Tutkimusdata ja datanhallinta

Haastatteluaineisto sisältää yleensä aina henkilötietoja. Esim. haastattelukysymyksiin annetut vastaukset, jotka ovat yhdistettävissä johonkin henkilöön (ammatti, uskonto, sairaus, etninen tausta) tai vastaukset, jotka ulkopuolinen voi yhdistää johonkin henkilöön, ovat jo henkilötietoja. Jos aineistosi ei kuitenkaan sisällä henkilötietoja, voit jättää tietosuojasäädökset huomiotta.

Anonymisoitu aineisto ei enää sisällä henkilöön yhdistettäviä tietoja, eikä siihen sovelleta tietosuojasäännöksiä, mutta aineiston kerääminen ja käsittely ennen kuin tiedot on anonymisoitu on henkilötietojen käsittelyä. Pelkästään nimien ja yksilöintitietojen poistaminen ei tarkoita, että aineisto olisi anonymisoitu.

Sisältävätkö tutkimusprojektissa käsiteltävät aineistot henkilötietoja?

Eivät sisällä → Ei toimenpiteitä

Kyllä sisältävät → Suunnittele henkilötietojen käsittely koko tutkimuksen ja tietojen säilytyksen ajalta ja dokumentoi se aineistonhallintasuunnitelmaan.

• Varmista tietosuojaperiaatteiden noudattaminen.
• Minimointi = kerää vain tutkimusta varten tarpeellisia ja oikeasuhtaisia henkilötietoja, vähennä tunnisteellisuutta tutkimuksen eri vaiheissa esim. pseudonymisoimalla ja poistamalla tarpeettomat henkilötiedot.
• Käyttötarkoitussidonnaisuus = aineistoa saa käyttää ilmoitettuun käyttötarkoitukseen => nimetty tutkimus on oma käyttötarkoituksensa
• Säilytyksen rajoitus = säilytysaika ei voi olla määrittelemätön 
• Läpinäkyvyys = informoi tutkittavia henkilötietojen käsittelystä lähtökohtaisesti henkilökohtaisesti tietosuojailmoituksella eli tietosuojaselosteella 
• Huomioi osoitusvelvollisuus eli dokumentoi => rekisterinpitäjän pitää pystyä osoittamaan, että se noudattaa tietosuojalainsäädäntöä 

Henkilötietojen käsittely käytännössä:

1. Laadi tietosuojailmoitus eli tietosuojaseloste (mallipohja), joka annetaan tutkimukseen osallistujille ennen tietojen keräämistä.   
2. Selvitä, mikä taho on tutkimuksen rekisterinpitäjä eli vastuutaho tietosuojasäännösten noudattamisessa. 
   => Jos tutkimusta tehdään yhteistyönä eri organisaatioiden kesken, onko tarve tietojen siirtämiselle osapuolten kesken? Jos on, määritä roolit henkilötietojen käsittelyssä => Onko kyseessä yhteisrekisterinpitäjyys tai rekisterinpitäjä–käsittelijä-suhde? Tilanteesta riippuen tarvitaan yhteisrekisterinpitäjyyssopimus tai sopimus henkilötietojen käsittelystä. 
3. Valitse sopiva tietosuoja-asetuksen mukainen käsittelyperuste (yleensä yleisen edun mukainen tieteellinen tutkimus tai suostumus)
4. Luovutetaanko henkilötietoja sisältävää aineistoa rekisterinpitäjän ulkopuoliselle taholle, esim. ulkopuolisille palveluntarjoajille? => laadi sopimus henkilötietojen käsittelystä
5. Luovutetaanko henkilötietoja EU:n / ETA-alueen ulkopuolelle? Selvitä etukäteen, mikä GDPR:n mukainen siirtomekanismi soveltuu ja millaisia lisäsuojatoimia tarvitaan. 
6. Voidaanko tutkimuksessa toteuttaa tutkittavien tietosuojaoikeudet? Jollei voida, perustele oikeuksien rajoittamisen tarve. 
   => Huomioi aineiston käsittelyssä ja säilytyksessä tietojen eheyden ja luottamuksellisuuden vaatimus ja mieti, millä tavoin mahdolliset tutkittavien pyynnöt käytännössä pystytään toteuttamaan. 
7. Laadi alustava riskinarvio, jonka perusteella voit päätellä, tarvitaanko perusteellisempi tietosuojan vaikutustenarviointi DPIA. Konsultoi tarvittaessa tietosuojavastaavaa dpo@utu.fi 
8. Jos Turun yliopisto on rekisterinpitäjä, merkitse tutkimuksen perustiedot tutkimusdatainventaarioon. Tätä kautta muodostuu GDPR 30 art. mukainen käsittelytoimien kuvaus, jota rekisterinpitäjä on velvollinen ylläpitämään. 

HUOM! Jos aineistoa on tarkoitus käyttää jatkotutkimukseen, tästä pitää kertoa tietosuojaselosteessa sillä tasolla kuin siinä vaiheessa tiedetään. Ennen jatkotutkimuksen aloittamista informoidaan uudella sitä koskevalla tietosuojaselosteella. Jos käsittelyperuste on suostumus, jatkokäyttöön uudessa tutkimuksessa tarvitaan uusi GDPR:n mukainen suostumus. 

Huomioi tietosuojan lisäksi tutkimuseettiset periaatteet, joihin yliopisto on sitoutunut:

• Pyydä tutkittavilta osallistumissuostumus eli tietoon perustuva suostumus, joka ei ole tietosuoja-asetuksessa tarkoitettu henkilötietojen käsittelyn peruste. 
• Selvitä tarvitaanko eettinen ennakkoarvio 
• Valitse tutkimusaineistolle tietoturvallinen säilytyspaikka ja varmista aineiston tietoturvallinen siirto ja jakaminen 
• Laadi tutkimusaineistollesi aineistonhallintasuunnitelma 

Sisältävätkö tutkimusaineistot sensitiivisiä henkilötietoja?

Tuleeko tutkimuksessa esiin tutkittavien ns. erityisryhmien henkilötietoja? (etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliittoon kuuluminen, geneettiset tiedot, biometriset tiedot yksinomaan henkilön tunnistamisen tarkoituksissa, terveydentila, seksuaalinen käyttäytyminen ja suuntautuminen). 

Eivät sisällä → Ei toimenpiteitä

Kyllä sisältävät → Näitä varten tarvitaan oma käsittelyperuste. Tiedot suojattava erityisen huolellisesti ja soveltuvin lisäsuojatoimin.  Käsittelyn suojatoimena voidaan tarvita myös vaikutustenarviointi. Jos tutkittavien tietosuojaoikeuksiin tehdään poikkeamia, pitää vaikutustenarviointi lähettää tietosuojavaltuutetun toimistoon. Muista kirjata käsittelyperuste myös tietosuojailmoitukseen.