Siirry pääsisältöön
Turun yliopiston kirjasto

Tutkimusdata ja datanhallinta

Mitä henkilötiedoilla ja sensitiivisellä datalla tarkoitetaan

Henkilötietoja ovat kaikki ne tiedot, joista henkilö on yksilöitävissä joko suoraan tai epäsuorasti.

Suoriksi tunnisteiksi luetaan

  • henkilön koko nimi
  • henkilötunnus
  • henkilönimen mukainen sähköpostiosoite
  • biometriset tunnisteet.

Epäsuoria tunnisteita ovat esimerkiksi 

  • sukupuoli
  • ikä
  • koulutus
  • ammattiasema
  • kansallisuus
  • sijaintitunnisteet
  • järjestelmän lokitiedot
  • sivilisääty
  • asuinpaikka.

Sensitiiviseksi dataksi luetaan aineisto, joka käsittelee tietosuojalainsäädännön mukaisiin erityisiin henkilötietoryhmiin lukeutuvia tietoja, joista ilmenee

  • etninen alkuperä
  • poliittisia mielipiteitä
  • uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys
  • geneettiset tiedot
  • henkilön tunnistamista varten käsitellyt biometriset tiedot
  • terveyttä koskevat tiedot
  • seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot.

Myös muut tiedot voivat olla luonteeltaan sensitiivisiä.

Lue lisää henkilötiedoista Tietoarkiston Aineistonhallinnan käsikirjasta

Ohjeet henkilötietoja ja sensitiivistä dataa käsitteleville

Ajantasaiset kansalliset ohjeet sensitiivisen datan käsittelyyn ja sen huomioimiseen datanhallintasuunnitelmassa löytyvät Zenodosta (englanniksi).

Turun yliopiston ohjeita henkilötietojen ja sensitiivisen datan käsittelyyn löydät alta.

 

Ohjeita henkilötietoa sisältävän aineiston käsittelyyn

Haastatteluaineisto sisältää yleensä aina henkilötietoja. Esim. haastattelukysymyksiin annetut vastaukset, jotka ovat yhdistettävissä johonkin henkilöön (ammatti, uskonto, sairaus, etninen tausta) tai vastaukset, jotka ulkopuolinen voi yhdistää johonkin henkilöön, ovat jo henkilötietoja. Jos aineistosi ei kuitenkaan sisällä henkilötietoja, voit jättää tietosuojasäädökset huomiotta.

Anonymisoitu aineisto ei enää sisällä henkilöön yhdistettäviä tietoja, eikä siihen sovelleta tietosuojasäännöksiä, mutta aineiston kerääminen ja käsittely ennen kuin tiedot on anonymisoitu on henkilötietojen käsittelyä. Pelkästään nimien ja yksilöintitietojen poistaminen ei tarkoita, että aineisto olisi anonymisoitu.

 

Sisältävätkö tutkimusprojektissa käsiteltävät aineistot henkilötietoja?

Eivät sisällä → Ei toimenpiteitä

Kyllä sisältävätSuunnittele henkilötietojen käsittely koko tutkimuksen ja tietojen säilytyksen ajalta ja dokumentoi se aineistonhallintasuunnitelmaan.

  • Varmista tietosuojaperiaatteiden noudattaminen.
  • Minimointi = kerää vain tutkimusta varten tarpeellisia ja oikeasuhtaisia henkilötietoja, vähennä tunnisteellisuutta tutkimuksen eri vaiheissa esim. pseudonymisoimalla ja poistamalla tarpeettomat henkilötiedot.
  • Käyttötarkoitussidonnaisuus = aineistoa saa käyttää ilmoitettuun käyttötarkoitukseen => nimetty tutkimus on oma käyttötarkoituksensa
  • Säilytyksen rajoitus = säilytysaika ei voi olla määrittelemätön 
  • Läpinäkyvyys = informoi tutkittavia henkilötietojen käsittelystä lähtökohtaisesti henkilökohtaisesti tietosuojailmoituksella eli tietosuojaselosteella 
  • Huomioi osoitusvelvollisuus eli dokumentoi => rekisterinpitäjän pitää pystyä osoittamaan, että se noudattaa tietosuojalainsäädäntöä 

 

Henkilötietojen käsittely käytännössä:

  1. Laadi tietosuojailmoitus eli tietosuojaseloste (mallipohja), joka annetaan tutkimukseen osallistujille ennen tietojen keräämistä.   
  2. Selvitä, mikä taho on tutkimuksen rekisterinpitäjä eli vastuutaho tietosuojasäännösten noudattamisessa. 
    => Jos tutkimusta tehdään yhteistyönä eri organisaatioiden kesken, onko tarve tietojen siirtämiselle osapuolten kesken? Jos on, määritä roolit henkilötietojen käsittelyssä => Onko kyseessä yhteisrekisterinpitäjyys tai rekisterinpitäjä–käsittelijä-suhde? Tilanteesta riippuen tarvitaan yhteisrekisterinpitäjyyssopimus tai sopimus henkilötietojen käsittelystä
  3. Valitse sopiva tietosuoja-asetuksen mukainen käsittelyperuste (yleensä yleisen edun mukainen tieteellinen tutkimus tai suostumus)
  4. Luovutetaanko henkilötietoja sisältävää aineistoa rekisterinpitäjän ulkopuoliselle taholle, esim. ulkopuolisille palveluntarjoajille? => laadi sopimus henkilötietojen käsittelystä
  5. Luovutetaanko henkilötietoja EU:n / ETA-alueen ulkopuolelle? Selvitä etukäteen, mikä GDPR:n mukainen siirtomekanismi soveltuu ja millaisia lisäsuojatoimia tarvitaan. 
  6. Voidaanko tutkimuksessa toteuttaa tutkittavien tietosuojaoikeudet? Jollei voida, perustele oikeuksien rajoittamisen tarve. 
    => Huomioi aineiston käsittelyssä ja säilytyksessä tietojen eheyden ja luottamuksellisuuden vaatimus ja mieti, millä tavoin mahdolliset tutkittavien pyynnöt käytännössä pystytään toteuttamaan. 
  7. Laadi alustava riskinarvio, jonka perusteella voit päätellä, tarvitaanko perusteellisempi tietosuojan vaikutustenarviointi DPIA. Konsultoi tarvittaessa tietosuojavastaavaa dpo@utu.fi 
  8. Jos Turun yliopisto on rekisterinpitäjä, merkitse tutkimuksen perustiedot tutkimusdatainventaarioon. Tätä kautta muodostuu GDPR 30 art. mukainen käsittelytoimien kuvaus, jota rekisterinpitäjä on velvollinen ylläpitämään. 

HUOM! Jos aineistoa on tarkoitus käyttää jatkotutkimukseen, tästä pitää kertoa tietosuojaselosteessa sillä tasolla kuin siinä vaiheessa tiedetään. Ennen jatkotutkimuksen aloittamista informoidaan uudella sitä koskevalla tietosuojaselosteella. Jos käsittelyperuste on suostumus, jatkokäyttöön uudessa tutkimuksessa tarvitaan uusi GDPR:n mukainen suostumus. 


Huomioi tietosuojan lisäksi tutkimuseettiset periaatteet, joihin yliopisto on sitoutunut:

 

Sisältävätkö tutkimusaineistot sensitiivisiä henkilötietoja?

Tuleeko tutkimuksessa esiin tutkittavien ns. erityisryhmien henkilötietoja? (etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliittoon kuuluminen, geneettiset tiedot, biometriset tiedot yksinomaan henkilön tunnistamisen tarkoituksissa, terveydentila, seksuaalinen käyttäytyminen ja suuntautuminen). 


Eivät sisällä → Ei toimenpiteitä


Kyllä sisältävät → Näitä varten tarvitaan oma käsittelyperuste. Tiedot suojattava erityisen huolellisesti ja soveltuvin lisäsuojatoimin.  Käsittelyn suojatoimena voidaan tarvita myös vaikutustenarviointi. Jos tutkittavien tietosuojaoikeuksiin tehdään poikkeamia, pitää vaikutustenarviointi lähettää tietosuojavaltuutetun toimistoon. Muista kirjata käsittelyperuste myös tietosuojailmoitukseen.

Tutkittavien informointi on tärkeä osa tutkimusaineiston elinkaarta. Huolellinen informointi ja riittävät suostumukset muodostavat perustan eettiselle ja lainmukaiselle tutkimukselle sekä pitkäaikaisille tutkimushankkeille. Informoinnilla on merkitystä tutkittavien ja tutkimusryhmän lisäksi myös taustaorganisaatiolle, tiedeyhteisölle, aineiston arkistoivalle organisaatiolle ja aineiston jatkokäyttäjille. Lisätietoa: Tietoarkiston aineistonhallinnan käsikirja.

Lisätietoa tutkittavilta haettavista suostumuksista ja mm. malleja suostumuslomaketta varten löytyy Turun yliopiston lakiasiat-yksikön intranet-sivuilla ja Tietoarkiston sivuilta. Terveystieteelliseen tutkimukseen tarvittavista luvista ja sihen liittyvistä ohjeista saat lisätietoa Turun kliinisen tutkimuskeskuksen sivuilta.

Tietosuojavaltuutetun toimiston linjaus:

  • vain anonymisoitua dataa voidaan julkaista avoimen tieteen periaatteiden mukaisesti
  • Tutkijan oma oikeusturva on riittävä peruste kieltäytyä julkaisemasta tutkimusdataa ellei anonymisointia pystytä takaamaan
  • Henkilötietoaineistoihin pohjautuvien tutkimusten osalta avoimen datan politiikkaa voidaan toteuttaa esim. siten, että tutkimusaineisto, tietolähteet ja analyysissä käytetyt metodit tai koodit kuvataan yksityiskohtaisesti julkaistavassa artikkelissa, jotta tarvittaessa tutkimus voidaan pyrkiä toistamaan mahdollisimman samanlaisena

Lähde: Helena Eronen & Arja Halkoaho: Henkilötietoja sisältävän aineiston käsittely ja jatkokäyttö

Rahoitushakemuksia varten tarvitaan usein kuvaus yliopiston tietoturvasta (vain englanninkielisenä).

Yliopiston tietosuojakäytänteistä saat tietoa osoitteesta dpo@utu.fi