Tietosuoja tutkimuksessa

KSSHP:n Tietoturva ja tietosuoja -sivulta löydät ajantasaiset yleiset ohjeet (KSSHP:n henkilökunnalle).

Henkilötietojen käsittely tutkimuksessa

Henkilötietojen käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat henkilötietojen käsittelyä.

Mikä on henkilötieto?

Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella. Esimerkki henkilötiedosta: KSSHP:n ma tutkimuskoordinaattori. Huomaa, että henkilön tunnistamiseen ei tarvita nimeä, syntymäaikaa eikä osoitetta. 

Myös pseudonymisoidut eli koodatut tiedot ovat henkilötietoa. Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi. Anonymisoidut tiedot eivät ole henkilötietoa. Lisää tietoa pseudonymisoidusta ja anonymisoidusta tiedosta.

Henkilötietojen käsittelyn oikeusperusteet

Henkilötietojen käsittelylle tutkimuksessa tulee olla aina laillinen käsittelyperuste. Peruste on määritettävä ennen käsittelyn aloittamista. Kun henkilötietojen käsittely sidotaan johonkin käsittelyperusteeseen, perustetta ei voi enää vaihtaa toiseen. 

Henkilötietojen käsittelyperuste tulee ilmoittaa tutkittavalle. Tutkimukselle valittu käsittelyperuste vaikuttaa myös muun informoinnin sisältöön. Käsittelyperuste määrittelee sen, mitä oikeuksia tutkittavalla on käytettävissään. Tietosuoja-asetuksessa on kuusi eri perustetta, joilla henkilötietojen käsittely on mahdollista. Tieteellisessä tutkimuksessa käytetään yleensä seuraavia käsittelyperusteita:

Henkilötietoja saa siis käsitellä yhden valitun tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisella perusteella. Tämän lisäksi on huomattava, että niin sanottuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely (aiemmin arkaluonteiset tiedot) on lähtökohtaisesti kiellettyä. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa käsitellä, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa tai kansallisessa lainsäädännössä.

Poikkeusperuste erityisten henkilötietoryhmien käsittelyyn tarkoittaa tietosuoja-asetuksen 9 artiklan 2 kohdan poikkeusperustetta, jonka perusteella erityisiä henkilötietoryhmiä käsitellään. Tämä tarvitaan yleisen käsittelyperusteen lisäksi, kun käsitellään erityisiä henkilötietoryhmiä.

Poikkeusperuste erityisten henkilötietoryhmien käsittelyyn:

  • Käsittely on tarpeen yleisen edun mukaisia tieteellisiä tutkimustarkoituksia varten. Tietosuojalain 6.1 §:n 7-kohdan mukaan erityisiä henkilötietoryhmiä voi käsitellä tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn.
  • Tutkittavan nimenomainen suostumus. Erona yleisenä käsittelyperusteena olevaan suostumukseen on se, että suostumus on henkilötietojen käsittelylle annettujen yleisten edellytysten lisäksi nimenomainen.
  • Kun käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi esimerkiksi julkaisemalla ne verkkosivuillaan.

Arvioi huolella, mikä käsittelyperuste tutkimukseesi soveltuu ja noudata valitun käsittelyperusteen käytön kriteereitä. Oikean käsittelyperusteen valitsemiseksi voit olla yhteydessä tutkimuskoordinaattoreihin.

Tietosuojaperiaatteet henkilötietojen käsittelyssä

  • Lainmukaisuus, asianmukaisuus ja läpinäkyvyys - Henkilötietojen käsittelyssä on noudatettava EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä. Henkilötietojen käsittelyn on oltava asianmukaista ja kohtuullista suhteessa käsittelyn tarkoitukseen. Henkilötietojen käsittelystä on kerrottava tutkittavalle selkeästi ja ymmärrettävästi.
  • Käyttötarkoitussidonnaisuus - Henkilötietojen käsittelyn tarkoitus on suunniteltava ja määritettävä selkeästi ennen käsittelyn aloittamista. Henkilötietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietoja ei saa käsitellä alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin.
  • Tietojen minimointi - Henkilötietoja saa käsitellä vain silloin, kun se on tarpeellista käsittelyn tarkoituksen kannalta. Henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta.
  • Tietojen täsmällisyys
  • Säilytyksen rajoittaminen - Henkilötietoja saa säilyttää vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten.
  • Luottamuksellisuus ja turvallisuus - Henkilötietojen käsittelyn on oltava luottamuksellista ja turvallista. Rekisterinpitäjän on arvioitava mahdollisia riskejä, organisaation tietosuoja- ja tietoturvaohjeistuksen tasoa sekä henkilötietojen teknistä suojausta. Suojatoimien riittävyyttä on punnittava suhteessa olosuhteisiin ja riskeihin.

Osoitusvelvollisuus 

Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä.

Osoitusvelvollisuuden tarkoituksena ei ole pelkästään lakisääteisten vaatimusten toteuttamisen arviointi. Sen tarkoituksena on myös näyttää, miten rekisterinpitäjä kunnioittaa rekisteröityjen eli henkilötietojen käsittelyn kohteena olevien tietosuojaa. Osoitusvelvollisuuden toteuttaminen lisää rekisterinpitäjän toimintaan kohdistuvaa luottamusta.

KSSHP:n tutkimuksista laadittava tietosuojaseloste on dokumentti osoitusvelvollisuuden toteuttamiseksi. Se pitää sisällään kuvauksen henkilötietojen käsittelystä tutkimuksessa sekä tiedot tutkittavan informointia varten.

Tutkimuksessa kerättävistä tiedoista muodostuu tutkijalle oma tutkimusrekisteri. Henkilötietojen käsittely tutkimuksessa perustuu asianmukaiseen tutkimussuunnitelmaan ja osa tutkimussuunnitelmaa on aineistonhallinnan suunnittelu. Tutkimuksella on lisäksi oltava vastuullinen johtaja tai siitä vastaava ryhmä. Tutkijoiden on varmistuttava tutkimukselle laissa säädettyjen edellytysten täyttymisestä ennen tutkimuksen aloittamista sekä sen kuluessa. Tietosuoja-asiakirjat laatii tutkimuksesta vastaava henkilö tai tutkimuksen toimeksiantaja.

Tutkimusrekisterille laaditaan tietosuojaseloste ja tietoturvariskien itsearviointi. Lisäksi, jos tutkimuksen tiedot koodataan eli pseudonymisoidaan, laaditaan tietosuojaseloste avainkoodirekisterille ja tälle oma tietoturvariskien itsearviointinsa. Tietosuojalomakkeet löydät täältä

Kun tutkimukselle täytyy hakea eettisen toimikunnan lausunto, niin tutkimuksesta vastaava henkilö toimittaa lausuntohakemuksen liitteenä tutkimuksen tietosuojaselosteen. Lisäksi tietosuoja-asiakirjat toimitetaan tutkimuskoordinaattorille lupahakemuksen liitteenä.

Henkilötietojen kerääminen edellyttää voimassa olevaa tutkimuslupaa ja tutkimussuunnitelmaa. Tutkimusrekisteriin kerättävistä tiedoista on informoitava tutkimuksen kohteena olevia henkilöitä informointi on kirjallisesti dokumentoitava. Tutkimussuunnitelmassa tutkimuksesta vastaava henkilö ilmoittaa ne tutkimuksen tekoon osallistuvat tutkijat, joilla on lupa käyttää tutkimuksen rekisteritietoja.

Tutkimustietojen säilytyksestä ja arkistoinnista sovitaan tutkimuskoordinaattorin kanssa. Sähköiset tutkimusaineistot tallennetaan ja säilytetään Tutkimusmateriaali-Arkissa, jonne tunnukset haetaan tutkimuskoordinaattorilta. Arkkia on mahdollisuus käyttää myös ulkoisilla tunnuksilla etäkäytössä. Lisää tietoa tutkimusaineiston käsittelystä.

KSSHP:n tietosuojakoulutus tutkijoille

KSSHP:n tutkijoiden tietosuojakoulutuksen tallenteen ja materiaalit löytyvät Tutkimusmateriaali-Arkista (vain KSSHP:n henkilökunnalle).