Siirry pääsisältöön

Avoin TKI-toiminta: SeAMK-opas

Avoimen TKI-toiminnan ohjeet ja menettelytavat SeAMK:ssa

Henkilötietojen käsittely tutkimuksessa

EU:n yleinen tietosuoja-asetus ja tietosuojalaki velvoittavat ottamaan huomioon tietyt vaatimukset silloin kuin TKI-toiminnassa käsitellään henkilötietoja. Tämän lisäksi TKI-toiminnassa tulee edelleen huomioida mahdolliset alakohtaiset vaatimukset, kuten esimerkiksi lääketieteellistä tutkimusta koskeva lainsäädäntö sekä tutkimuseettiset periaatteet ja ohjeet.

Tietosuoja SeAMKissa

  • SeAMKin tietosuojavastaavana toimii tietoturvasuunnittelija Jarmo Jaskari (jarmo.jaskari(at)seamk.fi)
  • SeAMKin tietosuojailmoitukset, tietosuojapolitiikka, tietosuojaselosteet sekä tietojen tarkastusoikeutta ja luovuttamista koskevat ohjeet  löytyvät ​SeAMKin verkkosivuilta.
  • SeAMKin sisäiset tietosuojaohjeistukset on koottu SeAMK Intraan:

Alla olevan ohjeistuksen runko perustuu Tietosuojatyökaluja tutkijalle -listaan,
jonka on laatinut tietosuojavaltuutetun toimiston ylitarkastaja Raisa Leivonen.

1. Määritä tutkimussuunnitelmassa tutkimustehtävä ja henkilötietojen käyttötarkoitus mahdollisimman täsmällisesti

Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilötietoja ovat esimerkiksi nimi, osoite, sähköpostiosoite, puhelinnumero, IP-osoite ja valokuva.

Henkilötietoja voidaan kerätä ja käsitellä vain tietosuoja-asetuksessa määriteltyjen edellytysten mukaisesti ainoastaan tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten vastaisesti.

Tieteellisiä tutkimustarkoituksia (ml. TKI-toiminta) ei kuitenkaan katsota yhteensopimattomaksi​ alkuperäisten tarkoitusten kanssa.

2. Analysoi, mitkä henkilötiedot ovat tarpeellisia tutkimuksesi toteuttamiseksi (tietojen määrä ja luonne). Arvioi henkilötietojen tarpeellisuutta myös tutkimuksen aikana ja pyri minimoimaan käsiteltävien henkilötietojen määrä mahdollisimman nopeasti

Tietosuoja-asetuksen mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista käsittelytarkoituksen kannalta. Henkilötietojen käsittelyä ovat kaikki ne toimet, jotka kohdistetaan henkilötietoihin. Henkilötietoja voidaan säilyttää sellaisessa muodossa, josta tutkittava on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Käytännössä kannattaakin kerätä ainoastaan sellaisia henkilötietoja, jotka ovat oleellisia TKI-toiminnan kannalta (tietojen minimointi). Mieti siis aina etukäteen, onko henkilötieto tarpeellinen tieto vai voiko sen jättää kokonaan keräämättä.

Useinkaan tutkittavien nimiä tai yhteystietoja tms. ei tarvita enää aineiston analyysivaiheessa vaan ne kannattaa poistaa mahdollisimman nopeasti tutkimuksen edetessä. Yksittäiset tutkittavat voidaan erottaa toisistaan myös käyttämällä tunnisteita, esimerkiksi numerosarjaa (pseudonymisointi). On kuitenkin huomioitava, että seurantatutkimuksessa yhteystietoja tarvitaan myös myöhemmässä vaiheessa.

Mikäli keräät henkilötietoja, muodostuu niistä automaattisesti oma henkilörekisteri, josta tulee tehdä tietosuojaseloste /-ilmoitus. Tällöin on myös suunniteltava etukäteen henkilötietojen kerääminen, säilyttäminen, käsittely, mahdollinen luovuttaminen, poistaminen ja tuhoaminen sekä kuvattava nämä tietosuojaselosteeseen. SeAMKin tietosuojaselosteen / -ilmoituksen esitäytetty pohja löytyy SeAMK TKI-kehittämisryhmän SharePoint-sivuston kohdasta TKI:n tietosuoja.

3. Tee riskiarvio käsittelytoimistasi ja suhteuta suojaustoimenpiteet sen mukaisesti koko käsittelyn elinkaaren ajaksi

Henkilötietojen käsittelyyn liittyviä riskejä on arvioitava aina ennen kuin niitä ryhdytään käsittelemään. Riskianalyysin avulla tunnistetaan jo suunnitteluvaiheessa ne toimenpiteet, joihin on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi. Käytännössä pääsy henkilötietoihin täytyy aina rajata niihin henkilöihin, jotka tarvitsevat niitä tutkimuksen suorittamiseen.

Tietosuoja-asetuksen mukainen riskiarvio on tehtävä rekisteröidyn näkökulmasta eli rekisterinpitäjän on arvioitava

  • mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa
  • mitä vahinkoja rekisteröidylle voi aiheutua suunnitellusta henkilötietojen käsittelystä.

Tarkempia ohjeita riskiarvion tekemiseen löytyy Tietosuojavaltuutetun toimiston sivuilta.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi tulee tehdä silloin, jos käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn oikeuksille ja vapauksille.

Yksityiskohtaisempia ja käytännönläheisiä esimerkkejä niistä tilanteista, joissa vaikutustenarviointi tulee tehdä tietosuoja-asetuksen mukaisesti löytyy Tietosuojavaltuutetun toimiston sivuilta.

4. Suunnittele etukäteen menettelytavat eri tilanteiden, kuten tietoturvaloukkausten, varalle

On tärkeää jo etukäteen suunnitella mahdollisista henkilötietojen tietoturvaloukkauksista aiheutuvan vahingon estäminen ja minimointi. Tietosuoja-asetuksessa henkilötietojen tietoturvaloukkauksella tarkoitetaan vahingossa tai lainvastaisesti tehtyä tekoa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Huomaa, että näin voi tapahtua esimerkiksi USB-tikun kadotessa tai jos vaikka tietokone varastetaan.

  • Muista suojata USB-tikkusi, sillä pieni USB voi aiheuttaa suuria ongelmia. (Ohje SeAMK Intrassa)
  • Huomioi, että henkilötietoja sisältävä sähköposti tulee aina lähettää salattuna. Mikäli SeAMK:n ulkopuolelle lähetettävässä sähköpostissa on arkaluonteisia tietoja, esim.sosiaaliturvatunnuksia, passinumeroita, luottokortin numeroita jne. niitä ei saa lähettää selkokielisenä, vaan ne tulee aina lähettää salatulla sähköpostilla. SeAMKin sisäinen sähköpostiliikenne on aina salattua ja suojattua, joten sisäisiä sähköposteja ei tarvitse erikseen salata. (Ohje SeAMK Intrassa)

Jokainen SeAMKilainen on velvollinen ilmoittamaan havaitsemastaan tietoturvaloukkauksesta tai tietosuojan vaarantavasta poikkeamasta välittömästi tietosuojavastaavalle (jarmo.jaskari(at)seamk.fi)

5. Tunnista käsittelyperuste ja päivitä se tarvittaessa tietosuoja-asetuksen mukaiseksi (esim. suostumus)

Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta, joka on määritettävä ennen käsittelyn aloittamista. Henkilötietojen käsittelyn perusteet ilmenevät tietosuoja-asetuksen 6 artiklasta. Kyseinen artikla pitää sisällään kuusi eri perustetta, joiden pohjalta henkilötietoja voidaan käsitellä. Yleensä ammattikorkeakoulujen TKI-toiminnassa henkilötietojen käsittelyperuste on joko tutkittavan yksiselitteinen kirjallinen/suullinen suostumus tai yleisen edun mukainen tieteellinen tai historiallinen tutkimustarkoitus.

Lisätietoa käsittelyperusteista löytyy Tietosuojavaltuutetun toimiston sivuilta.

Jos tutkimusasetelma ei edellytä tietosuoja-asetuksen ulkopuolista syytä pyytää tutkittavien suostumusta (esimerkiksi tutkimuseettisistä lausuntoa) on käsittelyperusteena helpointa käyttää tutkittavan suostumuksen sijaan yleisen edun mukaista tieteellistä tai historiallista tutkimustarkoitusta (tietosuoja-asetuksen 6 artiklan 1 e kohta). Tätä käsittelyperustetta ei kuitenkaan voi käyttää kaupallisessa tutkimuksessa.

Katso myös: Tutkimuslupa, tutkittavien informointi ja suostumus

6. Kartoita käsittelyperusteeseen liittyvät rekisteröidyn oikeudet ja varmista niiden toteutuminen

Rekisteröidyllä on oikeus saada tietoa hänen henkilötietojensa keräämisestä sekä käsittelystä ja siksi tutkittavalle tulee antaa tarpeelliset tiedot siitä, miten hänen henkilötietojaan käsitellään. Tarkempia ohjeita Rekisteröidyn oikeuksista löytyy  Tietosuojavaltuutetun toimiston sivuilta. 

Rekisteröityä on informoitava mm. tarkoituksista, joihin tietoja käsitellään, tietojen käsittelyajoista, tietojen luovuttamisesta sekä rekisteröidyn oikeuksista.

SeAMKin tietosuojaselosteen / -ilmoituksen esitäytetty pohja löytyy SeAMK TKI-kehittämisryhmän SharePoint-sivuston kohdasta TKI:n tietosuoja.

7. Varaudu osoittamaan, että tietosuojasäännökset on huomioitu tutkimuksessasi: dokumentoi tietosuojaperiaatteiden toteutuminen ja muut tietosuoja-asetuksen mukaiset menettelytavat

Lisätietoa osoitusvelvollisuudesta löytyy Tietosuojavaltuutetun toimiston sivuilta.

8. Tunnista roolisi ja vastuusi! Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta. Jos tarvitset henkilötietojen käsittelyssä joidenkin muiden toimijoiden palveluja, tee kirjallinen sopimus ja laadi selkeät ohjeet käsittelylle

Toimi SeAMKin tietosuoja ja -turvaohjeistuksen mukaisesti. Henkilötietoaineistojen käsittely SeAMKissa -ohjeistus  auttaa valitsemaan kuhunkin tilanteeseen sopivan aineiston käsittely- ja tallennustavan. Ohjeet löytyvät SeAMK Intrasta.

9. Vaali luottamusta ja varmista tulevaisuuden tutkimuksen edellytykset noudattamalla tietosuojasäännöksiä sekä huolehtimalla läpinäkyvyydestä ja avoimuudesta

Muista noudattaa SeAMKin ohjeistuksia! SeAMKin TKI-toiminnan tietosuojaohjeet.

10. Tietosuojatyökalut ovat välttämätön osa tutkijan työkalupakkia!

Päivitä osaamistasi ja seuraa Tietosuojavaltuutetun tomiston verkkosivuja sekä SeAMKin tietosuojaohjeistusta.

Saavutettavuusseloste