Opinnäytteiden aineisto- ja tietosuojaohjeistus kandidaatti- ja maisteriopiskelijoiden ohjaajille
Pikaohje henkilötietojen käsittelystä opinnäytteessä
- Aiheen valinta
- Tarkista opiskelijalta sisältääkö aineisto henkilötietoja. → Jos henkilö voidaan tunnistaa joko suoraan (nimi) tai epäsuorasti (ääni), kyseessä on henkilötieto -> Tällöin opiskelijan pitää noudattaa tietosuoja-asetusta aineiston käsittelyssä.
- Ohjaa opiskelijaa valitsemaan aihe, jossa ei käsitellä erityisiä henkilötietoja (esim. seksuaalinen suuntautuminen, lapset).
- Tarvittavat dokumentit: Tietosuojailmoitus, suostumukset ja tutkimuslupa
- Jos henkilötietoja kerätään, opiskelijan täytyy aina tehdä tietosuojailmoitus.
- Henkilötietojen käsittelyyn on aina oltava laillinen peruste. Perustutkinto-opiskelijoiden opinnäytteissä se on tyypillisesti tutkittavan suostumus, koska perustutkintojen opinnäyte harvoin täyttää tieteellisen tutkimuksen kriteereitä.
- Lisäksi tarvitaan tutkittavalta suostumus tutkimukseen osallistumiseen.
- Ohjaa opiskelija Aallon perustutkinto-opiskelijoiden mallipohjan pariin (sisältää kaikki kolme dokumenttia: tietosuojailmoitus, suostumus henkilötietojen käsittelyyn ja tutkimukseen osallistumiseen).
- Varmista, tarvitseeko opiskelija tutkimusluvan organisaatiolta, esimerkiksi jos tutkittavat ovat Aalto-yliopiston opiskelijoita. Ks. Aalto-yliopiston tutkimuslupaprosessi.
- Selvitä opiskelijan kanssa roolit ja vastuut sekä niihin liittyvät tehtävät henkilötietojen käsittelyssä.
- Aineiston keruu
- Varmista, että aineiston keruuseen käytetään Aalto-yliopiston IT-palvelujen hyväksymiä ohjelmia.
- Aineiston säilytys ja anonymisointi/pseudonymisointi
- Varmista, että aineisto säilytetään turvallisesti (esimerkiksi Aallon verkkolevyllä) ja pääsy on rajattu.
- Tarkista, ettei valmiista opinnäytteestä voi tunnistaa yksilöitä – vaikka nimet on poistettu, analyysi voi paljastaa henkilön epäsuorasti.→ Varmista anonymisointi/pseudonymisointi. -> Tarkista myös, etteivät opinnäytteen liitteet sisällä henkilötietoja, esimerkiksi suostumuslomakkeita.
- Vastuullinen ohjaaja
Ohjaajan tehtävänä on ohjata opiskelijaa vastuulliseen aineiston käsittelyyn ja olla opiskelijalle ensisijainen tuki tietosuoja-asioissa. Ohjaaja voi tarvittaessa kysyä neuvoa Aallon opiskelijapalveluista, jotka ohjaavat kyselyn oikealle taholle: opiskelijapalvelut@aalto.fi
Tietosuojaan liittyvät käsitteet
Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, auton rekisterinumero, sovelluksista tai laitteista saatavat paikannustiedot, sormenjälki, ääni, jne.
Joidenkin näiden tietojen perusteella henkilö voidaan tunnistaa suoraan, kuten nimestä tai sormenjäljestä. Tällaisia tietoja kutsutaan suoriksi henkilötiedoksi tai tunnisteiksi.
Joskus henkilö voidaan tunnistaa yhdistelemällä yksittäisiä tietoja johonkin toiseen tietoon. Tällöin puhutaan epäsuorista tai välillisistä henkilötiedoista tai tunnisteista. Tällaisia voivat olla vaikkapa ammattinimike, sukupuoli ja paikkakunta. Henkilöä ei välttämättä voi tunnistaa yksittäisestä epäsuorasta henkilötiedosta, mutta yhdistettynä muihin henkilötietoihin, saattaa henkilön tunnistaminen ollakin melko helppoa.
- Huom! Aalto-yliopistossa on suosituksena, että kandidaattitutkintojen opinnäytteissä ei käsitellä lainkaan erityisiä henkilötietoja, koska niihin ei tehdä tutkimuseettistä arviota. Vaikka maisterin tutkinnon opinnäytteisiin voidaan tarvittaessa tehdä tutkimuseettinen arvio, ei erityisten henkilötietojen käsittelyä suositella niissäkään tutkimuseettisten lisävaatimusten takia.
- Erityiset henkilötietoryhmät sisältävät sellaista arkaluonteista tietoa, josta käy ilmi
- rotu tai etninen alkuperä
- poliittinen mielipide
- uskonnollinen tai filosofinen vakaumus
- ammattiliiton jäsenyys
- terveyttä koskevaa tietoa
- seksuaalinen käyttäytyminen tai suuntautuminen
- geneettisiä tai biometrisiä tietoja henkilön yksiselitteistä tunnistamista varten.
- Myös rikostuomioita koskevat tiedot ovat lähtökohtaisesti arkaluonteista tietoa
- Erityisten henkilötietojen käsittely vaatii erillisen käsittelyperusteen mainitsemisen.
- Arkikielessä erityisistä henkilötiedoista käytetään usein termejä arkaluonteinen tai sensitiivinen henkilötieto
| Käytännön vinkki: Haastattelututkimuksessa osallistujat saattavat itse tuoda esiin tietoja, jotka kuuluvat erityisiin henkilötietoryhmiin, vaikka tutkimusaihe itsessään ei olisikaan arkaluonteinen. Näitä tilanteita ei aina voida ennakoida. Toimitaan tietojen minimoinnin periaatteen mukaisesti: ei kerätä tarpeetonta tietoa, vaan poistetaan arkaluonteiset kohdat aineistosta mahdollisimman pian ennen analyysiä. |
Rekisterinpitäjä
- Henkilö, korkeakoulu, yritys, viranomainen tai yhteisö.
- Määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot eli miksi ja miten henkilötietoja käsitellään sekä vastaa henkilötietojen käsittelystä.
- Perusopintojen opinnäytteessä opiskelija on tyypillisesti henkilötietojen rekisterinpitäjä. Opiskelija päättää, mitä henkilötietoja hän kerää ja käsittelee tutkimuksessaan.
- Poikkeuksena ovat ne tutkimukset, jotka tehdään toimeksiantona, työsuhteessa tai osana korkeakoulun tutkimushanketta. Näissä tapauksissa opiskelija ei tee itsenäisesti päätöksiä siitä, mihin tarkoitukseen henkilötietoja kerätään ja miten niitä käsitellään.
- Jos useampi kuin yksi taho päättää ko. asioista, puhutaan yhteisrekisterinpitäjyydestä.
Henkilötietojen käsittelijä
- Käsittelee henkilötietoja rekisterinpitäjän puolesta ja sen antamien ohjeiden mukaisesti.
- Voi olla myös ns. henkilötietojen vastaanottaja, jolle henkilötietoja siirretään tai luovutetaan.
- Esimerkiksi Webropol Oy toimii henkilötietojen vastaanottajana, kun kyselylomake on laadittu Webropol-kyselytyökalulla.
- Aalto-yliopisto suosittelee henkilötietojen käsittelyyn tietoturvallisia välineitä ja järjestelmiä, joiden toimittajien kanssa yliopisto on laatinut tietojenkäsittelysopimukset.
- Tapaus 1: Opinnäyte on opiskelijan oma itsenäinen työ. → Opiskelija itse toimii rekisterinpitäjänä.
- Tapaus 2: Opinnäyte tehdään osana projektia työsuhteessa korkeakouluun. → Korkeakoulu toimii rekisterinpitäjänä.
- Tapaus 3: Opinnäyte liittyy korkeakoulussa käynnissä olevaan projektiin, mutta opiskelijalla ei ole työsuhdetta. → Rekisterinpitäjä määritellään tapauskohtaisesti.
- Tapaus 4: Opinnäyte tehdään tilaustutkimuksena. → Rekisterinpitäjä on tutkimuksen tilannut yritys tms.
- Tapaus 5: Korkeakoulu/ohjaaja antaa opiskelijalle käyttöön valmiin kyselyaineiston.→ Korkeakoulu tai ohjaaja pysyy aineiston henkilötietojen rekisterinpitäjänä. Vaikka aineistoa käytetään uuteen tutkimukseen, jota varten sitä ei alun perin ole kerätty, rekisterinpitäjän vastuut eivät siirry opiskelijalle. HUOM! Organisaation tai ohjaajan on kuitenkin tullut pyytää lupa tutkittavilta siihen, että aineistoa voidaan käyttää muuhun kuin alkuperäiseen tutkimukseen.
Henkilötietojen käsittelyn eri roolitMitä tarkoitetaan henkilötietojen käsittelijällä ja vastaanottajalla tietosuojailmoituksessa? Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta ja sen antamien ohjeiden mukaisesti. Esimerkiksi litteroinnin suorittava yritys on henkilötiedon käsittelijä. Vastaanottaja on henkilötietojen käsittelijää laajempi käsite. Vastaanottaja voi olla teknisen alustan tai pilvipalvelun tarjoaja, kuten Google tai Microsoft, jolle tiedot luovutetaan/siirretään tietoja tallennettaessa. Palveluntarjoaja voi käyttää alihankkijaa esimerkiksi tietojen varmuuskopioinnissa. |
Henkilötietojen käsittelyyn liittyy aina riskejä, joten ohjaajan tulee keskustella näistä opiskelijan kanssa. Keskustelussa sovitaan, miten miten riskejä hallitaan.
Esimerkkejä riskeistä tutkittavalle:
- henkilötietojen luvaton luovutus
- muiden kuin asianomaisten pääsy henkilötietoihin
- henkilötietojen vahingossa tapahtuva tuhoutuminen
- henkilötietojen luvaton muuttaminen
- henkilötietojen häviäminen
Riskien arviointi tehdään rekisteröidyn eli tutkittavan näkökulmasta.
Opinnäytteissä ja tutkimuksessa henkilötietojen lailliseksi käsittelyperusteeksi valitaan yksi näistä:
- Rekisteröidyn suostumus: Kandidaatti- ja maisteritutkintojen opinnäytteissä käytetään Aalto-yliopistossa tätä käsittelyperustetta, koska opinnäytteet eivät pääsääntöisesti täytä tieteellisen tutkimuksen kriteereitä. Tosin raja opinnäytteen ja tieteellisen itsenäisen tutkimuksen välillä voi olla häilyvä. Opinnäytteet voivat olla eri tieteenaloilla erilaisia tai saman tieteenalan sisällä eri tasoisia. Tutustu tarkemmin pätevän suostumuksen edellytyksiin: https://tietosuoja.fi/rekisteroidyn-suostumus.
- Yleinen etu: Yleinen etu voi olla käsittelyperuste, mikäli tieteellisen tutkimuksen kriteerit täyttyvät.
- Joissain tilanteissa voi olla mahdollista käyttää käsittelyperusteena myös oikeutettua etua. Tällöin vaaditaan tasapainotestin suorittamista. Huom! Tämä ei koske perusopintojen opinnäytteitä. Ks. Tietosuojavaltuutetun toimisto: Rekisterinpitäjän oikeutettu etu.
|
Suostumus osallistua tutkimukseen ja suostumus henkilötietojen käsittelyyn - kaksi eri asiaa
Käytännön vinkki: Jos kirjallista suostumusta osallistua tutkimukseen (eettinen suostumus) ei voida pyytää, osallistuja voi antaa suostumuksensa suullisesti haastattelun alussa. Suostumus jää tällöin talteen haastattelun nauhoitukseen. Opiskelijan tulee lisäksi itse kirjata ylös, keneltä suostumus on saatu ja millä tavalla. Verkkokyselyssä suostumus tutkimukseen osallistumiseen voidaan antaa merkitsemällä suostumus kyselylomakkeen alussa. (Ks. lisätietoa Ihmiseen kohdistuvan tutkimuksen periaatteet ja ihmistieteiden eettinen ennakkoarviointi Suomessa. Tutkimuseettisen neuvottelukunnan ohje 2019) |
- Tietosuojailmoitus on asiakirja, jossa kerrotaan tutkimuksen osallistujille, miten heidän henkilötietojansa käsitellään.
- Tietosuojailmoituksen laatiminen perustuu EU:n tietosuojalainsäädäntöön (GDPR), jonka tavoitteena on suojata ihmisten yksityisyyttä ja oikeuksia.
- Tietosuojailmoitus tarvitaan aina, kun käsitellään henkilötietoja opinnäytteessä. Myös siis perusopintojen opinnäytteissä, joissa käsittelyperuste perustuu pääsääntöisesti suostumukseen.
- Tietosuojailmoitus tulee antaa osallistujille mahdollisimman varhaisessa vaiheessa, mielellään jo ensimmäisen yhteydenoton yhteydessä, jotta he voivat tutustua siihen ennen kuin päättävät osallistua tutkimukseen.
Henkilötietojen käsittely tietosuojaperiaatteiden mukaisesti on keskeinen osa tutkimusetiikkaa: tutkimukseen osallistuvilta tulee saada eettinen suostumus osallistua tutkimukseen (eettinen suostumus), suostumus käsitellä henkilötietoja (jos käsittely perustuu suostumukseen) sekä suostumus aineiston mahdolliseen jatkokäyttöön.
Tutkimusetiikka koskee kaikkea tutkimusta. Se on erottamaton osa vastuullista tiedettä ja hyvää tieteellistä käytäntöä. Tutkimusetiikka ja hyvää tieteellistä käytäntöä ei voi käytännössä erottaa toisistaan.
Tutkimusetiikkaan kuuluvat rehellisyys, huolellisuus ja tarkkuus tutkimuksen kaikissa vaiheissa ja monin eri tavoin tutkimusaiheesta riippuen. Erityisen painoarvon eettiset kysymykset saavat silloin, kun tutkimus kohdistuu ihmisiin.
Tietosuoja opinnäytteen eri vaiheissa
Tässä ohjeessa käsitellään opinnäytetyön eri vaiheisiin liittyviä tietosuojakysymyksiä henkilötietoja käsiteltäessä. Asiat esitetään prosessin tyypillisessä järjestyksessä, mutta monia seikkoja on otettava huomioon koko tutkimuksen ajan.
Ohje perustuu kansallisen Datakoulutustyöryhmän julkaisuun: Kanerva, P., Mure, L., Laine, K., Hyrkäs, E., Hynnä, N., Satama, M., Huuskonen, S., Päällysaho, S., & Marjamaa, M. (2024, June 12). Opinnäytetyön aineisto ja tietosuoja. Zenodo. https://doi.org/10.5281/zenodo.11619156