laadittaessa osattu ennakoida. Sen avulla olisi mahdollista myös selvittää ennen tutkimushankkeen aloittamista tutkimussuunnitelmavaiheessa, mitä pohjatietoa tutkimusalueelta on saatavissa. Edellä esitetyn mukaisesti 38 antaa mahdollisuuden tuottaa toiminnan, palvelujen, palvelujärjestelmien sekä tuotteiden kehittämiseen ja innovaatiotoimintaan luotettavaa tietoa tietojärjestelmien, tekoälyn ja algoritmien mahdollistamin menetelmin nopeasti ja tehokkaasti erittäin suuristakin otoksista. 38 :ä voitaisiin myös hyödyntää, kun tieteellistä tutkimustietoa aletaan soveltaa käytäntöön. Esimerkkejä kehittämis- ja innovaatiotoiminnan käyttötarkoituksesta: - uusien yksilöllisten lääkkeiden ja hoitojen kehitys - hoitojen, lääkkeiden, menetelmien ja toimintamallien vaikuttavuuden arviointi

8 / 14 - Terveysteknologian uusien tuotteiden tai ratkaisujen kehitys - sosiaali- ja terveyspalvelujen ja palveluprosessien vaikuttavuuden ja tuottavuuden arviointi ja kehittäminen Kehittämis- ja innovaatiotoiminta EI ole esimerkiksi - Myyntiä ja markkinointia - Vakuutustoimintaa Tietojen anonymisointi luovutuksen edellytyksenä Edustaja Alanko-Kahiluoto totesi, että on iso muutos, että anonymisointi tapahtuisi Tietolupaviranomaisessa. Hän kysyi tulisiko lakiin kirjata selkeät anonymisointikriteerit sekä kokeilla niitä lainvalmisteluvaiheessa, jotta ne voidaan osoittaa toimiviksi käytännössä. Sosiaali- ja terveysministeriön kannanotto Ministeriö esittää lakia muutettavaksi siten, että anonymisoitua tietoa käsiteltäisiin samalla tavalla kuin pseudonymisointua tai henkilötunnukset sisältävää tietoa, eli anonymisoitua tietoa luovutettaisiin tietoluvan saajalle käsiteltäväksi vain tietoturvallisessa käyttöympäristössä eikä siis enää vapaasti käyttäväksi. Anonymisoitu tieto tarkoittaa periaatteessa sitä, ettei siitä pystytä selvittämään yksittäisiä tiedon kohteita ja heitä koskevia tietoja. Anonymisointi on kuitenkin aina tietoaineistokohtaista ja tilannesidonnaista, joten anonymisoinnin toteuttamista ei voida yksiselitteisesti kuvata lakiin. Anonymisoinnin lopputulokselle on yksiselitteinen vaatimus: tieto on anonyymiä, kun siitä ei pysty selvittämään tiedon kohteita. Tämä on EU-tietosuoja-asetuksen määritelmässä. Anonymisointi tehdään tietoaineistosta riippuen erilaisilla menetelmillä ja anonymisointi ei aina ole täydellistä eli lopputulokseen jää ns. tunnistamisen jäännösriski. Ehdotetussa muutetussa laissa anonymisoitua tieto ei enää pidetä siten anonyyminä, että se voitaisiin antaa luvansaajan vapaasti käytettäväksi vaan sitä käsiteltäisiin kuten arkaluonteista henkilötietoa. Pitkällä aikavälillä on mahdollista, että anonymisoinnin jäännösriski kasvaa olennaisesti tietojärjestelmien ja oppivan tekoälyn kehittymisen ja suurten luovutettavien aineistomäärie vuoksi. Tiedon anonymisointi on siis paljon monimutkaisempi asia kuin pelkkien anonymisointikriteerien tai menetelmien määrittely ja niiden testaus. Anonymisointimenetelmiä voidaan tutkia ja testata esim. yliopistoissa. Koska tutkijoiden täytyy voida julkaista tutkimustuloksiaan, ministeriö ehdottaa lakia muutettavaksi siten, että lupaviranomainen tuottaisi tietoturvalliseen käyttöympäristöön luovutettavista tiedoista johdetut julkaistavat tulokset aggrekoituina tilastotietoina tai sellaisina anonyymeinä tietoina, joihin ei enää sisälly jäännösriskiä. Jotta lupaviranominen osaisi tuottaa luotettavasti anonyymeja tietoja julkaisua varten, ehdotetaan laissa säädettäväksi sen tueksi monialainen asiantuntijaryhmä, jonka tehtävänä olisi laatia

9 / 14 anonymisoinnin toteuttamiselle kehityksen edellyttämät ajantasaiset periaatelinjaukset ohjaamaan tietosuojan varmistamista. Lisäksi lupaviranomainen muodostaisi ja anonymisoisi myös yksittäisten organisaatioiden omista rekistereistään kokoamista ja tietoturvalliseen käyttöympäristöön luovuttamista aineistoista julkaistavat tiedot. Kansallinen liikkumavara suhteessa EU:n tietosuoja-asetukseen (38 ja 45 ) Edustaja Kiuru pyysi sosiaali- ja terveysministeriötä toimittamaan selvityksen EU:n tietosuoja-asetuksen mukaisesta liikkumavarasta. Sosiaali- ja terveysministeriön kannanotto: 1. Kehittämis- ja innovaatioiminta 38 Kansallisen liikkumavaran käytöstä on hallituksen esityksen yleisperusteluissa ja pykäläkohtaisissa perusteluissa yksityiskohtainen selvitys. Perustuslakivaliokunta puuttui lausunnossaan (PeVL 1/2018 vp) kansallisen liikkumavaran käyttöön vain kehittämis- ja innovaatiotoiminnan käyttötarkoituksen rajaamisen osalta. Perustuslakivaliokunta on lausunnossaan todennut, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli valiokunnan sen 38 ja 45 :stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. Perustuslakivaliokunnan lausunnossa (s. 6) todetaan, että sen mielestä hallituksen esityksessä esitettyä sääntelyä on vaikea pitää täsmällisenä ja vähäiseksi luonnehdittavana poikkeuksena. Kehittämis- ja innovaatiotoimintaa ei ole säännösperustaisesti rajattu esimerkiksi tiettyihin tarkoituksiin tähtääväksi kehittämis- ja innovaatiotoiminnaksi. Sosiaali- ja terveysministeriö ymmärtää valiokunnan huolen. Sosiaali- ja terveysministeriö rajasi perustuslakivaliokunnan mietintöön 16.2.2018 StV:lle antamassaan vastineessa ehdotetun 38 :n käyttöalaa. Perustuslakivaliokunta on kiinnittänyt huomiota myös siihen, että tietosuoja-asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Kyseinen kansallinen liikkumavara ei kuitenkaan koske sosiaalihuollon tietoja, jolloin lisäehdoista voitaisiin säätää vain terveystietojen osalta. Sosiaalihuollon tietoihin liittyen asetuksessa on myös liikkumavaraa 6 artiklan 3 kohdan mukaisesti. Kyseinen liikkumavara on kuitenkin rajattu siihen, että henkilötietojen käsittelystä on säädetty laissa 6.1 artiklan c tai e alakohdan mukaisesti. Se ei siis koske tietoja, joita käsitellään suostumuksen perusteella. Tietosuoja-asetuksen 6 artiklan 4 kohdan mukaan henkilötietojen jatkokäsittelystä voidaan säätää jäsenvaltion lainsäädännössä, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaa-

10 / 14 miseksi. Näitä 23 artiklassa säädettyjä tavoitteita ovat muun muassa yleiseen etuun liittyvät tärkeät tavoitteet, kuten kansanterveys ja sosiaaliturva sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Lisäksi käsittelylle on oltava 6 artiklan 1 kohdan mukainen peruste ja arkaluonteisten tietojen käsittelyyn 9 artiklan 2 kohdan mukainen peruste. Hallituksen esityksessä esitetyn mukaisesti käsittelyn perusteena olisi 6.1 artiklan a alakohdan mukainen suostumus ja terveystietojen osalta lisäksi 9.2 artiklan a alakohdan mukainen nimenomainen suostumus. Jos käsittely perustuu suostumukseen, 23 artiklan mukaista tavoitetta ei sinänsä edellytetä. Käsittely kehittämis- ja innovaatiotoiminnassa voitaisiin kuitenkin kansallisesti rajata suppeammaksi kuin hallituksen esityksen mukaisessa pykälässä on ehdotettu, noudattaen keskeisiltä osin 23 artiklassa säädettyä. Käyttöalaa tarkennettaisiin tältä osin niin, että se rajoittuisi vain kansanterveyttä, sosiaaliturvaa, yksilöiden suojelua taikka yksilöiden oikeuksien ja vapauksien turvaamista edistävään kehittämis- ja innovaatiotoimintaan. Sosiaaliturva tässä yhteydessä sisältää paitsi taloudellisen tuen myös sosiaali- ja terveydenhuollon palvelut. Käyttöalaa olisi tarkoitus kuitenkin tulkita laveasti siten, että esimerkiksi ratkaisut, jotka tukevat sosiaali- ja terveyspalvelujärjestelmän ja sen hallinnon kehittämistä, lääkekehitystä tai yksilön hyvinvointia, tulisivat säännöksen piiriin. Yksilön suojeluun ja hänen oikeuksien ja vapauksiensa turvaamiseen voisivat liittyä esimerkiksi rokotteita ja lääkkeitä sekä sosiaali- ja terveydenhuollon palveluita koskevat vaikuttavuusarvioinnit. Kehittämis- ja innovaatiotoiminnasta aiheutuisi tällöin välittömiä hyötyjä yksilöille ja heidän hyvinvoinnilleen, kansanterveydelle sekä sosiaali- ja terveyspalvelujärjestelmän toimivuudelle. Ehdotettu käyttöalan tarkennus vastaisi osaltaan myös perustuslakivaliokunnan lausunnossaan esiin nostamaan edellytykseen siitä, että suostumuksenvaraisesti perusoikeussuojaan puuttuvalta lailta edellytetään täsmällisyyttä ja tarkkuutta sekä välttämättömyyttä. Ministeriö haluaa korostaa, että lakiliitteen mukaisen uuden 38 :n mukaan arkaluonteisten tietojen käsittely kehittämis- ja innovaatiotoimintaan olisi mahdollista: 1. Rekisteröidyn EU:n tietosuoja-asetuksen mukaisella suostumuksella. Luvan saa antaa rekisteröidyn suostumuksessa annettujen ehtojen mukaisesti. Edellytyksenä on lisäksi, että: 1) toiminnasta vastaa nimetty vastuuhenkilö tai ryhmä; 2) tietoja käytetään vain tiedonhyödyntämissuunnitelman mukaisesti sekä toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille; ja 3) hakemukseen liitetystä selvityksestä ilmenee, että saadut suostumukset täyttävät tietosuojaasetuksessa suostumukselle asetetut ehdot. 2. Jos Tietolupaviranomaiselle esitetään 3 :n 8 kohdassa tarkoitettu tietopyyntö, tiedot voidaan antaa ilman rekisteröidyn suostumusta 45 :n mukaisesti aggrekoituna tilastotietona. Edellytyksenä kuitenkin on, että tavoitteena on

11 / 14 1) edistää kansanterveyttä tai sosiaaliturvaa; tai 2) kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää; taikka 3) suojella yksilöitä tai turvata heidän oikeuksiaan ja vapauksiaan. 2. Suostumus käsittelyperusteena Perustuslakivaliokunta on lausunnossaan korostanut, että kun suostumus on käsittelyn perusteena, pitäisi selvittää kansallisen liikkumavaran laajuus ja mahdollisuudet antaa kansallista sääntelyä 9 artiklassa tarkoitettujen tietojen käsittelystä. Perustuslakivaliokunta on aiemmin edellyttänyt suostumuksenvaraisesti perusoikeussuojaan puuttuvalta lailta muun muassa säännöksiä suostumuksen antamisen ja sen peruuttamisen tavasta sekä suostumuksen aitouden ja vapaaseen tahtoon perustuvuuden varmistamista (s. 8). Suostumusta koskeva perussäännös on tietosuoja-asetuksessa 7 artiklassa. Se asettaa rekisterinpitäjälle osoittamisvelvollisuuden siitä, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Jos suostumus annetaan kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä niistä selvästi erillään. Tietosuoja-asetuksen 4 artiklan mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Sen lisäksi asetuksen 9 artikla edellyttää erityisiä henkilötietoryhmiä (kuten esim. terveydenhuollon henkilötietojen) koskevan käsittelyn osalta suostumukselta nimenomaisuutta. Tietosuoja-asetuksen mukainen suostumus täyttää oikeusministeriön kommentissa esitetyn vaatimuksen, että erityisiin henkilötietoryhmiin kuuluvien tietojen osalta edellytetään nimenomaisuutta ja että suostumuksen on oltava aidosti vapaaehtoinen. Ministeriön muistiossa 16.2.2018 on todettu, että suostumuksen pyytäjän olisi varmistuttava suostumuksen vapaaehtoisuudesta sekä siitä, että se muutoinkin täyttää tietosuoja-asetuksen mukaiset edellytykset. Toisiolain käyttötarkoituksessa sosiaali- ja terveystietoja yhdistetään. Tämän takia suostumuksen tulee sosiaalihuollon tietojen osalta täyttää tietosuoja-asetuksen 4 ja 6 artiklan mukaiset vaatimukset ja terveystietojen (erityisten henkilötietoryhmien) osalta 9 artiklan mukaiset vaatimukset. Suostumus on jo sinällään EU:n tietosuoja-asetuksen mukainen käsittelyperuste ja silta osin ei ole kansallista liikkumavaraa. Lupaviranomaisen tulisi henkilötietoja kehittämis- ja innovaatiotoimintaan luovuttaessaan varmistaa, että suostumus on annettu asianmukaisesti. Lupaviranomaisen tulisi muun muassa arvioida, että suostumus on annettu siten, että rekisteröity ei ole sitä antaessaan ollut alisteisessa asemassa suhteessa siihen, jolle suostumus on annettu. Lisäksi lupaviranomaisen tulisi varmistaa,

12 / 14 että suostumuksen antaja on ennen suostumuksen antamista saanut riittävän informaation siitä käyttötarkoituksesta, johon hänen tietojaan aiotaan käsitellä, ja että hänellä on ollut riittävästi aikaa rauhassa tutustua saamaansa informaatioon. Hänellä on myös etukäteen oltava tieto siitä, että hankkeen aikana hän voi peruuttaa suostumuksensa milloin tahansa yhtä helposti kuin on sen antanut. Tietosuoja-asetuksen 7.3 artiklassa säädetään suostumuksen peruuttamisesta. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Siinä säädetään myös suostumuksen peruuttamisen tavasta, että sen on oltava yhtä helppoa kuin suostumuksen antaminen. Suostumusta koskevaan artiklaan liittyy kiinteästi myös 17 artikla oikeudesta tulla unohdetuksi. Artiklan 17.1 b alakohdan mukaan rekisterinpitäjällä on velvollisuus poistaa rekisteröityä koskevat tiedot ilman aiheetonta viivytystä, jos rekisteröity peruuttaa suostumuksen, johon käsittely perustuu, eikä käsittelyyn ole muuta laillista perustetta. Tietosuoja-asetuksen johdanto-osan 42 43 kappaleissa on todettu, että suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee mainitun johdantokappaleen mukaan erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. 38 :ssä tarkoitettua suostumuksen antamista voitaisiin täsmentää ja varmistaa, että se on aito ja perustuu vapaaseen tahtoon. Siksi 38 :n 2 momenttiin ehdotettiin lisättäväksi uusi 3 kohta, jonka mukaan lupaviranomaisen tulisi arvioida, että suostumus täyttää tietosuo-ja-asetuksen sille asettamat edellytykset. Lupaviranomaisen tulisi muun muassa arvioida, että suostumus on annettu siten, että rekisteröity ei ole ollut alisteisessa asemassa suhteessa siihen, jolle suostumus on annettu. Lisäksi lupaviranomaisen tulisi varmistaa, että suostumuksen antaja on ennen suostumuksen antamista saanut riittävän informaation siitä käyttötarkoituksesta, johon hänen tietojaan aiotaan käsitellä, että hänellä on ollut riittävästi aikaa rauhassa tutustua saatuun informaatioon. Hänellä on myös etukäteen oltava tieto siitä, että hankkeen aikana hän voi peruuttaa suostumuksensa milloin tahansa yhtä helposti kuin on sen antanut. Koska suostumus on tietosuoja-asetuksen mukaan itsessään sallittu käsittelyperuste, jonka osalta ei ole kansallista liikkumavaraa, ehdotetun uuden 38 :n 4 momentin rajaukset kohdistuvat vain ilman suostumusta käsiteltäviin tietoihin. 3. Anonymisointi ja Tietopyyntö 45 Tietolupaviranomainen aina kokoaisi, yhdistelisi ja anonymisoisi tiedot virkavastuulla. Muut viranomaiset eivät siis voisi myöntää tietolupaa omiin tietoihinsa kehittämis- ja innovaatiotoimintaa varten, eivätkä ne voisi myöskään vastata tässä tarkoituksessa tietojensa anonymisoinnista tai niiden luovutuksesta. Tämä ratkaisu on omaksuttu laissa juuri siksi, että anonymisointi edellyttää nopeasti kehittyvien algoritmien ja tietojärjestelmien vuoksi huomattavaa asiantuntemusta ja ajanmukaisia tekniikoita. Tämän ratkaisun tarkoituksena on toimia suojatoimena kyseisessä käyttötarkoituksessa.

13 / 14 Perustuslakivaliokunnan käsityksen mukaan myös alun perin arkaluonteisia henkilötietoja voidaan käsitellä tehokkaasti anonymisoituna ilman yksityiselämän tai henkilötietojen suojan vaarantumista. Perustuslakivaliokunta on kuitenkin todennut, että on olennaista, että anonymisoinnin tehokkuus varmistetaan myös säädösperustaisesti. Valiokunta totesi, että kansallisen sääntelyn mahdollinen ala on selvitettävä ja täsmennettävä 38 ja 45 :n sääntelyä olennaisesti siltä osin, kun ne kohdistuvat mahdollisuuteen luovuttaa anonymisoituna ilman rekisteröidyn suostumusta 38 :ssä tarkoitettuun kehittämis- ja innovaatiotoimintaan. Tällainen täsmentäminen voidaan tehdä esimerkiksi säätämällä mahdollisimman yksityiskohtaisesti hallituksen esityksen perusteluissa kuvatuista anonymisoinnille asetettavista vaatimuksista. EU:n tietosuojaviranomaisista koostuva WP29-tietosuojatyöryhmä on antanut ohjeistuksen anonymisoinnin toteutuksesta. Ohjeessa on käyty läpi olemassa olevia tehokkaita anonymisointitekniikoita (Lausunto 5/2014 anonymisointitekniikoista). Koska anonymisointimenetelmät kehittyvät ja muuttuvat ajassa, laissa ei ole mahdollista täsmällisesti määrittää käytettävää anonymisointitekniikkaa. Ei ole myöskään mahdollista viitata mihinkään kansainväliseen ohjeeseen, koska ne eivät ole sitovia ja muuttuvat ja kehittyvät ajassa. Sosiaali- ja terveysministeriön vastineessa 4.12.2018 ehdotetut säännösmuutokset kohdistuvat keskeisimmin seuraaviin seikkoihin: - Miten ehdotetun toisiolain nojalla käsiteltävien henkilötietojen tietoturva ja tietosuoja voidaan varmistaa. - Erityisesti varmistuksen tarve koskee anonymisoitujen tietoaineistojen muodostamista ja käsittelyä sekä vapaasti luovutettavia tietoja ja julkaistavia tuloksia. - Keskeisenä syynä varmistusten tarpeeseen on nopeasti kehittyvä, oppiva tekoäly sekä tietojenkäsittelylaitteiden voimakkaasti kasvavat laskentatehot. Perustuslakivaliokunnan lausuntoon, sosiaali- ja terveysvaliokunnan saamiin asiantuntijalausuntoihin, kansanedustajien valiokuntakäsittelyssä esittämiin huomioihin ja kysymyksiin ja erityisesti anonymisoitujen tietojen käsittelyn sekä tietosuojan ja tietoturvan osalta STM:n kutsumien korkean tason asiantuntijoiden esittämiin ratkaisuihin perustuen ministeriö esittää, että anonymisointitehtävä keskitetään Tietolupaviranomaiselle, koska vallitsevassa ja kehittyvässä toimintaympäristössä anonymisointi vaatii erityistä tietotaitoa. Jos samoja tietoaineistoja anonymisoidaan eri tavoin eri yhteyksissä, on niistä erityisesti oppivan tekoälyn avulla yhdistelemällä mahdollista myös pahantahtoisin tarkoituksin tunnistaa yksittäisiä henkilöitä ja heihin liittyviä ominaisuuksia tai tapahtumia. Uutta tietoaineistoa anonymisoivalla viranomaisella oltava tieto, mitä muita anonymisoituja tietoaineistoja samasta aineistosta on tuotettu tai tuotetaan, ja miten niiden anonymisointi on toteutettu. (vrt. isot yliopistosairaalat, Biopankit, kuntayhtymät ) Lausunnoissa esitettiin Tietolupaviranomaiselle keskitettäväksi anonymisointitehtävä, joka edellyttää merkittävää ajantasaista asiantuntemusta. Sitä ei kerry riittävästi nopeasti kehittyvässä toimintaympäristössä yksittäiselle viranomaiselle arkitoiminnassa.

14 / 14 Asiantuntijalausuntojen sekä STM:n kokoaman asiantuntijaryhmän mukaan Tietolupaviranomaiselle on välttämätöntä nimittää korkean tason asiantuntijaryhmä laatimaan kulloisenkin parhaan tieteellisen tiedon pohjalta anonymisointia varten periaatelinjaukset. Tarvittaessa oikeutta käsitellä anonymisoitua tietoa tietoturvallisessa käyttöympäristössäkin on rajoitettava anonymiteetin varmistamiseksi, esim. rajaamalla kyselyiden määrää. (uusi 51 2 mom.) Jos halutaan julkaista hankkeen tulokset tai luovuttaa edelleen vapaasti tietoja, joita saa tietoluvan perusteella käsitellä vain Tietoturvallisessa käyttöympäristössä, tarvitaan erillinen, Tietolupaviranomaisen julkaisulupa. Tietolupaviranomainen muodostaa julkaisuluvan mukaisen tuloksen, jonka luovuttaa julkaisuluvan saaneelle erillisenä tiedostona. Edellä esitetyistä syistä hallituksen esityksen mukainen, anonymisoituja tietoja koskeva 45 on kokonaan muutettu. Lakiliitteessä on uusi 45 ja ehdotettu otsikko on Tietopyynnön käsittely. Pykälä koskisi vain aggrekoidussa tilastomuodossa luovutettavia tietoja, joista päättäisi ja jotka tuottaisi aina Tietolupaviranomainen taikka, jos se pohjautuisi tilastoviranomaisen tietoihin, ao. tilastoviranomainen. Aggrekoitu tilastomuoto turvaa rekisteröityjen anonymiteetin niin, ettei tilastotietoja yhdistelemälläkään voida päätellä yksittäisiä rekisteröityjä tai heihin liittyviä tietoja. Lisätty 3 :ään sanottu määritelmä uudeksi 18 kohdaksi. Päätös ja toteutus edellyttää erityistä tietotaitoa ja siksi keskittämistä.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute