Tietosuoja tutkimuksessa
Sisältö
Ohjeen taustaa
Tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn on tekeillä korkeakoulujen ja tutkimuslaitosten yhteistyönä käytännesäännöt. Myös tietosuojavaltuutettu toimisto saattaa julkaista tarkennettuja ohjeita. Tämä HAMKin ohje päivittyy sitä mukaa, kun lisätietoja saadaan. Tämä ohje toimii myös opinnäytetöiden yhteydessä.
Intrasta löytyy myös PowerPoint tiedosto tutkimus ja tietosuoja.
Aineistonhallintasuunnitelma
Henkilötietojen käsittelyyn tutkimuksessa liittyy läheisesti aineistonhallintasuunnitelma. HAMKin aineistonhallintasuunnitelmien käytännöt, https://www.hamk.fi/tutkimus/aineistonhallinta/.
Henkilötietojen käsittelyn sopimukset
Mikäli rekisterinpitäjä käyttää henkilötietojen käsittelyssä esimerkiksi alihankkijoita tai kumppaneita, tulee tarvittavat sopimukset olla tehtynä. Tästä tarkempi kuvaus löytyy: https://digipedaohjeet.hamk.fi/henkilotietojen-kasittelyn-sopimukset-dpa/ .
Vaikutustenarviointi
Myös tutkimustoiminnassa saatetaan joutua tekemään vaikutustenarviointi. Aina, jos tutkimuksessa käsitellään henkilötietoja, tulee ohjeen https://digipedaohjeet.hamk.fi/tietosuoja-vaikutustenarviointi/ mukaisesti arvioida onko tarvetta vaikutustenarvioinnin tekemiselle.
Rekisterinpitäjä tutkimuksessa
Tietosuoja-asetuksen mukaan rekisterinpitäjänä toimii se taho, joka tosiasiallisesti määrittelee ”henkilötietojen käsittelyn tarkoitukset ja keinot”. Rekisterinpitäjä on siis tutkija tai Hämeen ammattikorkeakoulu Oy tai, Hämeen ammatti-instituutti Oy tai HAMK Akatemia Oy. Tutkija on siis silloin rekisterinpitäjänä, jos hän on määritellyt, miten tutkimuksessa henkilötietoja käsitellään. Laajemmissa yhteistyökuvioissa voi tulla kyseeseen myös yhteisrekisterinpitäjyys.
Opinnäytetyössä tehtävän henkilötietojen käsittelyn rekisterinpitäjä on tyypillisesti opiskelija itse.
Tutkija tai opiskelija rekisterinpitäjänä
Mikäli rekisterinpitäjänä on tutkija tai opinnäytetyön tekijä, tarkoittaa se mm. seuraavaa:
- Rekisterinpitäjä vastaa henkilötietojen käsittelystä.
- Henkilötietojen käsittelyn informoinnissa (tietosuojailmoitus) rekisterinpitäjäksi ilmoitetaan tutkija tai opiskelija.
- Tietosuojavastaavan määrittely on rekisterinpitäjän vastuulla.
- Tietosuojavastaava tulee nimittää, mikäli rekisterinpitäjän ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai rekisterinpitäjän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.
- Esimerkiksi jos kyseessä on tutkimus, jossa käsitellään paljon terveydentilaan liittyviä tietoja, tulee tietosuojavastaavan tarve arvioida.
Henkilötietoja sisältävän aineiston oikeusperuste
Tutkimuksessa käsittelyperusteena käytetään ensisijaisesti “yleinen etu” (Suomen tietosuojalaki 4 §). Tällöin tulee kuitenkin henkilötietojen käsittelyn olla oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden.
Myös muita käsittelyperusteita voidaan käyttää:
- Suostumus
- Sopimuksen toimeenpano
- Rekisterinpitäjän lakisääteiset velvoitteet
- Rekisteröidyn tai toisen henkilön elintärkeät edut (tyypillisesti ei sovellu tutkimukseen)
- Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (ei sovelleta viranomaisten suorittamaan tehtävään)
Opinnäytetöiden osalta tulee erikseen arvioida, täyttääkö työ yleisen edun mukaisen tieteellisen tutkimuksen kriteeriä. AMK-opinnäytetyössä ei tyypillisesti voida käyttää yleisen edun mukaista tieteellistä tutkimusta henkilötietojen käsittelyperusteena. YAMK-työlle se saattaa olla mahdollinen. Opinnäytetöissä käsittelyperusteena onkin tyypillisesti ”suostumus”.
Mikäli käsittelyperusteena on suostumus, niin tutkimusta suunniteltaessa tulee varautua siihen, että rekisteröity voi suostumuksensa perua.
Erikseen kannattaa huomata, että vaikka tutkimukseen osallistuminen olisikin vapaaehtoista, henkilötietojen käsittelyperusteena voidaan silti käyttää “yleistä etua”.
Rekisteröidyn oikeuksista poikkeaminen tutkimuksessa
Rekisteröidyn oikeuksista poiketaan HAMKissa vain perustellussa poikkeustapauksessa. Tietosuojalain 31 § mukaan rekisteröidyn oikeudesta saada pääsy tietoihin, oikeudesta tietojen oikaisemiseen, oikeudesta käsittelyn rajoittamiseen ja vastustamisoikeudesta voidaan tarvittaessa poiketa, jos
- Käsittely perustuu asianmukaiseen tutkimussuunnitelmaan
- Tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja
- Henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.
- Jos tutkimuksessa käsitellään erityisiä henkilötietoja (tietosuoja-asetuksen artiklan 9) tai rikostuomioihin tai rikkomuksiin liittyviä henkilötietoja (artiklassa 10), niin edellä olevien kohtien 1 – 3 lisäksi tulee tehdä tietosuojan vaikutustenarviointi (35 artiklan) ja toimittaa se tietosuojavaltuutetun toimistoon ennen henkilötietojen käsittelyn aloittamista. Tietosuojavaltuutetun ohjeet tähän löytyvät: https://tietosuoja.fi/rekisteroidyn-oikeuksista-poikkeaminen.
Poikkeamisen tarpeellisuutta on arvioitava tapauskohtaisen harkinnan perusteella. Eli vielä edellisen kohdan listan toteuttaminen ei oikeuta poikkeamiseen. Poikkeaminen rekisteröidyn oikeuksista on mahdollista ainoastaan siltä osin kuin
- Tällaiset oikeudet todennäköisesti estävät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja
- Tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.
Kannattaa huomata, että tietosuoja-asetuksen artikla 17 mukaan rekisteröidyllä ei ole oikeutta tutkimuksessa tietojen poistamiseen, mikäli se todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti.
Rekisteröidyn informoiminen
Rekisteröidyn informoinnin ohjeet löytyvät https://digipedaohjeet.hamk.fi/tietosuoja-rekisteroidyn-informointi/ .
Muita henkilötietojen käsittelyyn liittyviä periaatteita
- Kerätään tutkimuksen näkökulmasta olennaista henkilötietoa
- Aina, kun mahdollista, tutkimusaineistoa käsitellään anonymisoituna tai pseudonymisoituna. Pseudonymisoitu aineisto on kuitenkin edelleen henkilötietoa. Näistä löytyy lisätietoa esimerkiksi: https://www.fsd.uta.fi/aineistonhallinta/fi/tunnisteellisuus-ja-anonymisointi.html . Kansainvälisissä tutkimushankkeissa on erityisen tärkeää anonymisoida aineisto, mikäli aineistoa käsitellään EU / ETA -alueen ulkopuolella.