Skip to main content

Tutkijan hankeopas: Tietosuoja ja tietoturva

Yhteyshenkilöt

Tietohallinto
Antti Orava, asiantuntija

tietosuoja@uniarts.fi

Lakipalvelut
Maria Rehbinder, tekijänoikeusasiamies
maria.rehbinder@aalto.fi
p. 050 570 3396

Tutkimuspalvelut
Merja Sagulin, tutkimuspalvelupäällikkö
merja.sagulin@uniarts.fi
p. 050 590 6797

 

Tietosuoja ja Taideyliopiston tietosuojapolitiikka

Tietosuojalla tarkoitetaan yksilön (rekisteröidyn) yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja laillisen perusteen nojalla. Taideyliopiston tietosuojapolitiikassa määritellään pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Jokaisen tutkijan tulee huomioida tutkimuksessaan henkilötietojen käsittelyä koskeva lainsäädäntö. Lue lisää Taideyliopiston tietosuojapolitiikasta ja muista ohjeista Artsista.

Henkilötietojen käsittely - tutkijan ja hankkeen johtajan vastuut

Henkilötietojen käsittelyä on esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, hakeminen ja siirtäminen sekä muut henkilötietoihin kohdistuvat toimenpiteet.

Niiden henkilöiden, jotka yliopiston tutkimushankkeissa käsittelevät henkilötietoja, tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. Yliopistossa toimivien tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa toimintatapaa European Code of Conduct for Research Integrity mukaisesti.

Tarvittava tutkimuseettinen ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan, noudattaen tutkimuseettisen neuvottelukunnan (TENK) ja taideyliopiston ohjeistusta (ks. tutkijan hankeopas:Tutkimuksen etiikka). Eettisten periaatteiden toteutumisen itsearvioinnissa voi soveltaa Horizon 2020 -itsearviointilomaketta.

Tutkimussuunnitelmaa ja aineistonhallintasuunnitelmaa laadittaessa on otettava huomioon henkilötiedon käsittelyn vaatimukset ja EU:n yleisen tietosuoja-asetuksen noudattaminen.

Jokaisen tutkijan tulee suunnitella henkilötietojen käsittelyn prosessi etukäteen huomioiden henkilötietojen käsittelyn koko elinkaari. Tutkimusprojekteissa tulee tehdä riskiarvio ja siihen perustuen valita sopivat tekniset ja organisatoriset ratkaisut henkilötietojen suojan toteuttamiseksi.

Henkilötietojen käsittelyn tulee tutkimuksessa rajoittua vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi. Tämän  lisäksi tulee käyttää tietojen pseudonymisointia tai anonymisointia.

Tutkimushankkeen vastuullinen johtaja vastaa tutkimushankkeissaan siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja tietosuojapolitiikkaa sekä siitä, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimushankkeen vastuullinen johtaja täsmentää työntekijöiden roolien mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tietosuojapolitiikan mukaisesti.

Tietosuojailmoitus ja rekisterinpitäjyys

Yksityiskohtaisempaa tietoa henkilötietojen käsittelystä kussakin tutkimuksessa annetaan tietosuojailmoituksessa, jossa selostetaan tarkemmin kyseistä tieteellisestä tutkimusta koskevia erityiskysymyksiä. Tietosuojailmoituksessa kuvataan mm. henkilötietojen käsittelyn tarkoitusta ja tutkittavien oikeuksia, minkä lisäksi siinä yksilöidään tutkimuksen vastuuhenkilö tai tutkimuksesta vastaava ryhmä Tietosuojailmoituksessa tutkittavaa tulee myös informoida riittävästi tutkimuksen sisällöistä.

Lisäksi tutkimukseen osallistuvalta tulee pyytää kirjallinen suostumus tutkimukseen osallistumiseen.

Tutkija laatii tietosuojailmoituksen yhteistyössä tekijänoikeusasiamies Maria Rehbinderin (maria.rehbinder@aalto.fi) ja asiantuntija Antti Oravan (tietosuoja@uniarts.fi) kanssa. Lomakepohjan tietosuojailmoitusta ja tutkijan suostumusta varten voi pyytää Merja Sagulinilta (merja.sagulin@uniarts.fi).

Yliopisto on tutkimushankkeissa rekisterinpitäjä silloin, kun yliopisto määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu tutkimushankkeissa, jotka ovat yliopiston hyväksymiä ja joiden rahoitus on osoitettu yliopistolle. Yliopisto ja tutkija voivat myös olla yhteisrekisterinpitäjiä, esim. jos tutkija määrittää henkilötietojen käsittelyn tarkoituksen.

Minimointi

Henkilötietojen käsittelyn minimointi tarkoittaa käyttötarkoituksen kannalta ei-välttämättömien henkilötietojen hävittämistä. Esimerkiksi henkilötunnus, nimitiedot, osoitteet ja muut tarpeettomat tunnisteet hävitetään heti, kun ne eivät ole enää välttämättömiä tutkimuksen toteuttamisessa. Minimointi on yksi suojatoimi, jolla pyritään vähentämään tunnisteellisten aineistojen käsittelyyn sisältyviä riskejä.

Lähde: Tietoarkiston Aineistonhallinnan käsikirja

Tutkijan tietosuojatyökalut

1. Suunnittele tutkimus siten, että siinä käsitellään mahdollisimman vähän henkilötietoja.
2. Analysoi, mitkä (määrä ja luonne) henkilötiedot ovat tarpeellisia tutkimuksesi toteuttamiseksi. Minimoi käsiteltävien henkilötietojen määrä mahdollisimman nopeasti.
3. Tee riskiarvio käsittelytoimistasi ja suhteuta suojaustoimenpiteet sen mukaisesti koko käsittelyn elinkaaren ajaksi.
4. Varaa tarpeelliset toimintaohjeet mm. tietoturvaloukkausten varalle.
5. Tunnista käsittelyperuste, päivitä tarvittaessa tietosuoja-asetuksen mukaiseksi (suostumus!).
6. Tunnista käsittelyperusteeseen liittyvät rekisteröidyn oikeudet ja varmista niiden toteutuminen.
7. Dokumentoi tietosuoja-asetuksen mukaiset menettelytavat osoitusvelvollisuuden täyttämiseksi.
8. Tunnista roolisi ja vastuusi! Rekisterinpitäjänä vastaat henkilötietojen käsittelyn lainmukaisuudesta koko elinkaaren ajan.
9. Vaali luottamusta ja varmista tulevaisuuden tutkimuksen edellytykset tietosuojasäännöksiä noudattamalla sekä huolehtimalla läpinäkyvyydestä ja avoimuudesta.
10. Tietosuojatyökalut välttämätön osa tutkijan työkalupakkia! Päivitä osaamistasi ja seuraa tiedottamista.

Lähde: Raisa Leivonen, Tietosuojavaltuutetun toimisto. Esitelmä Etiikan päivässä 15.3.2018.

Pseudonymisointi

Pseudonyymiksi tiedoksi kutsutaan tietoa, jonka perusteella henkilöä ei voi tunnistaa ilman erillään säilytettäviä lisätietoja.

Pseudonymisointi on aineiston tunnisteellisten tietojen poistamista tai korvaamista peitetiedolla tai koodeilla, jotka prosessin jälkeen säilytetään erillään aineistosta ja suojataan organisatorisesti (tietojen suojattu fyysinen käyttöympäristö ja hallinnollisesti rajattu ja valvottu käyttöoikeus) ja teknisesti (tietoturvalliset tallennusratkaisut).

Tieto ei ole pseudonyymiä, jos yksittäinen henkilö on tunnistettavissa aineiston tietojen perusteella ilman erillään pidettäviä lisätietoja (jos esimerkiksi aineiston epäsuorat muuttujat ja harvinaiset havainnot mahdollistavat tunnistamisen).

Pseudonyymistä aineistosta tulee anonyymi, kun erillään säilytettävät tunnistetiedot (koodiavain, henkilötiedot ja tiedot muutettujen arvojen muodostamistavoista) hävitetään. Jos pseudonymisoidun aineiston erillään säilytettäviä henkilötietoja ei voi hävittää, aineistosta voi tehdä anonyymin tuhoamalla koodiavain ja muutettujen arvojen muodostamistiedot sekä järjestämällä aineisto uudella tavalla, esimerkiksi arvottujen uusien havaintotunnusten mukaan. Aineisto on anonyymi, jos sitä ei voi kohtuullisin keinoin enää yhdistää alkuperäisiin henkilötietoihin.

Myös pseudonyymit aineistot katsotaan henkilötiedoiksi. Sellaisia ovat esimerkiksi pitkittäistutkimusten aineistot, joissa analysoitavissa aineistoissa on havaintotunnus henkilötunnuksen sijaan ja tutkimusryhmällä on hallussa koodi, jonka avulla tunnisteeton aineisto voidaan yhdistää tutkittaviin henkilöihin.

Lähde: Tietoarkiston Aineistonhallinnan käsikirja

Anonymisointi

Anonymisoinnilla tarkoitetaan menetelmiä ja välineitä, joilla tuotetaan anonyymiä tietoa. Anonyymillä eli tunnisteettomalla tiedolla tarkoitetaan tietoa, josta yksittäinen havainto (henkilö) ei ole kohtuullisin keinoin tunnistettavissa annettujen tietojen perusteella tai tietoja muihin tietoihin yhdistämällä. Tieto on anonyymiä, jos tunnusomaiset piirteet (esimerkiksi epäsuorat tunnisteet yhdistettynä) koskevat samanlaisina useampaa henkilöä ja jos katsotaan, että henkilöä ei voida tunnistaa huomioiden kohtuullisesti toteutettavissa olevat toimenpiteet. Anonyymiin aineistoon ei voi yhdistää samoja tutkittavia koskevia uusia tietoja ja sen tulee olla peruuttamaton, jotta voidaan puhua anonyymistä aineistosta.

Täysin anonyymiä tietoa ei ole olemassa, mutta hyvin toteutetuin menetelmin voi päästä tulokseen, jossa kohtuullisin keinoin ei voi yksittäisiä henkilöitä tunnistaa. Anonymisointi on yksi mahdollisuus avata aineistot uudelleenkäyttöön.

Lue lisää kvalitatiivisen ja kvantitatiivisen datan anonymisoinnista Tietoarkiston Aineistonhallinnan käsikirjasta.

Tunnisteellisten aineistojen käsittely tutkimuksessa

Tunnisteellisia aineistoja voi käyttää tieteelliseen tutkimukseen silloin, kun se on tarkoituksenmukaista, suunniteltua, asiallisesti perusteltua ja tietojen käsittelyyn on laillinen käsittelyperuste (esimerkiksi tutkittavan suostumus tai yleisen edun mukainen tutkimus).

Tunnisteellisten tutkimusaineistojen käsittelyn tulee olla suunnitelmallista ja huolellista. Tutkittavien näkökulmasta tunnisteellisen aineiston käsittely muodostaa riskin, jos heitä koskevat luottamukselliset tiedot vuotavat ulkopuolisille, esimerkiksi tutkittavan lähipiirille, työnantajalle tai viranomaisille. Tutkittavien yksityisyyden suojaa ei saa vaarantaa esimerkiksi aineiston huolimattomalla säilyttämisellä tai suojaamattomilla sähköisillä siirroilla.

Henkilötietojen käsittelyyn voi soveltaa suojatoimia kuten minimointia, pseudonymisointia ja anonymisointia. Tarvittaessa aineistojen suojaamiseen voi käyttää myös käyttöoikeuksien hallinnollisia ja teknisiä tietoturvaratkaisuja.

Lähde: Tietoarkiston Aineistonhallinnan käsikirja

Tunnisteellinen tieto

Suorat tunnisteet / välittömät tunnisteet

Suoria tunnisteita ovat tietoja, jotka yksin riittävät tunnistamaan henkilön. Suoria tunnisteita ovat henkilön koko nimi, henkilötunnus, henkilönimen mukainen sähköpostiosoite ja biometriset tunnisteet (sormenjälki, kasvokuva, ääni, silmän iiris, kämmenen muoto, käsin tehty allekirjoitus).

Vahvat epäsuorat tunnisteet

Vahvoja epäsuoria tunnisteita ovat tiedot, joiden avulla henkilön voi kohtuullisen helposti tunnistaa. Tällaisia ovat esimerkiksi postiosoite, puhelinnumero, auton rekisteri, henkilön julkaiseman teoksen viitetiedot, muu kuin henkilönimenmukainen sähköpostiosoite ja henkilöstä tunnistetietoja sisältävän verkkosivuston osoite, harvinainen ammattinimike, hyvin harvinainen sairaus tai vain yhdelle kerrallaan annettu asema (esimerkiksi puheenjohtajuus yhdistyksessä) tai harvinainen tapahtuma. Vahvoja epäsuoria tunnisteita ovat Tietoarkiston mukaan myös yksilöivät koodit, joiden avulla rajatulla henkilöiden joukolla on mahdollisuus tunnistaa henkilö yksiselitteisesti, kuten opiskelijatunnus, vakuutusnumero, tilinumero, tietokoneen IP-osoite ja vastaavat.

Epäsuorat tunnisteet

Epäsuoria tunnisteita ovat tiedot, jotka eivät yksin riitä henkilön tunnistamiseen mutta voivat yhdistettynä mahdollistaa henkilön tunnistamisen. Epäsuoria  tunnisteita ovat esimerkiksi sukupuoli, ikä, koulutus, ammattiasema, pääasiallinen toiminta/työmarkkina-asema, sosioekonominen asema, kotitalouden koostumus, tulot, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu ja asuinaluetta koskevat muuttujat (postinumero, kaupunginosa, kunta, maakunta, seutukunta ja suuralue). Myös päivämäärät (esimerkiksi syntymäaika, kuolinpäivämäärät tai uutiskynnyksen ylittäneet tapahtumapäivämäärät) voivat olla epäsuoria tunnisteita tutkimusaineistoissa yhdistettynä muihin tietoihin.

Lähde: Tietoarkiston Aineistonhallinnan käsikirja.

Taideyliopiston ohjeita

Linkkejä

Tapahtumia ja kirjallisuutta tietosuoja-asioihin liittyen (materiaalit löytyvät tapahtumien sivuilta)

EU:n yleinen tietosuoja-asetus

EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan kaikkeen henkilötietojen käsittelyyn 25.5.2018 alkaen kaikissa EU:n jäsenmaissa.

Tietosuoja-asetuksessa määritellään tietosuojaperiaatteet, joita on noudatettava kaikissa henkilötietojen käsittelyvaiheissa. Tietosuojaperiaatteiden mukaan henkilötietoja on
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Lisätietoja: Tietosuojavaltuutetun toimisto

Henkilötieto

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja ovat tai voivat olla esimerkiksi nimi, osoite, henkilötunnus, paikkatieto, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain tietystä henkilöstä.

Henkilötiedot voivat koskea esimerkiksi yksityiselämää, perhe-elämää, terveydentilaa, fyysisiä ominaisuuksia, ammatillista toimintaa tai taloudellista ja sosiaalista käyttäytymistä. Tutkimusaineistoissa myös tutkittavien lähipiiriä tai kolmansia henkilöitä tunnistettavasti käsittelevät tiedot ovat henkilötietoja.

Lue lisää:Tietoarkiston Aineistonhallinnan käsikirja.

Erityisiä henkilötietoryhmiä

Erityistä varovaisuutta tulee noudattaa, kun tutkimuksessa käsitellään erityisiä henkilötietoryhmiä eli tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen, geneettisiä ja biometrisia tietoja henkilön tunnistamista varten.

Erityisten henkilötietoryhmien käsittely edellyttää vaikutustenarviointia ja eettistä ennakkoarviointia