Tietosuojalla tarkoitetaan yksilön (rekisteröidyn) yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja laillisen perusteen nojalla. Taideyliopiston tietosuojapolitiikassa määritellään pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Jokaisen tutkijan tulee huomioida tutkimuksessaan henkilötietojen käsittelyä koskeva lainsäädäntö.
Tietoturvalla tarkoitetaan tiedon saatavuuden, luottamuksellisuuden ja eheyden varmistamista. Tietoturva voidaan ymmärtää käytännön toimenpiteiksi, joilla turvataan tietosuojan toteutumista.
Tietoturvallisuudesta tulee huolehtia tiedon elinkaaren kaikissa vaiheissa sekä laitteiden käsittelyssä että välineiden, järjestelmien, menetelmien ja palveluiden valinnassa ja käytössä.Tutkijan tulee kiinnittää erityistä huomiota tutkimusaineiston tietoturvalliseen käsittelyyn.
Salassa pidettävä, luottamuksellinen ja henkilötietoja sisältävä materiaali tulee tallentaa vain Taideyliopiston verkkokansioon. Käytettävissä on henkilökohtainen kotikansio ja tilauksesta jaetut verkkokansiot, joilla tiedostoja voi jakaa ryhmän kesken. Kotihakemistot ovat käytettävissä vain Taideyliopiston tunnuksilla ja yliopiston tietokoneilla ja hakemisto on henkilökohtainen. Verkkokansiot toimivat vain Taideyliopiston verkossa tai Uniarts VPN-yhteyden kautta.
Tietoa käsiteltäessä on huomioitava, että tietoa ei luovuteta millään välineellä muille kuin ao. tiedon saamiseen oikeutetuille henkilöille.
Henkilötietojen käsittelyä on esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, hakeminen ja siirtäminen sekä muut henkilötietoihin kohdistuvat toimenpiteet.
Tutkimushankkeiden henkilötietoja käsiteltäessä on noudatettava tutkimuksen tietosuojan käytännesääntöjä. Yliopiston tutkijoiden on käsiteltävä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa toimintatapaa, European Code of Conduct for Research Integrity mukaisesti.
Tutkimussuunnitelmaa ja aineistonhallintasuunnitelmaa laadittaessa on otettava huomioon henkilötiedon käsittelyn vaatimukset ja EU:n yleisen tietosuoja-asetuksen noudattaminen.
Jokaisen tutkijan on suunniteltava henkilötietojen käsittelyn prosessi etukäteen huomioiden henkilötietojen käsittelyn koko elinkaari. Tutkimusprojekteissa tulee tehdä riskiarvio ja siihen perustuen valita sopivat tekniset ja organisatoriset ratkaisut henkilötietojen suojan toteuttamiseksi. Henkilötietojen käsittelyn tulee tutkimuksessa rajoittua vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi. Tämän lisäksi tulee käyttää tietojen pseudonymisointia tai anonymisointia.
Tutkimushankkeen vastuullinen johtaja vastaa tutkimushankkeissaan siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja tietosuojapolitiikkaa sekä siitä, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimushankkeen vastuullinen johtaja täsmentää työntekijöiden roolien mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tietosuojapolitiikan mukaisesti.
Yksityiskohtaisempaa tietoa henkilötietojen käsittelystä kussakin tutkimuksessa annetaan tietosuojailmoituksessa, jossa selostetaan tarkemmin kyseistä tieteellisestä tutkimusta koskevia erityiskysymyksiä. Tietosuojailmoituksessa kuvataan mm. henkilötietojen käsittelyn tarkoitusta ja tutkittavien oikeuksia, minkä lisäksi siinä yksilöidään tutkimuksen vastuuhenkilö tai tutkimuksesta vastaava ryhmä Tietosuojailmoituksessa tutkittavaa tulee myös informoida riittävästi tutkimuksen sisällöistä.
Tutkija laatii tietosuojailmoituksen Taideyliopiston tutkimusta varten tarjoamaan tietosuojailmoituslomakkeeseen. Lakipalvelut tukevat tarvittessa tietosuojailmoituksen laatimista.
Yliopisto on tutkimushankkeissa rekisterinpitäjä silloin, kun yliopisto määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu tutkimushankkeissa, jotka ovat yliopiston hyväksymiä ja joiden rahoitus on osoitettu yliopistolle. Yliopisto ja tutkija voivat myös olla yhteisrekisterinpitäjiä, esim. jos tutkija määrittää henkilötietojen käsittelyn tarkoituksen.
Henkilötietojen tarpeellisuutta tutkimuksessa on arvioitava mahdollisimman aikaisessa vaiheessa. Käsiteltävien henkilötietojen määrä on pyrittävä minimoimaan. Arviossa on huomioitava henkilötietojen määrän lisäksi se, millaisia henkilötietoja tutkimuksessa käsitellään. Henkilötietojen on oltava riittäviä, olennaisia ja välttämättömiä käsittelyn tarkoituksen kannalta.
Tutkimus tulee toteuttaa ilman henkilötietoja aina kun mahdollista.
Minimointiin liittyy myös se, että käyttötarkoituksen kannalta ei-välttämättömät henkilötiedot henkilötiedot hävitetään. Esimerkiksi henkilötunnus, nimitiedot, osoitteet ja muut tarpeettomat tunnisteet hävitetään heti, kun ne eivät ole enää välttämättömiä tutkimuksen toteuttamisessa. Minimointi on yksi suojatoimi, jolla pyritään vähentämään tunnisteellisten aineistojen käsittelyyn sisältyviä riskejä.
Pseudonyymiksi tiedoksi kutsutaan tietoa, jonka perusteella henkilöä ei voi tunnistaa ilman erillään säilytettäviä lisätietoja.
Pseudonymisointi on aineiston tunnisteellisten tietojen poistamista tai korvaamista peitetiedolla tai koodeilla, jotka prosessin jälkeen säilytetään erillään aineistosta ja suojataan organisatorisesti (tietojen suojattu fyysinen käyttöympäristö ja hallinnollisesti rajattu ja valvottu käyttöoikeus) ja teknisesti (tietoturvalliset tallennusratkaisut).
Tieto ei ole pseudonyymiä, jos yksittäinen henkilö on tunnistettavissa aineiston tietojen perusteella ilman erillään pidettäviä lisätietoja (jos esimerkiksi aineiston epäsuorat muuttujat ja harvinaiset havainnot mahdollistavat tunnistamisen).
Pseudonyymistä aineistosta tulee anonyymi, kun erillään säilytettävät tunnistetiedot (koodiavain, henkilötiedot ja tiedot muutettujen arvojen muodostamistavoista) hävitetään. Jos pseudonymisoidun aineiston erillään säilytettäviä henkilötietoja ei voi hävittää, aineistosta voi tehdä anonyymin tuhoamalla koodiavain ja muutettujen arvojen muodostamistiedot sekä järjestämällä aineisto uudella tavalla, esimerkiksi arvottujen uusien havaintotunnusten mukaan. Aineisto on anonyymi, jos sitä ei voi kohtuullisin keinoin enää yhdistää alkuperäisiin henkilötietoihin.
Myös pseudonyymit aineistot katsotaan henkilötiedoiksi. Sellaisia ovat esimerkiksi pitkittäistutkimusten aineistot, joissa analysoitavissa aineistoissa on havaintotunnus henkilötunnuksen sijaan ja tutkimusryhmällä on hallussa koodi, jonka avulla tunnisteeton aineisto voidaan yhdistää tutkittaviin henkilöihin.
Anonymisoinnilla tarkoitetaan menetelmiä ja välineitä, joilla tuotetaan anonyymiä tietoa. Anonyymi eli tunnisteeton tieto on tietoa, josta yksittäinen havainto (henkilö) ei ole kohtuullisin keinoin tunnistettavissa annettujen tietojen perusteella tai tietoja muihin tietoihin yhdistämällä. Tieto on anonyymiä, jos tunnusomaiset piirteet (esimerkiksi epäsuorat tunnisteet yhdistettynä) koskevat samanlaisina useampaa henkilöä ja jos katsotaan, että henkilöä ei voida tunnistaa huomioiden kohtuullisesti toteutettavissa olevat toimenpiteet. Anonyymiin aineistoon ei voi yhdistää samoja tutkittavia koskevia uusia tietoja ja sen tulee olla peruuttamaton, jotta voidaan puhua anonyymistä aineistosta.
Täysin anonyymiä tietoa ei ole olemassa, mutta hyvin toteutetuin menetelmin voi päästä tulokseen, jossa kohtuullisin keinoin ei voi yksittäisiä henkilöitä tunnistaa. Anonymisointi on yksi mahdollisuus avata aineistot uudelleenkäyttöön.
Tunnisteellisia aineistoja voi käyttää tieteelliseen tutkimukseen silloin, kun se on tarkoituksenmukaista, suunniteltua, asiallisesti perusteltua ja tietojen käsittelyyn on laillinen käsittelyperuste.
Tunnisteellisten tutkimusaineistojen käsittelyn tulee olla suunnitelmallista ja huolellista. Tutkittavien näkökulmasta tunnisteellisen aineiston käsittely muodostaa riskin, jos heitä koskevat luottamukselliset tiedot vuotavat ulkopuolisille, esimerkiksi tutkittavan lähipiirille, työnantajalle tai viranomaisille. Tutkittavien yksityisyyden suojaa ei saa vaarantaa esimerkiksi aineiston huolimattomalla säilyttämisellä tai suojaamattomilla sähköisillä siirroilla.
Henkilötietojen käsittelyyn voi soveltaa suojatoimia kuten minimointia, pseudonymisointia ja anonymisointia. Tarvittaessa aineistojen suojaamiseen voi käyttää myös käyttöoikeuksien hallinnollisia ja teknisiä tietoturvaratkaisuja.
Suorat tunnisteet / välittömät tunnisteet
Suoria tunnisteita ovat tietoja, jotka yksin riittävät tunnistamaan henkilön. Suoria tunnisteita ovat henkilön koko nimi, henkilötunnus, henkilönimen mukainen sähköpostiosoite ja biometriset tunnisteet (sormenjälki, kasvokuva, ääni, silmän iiris, kämmenen muoto, käsin tehty allekirjoitus).
Vahvat epäsuorat tunnisteet
Vahvoja epäsuoria tunnisteita ovat tiedot, joiden avulla henkilön voi kohtuullisen helposti tunnistaa. Tällaisia ovat esimerkiksi postiosoite, puhelinnumero, auton rekisteri, henkilön julkaiseman teoksen viitetiedot, muu kuin henkilönimenmukainen sähköpostiosoite ja henkilöstä tunnistetietoja sisältävän verkkosivuston osoite, harvinainen ammattinimike, hyvin harvinainen sairaus tai vain yhdelle kerrallaan annettu asema (esimerkiksi puheenjohtajuus yhdistyksessä) tai harvinainen tapahtuma. Vahvoja epäsuoria tunnisteita ovat Tietoarkiston mukaan myös yksilöivät koodit, joiden avulla rajatulla henkilöiden joukolla on mahdollisuus tunnistaa henkilö yksiselitteisesti, kuten opiskelijatunnus, vakuutusnumero, tilinumero, tietokoneen IP-osoite ja vastaavat.
Epäsuorat tunnisteet
Epäsuoria tunnisteita ovat tiedot, jotka eivät yksin riitä henkilön tunnistamiseen mutta voivat yhdistettynä mahdollistaa henkilön tunnistamisen. Epäsuoria tunnisteita ovat esimerkiksi sukupuoli, ikä, koulutus, ammattiasema, pääasiallinen toiminta/työmarkkina-asema, sosioekonominen asema, kotitalouden koostumus, tulot, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu ja asuinaluetta koskevat muuttujat (postinumero, kaupunginosa, kunta, maakunta, seutukunta ja suuralue). Myös päivämäärät (esimerkiksi syntymäaika, kuolinpäivämäärät tai uutiskynnyksen ylittäneet tapahtumapäivämäärät) voivat olla epäsuoria tunnisteita tutkimusaineistoissa yhdistettynä muihin tietoihin.
Henkilötiedolla tarkoitetaan tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja ovat esim. nimi, osoite, henkilötunnus, paikkatieto, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain tietystä henkilöstä.
Henkilötiedot voivat koskea esimerkiksi yksityiselämää, perhe-elämää, terveydentilaa, fyysisiä ominaisuuksia, ammatillista toimintaa tai taloudellista ja sosiaalista käyttäytymistä. Tutkimusaineistoissa myös tutkittavien lähipiiriä tai kolmansia henkilöitä tunnistettavasti käsittelevät tiedot ovat henkilötietoja.
Erityistä varovaisuutta tulee noudattaa, kun tutkimuksessa käsitellään erityisiä henkilötietoryhmiä eli tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen, geneettisiä ja biometrisia tietoja henkilön tunnistamista varten.
Erityisten henkilötietoryhmien käsittely edellyttää vaikutustenarviointia. Myös eettistä ennakkoarviointia suositellaan.
Taideylopiston tietosuojavastaava
Minna Eskola
tietosuoja@uniarts.fi
Lakipalvelut
Titti Luukkainen
Tutkimuspalvelut
tutkimuspalvelut@uniarts.fi
EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan kaikkeen henkilötietojen käsittelyyn EU:n jäsenmaissa.
Tietosuoja-asetuksessa määritellään tietosuojaperiaatteet, joita on noudatettava kaikissa henkilötietojen käsittelyvaiheissa. Henkilötietoja on
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
Sivun lähteet: Raisa Leivonen, Tietosuojavaltuutetun toimisto. Esitelmä Etiikan päivässä 15.3.2018, Tietosuojavaltuutetun toimisto ja Tietoarkiston Aineistonhallinnan käsikirja