Datanhallinnan perusopas: Mitä jos aineistosi sisältää henkilötietoa?

Henkilötietotesti

Tästä linkistä pääset testaamaan, käsitelläänkö projektissasi henkilötietoja: https://redcap.link/kk9w7k2k

Termit tutuiksi

Henkilötietoa on kaikki tieto, joka voidaan yhdistää tiettyyn henkilöön joko suoraan tai epäsuorasti. Esimerkkejä ovat nimi, henkilötunnus ja yhteystiedot, mutta henkilötietoa ovat myös esimerkiksi mielipiteet, fyysinen tai psyykkinen ominaisuus, valokuva, ääni tai mikä tahansa muu tieto, josta henkilö on tunnistettavissa.

Osa henkilötiedoista on kategorisoitu kuuluvaksi erityisiin henkilötietoryhmiin. Tällaisia tietoja ovat  

  •     terveyttä koskevat tiedot
  •     tiedot, joista ilmenee rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys
  •     seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot
  •     geneettiset tiedot (biologisesta näytteestä saadut tiedot henkilön ominaisuuksista)
  •     biometriset tiedot (kuten sormenjälki tai kasvokuva), jos niitä käsitellään henkilön tunnistamista varten.

Rekisteröidyllä tarkoitetaan henkilöä, jonka tietoja käsitellään. Tutkittavat henkilöt ovat rekisteröityjä.  

Rekisterinpitäjä on termi, jolla tarkoitetaan tahoa, joka vastaa henkilötietojen käsittelystä suhteessa rekisteröityihin.  

Yliopistolla tehtävän opinnäytetyön osalta yliopisto ja opiskelija toimivat yhteisrekisterinpitäjinä, mikä merkitään tietosuojaselosteeseen. 

Suunnittele

Henkilötietojen käsittely vaatii ennakkosuunnittelua. Ennen kuin aloitat henkilötietojen keräämisen ja käsittelyn, sinun on suunniteltava 

  • mitä varten tarvitset henkilötietoja (mikä on tutkimusaiheesi ja miksi työhösi tarvitaan henkilötietoja) 
  • mitä tietoja tutkimustasi varten tarvitset 
  • miten vältät mahdolliset riskit ja toteutat tietosuojan yleiset periaatteet (katso tarkemmin alla).
  • Opinnäytetöitä ei suositella tehtäväksi aiheesta, joka vaatii vaikutustenarvioinnin tekemistä, eli saattaa aiheuttaa korkean riskin tutkittaville. 
  • miten huomioit tutkittavien henkilöiden oikeudet. 

Henkilötietojen käsittelyyn vaaditaan aina tietosuojalainsäädännössä mainittu käsittelyn oikeusperuste.  

 

Mahdolliset käsittelyn oikeusperusteet, kun kyseessä on kanditutkielma ja maisteritutkielmaa alempitasoiset tutkielmat  

  • Suostumus, kun tiedot kerätään suoraan tutkittavalta, tai 
  • Oikeutettu etu, jos tietoja ei kerätä suoraan tutkittavalta. Tässä tapauksessa tulee pystyä sanoittamaan tutkimuksen teon tarpeellisuus ja verrata sitä tutkittavalle mahdollisesti aiheutuvaan haittaan (ns. intressipunninta). 

Mahdolliset käsittelyn oikeusperusteet, kun kyseessä on julkaistava maisteritutkielma 

  • 'Ensisijaisesti: Yleinen etu tieteellisen tutkimuksen tekemiseksi (tämän käsittelyperusteen käyttö edellyttää tutkielman julkaisemista) 
  • Myös suostumus rajatun toimenpiteen oikeusperusteena, esimerkiksi tutkittavan mielipiteen julkaisu opinnäytetyössä tutkittavan nimellä 
  • Huomaathan, että tutkimuseettisistä syistä tai lääketieteellistä tutkimusta koskevan lainsäädännön takia voidaan tarvita tutkittavilta suostumus tutkimukseen osallistumiseen. Tämä suostumus ei kuitenkaan tarkoita suostumusta käsittelyn oikeusperusteena vaan sen tarkoitus on huolehtia tutkittavan riittävästä informoinnista. Tällöinkin on suositeltavaa käyttää yleistä etua henkilötietojen käsittelyn oikeusperusteena. Ilmoitathan tutkittaville, että vaikka heidän suostumustaan pyydetään tutkimukseen osallistumiseen, henkilötietojen käsittelyn oikeusperusteena on yleinen etu. 

 

Voit lukea lisää käsittelyn oikeusperusteista Flamman Tutkimuksen tietosuoja-asiat sivulta.  

 

Edellä mainittujen lisäksi on huomioitava osoitusvelvollisuus: sinun on pystyttävä osoittamaan, että noudatat tietosuojalainsäädäntöä. Toteutat tätä periaatetta aineistonhallintasuunnitelmalla ja tietosuojailmoituksella.  

Informoi

Tutkittavia on informoitava heidän tietojensa käsittelystä ennen kuin aloitat tietojen keräämisen. Voit toteuttaa tämän käyttämällä pohjana Flamman Tutkimuksen tietosuoja-asiat sivulta löytyviä tietosuojailmoituspohjia, joka sisältää lain vaatimat tiedot. Jos tutkimusta ei tehdä osana yliopiston tutkimusryhmää tai työsuhteessa yliopistoon, merkitse rekisterinpitäjäksi sinut ja yliopisto yhdessä. 

Jos aineistona käytetään muuta kuin henkilöiltä suoraan kerättävää tietoa, informoinnista voidaan poiketa, jos se tuottaa kohtuutonta vaivaa (esim. tutkittavien yhteystietoja ei ole). Huomioi kuitenkin, että täytetty tietosuojailmoitus toimii myös osoitusvelvollisuutta toteuttavana dokumenttina. 

Suojaa

Käytä henkilötietojen käsittelyyn ainoastaan turvalliseksi tietämiäsi tallennus- ja säilytyspaikkoja sekä huolehdi, että työskentelytapasi ei heikennä tietojen suojaa. Käytä tietojen käsittelyyn ensisijaisesti ylipiston tarjoamia järjestelmiä ja palveluita. Huolehdi, että henkilötietoja pääsee käsittelemään vain ne henkilöt, joilla on asiallinen syy.

Jos henkilötietoja on aikomus poikkeuksellisesti siirtää EU:n ulkopuolelle, keskustele tästä ohjaajasi kanssa.  

Huomioi, että henkilötietoja voi siirtyä jos  

  •     Käytät palvelua, jonka palveluntarjoaja sijaitsee EU:n ulkopuolella (esim. kaupalliset pilvipalvelut).  
  •     Lähetät aineistoa EU:n ulkopuolelle, tai
  •     Annat etäpääsyn tietoon EU:n ulkopuolella sijaitsevalle taholle

Julkaisu, poistaminen ja säilyttäminen

Huomioi, ettet sisällytä julkaisuusi turhaa henkilötietoa. Mikäli haluat sisällyttää lopulliseen työhösi henkilötietoja (esim. kuvia, mielipiteitä henkilön nimellä tms.) on siihen saatava henkilöltä lähtökohtaisesti suostumus. 

Kun työsi on valmis ja se on hyväksytty, on sinun pääsääntöisesti hävitettävä henkilötietoja sisältävä aineistosi. Jos aineistoa on aikomus säilyttää esimerkiksi myöhempää väitöskirjaa varten, on tästä informoitava tutkittavia etukäteen. 

Jos poikkeuksellisesti aiot säilyttää aineistoa työn päättymisen ja hyväksymisen jälkeen, keskustele asiasta ohjaajasi kanssa.  

Opiskelijan vastuut

Opiskelijana vastuullasi on

  • Informoida tutkittavia ja olla avoin, miten käsittelet heidän tietojaan. Laadi ja anna tutkittaville tietosuojailmoitus!
  • Käsitellä tietoja aiheuttamatta tutkittaville kohtuuttomia riskejä tai puuttumatta turhaan heidän yksityisyyteensä. Arvioi käsittelyyn liittyvät riskit yhdessä ohjaajasi kanssa.  
    •   Huomioi! mahdollinen tarve tietosuojaa koskevalle vaikutustenarvioinnille. Vaikutusten arviointi on tehtävä, jos tietojen käsittely tutkimuksessa aiheuttaa todennäköisesti korkean riskin tutkittaville. Voit arvioida korkean riskin todennäköisyyttä tämän Flammasta löytyvän lomakkeen avulla ”Tarvitseeko tutkimukseni vaikutustenarvioinnin”. Tällaisesta aiheesta ei suositella tehtäväksi opinnäytetyötä. Poikkeustapauksista on keskusteltava ohjaajan kanssa
  •  Käsitellä tietoja vain siihen tarkoitukseen, mihin olet ne kerännyt ja miten olet tietojen käsittelystä tutkittaville informoinut.
  •  Kerätä tietoja vain tarpeellinen määrä.
  •  Huolehtia että kerätyt tiedot ovat oikein ja täsmällisiä  
  •  Säilyttää tietoja vain niin kauan kuin on tarpeen (ja huolehtia tietojen pseudonymisoinnista, anonymisoinnista tai asianmukaisesta hävittämisestä heti, kun se on mahdollista).
  •  vastata tutkittavien henkilöiden mahdollisiin kysymyksiin henkilötietojen käsittelystä
  •  huolehtia, ettei valmiissa ja julkaistavassa työssä ole tunnistettavaa tietoa ilman tutkittavien suostumusta tai muuta perusteltua syytä
  •  Suojata tiedot asianmukaisesti käyttämällä turvalliseksi tietämiäsi järjestelmiä ja rajaamalla pääsy aineistoon. Lue lisää tietoturvasta täältä.
  •  ilmoittaa havaitsemistasi tietoturvapoikkeamista osoitteeseen helpdesk@helsinki.fi. Tietoturvapoikkeamia on mm. jos hävität ulkoisen kovalevyn, jolle olet tallentanut henkilötietoja, tai jos käyttäjätunnuksesi vuotavat toiselle henkilölle kalasteluyrityksen kautta.  

Opiskelijan ohjaamisesta vastaa ensisijaisesti hänen ohjaajansa. Ohjaaja saa tarpeen mukaan tukea yliopiston tukipalveluista.

Ohjaajan vastuut

Ohjaajan vastuulla on

  •  avustaa ja tukea henkilötietojen käsittelyn suunnittelussa, mukaan lukien riskienarviointi
  •  kouluttaa ja ohjeistaa opiskelijaa
  •  varmistaa, ettei valmiissa ja julkaistavissa opinnäytetöissä ole tarpeetonta henkilötietoa.

Yliopiston vastuut

Yliopiston tukipalveluiden vastuulla on

  •    asioida ensisijaisesti valvontaviranomaisen (Tietosuojavaltuutettu) kanssa
  •    tarjota turvallista tallennustilaa ja välineitä tietojen käsittelylle
  •    tukea ohjaajia opiskelijoiden ohjeistamisessa ja kouluttamisessa
  •    huolehtia, että ylipiston tarjoamien palveluiden osalta palveluntarjoajien kanssa on tehty asianmukaiset sopimukset
  •    huolehtia yliopistoon kohdistuvien tietoturvaloukkausten selvittämisestä ja ilmoittamisesta niistä valvontaviranomaisille
  •    antaa mahdollinen eettisen toimikunnan lausunto, etenkin lääketieteellisen tutkimuksen osalta.

Saavutettavuusseloste