Euroopan unionin tietosuoja-asetuksen (GDPR) soveltaminen alkoi viime perjantaina. Aikaa siihen valmistautumiseen on ollut kaksi vuotta, mutta viime kuukausien kuhinasta tulee mieleen vuosituhannen vaihtumista edeltävät hetket. Kuka muistaa Y2K-paniikin? Yritykset käyttivät valtavasti rahaa tietojärjestelmien uusimiseen, ydinvoimaloita pysäytettiin, ruokaa hamstrattiin. Rakettien paukkuessa jännitettiin, toimivatko tietokoneet, häviävätkö rahat tileiltä ja pysyvätkö lentokoneet ilmassa puolen yön jälkeen.
Tietosuoja-asetuksen soveltamisen ensimmäistä päivää ei juhlistanut rakettien pauke eikä suurempia huoliakaan pitäisi olla, jos asiat olivat kunnossa jo tietosuojadirektiivin aikana parikymmentä vuotta ennen GDPR:ää. Biopankkien toiminta on edelleen laillista.
Tutkittavien henkilöiden yksityisyyden suojasta huolehtiminen on biopankeille elinehto.
Biopankkilaki on jo vuodesta 2013 lähtien asettanut biopankissa olevien henkilötietojen käsittelylle erittäin tiukkoja vaatimuksia näytteenantajien yksityisyyden ja muiden oikeuksien suojelemiseksi. Tämän vuoksi uusi tietosuojasääntely ei tuo merkittäviä muutoksia biopankkien näytteenantajien oikeuksiin. Olemme THL Biopankissa pyrkineet kattavaan informaatioon ja läpinäkyvyyteen toiminnan alusta asti. Uusi tietosuojaseloste osaltaan lisää tietoa siitä, mitä tietoja biopankissa käsitellään.
Tietosuojasääntelyn tarkoitus on mahdollistaa tietojen vapaa liikkuvuus Euroopan unionin sisällä, kunhan vain osataan huolehtia tietojen suojasta. Kaikki lähtee hyvästä hallinnosta: siitä, että toimitaan suunnitellusti ja huolellisesti.
GDPR on yleinen kaikkia aloja koskeva säädös, jonka tarkoitus on olla joustava ja mahdollistaa erilaisia toimintatapoja. Rekisterinpitäjä viime kädessä vastaa siitä, että valitut ratkaisut ovat oikeita. Olen aistivinani paikoin vahvoja kiveen hakattuja tulkintoja, jotka käytännössä rupeavat määrittämään toimintaa näin estäen hyvien ratkaisujen kehittämistä. Tällainen on vastoin asetuksen rekisterinpitäjille antamaa liikkumavaraa.
Henkilöiden yksityisyyden suoja on perusoikeuksien ydinaluetta ja hyvä niin. Se ei kuitenkaan ole ainoa perusoikeus. GDPR:n neljännen johdantolauseen mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on oltava oikeassa suhteessa muihin perusoikeuksiin suhteellisuusperiaatteen mukaisesti. Tutkimuskentän pulmia viime vuosina seuranneena olen huolissani tutkijoiden ja muiden toimijoiden oikeusturvasta, sillä käytännön tulkinnoissa ei juurikaan näytä annettavan arvoa muille perusoikeuksille kuin yksilön autonomialle.
Biopankit ovat olemassa tutkimusta varten. GDPR:ssä onkin hyvin huomioitu tutkimuksen vapaus monessa kohtaa kuten sen edeltäjässäkin. Myös eduskunnan perustuslakivaliokunta ja hallintovaliokunta ovat mm. vuonna 1998 korostaneet tutkimuksen vapautta käsitellessään julkisuuslain säännöstä, jonka perusteella viranomainen voi antaa tietoja salassa pidettävästä asiakirjasta tieteellistä tutkimusta varten todeten, että: ”viranomaisen on tietojen antamista harkitessaan huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Lisäyksen tarkoituksena on korostaa sitä, ettei tietojen antamista saa evätä muutoin kuin sellaisissa tilanteissa, joissa ei ole selvästikään kysymys tieteellisen tutkimuksen vapauden toteuttamisesta.”
Suomi odottaa paljon terveysalan kasvustrategialta ja mahdollistavalta lainsäädännöltä. On kuitenkin niin, että strategiatyö pitää saada vietyä ruohonjuuritasolle, jotta se todella onnistuu. Meillä on ollut tutkimusta mahdollistavaa lainsäädäntöä jo parikymmentä vuotta. Terveysalan kasvustrategian yhteydessä tehty säädösympäristöselvitys osoitti jo vuonna 2015, että tutkimusta estävät rakenteet eivät ole niinkään lainsäädännössä, vaan asenteissa ja käytännön soveltamisessa.
GDPR ei siis estä tutkimusta, vaan mahdollistaa sen kuten tähänkin asti.
Tilanne tutkimuslupien ja tietojen saamisen kanssa on kuitenkin paikoin kestämätön ja vaikuttaa tutkimusrahoitukseen ja tutkijoiden työsuhteisiin. Viime kädessä kysymys on siitä, että uusien hoitojen ja menetelmien kehitys viivästyy. Potilaat itse toivovat, että heidän hoitojensa kehittämiseen suhtaudutaan kunnianhimoisesti ja nopeasti.
GDPR:n neljännen johdantolauseen mukaan ”henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä”. Tämän ylevän, joskin hieman irralliseksi jäävän lauseen soisi toimivan ohjenuorana myös käytännön soveltamistilanteessa, jossa perusoikeuksia punnitaan.
Kirjoittaja on THL Biopankin johtaja.