EU:n yleinen tietosuoja-asetus ja tietosuojalaki velvoittavat ottamaan huomioon tietyt vaatimukset silloin kun TKI-toiminnassa käsitellään henkilötietoja. Tämän lisäksi TKI-toiminnassa tulee edelleen huomioida mahdolliset alakohtaiset vaatimukset, kuten lääketieteellistä tutkimusta koskeva lainsäädäntö sekä tutkimuseettiset periaatteet ja ohjeet.
Xamkin tietosuojailmoitukset, tietosuojapolitiikka sekä tietojen tarkastusoikeutta koskevat ohjeet löytyvät Xamkin verkkosivuilta.
Xamkin sisäiset tietosuojaohjeistukset on koottu Xamkin opiskelijoiden ja henkilökunnan yhteiseen intranettiin Luxiin (vaatii kirjautumisen Xamkin tunnuksilla).
Määritä henkilötietojen käyttötarkoitus
Henkilötietoja on kerättävä ja käsiteltävä aina tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti.
Epäsuorat tunnisteet: tiedot, jotka yksin eivät riitä tunnistamiseen, mutta yhdistettynä voivat mahdollistaa henkilön tunnistamisen. Tavallisimpia epäsuoria tunnisteita ovat kvantitatiivisen aineiston taustamuuttujat ja laadullisen aineiston henkilöitä koskevat taustatiedot, kuten sukupuoli, ikä, koulutus, ammattiasema, kotitalouden koostumus, tulot, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu sekä asuinaluetta koskevat muuttujat, joita voivat olla esimerkiksi postinumero, kaupunginosa tai kunta. Myös päivämäärä voi olla epäsuora tunniste. Lähde: Avoin TKI-toiminta: SeAMK-opas ja Tietoarkisto: Aineistonhallinan käsikirja, Tunnisteellisuus ja anonymisointi
Tieteellisen tutkimuksen osalta täsmällisempi käyttötarkoituksen määrittely tehdään usein tutkimussuunnitelmassa, jossa yksilöidään muun muassa tutkimustehtävä, aineisto ja menetelmät. Tutkimussuunnitelmasta käy ilmi myös se, mitä (henkilö)tietoja tutkimuksen suorittamiseen tarvitaan ja miten nämä tiedot ovat tarpeellisia tutkimuskysymykseen vastaamisen kannalta.
Rekisterinpitäjäksi kutsutaan henkilöä tai organisaatiota, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan.
Tutkimushankkeissa rekisterinpitäjänä on usein korkeakoulu, mutta esimerkiksi amk-opinnäytetöissä rekisterinpitäjänä on usein opiskelija itse.
Tutkimuksen rekisterinpitäjän vastuulla on muun muassa dokumentoida, kuinka tietosuojaperiaatteet huomioidaan käytännössä tutkimuksen toteuttamisen yhteydessä sekä informoida tutkimukseen osallistujia henkilötietojen käsittelystä.
Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta (tietosuoja-asetuksen 6. artikla), joka on määritettävä ennen käsittelyn aloittamista.
Yleensä ammattikorkeakoulujen tutkimushankkeissa henkilötietojen käsittelyperuste on yleisen edun mukainen tieteellinen tutkimustarkoitus.
Opiskelijoiden amk-tutkimuksissa käsittelyperuste on yleensä tutkittavan yksiselitteinen suostumus (kirjallinen/suullinen).
Tutkimus tulee toteuttaa ilman henkilötietoja aina kun mahdollista.
Henkilötietojen tarpeellisuutta tieteellisessä tutkimuksessa on arvioitava mahdollisimman aikaisessa vaiheessa. Käsiteltävien henkilötietojen määrä on pyrittävä minimoimaan.
Henkilötietoja saa käsitellä tutkimustoiminnassa vain silloin, kun tutkimuksen toteuttaminen ei ole mahdollista anonyymeillä tiedoilla. Käsiteltävät henkilötiedot on rajoitettava tutkimuksen kohteen ja tarkoituksen kannalta välttämättömiin. Tietosuojasäännöksiä sovelletaan kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä.
Tieteellisessä tutkimuksessa tietojen minimointia toteutetaan usein pseudonymisoimalla tutkimuksen kannalta tarpeelliset tiedot. Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Esimerkiksi henkilötietojen koodaaminen on pseudonymisointia.
Jos henkilötietojen käsittely on tarpeen tutkimuksen toteuttamiseksi, henkilötietojen käsittelyn elinkaari on suunniteltava alusta loppuun. Tutkimussuunnitelmaa kannattaa hyödyntää osana tämän osoitusvelvollisuuden toteuttamista. Xamkin intran tietosuojasivuilla on tarkempi ohjeistus siihen, missä ja miten tutkimusaineistoa kuuluu hallita.
Rekisterinpitäjän on aina arvioitava henkilötietojen käsittelyn aiheuttama riski rekisteröidylle ja mitoitettava suojatoimet riskin mukaisesti. Riskiarvio on tehtävä tutkimuksen kohteena olevan henkilön eli rekisteröidyn näkökulmasta. Rekisterinpitäjän on arvioitava, mitä vahinkoja ja haittaa rekisteröidylle voi aiheutua asiattomasta henkilötietojen käsittelystä.
Tutkimustoiminnassa käsittelyyn liittyvä riski voi muodostua helposti korkeaksi. Vaikutustenarviointi on pakollinen silloin, kun suunniteltu käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä esimerkiksi silloin, kun käsittely kohdistuu erityisiin henkilötietoihin, henkilötietojen käsittely on laajamittaista ja/tai käsittely sisältää uusien teknologisten ratkaisujen käyttöä.
Vaikutustenarvioinnin alkukartoituspohja ja muut tähän liittyvät ohjeet löydät Xamkin intran tietosuojasivuilta. Myös tietosuojavaltuutetun sivuilla on kattava ohjeistus vaikutustenarvioinnin tekemiseen.
Rekisteröidyllä on oikeus saada tietoa hänen henkilötietojensa keräämisestä sekä käsittelystä. Siksi tutkittavalle tulee antaa tarpeelliset tiedot siitä, miten hänen henkilötietojaan käsitellään. Rekisteröityä on informoitava muun muassa tarkoituksista, joihin tietoja käsitellään, tietojen käsittelyajoista, tietojen luovuttamisesta sekä rekisteröidyn oikeuksista.
Xamkissa tehtävissä tutkimuksissa tehdään aina tietosuojaseloste. Katso tutkittavien informoinnin ja suostumuksen mallipohjat.
Tutkimustoiminta on usein kansainvälistä, ja hankkeen aikana voi syntyä tarve siirtää henkilötietoja Suomen ulkopuolelle. Henkilötietoja saa siirtää Euroopan talousalueeseen kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.
Jos henkilötietoja halutaan siirtää Euroopan talousalueen ulkopuolelle, käsittelyn on oltava lainmukaista Suomessa ja siirrossa on noudatettava tietosuoja-asetuksessa määriteltyjä tiedonsiirron periaatteita. Lue lisää henkilötietojen siirroista EU:n tai ETA:n ulkopuolelle tietosuojavaltuutetun sivuilta.
Tutkimuksen rekisterinpitäjän on varauduttava osoittamaan, että tietosuojasäännökset on huomioitu tutkimuksessa:
Tietosuojasääntely sisältää ajatuksen henkilötietojen elinkaaresta, jossa henkilötietojen käsittelylle on määriteltävä alku ja loppu.
Tutkimushankkeessa on tarkasteltava erikseen sitä
Aineiston tuhoaminen, anonymisointi tai arkistointi tulee olla kuvattuna tutkimussuunnitelmassa tai aineistonhallintasuunnitelmassa, ja on toimittava Xamkin ohjeistuksen mukaan.
Tietosuojasäännökset ovat tärkeä osa ammattitaitoa, jos tutkimuksessa käsitellään henkilötietoja. Tietosuojasäännösten noudattaminen edistää luottamusta ja varmistaa tulevaisuuden tutkimuksen edellytyksiä.