Tietosuoja tutkimuksessa

In English

Ohjeen taustaa

Tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn on tekeillä korkeakoulujen ja tutkimuslaitosten yhteistyönä käytännesäännöt. Myös tietosuojavaltuutettu toimisto saattaa julkaista tarkennettuja ohjeita. Tämä HAMKin ohje päivittyy sitä mukaa, kun lisätietoja saadaan. Tämä ohje toimii myös opinnäytetöiden yhteydessä.

​Aineistonhallintasuunnitelma

Henkilötietojen käsittelyyn tutkimuksessa liittyy läheisesti aineistonhallintasuunnitelma. HAMKin aineistonhallintasuunnitelmien käytännöt, https://www.hamk.fi/tutkimus/aineistonhallinta/.

Henkilötietojen käsi​​ttelyn sopimukset

Mikäli rekisterinpitäjä käyttää henkilötietojen käsittelyssä esimerkiksi alihankkijoita tai kumppaneita, tulee tarvittavat sopimukset olla tehtynä. Tästä tarkempi kuvaus löytyy: https://blog.hamk.fi/ohjeet/henkilotietojen-kasittelyn-sopimukset-dpa/​ .​​

​Vaikutustenarviointi​

Myös tutkimustoiminnassa saatetaan joutua tekemään vaikutustenarviointi. Aina, jos tutkimuksessa käsitellään henkilötietoja, tulee ohjeen https://blog.hamk.fi/ohjeet/tietosuoja-vaikutustenarviointi/ mukaisesti arvioida onko tarvetta vaikutustenarvioinnin tekemiselle.

Rekisterinpitäjä tutkimuksessa

Tietosuoja-asetuksen mukaan rekisterinpitäjänä toimii se taho, joka tosiasiallisesti määrittelee ”henkilötietojen käsittelyn tarkoitukset ja keinot”. Tutkimuksessa tyypillisesti henkilötietojen käsittelyn määrittelee tyypillisesti tutkija (vrt. AMK-lain 9 § Opetuksen ja tutkimuksen vapaus”). Tutkija on siis silloin rekisterinpitäjänä, jos hän on määritellyt, miten tutkimuksessa henkilötietoja käsitellään. On mahdollista, että jossain tilanteissa rekisterinpitäjänä on HAMK Oy tai HAMI Oy. Kyse on siitä, mikä taho määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Laajemmissa yhteistyökuvioissa voi tulla kyseeseen myös yhteisrekisterinpitäjyys.

Opinnäytetyössä tehtävän henkilötietojen käsittelyn rekisterinpitäjä on tyypillisesti opiskelija itse.

Tutkija tai opiskelija rekisterinpitäjänä

Mikäli rekisterinpitäjänä on tutkija tai opinnäytetyön tekijä, tarkoittaa se mm. seuraavaa:

  • Rekisterinpitäjä vastaa henkilötietojen käsittelystä.
  • Henkilötietojen käsittelyn informoinnissa (tietosuojailmoitus) rekisterinpitäjäksi ilmoitetaan tutkija tai opiskelija.
  • Tietosuojavastaavan määrittely on rekisterinpitäjän vastuulla.
    • Tietosuojavastaava tulee nimittää, mikäli rekisterinpitäjän ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai rekisterinpitäjän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.
    • Esimerkiksi jos kyseessä on tutkimus, jossa käsitellään paljon terveydentilaan liittyviä tietoja, tulee tietosuojavastaavan tarve arvioida.

Henkilötietoja sisältävän aineiston oikeusperuste

Tutkimuksessa käsittelyperusteena käytetään ensisijaisesti ”yleinen etu” (Suomen tietosuojalaki 4 §). Tällöin tulee kuitenkin henkilötietojen käsittelyn olla oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden.

Myös muita käsittelyperusteita voidaan käyttää:

  • Suostumus
  • Sopimuksen toimeenpano
  • Rekisterinpitäjän lakisääteiset velvoitteet
  • Rekisteröidyn tai toisen henkilön elintärkeät edut (tyypillisesti ei sovellu tutkimukseen)
  • Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (ei sovelleta viranomaisten suorittamaan tehtävään)

Mikäli käsittelyperusteena on suostumus, niin tutkimusta suunniteltaessa tulee varautua siihen, että rekisteröity voi suostumuksensa perua.

Erikseen kannattaa huomata, että vaikka tutkimukseen osallistuminen olisikin vapaaehtoista, henkilötietojen käsittelyperusteena voidaan silti käyttää ”yleistä etua”.

Rekisteröidyn oikeuksista poikkeaminen tutkimuksessa

Rekisteröidyn oikeuksista poiketaan HAMKissa vain perustellussa poikkeustapauksessa. Tietosuojalain 31 § mukaan rekisteröidyn oikeudesta saada pääsy tietoihin, oikeudesta tietojen oikaisemiseen, oikeudesta käsittelyn rajoittamiseen ja vastustamisoikeudesta voidaan tarvittaessa poiketa, jos

  1. Käsittely perustuu asianmukaiseen tutkimussuunnitelmaan
  2. Tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja
  3. Henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.
  4. Jos tutkimuksessa käsitellään erityisiä henkilötietoja (tietosuoja-asetuksen artiklan 9) tai rikostuomioihin tai rikkomuksiin liittyviä henkilötietoja (artiklassa 10), niin edellä olevien kohtien 1 – 3 lisäksi tulee tehdä tietosuojan vaikutustenarviointi (35 artiklan) ja toimittaa se tietosuojavaltuutetun toimistoon ennen henkilötietojen käsittelyn aloittamista. Tietosuojavaltuutetun ohjeet tähän löytyvät: https://tietosuoja.fi/rekisteroidyn-oikeuksista-poikkeaminen.

Poikkeamisen tarpeellisuutta on arvioitava tapauskohtaisen harkinnan perusteella. Eli vielä edellisen kohdan listan toteuttaminen ei oikeuta poikkeamiseen. Poikkeaminen rekisteröidyn oikeuksista on mahdollista ainoastaan siltä osin kuin

  1. Tällaiset oikeudet todennäköisesti estävät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja
  2. Tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

Kannattaa huomata, että tietosuoja-asetuksen artikla 17 mukaan rekisteröidyllä ei ole oikeutta tutkimuksessa tietojen poistamiseen, mikäli se todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti.

Rekisteröidyn informoiminen

Rekisteröidyn informoinnin ohjeet löytyvät https://blog.hamk.fi/ohjeet/tietosuoja-rekisteroidyn-informointi/ .

Muita henkilötietojen käsittelyyn liittyviä periaatteita

  • Kerätään tutkimuksen näkökulmasta olennaista henkilötietoa
  • Aina, kun mahdollista, tutkimusaineistoa käsitellään anonymisoituna tai pseudonymisoituna. Pseudonymisoitu aineisto on kuitenkin edelleen henkilötietoa. Näistä löytyy lisätietoa esimerkiksi: https://www.fsd.uta.fi/aineistonhallinta/fi/tunnisteellisuus-ja-anonymisointi.html . Kansainvälisissä tutkimushankkeissa on erityisen tärkeää anonymisoida aineisto, mikäli aineistoa käsitellään EU / ETA -alueen ulkopuolella.

Vastaa

Sähköpostiosoitettasi ei julkaista.