Arvion lähtökohdat
Esityksessä ehdotetaan lisättäväksi tartuntatautilakiin säännökset covid-19-epidemian aiheuttaneen koronaviruksen tartuntaketjujen katkaisua tehostavasta tietojärjestelmästä koronavirukselle mahdollisesti altistuneiden tavoittamiseksi.
Lakiehdotusta ei ehdoteta säädettäväksi perustuslain 23 §:n nojalla tilapäiseksi poikkeukseksi perusoikeuksista. Perustuslakivaliokunta on korostanut tartuntatautilain mukaisten yksilökohtaisten rajoitusten ensisijaisuutta (PeVM 11/2020 vp, s. 5). Valiokunta on korostanut perustuslain 23 §:n soveltamisen poikkeuksellisuutta. Perustuslain 23 §:stä ilmenevän ja muun muassa valmiuslain 4 §:n 2 momentissa esitetyn periaatteen mukaan viranomaisten säännönmukaiset toimivaltuudet ovat poikkeusoloissakin ensisijaisia. Mahdollisissa poikkeusoloissakin tehtävien lainsäädäntömuutosten tulee ensisijaisesti olla perusoikeuksien yleiset ja tarvittaessa kunkin perusoikeuden erityiset rajoitusedellytykset täyttäviä rajoituksia, ei perustuslain 23 §:ssä tarkoitettuja poikkeuksia perusoikeuksista (PeVL 14/2020 vp, s. 2, PeVL 7/2020 vp, s. 3). Perustuslakivaliokunta pitää hallituksen esityksen perusratkaisua tältä osin siten asianmukaisena.
Henkilötietojen suoja
Hallituksen esityksen lakiehdotuksen tarkoituksena on tarjota vapaaehtoisuuteen perustuva mobiilisovellus, jonka avulla tehostettaisiin covid-19-tartuntaketjujen katkaisemista tavoittamalla koronavirukselle mahdollisesti altistuneita. Perustelujen (s. 10) mukaan ehdotetun tietojärjestelmän avulla voitaisiin tavoittaa virusta tartuttavan henkilön kanssa lähikontaktissa olleet mahdolliset altistuneet ja nopeuttaa heidän tiedonsaantiaan altistuksesta. Tietojärjestelmän avulla olisi mahdollista kartoittaa ja tavoittaa tartunnan saaneen henkilön läheisyydessä riittävän pitkäkestoisesti olleita ja siten mahdollisesti virukselle altistuneita tehokkaammin kuin yksistään tartuntatautilain tartunnan jäljityksen keinoin. Tietojärjestelmän avulla voitaisiin tavoittaa myös sellaiset sovelluksen käyttäjät, joiden läheisyydessä tartunnan saanut henkilö ei muista olleensa tai joita hän ei itse tunne ja jotka muutoin jäisivät tavoittamatta.
Hallituksen esityksen säätämisjärjestysperusteluiden (s. 29) mukaan tarkoituksena on, että epidemian etenemistä voitaisiin hallita kansalaisten vapaaehtoisilla toimilla ja tavanomaisen lainsäädännön antamien toimivaltuuksien puitteissa eikä tulisi tarvetta ottaa käyttöön valmiuslain mukaisia, perusoikeuksiin syvemmin puuttuvia rajoitustoimia. Säätämisjärjestysperusteluissa katsotaan, että epidemian tehokas hallinta on välttämätöntä ihmisten elämän, terveyden ja huolenpidon suojelemiseksi sekä sosiaali- ja terveydenhuoltojärjestelmän ylikuormitustilanteiden estämiseksi.
Hallituksen esityksen perusteluissa viitataan siihen, että ottaessaan mobiilisovelluksen käyttöön käyttäjästä ei kerättäisi tai tallennettaisi suoria tunnistetietoja. Jokainen käyttäjä saisi yksilöllisen pseudonyymisen tunnisteen, joka muuttuisi säännöllisesti (s. 20). Pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu. Pseudonymisoidut tai muutoin pseudonyymiset tiedot ovat kuitenkin henkilötietoja, ja niihin tulee soveltaa tietosuojalainsäädäntöä.
Tietojärjestelmän yhteydessä käsiteltäisiin terveyttä koskevia tietoja. Perustuslakivaliokunnan mukaan terveydentilatiedot ovat valtiosääntöisesti arkaluonteisiksi arvioitavia henkilötietoja (ks. esim. PeVL 15/2018 vp, s. 35—43, PeVL 1/2018 vp). Myös tietosuoja-asetuksen 9 artiklan mukaan muun muassa henkilön terveyteen liittyvät tiedot ovat nk. erityisiin henkilötietoryhmiin kuuluvia tietoja.
Lakiehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan.
Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5).
Perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen sääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Sosiaali- ja terveysvaliokunnan on siten huolehdittava erityisen tarkasti lakiehdotuksen yhteensopivuudesta yleisen tietosuoja-asetuksen kanssa. Lakiehdotusten EU-oikeudellinen arviointi kuuluu perustuslakivaliokunnan tehtäviin vain siltä osin kuin tällainen arviointi nojautuu perustuslakiin tai ihmisoikeussopimuksiin liittyvään perusteeseen (PeVL 79/2018 vp).
Perustuslakivaliokunnan mukaan on selvää, että kansallisen erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5). Valiokunta korostaa edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/2018 vp, PeVL 25/2005 vp).
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille.
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 14/2018 vp, s. 5 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).
Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään. Henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 65/2018 vp, s. 45, PeVL 15/2018 vp, s. 40).
Perustuslakivaliokunnan mukaan on selvää, että perusoikeusrajoitus ei voi olla tarkoitukseensa soveltuva ja siten välttämätön, jos sillä ei edes periaatteessa voida saavuttaa sen perusteena olevaa hyväksyttävää tavoitetta (ks. esim. PeVM 11/2020 vp, s. 5, ks. myös PeVL 40/2017 vp, s. 4, PeVL 55/2016 vp, s. 4—5 ja PeVL 5/2009 vp, s. 3/II). Perustuslakivaliokunta on korostanut näiden näkökohtien merkitystä edelleen myös perustuslain 23 §:n sallimien perusoikeuspoikkeuksien soveltamisessa koronavirusepidemian aikana (ks. esim. PeVM 11/2020 vp, s. 5).
Perustuslakivaliokunta on todennut, että terveydenhuoltojärjestelmän toimintakyvyn säilyttäminen pandemian aikana on perusoikeusjärjestelmän näkökulmasta erittäin painava peruste, jolla on yhteys perustuslain 7 §:n 1 momentin julkisen vallan velvollisuuteen turvata jokaisen oikeus elämään sekä turvata myös pandemian oloissa jokaiselle riittävät terveyspalvelut sekä edistää väestön terveyttä (perustuslain 19 §:n 3 momentti) ja joka oikeuttaa poikkeuksellisen pitkälle meneviä, myös ihmisten perusoikeuksiin puuttuvia viranomaistoimia (PeVM 2/2020 vp s. 4—5, PeVM 3/2020 vp, s. 3, PeVM 7/2020 vp, s. 4). Ottaen huomioon valmiuslain käyttöönotolle pandemiatilanteessa osoitettavat erittäin painavat tavoitteet turvata terveydenhuoltojärjestelmän toimintakyky ja sitä kautta torjua ihmisten henkeen ja terveyteen kohdistuvia vakavia uhkatekijöitä perustuslakivaliokunta ei lisäksi ole pitänyt poikkeusolojen toimivaltuuksia sinänsä oikeasuhtaisuusvaatimuksen vastaisina (PeVM 2/2020 vp, s. 5, PeVM 3/2020 vp, s. 3, PeVM 7/2020 vp, s. 5).
Hallituksen esityksessä (s. 20) viitataan siihen, että käsittelytoimia voidaan pitää vallitsevassa epidemiatilanteessa tarpeellisina. Lakiehdotuksen 43 a §:n 4 momentin mukaan Terveyden ja hyvinvoinnin laitoksen on huolehdittava, että tietojärjestelmä on käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi.
Perustuslakivaliokunnan mielestä ei ole aivan ongelmatonta, että sääntelyä ei hallituksen esityksessä pidetä välttämättömänä sen tarkoituksen kannalta, eikä lakiehdotusta ole laadittu arkaluonteisten tietojen käsittelyn välttämättömyysvaatimusta silmälläpitäen.
Perustuslakivaliokunnan mielestä merkityksellistä kuitenkin on, että lakiehdotuksen 43 a §:n 1 momentin mukaan mobiilisovelluksen käyttö olisi vapaaehtoista. Säännöksen yksityiskohtaisten perustelujen (s. 24) mukaan ketään ei voitaisi velvoittaa ottamaan sovellusta käyttöön. Mobiilisovelluksen käyttöönottanut henkilö voisi milloin tahansa poistaa mobiilisovelluksen käytöstään. Mobiilisovelluksen käyttäjä päättäisi itse, pitäisikö hän bluetooth-yhteyttä päällä, ilmoittaisiko hän tartunnasta mobiilisovellukseen ja pyytäisikö hän yhteydenottoa terveydenhuollon toimintayksiköstä.
Perustuslakivaliokunnan mielestä sovelluksen käytön ehdotettu vapaaehtoisuus korostaa sitä, että henkilötietojen käsittely ei ole välttämätöntä. Valiokunta pitää valitettavana, että vapaaehtoisuuteen perustuvassa hallituksen esityksessä ei ole selostettu asianmukaisesti perusoikeuspunnintaa sääntelyn välttämättömyyden osalta. Toisaalta valiokunnan mukaan henkilötietojen suojan kannalta keskeisenä on pidettävä tiedollista itsemääräämisoikeutta (PeVL 2/2018 vp, 8). Valiokunta on katsonut aiemmin myös, että sääntely lakiin perustuvasta oikeudesta arkaluonteisten henkilötietojen käsittelyyn suostumuksen peruuttamisen jälkeen on merkityksellistä yksilön itsemääräämisoikeuden kannalta. Perustuslakivaliokunnan käytännössä itsemääräämisoikeuden on katsottu kiinnittyvän useisiin perusoikeuksiin, erityisesti perustuslain 7 §:n säännöksiin henkilökohtaisesta vapaudesta ja koskemattomuudesta sekä perustuslain 10 §:n säännöksiin yksityiselämän suojasta (ks. PeVL 48/2014 vp, s. 2/II).
Perustuslakivaliokunta on katsonut esimerkiksi etsivää nuorisotyötä leimaavan sellainen palvelun järjestäjän ja tuen tarpeessa olevan nuoren välinen vapaaehtoisuuteen perustuva yhteistyösuhde, että kyseisessä sääntelykontekstissa voidaan tukeutua suostumukseen perustuvaan henkilötietojen käsittelyyn (PeVL 42/2016 vp, s. 4), vaikka kyseessä olikin viranomaistoiminta. Valiokunta on yleisemminkin pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Lakiehdotuksen 43 c §:n 1 momentissa säädetään tähän nähden sinänsä asianmukaisesti siitä, että sovelluksen välityksellä kerättäviä tietoja ei saa käyttää poliisitutkinnassa, esitutkinnassa, oikeudenkäynnissä tai muussa lainvalvontaan liittyvässä tarkoituksessa. Valiokunta painottaa myös sitä, että lakiehdotuksen 43 e §:n 3 momentin mukaan pelkkää mobiilisovelluksen kautta saatua tietoa mahdollisesta altistumisesta ei voida pitää tartuntatautilain 60 §:ssä tarkoitettuna perusteltuna epäilynä altistumisesta yleisvaaralliselle tartuntataudille, mikä mahdollistaisi karanteeniin asettamisen.
Perustuslakivaliokunnan mielestä merkityksellistä on, että nyt ehdotettava henkilötietojen käsittely tietojärjestelmässä perustuu aitoon vapaaehtoisuuteen. Sovelluksen asentamista ja käyttöä ei ole myöskään edes välillisesti säädetty minkään julkisen vallan vastuulla olevan palvelun, etuuden tai muun suorituksen saamisen edellytykseksi. Jokainen voi olla halutessaan käyttämättä sovellusta ilman, että siitä aiheutuu hänelle haittaa. Ottaen huomioon erityisesti myös sen, että altistumistiedon käsittelyssä terveydenhuollossa sovelletaan tavanomaiseen tapaan potilaslakia, lakiehdotusta voidaan siten valiokunnan mielestä toimivaltuuksien välttämättömyysvaatimuksesta ja arkaluonteisten tietojen käsittelyn välttämättömyysvaatimuksesta huolimatta pitää perusratkaisultaan perustuslain mukaisena. Tämä ei kuitenkaan poista tarvetta varmistaa varsinkin käsillä olevan kaltaisessa arkaluontoisia henkilötietoja koskevassa perusoikeus- ja ihmisoikeusherkässä sääntely-yhteydessä, että sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle. Valiokunnan mielestä on myös selvää, että nyt ehdotetun kaltaista sovellusta ei voida pitää vapaaehtoisuuteen perustuvan sääntelyratkaisun vuoksi hyväksyttävänä esimerkiksi poliisitoimen alalla tai muussakaan julkisen vallan käytössä.
Perustuslakivaliokunnan mielestä sääntelyyn on lisättävä nyt ehdotettua ehdottomampi ja soveltamisalaltaan laajempi kielto käyttää sovelluksen kautta saatua tietoa 60 §:n mukaisessa päätöksenteossa yksinomaisena perusteena ja muutenkaan muussa COVID-19-tartuntaa koskevaan hoitopäätökseen liittymättömässä julkisen vallan käytössä. Tällaisen muutoksen tekeminen on edellytyksenä lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä.
Perustuslakivaliokunta painottaa tarvetta huolehtia, että sovellusta koskevassa julkisessa viranomaistiedotuksessa selostetaan asianmukaisesti vapaaehtoisuutta.
Perustuslakivaliokunnalla ei ole tietosuoja-asetuksen ja perustuslakivaliokunnan myötävaikutuksella säädetyn (PeVL 73/2018 vp) tiedonhallintalain sääntely sekä potilasasiakirjoista potilaslaissa ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa säädetty huomioiden huomauttamista järjestelmän tietoturvasta.
Suostumus
Säätämisjärjestysperusteluiden mukaan (s. 31) henkilötietojen käsittely perustuisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan ja erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan i alakohtaan. Henkilön antama hyväksyntä tietojen siirtämiseen täydentäisi tätä oikeusperustaa henkilötietojen käsittelyn suojatoimena. Käyttäjä tekisi päätöksen sovelluksen käyttöönotosta, tartuntatiedon ilmoittamisesta ja yhteydenottopyynnön lähettämisestä oma-aloitteisesti ja vapaasti.
Perustuslakivaliokunnan mielestä sosiaali- ja terveysvaliokunnan on syytä tarkkaan varmistua perusteluissa mainitun käsityksen ja sitä myötä valitun sääntelymallin yhteensopivuudesta EU:n tietosuoja-asetuksen kanssa.
Perustuslakivaliokunta on katsonut perusoikeusrajoituksen kohteeksi joutuvan henkilön suostumuksella voivan sinänsä olla merkitystä valtiosääntöoikeudellisessa arvioinnissa. Valiokunta on kuitenkin käytännössään pitänyt tällaista sääntelytapaa ongelmallisena ja korostanut suurta pidättyväisyyttä suostumuksen käyttämisessä perusoikeuksiin puuttumisen oikeutusperusteena.. Valiokunnan mukaan tällainen sääntelytapa ei ole helposti sovitettavissa yhteen sen perustuslain 2 §:n 3 momentissa vahvistettuun oikeusvaltioperiaatteeseen sisältyvän vaatimuksen kanssa, jonka mukaan julkisen vallan käytön tulee perustua lakiin. Toimivallasta puuttua yksilön perusoikeuksiin on lisäksi aina säädettävä riittävän tarkkarajaisella ja soveltamisalaltaan täsmällisellä lailla (PeVL 30/2010 vp, s. 6/II). Valiokunta onkin pitänyt selvänä, että perusoikeussuoja ei voi oikeudellisena kysymyksenä menettää aina merkitystään pelkästään siksi, että laissa säädetään jonkin toimenpiteen vaativan kohdehenkilön suostumusta. Perusoikeussuojaa ei voida millaisessa asiassa tahansa jättää riippumaan asianomaisen suostumuksesta. Valiokunta on pitänyt tässä suhteessa oleellisena sitä, mitä voidaan pitää oikeudellisesti relevanttina suostumuksena tietyssä tilanteessa, ja edellyttänyt suostumuksenvaraisesti perusoikeussuojaan puuttuvalta lailta muun muassa tarkkuutta ja täsmällisyyttä, säännöksiä suostumuksen antamisen ja sen peruuttamisen tavasta, suostumuksen aitouden ja vapaaseen tahtoon perustuvuuden varmistamista sekä sääntelyn välttämättömyyttä (PeVL 19/2000 vp, s. 3/II, PeVL 27/1998 vp, s. 2/II sekä PeVL 19/2000 vp, s. 3/II). Osa näistä vaatimuksista tulee perustuslakivaliokunnan käsityksen mukaan huomioiduksi sillä valiokunnan edellyttämällä muutoksella, että sääntelyä rajoitetaan kiellolla käyttää sovelluksen kautta saatua tietoa 60 §:n mukaisessa päätöksenteossa ja muussa COVID-19-tartuntaa koskevaan hoitopäätökseen liittymättömässä julkisen vallan käytössä.
Perustuslakivaliokunta on kiinnittänyt aiemmin huomiota myös siihen, että perustuslakivaliokunnan myötävaikutuksella (PeVL 25/1998 vp) säädetyn, sittemmin kumotun henkilötietolain 8 §:ssä mahdollistettiin henkilötietojen käsittely suostumuksen perusteella. Myös arkaluonteisten henkilötietojen käsittely oli lain 12 §:n nojalla poikkeuksellisesti mahdollista, mikäli rekisteröity on antanut siihen nimenomaisen suostumuksensa (PeVL 1/2018 vp, s. 9). Valiokunnan mukaan vastaavaa voidaan todeta perustuslakivaliokunnan myötävaikutuksella säädetystä viranomaisten toiminnan julkisuudesta annetusta laista, jonka 26 §:n mukaan viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon muun ohella, jos se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa. Tällainen asiakirja voi sisältää myös arkaluonteisia henkilötietoja (PeVL 43/1998 vp, ks. myös PeVL 42/2016 vp, s. 3).
EU:n perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Lisäksi tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista muun ohella silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tietosuoja-asetuksen 9 artiklan mukaan erityisten henkilötietoryhmien käsittely on mahdollista niin ikään nimenomaisen suostumuksen perusteella, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että erityisten henkilötietoryhmien lähtökohtaista käsittelykieltoa ei voida kumota rekisteröidyn suostumuksella.
Tietosuoja-asetuksen johdantokappaleen 43 mukaan suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee johdantokappaleen mukaan erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Asetuksen johdantokappaleessa 42 todetaan, että suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Perustuslakivaliokunnan käsityksen mukaan nyt ei poikkeuksellisesti ole kyseessä tällainen tilanne, vaikka kyse onkin julkisen vallan tarjoamasta palvelusta.
Perustuslakivaliokunnan mukaan esimerkiksi terveystietojen luovuttaminen kehittämis- ja innovaatiotoimintaan ei voi perustua esimerkiksi sosiaalihuollon toteuttamiseen liittyvässä hallinnollisessa menettelyssä tai terveydenhuollon asiakaspalvelutilanteessa annettuun suostumukseen. Valiokunnan mielestä tällaisessa epätasapainoisessa tilanteessa annettava suostumus ei välttämättä ole valiokunnan käytännössä edellytetysti — tai tietosuoja-asetuksessa tarkoitetulla tavalla — aidosti vapaaehtoinen, eikä tällaisessa tilanteessa asiakkaalla ole välttämättä tosiasiallisia mahdollisuuksia harkita suostumuksen merkitystä (PeVL 1/2018 vp). Valiokunnan mielestä myöskään tällaista arviota ei ole tehtävissä nyt ehdotetusta järjestelmästä. Valiokunta on lisäksi kiinnittänyt tämänkaltaisissa sääntely-yhteyksissä huomiota siihen, että suostumuksen on perustuttava riittävään tietoon (ks. esim. PeVL 10/2012 vp, s. 3/I). Valiokunnan mielestä myös tämän vaatimuksen täyttyminen on epätodennäköistä, jos suostumus annettaisiin esimerkiksi potilaan hoidon yhteydessä (PeVL 1/2018 vp).
Tietosuoja-asetuksen 7 artiklassa säädetään suostumuksen edellytyksistä, vapaaehtoisuudesta ja suostumuksen peruuttamisesta. Lisäksi 9 artiklan 2 kohdan a alakohdassa säädetään suostumuksen nimenomaisuudesta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn. Asetukseen sisältyy yksityiskohtaista sääntelyä rekisteröidyn informoinnista. Asetus sisältää myös erityistä sääntelyä lapsen antamasta suostumuksesta. Perustuslakivaliokunnan mielestä asetuksen sääntelyä voidaan asianmukaisesti EU:n perusoikeuskirjan valossa tulkittuna ja sovellettuna pitää nyt arvioitavan käsittelyn osalta riittävänä myös valtiosääntöisestä näkökulmasta.
Mikäli sosiaali- ja terveysvaliokunta katsoo, että lakiehdotuksen mukaisessa käsittelyssä ei tietosuoja-asetuksen mukaan ole kyse suostumukseen perustuvasta käsittelystä eikä 7 artikla tule sovellettavaksi, on lakiehdotuksen sääntelyä sovelluksen käytöstä täydennettävä tietosuoja-asetuksen suojatoimien sääntelylle sallimissa puitteissa tältä osin suostumusta koskevalla täsmällisellä sääntelyllä, johon sisältyvät säännökset suostumuksen antamisen ja sen peruuttamisen tavasta sekä suostumuksen aitouden ja vapaaseen tahtoon perustuvuuden varmistamisesta. Sääntelyssä on myös varmistettava suostumuksen perustuminen riittävään tietoon myös eri käyttötarkoitusten ja esimerkiksi tietojen luovutusten suhteen. Suostumuksesta on ilmettävä, että sitä ei ole annettu sosiaali- ja terveydenhuollon asiakaspalvelutilanteessa tai muussakaan viranomaismenettelyssä. Sääntelyn täydentäminen on tällöin edellytyksenä sille, että lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
Heikommassa asemassa olevat
Perustuslakivaliokunta painottaa, että esityksessä kuvatun sovelluksen suunnittelussa ja käyttöönotossa on huomioitava YK:n vammaisten henkilöiden oikeuksia koskevan yleissopimuksen velvoitteet, erityisesti kohtuullisen mukauttamisen vaatimus, kaikille sopiva suunnittelu sekä esteettömyys ja saavutettavuus.