Grundläggande guide för datahantering: Vad ska du göra om dina data innehåller personuppgifter?

Kuva

Testet ”Behandlar jag personuppgifter i min forskning?”

Här kan du testa om dina forskningsdata kan innehålla personuppgifter: https://redcap.link/kk9w7k2k

Lär känna termerna

Personuppgifter är all den information som kan kopplas till en specifik person, antingen direkt eller indirekt. Exempel är namn, personbeteckning och kontaktuppgifter, men personuppgifter omfattar också till exempel åsikter, fysiska eller psykiska egenskaper, fotografi, röst eller annan information som kan identifiera en person.

Vissa personuppgifter kategoriseras i särskilda kategorier av personuppgifter. Sådan information inkluderar:
•    information om hälsa
•    information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening
•    information om sexuellt beteende och sexuell läggning
•    genetiska data (information om egenskaperna hos en person som erhållits från ett biologiskt prov)
•    biometriska uppgifter (t.ex. fingeravtryck eller ansiktsbild) om de behandlas i syfte att identifiera en person.

Med registrerad avses den person vars uppgifter behandlas. Forskningspersonerna är registrerade.

Personuppgiftsansvarig är en term som hänvisar till den enhet som ansvarar för behandlingen av personuppgifter i förhållande till de registrerade.

När det gäller en avhandling som skrivs vid universitetet fungerar universitetet och studenten som gemensamt personuppgiftsansvariga, vilket registreras i sekretesspolicyn.

Planera

Hantering av personuppgifter kräver bra planering. Innan du börjar samla in och hantera personuppgifter måste du planera och hitta svar på följande frågor:

  • Vad behöver du personuppgifter till (vad är ditt forskningsämne och varför behöver du personuppgifter för ditt arbete)?
  • Vilken information behöver du för din forskning?
  • Hur undviker du potentiella risker och implementerar de allmänna principerna för dataskydd (se nedan för mer information)? Avhandlingar rekommenderas inte att skrivas om något som kräver en konsekvensbedömning, dvs. kan utgöra en hög risk för forskningspersonerna.
  • Hur tar du hänsyn till forskningspersonernas rättigheter?

För behandling av personuppgifter krävs alltid den rättsliga grund för behandlingen som nämns i dataskyddslagstiftningen.

Eventuella rättsliga grunder för behandling när det gäller kandidatavhandlingar och avhandlingar på lägre nivå än pro gradu-avhandlingen:

  • Samtycke när uppgifterna samlas in direkt från forskningspersonen.
  • Berättigat intresse om uppgifterna inte samlas in direkt från forskningspersonen. I detta fall måste man kunna beskriva varför det är viktigt att genomföra forskningen och jämföra detta med den eventuella skada som orsakas forskningspersonen (så kallad intresseavvägning).

Eventuella rättsliga grunder för behandling av personuppgifter när det är fråga om en pro gradu-avhandling som publiceras:

  • Först och främst: Om det är i allmänhetens intresse att en vetenskaplig undersökning genomförs (användningen av denna grund för behandling kräver att avhandlingen publiceras).
  • Också samtycke som rättslig grund för en begränsad åtgärd, till exempel publicering av en forskningspersons åsikt i en avhandling under forskningspersonens namn.

Observera att det av forskningsetiska skäl eller på grund av lagstiftningen som gäller för medicinsk forskning kan krävas samtycke från forskningspersonerna att delta i undersökningen. Detta samtycke innebär dock inte samtycke som rättslig grund för behandlingen av personuppgifter, utan syftet är att säkerställa att forskningspersonen är tillräckligt informerad om undersökningen. Även då är det lämpligt att använda allmänt intresse som rättslig grund för behandlingen av personuppgifter. Informera forskningspersonerna om att även om deras samtycke begärs för att delta i undersökningen, är den rättsliga grunden för behandling av personuppgifter allmänt intresse.

Du kan läsa mer om den rättsliga grunden för behandlingen på sidan Dataskyddanvisning för forskare på Flamma.

Utöver ovanstående måste ansvarsskyldighet beaktas: du måste kunna visa att du följer dataskyddslagstiftningen. Det gör du med en datahanteringsplan och ett dataskyddsmeddelande.

Informera

Forskningspersonerna ska informeras om behandlingen av deras uppgifter innan du börjar samla in uppgifterna. Du kan göra detta genom att använda de mallar för dataskyddsmeddelanden som finns på sidan Dataskyddanvisning för forskare på Flamma, mallarna innehåller de uppgifter som lagen kräver. Om forskning inte bedrivs i en forskningsgrupp vid universitetet eller i ett anställningsförhållande till universitetet, ska du ange både dig och universitetet som personuppgiftsansvariga.

Om det material som används är annat än information som samlats in direkt från personer, kan man avstå från att informera om det orsakar orimliga olägenheter (t.ex. om det inte finns några kontaktuppgifter till forskningspersonerna). Observera dock att det ifyllda dataskyddsmeddelandet också fungerar som ett dokument som implementerar ansvarsskyldighet.

Skydda

Använd endast de lagringsplatser som du vet är säkra och se till att ditt sätt att arbeta inte försvagar skyddet av uppgifterna när du behandlar personuppgifter. Använd i första hand de system och tjänster som tillhandahålls av universitetet när du hanterar data. Se till att personuppgifter endast kan nås av de personer som har ett legitimt skäl.

Om det undantagsvis finns en avsikt att överföra personuppgifter utanför EU, vänligen diskutera detta med din handledare.
Observera att personuppgifter kan överföras om

  • du använder en tjänst vars tjänsteleverantör är belägen utanför EU (t.ex. kommersiella molntjänster)
  • du skickar material utanför EU
  • du ger fjärråtkomst till information till en enhet utanför EU.

Publicera, ta bort och lagra

Se till att du inte tar med onödiga personuppgifter i din publikation. Om du vill inkludera personuppgifter (t.ex. bilder, åsikter under personens namn etc.) i den slutliga versionen av din avhandling måste du som regel få personens samtycke.

När din avhandling är klar och godkänd måste du i regel förstöra allt material som innehåller personuppgifter. Om avsikten är att lagra materialet, till exempel för en senare doktorsavhandling, måste forskningspersonerna informeras om detta i förväg.

Om du undantagsvis planerar att behålla material efter att din avhandling är färdig och godkänd, diskutera då detta med din handledare.  

Studentens ansvar

Som student ansvarar du för följande:
•    Informera forskningspersonerna och var transparent med hur du behandlar deras data. Förbered och ge forskningspersonerna ett dataskyddsmeddelande!
•    Behandla uppgifter utan att skapa orimliga risker för forskningspersonerna eller i onödan inkräkta på deras integritet. Bedöm riskerna som kan uppstå i hanteringen av data tillsammans med din handledare.

  • o    Observera! Det kan finnas behov av en konsekvensbedömning av dataskyddet. En konsekvensbedömning ska genomföras om hanteringen av uppgifterna i studien sannolikt kommer att leda till en hög risk för försökspersonerna. Du kan använda blanketten ”Behöver min forskning en konsekvensbedömning? (eng)” på Flamma för att bedöma behovet av en konsekvensanalys. Det rekommenderas inte att skriva en avhandling om ett sådant ämne som kräver en konsekvensbedömning. Undantagsfall diskuteras med handledaren.

•    Att hantera uppgifter endast för det ändamål för vilket du har samlat in dem och på samma sätt som du har informerat forskningspersonerna om att uppgifterna ska hanteras.
•    Samla in endast den mängd data som behövs.
•    Se till att den insamlade informationen är korrekt och precis.
•    Lagra data endast så länge som det är nödvändigt (och säkerställ pseudonymisering, anonymisering eller lämplig förstörelse av data så snart som möjligt).
•    Svara på eventuella frågor som forskningspersonerna kan ha om behandlingen av personuppgifter.
•    Se till att det inte finns någon identifierbar information i det färdiga och publicerade arbetet utan forskningspersonernas samtycke eller någon annan motiverad orsak.
•    Skydda data på lämpligt sätt genom att använda system som du vet är säkra och genom att begränsa åtkomsten till materialet. Läs mer om datasäkerhet här.
•    Rapportera alla informationssäkerhetsincidenter som du upptäcker till helpdesk@helsinki.fi. Exempel på informationssäkerhetsincidenter är om du tappar bort en extern hårddisk där du har lagrat personuppgifter eller om någon får tag på ditt användarnamn genom nätfiske.

Studenten handleds i första hand av sin handledare. Vid behov får handledaren stöd av universitetets stödtjänster.

Handledares ansvar

Handledaren ansvarar för att
•    bistå och stödja vid planering av hantering av personuppgifter, inklusive riskbedömning
•    informera och instruera studenten
•    se till att det inte finns några onödiga personuppgifter i färdiga och publicerade avhandlingar.

Universitets ansvar

Universitetets stödtjänster ansvarar för att
•    i första hand sköta kontakten med tillsynsmyndigheten (dataombudsmannen)
•    se till att det finns säkra platser för lagring och verktyg för datahantering
•    stödja handledare i att handleda och utbilda studenter
•    se till att lämpliga avtal har ingåtts med tjänsteleverantörerna för de tjänster som universitetet tillhandahåller
•    se till att säkerhetsöverträdelser i universitetet utreds och rapporteras till tillsynsmyndigheterna
•    ge ett eventuellt uttalande från en etikprövningsnämnd, särskilt när det gäller medicinsk forskning.

Saavutettavuusseloste