Tälle sivulle olemme koonneet ohjeita ja tietoa tutkimuksen alkuun liittyvästä aineistonhallinnasta ennen kaikkea lainsäädäntöön ja eettisiin kysymyksiin liittyen. Sivulla esitellään mm. seuraavia asioita:
- tutkimusetiikka ja lainsäädäntö (ml. GDPR)
- tutkimusdatan tietosuoja ja arkaluonteisuus, mm. henkilötietoja sisältävä data
- tutkimusdatan tekijänoikeudet, omistajuus ja käyttöoikeudet.
Tutkimusetiikka ja lainsäädäntö aineistonhallinnassa
Hyvä tieteellinen käytäntö (HTK) on tieteenteon ytimessä ja ohjaa vastuullista tutkimusaineistonhallintaa jo suunnitteluvaiheesta alkaen (Vastuullinen tiede). Hyvän tieteellisen käytännön keskeisiin toimintatapoihin kuuluvat eettiset ja lainsäädännölliset seikat. Ne vaikuttavat aina aineistonhallintaan eli siihen, miten tutkimusaineistoa kerätään ja käsitellään, millaisia oikeuksia aineiston liittyy, missä aineistoa voi säilyttää, miten ja kenelle aineistoa voi jakaa ja miten avata. Tarvittaessa on huolehdittava eettisestä ennakkoarvioinnista, ja se tehdään aina ennen kuin tutkimus alkaa. Eettistä ennakkoarviointia haetaan eettisestä toimikunnasta.
- Itä-Suomen yliopiston tutkimuseettinen toimikunta: ei-lääketieteellinen tutkimus ihmistieteissä.
- Alueellinen lääketieteellinen tutkimuseettinen toimikunta – Pohjois-Savon sairaanhoitopiiri: lääketieteellinen ja terveystieteellinen tutkimus.
Eettisen ennakkoarvioinnin lisäksi tutkimus voi myös vaatia tutkimusluvan. Tutkimuslupakäytännöt vaihtelevat tieteenalasta ja tutkimustyypistä riippuen. Esimerkiksi lääketieteellisen tutkimuksen tekemiseen tarvitaan aina tutkimuslupa (KYS: organisaatiolupa). Kliinisessä lääketutkimuksessa haetaan lupaa puolestaan Fimealta. Muuntogeenisiä organismeja (GMO) käyttävään tutkimukseen tarvitaan myös omat lupansa (Geenitekniikan lautakunta). Itä-Suomen yliopisto on sitoutunut noudattamaan hyvää tieteellistä käytäntöä ja tutkimuseettisen neuvottelukunnan laatimia ohjeistuksia tutkimustoiminnassaan. Tutkimuseettinen vastuu on ensisijaisesti tutkijalla.
Tieteellistä tutkimusta säädellään lukuisin lain ja säädöksin, jotka asettavat tutkimuksen tekemiselle vapauden ja rajat. Tutkimuksen vapaus turvataan perustuslaissa (§ 16), Euroopan unionin perusoikeuskirjassa (artikla 13) ja yliopistolaissa (§ 6). Tämä tarkoittaa, että tieteellisessä tutkimuksessa tutkija saa vapaasti valita tutkimuskohteensa ja tutkimusmetodinsa.
Julkisuuslain mukaan (§ 27-28) tieteellisessä tutkimuksessa voidaan käyttää tutkimusaineistona sellaista aineistoa ja tietoa, joka muutoin on luokiteltu salaiseksi tai suojatuksi. Esimerkiksi viranomaisen salassa pidettäviä asiakirjoja voidaan antaa tutkimuskäyttöön. Toisaalta tutkimukseen liittyvät asiakirjat luokitellaan itsessään salassa pidettäviksi silloin, kun ne kuuluvat viranomaisen toimintaan ja sitä määrittävään julkisuusperiaatteeseen (julkisuuslaki § 24.21). Tällöin esimerkiksi tutkimussuunnitelma on salassa pidettävä silloin, kun se kuuluu yliopiston toiminnan asiakirjoihin.
Seuraavissa osiossa tarjotaan yleistä tietoa keskeisimmistä säädöksistä ja niiden vaikutuksesta tutkimusaineistojen hallintaan erityisesti tietosuojan kannalta.
Tietosuoja kuuluu yksilön perusoikeuksiin ja sen tavoitteena on suojata henkilötietojen yksityisyys niitä käsiteltäessä (lue lisää tietosuojaan liittyvästä lainsäädännöstä ja UEF:n tietosuojapolitiikasta). Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan tunnistaa ja joita on käsiteltävä ja kerättävä henkilön yksityisyyttä vaarantamatta. Tietoturva on yksi tietosuojan toteuttamisen keino ja sen tavoitteena on henkilötietojen, terveystietojen, ja muiden tärkeiden tietojen turvaaminen ulkopuolisilta teknisillä ja mahdollisesti muilla toimilla, johon kuuluvat esimerkiksi tietoturvakoulutus, palomuurit ja torjuntaohjelmistot.
Keskeiset henkilötietojen tietosuojaan vaikuttavat säädökset ovat tietosuojalaki ja EU:n yleinen tietosuoja-asetus eli GDPR (The EU General Data Protection Regulation). Näiden säädösten mukaan henkilötietojen käsittely on sallittu ns. yleistä etua koskevan tehtävän suorittamisen perusteella (tietosuojalaki § 4; tietosuoja-asetus artikla 6.1 e). Tietosuoja-asetusta ei sovelleta kuitenkaan kuolleiden henkilöiden henkilötietoihin. Tietosuojavaltuutetun toimiston sivustolla on kerrottu tietosuojalainsäädännöstä enemmän tieteellisen tutkimuksen näkökulmasta.
Lääketieteellistä ja terveystieteellistä tutkimusta säädellään lukuisin säädöksin.
Laki lääketieteellisestä tutkimuksesta (488/1999) eli ns. tutkimuslaki koskee lääketieteellistä tutkimusta (ml. liikuntatieteellinen ja ravitsemustieteellinen tutkimus) jossa puututaan ihmisen koskemattomuuteen ja jonka tarkoituksena on lisätä tietoa terveydestä, sairauksien syistä, hoidosta tai ehkäisystä.
Laki kliinisestä lääketutkimuksesta (983/2021) koskee lääketutkimusta.
Toisiolaki (552/2019) eli laki sosiaali- ja terveystietojen toissijaisesta käytöstä. Lain tavoitteena on taata sosiaali- ja terveydenhuollon palvelutoiminnassa syntyvien henkilötasoisten asiakastietojen tietoturvallinen toisiokäyttö. Tietojen toisiokäytöllä tarkoitetaan niiden hyödyntämistä muussa tarkoituksessa, esimerkiksi opetuksessa ja tutkimuksessa, jonka vuoksi ne on alun perin tallennettu.
Findata toimii toisiolain mukaisena tietolupaviranomaisena. Lue lisää, Toisiolaki.
Salassa pidettävät aineistot (esim. lajitiedot ja liikesalaisuudet)
Tutkimusaineistojen tiedot voivat olla julkisia, jollain tavoin rajattuja vai jopa salaisia. Luottamukselliseksi tai salaiseksi voidaan luokitella henkilötiedon lisäksi esimerkiksi sensitiivinen lajitieto eli eliölajien esiintymistä (julkisuuslaki § 24.14) koskeva tieto silloin, kun eliölaji on rauhoitettu, uhanalainen tai se on herkkä paikallisille häiriöille. Samoin pääsyä tietoihin eliölajista voidaan rajoittaa bioturvallisista syistä, esimerkiksi jos kyseessä on kasvi- tai eläintauti, joka uhkaa muiden eliöiden terveyttä.
Salassa pidettäviä tietoja ovat myös esimerkiksi maanpuolustukseen liittyvät tiedot, liikesalaisuudet sekä sellaiset tiedot, jotka voivat aiheuttaa elinkeinonharjoittajalle taloudellista vahinkoa (julkisuuslaki § 24.10 ja 20).
Kuka tutkimusaineiston tai -datan omistaa?
Tutkimusaineiston ja -datan omistajuus voi olla vaikeaa määrittää, eritoten jos tutkimuksessa yhdistetään aineistoja tai dataa eri lähteistä. Organisaatiosta toiseen siirtyminen voi myös aiheuttaa epäselvyyttä omistajuuden suhteen. Hyödyllisinä lähtökohtina tutkimusaineiston ja -datan omistajuuden selvittämiseen on tutkimuksen rahoitustyyppi ja tekijyys.
Rahoituksen näkökulmasta tutkimus voidaan jakaa karkeasti avoimeen tutkimukseen (perustutkimus, vapaatutkimus) ja sopimustutkimukseen (laki oikeudesta korkeakouluissa tehtäviin keksintöihin § 3).
Avoimella tutkimuksella tarkoitetaan tutkimusta, joka tehdään
- ilman ulkopuolista rahoitusta tai sopimuskumppania
- ulkopuolisella rahoituksella mutta ilman tulosten julkaisemista koskevia määräyksiä
- yhteisellä sopimuksella, joka määrittää tutkimuksen avoimeksi.
Sopimustutkimuksella tarkoitetaan puolestaan joko
- maksullista palvelutoimintaa
- tutkimusta, jossa on ulkopuolinen rahoittaja kuten Suomen Akatemia, Business Finland tai Horisontti Eurooppa-puiteohjelman rahoitus.
UEFissa sopimustutkimukseksi katsotaan kaikki sen toteuttama maksullinen palvelutoiminta ja sellainen tutkimus, jossa on vähintään yksi UEFin ulkopuolinen taho joko tekijänä, rahoittajana tai muuna osallistujana (ks. UEF oikeuksiensiirto). Sopimuksen osapuolina on tutkijan sijaan UEF ja ulkopuolinen taho. Samalla tutkija tekee UEF:n kanssa oikeuksiensiirtosopimuksen, jolla syntyvän tuotoksen omistusoikeus siirtyy yliopistolle. On kuitenkin tärkeää huomata, että oikeuksiensiirrossa tutkija ei luovu kaikesta omistajuudesta tai käyttöoikeuksista esim. tutkimusdataan vaan ainoastaan siltä osin mitä rahoitusehdot edellyttävät. Yleensä oikeuksiensiirtosopimus koskee syntyvää tuotosta kuten tutkimusaineistoja ja -dataa sekä menetelmiä. Oikeuksiensiirto on siis aina tapauskohtainen. Oikeuksiensiirto kuuluu vakiona kaikkiin UEFissa solmittaviin työsuhteisiin, sillä vaikkei tutkija työskentelisikään sopimushankkeessa työsopimuksen allekirjoittamisen aikaan, voi tilanne muuttua ajan saatossa.
Kun tutkimusaineisto tai -data on tuotettu osana avointa tutkimusta esim. henkilökohtaisella apurahalla, tutkija omistaa lähtökohtaisesti tutkimusaineiston tai -datan itse. Tällöin tutkija voi halutessaan siirtää yliopistolle käyttöoikeuden aineistoon erillisellä sopimuksella. Tutkimusaineiston ja -datan käyttöoikeudet ovat keskeisiä eritoten silloin, jos niitä ollaan esimerkiksi jakamassa eteenpäin kolmannelle osapuolelle tai arkistoimassa säilytettäväksi.
Immateriaalioikeudet
Immateriaalioikeudet (englanniksi intellectual property rights eli IPR) suojelevat perinteisesti aineettomia tai abstrakteja kohteita. Immateriaalioikeudet voidaan jakaa
- teollisoikeuksiin, jotka suojaavat esimerkiksi patentteja ja teollismalleja
- tekijänoikeuksiin, jotka suojaavat taiteellisia ja kirjallisia teoksia, sekä yleensä tutkimusaineistoja ja –dataa.
Tekijänoikeutta säätelee Suomessa tekijänoikeuslaki (404/1961), ja tekijänoikeus voi syntyä vain luonnolliselle henkilölle kuten tutkijalle. Tekijänoikeus voi kuitenkin siirtyä työnantajalle, jos teos on syntynyt työsuhteesta johtuvaa velvoitetta täytettäessä (§ 40). Jos teoksen on luonut useampi henkilö, siihen muodostuu tekijänoikeus näille henkilöille yhteisesti (§ 5).
Tekijänoikeuden syntyminen edellyttää teoksen riittävää omaperäisyyttä, toisin sanoen teoksen tulee ylittää teoskynnys. Tekijänoikeus kohdistuu luomistyön tulokseen eli teoksen ilmenemismuotoon eikä esimerkiksi teoriaan tai tietoon. Tekijänoikeuslaissa (§ 49) todetaan, että suojan saavat myös taulukot, luettelot ja tietokannat, jotta huomioitaisiin niiden keräämiseen vaadittu koontityö. Tietokantojen osalta onkin hyvä selvittää, ketkä niiden tekemiseen ovat osallistuneet, sillä tietokannat usein kumuloituvat tutkimuksen jatkuessa pitempään. Tekijänoikeussuojan lisäksi tietokannan voi suojata Sui generis-oikeudella (EU direktiivi 96/9/EC).
Tutkimuksen tuotoksena saattaa syntyä immateriaalioikeuden (IPR) alaisia kohteita, kuten patentti, tietokanta, luettelo tms. Jos sopimustutkimuksen tuotoksena syntyy keksintö, voi organisaatio ottaa keksinnön teollisoikeuden ja suojata keksinnön patentilla (laki oikeudesta korkeakouluissa tehtäviin keksintöihin(369/2006). Jos keksintö taas syntyy avoimen tutkimuksen tuotoksena esim. henkilökohtaisella apurahalla, omistaa tutkija teollisoikeuden. Tässä tapauksessa tutkija voi siirtää oikeudet keksintöön yliopistolle. Korkeakouluilla on myös mahdollisuus ottaa keksinnön oikeudet itselleen, jos tutkija ei tietyn ajan puitteissa julkaise keksintöä tai hyödynnä sitä. Keksintöihin liittyviä immateriaalioikeuksia selvitettäessä kannattaa konsultoida UEFin Yrittäjyys- ja innovaatiopalveluita.
Lähtökohtaisesti UEF:ssa teoskynnyksen ylittävän tutkimusaineiston (tai opetusmateriaalin) tekijänoikeudet katsotaan kuuluvan tutkijoille itselleen. Tekijänoikeussopimuksien avulla voidaan sopia tällaisen aineiston käytöstä. Yliopistolle voidaan tarvittaessa siirtää yksinoikeus tutkimusaineistoon tai luovuttaa käyttöoikeus siihen. Tutkimusaineisto voidaan myös lisenssoida, mikä tarkoittaa tekijänoikeuden tai muun immateriaalioikeuden haltijan myöntämää oikeutta käyttää suojattua teosta, kuten tutkimusdataa. Lue lisää, Immateriaalioikeuksien suojaaminen yliopistossa. Projekteihin liittyvät sopimukset.
Henkilötieto ja henkilötietojen käsittely
Henkilötieto on paljon laajempi asia kuin vain nimi tai kyselyn taustatiedot. Henkilötietoja on eritasoisia: osa on sellaisia tietoja, jotka yksinään riittävät henkilön tunnistamiseen (suorat henkilötiedot), mutta henkilötiedoiksi lasketaan mitkä tahansa tiedot, jotka liittyvät tunnistettavissa olevaan henkilöön (epäsuorat henkilötiedot).
Suoria henkilötietoja tai tunnisteita ovat esimerkiksi nimi, henkilötunnus, ääni, kuva, nimenmukainen sähköpostiosoite tai sormenjälki.
Epäsuoria henkilötietoja tai tunnisteita puolestaan ovat esimerkiksi kotikunta, ikä, ammatti, paino tai sukupuoli, joiden perusteella ihmistä ei yksistään voi tunnistaa, mutta joita yhdistelemällä tunnistaminen on mahdollista. Yksilö voidaan vaikkapa tunnistaa sellaisesta joukosta, joka on lähtökohtaisesti pieni ja tarkoin rajattu.
Erityisiä henkilötietoja (arkaluonteisia tietoja), kutsutaan myös sensitiivisiksi tiedoiksi, ovat sellaiset henkilötietoryhmät, joista käy ilmi
- etninen tai rodullinen alkuperä
- poliittiset mielipiteet
- uskonnolliset tai filosofiset vakaumukset
- ammattiliiton jäsenyys
- geneettiset tai biometriset tiedot (yksilön tunnistamista varten)
- terveystiedot
- seksuaalinen suuntautuminen tai seksuaalinen käyttäytyminen.
Rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot ovat syytä mainita erikseen.
Henkilötietojen käsittelyllä tarkoitetaan mitä tahansa henkilötietoihin liittyvää toimenpidettä, kuten henkilötietojen keräämistä, säilyttämistä, järjestämistä, jakamista tai tuhoamista. Lue lisää UEF ohjeita henkilötietojen käsittelyyn ja tietoaineistojen käsittelyyn. Vaikka itse tutkimus ei kohdistuisikaan suoraan ihmisiin, vaan vaikkapa jonkin eliölajin levinneisyyteen mutta tietoa kerätään haastatteluin, tutkimuksessa käsitellään henkilötietoa.
Erityisiä henkilötietoja voidaan käsitellä vain kun
- rekisteröity eli henkilön, jonka tietoja käsitellään, on antanut siihen suostumuksen
- rekisteröity on itse saattanut tiedot julkiseksi
- käsittely on yleisen edun nimissä tarpeen kansanterveydellisin perustein
- käsittely on tarpeen yleisen edun mukaisen arkistoinnin, tieteellisen tai historiallisen tutkimuksen tai tilastollisin tarkoituksen nimissä (tietosuoja-asetuksen artikla 9).
Myös tietosuojalaissa (1050/2018) (§ 6.7) huomioidaan erityisten henkilötietojen käsittelyn mahdollisuus tieteellisessä tutkimuksessa.
Rikkomuksiin sekä rikostuomioihin liittyviä henkilötietoja saa lähtökohtaisesti käsitellä vain viranomaisen valvonnan alla. Tällaisten tietojen käsittely on kuitenkin sallittu EU:n tai sen jäsenvaltion kansallisessa laissa, jossa on säädetty asianmukaiset suojaustoimet henkilön oikeuksien ja vapauksien suojelemiseksi (tietosuoja-asetuksen artikla 10). Tietosuojalaissa (§ 7.1.2) sallitaankin rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely tieteellistä tai historiallista tutkimusta tai tilastointia varten.
Pseudonymisoitu, anonymisoitu ja aggregoitu data
Henkilötietoa voidaan käsitellä tai kerätä siten, että henkilöä ei voida tunnistaa. Tällöin puhutaan pseudonymisoidusta tai anonymisoidusta datasta ja henkilöryhmien kohdalla aggregoidusta datasta.
Pseudonymisointi: Datan henkilötunnisteet, kuten nimet tai asuinpaikkakunta, korvataan esimerkiksi peitenimellä tai koodilla. Niiden avulla on kuitenkin edelleen mahdollista selvittää tutkittavan henkilöllisyys. Koodiavain voi koostua satunnaisesti tuotetusta numerosarjasta, ja se säilytetään aineistosta erillään tietoturvallisessa paikassa esimerkiksi lukollisessa kaapissa.
Anonymisointi: Data käsitellään siten, että henkilöitä ei voida enää tunnistaa datasta eli se ei enää sisällä suoria tunnisteita tai sellaista yhdistelmää epäsuoria tunnisteita, jotka mahdollistaisivat henkilön tunnistamisen. Jos pseudonymisointi tehdään siten, että henkilön uudelleentunnistamisesta tulee mahdotonta, voidaan dataa pitää anonymisoituna.
Aggregoiminen: Datan muokkaamista siten, etteivät yksittäisiä henkilöitä tai henkilöryhmiä koskevat tiedot ole enää tunnistettavissa. Käsittelyn tuloksena tieto yhdistetään laajemmiksi kategorioiksi tai ryhmiksi esimerkiksi iän perusteella (ns. yhdistelmätieto), jolloin se kuvaa henkilöryhmää eikä yksittäistä, tunnistettavaa henkilöä.
Rekisterinpitäjä ja henkilötietojen käsittelijä
Rekisteröity henkilö: Henkilö, jonka henkilötietoja käsitellään.
Rekisteri: Henkilötietoja sisältävä tietojoukko.
Rekisterinpitäjä (data controller) määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla ihminen (kuten tutkija) tai organisaatio (kuten yliopisto tai sairaala). Rekisterinpitäjiä voi olla myös useampi, jolloin puhutaan yhteisrekisterinpitäjistä. Kun rekisterinpitäjää määritellään, on olennaista huomioida se, kenellä on todellinen määräysvalta käsiteltäviin henkilötietoihin. Rekisterinpitäjä on nimettävä heti, kun henkilötietoja aletaan kerätä tutkimuksen alkuvaiheessa.
Rekisterinpitäjän vastuulla on
- ylläpitää tietosuojaselostetta (englanniksi privacy statement tai privacy notice) henkilötietojen käsittelytoimista
- tutkittavan eli rekisteröidyn informointi.
UEFissa on suosituksena, että tutkittavien informointi tehdään tietosuojaselosteesta erillisenä dokumenttina. Näiden ja muutamien muiden keskeisten tietosuojaan liittyvien dokumenttien sisältöä käsitellään alla omassa osiossa.
Henkilötietojen käsittelijä (data processor) on ihminen tai organisaatio, joka suorittaa rekisterissä olevien henkilötietojen käsittelyn. Rekisterinpitäjä ei välttämättä käsittele henkilötietoja itse vaan sen tekee henkilötietojen käsittelijä. Esimerkkinä henkilötietojen käsittelijästä voi olla Webropol Oy, jos tietoja kerätään kyselynä. Myös ostopalveluna tehty litterointi tai käännöstyö tekevät palvelun toteuttajasta henkilötietojen käsittelijän.
Henkilötietojen käsittelijän vastuulla on
- rekistenpitäjän ohjeiden noudattaminen (osoitettava sopimuksella tai muulla asiakirjalla rekisterinpitäjän ja käsittelijän välillä)
- varmistaa, että henkilötietojen käsittelijät sitoutuvat noudattamaan salassapitovelvollisuutta
- huolehtia henkilötietojen salauksesta ja pseudonymisoinnista sekä käsittelyjärjestelmien luottamuksellisuudesta
- poistaa tai palauttaa (riippuen rekisterinpitäjän tekemästä valinnasta) kaikki henkilötiedot rekisterinpitäjälle käsittelyn päätyttyä
- osoittaa että henkilötiedot on käsitelty GDPR:n mukaisesti.
Sekä rekisterinpitäjää että henkilötietojen käsittelijää velvoittavat henkilötietojen käsittelyä koskevat periaatteet, kuten lainmukaisuus ja läpinäkyvyys, tietojen minimointi ja täsmällisyys sekä käsittelyn luottamuksellisuus.
Lisätietoa henkilötietojen käsittelystä:
- Tietosuojavaltuutetun toimiston ohjeet: Kerro käsittelystä rekisteröidylle
- UEFin henkilöstökoulutusmateriaali: Henkilötietojen käsittely tutkimustoiminnassa ja korkeakouluopintojen yhteydessä (edellyttää UEFin tunnuksia)
- Aineistonhallinnan käsikirja: Informointi henkilötietojen käsittelystä
- Laadullisen tutkimuksen verkkokäsikirja: Tutkimuslupa, suostumus, informointi ja tietosuoja
Tietosuojaseloste (privacy statement tai privacy notice)
Tietosuojaseloste sisältää tiedot, jotka tulee kertoa tutkittaville käsiteltäessä henkilötietoja tieteellisessä tutkimuksessa. Siinä myös kuvataan henkilötietojen käsittely. Tietosuojaseloste voi toimia pohjana tutkittaville annettavan informaation laatimiseen. Tutkimuksesta laaditaan tietosuojaseloste aina, kun henkilötietoa käsitellään, vaikka suoria henkilötunnisteita ei käsiteltäisikään.
Tietosuojaselosteessa kerrotaan
- rekisterinpitäjä
- tutkimuksen kaikki osapuolet vastuineen
- tutkimuksen kuvailu lyhyesti liittyen henkilötietojen käsittelytarkoituksen määrittelyyn
- mitä henkilötietoja kerätään ja mistä niitä kerätään
- kuinka pitkään henkilötietoja säilytetään ja mihin ne mahdollisesti arkistoidaan tutkimuksen jälkeen
- tietojen siirto/luovuttaminen tutkimusryhmän ulkopuolelle
- tietojen siirto/luovuttaminen EU:n tai ETA:n ulkopuolelle.
Henkilötietojen käsittelyssä on tärkeää, että niihin pääsy on kontrolloitua ja suunniteltua. Tietoja voi kuitenkin joutua luovuttamaan tutkimusryhmän ulkopuolelle esimerkiksi silloin, jos haastattelujen litterointi hankitaan muualta. Tällöin litteroija määritellään henkilötiedon käsittelijäksi, jonka kanssa on tehtävä tietosuojasopimus (Malliasiakirja löytyy UEFin sisäisestä verkosta Tietosuojasopimus).
Tietoja voidaan joutua siirtämään tai luovuttamaan myös EU:n tai Euroopan talousalueen ulkopuolelle, jolloin se on perusteltava. Tietojen siirto on mahdollista, kun valtio, johon tiedot siirretään takaa riittävän tietosuojan tason. Lue lisää henkilötietojen siirtoperusteet, tietosuoja-asetuksen viidennessä luku. UEFin ohjeistuksessa muistutetaan, että jos tutkimusaineistoa säilytetään vaikkapa tietokoneen kovalevyllä tai ulkoisella muistivälineellä ja tutkija käy ne mukanaan EU:n tai ETA:n ulkopuolella, kyseessä on todennäköisesti tiedon siirto EU:n ulkopuolelle. Jos tietoa toisaalta käsitellään EU:n ulkopuolella pilvipalvelun kautta, kyse ei välttämättä ole tiedonsiirrosta EU:n ulkopuolelle. Lue lisää, Euroopan komission säännöt kansainvälisiin datan siirtoihin, Euroopan unionin virallinen verkkosivu (englanniksi).
Tutkittavan informointi - tutkimustiedote (participant information)
Tutkittavia informoidaan henkilötietojen käsittelystä erillisellä tiedotteella, jonka on oltava tutkittavien saatavilla. Informointi tarvitaan aina, kun käsitellään henkilötietoja. Tutkimustiedotteessa kerrotaan tutkimuksen nimi ja tarkoitus sekä esitetään pyyntö osallistua tutkimukseen. Siinä todetaan mm. osallistumisen vapaaehtoisuus, kuvaillaan tutkimuksen kulku ja tutkimustulosten tiedottaminen.
Tutkittavalle annetaan tiedot seuraavista asioista
- rekisterinpitäjä (yhteystiedot)
- tietosuojavastaavan yhteystiedot (jos nimetty)
- henkilötietojen käsittelyn tarkoitus
- henkilötietojen käsittelyn peruste (jos perustuu oikeutettuun etuun, kerrotaan, mikä etu on kyseessä)
- mitä henkilötietoja käsitellään
- mihin henkilötietoja siirretään tai luovutetaan (myös siirretäänkö EU:n tai ETA:n ulkopuolelle perusteluineen)
- henkilötietojen säilytysaika tai vähintään sen määrittämiskriteerit
- tutkittavan oikeudet
- tieto oikeudesta peruuttaa suostumus, jos käsittely perustuu suostumukseen
- tieto oikeudesta tehdä valitus valvontaviranomaiselle
- tieto, onko tutkittavalla velvollisuus toimittaa tarvittavat henkilötiedot perusteluineen
- mistä henkilötiedot on saatu
- käytetäänkö automaattista päätöksentekoa.
Tutkimustiedotteeseen löytyy mallipohjia UEF intra-sivustolta Henkilötietojen käsittely tieteellisessä tutkimuksessa.
Tutkittavan suostumus (participant consent)
Tieteellisessä tutkimuksessa tutkittavalta voidaan pyytää suostumusta
- osallistua tutkimukseen: jos tutkimuksessa käsitellään henkilötietoja, sen perusteena voi olla joku muu kuin suostumus esim. yleinen etu (tietosuojalaki § 4).
- henkilötietojen käsittelyyn: käytetään aina silloin, kun käsitellään erityisiä henkilötietoja tai jos käsittelyperusteena on suostumus (tietosuoja-asetus § 6.1.a ja § 9.2.a).
Suostumus vaikuttaa siihen, millaisia oikeuksia tutkittavalla eli rekisteröidyllä on.
Tietosuojaa koskevan vaikutusten arvioinnin (englanniksi data protection impact assessment eli DPIA) tarkoituksena on tunnistaa henkilötietojen käsittelyyn liittyvät riskit (tietosuoja-asetuksen artikla 35). Siinä arvioidaan mitä tutkittavien oikeuksia tai vapauksia henkilötietojen käsittely voisi vaarantaa sekä mitä vahinkoa henkilölle voisi aiheutua suunnitellusta henkilötietojen käsittelystä. Vahingot voivat olla fyysisiä, aineellisia tai aineettomia (esim. petoksen kohteeksi joutuminen, taloudellinen menetys, maineen menetys, pseudonymisoinnin kumoutuminen). Se on hyvä tehdä, hyvissä ajoin ennen tutkimuksen alkua sillä jo henkilötietojen kerääminen katsotaan niiden käsittelyksi.
Vaikutustenarviointi on pakollinen, kun
- suunniteltu henkilötietojen käsittely aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille esimerkiksi käsiteltäessä laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, biometrisiä, geneettisiä tietoja tai vaikkapa sijaintitietoja
- rekisteröityä ei ole päästy informoimaan, esimerkiksi jos tutkittavia on erittäin paljon.
Jos tutkimusta suunniteltaessa on epäselvää, tarvitaanko vaikutustenarviointia, kannattaa tehdä tietosuojan ennakkoarviointi (PIA). Sen avulla voidaan selvittää, täyttyykö varsinaisen vaikutustenarvioinnin velvoitteen kriteerit. Jos todetaan, että riskejä on, niiden vakavuutta ja toteutumisen todennäköisyyttä arvioidaan korkea–matala-asteikolla.
Kriteereitä korkean riskin arviointiin ovat
- henkilötietojen arviointi tai pisteytys (esim. profilointi, sairauksien ennakointi)
- automaattinen päätöksenteko, jolla on oikeusvaikutuksia (esim. sopimuksen purkaminen, kansalaisuuden epääminen)
- rekisteröityjen järjestelmällinen valvonta
- erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
- tietojen laajamittainen käsittely
- tietokokonaisuuksien yhdistäminen (esim. sama rekisterinpitäjä yhdistää eri tarkoituksiin aikaansaadut tietokokonaisuudet)
- heikossa asemassa olevien henkilötietojen käsittely (esim. lapsi, potilas, turvapaikanhakija)
- uuden teknologian tai organisatorisen ratkaisun soveltaminen tai innovatiivinen käyttö (esim. sormenjälkitunnistaminen kulunvalvonnassa).
Lue lisää, Milloin tehdä tietosuojaa koskeva vaikutustenarviointi?, Euroopan komission verkkosivuston lisäohjeistus; Tieteellisen tutkimuksen tietosuojapolku -opas, Tietosuojavaltuutetun toimisto.