Tietosuoja tutkimuksessa

Tieteen vapaus turvataan perustuslaissa (731/1999, § 16). Tieteellinen tutkimus on EU:n yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti henkilötietojen käsittelyn erityistilanne. Tietosuoja-asetus sisältää tieteellisen tutkimuksen osalta ns. kansallista liikkumavaraa, jolla annetaan jäsenvaltioille mahdollisuus säätää omassa lainsäädännössään henkilötietojen käsittelystä tieteellisessä tutkimuksessa. 

Tietosuoja-asetusta sovelletaan tieteellisessä tutkimuksessa käsiteltäviin henkilötietoihin. Tietosuoja-asetuksen artiklassa 6 säädetään henkilötietojen käsittelyn lainmukaisuudesta, mutta tieteellistä tutkimusta ei ole nimetty siinä omaksi käsittelyperusteeksi. Tietosuoja-asetuksen artiklan 5 mukaisesti henkilötiedot on aina kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa myöhemminkään käsitellä näiden tarkoitusten vastaisesti. Tieteellisiä tutkimustarkoituksia ei kuitenkaan katsota yhteensopimattomaksi​ alkuperäisten tarkoitusten kanssa. Kansallisessa tietosuojalaissa (1050/2018) on säädetty tarkennuksia henkilötietojen käsittelyyn tieteellisessä tutkimuksessa. 

Henkilötietoja ovat kaikki ne tiedot, joiden perusteella henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötietojen käsittelyä ovat kaikki ne toimet, jotka kohdistetaan henkilötietoihin. Rekisterinpitäjällä tarkoitetaan tahoa, joka yksin tai yhdessä toisen kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tieteellisen tutkimuksen yhteydessä rekisterinpitäjä voi olla yksittäinen tutkija, tutkimusryhmä, yliopisto taikka yliopiston jokin laitos tai muu erillinen tutkimuslaitos. Tässä yhteydessä on hyvä muistaa, että myös tietojen kerääminen on henkilötietojen käsittelyä, joten rekisterinpitäjä tulee määritellä jo ennen tutkimuksen aloittamista. 

Rekisterinpitäjän vastuulla on pystyä osoittamaan, että tietosuojalainsäädäntöä noudatetaan tutkimuksessa käsiteltäessä henkilötietoja. Jokaisesta tutkimushankkeesta on hyvä laatia tietosuojaseloste, johon koostetaan tutkittavalle informoitavat tiedot sekä kuvataan henkilötietojen käsittelytoimet. Jos tutkimuksessa käsitellään ns. arkaluonteisia henkilötietoja, niin tulee tehdä vaikutustenarviointi. Vaikutustenarviointi on tehtävä myös silloin, jos tutkittavia ei voida jostain syystä suoraan informoida henkilötietojen käsittelystä esim. rekisteritutkimuksissa tutkittavien suuren määrän vuoksi. Tieteellisen tutkimuksen osalta velvoitteet henkilötietojen käsittelystä on koostettu yhteen kuvaan.

Lisätietoja antavat tietosuojavastaava Helena Eronen (tietosuoja@uef.fi) ja tietoturvapäällikkö Olavi Manninen (olavi.manninen@uef.fi).

Tietosuojavaltuutetun toimisto on julkaissut 10 kohdan listan, joilla huolehtia tietosuojasta tutkimustyössä:

  1. ​​Määritä tutkimussuunnitelmassa tutkimustehtävä ja henkilötietojen käyttötarkoitus mahdollisimman täsmällisesti.
  2. Analysoi, mitkä henkilötiedot ovat tarpeellisia tutkimuksesi toteuttamiseksi (määrä ja luonne). Arvioi henkilötietojen tarpeellisuutta myös tutkimuksen aikana ja pyri minimoimaan käsiteltävien henkilötietojen määrä mahdollisimman nopeasti.
  3. Tee riskiarvio käsittelytoimistasi ja suhteuta suojaustoimenpiteet sen mukaisesti koko käsittelyn elinkaaren ajaksi.
  4. Suunnittele etukäteen menettelytavat eri tilanteiden, kuten tietoturvaloukkausten, varalle.
  5. Tunnista käsittelyperuste ja päivitä se tarvittaessa tietosuoja-asetuksen mukaiseksi (esim. suostumus/yleisen edun mukainen tieteellinen tai historiallinen tutkimus).
  6. Kartoita käsittelyperusteeseen liittyvät rekisteröidyn oikeudet ja varmista niiden toteutuminen.
  7. Varaudu osoittamaan, että tietosuojasäännökset on huomioitu tutkimuksessasi: dokumentoi tietosuojaperiaatteiden toteutuminen ja muut tietosuoja-asetuksen mukaiset menettelytavat.
  8. Tunnista roolisi ja vastuusi. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan. Jos tarvitset henkilötietojen käsittelyssä (esim. haastattelujen litterointi) joidenkin muiden toimijoiden palveluja, tee kirjallinen sopimus ja laadi selkeät ohjeet käsittelylle.
  9. Vaali luottamusta ja varmista tulevaisuuden tutkimuksen edellytykset noudattamalla tietosuojasäännöksiä sekä huolehtimalla läpinäkyvyydestä ja avoimuudesta.
  10. Päivitä osaamistasi ja seuraa verkkosivuja: www.tietosuoja.fi