Miten opiskelijana käsittelet henkilötietoja opinnoissa - vastauksia usein kysyttyihin kysymyksiin
Tältä sivulta löydät vastauksia usein kysyttyihin kysymyksiin liittyen siihen, miten opiskelijana käsittelet henkilötietoja opinnoissa.
Henkilötietojen käsittely tutkimuksessa
Tämän ohjeistuksen kohderyhmänä ovat Aalto yliopiston tutkijat sekä tutkijoita tukeva palveluhenkilöstö. Tässä ohjeessa on pyritty kuvaamaan käytännönläheisesti ne kysymykset, jotka tutkijan tulee pohtia sekä dokumentit, jotka tulee valmistella, jos tutkimuksessa kerätään ja käsitellään henkilötietoja.
Aloitetaan käymällä läpi muutamat tärkeimmät käsitteet.
| Henkilötieto |
Henkilötietoja ovat kaikki luonnolliseen henkilöön yhdistettävissä olevat tiedot, eivät ainoastaan suorat henkilötiedot, kuten nimi ja yhteystiedot. Useimmiten kaikki tutkittavista keräämäsi tutkimusdata on henkilötietoa, kuten haastatteluvastaukset, havainnot, muistiinpanot tutkittavien käytöksestä tai toiminnasta ja erilaiset kuvantamis- ja mittaus tulokset.
|
| Psudonymisoitu henkilötieto | Esimerkiksi henkilötietojen koodaaminen on pseudonymisointia. Koodattuja tietoja ei voida yhdistää tiettyyn henkilöön ilman koodiavainta. Koodiavaimen haltija voi kuitenkin purkaa tietoaineiston salauksen ja helposti tunnistaa uudelleen jokaisen rekisteröidyn. Pseydonymisoitu aineisto on edelleen henkilötietoja ja siihen sovelletaan tietosuojalainsäädäntöä aivan samoin kuin suoraan tunnisteelliseen henkilötietoon. Pseudonymisoitua ja anonymisoitua tietoa ei tule sekoittaa keskenään. |
| Anonyymi tieto | Yksittäisen henkilön tunnistaminen aineistosta on mahdotonta. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi. Anonyymillä tiedolla on oikeudellisesti eri merkitys kuin usein arkikielessä puhuttaessa. Anonyymin tiedon käsitettä tulee käyttää tarkasti, koska anonyymi tieto ei ole henkilötietoa, eikä siihen siten sovelleta tietosuojalainsäädäntöä. Harvassa tutkimusprojektissa aineisto on heti keräämisestä lähtien aidosti täysin anonyymiä. |
| Tietosuoja-asetus / GDPR | EU:n Yleinen tietosuoja-asetus, joka muodostaa koko tietosuojalainsäädännön pohjan Euroopassa. |
| Datanhallintasuunnitelma (DMP) | Ei ole yksi GDPR:n edellyttämistä dokumenteista, mutta tietyt rahoittajat vaativat kyseistä suunnitelmaa ja se onkin hyödyllinen työkalu datan keräämisen ja käytön suunnittelussa. Dokumentti on sisäinen eli sitä ei esimerkiksi anneta tutkittaville tiedoksi. |
| Tietosuojaseloste / tietosuojailmoitus | Termejä käytetään usein dokumentista, jonka tarkoituksena on tarjota tutkittavalle eli rekisteröidylle GDPR:n edellyttämät tiedot. GDPR:ssä on yksityiskohtainen lista tietoja, jotka täytyy aina kertoa rekisteröidylle, jos henkilötietoja kerätään. Käytännössä tämä velvoite on helpointa toteuttaa laatimalla kirjallinen tietosuojaseloste, joka toimitetaan tutkittavien saataville. |
1. Suunnittele tietojen keruu ja koko elinkaari
Suunnittele tarkasti, mitä tietoa sinun tarvitsee kerätä tutkimuskysymyksiin vastaamiseksi. Huomaathan, että tutkimusprojektissa voi olla tarpeen kerätä 1) henkilötietoja sekä 2) muuta dataa ja aineistoa, jota ei lueta henkilötiedoksi. Sinulle täytyy olla jokaisessa vaiheessa selvää se, mitkä keräämistäsi tiedoista ovat henkilötietoja ja mitkä eivät. Yksi GDPR:ssä määritellyistä periaatteista on tietojen minimointi, joka tarkoittaa että turhia henkilötietoja ei saa kerätä tai säilyttää.
Suunnittele henkilötietojen käsittelyn koko elinkaari eli kerääminen, tallentaminen, käyttö, jakaminen, jatkotutkimus, arkistointi ja tietojen poistaminen ennen kuin ryhdyt keräämään tai muutoin käsittelemään henkilötietoja.
Suunnittele myös, missä sähköisissä järjestelmissä aiot käsitellä ja säilyttää keräämiäsi henkilötietoja. Mikäli sinulla myös manuaalisia eli paperisia aineistoja, suunnittele myös niiden huolellinen säilytys.
Datanhallintasuunnitelma (DMP) on hyvä työkalu datan keräämisen ja elinkaaren suunnitteluun.
Julkisista lähteistä kerätty tieto
Huomaathan, että GDPR:ää sovelletaan myös julkisista lähteistä kerättyyn henkilötietoon. GDPR ei siis sisällä sellaista poikkeusta, jonka mukaan sen soveltamisalaan ei kuuluisi julkisista lähteistä kerätty henkilötieto. Tällaisia ovat esimerkiksi sosiaalisen median sekä keskustelualustoilta ja erilaisilta avoimilta verkkosivustoilta kerättävät henkilötiedot. Jos teet tutkimusta keräämällä tällaisia henkilötietoja, sinulla tulee edelleen olla henkilötietojen käsittelyperuste sekä velvollisuus informoida henkilötietojen keräämisestä ja käsittelystä, ellei kyseisten tietojen toimittaminen ole mahdotonta tai vaatisi kohtuutonta vaivaa. Julkisten henkilötietojen keräämisen osalta Aalto-yliopisto suosittelee, että tukija luonnostelee hankkeelle tietosuojailmoituksen ja mikäli sen saattaminen suoraan rekisteröityjen tietoon on mahdotonta tai kohtuuttoman vaikeaa, tietosuojailmoitus julkaistaan avoimena aalto.fi sivulla.
Aalto-yliopiston webinaari tutkimuseettisistä ja oikeudellisista seikoista, jotka tulee huomioida kun tutkimusaineisto kerätään julkisilta verkkoalustoilta: Research Ethics and Legal Questions in Web Based Research, 7.11.2024 (Aalto University) - YouTube.
Datanhallinnan suunnittelu ja suunnitelman laatiminen
Laadi aineistonhallintasuunnitelma (DMP) varmistaaksesi, että tutkimusdatasi on laadukasta ja FAIR-periaatteiden mukaista: löydettävää, saavutettavaa, yhteentoimivaa ja uudelleenkäytettävää.
2. Arvioi käsittelyn riskit tutkittaville
Tämän kohdan toimenpiteet koskevat sellaisia tutkimuksia, joissa käsitellään arkaluontoisia henkilötietoja ja/tai käsittelyyn muuten liittyy tavanomaista suurempia riskejä.
2.1 Mikä on arkaluontoinen henkilötieto?
Erityisiin henkilötietoryhmiin kuuluvat henkilötiedot ovat tietoa, joka koskee tai josta ilmenee:
- Terveydentila
- Poliittinen mielipide
- Rotu tai etninen alkuperä
- Uskonnollinen tai filosofinen vakaumus
- Ammattiliiton jäsenyys
- Geneettinen tai biometrinen tieto henkilön yksiselitteistä tunnistamista varten; tai
-
Seksuaalinen käyttäytyminen ja/tai suuntautuminen.
Muutoin arkaluontoisia tietoja voivat olla esimerkiksi tieto, joka liittyy rikosrekisteriin, henkilötunnukseen tai pankkitilitietoihin. Tutkittavan henkilötunnusta ei tule koskaan kerätä ilman perusteltua syytä. Tällainen syy on esimerkiksi vaatimus verohallinnolle tehtävästä ilmoituksesta, jos tutkimuspalkkio maksetaan tutkimukseen osallistujalle rahana.
2.2. Hanki ennakkoarviointi ennen arkaluonteisten henkilötietojen käsittelyä
Mikäli tutkimuksessasi käsitellään arkaluonteisia henkilötietoja, tulee ennen henkilötietojen käsittelyn aloittamista hankkia Aallon tutkimuseettisen toimikunnan ennakkoarviointi. Muissakin tapauksissa esimerkiksi tutkimuskumppani, julkaisija tai rahoittaja voi vaatia eettisen ennakkoarvioinnin. Puuttuva ennakkoarviointi voi estää tutkimusprojektin tulosten julkaisun tai rahoituksen.
Tutkimuseettinen ennakkoarviointi: Tutkimuseettinen toimikunta
Tutkimuseettinen toimikunta huolehtii ihmiseen kohdistuvan ei-lääketieteellisen tutkimuksen eettisen ennakkoarvioinnin järjestämisestä yliopistossa.
2.2. Tee tarvittaessa vaikutusten arviointi (DPIA)
Mikä on DPIA?
Vaikutustenarviointi (Data protection impact assesment ”DPIA”) on sisäinen dokumentti, jonka tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. DPIA dokumenttia ei tarvitse tehdä automaattisesti jokaisen tutkimushankkeen osalta. DPIA on tehtävä, jos suunniteltuun henkilötietojen käsittelyyn todennäköisesti liittyy merkittäviä tietosuojariskejä tutkittavien kannalta. Näin voi olla esimerkiksi silloin, kun käsitellään suuria tietomääriä, tai kun käsitellään lapsia koskevia tai arkaluonteisia henkilötietoja.
Alla olevilta sivuilta löydät ohjeet siihen, miten osaat arvioida tarvitaanko DPIA ja miten DPIA tehdään. Aalto-yliopistossa on käytössä avuksesi ohjeistus, jossa on kymmenen (10) eri kriteeriä, jotka lisäävät tutkimuksen henkilötietojen käsittelyyn riskejä ja jos vähintään (2) kaksi kymmenestä edellytyksestä täyttyy, DPIA on syytä tehdä. Sivustolta löydät myös Aallon DPIA mallipohjan.
Vaikutustenarviointi (DPIA)
Milloin vaikutustenarviointi (DPIA) henkilötietojen käsittelyn riskeistä on tehtävä, ja mitä sen tekemisessä on otettava huomioon.
3. Laadi tietosuojailmoitus
3.1 Mallipohja ja ohjeet
Monet henkilötietojen käsittelyä koskevat seikat tulevat tutkijan ratkaistavaksi viimeistään siinä kohdassa, kun tutkija laatii tietosuojaselosteen tutkimukselle. Tietosuojaselosteen laadinnasta ja Aallon mallipohjan täyttämisestä vastaa tutkija. Tutkimuksen lakipalvelut avustavat, mikäli vastaus kysymykseesi ei selviä ohjeista ja sinulla on vaikeampi oikeudellinen kysymys tai kysymyksiä liittyen tietosuojaselosteeseen ja tutkittavien informointiin. Käytä aina Aalto-yliopiston tietosuojaselosteen mallipohjaa, kun Aalto-yliopisto on tutkimuksen rekisterinpitäjä. Mallipohjaa voi tietysti käyttää myös tilanteissa, joissa Aalto toimii yhteisrekisterinpitäjänä muiden tutkimuskumppaneiden kanssa. Pohjassa on runsaasti ohjeita sen täyttämiseen ja tässä kohdassa on joitakin täydentäviä ohjeita.
Tietosuojaseloste pitää laatia erikseen jokaisen tutkimusprojektin osalta, jossa käsitellään henkilötietoja. Aalto-yliopistolla ei ole siis sellaista yleistä tietosuojaselostetta, joka kattaisi kaikki tutkimusprojektit. Isoissa ja pitkäkestoisissa tutkimusprojekteissa, joissa kerätään dataa eri menetelmillä ja eri tutkittavilta, voi olla syytä luonnostella erilliset tietosuojaselosteet eri tutkimuksen osioille. Tapauskohtaista harkintaa vaaditaan siinä, mikä on kussakin tapauksessa käytännöllisintä ja myös selkeintä tutkittavalle.
Tietosuojailmoitus tulee kirjoittaa sellaiselle henkilölle, jolla ei ole erityistä kokemusta tutkimuksen ammattikielestä. Käytetyn kielen pitää olla siis selkeää ja yksinkertaista yleiskieltä ja esimerkiksi hankalien ammattitermien käyttöä tulee välttää.
Tietosuojaselosteen mallipohjan löydät täältä: Aallon Tutkimuksen tietosuojailmoitus-dokumenttipohja (saatavilla vain Aalto-tunnuksella).
Mikäli toteuttamasi tutkimus on lääketieteellistä tutkimusta (laki lääketieteellisestä tutkimuksesta 488/1999), voi olla parempi käyttää esimerkiksi hyvinvointialueen ja Helsingin ja Uudenmaan sairaanhoitopiirin (HUS) mallipohjaa.
Lääketieteellisellä tutkimuksella tarkoitetaan sellaista tutkimusta, jossa:
- puututaan ihmisen tai ihmisen alkion taikka sikiön koskemattomuuteen (fyysiseen tai psyykkiseen); ja
- jonka tarkoituksena on lisätä tietoa terveydestä, sairauksien syistä, oireista, diagnostiikasta, hoidosta, ehkäisystä tai tautien olemuksesta yleensä; ja
- joka ei ole kliininen lääketutkimus siten kuin kliininen lääketutkimus on määritelty lääketutkimusasetuksessa.
3.2 Mistä tiedän mitkä ovat ”GDPR:n mukaiset roolit”?
Rekisterinpitäjän määrittely yksittäisessä tutkimushankkeessa on tehtävä tapauskohtaisen arvioinnin perusteella. Usein useampi eri lopputulos on oikeudellisesti järkevästi perusteltavissa, joten “oikeiden” roolien tulkinta ei aina ole mustavalkoista tai helppoa. Alta löydät esimerkkitilanteita, jotka auttavat sinua arvioimaan, mitkä ovat kunkin osapuolen roolit tutkimushankkeessasi.
Huomioithan, että “tutkimusryhmä” tai “projekti” ei ole sellainen juridinen oikeushenkilö, joka voi tehdä päteviä sitoumuksia tai olla juridisesti vastuussa. Jos tutkimusryhmässä on tutkijoita kolmesta eri tutkimusorganisaatiosta ja kaikki käsittelevät henkilötietoja, kaikille kolmelle pitää löytyä GDPR mukainen rooli. Tässä tilanteessa et voi siis kirjata tietosuojaselosteeseen, että ”henkilötietoja ei luovuteta tutkimusryhmän/Aallon ulkopuolelle”. Muiden yliopistojen tutkijat ovat siis GDPR:n näkökulmasta “kolmansia” tai “ulkopuolisia”, koska he ovat työsuhteessa toiseen organisaatioon.
| Rekisterinpitäjä | Määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot (molempien edellytysten pitää täyttyä). Rekisterinpitäjä siis päättää, mitä tutkitaan ja miten, sekä mitä aineistoa on tarpeen kerätä ja missä sitä käsitellään. Suuri merkitys on sillä, kuka tai ketkä ovat suunnitelleet tutkimuksen ja kirjoittaneet esimerkiksi tutkimussuunnitelman. Jos Aaltoon työsuhteessa olevat tutkijat toteuttavat tutkimusta ja keräävät henkilötietoja, Aalto-yliopisto on tutkimuksen rekisterinpitäjä. Vierailijoiden ja henkilökohtaisella apurahalla työskentelevien tutkijoiden osalta rekisterinpitäjyys arvioidaan tapauskohtaisesti. Rekisterinpitäjällä on pääasiallinen vastuu kaikesta dokumentaatiosta, vastuu määritellä̈ tehtävät ja ehdot jos aineistoa luovutetaan muille. |
| Yhteisrekisterinpitäjät | Vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot. Esimerkiksi kun kahden eri yliopiston tutkijat ovat yhdessä kirjoittaneet tutkimussuunnitelman ja toteuttavat tutkimusta yhteistyössä, kyseessä on useimmiten yhteisrekisterinpitäjyys. Toimijat vastaavat yhteisvastuullisesti kaikesta henkilötietojen käsittelystä, myös toisen rekisterinpitäjän toimesta tehtävästä henkilötietojen käsittelystä. Yhteisrekisterinpitäjä on syytä olla tunnettu ja luotettava kumppani, jotta voimme luottaa heidän noudattavan GDPR:n vaatimuksia. |
| Käsittelijä | Käsittelee henkilötietoja rekisterinpitäjän lukuun, ei itsenäistä määräysvaltaa käsittelemiinsä tietoihin. Esimerkiksi käsittelijöitä ovat ulkopuoliset litterointi- ja palvelut, alustojen ja IT ympäristöjen toimittajat ja joissakin tapauksissa myös muut tutkimusorganisaatiot, jos ne käsittelevät aineistoa tarkasti toisen tutkimusorganisaation ohjauksessa ilman suurta itsenäistä päätösvaltaa tai roolia tutkimuksen suunnittelussa ja toteutuksessa. Vastuu noudattaa tarkoin rekisterinpitäjän kaikkia ohjeita henkilötietojen käsittelystä. |
| Itsenäiset rekisterinpitäjät |
Joskus molemmat tutkimuksen osallistuvat osapuolet toimivat kumpikin tahoillaan itsenäisenä rekisterinpitäjänä. Molemmat määrittävät itse tahoillaan henkilötietojen käsittelyn tarkoitukset ja keinot. Esimerkiksi jos molemmilla on omat itsenäiset tutkimussuunnitelmat tai jos yritykset luovuttavat ensin muuhun tarkoitukseen kerättyä dataa Aallolle tutkimuskäyttöön, osapuolet voivat toimia kumpikin tahoillaan erillisinä rekisterinpitäjinä. |
3.3 Mitä minun tulee huomioida tai tehdä käytännössä kun siirrän tai luovutan henkilötietoja Aallon ulkopuolelle?
Vastaus riippuu siitä, mikä on henkilötiedot vastaanottavan tahon GDPR:n mukainen rooli. Alla on eritelty tarvittavat toimenpiteet roolista riippuen.
| Käsittelijä |
Aalto-yliopisto rekisterinpitäjänä luovuttaa tietoja käsittelijälle: Jos ulkopuolinen taho käsittelee henkilötietoja Aallon määrittelemiin tarkoituksiin, esimerkiksi kun henkilötietoja siirretään alihankkijalle tai toiseen yliopistoon, tulee solmia GDPR:n mukaan pakollinen tietojenkäsittelysopimus (eng. ”data processing agreement” / ”DPA”). Aallon tulee varmistaa, että sopimus tulee solmittua. Tutkimuksen lakipalvelut avustavat DPA sopimusten kanssa. Aalto-yliopisto toimii käsittelijänä: Mikäli Aalto on henkilötietojen käsittelijä ja toinen osapuoli rekisterinpitäjän roolissa, rekisterinpitäjä vastaa DPA sopimuksen laadinnasta. Apua yhteistyökumppanin toimittamaan DPA sopimuksen tarkastamiseen saat tutkimuksen lakipalveluista. Myös Aallon sopimuspohjaa voi käyttää, mikäli rekisterinpitäjällä ei ole esimerkiksi omaa sopimuspohjaa. Sopimus: Henkilötietojen käsittelysopimus / eng. data processing agreement (DPA). Tutkimuksen juristeilla on saatavilla ajantasainen sopimuspohja. |
| Yhteisrekisterinpitäjät |
Tärkein velvollisuus on, että yhteisrekisterinpitäjyys on selkeästi kirjattu tietosuojaselosteeseen ja sovittu keneen yhteisrekisterinpitäjään tutkittava voi olla yhteydessä tietosuojaan liittyvissä kysymyksissä. GDPR:n mukaan yhteisrekisterinpitäjyydestä ei ole pakollista tehdä kirjallista sopimusta, mutta se on suositeltavaa. Luotettavien suomalaisten kumppanien kanssa sopimuksen solmiminen ei ole välttämätöntä (esim. muut suomalaiset yliopistot). Ulkomaisten tuntemattomampien kumppaneiden kanssa kirjallisen sopimuksen tekeminen voi taas olla järkevää riskienhallinnan kannalta. Tutkimuksen lakipalvelut avustavat yhteisrekisterinpitäjäjyyteen liittyvien sopimusten (JCA Joint Controller Agreement) kanssa. Sopimus: Tarvittaessa yhteisrekisterinpitäjyys sopimus / eng. Joint Controller Agreement (JCA). |
| Rekisterinpitäjä- rekisterinpitäjä |
Joskus molemmat osapuolet, sekä luovuttaja että vastaanottaja toimivat kumpikin tahoillaan itsenäisenä rekisterinpitäjänä. GDPR ei edellytä kirjallisen sopimuksen tekemistä, joten sopimus vaatii tapauskohtaista harkintaa ja riippuu myös siitä, olemmeko vastaanottajan vai luovuttajan puolella. Jos olemme henkilötietojen luovuttajan roolissa, niin meidän tulee varmistua siitä, että meillä on oikeus luovuttaa henkilötiedot ja vastaanottajalla on asianmukainen käsittelyperuste. Sopimus: Tapauskohtainen harkinta, ei vakiomuotoista mallipohjaa. |
3.4 Entä jos minun tulee luovuttaa henkilötietoja EU/EAA alueen ulkopuolelle?
Henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle vain tietyin edellytyksin, koska EU/ETA alueen ulkopuolella ei ole taetta siitä, että tietosuojalainsäädännön taso on yhtä korkea kuin EU:ssa. Tämä voi tietysti luoda riskejä rekisteröityjen oikeuksille. Rekisteröityä tulee läpinäkyvästi informoida siirrosta. Lisäksi tulee määritellä erityinen siirtoperuste.
- Tarkista ensin, onko valtio, johon olet siirtämässä tietoja Euroopan komission vastaavuuspäätösten listalla ("adequacy decision"). Jos valtio löytyy listalta, komisssio on todennut, että kyseisen valtion tietosuojalainsäädäntö vastaa GDPR:n suojatasoa, joten siirto on ok. Informoi kuitenkin siirrosta läpinäkyvästi tietosuojaselosteessa ja kerro selkeästi mihin valtioon olet siirtämässä tietoja. EU:n sivuston aiheesta ja listan valtioista löydät täältä: Adequacy decisions.
- Mikäli valtio ei löydy listalta, ole yhteydessä tutkimuksen lakipalveluihin, he auttavat sinua määrittämään siirtoperusteen tapauskohtaisen harkinnan perusteella ja kirjaamaan asian tietosuojaselosteeseen.
3.5 Miten valitsen oikean käsittelyperusteen?
Tieteellisessä tutkimuksessa käsittelyperuste on yleensä ”yleisen edun mukainen tieteellinen tutkimus”. Tallaisia ovat useimmiten Aallossa toteutettavat tutkimukset, kun vähintään väitöskirjatutkijan tasoinen tutkija toteuttaa tutkimusta ja tavoitteena on tieteellinen julkaisu.
"Suostumusta" tulee käyttää käsittelyperusteena vain, jos tutkimus ei täytä tieteellisen tutkimuksen tunnusmerkistöä tai siihen on muu erityinen syy.
Käsittelyperusteen valinta on tärkeää, koska se vaikuttaa mm. tutkijan velvoitteisiin ja tutkimukseen liittyviin mahdollisuuksiin. Jos henkilötietojen käsittely perustuu suostumukseen, suostumuksen voi perua ja kun henkilötietojen käsittelyperuste katoaa, tutkijan on poistettava tutkittavasta kerätyt henkilötiedot. Tällaista automaattista velvoitetta ei ole, jos käsittelyperuste on tieteellinen tutkimus eli mikäli tutkittava peruu osallistumisensa tutkimukseen, siihen saakka kerättyjä tietoja voi käyttää tutkimuksessa.
3.6 Miten tietosuojailmoitus annetaan tutkittavalle tiedoksi?
Huolehdi tutkittavien informoinnista ennen kuin ryhdyt keräämään tai muutoin käsittelemään henkilötietoja.
Muista, että informointi tulee tehdä kielellä, jota tutkittavat ymmärtävät ja käyttävät. Aalto-yliopiston tietosuojailmoituksen asiakirjamalli sisältää myös GDPR:n edellyttämän selosteen käsittelytoimista, joten huolellisesti täytetty ilmoitus kattaa myös tämän dokumentointivelvoitteen.
4. Anonymisoi tiedot ennen arkistointia ja älä julkaise henkilötieoja – muista myös tietojen poistaminen
Henkilötiedoksi luettavaa aineistoa ei saa julkaista vapaasti esimerkiksi tieteellisessä artikkelissa tai avoimessa data-arkistossa. Henkilötiedoksi luettava aineisto on aina luottamuksellista.
Anonymisoidut tiedot eivät ole enää henkilötietoja. Anonymisointi tarkoittaa henkilötietojen käsittelyä siten, että tunnistaminen estetään peruuttamattomasti. Pelkkä tutkittavan nimen poistamien aineistosta ei automaattisesti tee siitä anonyymiä, vaan aineisto vaatii huomattavasti tarkempaa tarkastelua. Anonymiteetin arvioinnissa on otettava huomioon useita tekijöitä, muun muassa kaikki keinot, joita ”kohtuullisen todennäköisesti” voidaan käyttää tunnistamiseen. Anonyymin tiedon rima on varsin korkea ja monet aineistot, joiden osalta ensin ajattelisi niiden olevan anonyymejä, eivät lähemmän tarkastelun jälkeen olekaan aidosti anonyymejä. Anonymiteettin ei siis kannata turvautua ennen kuin olet perehtynyt anonymiteetin määritelmään ja ymmärrät aidosti mitä se tarkoittaa.
Tietoarkiston artikkelissa ”Tunnisteellisuus ja anonymisointi” on käsitelty kattavasti tutkimusaineiston anonymiteettiä. Tietoarkisto toimii erillisyksikkönä Tampereen yliopiston yhteydessä ja on tutkijoita kansainvälisesti palvelevan eurooppalaisten tietoarkistojen yhteenliittymän CESSDAn (Consortium of European Social Science Data Archives) Suomen kansallinen palveluntuottaja.
Tietoarkistolla on myös muita kattavia ohjeita ja artikkeleja tutkimusaineiston hallinnasta sekä esimerkiksi Aineistonhallinnan käsikirja.
Poistoaika
Tietosuojaselosteessa sinun tulee ilmoittaa henkilötietojen poistoaika. Kirjauksella sitoudut aidosti poistamaan henkilötiedot tutkittaville kerrottuna ajankohtana. Toinen vaihtoehto on yllä käsitelty tietojen anonymisointi. Anonyymi tieto ei ole enää henkilötietoa, joten se vastaa tietojen poistoa.
Mistä saan apua?
| Tarvitsen apua DPIA:n laadinnassa | Tietosuojavastaava |
| Epäilen, että tutkimusprojektissani on tapahtunut tietosuojapoikkeama/loukkaus | security@aalto.fi (lähetä viesti Aalto sähköpostista) |
| Tutkittava on ilmoittanut, että haluaa toteuttaa GDPR mukaisia oikeuksiaan, esimerkiksi saada pääsyn tietoihin | Tietosuojavastaava |
| Tarvitsen apua Datahallintasuunnitelman kanssa | Data-agentit |
| Tarvitsen apua tutkimusdatani anonymisoinnissa | Data-agentit |
| Tarvitsen apua yksittäisen projektin tietosuoja-asioissa, kuten sopimuksen laadinnassa | Tutkimuksen lakipalvelut, oman koulusi juristi |
| Minun tulee siirtää henkilötietoja EU/ETA alueen ulkopuolelle osana tutkimusyhteistyötä varten ja tarvitsen apua | Tutkimuksen lakipalvelut, oman koulusi juristi |
| Minulla on kysymyksiä liittyen tietoturvaan ja tietoteknisiin ratkaisuihin | Tutkimuksen IT palvelut |
| Minulla on kysymyksiä liittyen tutkimuseettisen lausunnon hakemiseen | Tutkimuseettisen toimikunnan sihteeri |
Yhteystiedot ja linkit
| Tietosuojavastaava | Sirpa Syrjälä tietosuojavastaava@aalto.fi |
| Tutkimuksen lakipalvelut / oman koulusi ja laitoksesi juristi | Oman koulusi juristin nimi ja yhteystiedot Lakipalvelut |
| Data-Agentit | Data-agenttien yhteystiedot Data-agentit |
| Tutkimuseettisen toimikunnan sihteeri | Tutkimuseettinen toimikunta |
| Tutkimuksen IT palvelut | IT Services for Research |
Aalto-yliopiston webinaareja aiheeseen liittyen:
Kandidaatti- ja maisteritason opiskelijoiden ohjeet henkilötietojen käsittelyyn
Tämä ohjeistus on tarkoitettu Aalto-yliopiston tutkijoille väitöskirjatutkijoista alkaen. Kandidaatti- ja maisterivaiheen opiskelijoille on oma ohjeistuksensa henkilötietojen käsittelystä opinnoissa sekä ohjeet kysely- ja haastattelututkimuksiin, joissa kerätään henkilötietoja.
Miten opiskelijana käsittelet henkilötietoja opinnoissa - keskeisiä käsitteitä
Miten opiskelijana käsittelet henkilötietoja opinnoissa - keskeisiä käsitteitä
Tätä palvelua tarjoaa:
Tutkimus- ja innovaatiopalvelut
Jos tarvitset lisätukea, ota meihin yhteyttä.