Palvelut

Henkilötietojen käsittely tutkimuksessa

Tunnista, käsitteletkö henkilötietoja tutkimuksessasi. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, kuten videokuva tai ääninauhoite henkilöstä, IP-osoite, henkilön paikannustieto tai tietoja, joita yhdistelemällä ihminen voidaan tunnistaa (esimerkiksi osoitetiedot ja työnimike).

Apua henkilötiedon määrittelyyn

Jos keräät tietoja ihmisistä tai ihmisiltä, oleta sen olevan henkilötietoa. Myös pseudonymisoitu tieto on henkilötietoa. Enemmän tietoa henkilötiedon määrittelystä löydät seuraavasta osoitteesta: "Mikä on henkilötieto" (tietosuoja.fi)

Suomen tietosuojavaltuutetun toimiston ohjeet tietosuojasta tieteellisessä tutkimuksessa

Kansallinen tietosuojaviranomainen Tietosuojavaltuutetun toimisto on antanut ohjeet henkilötietojen tietosuojasta tieteellisessä tutkimuksessa. Ohjeet koskevat muun muassa henkilötietojen käyttötarkoituksen määrittelyä, käsittelyperusteen valintaa ja tutkimuksen kohteena olevien henkilöiden oikeuksien toteuttamista. Verkkosivuilla kerrotaan myös osoitusvelvollisuudesta, henkilötietojen siirroista ja aineiston hävittämisestä tutkimuksen päättyessä.

Aalto-yliopistossa noudatetaan näitä kansallisia ohjeita: 

Tietosuojavaltuutetun toimiston ohjeet tietosuojasta tieteellisessä tutkimuksessa

Jos käsittelet henkilötietoja, toimi seuraavasti:

1. Suunnittele tietojen keruu

Ymmärrä tutkimusprojektisi tavoitteet nyt ja tulevaisuudessa. Mieti mitä tietoa tarvitset ja myös mitä tietoa et tarvitse. Mieti miten voit suunnitella tutkimusprojektisi siten, että tieto on mahdollisimman vähän tunnistettavissa olevaa, mutta silti täyttää tutkimuksen tavoitteet. Nämä tiedon minimoinnin ja oletusarvoisen tietosuojan periaatteet ovat keskeisiä tietosuoja-asetuksen (GDPR) tavoitteita.

2. Suunnittele henkilötietojen käsittelyn koko elinkaari

Suunnittele henkilötietojen käsittelyn koko elinkaari (kuten kerääminen, tallentaminen, käyttö, tutkimusyhteistyö, jatkotutkimus, arkistointi, poistaminen) ennen kuin ryhdyt  keräämään tai muutoinkäsittelemään henkilötietoja. Suunnittelussa voi käyttää apuna Aalto-yliopiston tietosuojailmoituspohjaa (ks. kohta 5). Samoin voi hyödyntää aineistonhallintasuunnitelmaa.

Tietoarkisto on sertifioitu arkisto tutkimusaineistoille. Tietoarkiston aineistonhallinnan käsikirja sisältää hyviä ohjeita henkilötietojen käsittelyyn.

3. Huolehdi tietoturvasta ja käytä Aallossa hyväksyttyjä tietojärjestelmiä

Huolehdi riittävistä tietoturvatoimenpiteistä ja käytä vain Aallon hyväksymiä tietojärjestelmiä. Tietoturvatoimenpiteisiin voit tutustua alla linkitetyillä sivustoilla:

  • Aallon henkilötietojen käsittelyn tietosuoja ja tietoturva -yleisohjeesta erityisesti kohdat 3, 9, 11, 12 ja Erityisohjeet 1 ja 2.

  • Tutkimuksen tietoturva -sivustolta löydät tarkempia lisätietoja eri osa-alueista.

Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje

Ohjeeseen on tiivistetysti koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta.

Tutkimuksessa kerättäviä henkilötietoja saa käsitellä vain tarkoitukseen hyväksytyissä palveluissa. Useimmissa tapauksissa (poislukien arkaluontoiset henkilötiedot) henkilötietojen tallennukseen soveltuvat seuraavat palvelut:

  • Aallon sisäiset projektit: Aallon verkkolevyllä (Teamwork) oleva kansio, johon pääsy on rajattu projektin tutkijolle.
  • Yhteistyöprojektit Aallon ulkopuolisten tutkijoiden kanssa: projektin käyttöön rajattu työalue Eduuni-palvelussa.

Pikaohje tiedon luokittelemiseen sisältää luettelon tietojärjestelmistä. Sarakkeissa "luottamuksellinen" ja "salainen" sallitut järjestelmät soveltuvat henkilötietojen käsittelyyn tutkimuksessa.

Tallennustila tutkimukselle ja ryhmille (TeamWork)

Tutkijat, tutkimusryhmät ja -projektit voivat käyttää erillistä TeamWork-tiedostopalvelua. Levytilan määrä ja muut ominaisuudet sovitetaan kunkin ryhmän tarpeita vastaavaksi.

People in Learning Center

Eduuni - Ryhmätyöympäristö

Eduuni-workspaces sisältää Microsoft SharePoint -työtiloja organisaatioiden, verkostojen, hankkeiden ja tiimien käyttöön. Eduunia käytetään lähinnä EU-laajuisiin, kansainvälisiin tutkimusprojekteihin, sillä se mahdollistaa yhteistyön myös Aallon ulkopuolisten tahojen kanssa. Mikäli tallennettava informaatio ei ole salassapidettävää, ryhmätyöskentelyyn suositellaan käytettäväksi Microsoft Teamsia.

4. Arvioi käsittelyn riskit tutkittaville

4.1. Hanki ennakkoarviointi ennen arkaluonteisten henkilötietojen käsittelyä

Mikäli tutkimuksessasi käsitellään arkaluonteisia henkilötietoja, tulee ennen henkilötietojen käsittelyn aloittamista hankkia Aallon tutkimuseettisen toimikunnan ennakkoarviointi. Muissakin tapauksissa esimerkiksi tutkimuskumppani, julkaisija tai rahoittaja voi vaatia eettisen arvioinnin. Puuttuva ennakkoarviointi voi estää tutkimusprojektin julkaisun tai rahoituksen.

  • Arkaluonteinen henkilötieto on erityisiin henkilötietoryhmiin kuuluvaa henkilötietoa tai tietoa, joka liittyy rikosrekisteriin, henkilötunnukseen tai pankkitilitietoihin

  • Erityisiin henkilötietoryhmiin kuuluvat henkilötiedot ovat tietoa, joka koskee terveyttä tai tietoa, josta ilmenee poliittinen mielipide, rotu tai etninen alkuperä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Myös geneettinen tai biometrinen tieto henkilön yksiselitteistä tunnistamista varten sekä terveyttä, seksuaalista käyttäytymistä ja suuntautumista koskeva tieto on arkaluonteinen henkilötieto.

4.2. Tee tarvittaessa vaikutusten arviointi (DPIA)

Vaikutusten arviointi (DPIA) on suoritettava, jos suunniteltuun henkilötietojen käsittelyyn todennäköisesti liittyy merkittäviä tietosuojariskejä tutkittavien (rekisteröityjen) kannalta. Näin voi olla esimerkiksi silloin, kun käsitellään suuria tietomääriä, tai kun käsitellään lapsia koskevia tai arkaluonteisia henkilötietoja. 

Tutkimuseettinen toimikunta

Tutkimuseettinen toimikunta huolehtii ihmiseen kohdistuvan ei-lääketieteellisen tutkimuksen eettisen ennakkoarvioinnin järjestämisestä yliopistossa.

Oposeminaari 2018

Tietosuojaa koskeva vaikutustenarviointi (DPIA) ja sen suhde tutkimuseettiseen ennakkoarviointiin

Ohjeistus milloin ja miten DPIA liite tulee tehdä tutkimuseettiseen lausuntopyyntöön liiteeksi

Kaksi henkilöä pöydän ääressä kirjojen ja kannettavien tietokoneiden kanssa.

5. Tunnista henkilötietojen käsittelyperuste

Henkilötietoja saa käsitellä ainoastaan silloin, kun käsittelyllä on jokin tietosuoja-asetuksessa luetelluista käsittelyperusteista. Tieteellisessä tutkimuksessa käsittelyperuste on yleensä joko ”yleisen edun mukainen tehtävä” tai ”suostumus”.

  • Käsittelyperusteen valinta on tärkeää, koska se vaikuttaa mm. tutkijan velvoitteisiin ja tutkimukseen liittyviin mahdollisuuksiin. Jos henkilötietojen käsittely perustuu ”suostumukseen”, on se voitava myös perua ja tutkijan on poistettava henkilötiedot pyynnöstä. 

  • Jos tieteellisen tutkimuksen tavoitteet ovat yleisen edun mukaisia, kannattaa henkilötietojen tietosuoja-asetuksen mukaiseksi käsittelyperusteeksi määritellä "yleisen edun mukainen tehtävä, tietellinen tutkimus".

6. Laadi tietosuojailmoitus

Kun käsittelet henkilötietoja, käytä dokumentteja ”Suostumus osallistua tutkimukseen” ja ”Tutkimuksen tietosuojailmoitus” (engl. Privacy Notice for Research Study). Anna tai lähetä dokumentit osallistujille.

Huolehdi tutkittavien informoinnista ennen kuin ryhdyt keräämään tai muutoin käsittelemään henkilötietoja. Varmista, että henkilötietojen käsittely on kuvattu yhdenmukaisesti tutkimus- ja aineistonhallintasuunnitelmassa sekä tietosuojailmoituksessa. Tietosuojailmoitusta tarvitaan myös eettisen ennakkoarvioinnin liitteeksi. Muista, että informointi tulee tehdä kielellä jota tutkittavat ymmärtävät ja käyttävät. Aalto-yliopiston tietosuojailmoituksen asiakirjamalli sisältää myös GDPR:n edellyttämän selosteen käsittelytoimista, joten huolellisesti täytetty ilmoitus kattaa myös dokumentointivelvoitteen.

 

7. Mikäli siirrät tai luovutat henkilötietoja käsiteltäväksi Aallon ulkopuolelle, huomioi seuraava:

  • Jos ulkopuolinen taho käsittelee henkilötietoja Aallon määrittelemiin tarkoituksiin, esimerkiksi kun henkilötietoja siirretään alihankkijalle tai pilvipalveluun, käytä Aallon ulkoistamismallisopimusta (DPA).

  • Jos henkilötietoja siirretään toiselle yliopistolle tai tutkimuslaitokselle, joka määrittelee henkilötietojen käyttötarkoituksen yhdessä Aallon kanssa, tai yliopistoilla on yhteinen henkilörekisteri, jota molemmat itsenäisesti hyödyntävät, ovat molemmat yliopistot rekisterinpitäjiä.

  • Jos henkilötietoja luovutetaan toiselle yliopistolle, tai tutkimuslaitokselle siten, että se voi itse määritellä henkilötietojen käyttötarkoituksen, tulee esim. käyttötarkoituksesta ja tutkittavien informoinnista sopia yksityiskohtaisesti ennen henkilötietojen luovutusta.

  • Henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle vain tietyin edellytyksin. Lisätietoa löytyy: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu_en

Aallon sopimuspohjat (saatavilla vain Aalto-tunnuksella):

Sopimuksen allekirjoittaa sama taho, jolla on oikeus allekirjoittaa pääsopimus. Allekirjoitetut sopimukset tulee lähettää: [email protected]

8. Informoi tutkittavia käsittelyn muutoksista ja päivitä dokumentit

Henkilötietoja saa käsitellä vain siten, kuin tutkittaville on ennen käsittelyn aloittamista kerrottu (tietosuojailmoituksessa). Mikäli tutkimuksen aikana on tarpeen käsitellä henkilötietoja muulla tavalla kuin mitä tutkittaville on kerrottu, täytyy muutoksista informoida tutkittavia ja päivittää kaikki tarpeelliset dokumentit, kuten tietosuojailmoitus.

9. Anonymisoi tiedot ennen arkistointia tai julkaisemista

Yhteiskuntatieteellinen tietoarkisto FSD on sertifioitu tutkimustietoarkisto, joka on tarkoitettu tutkijoille, jotka haluavat arkistoida datansa. FSD antaa neuvontaa datan ja henkilötietojen hallinnasta osoitteessa http://www.fsd.uta.fi/aineistonhallinta. Muita arkistointiin suositeltuja palveluita on esitelty sivulla:

Avoimet data-arkistot (repositoryt)Anonymisoidut tiedot eivät ole enää henkilötietoja. Anonymisointi tarkoittaa henkilötietojen käsittelyä siten, että tunnistaminen estetään peruuttamattomasti. Rekisterinpitäjien on siinä otettava huomioon useita tekijöitä, muun muassa kaikki keinot, joita ”kohtuullisen todennäköisesti” käytetään tunnistamiseen. Katso 29 artiklan mukaisen työryhmän lausunto 05/2014 anonymisointitekniikoista.

Ennen anonymisointia henkilötietoja on käsiteltävä edellä mainittujen lainsäädännön, periaatteiden ja ohjeiden mukaisesti.

Jos haluat kerätä ja käyttää uudelleen tietoja, joita ei ole kokonaan anonymisoitu, esimerkiksi tietyn alan ammatillisten asiantuntijoiden haastatteluja, ota yhteyttä FSD-arkiston henkilöstöön ja selvitä, voitaisiinko arkistointi tehdä ennen tietojen keräämisen aloittamista, jotta tutkimukseen osallistujille voidaan tiedottaa arkiston edellyttämällä tavalla. Arkiston henkilöstö voi auttaa tutkijoita tietojen järjestämisessä ja toimenpiteissä, joilla tutkimusdata voidaan kerätä ja säilyttää onnistuneesti. Pseudonymisoitujen tietojen käyttö on edelleen henkilötietojen käyttöä, ja silloin voidaan käyttää vain rajattua pääsyä tietoja arkistoitaessa.

Koulutus ja perehdytys

Tarvitsetko sinä tai tutkimusyhteisösi koulutusta tietosuojasta tai tietojen käsittelystä tutkimuksessa? Tutustu yliopiston perehdytys- ja koulutusmateriaaleihin ja tarvittaessa pyydä asiantuntijoita kouluttamaan.

Tietosuoja tutkimuksessa:

Handling of Personal Data 25.3.2021 (Aalto University) – YouTube

RDM training

Avoimen tieteen ja tutkimusdatan hallinnan koulutukset

Koulutusaineistoja tutkijoiden ja tukihenkilöstön datanhallintaa koskevien taitojen ja tietojen parantamiseksi.

Palvelut
Workday Learning sovellus logo1

Koulutukset tutkimuksen tueksi Workday Learningissä (ulkoinen linkki)

Workday Learning -sovelluksesta löydät tarjolla olevat koulutukset tutkimuksen tueksi

Workday Learning sovellus logo1

IT-, digi- ja tietoturvakoulutukset Workday Learningissä (ulkoinen linkki)

Workday Learning -sovelluksesta löydät tarjolla olevat IT-, digi- ja tietoturvakoulutukset

Lisätietoa henkilötietojen käsittelystä

Tutustu näiden ohjeiden lisäksi oman tieteenalasi henkilötietojen käsittelyä koskeviin yleisesti hyväksyttyihin käytäntöihin, henkilötietojen käsittelyä yleisesti käsittelevään sivuun ja Aallon tietosuojapolitiikkaan.

Mikäli tarvitset lisäapua, voit kääntyä koulusi lakimiehen tai Aallon tietosuojavastaavan puoleen.

gdpr-nn-banner-wj.jpg

Aalto-yliopiston tietosuojapolitiikka

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Palvelut
Training on GDPR in Aalto. Photo Unto Rautio.

Tietosuoja ja henkilötietojen käsittely Aalto-yliopistossa

EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan kaikissa EU:n jäsenmaissa.

Palvelut
Tätä palvelua tarjoaa:

Tutkimus- ja innovaatiopalvelut

Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.
  • Julkaistu:
  • Päivitetty:
Jaa
URL kopioitu