Henkilötietojen käsittely tutkimuksessa

Tunnista, käsitteletkö henkilötietoja tutkimuksessasi. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, kuten videokuvaa tai ääninauhoitetta henkilöstä, IP-osoite, henkilön paikannustieto tai tietoja, joita yhdistelemällä ihminen voidaan tunnistaa (esimerkiksi osoitetiedot ja työnimike).

Apua henkilötiedon määrittelyyn

Jos keräät tietoja ihmisistä tai ihmisiltä, oleta sen olevan henkilötietoa. Myös pseudonymisoitu tieto on henkilötietoa. Enemmän tietoa henkilötiedon määrittelystä löydät seuraavasta osoitteesta: "Mikä on henkilötieto" (tietosuoja.fi)

Jos käsittelet henkilötietoja, toimi seuraavasti:

1. Suunnittele tietojen keruu

Ymmärrä tutkimusprojektisi tavoitteet nyt ja tulevaisuudessa. Mieti mitä tietoa tarvitset ja myös mitä tietoa et tarvitse. Mieti miten voit suunnitella tutkimusprojektisi siten, että tieto on mahdollisimman tunnistettavissa olevaa mutta silti täyttää tutkimuksen tavoitteet. Nämä tiedon minimoinnin ja oletusarvoisen tietosuojan periaatteet ovat keskeisiä tietosuoja-asetuksen (GDPR) tavoitteita.

2. Suunnittele henkilötietojen käsittelyn koko elinkaari

Suunnittele henkilötietojen käsittelyn koko elinkaari (ml. kerääminen, tallentaminen, käyttö, tutkimusyhteistyö, jatkotutkimus, arkistointi, poistaminen) ennen kuin ryhdyt keräämään tai muutoin käsittelemään henkilötietoja. Suunnittelussa voi käyttää apuna tietosuojailmoitusta (ks. kohta 5).

Tietoarkisto on sertifioitu arkisto tutkimusaineistoille. Tietoarkiston aineistonhallinnan käsikirja sisältää hyviä ohjeita henkilötietojen käsittelyyn.

3. Huolehdi tietoturvasta ja käytä Aallossa hyväksyttyjä tietojärjestelmiä

Huolehdi riittävistä tietoturvatoimenpiteistä ja käytä vain Aallon hyväksymiä tietojärjestelmiä.

  • Tietoturvan osalta tutustu alla olevaan Aallon Henkilötietojen käsittelyn tietosuoja ja tietoturva -ohjeeseen (erityisesti kohdat 3, 9, 11, 12 ja Erityisohjeet 1 ja 2)

  • Luettelo henkilötietojen käsittelyyn hyväksytyistä palveluista löytyy liitteenä olevan Tietoaineistojen luokittelun pikaohjeen kohdista ”Luottamuksellinen”  ja ”Salainen”.

Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje

Ohjeeseen on tiivistetysti koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta.

Tietoaineistojen luokittelun pikaohje, pdf, attachment 122.35 K

4. Arvioi käsittelyn riskit tutkittaville

4.1. Hanki ennakkoarviointi ennen arkaluonteisten henkilötietojen käsittelyä

Mikäli tutkimuksessasi käsitellään arkaluonteisia henkilötietoja, tulee ennen henkilötietojen käsittelyn aloittamista hankkia Aallon tutkimuseettisen toimikunnan ennakkoarviointi. Muissakin tapauksessa esimerkiksi tutkimuskumppani, julkaisija tai rahoittaja voi vaatia eettisen arvioinnin. Puuttuva ennakkoarviointi voi estää tutkimusprojektin julkaisun tai rahoituksen.

  • Arkaluonteinen henkilötieto on tieto, josta ilmenee rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys. Myös geneettinen tai biometrinen tieto henkilön yksiselitteistä tunnistamista varten sekä terveyttä, seksuaalista käyttäytymistä ja suuntautumista koskeva tieto on arkaluonteinen henkilötieto.

4.2. Tee tarvittaessa vaikutusten arviointi (DPIA)

Vaikutusten arviointi (DPIA) on suoritettava, jos suunniteltuun henkilötietojen käsittelyyn todennäköisesti liittyy merkittäviä tietosuojariskejä tutkittavien (rekisteröityjen) kannalta. Näin voi olla esim. silloin, kun käsitellään suuria tietomääriä tai kun käsitellään lasten tai arkaluonteisia henkilötietoja. DPIA sisältyy Aallon tutkimuseettisen toimikunnan ennakkoarviointiin.

Tutkimuseettinen toimikunta

Tutkimuseettinen toimikunta huolehtii ihmistieteisiin kuuluvan ei-lääketieteellisen tutkimuksen eettisen ennakkoarvioinnin järjestämisestä yliopistossa.

Oposeminaari 2018

5. Tunnista henkilötietojen käsittelyperuste

Henkilötietoja saa käsitellä ainoastaan silloin, kun käsittelyllä on jokin tietosuoja-asetuksessa luetelluista käsittelyperusteista. Tieteellisessä tutkimuksessa käsittelyperuste on yleensä joko ”yleisen edun mukainen tehtävä” tai ”suostumus”.

  • Valittu käsittelyperuste vaikuttaa mm. siihen, millaisia oikeuksia tutkittavalla on. Jos henkilötietojen käsittely perustuu ”suostumukseen”, on se voitava myös perua. Jotta tutkimus ei vaarannu, kannattaa henkilötietojen käsittely perustaa ”yleisen edun mukaiseen tehtävään” silloin, kun se on mahdollista.

6. Laadi tietosuoja-ilmoitus

Valitse tietosuojailmoituspohja:

  • Jos keräät henkilötietoja suoraan henkilöitä, käytä dokumentteja ”Participation Confirmation” ja ”Tietosuojailmoitus tutkimukseen osallistuvalle” (engl. Research Data Privacy Notice). Anna dokumentit osallistujille.

  • Jos keräät terveystietoja tai arkaluontoisia henkilötietoja (eli tietosuoja-asetuksen mukaisia erityisiä henkilötietoryhmiä), käytä dokumenttia "Health and Special Category Privacy Notice for Research Study".

  • Jos saat henkilötietoja muualta, esim. Aallon yhteistyökumppanilta tai rekisteristä, täytä ”Research Data Privacy Notice" –dokumentti.

  • Aallon Tietosuojailmoitus-dokumenttipohjat (saatavilla vain Aalto-tunnuksella)

Huolehdi tutkittavien informoinnista ennen kuin ryhdyt keräämään tai muutoin käsittelemään henkilötietoja. Varmista, että henkilötietojen käsittely on kuvattu yhdenmukaisesti tutkimus- ja aineistonhallintasuunnitelmassa sekä tietosuojailmoituksessa.

7. Dokumentoi henkilötietojen käsittely

Dokumentoi henkilötietojen säilyttämisessä ja muussa käsittelyssä käyttämäsi järjestelmät täyttämällä liitteenä oleva lomake ”Seloste käsittelytoimista".

Lähetä täyttämäsi seloste yhdessä Tietosuojailmoituksen kanssa: [email protected].

Seloste käsittelytoimista tutkimuksessa, docx, attachment 19.73 K

    8. Mikäli siirrät tai luovutat henkilötietoja käsiteltäväksi Aallon ulkopuolelle, huomioi seuraava:

    • Jos ulkopuolinen taho käsittelee henkilötietoja Aallon määrittelemiin tarkoituksiin, esim. kun henkilötietoja siirretään alihankkijalle tai pilvipalveluun, käytä Aallon ulkoistamismallisopimusta (DPA).

    • Jos henkilötietoja siirretään toiselle yliopistolle tai tutkimuslaitokselle, joka määrittelee henkilötietojen käyttötarkoituksen yhdessä Aallon kanssa tai yliopistoilla on yhteinen henkilörekisteri, jota molemmat itsenäisesti hyödyntävät, ovat molemmat yliopistot rekisterinpitäjiä.

    • Jos henkilötietoja luovutetaan toiselle yliopistolle tai tutkimuslaitokselle siten, että se voi itse määritellä henkilötietojen käyttötarkoituksen, tulee esim. käyttötarkoituksesta ja tutkittavien informoinnista sopia yksityiskohtaisesti ennen henkilötietojen luovutusta.

    • Henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle vain tietyin edellytyksin. Lisätietoa löytyy: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu_en

    Aallon sopimuspohjat (saatavilla vain Aalto-tunnuksella):

    Sopimuksen allekirjoittaa sama taho, jolla on oikeus allekirjoittaa pääsopimus. Allekirjoitetut sopimukset tulee lähettää: [email protected]

    9. Informoi käsittelyn muutoksista tutkittavia ja päivitä dokumentit

    Henkilötietoja saa käsitellä vain siten, kuin tutkittaville on ennen käsittelyn aloittamista kerrottu (tietosuojailmoituksessa). Mikäli sinulle tulisi tutkimuksen aikana tarpeellista käsitellä henkilötietoja muulla tavalla kuin mitä tutkittaville on kerrottu, täytyy muutoksista informoida tutkittavia ja päivittää kaikki tarpeelliset dokumentit, kuten tietosuojailmoitus.

    Tutustu muihin tietosuojaohjeisiin

    Tutustu näiden ohjeiden lisäksi oman tieteenalasi henkilötietojen käsittelyä koskeviin yleisesti hyväksyttyihin käytäntöihin, henkilötietojen käsittelyä yleisesti käsittelevään sivuun ja Aallon tietosuojapolitiikkaan.

    Mikäli tarvitset lisäapua, voit kääntyä koulusi lakimiehen tai Aallon tietosuojavastaavan puoleen.

    Aalto-yliopiston tietosuojapolitiikka

    Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

    Palvelut

    Tietosuoja ja henkilötietojen käsittely Aalto-yliopistossa

    EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa.

    Palvelut
    Tätä palvelua tarjoaa:

    Tutkimus- ja innovaatiopalvelut

    Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.
    • Julkaistu:
    • Päivitetty:
    Jaa
    URL kopioitu