EU:n tietosuoja-asetus (GDPR) säätelee tutkimuksen aikana tapahtuvaa henkilötietojen käsittelyä.
Ohjeessa kuvataan Taideyliopiston tutkijalta edellytettävät toimenpiteet, kun tutkimuksessa käsitellään henkilötietoja. Toimenpiteet tulee tehdä suurelta osin jo tutkimuksen suunnitteluvaiheessa ennen tutkimuksen käynnistämistä ja aineistonkeruuta. Suunnitteluun kannattaa siis varata riittävästi aikaa!
a) Mikä on henkilötieto?
Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvät tiedot, kuten esimerkiksi nimi, valokuva, videokuva, videotallenteet, ääni, paikannustieto tai haastattelussa esiin tulevat seikat, joista henkilö on tunnistettavissa [1]. Tietosuoja-asetus koskee vain elossa olevia henkilöitä [2]. Kuitenkin myös edesmenneiden yksityishenkilöiden osalta tulee pyrkiä vainajaa kunnioittavaan ilmaisuun ja huomioida vainajan lähipiirin yksityisyys. [3]
b) Milloin käsittelen henkilötietoja?
Henkilötietojen käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä, luovuttamista tai poistamista. [4] Henkilötietojen käsittelyn yleisiin periaatteisiin kuuluu tietojen minimointi. Periaatteen mukaisesti vain tutkimukselle tarpeellisia henkilötietoja saa ylipäätään kerätä ja muulla tavoin käsitellä.
Tutkija käsittelee henkilötietoja tavallisimmin osana tutkimusaineistoa (esim. haastattelut, ääni-, kuva- ja videotallenteet sekä kyselyaineistot). Henkilötietoja saatetaan käsitellä myös tutkimusjulkaisuissa ja tutkimustuloksia esiteltäessä, mikäli aineistoa ei anonymisoida.
Aineistonhallintasuunnitelmassa (DMP eli Data Management Plan) suunnitellaan aineistonhallinnan ja henkilötietojen käsittelyn koko elinkaari (ml. kerääminen, analysointi, käyttö tutkimuksen aikana, tutkimusyhteistyö ja henkilötietojen jakaminen, jatkotutkimus, arkistointi, tuhoaminen).
Suunnitelma tulee tehdä ennen henkilötietojen keräämistä tai muuta käsittelyä. Suunnitelman tekemiseen voi käyttää esimerkiksi DMPTuuli-työkalua. [5] Suunnitelma toimii pohjana, kun tutkittavia informoidaan tutkimuksesta ja henkilötietojen käsittelystä.
Tutkijan tulee huolehtia tutkimushankkeen eettisyydestä sekä hankkeen toteuttamiseen ja henkilötietojen käsittelyyn liittyvien riskien arvioinnista ja vaikutuksista tutkimukseen osallistuville. Tutkimus ja henkilötietojen käsittely tulee suunnitella siten, että riskit minimoidaan tai rajataan.
a) Erityiset henkilötietoryhmät
Erityistä varovaisuutta tulee noudattaa, kun tutkimuksessa käsitellään erityisiä henkilötietoryhmiä eli tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen, geneettisiä ja biometrisia tietoja henkilön tunnistamista varten. [6] Erityisten henkilötietoryhmien käsittely edellyttää vaikutustenarviointia ja eettistä ennakkoarviointia.
b) Vaikutustenarviointi
Jos suunniteltuun henkilötietojen käsittelyyn liittyy merkittäviä tietosuojariskejä tutkimukseen osallistuvien kannalta, tutkijan tulee suorittaa vaikutustenarviointi (DPIA eli Data Protection Impact Assessment) (lomake 1). Näin voi olla esimerkiksi silloin, kun käsitellään erityisiä henkilötietoryhmiä tai lasten henkilötietoja. [7]
c) Eettinen ennakkoarviointi
Tutkijan tulee arvioida eettisen ennakkoarvioinnin tarve ennen tutkimuksen käynnistämistä. Eettinen ennakkoarviointi tulee pyytää kaikissa tutkimuseettisen neuvottelukunnan (TENK) edellyttämissä tapauksissa [8] sekä aina, kun tutkimuksessa käsitellään erityisiä henkilötietoryhmiä.
Tieteelliset kustantajat voivat edellyttää eettistä ennakkoarviointia myös muissa kuin TENKin määrittelemissä tapauksissa. Etenkin kansainväliset tieteelliset kustantajat edellyttävät usein eettistä ennakkoarviointia.
Ohje eettisen ennakkoarvioinnin lausuntopyynnön tekemiseen löytyy Artsista.
Henkilötietoja saa käsitellä ainoastaan silloin, kun käsittelyllä on jokin tietosuoja-asetuksessa määritellyistä käsittelyperusteista. Käsittelyperuste vaikuttaa muun muassa siihen, millaisia oikeuksia tutkittavalla on. Tieteellisessä tutkimuksessa käsittelyperuste on yleensä joko yleisen edun mukainen tieteellinen tutkimus tai tutkittavan suostumus. Taiteellisessa tutkimuksessa käsittelyperuste on aina tutkittavan suostumus.
a) Kun käsittelyperusteena on yleisen edun mukainen tieteellinen tutkimus
Kun henkilötietojen käsittelyperusteena on yleisen edun mukainen tieteellinen tai historiallinen tutkimus, tutkittavan vetäytyessä tutkimuksesta voidaan hänen siihen asti kerättyjä tietojaan kuitenkin käyttää. Tutkittavan toiveita pyritään kuitenkin noudattamaan henkilötietojen käsittelyssä aina silloin kuin se on mahdollista tutkimusta vaarantamatta.
b) Kun käsittelyperusteena on suostumus
Kun henkilötietojen käsittelyperusteena on suostumus, on tutkittavalla oikeus vaatia henkilötietojensa poistamista tai niiden käsittelyn rajoittamista missä tahansa tutkimuksen vaiheessa. Tutkimuksen suunnitteluvaiheessa onkin hyvä ennakoida tähän liittyvät riskit.
Henkilötietojen käsittelyä suunniteltaessa tulee määritellä rekisterinpitäjä (controller). Rekisterinpitäjä on se, joka määrittelee henkilötietoja sisältävän aineiston käsittelyn tarkoituksen ja keinot sekä kantaa vastuun henkilötietojen käsittelystä.
Jos henkilötietoja käsitellään sekä tutkijan että Taideyliopiston toimesta, tutkija tekee Taideyliopiston kanssa sopimuksen henkilötietojen yhteisrekisterinpitäjyydestä. Sopimuksessa sovitaan osapuolten velvollisuuksista tutkimuksen yhteydessä tapahtuvaa henkilötietojen käsittelyä koskien.
Tutkijan ja Taideyliopiston yhteisrekisterinpitäjyys edellyttää, että tutkija toimittaa aineistonhallintasuunnitelman, tietosuojailmoituksen ja mahdollisen vaikutustenarvioinnin sekä tutkimussuunnitelman tutkimuspalveluille ja tietosuojavastaavalle.
Tutkittavien informoinnista tulee huolehtia ennen kuin henkilötietoja kerätään tai käsitellään muutoin. Informointi tehdään tutkittaville annettavalla tietosuojailmoituksella (lomake 2).
Tutkijan tulee varmistaa, että henkilötietojen käsittely on kuvattu yhdenmukaisesti tietosuojailmoituksessa, tutkimussuunnitelmassa ja aineistonhallintasuunnitelmassa.
a) Kun käsittelyperusteena on yleisen edun mukainen tieteellinen tutkimus
Tutkija pyytää osallistujalta mahdollisuuksien mukaan kirjallisen vahvistuksen siitä, että tämä osallistuu tutkimukseen vapaaehtoisesti. Vahvistus pyydetään lomakkeella Vahvistus tutkimukseen osallistumisesta (lomake 3).
b) Kun käsittelyperusteena on suostumus
Tutkija pyytää tutkittavalta suostumuksen henkilötietojen käsittelyyn lomakkeella Suostumus henkilötietojen käsittelyyn (lomake 4). Tällä lomakkeella tutkittava myös vahvistaa osallistumisensa vapaaehtoisuuden.
Tutkimusaineistojen elinkaaren aikana tutkija ylläpitää lomaketta Seloste käsittelytoimista (lomake 5). Lomakkeelle kirjataan tietoja siitä, miten henkilötietoja on käsitelty tutkimuksen aikana. Selosteen ylläpito on kirjanpitovelvoitteen kaltainen velvollisuus. Tietosuojaviranomaiset tarkastavat selosteet osana henkilötietojen käsittelyn viranomaisvalvontaa.
Tietoa Taideyliopistossa hyväksytyistä tietojärjestelmistä ja käytännöistä muun muassa sähköpostin osalta on saatavilla tietoturvallisen toiminnan ohjeista Artsissa, Taideyliopiston tietoturva-asiantuntijalta ja Tutkijan hankeoppaasta.
a) Henkilötietojen käsittelysopimus
Henkilötietojen käsittelysopimus (DPA eli Data Processing Agreement) tehdään, jos ulkopuolinen taho, kuten litteroija, käsittelee henkilötietoja Taideyliopiston lukuun. Mikäli palvelutarjoajan kanssa on jo tehty sopimus käsittelystä, ei uutta sopimusta tarvitse tehdä. Taideyliopiston tietosuojavastaavalta saa tiedot jo tehdyistä sopimuksista.
b) Sopimus yhteisrekisterinpitäjyydestä
Sopimus yhteisrekisterinpitäjyydestä tulee laatia, jos tutkija luonnollisena henkilönä ja Taideyliopisto ovat yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjyydestä sovitaan myös, jos kaksi tai useampi tutkimusorganisaatiota määrittelee henkilötietojen käsittelyn ja tarkoituksen yhdessä. Sopimuksessa määritellään eri tahojen velvollisuudet.
c) Sopimus tutkimusaineiston käytöstä
Sopimus tutkimusaineiston käytöstä tehdään, jos henkilötietoja luovutetaan tai siirretään toiselle yliopistolle tai tutkimuslaitokselle, joka itse määrittelee henkilötietojen käyttötarkoituksen. Tällöin esimerkiksi tutkittavien informoinnista tulee sopia yksityiskohtaisesti. Luovutuksen tai siirron saajalla tulee olla lainmukainen käsittelyperuste, esimerkiksi yleisen edun mukainen tieteellinen tutkimus.
d) Henkilötietojen siirtäminen ETA-alueen ulkopuolelle
Henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle, jos siihen on siirtoperuste [9].
Tietosuojavaltuutettu voi pyytää yliopistolta selvitystä siitä, kuinka yliopistosidonnaisissa tutkimuksissa käsitellään henkilötietoja. Tästä syystä tutkijan tulee toimittaa Taideyliopiston tutkimuspalveluiden ja tietosuojavastaavan saataville tarvittavat dokumentit mahdollista selvitystä varten.
Tutkija tekee Taideyliopiston käyttäjätunnuksellaan Office365 OneDrive-palveluun kansion, johon hän tallentaa seuraavat dokumentit:
a) tutkimussuunnitelma (jos kyseessä yhteisrekisterinpitäjyys)
b) aineistonhallintasuunnitelma (pdf)
c) vaikutustenarviointi (jos tarpeen, lomake 1)
d) tietosuojailmoitus (lomake 2)
e) vahvistus osallistumisen vapaaehtoisuudesta (lomake 3) TAI suostumuslomake henkilötietojen käsittelyyn (lomake 4)
f) seloste henkilötietojen käsittelytoimista (excel-taulukko, lomake 5)
g) sopimukset (DPA tai muu käsittelyä koskeva sopimus, jos tarpeen)
Tallennettuaan dokumentit tutkija tekee jaettavan linkin ja lähettää sen sähköpostilla osoitteisiin tietosuoja@uniarts.fi ja tutkimuspalvelut@uniarts.fi.
Tietosuojavastaava tarkistaa valmiin vaikutustenarviointilomakkeen ennen tutkimuksen käynnistämistä. Myös tietosuojavastaavan arviointi tietosuojailmoituksesta pyydetään ennen sen toimittamista tutkittaville.
Tutkijan tulee huolehtia siitä, että OneDrive-palveluun tallennetaan ennen tutkimuksen aloittamista lopulliset dokumentit siinä muodossa, kun ne annetaan tutkittaville. Näiden dokumenttien avulla selvitetään myös tarvittaessa jälkikäteen, mitä tutkimukseen osallistuville on tutkimuksesta kerrottu.
Henkilötietoja saa käsitellä vain sillä tavalla, kuinka tutkittaville on ennen käsittelyn aloittamista kerrottu. Mikäli tutkimuksen aikana tulee tarve käsitellä henkilötietoja muulla tavoin, kuin mitä tutkittaville on kerrottu, ole yhteydessä Taideyliopiston tietosuojavastaavaan. Lisäksi muutoksista täytyy informoida tutkittavia ja päivittää kaikki tarpeelliset dokumentit, kuten tietosuojailmoitus, OneDrive-palvelussa.
Tutkimuspalvelut (tutkimuspalvelut@uniarts.fi)
• Tutkimuksen riskien hallintaa ja etiikkaa koskeva neuvonta
• OneDrive-dokumentaation seuranta Kirjasto (lib.research@uniarts.fi)
• Tutkimusaineistojen hallintaa koskeva neuvonta ja tuki aineistonhallintasuunnitelman laatimisessa Tietosuojavastaava (tietosuoja@uniarts.fi)
• Vaikutustenarvioinnin neuvonta ja tarkastaminen
• Rekisterinpitäjyyden määrittely
• Käsittelyperusteen määrittely
• Neuvonta tietosuojailmoituksen laatimisessa
• Sopimusasiat
• Tietojen siirto ETA-alueen ulkopuolelle
• OneDrive-dokumentaation seuranta
Tietoturva-asiantuntija (tietoturva@uniarts.fi)
• Tutkimusaineiston tietoturvallinen käsittely
Eettinen toimikunta (eettinen.toimikunta@uniarts.fi)
• Tutkimuksen eettinen ennakkoarviointi
[1] Lisätietoa henkilötiedon määrittelyyn: EU:n tietosuoja-asetus (GDPR); Mikä on henkilötieto
[2] Lisätietoa mm. Vastuullinen historiantutkimus ja tietosuoja
[3] Lisätietoa TENKin ohjeen Ihmiseen kohdistuvan tutkimuksen eettiset periaatteet ja ihmistieteiden eettinen ennakkoarviointi Suomessa kohdassa 3.6.
[4] https://tietosuoja.fi/henkilotietojen-kasittely
[5] Lisätietoa aineistohallintasuunnitelman tekemisestä ja DMPTuulin käytöstä: https://libguides.uniarts.fi/aineistonhallinta; https://libguides.uniarts.fi/DMPTuuli
[6] Lisätietoa: https://tietosuoja.fi/erityisten-henkilotietoryhmien-kasittely
[7] https://tietosuoja.fi/arvioi-riskit
[8] Lisätietoa: https://www.tenk.fi/sites/tenk.fi/files/Ihmistieteiden_eettisen_ennakkoarvioinnin_ohje_2019.pdf
[9] Lisätietoja tietojen siirtämisestä ETA-alueen ulkopuolelle: https:/ec.europa.eu/info/law/law-topic/data-protection/data-transfersoutside-eu_en