StVM 17/2020 vp HE 101/2020 vp

Esityksessä ehdotetaan tartuntatautilakia muutettavaksi väliaikaisesti.

Esityksessä ehdotetaan säädettäväksi covid-19-epidemian aiheuttaneen koronaviruksen tartuntaketjujen katkaisua tehostavasta tietojärjestelmästä koronavirukselle mahdollisesti altistuneiden tavoittamiseksi.

Terveyden ja hyvinvoinnin laitoksen tilapäiseksi tehtäväksi säädettäisiin mobiiliteknologiaa hyödyntävän tietojärjestelmän tarjoaminen. Tietojärjestelmä koostuisi mobiilisovelluksesta ja taustajärjestelmästä. Mobiilisovelluksen käyttäminen olisi väestölle maksutonta ja vapaaehtoista.

Kansaneläkelaitos pitäisi taustajärjestelmää yllä Terveyden ja hyvinvoinnin laitoksen lukuun.

Laissa säädettäisiin myös tietojärjestelmän käytön yhteydessä tapahtuvasta henkilötietojen käsittelystä ja niiden suojasta.

Ehdotettu laki on tarkoitettu tulemaan voimaan 31.8.2020 ja olemaan voimassa 31.3.2021 saakka.

Kiinassa käynnistyi vuoden 2020 alussa uuden koronaviruksen aiheuttama covid-19-epidemia. Tauti levisi nopeasti Kiinan ulkopuolelle lähes kaikkiin maailman maihin. Maailman terveysjärjestö WHO julisti covid-19-epidemian pandemiaksi 11.3.2020. Suomessa on pandemian vuoksi voimassa poikkeusolot. Valtioneuvosto teki asiaa koskevan päätöksen 16.3.2020 ja se on voimassa toistaiseksi.

Covid-19-epidemian vuoksi Suomessa on näin ollen otettu käyttöön useita kansalaisten perusoikeuksia rajoittavia toimenpiteitä, joiden tarkoituksena on ollut turvata väestön terveys sekä terveydenhuollon toimintakyky. Vaikka hallitus on epidemian torjumiseksi päättänyt useista toimenpiteistä, joiden tavoitteena on ehkäistä rajoittamistoimista aiheutuvia haittoja, rajoituksilla on ollut myös haitallisia sosiaalisia ja taloudellisia vaikutuksia.

Valtioneuvoston 6.5.2020 päättämässä periaatepäätöksessä suunnitelmasta covid-19-kriisin hallinnan hybridistrategiaksi on todettu, että asetetuilla rajoitustoimilla ja annetuilla suosituksilla on onnistuttu hillitsemään epidemian etenemistä ja suojaamaan riskiryhmiä. Tämän vuoksi Suomessa on mahdollista siirtyä asteittain epidemian hillinnän seuraavaan vaiheeseen. Hybridistrategiassa laajamittaisista rajoitustoimista siirrytään hallitusti aiempaa kohdennetumpiin toimenpiteisiin sekä tartuntatautilain, valmiuslain ja mahdollisten muiden säädösten mukaiseen tehostettuun epidemian hallintaan erityisesti testaa, jäljitä, eristä ja hoida -periaatteen mukaisesti. Tavoitteena on, että hybridistrategian avulla epidemiaa onnistutaan tehokkaasti hillitsemään mahdollisimman vähän ihmisiä, yrityksiä, yhteiskuntaa ja perusoikeuksien toteutumista haittaavasti.

Epidemian hallinnan hybridistrategia perustuu jatkuvaan seurantaan ja kertyvän kotimaisen ja kansainvälisen tutkimustiedon hyödyntämiseen.

Yksittäisten rajoitustoimien purkamista voidaan tukea muun muassa suosituksilla. Hybridistrategiassa nojaudutaan rajoitustoimien hallinnan ja asteittaisen purkamisen ohella testaa, jäljitä, eristä ja hoida -periaatteen toteuttamiseen. Laajalla testauksella, tartuntaketjujen jäljittämisellä, sairastuneiden eristämisellä ja altistuneiden karanteenilla voidaan osaltaan, mutta ei yksinomaan, estää taudin etenemistä. Testaa, jäljitä, eristä ja hoida -mallin toimintaa voidaan tehostaa vapaaehtoisuuteen perustuvalla ja tietosuojaa kunnioittavalla mobiilisovelluksella.

Epidemian hallinnan hybridistrategian noudattamista on tarpeellista jatkaa niin kauan, kunnes epidemia on saatu globaalilla tasolla hallintaan. Hybridistrategiaa koskevassa päätöksenteossa on sovitettu yhteen epidemianhallinnan epidemiologiset, oikeudelliset ja muut yhteiskunnalliset näkökohdat mahdollisimman kestävällä tavalla. Hallitus harkitsee yksittäisten toimien toteutusta ja ajoitusta uuden tiedon valossa sekä osana poliittista kokonaisharkintaa.

Vaikka covid-19-epidemian kasvu on Suomessa pysähtynyt, se ei tarkoita vakavan vaaran poistumista. Tämä tilannekuva kuitenkin mahdollistaa rajoitustoimien asteittaisen purkamisen ja vaihtoehtoisten rajoitus- ja muiden toimien tekemisen yhteiskunnallisten haittojen vähentämiseksi. Kulloinkin käytettävät toimet valitaan kokonaisharkinnan perusteella siten, että epidemian hallinnassa saavutettava hyöty on mahdollisimman suuri suhteessa toimenpiteen aiheuttamiin sosiaalisiin ja taloudellisiin haittavaikutuksiin.

On välttämätöntä huolehtia tartunnan saaneiden tartuntaketjujen jäljittämisestä, tartunnan saaneiden eristämisestä ja mahdollisesti altistuneiden karanteeniin asettamisesta, mihin mobiiliteknologiaa hyödyntävä tietojärjestelmä tuo osaltaan apuja. Valtioneuvoston periaatepäätöksen mukaisesti tietojärjestelmän käyttöönottoa kiirehditään, ja tavoitteena tulee olla sen käyttöönotto kesän aikana.

Myös Euroopan komissio on 8.4.2020 antanut suosituksen mobiiliteknologian käytöstä covid-19-kriisissä (C(2020) 2296 final), ja toteaa, että tartuntaketjujen jäljittämiseen tarkoitetulla mobiilisovelluksella on oletettavasti saavutettavissa hyötyjä kriisin hallinnassa. Suosituksessaan Euroopan komissio tuo muun muassa esiin, että sovellusten toteuttamisessa on noudatettava perusoikeuksia ja että sovellusten käytön tulisi olla rajoitettu ajallisesti nykyisen kriisin kestoon.

Sosiaali- ja terveysministeriö on asettanut 14.5.2020 covid-19-epidemiaan liittyvän kontaktien jäljityssovelluksen käyttöönottoa valmistelevan hankkeen. Hankkeelle asetettiin ohjausryhmä, työryhmä valmistelemaan hallituksen esityksen lainsäädännön muuttamisesta sekä työryhmä koordinoimaan kansallisia näkemyksiä Euroopan komission 8.4.2020 antamaa suositusta koskevassa kansainvälisessä ja kansallisessa yhteistyössä. Asettamispäätöksen mukainen toimikausi päättyy 31.12.2020, mutta lainsäädännön muutoksia valmistelevan työryhmän tehtävänä on ollut laatia jäljityssovellusta koskeva hallituksen esitys mahdollisimman pikaisella aikataululla.

Esitys on valmisteltu edellä mainitussa hallituksen esitystä valmistelevassa työryhmässä, jossa olivat edustettuina sosiaali- ja terveysministeriö, oikeusministeriö, valtiovarainministeriö, liikenne- ja viestintäministeriö sekä Terveyden ja hyvinvoinnin laitos. Työryhmä on työn kuluessa kuullut asiantuntijaa Kansaneläkelaitoksesta ja Espoon kaupungilta. Valmistelun aikana on lisäksi kuultu tietosuojavaltuutettua.

Esitystä on käsitelty myös hankkeen ohjausryhmässä, jossa olivat edellä mainittujen ministeriöiden lisäksi edustettuina Terveyden ja hyvinvoinnin laitos, Vaasan sairaanhoitopiiri, Päijät-Hämeen hyvinvointikuntayhtymä, Helsingin ja Uudenmaan sairaanhoitopiiri, Helsingin kaupunki sekä Suomen Kuntaliitto.

Esityksen kiireellisyyden vuoksi on ollut tarpeen poiketa kuulemista säädösvalmistelussa koskevista ohjeista. Esityksestä on kuultu kaksivaiheisesti seuraavasti.

Hallituksen esitys perustuu sosiaali- ja terveysministeriön valmistelemaan etenemisesitykseen lähikontaktien jäljityssovelluksen käyttöönottoon covid-19-epidemian hallinnan tueksi. Hallitus käsitteli etenemissuunnitelman 22.4.2020, minkä jälkeen valmistelumateriaalista pyydettiin lausuntoja. Lausuntopyyntö julkaistiin 28.4.2020 ja vastausaika päättyi 5.5.2020. Vastauksia saatiin 63 kappaletta. Vastaajista suurin ryhmä oli valtionhallinnon virastojen ja laitosten edustajia (21 vastaajaa). Sosiaali- ja terveydenhuollon toimijoilta vastauksia saatiin yhteensä 12. Lisäksi lausuntopyyntö kiinnosti laajasti muun muassa yliopistoja, yrityksiä sekä yksityishenkilöitä. Lausunnoista laadittiin yhteenveto, joka on saatavilla osoitteessa https://stm.fi/hanke?tunnus=STM053:00/2020.

Luonnos hallituksen esitykseksi julkaistiin 26.5.2020 sähköisessä lausuntopalvelussa. Lausuntopyyntö lähetettiin usealle vastaanottajalle. Vastausaika päättyi 1.6.2020. Lausuntoja saatiin 52 kappaletta. Lausujina olivat sosiaali- ja terveydenhuollon toimijat, valtion viranomaiset, kunnat sekä muut tahot, kuten erilaiset liitot ja järjestöt. Lausunnoista laadittiin yhteenveto, joka on saatavilla osoitteessa https://stm.fi/hanke?tunnus=STM056:00/2020.

Esitys on käsitelty kuntatalouden ja -hallinnon neuvottelukunnassa 29.5.2020.

Covid-19-epidemian levittyä pandemiaksi hallitus otti maaliskuussa nopeasti käyttöön suosituksiin, normaaliolojen lainsäädäntöön ja valmiuslainsäädäntöön perustuvan rajoitustoimien kokonaisuuden. Virukselle altistuneiden jäljitystyön tehokkuudella on vaikutusta siihen, missä määrin muita keinoja on käytettävä epidemian leviämisen estämiseksi.

Covid-19-epidemiatilanteessa on jäljitystyössä toimittu tartuntatautilain (1227/2016) mukaan. Tartuntatautilain mukaan Terveyden ja hyvinvoinnin laitos ohjaa ja tukee tartunnan jäljitystä ja epidemioiden selvittämistä kunnissa ja sairaanhoitopiireissä sekä toteuttaa epidemiaselvityksiä. Toimintamallin keskeinen tehtävä on mahdollistaa osaavien resurssien tarjoaminen kuntien ja sairaanhoitopiirien jäljitystyöhön, sekä kuntien että yksityisten toimijoiden puolelta.

Tartuntatautien leviämistä pyritään estämään ja rajoittamaan tartunnan saaneiden varhaisella toteamisella, altistuneiden ja muiden tartunnan saaneiden jäljittämisen avulla sekä erilaisilla yksilöön kohdistuvilla rajoittamistoimilla, joita ovat sairastuneiden eristäminen ja altistuneiden karanteeni.

Tartuntatautilain tarkoituksena on lain 1 §:n mukaan ehkäistä tartuntatauteja ja niiden leviämistä sekä niistä ihmiselle ja yhteiskunnalle aiheutuvia haittoja. Lakia sovelletaan 2 §:n mukaan tartuntatautien torjuntatyön järjestämiseen ja toteuttamiseen sekä sen suunnitteluun, ohjaukseen, seurantaan ja valvontaan. Laissa tarkoitettujen valtion viranomaisten ja asiantuntijalaitosten sekä kuntien ja kuntayhtymien on lain 6 §:n mukaan järjestelmällisesti torjuttava tartuntatauteja sekä varauduttava terveydenhuollon häiriötilanteisiin. Niiden on ryhdyttävä välittömiin toimiin saatuaan tiedon torjuntatoimia edellyttävän tartuntataudin esiintymisestä tai sellaisen vaarasta toimialueellaan. Tartuntatautien torjunnan yleinen suunnittelu, ohjaus ja valvonta kuuluvat lain 7 §:n 1 momentin mukaan sosiaali- ja terveysministeriölle. Ministeriö vastaa valtakunnallisesta terveydenhuollon häiriötilanteisiin tai niiden uhkaan varautumisesta ja näiden tilanteiden johtamisesta.

Tartuntatautilaissa säädetään Terveyden ja hyvinvoinnin laitoksen tehtävistä tartuntatautien torjunnassa. Terveyden ja hyvinvoinnin laitos on lain 7 §:n 2 momentin mukaan tartuntatautien torjunnan kansallinen asiantuntijalaitos. Laissa säädetään myös muiden viranomaisten tehtävistä ja velvollisuuksista tartuntatautien torjumisessa.

Tartuntatautilaissa säädetään myös tartuntojen jäljityksestä sekä henkilötietojen käsittelystä osana tätä työtä. Lain 23 §:n 1 momentin mukaan kunnan tartuntataudeista vastaava lääkäri selvittää paikallisia epidemioita ja tekee tartunnan jäljitystä. Pykälän 2 momentin mukaan sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaava lääkäri ohjaa sairaanhoitopiirin kuntayhtymän alueella epidemioiden selvitystä ja tartunnan jäljittämistä sekä toteuttaa laajalle levinneen epidemian selvittämistä yhteistyössä kuntien kanssa.

Jos epidemia on levinnyt usean sairaanhoitopiirin kuntayhtymän alueelle, tauti on erityisen vakava tai epidemiaselvitys on muutoin valtakunnallisesti tärkeä, Terveyden ja hyvinvoinnin laitos ohjaa ja tukee tartunnan jäljitystä ja epidemioiden selvittämistä kunnissa ja sairaanhoitopiirien kuntayhtymien alueella sekä toteuttaa epidemiaselvityksiä. Terveyden ja hyvinvoinnin laitos selvittää epidemioita ja vastaa kansainvälistä yhteistyötä edellyttävästä epidemian selvityksestä ja tartunnan jäljityksestä.

Tartunnan saaneen henkilön kontaktit kartoitetaan haastattelemalla. Kontaktien kartoituksen tavoitteena on tunnistaa tartunnalle altistuneet henkilöt mahdollisimman varhain, jotta taudin leviämistä voitaisiin estää tehokkaasti. Alueen epidemiologisesta tilanteesta ja voimavaroista riippuen kontaktit tunnistetaan, listataan ja luokitellaan lähikontakteihin ja muihin kontakteihin. Lähikontakteilla tartuntariski on suurempi kuin muilla kontakteilla.

Altistuneista selvitetään pääsääntöisesti nimi ja puhelinnumero. Lähikontakteihin otetaan yhteyttä puhelimitse ja heille kerrotaan mahdollisesta tartunnasta sekä hoitoon hakeutumisesta sekä kysytään mahdollisia oireita ja pyritään varmistamaan altistustilanne.

Terveyden ja hyvinvoinnin laitoksen antamien toimenpideohjeidenhttps://thl.fi/fi/web/infektiotaudit-ja-rokotukset/taudit-ja-torjunta/taudit-ja-taudinaiheuttajat-a-o/koronavirus-covid-19/toimenpideohje-epailtaessa-koronaviruksen-covid-19-aiheuttamaa-infektiota mukaan lähikontakteja neuvotaan välttämään sosiaalisia kontakteja ja matkustamista sekä seuraamaan oireiden kehittymistä 14 vuorokauden ajan viimeisen altistumisen jälkeen. Perhealtistuksissa karanteenin pituus on 21 vuorokautta alkaen tapauksen oireiden alusta tai oireettoman kohdalla näytteenottopäivästä. Jos muut kontaktit ovat tavoitettavissa, heitä informoidaan mahdollisesta altistumisesta ja hoitoon hakeutumisesta. Tätä ei kuitenkaan tehdä, jos koronavirustautiin sairastunut henkilö on ollut oireeton.

Terveydenhuollossa tehdään mahdolliset potilasasiakirjamerkinnät potilaslain (laki potilaan asemasta ja oikeuksista, 785/1992) mukaisesti. Potilaslaissa on myös säännökset potilaan tiedonsaantioikeudesta (5 ja 9 §), potilaan itsemääräämisoikeudesta (6 §) sekä alaikäisen potilaan asemasta (7 §).

Kunnan tai sairaanhoitopiirin tartuntataudeista vastaava lääkäri voi tartuntatautilain 60 §:n perusteella määrätä enintään yhden kuukauden ajaksi karanteeniin henkilön, jonka on todettu tai perustellusti epäilty altistuneen yleisvaaralliselle tartuntataudille. Karanteeni tulisi pääsääntöisesti toteuttaa yhteisymmärryksessä altistuneen henkilön kanssa. Lääkärin olisi annettava karanteeniin määrätylle ohjeet tartunnan leviämisen estämiseksi ja hänen olisi varmistettava, että henkilö on valmis ja kykenevä niitä noudattamaan (HE 13/2016 vp). Lääkäri voi 60 §:n 2 momentin mukaan tehdä päätöksen karanteenista myös henkilön tahdosta riippumatta.

Karanteeniin määrättyä henkilöä, joka joutuu olemaan pois työstä, tulee informoida, että tällä on oikeus saada tartuntatautilain 82 §:n mukaista tartuntatautipäivärahaa korvaamaan ansionmenetystä.

Terveydenhuollon toimintayksiköissä tulee toimenpideohjeiden mukaan olla tieto kaikista työntekijöistä, jotka ovat hoitaneet koronavirustautiin sairastunutta potilasta tai käsitelleet covid-19-näytteitä.

Kuntien ja sairaanhoitopiirien välinen työnjako vaihtelee alueittain ja tapauskohtaisesti esimerkiksi todetusta tapauksesta ja altistusten luonteesta riippuen. Terveyden ja hyvinvoinnin laitos tukee alueellisia toimijoita joukkoaltistusten tartunnanjäljityksissä sekä hoitaa jäljitystyön rajat ylittävissä ja esimerkiksi lennoilla tapahtuneissa altistuksissa. Mahdolliset karanteenipäätökset tekevät myös näissä tapauksissa kotimaassa tapauksissa toimintavaltaiset viranomaiset eli Suomessa kuntien ja sairaanhoitopiirien tartuntataudeista vastaavat lääkärit.

Kansainvälisesti Terveyden ja hyvinvoinnin laitos tekee yhteistyötä muiden maiden terveysviranomaisten kanssa, jos altistuneiden tai varmistettujen tapausten joukossa on muiden maiden kansalaisia, tartunta on saatu ulkomailta tai altistustilanne on rajat ylittävässä liikennevälineessä. Varhaisvaroitusjärjestelmä Early Warning and Response System (EWRS), yhdistää Euroopan komission, Euroopan tautienehkäisy- ja valvontakeskus ECDC:n sekä EU:n ja ETA-maiden kansanterveysviranomaiset, jotka vastaavat kansallisella tasolla ilmoituksista, ja määrittelemällä kansanterveyden suojelemiseksi tarvittavat toimenpiteet. EWRS:n kautta voidaan suojatusti lähettää myös henkilötietoa sisältävää materiaalia henkilön kansalliselle terveysviranomaiselle.

WHO:n Kansainvälinen terveyssäännöstö (International Health Regulations, IHR) kokoaa kaikkien allekirjoittaneiden maiden yhteyshenkilöiden yhteystiedot, joiden kanssa tehdään myös yhteistyötä rajat ylittävissä jäljitystapauksissa.

Valtioneuvosto päivitti covid-19-strategiaa 22.4.2020 kuultuaan asiantuntijoiden arviot tilanteesta. Koska epidemian etenemisen hillitsemisessä on Suomessa onnistuttu toistaiseksi hyvin, on Suomessa ollut mahdollista siirtyä asteittain epidemian hillinnässä vaiheeseen, jossa laajamittaisista rajoitustoimista siirrytään hallitusti aiempaa kohdennetumpiin toimenpiteisiin ja tartuntatautilain, valmiuslain ja mahdollisten muiden säädösten mukaiseen tehostettuun epidemian hallintaan. Tavoitteena on, että hybridistrategian avulla epidemiaa onnistutaan tehokkaasti hillitsemään mahdollisimman vähän ihmisiä, yrityksiä, yhteiskuntaa ja perusoikeuksien toteutumista haittaavasti.

Hybridistrategiassahttp://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/162214/VN_2020_12.pdf?sequence=1&isAllowed=y nojaudutaan rajoitustoimien hallinnan ja asteittaisen purkamisen ohella testaa, jäljitä, eristä ja hoida -periaatteen toteuttamiseen. Hybridistrategian mukaan laajalla testauksella, tartuntaketjujen jäljittämisellä, sairastuneiden eristämisellä ja altistuneiden karanteenilla voidaan osaltaan, mutta ei yksinomaan, estää taudin etenemistä. Testaa, jäljitä, eristä ja hoida -mallin toimintaa voidaan tehostaa vapaaehtoisuuteen perustuvalla ja tietosuojaa kunnioittavalla mobiilisovelluksella.

Tavoitteena on, että väestölle tarjotun mobiilisovelluksen avulla henkilö voi itse osallistua koronaviruksen leviämisen estämiseen. Mobiilisovelluksen käyttöönotto ja käyttäminen sekä käytön lopettaminen olisi täysin vapaaehtoista. Henkilö saisi tiedon mahdollisesta altistumisestaan mobiilisovelluksen välityksellä. Mobiilisovelluksen avulla altistuneista myös ne, joita viruksen kantaja ei tunne tai muista tavanneensa, saisivat tiedon mahdollisesta altistumisestaan ja heidät voitaisiin tavoittaa nopeammin ja tehokkaammin, jos henkilö päättää jakaa tiedon mahdollisesta altistumisestaan terveydenhuollon toimijoille. Tiedon mahdollisesta altistumisesta saaneella henkilöllä olisi mahdollisuus seurata oireitaan aktiivisesti, saada lisätietoa ja ohjeita sekä täten myös ryhtyä mahdollista tartunnan leviämistä estäviin toimiin. Henkilö voisi välittää sovelluksesta saamansa tiedon mahdollisesta altistumisestaan terveydenhuoltoon ja saada tietoa siitä, miten hänen tulisi toimia. Mobiilisovellus tehostaisi siten osaltaan tartuntaketjujen katkaisemista ja niiden jäljittämistä.

Tehokkaasti toimiessaan tietojärjestelmä olisi osa laajempaa koronavirukselle altistumisten seurannan ja tartuntojen jäljittämisen kokonaisuutta. Ehdotettu tietojärjestelmä yksin ei riitä ratkaisemaan jäljittämisen ja tartuntaketjujen katkaisemisen tarpeita. Se ei korvaisi tai automatisoisi nykyistä terveydenhuollon toimintayksikössä tehtävää jäljittämistyötä, jossa altistuneisiin otetaan yhteyttä, mutta sen avulla voidaan saada kattavammin tietoa mahdollisista altistuneista. Tietojärjestelmä voisi nopeuttaa altistuneiden tavoittamista sekä niiden henkilöiden, joilla on oireita, ohjaamista testeihin ja hoitoon.

Mobiilisovellukseen olisi mahdollista liittää lisäksi luotettavan terveysinformaation ja ohjeiden jakamiseen liittyviä toimintoja, jolloin sovelluksen käyttöönottoon liittyisi myös informaatio-ohjauksen tehostumiseen liittyviä hyötyjä. Kun tartunnan saanut ilmoittaisi tartunnastaan mobiilisovellukseen, hän osallistuisi näin koronaviruksen leviämisen estämiseen. Tällöin muut mobiilisovelluksen käyttäjät, saatuaan mobiilisovelluksen kautta tiedon mahdollisesta altistumisestaan, voisivat toimia terveydenhuollon antamien ohjeiden mukaan esimerkiksi välttämällä lähikontakteja, kiinnittämällä tarkempaa huomiota vointiinsa ja hakeutumalla tarvittaessa testiin. Näin sovelluksen käytön myötä voisi olla mahdollista hillitä koronavirusta leviämästä. Mobiilisovelluksen käyttäjät voisivat osallistua väestön terveydensuojeluun ilmoittamalla tartunnasta mobiilisovellukseen sekä toimimalla aktiivisesti saatuaan tiedon mahdollisesta altistumisestaan. Lisähyötyä mobiilisovelluksesta voisi olla kunnissa tehtävään tartuntatautien jäljitystyöhön siten, että yhteydenottopyyntöjen perusteella tavoitetaan suurempi joukko henkilöitä, jotka ovat virukselle mahdollisesti altistuneita. Vaikka yhteydenottopyynnön tekeminen sovelluksen kautta on vapaaehtoista, voi henkilö kuitenkin myös itse ottaa nykyisin käytössä olevilla menetelmillä yhteyttä terveydenhuoltoon ja kysyä ohjeita. Mobiilisovelluksesta voisi olla hyötyä myös mahdollisten tulevien epidemioiden torjunnassa, koska ehdotetun tietojärjestelmän toiminnasta ja hyödyllisyydestä olisi mahdollista tehdä tilastollisia analyysejä covid-19-epidemian seurannan ja tietojärjestelmän toiminnan arvioinnin kannalta.

Ehdotetun tietojärjestelmän tuomaan lisähyötyyn vaikuttavia tekijöitä ovat muun muassa se, kuinka moni ottaa mobiilisovelluksen käyttöön (kattavuus väestössä) ja kuinka aktiivisesti he pitävät bluetooth-yhteyttä päällä, ihmisten motivaatio sovelluksen käyttöön pitkällä aikavälillä, kuinka moni käyttäjä jakaa tiedon mahdollisesta altistumisestaan terveydenhuoltoon ja miten usein terveysviranomainen joutuu tekemään päällekkäistä työtä, kun jäljityksessä otettaisiin osassa tapauksia samaan henkilöön yhteyttä perustuen sekä tartunnan saaneen haastatteluun että tietojärjestelmästä saadun mahdollista altistumista koskevan tiedon kautta (sovelluksen tuottama tieto vs. perinteinen tiedonkeruu). Terveysviranomaisen kannalta ehdotetun tietojärjestelmän tuottama lisähyöty riippuu lisäksi siitä, miten usein henkilö ilmoittaisi mahdollisesta altistumisestaan terveydenhuoltoon.

Mobiilisovellus ja siihen liittyvä viestintä olisi toteutettava suomen ja ruotsin kielellä. Mahdollisimman monen henkilön tavoittamiseksi sekä yhdenvertaisuuden edistämisen kannalta olisi syytä kuitenkin pyrkiä siihen, että sovellus ja siihen liittyvä viestintä voitaisiin toteuttaa muillakin kuin kansalliskielillä, kuten erityisesti muilla yleisesti Suomessa käytetyillä kielillä. Lisäksi sovelluksen toteutuksessa tulisi kiinnittää huomioita saamelaisten mahdollisuuksiin saada tietoa ja käyttää omaa kieltään. Myös tiedotusta ja ohjeistusta sovelluksen käyttöönotosta voitaisiin kääntää useammalle kielelle, jotta sovelluksesta voivat saada tietoa ja sitä voisivat käyttää myös muut kuin kansalliskieliä osaavat henkilöt.

Ehdotetun tietojärjestelmän avulla mahdollisesti taudille altistuneiden tavoittaminen toteutettaisiin mobiililaitteiden bluetooth-teknologiaa hyödyntämällä siten, että laitteeseen tallentuu tiedot henkilöiden kohtaamisista. Tietojärjestelmä koostuisi henkilöiden vapaaehtoisesti käyttöön ottamista mobiilisovelluksista sekä Terveyden ja hyvinvoinnin laitoksen hallinnoimasta taustajärjestelmästä. Tietojärjestelmä tallentaisi yksilöllisiä pseudonyymisiä tunnisteita, jolloin yksittäiset, lähikontaktissa olleet henkilöt eivät olisi niistä suoraan tunnistettavissa. Tietojärjestelmä ei tallentaisi paikkatietoa. Alla oleva kuva 1 tiivistää tietojärjestelmän toimintaperiaatteen.

Kuva 1. Tietojärjestelmän toimintaperiaate

Kun mobiilisovelluksen käyttöön ottaneet henkilöt kohtaavat, mobiilisovellukset tallentaisivat toistensa vahvasti salatut kontaktitiedot hajautetusti käyttäjien mobiililaitteisiin. Tallennettavat kontaktitiedot olisivat yksilölliset pseudonyymiset tunnisteet, kontaktin ajankohta, kesto ja bluetooth-signaalin vahvuus. Yksittäiset henkilöt eivät olisi kontaktitiedoista suoraan tunnistettavissa, eikä henkilöille itselleen esitettäisi mobiilisovelluksen tallentamia kontaktitietoja.

Jos sovelluksen käyttöön ottaneella henkilöllä vahvistetaan covid-19-tartunta, hän saisi kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollossa asioidessaan avauskoodin, jonka avulla hän voisi välittää oman pseudonyymisen tunnisteensa taustajärjestelmään. Avauskoodi voisi sisältää tiedon siitä, mistä ajankohdasta lähtien henkilö on voinut levittää tartuntaa. Jos henkilö syöttää saamansa avauskoodin mobiilisovellukseen, pseudonyymiset tunnisteet lähetettäisiin mobiilisovelluksesta viranomaisen ylläpitämään taustajärjestelmään. Taustajärjestelmä tallentaisi tartunnan saaneen henkilön pseudonyymiset tunnisteet ja ylläpitäisi listaa kaikkien tartunnan saaneiden henkilöiden pseudonyymisistä tunnisteista. Kun muiden henkilöiden mobiilisovellukset ottavat yhteyttä taustajärjestelmään, se lähettäisi tartunnan saaneiden henkilöiden pseudonyymiset tunnisteet kunkin käyttäjän puhelimessa olevalle sovellukselle. Puhelimen sovellus vertaisi tartunnan saaneiden pseudonyymisiä tunnisteita puhelimessa oleviin, mobiilisovellusten kohtaamisissa tallennettuihin pseudonyymisiin tunnisteisiin ja päättelisi vertaamisen perusteella, onko altistuminen mahdollisesti tapahtunut. Jos mahdollinen altistuminen on tapahtunut, sovellus ilmoittaisi tästä kyseiselle henkilölle ja antaisi hänelle toimintaohjeet.

Henkilölle ei esitettäisi tartunnan saaneen pseudonyymisiä tunnisteita tai tietoja mahdollisen altistumisen ajankohdasta. Tämän jälkeen tartunnalle mahdollisesti altistunut henkilö voisi itse niin halutessaan jakaa tiedon mahdollisesta altistumisestaan, mahdollisista oireistaan sekä yhteystietonsa (nimi, puhelinnumero, kotikunta ja tarvittaessa tilapäinen asuinpaikka) terveydenhuollon toimivaltaisille viranomaisille. Henkilön ilmoittamat tiedot tallennettaisiin tätä tarkoitusta varten luotuun väliaikaiseen rekisteriin yhteydenottoa varten. Jos henkilöön otettaisiin yhteyttä, terveydenhuollossa tehdään mahdolliset potilasasiakirjamerkinnät, joihin sovelletaan potilaslain säännöksiä.

Kontaktitiedot poistettaisiin mobiililaitteista viimeistään, kun niiden tallentamisesta on kulunut 21 vuorokautta. Tartunnan saaneiden pseudonyymiset tunnisteet poistettaisiin taustajärjestelmästä myös viimeistään 21 vuorokauden kuluessa niiden tallentamisesta. Näitä aikarajoja saattaa olla tarve tarkentaa, jos viruksen käyttäytymisestä saadaan uutta tietoa. Tietoja säilytettäisiin nykyiseen tietoon perustuen ehdotuksen mukaan enintään 21 vuorokautta, mutta niiden poistaminen voitaisiin tehdä aiemminkin. Yleisen tietosuoja-asetuksen mukaisen säilytyksen rajoittamista koskevan periaatteen nojalla tietoja tulee käsitellä ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Jos henkilö poistaisi sovelluksen puhelimeltaan, poistuisivat puhelimessa olevat tiedot samalla.

Suomessa tartunnanjäljitys sekä tartuntatautilain mukaiset eristämis- ja karanteenitoimenpiteet ovat tehokkaita keinoja rajoittaa ja torjua covid-19-epidemian leviämistä. Tartuntatautilain mukaisia toimenpiteitä voitaisiin tukea ehdotetulla tietojärjestelmällä. Lähtökohtana tartuntatautitilanteen hallinnassa on tunnistaa henkilö, joka on sairastunut, ja saada tehokkaan ja nopean tartunnanjäljityksen avulla tietoa tämän lähikontakteista ja mahdollisesti taudille altistuneista. Tietojärjestelmä tehostaisi mahdollisesti altistuneiden henkilöiden tavoittamista entistä aikaisemmassa vaiheessa. Tehokas ja nopea altistuneiden jäljitys on avainasemassa, kun rajoittamistoimenpiteitä halutaan keventää. Jos mobiiliteknologiaa hyödyntävän tietojärjestelmän avulla saadaan tehostettua altistuneiden tavoittamista, on mahdollista kohdentaa taudin leviämistä estäviä toimenpiteitä, kuten terveydenhuollon antamaa ohjeistusta, suoraan heille. Näin ollen tietojärjestelmän käyttöönotto voisi parhaimmillaan vähentää koko väestöön yleisesti kohdistuvien rajoitusten tarvetta.

Ehdotetun tietojärjestelmän avulla voitaisiin tavoittaa virusta tartuttavan henkilön kanssa lähikontaktissa olleet mahdolliset altistuneet ja nopeuttaa heidän tiedonsaantiaan altistuksesta. Tietojärjestelmän avulla olisi mahdollista kartoittaa ja tavoittaa tartunnan saaneen henkilön läheisyydessä riittävän pitkäkestoisesti olleita ja siten mahdollisesti virukselle altistuneita tehokkaammin kuin yksistään tartuntatautilain tartunnan jäljityksen keinoin. Tietojärjestelmän avulla voitaisiin tavoittaa myös sellaiset sovelluksen käyttäjät, joiden läheisyydessä tartunnan saanut henkilö ei muista olleensa tai joita hän ei itse tunne ja jotka muutoin jäisivät tavoittamatta. Jotta tietojärjestelmästä saataisiin hyötyä ja kustannusvaikuttavuutta terveydenhuoltojärjestelmälle, on tärkeää, että resursseja kohdennettaisiin tarkoituksenmukaisesti mahdollisesti altistuneiden tavoittamiseen yhteydenottopyyntöjen perusteella sekä heille tarpeellisiin jatkotoimiin. Toimenpiteiden kohdistamisella tehokkaasti mahdollisesti altistuneille voitaisiin jossain määrin välttää myös tarpeettomia kustannuksia, joita aiheutuisi yleisistä kaikille kohdennettavista toimista tai rajoituksista.

Tartuntatautilääkärien ja terveydenhuollon palvelujärjestelmän toteuttamaa covid-19-epidemian hallintatyötä Suomessa ei tueta tällä hetkellä vielä kansallisilla mobiiliteknologiaa hyödyntävillä ratkaisuilla. Asiantuntijanäkemyksissä on eri yhteyksissä tuotu esiin mahdollisuus, jossa koronavirustautiin sairastuneeksi todetun lähikontakteja voitaisiin kartoittaa ja tavoittaa henkilön käyttöönottaman mobiilisovelluksen avulla. Tällä hetkellä tartuntatautia selvittävän ammattihenkilön yhteydenotot altistuneisiin perustuvat sairastuneen henkilön antamiin tietoihin lähikontakteista ja heidän yhteystiedoistaan. Näin ollen tieto sellaisista altistuneista, joita tartunnan saanut henkilö ei henkilökohtaisesti tunne tai joiden kanssa tapahtunutta kohtaamista tartunnan saanut ei enää jälkikäteen muista, jää saamatta. Mobiilisovelluksen avulla tavoitteena on tavoittaa erityisesti nämä henkilöt mahdollisesti altistuneina.

Jo nykyisin ihminen voi tehdä oirearvion kansallisessa Omaolo.fi-palvelussa ja ohjautua sen kautta ottamaan yhteyttä terveydenhuoltoon. Terveydenhuoltohenkilöstö voi tällöin ohjata hänet testaukseen palvelutarpeen arvioinnin perusteella. Testausprosessi voi käynnistyä myös, kun ihminen tavoitetaan osana tartuntatautilain mukaista altistuneiden jäljitystä. Testauksen tavoitteena on estää taudin leviämistä siten, että covid-19-tartunnan saanut eristetään, suojata riskiryhmiä, turvata kriittisen henkilöstön riittävyys ja terveydenhuollon kantokyky, tukea tartuntaketjujen jäljittämistä sekä tukea epidemian kulun tilannekuvan muodostamista. Näillä tiedoilla on merkitystä, kun arvioidaan erilaisten rajoittamistoimien välttämättömyyttä, oikeasuhtaisuutta ja kestoa. Mobiilisovelluksen käyttöönotolla voidaan arvioida olevan taudin testausta ja siten myös sen toteamista lisäävä vaikutus, minkä kautta saadaan myös tietoa taudin leviämisen tilannekuvasta.

Mobiilisovelluksella voidaan tukea ja tehostaa henkilöiden osallistumista omaehtoiseen epidemian hillitsemiseen. Lähtökohtana sovelluksen käyttöönotolle on luottamus viranomaisvastuuseen pohjautuvaan sovellukseen sekä sen käyttöön liittyvä vapaaehtoisuus. Ehdotetun sovelluksen osalta luottamus perustuisi ensinnäkin siihen, että tietojärjestelmän ja sen sisältämän mobiilisovelluksen tarjoaisi Terveyden ja hyvinvoinnin laitos, joka tartuntatautilain mukaan muutenkin toimii tartuntatautien torjunnan kansallisena asiantuntijalaitoksena. On mahdollista, että markkinoille tulisi muitakin tartuntojen jäljittämiseen soveltuvia järjestelmiä tai ratkaisuja, mutta näihin ei sovellettaisi nyt esitettävää lainsäädäntöä eikä niihin siten kytkeydy esityksessä säädettäväksi ehdotetut viranomaisvastuut. Lisäksi tartunnan saaneen sovellukseen antama aktivointikoodi olisi saatu terveysviranomaisilta, joten sovelluksen kautta ei voisi jakaa tietoa tartunnasta ilman terveydenhuollossa todettua tartuntaa. Esityksen tarkoittaman tietojärjestelmän osalta luottamus perustuisi myös siihen, että tietoa kerätään ja tallennetaan ehdotettujen säännösten mukaisesti vain niin vähän ja niin lyhyen aikaa kuin on tarpeen, eikä tietoa käytetä muihin tarkoituksiin.

Ehdotetun tietojärjestelmän ja siihen sisältyvän mobiilisovelluksen avulla tiedon mahdollisesta altistumisesta saanut saisi omaa toimintaansa tukevaa informaatiota. Sovelluksen avulla voitaisiin välittää mahdollisen altistumistiedon lisäksi toimintaohjeita. Ihminen voisi välttää omaehtoisesti kontaktia muiden kanssa mahdollisimman pian sen jälkeen, kun hän on saanut tiedon mahdollisesta altistuksestaan.

Nykytilanteessa altistuneiden jäljittäminen perustuu tartuntatautilakiin, jonka 22 §:n mukaan tartunnan saaneen tai sairastuneeksi perustellusti epäillyn henkilön on ilmoitettava asiaa selvittävälle lääkärille niiden henkilöiden nimet, jotka ovat voineet olla tartunnan lähteenä tai saada tartunnan. Voimassa olevan tartuntatautilain 60 §:n mukaan virkasuhteinen kunnan tartuntataudeista vastaava lääkäri tai virkasuhteinen sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaava lääkäri voi päättää henkilön karanteenista enintään yhden kuukauden ajaksi. Päätös karanteenista voidaan tehdä henkilölle, jonka on todettu tai perustellusti epäilty altistuneen yleisvaaralliselle tartuntataudille.

Ehdotetun tietojärjestelmän avulla tartuntatautilain mukaisia karanteenipäätöksiä olisi mahdollista tehdä nykyistä tehostetummin, kun henkilön käyttöönottaman mobiilisovelluksen avulla voitaisiin saada tieto nykyistä laajemmasta mahdollisesti altistuneiden joukosta. Lisäksi tieto mahdollisesta altistumisesta saataisiin useissa tapauksissa nykyistä nopeammin. Mobiilisovelluksen käyttöönotto ja käyttö olisi kuitenkin vapaaehtoista, eikä sen käyttäjällä olisi tartuntatautilain 22 §:n mukaista velvollisuutta ilmoittaa sovelluksen avulla saamaansa tietoa mahdollisesta altistumisesta. Pelkkä mobiilisovelluksen avulla saatu tieto mahdollisesta altistumisesta ei myöskään voisi olla tartuntatautilain 60 §:n mukainen perusteltu epäily altistumisesta yleisvaaralliselle tartuntataudille, vaan tällaisesta altistumisesta tulisi olla muutakin näyttöä. Mobiilisovellusta käytettäessä ei voida varmuudella tunnistaa altistumista, koska sovellus ei kykene tunnistamaan kaikkia altistumiseen vaikuttavia vallitsevia olosuhteita.

Vaikka mobiilisovellus otettaisiin käyttöön, tarkoitus olisi jatkossakin toimia tartuntaketjujen jäljitystyössä samoin kuin nykyisin eli jäljitystyötä tekevä ottaa puhelimitse yhteyttä mahdollisesti altistuneeseen henkilöön tai tämän lailliseen edustajaan. Potilaan asemaan ja oikeuksiin sekä potilasasiakirjamerkintöjen tekemiseen sovellettaisiin potilaslain säännöksiä.

Yleinen tietosuoja-asetus ja sen sääntelyliikkumavara

Henkilötietojen käsittelystä säädetään suoraan sovellettavassa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus) sekä sitä täydentävässä kansallisessa yleislaissa eli tietosuojalaissa (1050/2018).

Henkilötiedoilla tarkoitetaan yleisen tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu. Pseudonymisoidut tai muutoin pseudonyymiset tiedot ovat kuitenkin henkilötietoja ja niihin tulee soveltaa tietosuojalainsäädäntöä.

Henkilötietojen käsittelylle on oltava yleisen tietosuoja-asetuksen 6 artiklassa tarkoitettu käsittelyn yleinen oikeusperuste. Tietojärjestelmän yhteydessä tapahtuvan henkilötietojen käsittelyyn parhaiten soveltuva oikeusperuste on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta, jonka mukaan käsittely on sallittua, kun se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittely ei voi kuitenkaan suoraan perustua mainittuun yleisen tietosuoja-asetuksen kohtaan, vaan artiklan 3 kohdan mukaisesti käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Koska asiaa koskevaa lainsäädäntöä ei ole, on mobiilisovelluksen yhteydessä tapahtuvasta henkilötietojen käsittelystä säädettävä erikseen.

Silloin kun käsittely perustuu edellä kuvattuun yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan, tulee jäsenvaltion lainsäädännön täyttää yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden, kuten 6 artiklan 3 kohdassa säädetään. Ehdotettavan mobiilisovelluksen voidaan vallitsevassa covid-19-epidemiatilanteessa katsoa täyttävän yleisen edun mukaisen tavoitteen ja sitä voidaan pitää oikeasuhtaisena sillä tavoiteltuun päämäärään nähden ottaen huomioon tietojärjestelmällä saavutettavat ja esityksessä tarkemmin kuvatut hyödyt. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn oikeusperusteessa voidaan säätää esimerkiksi yleisistä edellytyksistä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyypistä, asianomaisista rekisteröidyistä, tarkoituksista joihin henkilötietoja voidaan luovuttaa, säilytysajoista sekä käsittelytoimista ja -menettelyistä.

Tietojärjestelmän yhteydessä käsiteltäisiin myös terveyttä koskevia tietoja. Niitä pidetään yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettuina erityisiin henkilötietoryhmiin kuuluvina tietoina, joiden käsittely on lähtökohtaisesti kielletty. Tällaisten tietojen käsittely on sallittua vain, jos käsittelylle on asetuksen 6 artiklan 1 kohdan mukaisen yleisen käsittelyperusteen lisäksi jokin 9 artiklan 2 kohdassa tarkoitettu erityinen käsittelyperuste.

Mainitun kohdan mukaisesti terveystietojen käsittely on sallittua sen i alakohdan mukaan, kun se on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajat ylittäviltä terveysuhkilta suojautumiseksi. Tietojärjestelmä yhteydessä tapahtuva terveystietojen käsittely voidaan perustaa tähän yleisen tietosuoja-asetuksen kohtaan. Tällöinkin edellytyksenä on kuitenkin asiaa koskeva lainsäädäntö, jossa tulee lisäksi säätää asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi. Yleisen tietosuoja-asetuksen johdanto-osan 52 perustelukappaleessa mainitaan yhtenä perusteena terveystietojen käsittelylle tartuntatautien ja muiden vakavien terveysuhkien estäminen tai hallitseminen.

Eduskunnan perustuslakivaliokunta on korostanut tarvetta varata henkilötietojen suojaa koskevan erityislainsäädännön säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua yleisen tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana. Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta.

Erityislainsäädännön tarpeellisuutta ja yksityiskohtaisuutta arvioitaessa on myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnitettävä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpana voidaan yksityiskohtaista sääntelyä pitää. Erityisesti arkaluonteisten tietojen käsittelyn salliminen koskee yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. Arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään.

Ottaen huomioon tietojärjestelmällä tavoiteltu laajaan henkilöjoukkoon liittyvä henkilötietojen käsittely, erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittely sekä käsittelyyn muutoinkin kohdistuvat riskit, on tietojärjestelmää ja sen yhteydessä tapahtuvaa henkilötietojen käsittelyä koskevassa sääntelyssä syytä säätää henkilötietojen käsittelystä riittävän yksityiskohtaisesti ja tarkkarajaisesti yleisen tietosuoja-asetuksen mahdollistaman sääntelyliikkumavaran puitteissa. Lisäksi on säädettävä asianmukaisista suojatoimista yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohdan mukaisesti.

Yhteiskunnalliset vaikutukset

Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavalla tietojärjestelmällä on yhteiskunnallisia vaikutuksia. Mobiilisovelluksen käyttöön ottanut henkilö voisi itse osallistua koronaviruksen leviämisen estämiseen. Ihmisellä on lähtökohtaisesti tarve arvioida omia oireitaan ja saada luotettavaa terveysinformaatiota. Hänellä on lisäksi tarve saada tietoa mahdollisesta altistumisestaan, jotta hän voi ryhtyä viiveettä omaehtoisiin, mahdollisen tartunnan leviämistä estäviin toimiin. Ihmiset voisivat siten huolehtia oman terveytensä lisäksi myös lähiympäristönsä terveydestä, kun sovelluksen avulla voisi välittää tietoa myös niille, jotka olisivat mahdollisesti altistuneet virukselle. Tietojärjestelmällä voisi olla myös vaikutuksia terveydenhuollon toimintaan, sillä tartuntojen jäljittämistyö voisi nopeutua, kun mobiilisovelluksen käyttöönottaneet henkilöt ilmoittaisivat mahdollisesta altistumisestaan terveydenhuoltoon.

Taloudelliset vaikutukset

Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavalla tietojärjestelmällä on taloudellisia vaikutuksia. Tietojärjestelmä ja sen sisältämän mobiilisovelluksen ja tarvittavien taustajärjestelmien kehittämisestä ja ylläpidosta aiheutuu kustannuksia. Kustannuksia aiheutuu myös siitä, että väestölle välitetään tietoa mobiilisovelluksen käytön mahdollisuudesta sekä muusta tietojärjestelmän käyttöön liittyvästä viestinnästä. Lisäksi toimintamallimuutokset voivat johtaa tarpeeseen kehittää myös jäljitystoiminnassa käytettäviä muita tietojärjestelmiä. Kolmanteen lisätalousarvioon on esitetty 6 miljoonan euron määräraha kokonaisuuden toteutusta varten. Väestö käyttäisi sovellusta älypuhelimillaan, eikä sovelluksen käytöstä lähtökohtaisesti aiheutuisi lisäkustannuksia.

Mobiilisovelluksella voi olla vaikutuksia tartunnan jäljitystoimintaan. Sovellus voi tehostaa jäljitystä mahdollistamalla altistuneiden tavoittamisen nykyistä laajemmin ja nopeammin. Tällöin voidaan osin välttää niitä mahdolliseen sairastumiseen liittyviä yhteiskunnallisia kustannuksia, joita aiheutuisi sellaisista altistuneista, joita ei nykymenetelmillä tavoiteta. Ehdotetun tietojärjestelmän avulla pystyttäisiin välttämään covid-19-epidemian leviämisen aiheuttamia yhteiskunnallisia kustannuksia, kun tartuntaketjut saataisiin nopeammin katkeamaan. Tällaisia kustannuksia olisivat muun muassa sairastuneiden hoitamiseen sekä karanteenipäätöksiin liittyvät yhteiskunnalliset kustannukset. Nämä kustannukset voivat epidemian mahdollisesti laajentuessa olla potentiaalisesti merkittäviä.

Toisaalta mobiilisovelluksen avulla on tavoitteena tavoittaa nykyistä laajempi joukko mahdollisesti altistuneita, joten yhteydenotot ja heidän tilanteensa selvittäminen sekä mahdolliset karanteenipäätökset aiheuttaisivat jäljitykseen liittyvää lisätyötä ja siten lisäisivät jäljitystoiminnan välittömiä kustannuksia kunnissa ja sairaanhoitopiirien kuntayhtymissä.

Koska ehdotetun tietojärjestelmän avulla ei kerättäisi paikkatietoa eikä sen avulla voitaisi yhdistää tartunnan saanutta henkilöä ja mahdollista altistunutta henkilöä tunnistettavasti toisiinsa, ei järjestelmän avulla kyettäisi tunnistamaan, mitkä altistukset liittyvät ketjuina tai joukkoina toisiinsa. Sen sijaan yhteydenottoa vaativien henkilöiden määrä laajenisi. Tästä aiheutuisi jäljitystyöhön lisävoimavarojen tarvetta ja sitä kautta lisäkustannuksia. Lisäksi kustannuksia aiheutuisi mahdollisesta laajemmasta altistuneiden testauksesta ja karanteenipäätösten tekemisestä. Kustannuksia aiheutuisi myös Kansaneläkelaitoksen myöntämän tartuntatautipäivärahan myöntämisestä mahdollisesti useammalle karanteenipäätöksen saaneelle.

Kunnan velvollisuutena on voimassa olevan tartuntatautilain 9 §:n nojalla järjestää alueellaan tartuntatautien vastustamistyö siten kuin kansanterveyslaissa (66/1972), terveydenhuoltolaissa (1326/2010) ja tartuntatautilaissa säädetään. Kunnat ja sairaanhoitopiirin kuntayhtymät ovat nykyisen tartuntatautilain 23 §:n mukaisesti vastuussa myös epidemian selvittämisestä sekä tartuntatauteihin liittyvästä jäljitystoiminnasta. Mainitun pykälän 1 momentin mukaan kunnan tartuntataudeista vastaava lääkäri selvittää paikallisia epidemioita ja tekee tartunnan jäljitystä. Pykälän 2 momentin mukaan sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaava lääkäri ohjaa sairaanhoitopiirin kuntayhtymän alueella epidemioiden selvitystä ja tartunnan jäljittämistä sekä toteuttaa laajalle levinneen epidemian selvittämistä yhteistyössä kuntien kanssa. Tartuntatautilaissa säädettävät kuntien tehtävät ovat kunnan peruspalvelujen valtionosuudesta annetun lain (1704/2009) 1 §:n mukaisia valtionosuustehtäviä. Esitys ei kuitenkaan sisällä kunnille tai sairaanhoitopiirien kuntayhtymille uusia tehtäviä tai velvoitteita eikä nykyisiä tehtäviä laajenneta. Kunnan tehtävät säilyisivät esityksen johdosta ennallaan.

Kunnan ja sairaanhoitopiirin kuntayhtymän tehtävien näkökulmasta tarkasteltuna mobiiliteknologiaa hyödyntävä tietojärjestelmä tuo kunnille ja sairaanhoitopiirin kuntayhtymille nykyistä tehokkaammin tiedon niistä altistuneista henkilöistä, joiden jäljittäminen, testaaminen sekä tarvittaessa hoitaminen kuuluvat jo nykyisen tartuntatautilain, kansanterveyslain ja terveydenhuoltolain mukaisesti kunnalle sekä sairaanhoitopiirin kuntayhtymälle.

Taloudelliset vaikutukset ovat myös epäsuoria, ja niitä voi muodostua altistuneiden nopeammasta ja laajemmasta tavoittamisesta, kun altistuneille saataisiin nopeammin toimintaohjeet ja mahdolliset testaukset tai karanteenipäätökset, mikä tehostaisi mahdollisuutta estää taudin leviämistä. Jos taudin leviämistä pystytään nykyistä tehokkaammin katkaisemaan, saavutetaan kustannushyötyjä vähäisempinä hoitokustannuksina sekä terveydenhuollon järjestelmän vähäisemmällä kuormittamisella. Lisäksi ehdotettu tietojärjestelmä osaltaan edistäisi mahdollisuutta keventää muita rajoittamistoimenpiteitä. Tämä voisi vähentää myös rajoittamistoimenpiteistä yhteiskunnalle aiheutuvia suoria ja epäsuoria kustannuksia, jotka voivat olla mittavia.

Edellä todettuja taloudellisia kustannuksia sekä kustannushyötyjä on vaikea arvioida tarkasti ja euromääräisesti. Niihin vaikuttavat useat eri tekijät. Esityksen vaikutukset riippuvat ennen kaikkea siitä, kuinka laajasti mobiilisovellus otettaisiin väestön keskuudessa käyttöön. Tähän vaikuttaisi erityisesti väestön keskuudessa koettu luottamus järjestelmän toimivuuteen sekä epidemian sen hetkinen laajuus. Jos epidemian tilanne säilyy rauhallisena, on todennäköistä, että mobiilisovelluksen käyttöönotto on vähäisempää. Mikäli epidemia laajenisi olennaisesti, otettaisiin sovellusta todennäköisesti laajemmin käyttöön. Yksittäisiin käyttöönottopäätöksiin vaikuttaisi todennäköisesti myös taudin leviämiseen liittyvä koettu turvattomuuden tunne.

Sovelluksen käyttöönottavien henkilöiden mahdollista määrää voidaan arvioida jatkossa tarkemmin tietojärjestelmän toteuttamisen ja testauksen yhteydessä. Myös Vaasan sairaanhoitopiirissä käynnissä olleesta covid-19-taudin jäljittämiseen liittyvästä mobiilisovellushankkeesta saatavia tietoja voidaan tässä arvioinnissa hyödyntää.

Kansainvälisestikin tarkasteltuna ehdotettu lähestymistapa tavoittaa tartunnalle altistuneita on uusi, eikä sen vaikutuksista ole juuri kokemuksia. Vastaavan järjestelmän ensimmäisinä käyttöön ottaneet valtiot, kuten Singapore ja Australia, ovat rakentaneet järjestelmänsä ns. keskitetyn mallin pohjalta ja tähän malliin liittyen on esitetty epäilyksiä tietosuojan toteutumisesta. Käyttöönotto ja sen myötä myös tulokset näissä maissa eivät ole vastanneet odotuksia ja tämä on eräs syy siihen, miksi tässä esityksessä ratkaisu pohjautuu niin sanottuun hajautettuun malliin. Hajautetussa mallissa henkilötietojen käsittely on vähäisempää. Ehdotetusta mallista ei ole vielä käyttökokemuksia muista maista.

Terveyden ja hyvinvoinnin laitoksen tulee toteutus ja testausvaiheessa arvioida ehdotetun tietojärjestelmän avulla saatujen altistustietojen käsittelyyn liittyvän kansallisen ohjeistuksen tarvetta kunnille ja kuntayhtymille. Pelkkä tietojärjestelmän avulla saatu tieto mahdollisesta altistumisesta ei kuitenkaan voisi olla tartuntatautilain 60 §:n mukainen perusteltu epäily altistumisesta yleisvaaralliselle tartuntataudille, jonka perustella henkilölle voitaisiin tehdä päätös karanteenista, vaan tällaisesta altistumisesta tulisi olla muutakin näyttöä. Mobiilisovellus ei voi varmuudella tunnistaa sitä, että altistuminen olisi tapahtunut, koska se ei tunnista kaikkia altistumiseen vaikuttavia olosuhteista. Mobiiliteknologiaa hyödyntävän tietojärjestelmän avulla on mahdollista jäljittää nykyistä tehokkaammin sellaisia altistuneita, joita tartunnan saanut ei tunne tai muista tavanneensa. Tällaisia altistuneita voidaan mahdollisesti tavoittaa merkittäväkin määrä riippuen mobiilisovelluksen käyttöönoton laajuudesta, tautitilanteesta sekä sovelluksen teknisistä ominaisuuksista ja sen luotettavuudesta altistuneiden tunnistamisessa. Osa tunnistetuista voi olla sellaisia, joista ei jäljittämisen yhteydessä tehtävien yhteydenottojen perusteella selviä muita altistumiseen tai tartuntaan viittaavaa kuin mobiilisovelluksen avulla saatu tieto. Tällöin tartuntataudeista vastaavalla lääkärillä tai muulla jäljitystyötä tekevällä terveydenhuollon ammattihenkilöllä ei ole lääketieteelliseen arvioon perustuvan päätöksenteon tueksi muuta tietoa kuin se, että käyttäjän mobiilisovellus on antanut tiedon henkilön mahdollisesta altistumisesta. Osalla sovelluksen kautta tiedon saaneista, voi sen sijaan olla muuta mahdolliseen altistumiseen vaikuttavaa tietoa, joka selviää jäljitystyössä. Ohjeilla voi olla vaikutuksia esityksestä aiheutuviin julkisen talouden suoriin ja epäsuoriin kustannuksiin sekä kustannushyötyihin.

Esityksen mukaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskus arvioisi tietojärjestelmän tietoturvallisuuden. Alustavan arvion mukaan tietojärjestelmän tietoturvan arviointi kestäisi noin neljä viikkoa ja sen kustannukset olisivat karkeasti arvioiden 80 000 euroa.

Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valvira) tehtävänä olisi valvoa tietojärjestelmä tietoturvallisuutta. Jo nykyisin Valvira valvoo sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) mukaisia tietoturvaa koskevia vaatimuksia. Nykyiseen valvontaan on varattu yksi henkilötyövuosi. Valviralle tulisi varata lain voimassa olon sekä sitä edeltävän toimeenpanon ajaksi lisäresursseja ehdotetun lain mukaisiin valvontatehtäviin.

Väestöön kohdistuvien vaikutusten arviointi

Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavan mobiilisovelluksen käyttöönotto ja käyttäminen olisi väestölle maksutonta ja vapaaehtoista. Mobiilisovelluksen käyttö vaatii älypuhelimen, jollaista ei ole kaikkien saatavilla. Sovelluksen käyttöönotto voi myös vaatia erityisiä tietoteknisiä valmiuksia. Suomessa matkapuhelin on käytössä 99 prosentilla kotitalouksista ja tietokone tai tabletti 90 prosentilla kotitalouksista. Lähes kaikilla alle 44-vuotiailla on älypuhelin käytössään. 45-65-vuotiaistakin yli 90 prosentilla ja 65-74-vuotiaista 63 prosentilla on älypuhelin. 75-89-vuotiaista vain 27 prosentilla on älypuhelin. Jotta sovelluksesta on väestötasolla hyötyä, on sen oltava riittävän kattavasti väestön käytössä. Jos tavoiteltaisiin käyttäjiksi 60 prosenttia väestöstä, se tarkoittaisi että 3,3 miljoonaa henkilöä lataisi sovelluksen lyhyen ajan sisällä.

Sovelluksen käyttö perustuisi käyttäjän omaan päätöksentekoon ja aktiivisuuteen sovellusta käyttäessään, jolloin on otettava huomioon henkilön mahdollisuus toimia itsenäisesti tai tuetusti sovelluksen käyttäjänä sekä ymmärtää sovelluksen merkitys muun ohella tietosuojan näkökulmasta. Mobiilisovelluksen käytössä on erotettavissa yhtäältä sovelluksen lataaminen sovelluskaupasta ja käyttäminen puhelimessa sekä toisaalta sovelluksen kautta saadun mahdolliseen altistukseen liittyvän tiedon välittäminen terveydenhuoltoon.

Sovelluksen käyttöönotto merkitsee sitä, että käyttäjän henkilötietoja tullaan käsittelemään, jolloin on otettava huomioon tietosuojaa koskeva sääntely sekä eri henkilöryhmien mahdollisuudet ymmärtää, kuinka häntä koskevia henkilötietoja käsitellään. Käyttäjä voi lähettämällä yhteydenottopyynnön sovelluksen avulla luovuttaa terveydenhuollon toimintayksikölle tietojärjestelmän kautta saadun tiedon mahdollisesta altistumisesta, jos hän näin päättää tehdä. Altistumistiedon käsittelyssä terveydenhuollossa sovelletaan potilaslakia.

Sillä, mitä hyötyjä ihmiset kokevat sovelluksen käytöstä saavan sekä miten hyvin ihmisillä on tietoa siihen liittyvästä henkilötietojen käsittelystä, on vaikutusta sovelluksen käyttöönoton laajuuteen. Tähän voidaan olennaisesti vaikuttaa sovelluksen toiminnallisuuteen liittyvällä väestölle suunnatulla informaatiolla. Ehdotetun tietojärjestelmän toteutuksen yhteydessä kyetään viestinnällisin keinoin tukemaan sovelluksen käyttöönoton laajuutta ja siten tehostamaan esityksellä tavoiteltuja hyötyjä.

Perustuslakivaliokunta on valmiuslain toimivaltuuksien nojalla annettua lainsäädäntöä arvioidessaan painottanut erityisesti lasten oikeuksien yleissopimuksen ja vammaisten henkilöiden oikeuksia koskevan yleissopimuksen sekä Euroopan sosiaalisen peruskirjan merkitystä iäkkäiden henkilöiden oikeuksien osalta. Lisäksi valiokunta on korostanut mainitun lainsäädännön soveltamisessa perustuslakiin ja kansainvälisiin ihmisoikeussopimuksiin sisältyviä syrjintäkieltoja (PeVM 4/2020 vp ja PeVM 15/2020 vp). Näillä seikoilla on merkitystä myös tämän esityksen kannalta. Tästä syystä näiden henkilöryhmien osalta vaikutuksia arvioidaan jäljempänä erikseen.

Lapsiin kohdistuvien vaikutusten arviointi

Suomessa monilla lapsilla on älypuhelin ja mobiilisovelluksen lataaminen sovelluskaupasta olisi mahdollista ilman erillistä ikärajaa. Sovelluksen lataamisen yhteydessä tulee olla saatavilla tieto siitä, minkä ikäisille lapsille sovellus sopii. Mobiilisovelluksen käyttöönotossa ei ole kyseessä yleisen tietosuoja-asetuksen 8 artiklan mukainen tietoyhteiskunnan palvelujen tarjoaminen, joten siihen ei sovelleta asetuksen nojalla kansallisesti määritettyä 13 vuoden ikärajaa. Näin ollen alaikäisen henkilön henkilötietojen käsittelyä koskevan suostumuksen antaminen määräytyy muun kansallisen sääntelyn mukaisesti: kun kyseessä on alaikäistä henkilöä koskeva asia, päätösvalta kuuluu hänen huoltajalleen tai huoltajilleen (laki lapsen huollosta ja tapaamisoikeudesta (361/1983) 4 ja 5 §).

Sovelluksen lataamisen yhteydessä on olennaista ottaa huomioon lapsen mahdollisuus ymmärtää, miten hänen henkilötietojaan käsitellään sovelluksen käytön yhteydessä. Lapsella on oikeus yksityisyyteen, eikä hän välttämättä kykene arvioimaan, miten hänen tietojaan sovelluksen käytön yhteydessä ja sen jälkeen käsitellään. Kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä olisikin käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.

Jos sovellusta käyttävä lapsi tai tämän vanhempi päättää ilmoittaa sovelluksen kautta saadun tiedon mahdollisesta altistumisesta terveydenhuoltoon, sovelletaan potilaslakia. Potilaslaissa ei ole määritelty ikärajaa, vaan alaikäisen itsemääräämisoikeus on sidottu hänen ikäänsä ja kehitystasoonsa sekä niiden kautta muodostuvaan kykyynsä päättää hoidostaan. Alaikäistä, joka ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, on potilaslain 7 §:n mukaan hoidettava yhteisymmärryksessä hänen kanssaan. Jos alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa.

Toisaalta on otettava huomioon, että kaikilla lapsilla ei ole käytössään älypuhelinta tai lapsen huoltaja tai huoltajat voivat rajoittaa lapsen mahdollisuutta sovellusten lataamiseen. Saavutettavuus ei näin ollen välttämättä toteudu kaikkien lasten osalta, eikä sovellus saa korvata muita jäljitystoimenpiteitä. Tartuntaketjuja jäljittävä taho ottaa jatkossakin puhelimella yhteyttä mahdollisesti altistuneeseen lapseen tai tämän vanhempiin. Tartuntaketjun jäljittämisestä vastaava lääkäri arvioi lapsen potilaslain 7 §:n mukaista kykyä päättää hoidostaan. Lääkäri voi hoidon aikana päättää potilaslain mukaisesti siitä, onko lapsi kykenevä itse päättämään hoidostaan vai onko päätösoikeus hänen huoltajillaan.

Lähtökohtana mobiilisovelluksen toteutuksessa tulee olla, että sovelluksen toteutus turvaa mahdollisimman täysimääräisesti lapsen oikeudet yksityisyyteen, osallisuuteen, tietojen saantiin sekä parhaaseen mahdolliseen terveydentilaan. Tietojärjestelmä toteutetaan myös lasten tarpeet huomioiden, jotta se tarjoaa lapsillekin mahdollisuuden osallistua koronaviruksen leviämisen estämiseen sekä kanavan saada tietoa nopeasti mahdollisesta altistuksesta. Näin toteutettuna tietojärjestelmä olisi siten omiaan edistämään lapsen oikeuksien toteutumista epidemiatilanteessa.

Sovelluksen käytön tulee olla yksinkertaista, jotta myös lasten olisi mahdollista hyötyä sovelluksesta. Sovellusta ladattaessa informointi tietojen käsittelystä tulisi laatia tarkoituksenmukaisella tavalla myös selkokielellä, eri ikätasot huomioon ottaen. Myös lapsilla on oikeus saada tietoa epidemiasta. Sovelluksen kautta välitettävän tiedon tulee olla lapsen ikätasoa vastaavasti ymmärrettävässä muodossa. Myös sovelluksen kautta saatavat ohjeet siitä, miten toimia altistustiedon tullessa, on tärkeää laatia selkeällä tavalla. Keskeistä on neuvoa alaikäistä toimimaan hänen etunsa ja oikeutensa turvaavalla tavalla mahdollisen altistustiedon sovelluksen kautta saatuaan.

Vaikutukset iäkkäiden ja vammaisten henkilöiden asemaan

Suomessa monilla iäkkäimmillä ihmisillä tai kaikilla vammaisilla henkilöillä ei ole käytössään älypuhelinta. Monilla on älypuhelimen käytössä toisen henkilön tuen tarvetta. Jos sovellus toteutetaan myös iäkkäiden ja vammaisten henkilöiden tarpeet huomioon ottaen, se tarjoaa myös heille mahdollisuuden osallistua koronaviruksen leviämisen estämiseen sekä kanavan saada tietoa nopeasti mahdollisesta altistuksesta.

Kuten edellä todetaan, käytännössä tartuntaketjuja jäljittävä taho ottaa edelleen yhteyttä puhelimitse altistuneeseen henkilöön tai tämän lailliseen edustajaan, eikä mobiilisovellus korvaisi tätä yhteydenottoa. Tartuntaketjun jäljittämisestä vastaava lääkäri arvioi henkilön kykyä päättää hoidostaan potilaslain 6 §:n 2 ja 3 momentin mukaisesti sekä mahdollisesti tarvetta henkilön laillisen edustajan myötävaikutukseen päätöksenteossa. Lääkäri voi myöhemmin hoidon aikana päättää potilaslain mukaisesti siitä, onko henkilö kykenevä itse päättämään hoidostaan.

Osalla iäkkäistä ja osalla vammaisista henkilöistä voi olla merkittäviä vaikeuksia ymmärtää käyttäjän omaan päätöksentekoon ja aktiivisuuteen perustuvan sovelluksen käytön merkitystä. Älylaitteen ja etenkin mobiilisovelluksen tekninen käyttöönotto voi olla heille vaikeaa tai jopa mahdotonta. Nämä henkilöt voivat jäädä kokonaan sovelluksen käyttömahdollisuuden ulkopuolelle. Arvioitaessa tästä seuraavia vaikutuksia ihmisten yhdenvertaisuuteen ja terveyden suojeluun on otettava huomioon muut toimet, joita yli 70-vuotiaisiin sekä muihin niin sanottuihin riskiryhmiin kuuluviin on covid-19-epidemian aikana kohdistettu. Ohjeistuksella, jonka mukaan tulisi välttää lähikontakteja muihin ihmisiin ja pysytellä kotona sekä asumisyksikköjen ja hoitolaitosten vierailukielloilla, on voitu merkittävästi vaikuttaa mainittuihin ryhmiin kuuluvien säästymiseen tartunnoilta.

Sovelluksen käyttöönotossa on otettava huomioon YK:n vammaisten henkilöiden oikeuksia koskevan yleissopimuksen velvoitteet. Niistä keskeisimpiä tässä yhteydessä ovat osallistamisvelvoite (4.3 artikla), kohtuullisen mukauttamisen vaatimus (2 artikla), kaikille sopiva suunnittelu (2 artikla) sekä esteettömyys ja saavutettavuus (9 artikla). Myös sopimuksen 11 artikla, jonka mukaan sopimusvaltiot toteuttavat kaikki tarvittavat toimet varmistaakseen vammaisten henkilöiden suojelun ja turvallisuuden vaaratilanteissa, on otettava huomioon.

Sovelluksen käytön tulee olla yksinkertaista, jotta kaikilla sitä käyttävillä olisi mahdollista hyötyä sovelluksesta. Sovellusta ladattaessa informointi tietojen käsittelystä tulisi laatia selkokielellä, eri väestöryhmät huomioon ottaen. Sovelluksen kautta saatavat ohjeet siitä, miten toimia altistustiedon tullessa, on tärkeää laatia selkeällä ja eri kommunikaatiokeinoilla saavutettavalla tavalla. Kommunikaatiossaan ja myös muutoin apuvälineitä käyttävien henkilöiden mahdollisuudesta käyttää sovellusta sekä saada siitä tietoa on huolehdittava.

Digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 17 §:n 2 momentissa olevan siirtymäsäännöksen perusteella saavutettavuusvaatimuksia sovelletaan mobiilisovelluksiin 23 päivästä kesäkuuta 2021 lukien. Kun otetaan huomioon kehitettävän mobiilisovelluksen merkitys, tulee saavutettavuusvaatimukset ottaa huomioon mobiilisovelluksessa ennen sen käyttöönottoa. Tässä yhteydessä on otettava huomioon, että saavutettavuusvaatimukset voivat tulla pakottavasti toteutettavaksi yhdenvertaisuuslain (1325/2014) 15 §:ssä tarkoitettujen kohtuullisten mukautusten perusteella, jos vammainen henkilö tätä pyytää.

Mobiilisovelluksen käyttöönoton yhteydessä on tärkeää viestiä mobiilisovelluksesta sillä tavoin ymmärrettävästi, että kunkin väestöryhmän tiedonsaantioikeus ymmärrettävällä tavalla täyttyy. Sovelluksen käyttöönotto voi aiheuttaa myös huolta ja ahdistusta tartuntariskin konkretisoituessa sovellusta käytettäessä tai toisaalta tilanteissa, joissa henkilö ei sovellusta pysty käyttämään, vaikka niin haluaisi. Tätä huolta voidaan hälventää sovelluksesta annettavan informaation yhteydessä. On tärkeää viestiä, että mobiilisovellus ei sellaisenaan korvaa perinteistä jäljitystyötä.

Mobiilisovelluksen kattava ja tehokas käyttö voisi osaltaan tehostaa tartuntaketjujen katkaisua sekä jäljitystä ja täten osaltaan vaikuttaa siihen, minkälaisia rajoitustoimenpiteitä erityisesti riskiryhmiin kuuluvien henkilöiden suojaamiseksi on tarpeellista ylläpitää. Mobiilisovelluksen laaja käyttö voisi osaltaan mahdollistaa riskiryhmiin kohdistuvien rajoitustoimenpiteiden purkamista. Näin ollen mobiilisovelluksen käyttö yhteiskunnassa voisi välillisesti parantaa riskiryhmiin kuuluvien henkilöiden toimintavapautta ja siten itsemääräämisoikeuden toteutumista ja sillä voitaisiin osaltaan turvata myös riskiryhmien perusoikeutta elämän ja terveyden ylläpitoon.

Tietosuojavaikutukset

Ehdotetun tietojärjestelmän yhteydessä käsiteltäisiin henkilötietoja ja sillä olisi henkilötietojen suojaan liittyviä vaikutuksia.

Ehdotetun ja edellä tarkemmin kuvatun tartuntaketjujen katkaisemiseen ja tartunnalle mahdollisesti altistuneiden tavoittamiseen tähtäävän viranomaislähtöisen tietojärjestelmän kaltaisia käsittelytilanteita ei ole Suomessa aiemmin ollut esillä. Ottaen huomioon uudentyyppinen käsittely, käsittelyn luonne, sillä tavoiteltu laajuus, asiayhteys ja tarkoitukset, sekä käsiteltävien tietojen tyyppi (erityisesti terveystiedot), voidaan arvioida, että käsittely ehdotetun kaltaisen tietojärjestelmän yhteydessä voi periaatteessa aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta riskejä. On lähtökohtaisesti mahdollista, että käyttäjä voidaan identifioida, jolloin tästä voisi paljastua arkaluonteisia tietoja. Myös henkilötietoihin kohdistuvat muunlaiset tietoturvaloukkaukset ovat mahdollisia. Riskinä voisi olla, että henkilötietoja käytetään myöhemmin tarkoituksiin, joita rekisteröity henkilö ei ole ennakoinut.

Riskien vuoksi niihin puututtaisiin esityksessä useiden toimenpiteiden avulla. Henkilötietojen suojalle aiheutuvia riskejä vähennetään olennaisesti käytön vapaaehtoisuuden ja käyttäjän tiedollista itsemääräämisoikeutta edistävien toimenpiteiden avulla. Ketään ei pakoteta ottamaan mobiilisovellusta käyttöön, vaan sen käyttö perustuu vapaaehtoisuuteen. Henkilö voi koska tahansa poistaa sovelluksen käytöstä. Omien yhteystietojen ilmoittaminen terveydenhuollon toimijoille tapahtuisi niin ikään vapaaehtoisuuden pohjalta henkilön voidessa itse päättää asiasta.

Myöhempään käsittelyyn liittyviä riskejä vähennettäisiin tehokkaasti sillä, että laissa säädettäisiin täsmällisesti henkilötietojen käyttötarkoituksista ja siitä, ettei tietoja voida käyttää muihin tarkoituksiin. Käsiteltäviä henkilötietoja ei säilytettäisi keskitetysti viranomaisen rekisterissä, vaan valtaosa käsiteltävistä tiedoista tallennettaisiin hajautetusti käyttäjien laitteisiin. Käsiteltävien henkilötietojen joukko olisi rajattu vain tarpeellisiin tietoihin ja ne yksilöitäisiin lainsäädännön tasolla. Henkilötietojen enimmäissäilytysaika olisi oletusarvoisesti hyvin lyhyt (21 vuorokautta).

Ottaessaan mobiilisovelluksen käyttöön käyttäjästä ei kerättäisi tai tallennettaisi suoria tunnistetietoja. Jokainen käyttäjä saisi yksilöllisen pseudonyymisen tunnisteen, joka muuttuisi säännöllisesti. Kuten edellä on todettu, myös pseudonyymisiä tunnisteita pidetään henkilötietoina. Tietosuojaan kohdistuvia riskejä madallettaisiin kuitenkin merkittävästi sillä, että suorien tunnistetietojen sijaan käsitellään tehokkaasti pseudonyymisiä tietoja, niin sanottuja pseudonyymisiä tunnisteita, jotka muuttuvat riittävän usein. Lähtökohtaisesti käyttäjän yksilöiminen olisi niiden pohjalta hyvin vaikeaa. Tunnistaminen ei olisi mahdollista yksinomaan pseudonyymisen tunnisteen avulla, vaan tunnistaminen edellyttäisi lähtökohtaisesti ylimääräisiä tietoja.

Tietojärjestelmän tietoturvallisuudesta on huolehdittava lainsäädännön edellyttämällä tavalla. Tietoturvaan liittyviä riskejä, kuten esimerkiksi tietoturvaloukkauksia, vähennettäisiin sillä, että kaikkia henkilötietoja ei säilytettäisi keskitetyssä järjestelmässä. Lisäksi ehdotetaan erikseen säädettäväksi, että tietojärjestelmän tietoturvallisuus arvioidaan ennen sen käyttöönottoa viranomaisten tietojärjestelmistä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti ja että tietoturvallisuusvaatimusten toteutumista valvoo yleisen valvonnan lisäksi myös Valvira.

Käsittelytoimia voidaan pitää vallitsevassa epidemiatilanteessa tarpeellisina. Yhteiskunnassa on tarpeen siirtyä laajamittaisista rajoitustoimista hallitusti aiempaa kohdennetumpiin toimenpiteisiin. Tietojärjestelmä voi osaltaan mahdollistaa tätä siirtymää. Arvioiden mukaan tietojärjestelmä on osana laajempaa strategiaa hyödyllinen väline tartuntaketjujen katkaisemissa, millä on positiivisia vaikutuksia terveydensuojelun näkökulmasta. Kuten edellä on kuvattu, henkilötietoja käsiteltäisiin vain välttämättömässä laajuudessa tietojen minimointiperiaatteen mukaisesti. Mobiilisovellusten käyttö perustuisi vapaaehtoisuuteen. Näin ollen käsittelytoimia voidaan myös pitää niiden tarkoituksen kannalta oikeasuhtaisina tietosuojalainsäädännön edellyttämällä tavalla.

Lisäksi on huomattava, että yleisestä tietosuojasääntelystä itsestään seuraa lukuisia vaatimuksia rekisterinpitäjälle ja henkilötietojen käsittelijälle henkilötietojen käsittelyyn liittyen. Yleisessä tietosuoja-asetuksessa säädetään lisäksi rekisteröidyn oikeuksista, kuten oikeudesta saada tietoja henkilötietojensa käsittelystä, oikeudesta tarkastaa itseään koskevat tiedot sekä oikeudesta poistaa itseään koskevat tiedot. Yleisen tietosuoja-asetuksen henkilötietojen käsittelyä koskevat vaatimukset tulee ottaa järjestelmän kehityksessä ja toiminnassa huomioon. Rekisterinpitäjän on otettava muun muassa huomioon sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset siten kuin yleisessä tietosuoja-asetuksessa säädetään. Huomiota on syytä kiinnittää myös esimerkiksi henkilötietojen käsittelystä annettavan informaation selkeyteen ja ymmärrettävyyteen.

Yleisen tietosuoja-asetuksen 35 artiklassa säädetään velvollisuudesta toteuttaa tietosuojaa koskeva vaikutustenarviointi, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Kuten edellä on kuvattu, ehdotettuun sovellukseen saattaa sisältyä tällaisia riskejä. Myös Euroopan tietosuojaneuvosto (EDPB) on 21.4.2020 antamassaan ohjeistuksessa katsonut, että tietosuojaa koskeva vaikutustenarviointi tulee tehdä ennen tartuntaketjujen jäljittämiseen ja katkaisemiseen tähtäävien mobiilisovellusten käyttöönottoa. Näin ollen rekisterinpitäjän tulisi ennen käsittelyä toteuttaa tarkempi arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle yleisen tietosuoja-asetuksen vaatimusten mukaisesti.

On mahdollista, että markkinoille tulee sovelluksia tai muita ratkaisuja, joiden tarkoituksena olisi tartuntojen seuraaminen. Tällaisten ratkaisujen tukena ei kuitenkaan olisi viranomaistoimintaa, eikä täten myöskään yhteyttä terveydenhuoltoon. Tällaisissa ratkaisuissa ei olisi esimerkiksi mahdollista hyödyntää kaikissa tapauksissa luotettavalla tavalla viranomaisen tuottamaa vahvistettua tietoa tartunnasta. Ratkaisuihin liittyisi siten mahdollisuuksia väärinkäytöksiin esimerkiksi niin, että henkilö ilmoittaa tartunnasta, vaikka tartuntaa ei ole. Mahdolliset muut ratkaisut eivät siten myöskään välttämättä tukisi terveydenhuollon toimintaa, vaan voisivat aiheuttaa tarpeetonta työtä sekä huolta niitä käyttävissä ihmisissä. Myös Euroopan komissio on asiaa koskevassa suosituksessaan tuonut esiin, että sovellusten käyttöönoton olisi ehdottomasti tapahduttava tiiviissä yhteistyössä terveysviranomaisten kanssa.

Vaihtoehto ehdotetulle hajautettuun malliin perustuvalle ratkaisulle olisi keskitetty malli. Se eroaisi hajautetusta mallista siinä, että tartunnan saaneiden henkilöiden kontaktitiedot siirrettäisiin näiden puhelimista taustapalvelimeen, jossa altistuminen voitaisiin havaita. Tämä lisäisi huomattavasti taustajärjestelmässä olevaa tietomäärää ja sillä olisi siten suurempi vaikutus henkilön yksityiselämän ja henkilötietojen suojaan. Monissa keskitetyn mallin käyttöönottaneissa maissa tähän liittyy myös henkilön todellisen identiteetin tallettaminen taustajärjestelmään, mikä merkitsee suurempaa riskiä yksityiselämän ja henkilötietojen suojan kannalta. Tästä syystä monet maat ovat siirtyneet keskitetyn mallin suunnittelusta hajautetun mallin suunnitteluun. Etenemissuunnitelmasta saadussa lausuntopalautteessa useat vastaajista pitivät hajautettua mallia selvästi parempana kuin keskitettyä mallia.

Kansainvälisesti on tunnistettu tarvetta mobiilisovellusten käytölle covid-19-pandemian hallinnassa. Erilaisten mobiilisovellusten käyttö voi tukea tavoiteltuja toiminnallisia tarpeita, kuten altistuneiden jäljittäminen ja tartuntaketjujen katkaiseminen, oireiden itsearviointi ja luotettavan terveysinformaation saaminen, tartunnasta ilmoittaminen henkilölle omaehtoisia rajoittamis- ja muita toimia varten, viranomaistoiminnassa mahdollisuuden toteuttaa tarkoituksenmukaisia rajoittamistoimia ja toteutettujen toimenpiteiden vaikutusten arviointi, ilmoittaa varmistettu tieto immuniteettisuojasta sekä viranomaistiedonvaihto ja tilannekuvan muodostaminen sisältäen rajat ylittävän tiedonvaihdon vaatimukset. Eri maat ovat lähestyneet mobiilisovellusten käyttötarvetta vaihtelevilla lähestymistavoilla.

Vain muutamassa maassa on säädetty mobiilisovellusta hyödyntävän teknologian käyttöä tukevasta lainsäädännöstä. Muun muassa Norjassahttps://lovdata.no/dokument/LTI/forskrift/2020-03-27-475 tartuntatautilakiin tehdyn muutoksen perusteella on annettu asetus, joka säätelee sovelluksen käyttöä ja sen kautta kerättäviä tietoja ja niiden tallennusta ja määrittelee FHI:n vastuuviranomaiseksi. Asetus on voimassa 1.12.2020 saakka. Terveys- ja sosiaaliministeriö voi pidentää määräyksen voimassaoloaikaa (huomioiden tartuntatautilain asettamat rajoitteet). EU-maista henkilöiden paikantamiseen perustuvaa altistuneiden kartoitusta tukevaa lainsäädäntöä on tehty muun muassa Bulgariassa, Kroatiassa, Slovakiassa ja Sloveniassa.https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/649384/EPRS_BRI(2020)649384_EN.pdf EU:n ulkopuolista maista muun muassa Etelä-Koreassa on tehty lakimuutos koskien kansalaisten liikkeiden seurantaa epidemian torjunnassa vuoden 2015 MERS-epidemian jälkeen. Lisäksi muuta velvoittavaa lainsäädäntöä on säädetty puhelinoperaattoreille. Myös muissa EU:n ulkopuolisissa maissa, kuten esimerkiksi Chilessä, lainsäädännön muutostarpeita selvitetään.

Komissio antoi 8.4.2020 suosituksen unionin yhteisestä työkalupakista liittyen mobiilisovellusten ja anonymisoidun liikkuvuusdatan käyttöön covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi. Komission suositus kuvaa unionin yhteisestä välineistöä (työkalupakki, toolboxMobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States) teknologian ja datan hyödyntämiseksi covid-19-kriisissä ja siitä ulospääsemiksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta. Suomen kanta suositukseen on esitetty valtioneuvoston selvityksessä E 44/2020 vp, 24.4.2020. Suosituksen pohjalta komissio ja jäsenvaltiot valmistelivat yhteisen työkalupakin, joka sisältää yhteisesti sovittuja käytännön ohjeita jäsenvaltioille niiden kehittäessä ja ottaessa käyttöön tartuntaketjujen jäljittämistä tukevia mobiilisovelluksia. Ensimmäinen versio työkalupakista julkaistiin 15.4.2020 ja sitä kehitetään edelleen saatujen kokemusten perusteella. Työkalupakkia on täydennetty erityisesti rajat ylittävän yhteentoimivuusmäärittelyiden (IOP) osalta.

Lisäksi komissio julkaisi 16.4.2020 sovellusten tietosuojaa koskevat ohjeet (C(2020) 2523 final), joiden valmistelun yhteydessä kuultiin EDPB:tä. EDPB on antanut oman ohjeistuksensa sovelluksiin liittyvistä tietosuojanäkökohdista 21.4.2020. EU-tason suositukset ja ohjeistukset sekä komission ja jäsenvaltioiden yhteinen välineistö (toolbox) on huomioitu kansallisen lainsäädännön valmistelussa ja sovelluksen kehitystyössä. Suomi pitää EU:n puitteissa tapahtuvaa mobiilisovellusten yhteentoimivuutta edistävää työtä tärkeänä ja aktiivisesti seuraa ja osallistuu siihen. Yhteentoimivuutta koskevien teknisten ja juridisten yksityiskohtien täsmennyttyä voidaan jatkossa erikseen arvioida, millä edellytyksillä Terveyden ja hyvinvoinnin laitos voisi henkilön siitä erikseen niin päättäessä salassapitosäännösten estämättä mahdollisesti luovuttaa tietojärjestelmään tallennettuja tietoja jäsenmaiden mobiilisovelluksen taustajärjestelmistä vastaaville viranomaisille. Tämä edellyttää kuitenkin jatkossa mahdollista erillistä lainvalmistelua ja siihen liittyvää vaikutusarviointia.

Jäsenmaat tulevat raportoimaan suosituksen pohjalta tehtyjä toimenpiteitä vertaisarviointia varten komissiolle. Komissio käynnistää kesäkuussa 2020 arvioinnin siitä, miten jäsenmaat ovat edistyneet asiassa ja minkälainen vaikutus suosituksella on ollut. Komissio voi antaa lisäsuosituksia jäsenvaltioille.

Komission suosituksen mukaan perusoikeuksien, etenkin yksityisyyden suojan ja tietosuojan, sekä valvonnan ja leimautumisen estämisen, tulisi olla koko toimintamallin keskiössä. Tämän vuoksi sovellusten tulisi perustua vapaaehtoisuuteen, niiden tulisi olla kansallisten terveysviranomaisten hyväksymiä, niiden tulisi kunnioittaa yksityisyyttä ja henkilötietojen tulee olla salattu turvallisella tavalla, ja ne tulisi poistaa käytöstä ja niissä olevat tiedot tulisi hävittää välittömästi, kun niitä ei enää tarvita. Useat eurooppalaisetkin lähestymistavat ovat ottaneet kehitystyössään huomioon Singaporen TraceTogether-jäljityssovelluksen, jossa henkilö antaa suostumuksensa lähikontaktitietojen jakamiseen sovelluksella terveysviranomaiselle. Suomen kehitystyön alkuvaiheista lähtien on tarkasteltu erityisesti kansainvälisessä keskustelussa esiin tuotuja keskitetyn ja hajautetun lähestymistavan hyötyjä ja mahdollisia haittoja. Tässä tarkastelussa on Suomen ratkaisun määrittelemiseksi tutustuttu ajantasaisesti EU- ja ETA-maissa kehitettyihin ratkaisuihin, kuten Norjan, Ranskan, Saksan, Sveitsin, Tanskan ja Viron kehittämistyöhön. Islannissa ja Norjassa käyttöön otetut jäljityssovellukset ovat esimerkkejä tavoista, joissa on vahva yhteys terveysviranomaisiin. Norjassa jäljityssovelluksen käyttöönoton yhteydessä on myös muutettu tartuntatautilainsäädäntöä ja annettu uusi asetus. Muista Pohjoismaista Ruotsi ei ole vielä aloittanut oman mobiilisovelluksensa kehittämistä.

Luonnos hallituksen esitykseksi julkaistiin 26.5.2020 sähköisessä lausuntopalvelussa. Lisäksi lausuntopyyntö lähetettiin usealle vastaanottajalle. Vastausaikaa oli 1.6.2020 asti. Kuulemisaika oli lyhyt vallitsevien poikkeusolojen sekä asian kiireellisyyden vuoksi. Lausuntoja saatiin 52 kappaletta. Lausujina olivat sosiaali- ja terveydenhuollon toimijat, valtion viranomaiset, kunnat sekä muut tahot, kuten erilaiset liitot ja järjestöt. Lausuntopyynnössä eri tahoilta kysyttiin esityksen tavoitteista ja vaikutuksista sekä lisäksi yksilöityjä pykälämuutosehdotuksia. Lausujilta toivottiin myös kokonaisnäkemystä esityksestä.

Pääosin esitykseen suhtauduttiin myönteisesti, mutta osa kysymyksistä jakoi vastaajia. Enemmistö vastaajista näki tietojärjestelmän mahdollisuutena tehostaa koronavirusepidemian tartuntaketjujen jäljittämistä ja katkaisua. Lausujat tunnistivat erilaisia epävarmuustekijöitä, joiden vuoksi tietojärjestelmän vaikutuksia tai sen toimintaa oli vaikea arvioida. Lausujat toivoivat erityisesti tarkennusta tietojärjestelmän eri toimijoiden roolijakoon. Tietojärjestelmän menestyksekästä integrointia aikaisempaan jäljitystoimintaan pidettiin tärkeänä. Useat lausunnonantajat kiinnittivät huomiota henkilön mobiilisovelluksesta saaman altistumistiedon suhteeseen tartuntatautilain 60 §:ssä säädettyyn mahdollisuuteen päättää karanteenista. Esitystä on täsmennetty tältä osin. Lausunnonantajat antoivat yksittäisiä pykälämuutosehdotuksia, jotka liittyivät esimerkiksi vastuutahojen tehtävien selventämiseen sekä yksityisyyden suojan ja tietosuojan varmistamiseen. Esityksessä on huomioitu varsin laajasti lausunnonantajien täsmennysehdotuksia säännöksiin sekä tarkistettu lausuntojen perusteella esityksen perusteluja ja vaikutusarviointeja.

Hallituksen esityksen valmisteluasiakirjat ja annetut lausunnot, sekä niistä laadittu lausuntoyhteenveto ovat julkisessa palvelussa osoitteessa https://stm.fi/hanke?tunnus=STM056:00/2020.

4 a luku. Covid-19-tartuntaketjujen katkaisua tehostava tietojärjestelmä koronavirukselle mahdollisesti altistuneiden tavoittamiseksi

43 a §. Terveyden ja hyvinvoinnin laitoksen tehtävät tietojärjestelmän toteuttamisessa

Pykälän 1 momentissa säädettäisiin Terveyden ja hyvinvoinnin laitoksen tehtävistä. Terveyden ja hyvinvoinnin laitokselle annettaisiin uusi tehtävä covid-19-tartuntaketjujen katkaisua tehostavan tietojärjestelmän tarjoamisesta koronavirukselle mahdollisesti altistuneiden tavoittamiseksi. Tietojärjestelmä koostuisi mobiilisovelluksesta ja siihen liittyvästä taustajärjestelmästä Terveyden ja hyvinvoinnin laitoksen tehtävänä olisi tietojärjestelmän tarjoaminen, hyväksyminen ja ylläpito. Terveyden ja hyvinvoinnin laitos tarjoaisi mobiilisovelluksen maksutta ja sen käyttöönotto sekä käyttäminen olisi vapaaehtoista. Ketään ei voitaisi velvoittaa ottamaan sovellusta käyttöön. Mobiilisovelluksen käyttöönottanut henkilö voisi milloin tahansa poistaa mobiilisovelluksen käytöstään. Mobiilisovelluksen käyttäjä päättäisi itse, pitäisikö hän bluetooth-yhteyttä päällä, ilmoittaisiko hän tartunnasta mobiilisovellukseen ja pyytäisikö hän yhteydenottoa terveydenhuollon toimintayksiköstä.

Pykälän 2 momentissa säädettäisiin, että Terveyden ja hyvinvoinnin laitos olisi tietojärjestelmän yhteydessä tapahtuvan henkilötietojen käsittelyn osalta rekisterinpitäjä. Rekisterinpitäjänä Terveyden ja hyvinvoinnin laitos huolehtii rekisterinpitäjälle yleisessä tietosuoja-asetuksessa asetetuista vaatimuksista, kuten esimerkiksi rekisteröityjen asianmukaisesta informoinnista. Tärkeää on, että henkilö saa kattavan, ymmärrettävän ja helposti saatavilla oleva tiedon mobiilisovelluksen toiminnasta sekä siihen liittyvästä henkilötietojen käsittelystä. Erityisesti on kiinnitettävä huomiota lasten ja muiden erityisryhmien informointiin.

Pykälän 3 momentissa säädettäisiin, että Terveyden ja hyvinvoinnin laitos vastaisi järjestelmän toiminnasta ja tietoturvallisuuden hyväksymisestä ja voisi asettaa tarkempia vaatimuksia järjestelmän toiminnasta ja tietoturvallisuudesta. Järjestelmän tietoturvallisuuden hyväksymistä ja tietoturvallisuuden arvioinnin toteuttamista varten annettavilla viranomaisten tietojärjestelmistä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisilla tarkemmilla tietoturvavaatimuksilla täydennettäisiin rekisterinpitäjän yleisen tietosuoja-asetuksen mukaista velvollisuutta toteuttaa asianmukaiset tietoturvatoimenpiteet. Tietoturvallisuuden tekninen ja hallinnollinen arviointi on yleisesti hyvänä pidetty menetelmä tietojärjestelmien riskienhallintaan. Arviointi tukee järjestelmän omistajan tekemää riskiarviota järjestelmän tietoturvallisuudesta. Tietoturvallisuuden arvioiminen toimisi yleisen tietosuoja-asetuksen mukaisena ylimääräisenä suojatoimena ja siitä säädettäisiin ehdotetussa 43 g §:ssä.

Pykälän 4 momentissa säädettäisiin, että Terveyden ja hyvinvoinnin laitoksen tehtävänä olisi huolehtia siitä, että tietojärjestelmä olisi käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi. Kun tietojärjestelmän käyttö lopetetaan, huolehtii Terveyden ja hyvinvoinnin laitos henkilötietojen poistamisesta ja poistaa mobiilisovelluksen sovelluskaupoista.

43 b §. Kansaneläkelaitoksen tehtävät taustajärjestelmän ylläpidossa

Pykälässä säädettäisiin Kansaneläkelaitoksen tehtävistä. Kansaneläkelaitos vastaisi Terveyden ja hyvinvoinnin laitoksen lukuun taustajärjestelmän ylläpidosta Terveyden ja hyvinvoinnin laitoksen määrittelemällä tavalla. Kansaneläkelaitos toimisi henkilötietojen käsittelijänä.

43 c §. Tietojärjestelmän käytön yhteydessä tapahtuva henkilötietojen käsittely

Pykälässä säädettäisiin tietojärjestelmän käytön yhteydessä tapahtuvasta henkilötietojen käsittelystä.

Pykälän 1 momentissa säädettäisiin henkilötietojen käyttötarkoituksesta. Ehdotetun säännöksen mukaan tietojärjestelmän käytön yhteydessä voitaisiin käsitellä henkilötietoja covid-19-tartuntaketjujen katkaisemiseksi ja sovellusta käyttävien sekä tartunnalle mahdollisesti altistuneiden henkilöiden tavoittamiseksi ja informoimiseksi siten kuin ehdotetussa luvussa säädetään. Lisäksi henkilötietoja voitaisiin käsitellä covid-19-epidemian seurannan ja tietojärjestelmän toiminnan arvioinnin kannalta tarpeellisiin tilastollisiin tarkoituksiin. Tilastojen muodostaminen esimerkiksi käyttäjä- ja yhteydenottopyyntöjen määrästä olisi välttämätöntä, jotta voidaan arvioida tietojärjestelmän toimivuutta. Lisäksi tilastoimalla esimerkiksi tietoa siitä, mihin kuntaan altistuneen yhteydenottopyynnöt ovat kohdentuneet, voitaisiin saada tietoa epidemiatilanteesta ja sen kehittymisestä. Tilastointitarkoituksen osalta on huomattava, että tilastollisiin tarkoituksiin tehtävän käsittelyn tuloksena ei ole henkilötietoja vaan yhdistelmätietoja, joista henkilö ei ole enää tunnistettavissa. Anonyymiä tilastotietoa voisi siten hyödyntää esimerkiksi tieteellisessä tutkimuksessa.

Momentissa säädettäisiin, että henkilötietoja saisi käyttää ainoastaan ehdotetun luvun mukaisiin tarkoituksiin. Käyttötarkoitus rajattaisiin näin ollen ainoastaan säännöksessä mainittuihin tarkoituksiin, eikä henkilötietoja saisi myöhemmin käyttää muihin, yhteensopiviinkaan käyttötarkoituksiin. Tietojärjestelmän avulla kerättyjä henkilötietoja ei siten voisi käyttää tai luovuttaa esimerkiksi tieteellistä tutkimusta varten eikä kaupallisiin tai lainvalvonnallisiin tarkoituksiin. Selvyyden vuoksi momentissa säädettäisiin nimenomaisesti kiellosta käyttää tietoja viimeksi mainittuihin tarkoituksiin. Tietoihin ei siten voisi kohdistua esimerkiksi poliisilain (872/2011) 4 luvun 2 §:n mukaista tiedonsaantioikeutta.

Pykälän 2 momentissa ehdotetaan säädettäväksi tietojärjestelmän yhteydessä käsiteltävistä henkilötiedoista. Momentin 1 kohdan mukaan tietojärjestelmän yhteydessä käsiteltäisiin tietoa käyttäjän pseudonyymisistä tunnisteista. Sovelluksen käyttöön ottaessaan käyttäjä ei antaisi sovellukselle suoria tunnistetietojaan, vaan jokaiselle käyttäjälle osoitettaisiin sattumanvarainen pseudonyyminen tunniste. Nämä pseudonyymiset tunnisteet voisivat muuttua esimerkiksi tietyn ajan jälkeen.

Momentin 2 kohdassa säädettäisiin, että tietojärjestelmän yhteydessä käsiteltäisiin myös tietoja käyttäjän kohtaamien toisten käyttäjien pseudonyymisistä tunnisteista eli niin sanotuista kontakteista. Tietojärjestelmän yhteydessä käsiteltäisiin tietoja sellaisista käyttäjän kohtaamista toisten käyttäjien pseudonyymisistä tunnisteista, joiden avulla voitaisiin selvittää tartunnalle mahdollisesti altistuneet käyttäjät. Kohdan mukaan kohtaamisista voitaisiin käsitellä niihin liittyviä tarpeellisia tietoja niiden kestosta, ajankohdasta ja mobiililaitteen bluetooth-signaalin voimakkuudesta. Näiden tietojen perusteella voitaisiin arvioida, onko altistuminen tapahtunut. Esimerkiksi altistumisen edellyttämää kestoa ei kuitenkaan määriteltäisi lain tasolla. Näin määritystä siitä, minkälaista kontaktia koronavirustautia aiheuttavan tartunnan saaminen edellyttää, voitaisiin tehdä kulloinkin käytössä olevan parhaan tietopohjan perusteella. Tietoa altistuksen tapahtumisen kestosta, ajankohdasta tai bluetooth-signaalin voimakkuudesta ei kuitenkaan annettaisi ilmoituksen saaneelle käyttäjälle.

Momentin 3 kohdan mukaan tietojärjestelmän yhteydessä voitaisiin käsitellä tietoa tartunnastaan sovelluksen kautta ilmoittaneen käyttäjän pseudonyymisistä tunnisteesta. Koska tieto käytännössä paljastaisi henkilöllä todetun koronavirustartunnan, olisi kyse terveystiedosta, jota pidetään erityisiin henkilötietoryhmiin kuuluvana tietona. Näin ollen on tarpeen huolehtia, että lainsäädännössä on säädetty asianmukaisista suojatoimista siten kuin yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohdassa edellytetään. Suojatoimena toimisi se, että tiedon käsittely tapahtuisi rekisteröidyn oman vapaaehtoisen ilmoituksen pohjalta. Lisäksi suojatoimina voitaisiin pitää tässä esityksessä ehdotettua tietojärjestelmän tietoturvallisuuden erityistä arviointia sekä ehdotettua tietoturvallisuutta koskevaa erityistä Valviralle osoitettua valvontatehtävää.

Momentin 4 kohdan mukaan tietojärjestelmän yhteydessä voitaisiin käsitellä tietoa mahdollisesta altistumisesta. Tiedolla mahdollisesta altistumisesta tarkoitetaan sovelluksen käyttäjän saamaa tietoa mahdollisesta altistumisesta tartunnalle. Edellytyksenä tiedon lähettämiselle on se, että tartunnan saanut sovelluksen käyttäjä on ilmoittanut vahvistetusta tartunnastaan sovelluksessa. Myös tietoa mahdollisesta altistumisesta voidaan pitää terveyttä koskevana tietona. Sitä koskisivat yleisessä tietosuoja-asetuksessa tarkoitettuina suojatoimina edellä 3 kohdan mukaisten tietojen osalta kuvatut toimet.

Momentin 5 kohdan mukaisesti tietojärjestelmän yhteydessä voitaisiin käsitellä lisäksi käyttäjän yhteydenottopyynnön yhteydessä ilmoittamia tarpeellisia tietoja. Tällaisia tarpeellisia henkilötietoja olisivat henkilön nimi, puhelinnumero, kotikunta ja henkilön ilmoittamat oiretiedot. Lisäksi tarvittaessa voitaisiin ilmoittaa henkilön tilapäinen asuinpaikka. Tieto olisi tarpeen silloin, kun henkilö ei oleskele virallisessa kotikunnassaan. Tietojen antaminen ja ilmoittaminen olisi vapaaehtoista. Kohdassa tarkoitettuja tietoja tulisi pitää terveystietoina, koska yhteydenotosta paljastuisi henkilön mahdollisiin oireisiin ja siten terveydentilaan liittyviä tietoja. Lisäksi yhteydenotto paljastaisi mahdollisen altistumisen koronavirustartunnalle, jota tulisi niin ikään pitää terveyttä koskevana tietona käsittelyn tarkoitus huomioiden. Tietoja koskisivat edellä kuvatut, yleisessä tietosuoja-asetuksessa edellytetyt suojatoimet. Niiden lisäksi suojatoimena toimisi potilaslain 13 §:n 2 momentissa säädetty terveydenhuollossa työskentelevän henkilön salassapitovelvollisuus. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohdassa on suojatoimien osalta mainittu nimenomaisesti salassapitovelvollisuus.

Pykälän 3 momentissa säädettäisiin, että ehdotetun 2 momentin 1, 2 ja 4 kohdassa luetellut tiedot voitaisiin tallentaa käyttäjän mobiililaitteeseen hajautetun ratkaisun mukaisesti. Ehdotetun 2 momentin 3 ja 5 kohdassa luetellut tiedot voitaisiin kuitenkin tallentaa taustajärjestelmään. Tämä olisi välttämätöntä tietojärjestelmän toiminta-ajatuksen kannalta. Näiden tietojen tulisi tallentua taustajärjestelmään, jotta muiden käyttäjien sovellukset voivat tarkistaa, onko tartunnalle altistavaa kohtaamista tapahtunut. Momentissa säädettäisiin nimenomaisesti, että 2 momentin 3 kohdassa tarkoitettuja tietoja voitaisiin käyttää tartunnalle altistuneiden käyttäjien kartoittamiseksi ja 5 kohdassa tarkoitettuja luovutettavaksi kunnan ja sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikölle sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle siten kuin ehdotetussa 43 e §:ssä säädettäisiin. Lisäksi tietoja voitaisiin hyödyntää anonyymien tilastotietojen luomisessa ehdotetun 1 momentin mukaisesti. Taustajärjestelmään tallennettavia henkilötietoja ei siten voisi käyttää muihin tarkoituksiin.

Pykälän 4 momentissa säädettäisiin henkilötietojen säilytysajasta. Ehdotetun 2 momentin 1-5 kohdassa tarkoitetut tiedot olisi ehdotetun säännöksen mukaisesti poistettava ja tuhottava 21 vuorokauden kuluessa niiden tallentumisesta. Ehdotettu enimmäissäilytysaika perustuu tämänhetkiseen epidemiologiseen tietoon koronavirustaudin enimmäisitämisajasta, joka on 14 vuorokautta, sekä siihen, että tiedot on välttämätöntä säilyttää mainitun 14 vuorokauden itämisajan lisäksi seitsemän vuorokautta itämisaikaa pidemmän ajan, jotta mobiilisovelluksen käyttäjällä on riittävä aika hakeutua testattavaksi ja reagoida saamaansa tartuntatietoon. Tiedot tulisi kuitenkin poistaa ja tuhota tätä nopeammin, jos niiden käsittely ei enää ole tarpeellista. Tiedot olisi kuitenkin joka tapauksessa poistettava ja tuhottava viimeistään silloin, kun tietojärjestelmä poistettaisiin ehdotetun 43 a §:n 4 momentin mukaisesti käytöstä. Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 21 §:n 2 momentin mukaan on huolehdittava tietoaineistojen tietoturvallisesta tuhoamisesta. Ehdotetun 2 momentin 5 kohdassa tarkoitettujen tietojen tarkemmasta käsittelystä ja poistamisesta kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikön väliaikaisista rekistereistä säädettäisiin ehdotetussa 43 e §:ssä.

43 d §. Poikkeus 22 §:ssä säädetystä ilmoitusvelvollisuudesta

Pykälässä säädettäisiin, että mobiilisovelluksen käyttäjällä ei olisi tartuntatautilain 22 §:n mukaista velvollisuutta ilmoittaa lääkärille tietojärjestelmän avulla kerättyjä tietoja. Ehdotettavan säännöksen tarkoituksena on selkiyttää lain 22 §:ssä säädetyn ilmoitusvelvollisuuden ja mobiilisovelluksen käytön vapaaehtoisuuden välinen suhde. Tartuntatautilain 22 §:ssä säädetty velvollisuus sairastuneen ja sairastuneeksi epäillyn henkilön ilmoitusvelvollisuudesta asiaa selvittävälle lääkärille tartuntataudin leviämisen estämiseksi ei koskisi ehdotetun tietojärjestelmän kautta saatuja tietoja. Näiden tietojen ilmoittaminen, kuten mobiilisovelluksen käyttö muutoinkin, olisi vapaaehtoista ja perustuisi mobiilisovelluksen käyttäjän omaan päätökseen käyttää sovellusta ja toimittaa siitä saamansa altistumistiedot niin halutessaan kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikköön tai Ålands hälso- och sjukvård -nimiselle viranomaiselle.

43 e §. Tietojärjestelmästä saatujen mahdollista altistumista koskevien tietojen käsitteleminen

Pykälässä säädettäisiin tietojärjestelmästä saadun ja käyttäjän oma-aloitteisesti ilmoittaman mahdollista altistumista koskevan tiedon käsittelystä.

Pykälän 1 momentissa säädettäisiin Terveyden ja hyvinvoinnin laitoksen oikeudesta salassapitosäännösten estämättä luovuttaa kunnan ja sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksiköille sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle sellaiset 43 c §:n 2 momentin 5 kohdassa tarkoitetut tarpeelliset tiedot, jotka henkilö on sovelluksen kautta ilmoittanut, jotta terveydenhuollon toimintayksikkö voi olla yhteydessä mahdollisesti altistuneeseen henkilöön hoidon tarpeen tai muiden covid-19-epidemian torjuntatyön kannalta tarpeellisten toimenpiteiden kuten esimerkiksi mahdollisen karanteenin, arviointia varten. Käytännössä yhteydenotto tapahtuisi puhelimitse. Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 29 kohdan mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat ihmisten tarttuvia tauteja. Tämän johdosta tartuntatautilaki on voimassa myös Ahvenanmaalla. Terveydenhuollon järjestäminen Ahvenanmaalla on itsehallintolain 18 §:n 12 kohdan nojalla kuitenkin maakunnan lainsäädäntövaltaan kuuluva asia. Ahvenanmaalla terveyden- ja sairaanhoitotehtävät on maakuntalailla uskottu maakunnan viranomaisille, eikä siellä sijaitsevilla kunnilla ole tällaisia tehtäviä. Maakunnan terveyden- ja sairaanhoidosta vastaa Ålands hälso- och sjukvård -niminen viranomainen. Jotta Terveyden ja hyvinvoinnin laitoksella olisi laintasoinen toimivaltuus luovuttaa ehdotetussa lainkohdassa tarkoitettuja tietoja myös Ålands hälso- och sjukvård -nimiselle terveydenhuollon toimintayksikölle, tämä viranomaistaho olisi niin ikään mainittava säännöksessä.

Pykälän 2 momentissa säädettäisiin näiden tietojen tallentamisoikeudesta. Sen mukaisesti henkilön yhteydenottopyynnöstä ilmenevät tiedot mahdollisesta altistumisesta voitaisiin tallentaa kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikön perustamaan väliaikaiseen rekisteriin 1 momentissa tarkoitettua yhteydenottoa varten. Väliaikaiseen rekisteriin ei tallennettaisi muita henkilötietoja. Lisäksi momentissa säädettäisiin, että tiedot olisi poistettava ja tuhottava tällaisesta rekisteristä viivytyksettä sen jälkeen, kun ne eivät ole enää välttämättömiä tähän tarkoitukseen. Lähtökohtaisesti tiedon säilyttäminen rekisterissä ei olisi enää tarpeen siinä vaiheessa, kun kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikkö on yhteydenottopyynnön perusteella ollut yhteydessä altistuneeseen henkilöön.

Pykälän 3 momentissa säädettäisiin, että pelkkää mobiilisovelluksesta saatua tietoa mahdollisesta altistumisesta ei voida pitää 60 §:ssä tarkoitettuna perusteltuna epäilynä altistumisesta yleisvaaralliselle tartuntataudille. Altistumisesta pitää olla muutakin näyttöä kuin mobiilisovelluksesta saatu tieto mahdollisesta altistumisesta.

43 f §. Taustajärjestelmän ylläpidon ohjaus

Tartuntatautilain 7 §:n mukaan tartuntatautien torjunnan yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle. Ministeriö vastaa valtakunnallisesta terveydenhuollon häiriötilanteisiin tai niiden uhkaan varautumisesta ja näiden tilanteiden johtamisesta. Pykälässä säädettäisiin taustajärjestelmän ylläpidon ohjauksesta. Sen mukaan sosiaali- ja terveysministeriö ohjaisi ja seuraisi Kansaneläkelaitosta 43 b §:ssä tarkoitetussa tehtävän toimeenpanossa. Kansaneläkelaitoksen asemasta ja valvonnasta säädetään tarkemmin Kansaneläkelaitoksesta annetussa laissa (731/2001). Kyseisen lain 1 §:n perusteella Kansaneläkelaitos on itsenäinen julkisoikeudellinen laitos, jonka valvonta kuuluu eduskunnan valitsemille valtuutetuille. Perustuslain 68 §:n perusteella kukin ministeriö vastaa toimialallaan hallinnon asianmukaisesta toiminnasta. Näin ollen valtioneuvosto voi ohjata lainsäädännön täytäntöönpanoa Kansaneläkelaitoksessa edellyttäen, että ohjauksesta on laissa säädetty ja että Kansaneläkelaitos säilyttää edelleen itsenäisyytensä ja riippumattomuutensa yksittäisten lainsoveltamisratkaisujen tekijänä.

43 g §. Tietojärjestelmän tietoturvallisuuden arvioiminen

Laissa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista säädetään Liikenne- ja viestintäviraston tehtäväksi arvioida viranomaisen pyynnöstä viranomaisen tietojärjestelmiä ja tietoliikennejärjestelyjä. Virasto voi myös pyydettäessä antaa todistuksen tietoturvallisuutta koskevat vaatimukset täyttävästä järjestelmästä. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus voisi oheisen lain nojalla arvioida viranomaisen tilaamaan mobiiliratkaisun tietoturvallisuutta. Tietoturvallisuuden arvioimisessa Kyberturvallisuuskeskus voisi hyödyntää tarkempia Terveyden ja hyvinvoinnin laitoksen tietojärjestelmälle asettamia tietoturvavaatimuksia sekä arviointityössä yleisesti käytettyjä tietoturvavaatimuksia. Terveyden ja hyvinvoinnin laitos voisi hyödyntää tietoturvallisuudesta tehtyä arviota tietojärjestelmän ja sen tietoturvallisuuden hyväksymisessä. Tietoturvallisuuden arvioimisesta säätäminen ei vaikuttaisi rekisterinpitäjän yleisen tietosuoja-asetuksen mukaiseen velvollisuuteen toteuttaa asianmukaiset tietoturvatoimenpiteet tai tähän liittyvään rekisterinpitäjän vastuuseen. Tietoturvallisuuden arvioiminen toimisi yleisen tietosuoja-asetuksen mukaisena ylimääräisenä suojatoimena.

43 h §. Valvonta

Pykälässä säädettäisiin Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valvira) valvontatehtävästä, joka koskee tietojärjestelmän tietoturvallisuutta. Valviran tehtävänä olisi valvoa tietojärjestelmän tietoturvallisuutta. Valvirassa on kokemusta ja osaamista sosiaali- ja terveysalan tietojärjestelmien valvonnasta.

Tietojärjestelmän yhteydessä tapahtuvaa henkilötietojen käsittelyä valvoo tietosuojavaltuutettu. Tietosuojalain 8 §:n mukaisesti yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena toimii Suomessa tietosuojavaltuutettu. Yleisessä tietosuoja-asetuksessa säädetään valvontaviranomaisen tehtävistä ja valtuuksista, eikä Valviran valvontatehtävä rajoittaisi tietosuojavaltuutetun valvontatehtäviä.

Tämä laki on tarkoitettu tulemaan voimaan 31.8.2020 ja olemaan voimassa 31.3.2021 asti.

Lain olisi tarkoitus tulla voimaan siten, että tietojärjestelmää voitaisiin hyödyntää covid-19-tartuntaketjujen katkaisemisessa. Kuitenkin voimaantulossa on otettava huomioon järjestelmän tekninen kehitystyö, joka ei ole valmis välittömästi. Tietojärjestelmän arvioidaan olevan tarpeellinen, kun varaudutaan epidemian kehittymiseen vakavammaksi syksyllä ja talvella. Covid-19-epidemian kehittymistä ja päättymisajankohtaa on vaikea ennalta arvioida. Tietojärjestelmä olisi kuitenkin ehdotuksen mukaan käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi.

Esityksen tarkoituksena on tarjota kansalaisille vapaaehtoisuuteen perustuva mobiilisovellus, jonka avulla tehostettaisiin covid-19-tartuntaketjujen katkaisemista tavoittamalla koronavirukselle mahdollisesti altistuneita. Tarkoituksena on, että epidemian etenemistä voitaisiin hallita kansalaisten vapaaehtoisilla toimilla ja tavanomaisen lainsäädännön antamien toimivaltuuksien puitteissa, eikä tulisi tarvetta ottaa käyttöön valmiuslain mukaisia, perusoikeuksiin syvemmin puuttuvia rajoitustoimia. Epidemian tehokas hallinta on välttämätöntä ihmisten elämän, terveyden ja huolenpidon suojelemiseksi sekä sosiaali- ja terveydenhuoltojärjestelmän ylikuormitustilanteiden estämiseksi. Perustuslakivaliokunnan mukaan terveydenhuoltojärjestelmän toimintakyvyn säilyttäminen pandemian aikana on perusoikeusjärjestelmän näkökulmasta erittäin painava peruste, jolla on yhteys perustuslain 7 §:n 1 momentin julkisen vallan velvollisuuteen turvata jokaisen oikeus elämään sekä turvata myös pandemian oloissa jokaiselle riittävät terveyspalvelut sekä edistää väestön terveyttä (perustuslain 19 §:n 3 momentti) ja joka oikeuttaa poikkeuksellisen pitkälle meneviä, myös ihmisten perusoikeuksiin puuttuvia viranomaistoimia (PeVM 2/2020 vp).

Lakiehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta.

Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. Artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.

Perustuslakivaliokunnan mukaan yleisen tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan yleisen tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole yleisen tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla (PeVL 14/2018 vp, s. 4). Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Erityislainsäädännön tarpeellisuutta on arvioitava myös yleisen tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (PeVL 14/2018 vp, s. 5).

Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (PeVL 14/2018 vp, s. 6 ja PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I).

Perustuslakivaliokunta on myös todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita unionin lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä jaksossa ”Yleinen tietosuoja-asetus ja sen sääntelyliikkumavara”. Kuten mainitussa jaksossa on todettu, liikkumavara ehdotetulle sääntelylle voidaan johtaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdasta ja 9 artiklan 2 kohdan i alakohdasta, jonka mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä voidaan säätää, kun se on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi, ja kun samalla säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi.

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Perustuslakivaliokunnan mukaan yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II).

Ehdotuksen mukaisella mobiilisovelluksella tallennettaisiin muiden lähistöllä olevien käyttäjien pseudonyymejä tunnisteita. Tallentaminen koskisi vain niitä henkilöitä, jotka ovat ottaneet tarjotun mobiilisovelluksen käyttöön. Pseudonyymisestä tunnisteesta itsessään ei ilmenisi käyttäjän henkilöllisyys, eikä tunnistetta pääsääntöisesti voisi yhdistää henkilöön ilman kohtuuttomia toimenpiteitä. Koska yksittäisissä poikkeustilanteissa pseudonyyminen tunniste voi olla yhdistettävissä henkilöön, on niitä pidettävä henkilötietoina. Asian valtiosääntöoikeudellisen arvioinnin kannalta olennaista kuitenkin on, että pseudonymisiin tunnisteisiin perustuvaan ratkaisuun liittyy merkittävästi pienempiä perusoikeusriskejä kuin sellaiseen ratkaisuun, jossa henkilö on tunnistettavissa suoraan.

Sovelluksen käyttöönotto tapahtuisi käyttäjän omasta aloitteesta. Tietojen siirtäminen viranomaisen ylläpitämään taustajärjestelmään edellyttäisi lisäksi käyttäjän nimenomaista hyväksyntää. Perustuslakivaliokunta on katsonut perusoikeusrajoituksen kohteeksi joutuvan henkilön suostumuksella voivan sinänsä olla merkitystä valtiosääntöoikeudellisessa arvioinnissa. Valiokunta on kuitenkin käytännössään pitänyt tällaista sääntelytapaa ongelmallisena ja korostanut suurta pidättyväisyyttä suostumuksen käyttämisessä perusoikeuksiin puuttumisen oikeutusperusteena. Valiokunta on pitänyt oleellisena sitä, mitä voidaan pitää oikeudellisesti relevanttina suostumuksena tietyssä tilanteessa, ja edellyttänyt suostumuksenvaraisesti perusoikeussuojaan puuttuvalta lailta muun muassa tarkkuutta ja täsmällisyyttä, säännöksiä suostumuksen antamisen ja sen peruuttamisen tavasta, suostumuksen aitouden ja vapaaseen tahtoon perustuvuuden varmistamista sekä sääntelyn välttämättömyyttä (PeVL 19/2000 vp, s. 3/II, PeVL 27/1998 vp, s. 2/II sekä PeVL 19/2000 vp, s. 3/II). Valiokunta on katsonut, että sääntely lakiin perustuvasta oikeudesta arkaluonteisten henkilötietojen käsittelyyn suostumuksen peruuttamisen jälkeen on merkityksellistä yksilön itsemääräämisoikeuden kannalta (ks. PeVL 48/2014 vp, s. 2/II).

Perustuslakivaliokunnan mukaan epätasapainoisessa tilanteessa kuten terveydenhuollon asiakaspalvelutilanteessa annettava suostumus ei välttämättä ole valiokunnan käytännössä edellytetysti aidosti vapaaehtoinen, eikä tällaisessa tilanteessa asiakkaalla ole välttämättä tosiasiallisia mahdollisuuksia harkita suostumuksen merkitystä. Valiokunta on lisäksi kiinnittänyt tämänkaltaisissa sääntely-yhteyksissä huomiota siihen, että suostumuksen on perustuttava riittävään tietoon (ks. esim. PeVL 10/2012 vp, s. 3/I). Valiokunnan mielestä myös tämän vaatimuksen täyttyminen on epätodennäköistä, mikäli suostumus annettaisiin esimerkiksi potilaan hoidon yhteydessä (PeVL 1/2018 vp).

Kuten edellä esityksen perusteluissa on tarkemmin kuvattu, henkilötietojen käsittely perustuisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan ja erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan i alakohtaan. Henkilön antama hyväksyntä tietojen siirtämiseen täydentäisi tätä oikeusperustaa henkilötietojen käsittelyn suojatoimena. Käyttäjä tekisi päätöksen sovelluksen käyttöönotosta, tartuntatiedon ilmoittamisesta ja yhteydenottopyynnön lähettämisestä oma-aloitteisesti ja vapaasti. Käyttäjä ei tekisi päätöstä asiakaspalvelutilanteessa eikä terveydenhuollon edustajan läsnäollessa, vaan itse valitsemanaan ajankohtana. Terveyden ja hyvinvoinnin laitoksella on rekisterinpitäjänä velvollisuus informoida käyttäjää sovelluksessa tapahtuvasta henkilötietojen käsittelystä. Käyttäjä voisi poistaa sovelluksen mobiililaitteestaan milloin vain, jolloin sovellukseen tallennetut tiedot poistuisivat. Käyttäjä siirtäisi sovelluksella viranomaiselle itseään koskevia tietoja tarkoituksena suojata itseään ja muita covid-19-tartunnalta. Järjestely toteuttaa siten käyttäjän tiedollista itsemääräämisoikeutta eikä ole samalla tavalla ongelmallinen kuin sellainen järjestely, jossa viranomaisella jo olevia tietoja käytetään toiseen käyttötarkoitukseen suostumuksen perusteella (vrt. PeVL 1/2018 vp).

Kerättäviä tietoja säilytettäisiin lähtökohtaisesti käyttäjän matkapuhelimessa. Säilytys kestäisi enintään 21 vuorokautta. Säilytysaika perustuu tämänhetkiseen epidemiologiseen tietoon koronavirustaudin enimmäisitämisajasta, joka on 14 vuorokautta, sekä siihen, että tiedot on välttämätöntä säilyttää mainitun 14 vuorokauden itämisajan lisäksi seitsemän vuorokautta itämisaikaa pidemmän ajan, jotta mobiilisovelluksen käyttäjällä on riittävä aika reagoida saamaansa tietoon. Koronavirustartunnan saanut henkilö voisi vapaaehtoisesti antaa sovellukselle luvan siirtää terveysviranomaisen palvelimelle tiedon käytössään olevasta pseudonyymistä tunnisteesta, jolloin sovelluksen asentaneet, tartunnan saaneen läheisyydessä oleskelleet henkilöt voisivat saada ilmoituksen mahdollisesta altistumisesta koronavirustartunnalle. Tartunnan saanut henkilö ei olisi suoraan tunnistettavissa ilmoituksesta. Tiedon mahdollisesta altistumisesta saanut käyttäjä voisi niin halutessaan lähettää terveydenhuoltoviranomaiselle yhteydenottopyynnön, joka tallentuisi kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikön perustamaan väliaikaiseen rekisteriin. Koska näistä viranomaiselle lähetetyistä tiedoista on pääteltävissä, että henkilö on mahdollisesti altistunut virukselle ja lisäksi ne saattavat sisältää tietoja henkilön oireista, ovat tiedot yleisessä tietosuoja-asetuksessa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia terveystietoja, joita voidaan pitää perustuslakivaliokunnan tulkintakäytännössä tarkoitettuina arkaluonteisina henkilötietoina. Lakiehdotuksessa on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin kuuluviin terveystietoihin.

Perustuslakivaliokunta on arvioidessaan terveydenhuoltolain mukaisia potilastietorekistereitä korostanut, että potilastietorekisterin kaltaisen arkaluonteisia tietoja sisältävän rekisterin ollessa kyseessä on erityisen tärkeää varmistua siitä, että väärinkäytön estävät tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun järjestelmä otetaan käyttöön (PeVL 41/2010 vp, s. 3/II). Laajaan arkaluonteisia tietoja sisältävään tietokantaan kohdistuvasta tietomurrosta, tietovuodosta tai väärinkäytöstä voi seurata hyvin merkittävä perusoikeusloukkaus (PeVL 15/2018 vp).

Esityksessä tarkoitetun järjestelmän henkilötietojen käsittely on suunniteltu yleisen tietosuoja-asetuksen 25 artiklassa tarkoitettuja sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita noudattaen muun muassa siten, että käsiteltävät tiedot ovat lähtökohtaisesti pseudonyymisiä ja niiden käsittely ja siirtäminen on minimoitu. Lakiehdotus sisältää velvoittavan säännöksen, jonka mukaan ehdotetun tietojärjestelmän tietoturvallisuus olisi ennen sen käyttöönottoa arvioitava viranomaisten tietojärjestelmistä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaisesti ja lisäksi Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä olisi valvoa sitä, että tietojärjestelmä täyttää tietoturvallisuutta koskevat vaatimukset.

Tietojen käyttötarkoitus olisi säädösperusteisesti rajattu, eikä niitä saisi käyttää toissijaisiin käyttötarkoituksiin, kuten lainvalvontatarkoituksiin.

Perusoikeuksien kannalta olennainen kysymys on, voisiko sovelluksen kautta saatu tieto mahdollisesta altistumisesta yksinään saada aikaan tartuntatautilain 60 §:n mukaisen karanteenipäätöksen. Perustuslakivaliokunta on arvioinut, että karanteeniin määrääminen merkitsee puuttumista ainakin perustuslain 7 §:n 1 momentin mukaiseen henkilökohtaiseen vapauteen (PeVL 26/2006 vp, s. 3/I). Perustuslakivaliokunta on lisäksi katsonut, että karanteeniin määräämisessä on kysymys perustuslain 7 §:n 3 momentissa ja Euroopan ihmisoikeussopimuksen 5 artiklassa tarkoitetusta vapaudenriistosta, mikä tarkoittaa hyvin pitkälle menevää puuttumista yksilön henkilökohtaiseen vapauteen (PeVL 11/2016 vp, s. 5).

Pelkkää käyttäjän sovelluksesta saamaa ilmoitusta mahdollisesta altistumisesta tai käyttäjän yhteydenottopyynnön yhteydessä terveysviranomaiselle luovuttamaa tietoa altistumisilmoituksesta ei voitaisi ehdotuksen mukaan käyttää karanteenipäätöksen perusteena. Kuten esityksessä on edellä tarkemmin kuvattu, tällaisen tiedon ei yksinään voida katsoa täyttävän tartuntatautilain 60 §:n mukaista edellytystä perustellusti epäillystä altistuksesta.

Ehdotuksen mukaan laki olisi voimassa määräaikaisesti. Mobiilisovellus ja siihen liittyvä taustajärjestelmä olisivat käytössä vain käynnissä olevan koronavirusepidemian ajan ja tallennetut tiedot tulisi poistaa viivytyksettä, kun järjestelmän käytöstä luovutaan. Perustuslaista seuraa, että valtioneuvoston tulisi tällöin myös tarvittaessa ryhtyä valmistelutoimenpiteisiin lain kumoamiseksi, mikäli sen voimassa pitäminen ei enää täytä perusoikeuksien yleisiin rajoitusedellytyksiin kuuluvien välttämättömyys- ja oikeasuhtaisuusedellytysten vaatimuksia tai perustuslain 10 §:stä ja yleisestä tietosuoja-asetuksesta johtuvia erityisiä vaatimuksia.

Edellä kuvatuilla perusoikeusrajoituksilla voidaan katsoa olevan hyväksyttävä, vahvasti perustuslain 7 §:n 1 momenttiin ja 19 §:n 3 momenttiin kiinnittyvä tavoite. Lisäksi kun otetaan huomioon tietojen käsittelyn lähtökohtana oleva pseudonyymisten tietojen käsittely, henkilötietojen käsittelyn minimointi, tietojen lyhyt säilytysaika, tietojen luovutuksen perustuminen henkilön omaan tahdonilmaisuun, tietoturvan varmistamiseksi tehdyt järjestelyt ja ehdotetun lain määräaikaisuus, ehdotettuja rajoituksia voidaan pitää perusoikeusrajoitusten oikeasuhtaisuusvaatimuksen mukaisina.

Perustuslain 6 §:n 1 momentin mukaan ihmiset ovat yhdenvertaisia lain edessä. Säännös ilmaisee paitsi vaatimuksen oikeudellisesta yhdenvertaisuudesta myös ajatuksen tosiasiallisesta tasa-arvosta. Siihen sisältyy mielivallan kielto ja vaatimus samanlaisesta kohtelusta samanlaisissa tapauksissa. Yleistä yhdenvertaisuussäännöstä täydentää perustuslain 6 §:n 2 momentin sisältämä syrjintäkielto, jonka mukaan ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan säännöksessä lueteltujen erotteluperusteiden tai muun henkilöön liittyvän syyn perusteella. Tällainen muu syy voi olla esimerkiksi asuinpaikka (ks. HE 309/1993 vp, s. 42—44; ks. esim. PeVL 15/2018 vp, s. 6—7, PeVL 26/2017 vp, s. 36—41 ja 44—45 ja PeVL 67/2014 vp, s. 3). Perustuslain 6 §:n ja 19 §:n 3 momentin kokonaisuus edellyttää, että julkisen vallan on turvattava lailla yhdenvertaisella tavalla jokaiselle oikeus riittäviin sosiaali- ja terveyspalveluihin. Palvelujen riittävyyden arvioimisessa lähtökohtana on sellainen palvelujen taso, joka luo "jokaiselle ihmiselle edellytykset toimia yhteiskunnan täysivaltaisena jäsenenä" (ks. HE 309/1993 vp, s. 71/II). Viittaus jokaiseen terveyspalveluihin oikeutettuna edellyttää "viime kädessä yksilökohtaista arviointia palvelujen riittävyydestä" (PeVL 15/2018 vp, s. 6; PeVL 30/2013 vp, s. 3/I).

Esityksessä tarkoitettu mobiilisovellus olisi kenen tahansa asennettavissa vapaaehtoisesti. Mobiilisovelluksella henkilö voisi saada tietoa mahdollisesta altistumisestaan sekä toimintaohjeita. Vastaavaa ohjeistusta on kuitenkin saatavilla muillakin tavoilla. Mobiilisovelluksen käyttäminen ei vaikuttaisi henkilön oikeuteen tulla testatuksi covid-19-tartunnan varalta tai saada hoitoa sairauteen.

Kuten muualla esityksessä on kuvattu, kansalaisilla on mobiililaitteita hyvin laajasti käytössään. Osalla väestöstä ei ole kuitenkaan käytössä älypuhelinta, ja merkittävästi vähemmän älypuhelimia on yleensä alle kouluikäisillä lapsilla, ikäihmisillä ja vammaisilla henkilöillä. Sovelluksen asentaisi todennäköisesti se osa väestöä, jolla on myös paljon ihmiskontakteja esimerkiksi työssäkäynnin vuoksi ja joiden käytössä sovellus on erityisen hyödyllinen. Sovelluksen välittömät yksilötason hyödyt koituisivat vain sovelluksen käyttöön ottaneille henkilöille. Sovelluksen käyttämisen voidaan kuitenkin arvioida välillisesti hyödyttävän myös niitä, jotka eivät ota sovellusta käyttöön. Sovelluksen tarjoamiselle ei ole olemassa yhdenvertaisuuden paremmin turvaavaa vaihtoehtoista tapaa seurata koronavirukselle altistumista.

Edelleen voidaan kiinnittää huomiota siihen, että nykytiedon mukaan lapsilla koronavirustauti on lähes poikkeuksetta lievä ja lapset tartuttavat virusta eteenpäin vähemmän kuin aikuiset. Sosiaalihuollon palveluissa on tehty ikäihmisten ja vammaisten osalta erityisiä suojaamistoimia. Lisäksi yli 70-vuotiaita on ohjeistettu erityisesti välttämään ihmiskontakteja. Sovelluksen tarjoaminen ei siten vaaranna jokaisen oikeutta saada perustuslain 19 §:n 3 momentin mukaisia riittäviä terveyspalveluja oman tarpeensa mukaisesti.

Edellä mainituilla perusteilla lakiehdotus voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.

Ponsi

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Eduskunnan päätöksen mukaisesti

lisätään tartuntatautilakiin (1227/2016) väliaikaisesti uusi 4 a luku seuraavasti:

4 a luku

Covid-19-tartuntaketjujen katkaisua tehostava tietojärjestelmä koronavirukselle mahdollisesti altistuneiden tavoittamiseksi

43 a §
Terveyden ja hyvinvoinnin laitoksen tehtävät tietojärjestelmän toteuttamisessa

Terveyden ja hyvinvoinnin laitos tarjoaa ja hyväksyy mobiilisovelluksesta ja siihen liittyvästä taustajärjestelmästä koostuvan tietojärjestelmän koronavirukselle mahdollisesti altistuneiden tavoittamiseksi ja ylläpitää sitä. Mobiilisovellus on käyttäjälleen maksuton ja sen käyttö on vapaaehtoista.

Terveyden ja hyvinvoinnin laitos toimii tietojärjestelmän yhteydessä tapahtuvan henkilötietojen käsittelyn osalta rekisterinpitäjänä.

Terveyden ja hyvinvoinnin laitos vastaa tietojärjestelmän toiminnasta sekä tietoturvallisuuden hyväksymisestä ja voi asettaa tietojärjestelmälle tarkempia toiminnallisia ja teknisiä vaatimuksia sekä tietoturvavaatimuksia.

Terveyden ja hyvinvoinnin laitoksen on huolehdittava, että tietojärjestelmä on käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi.

43 b §
Kansaneläkelaitoksen tehtävät taustajärjestelmän ylläpidossa

Kansaneläkelaitos vastaa Terveyden ja hyvinvoinnin laitoksen lukuun taustajärjestelmän ylläpidosta Terveyden ja hyvinvoinnin laitoksen määrittelemällä tavalla.

43 c §
Tietojärjestelmän käytön yhteydessä tapahtuva henkilötietojen käsittely

Tietojärjestelmän käytön yhteydessä saadaan henkilötietoja käsitellä covid-19-tartuntaketjujen katkaisemiseksi ja sovellusta käyttävien sekä tartunnalle mahdollisesti altistuneiden henkilöiden tavoittamiseksi ja informoimiseksi sekä covid-19-epidemian seurannan ja tietojärjestelmän toiminnan arvioinnin kannalta tarpeellisiin tilastollisiin tarkoituksiin tässä luvussa säädetyllä tavalla. Henkilötietoja saa käyttää ainoastaan tämän luvun mukaisiin tarkoituksiin, eikä niitä saa käyttää poliisitutkinnassa, esitutkinnassa, oikeudenkäynnissä tai muussa lainvalvontaan liittyvässä tarkoituksessa.

Tietojärjestelmän käytön yhteydessä saadaan käsitellä seuraavia henkilötietoja:

1) käyttäjän pseudonyymiset tunnisteet;

2) käyttäjän kohtaamien toisten käyttäjien pseudonyymiset tunnisteet ja näihin kohtaamisiin liittyvät tarpeelliset tiedot niiden kestosta ja ajankohdasta sekä mobiililaitteen bluetooth-signaalin voimakkuudesta;

3) tartunnastaan ilmoittaneen käyttäjän pseudonyymiset tunnisteet;

4) käyttäjän saama tieto mahdollisesta altistumisestaan;

5) käyttäjän 43 e §:n 1 momentissa tarkoitetun yhteydenottopyynnön yhteydessä ilmoittamat nimi, puhelinnumero, kotikunta ja tarvittaessa tilapäinen asuinpaikka ja oiretiedot.

Edellä 2 momentin 1, 2 ja 4 kohdassa tarkoitetut tiedot saadaan tallentaa käyttäjän mobiililaitteeseen. Taustajärjestelmään saadaan tallentaa 2 momentin 3 kohdassa tarkoitetut tiedot mahdollisesti tartunnalle altistuneiden mobiilisovelluksen käyttäjien tavoittamiseksi ja 5 kohdassa mainitut tiedot luovutettaviksi kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikölle sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle siten kuin 43 e §:ssä säädetään.

Edellä 2 momentin 1-5 kohdassa tarkoitetut tiedot on poistettava ja tuhottava 21 vuorokauden kuluessa niiden tallentumisesta. Tiedot on kuitenkin poistettava ja tuhottava viimeistään, kun tietojärjestelmä poistetaan 43 a §:n 4 momentin mukaisesti käytöstä.

43 d §
Poikkeus 22 §:ssä säädetystä ilmoitusvelvollisuudesta

Poiketen siitä, mitä 22 §:ssä säädetään, tässä luvussa tarkoitetun mobiilisovelluksen käyttäjän ei tarvitse ilmoittaa tietojärjestelmän avulla saamiaan tietoja lääkärille.

43 e §
Tietojärjestelmästä saatujen mahdollista altistumista koskevien tietojen käsitteleminen

Terveyden ja hyvinvoinnin laitoksella on salassapitosäännösten estämättä oikeus luovuttaa kunnan ja sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksiköille sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle 43 c §:n 2 momentin 5 kohdassa tarkoitetut tarpeelliset tiedot, jotta terveydenhuollon toimintayksikkö voi ottaa yhteyttä mahdollisesti altistuneeseen hoidon tarpeen tai muiden covid-19-epidemian torjuntatyön kannalta tarpeellisten toimenpiteiden arvioimiseksi.

Edellä 1 momentissa tarkoitetusta yhteydenottopyynnöstä ilmenevät tiedot mahdollisesta altistumisesta voidaan tallentaa kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikön perustamaan väliaikaiseen rekisteriin 1 momentissa tarkoitettua yhteydenottoa varten. Tieto on poistettava ja tuhottava rekisteristä viivytyksettä, kun se ei ole enää välttämätön tähän tarkoitukseen.

Pelkkää mobiilisovelluksen kautta saatua tietoa mahdollisesta altistumisesta ei voida pitää 60 §:ssä tarkoitettuna perusteltuna epäilynä altistumisesta yleisvaaralliselle tartuntataudille.

43 f §
Taustajärjestelmän ylläpidon ohjaus

Sosiaali- ja terveysministeriö ohjaa ja seuraa Kansaneläkelaitosta 43 b §:ssä tarkoitetun tehtävän toimeenpanossa.

43 g §
Tietojärjestelmän tietoturvallisuuden arvioiminen

Liikenne- ja viestintävirasto arvioi tietojärjestelmän tietoturvallisuuden ennen sen käyttöönottoa viranomaisten tietojärjestelmistä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti.

43 h §
Valvonta

Sosiaali- ja terveysalan lupa- ja valvontavirasto valvoo tietojärjestelmän tietoturvallisuutta.

---

Tämä laki tulee voimaan päivänä kuuta 2020 ja on voimassa 31 päivään maaliskuuta 2021.

---

Helsingissä 11.6.2020

Pääministeri
Sanna Marin

Perhe- ja peruspalveluministeri
Krista Kiuru