Aineiston hävittäminen, anonymisointi tai arkistointi tutkimuksen päättyessä

Kun tutkimus päättyy, rekisterinpitäjän on varmistettava aineiston asianmukainen hävittäminen, anonymisointi tai arkistointi.

Tietosuojasääntely sisältää ajatuksen henkilötietojen elinkaaresta, jossa henkilötietojen käsittelylle on määriteltävä alku ja loppu. Lisätietoa henkilötietojen säilytysaikojen rajoittamisesta

Tutkimushankkeessa on tarkasteltava erikseen sitä,

  • kuinka pitkään henkilötietoja on tarpeen käsitellä itse tutkimusta varten
  • kuinka kauan tietoja on tarpeen säilyttää tutkimuksen valmistuttua, esimerkiksi tutkimustulosten luotettavuuden varmistamiseksi
  • mitä tutkimusaineistolle tehdään, kun sen säilyttäminen ei enää ole tarpeen toteutettua tutkimushanketta varten.

Tutkimuksen kesto on syytä pyrkiä määrittelemään jo suunnitteluvaiheessa mahdollisimman selkeästi. Ellei tarkkaa päättymisaikaa ole mahdollista määritellä, kesto on syytä ilmaista muulla myöhemmin seurattavissa olevalla tavalla (esimerkiksi määrittelemällä tutkimusotos ja seuranta-aika rajatusti). Suunnitteluvaiheessa on myös syytä pohtia, onko kysymyksessä kerta- vai seurantatutkimus.

Tietosuoja-asetus korostaa henkilötietojen suojausta ja minimoinnin periaatetta tieteellisessä tutkimuksessa. Rekisterinpitäjän on koko tutkimuksen ajan ja erityisesti tutkimuksen päättyessä varmistettava, ettei henkilötietoja käsitellä laajemmin kuin on tarpeellista. Tarpeellisuutta on arvioitava suhteessa niihin tarkoituksiin, joihin tietoja kerättiin.

Henkilötietojen elinkaaren loppupuolella aineiston voi hävittää, anonymisoida tai arkistoida, jos arkistoinnille on asianmukaiset perusteet. Lähtökohta kuitenkin on, että henkilötietojen käsittelyn on palveltava ensisijaista käsittelytarkoitusta, ja vain poikkeuksellisesti aineisto voidaan katsoa niin merkittäväksi, että sen säilyttäminen muuta käyttötarkoitusta varten on perusteltua.

Hävittäminen

Se, kuinka tutkimusaineisto hävitetään tehokkaasti, riippuu siitä, minkälaiselle alustalle aineisto on talletettu. Paperinen aineisto voidaan hävittää tehokkaasti esimerkiksi silppurilla tai polttamalla. USB-tikulla oleva aineisto voidaan hävittää tuhoamalla tikku. Sähköisen aineiston osalta hävittäminen voi tapahtua esimerkiksi päällekirjoittamalla. Pelkkä sähköisen aineiston poistaminen ja siirtäminen tietokoneen roskakoriin ei vielä sellaisenaan tarkoita aineiston pysyvää hävittämistä. Mikäli mahdollista, henkilötietojen hävittämisessä kannattaa pyytää neuvoja tietoturva-asiantuntijalta.

Anonymisointi

Anonymisoinnissa aineisto muutetaan niin, että henkilön tunnistaminen estyy peruuttamattomasti. Tunnistamisen mahdollisuutta on arvioitava sekä rekisterinpitäjän omasta että siitä näkökulmasta, voiko jollain muulla taholla olla sellaista aineistoa, jolla tunnisteettomaksi muutettu aineisto saadaan muutettua takaisin tunnisteelliseksi.

Jos aineisto saadaan muutettua takaisin tunnisteelliseksi alkuperäisen lähdeaineiston perusteella (esimerkiksi vertaamalla tiedostoa potilasrekisteriin), ovat tiedot yhä henkilötietoja, koska ne ovat välillisesti muun tiedon avulla tunnistettavissa tiettyä henkilöä koskeviksi.

Mikäli tutkimusaineisto halutaan anonymisoida, kannattaa tavoite huomioida jo siinä vaiheessa, kun tutkimusaineiston keräämistä ja käsittelyä suunnitellaan. Tällöin aineiston kokoamisen yhteydessä voidaan tehdä henkilötietojen keräämiseen ja järjestelyyn liittyviä ratkaisuja, jotka helpottavat anonymisoinnin toteuttamista käytännössä.

Esimerkki:
Tutkittavien tunnistetiedot laitetaan lomakkeessa sellaiseen kohtaan, josta ne on helppo leikata pois ja hävittää. Tutkittavista kerätään tieto karkeammalla tasolla, esimerkiksi ikähaitareiden mukaan (20–24-vuotiaat ja 25–29-vuotiaat).

Jos anonymisointi ei ole tuttua, apua kannattaa pyytää sellaiselta taholta, jolla on tarpeeksi kokemusta ja tietoa tutkimusaineistojen anonymisoinnista. Aineistosta riippuen anonymisointi voi olla joskus kallista ja joidenkin tutkimusaineistojen osalta lähes mahdotonta toteuttaa. Tutkimusaineiston arvoa ja uudelleenkäyttöpotentiaalia kannattaa miettiä myös objektiivisesta näkökulmasta ennen anonymisointiin ryhtymistä.

Anonymisoinnista löytyy lisätietoa myös WP29-tietosuojatyöryhmän lausunnosta 5/2014 anonymisointitekniikoista (Euroopan komission verkkosivuilla).

Arkistointi

Rekisterinpitäjän vastuu henkilötietoja sisältävästä arkistoidusta aineistosta säilyy yleisen tietosuoja-asetuksen mukaisesti. Tutkimusaineiston arkistointi edellyttää, ettei aineisto ole aktiivisessa käytössä. Arkistoidusta tutkimusaineistosta voidaan myöhemmin esimerkiksi tarkistaa tai varmistaa tutkimusta koskevia seikkoja.

Tutkimusrekisterien arkistointi voi perustua eri käsittelyperusteisiin. Viranomaisten osalta arkistointi voi perustua lakisääteiseen velvoitteeseen (tietosuoja-asetuksen artiklan 6 kohta 1 c, arkistolaki (831/1994)).  Muissa tapauksissa tutkimusaineistojen arkistointi voi olla mahdollista silloin, kun käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden (tietosuoja-asetuksen artiklan 6 kohta 1 e ja tietosuojalain 4 §:n 4 kohta).

Viranomaisen arkistonmuodostussuunnitelmasta voi löytyä selkeä määräaika viranomaisen toiminnassa syntyneen tutkimusaineiston säilyttämiselle.

Muiden osalta arkistoinnin edellytyksiä on arvioitava yleisten tietosuojasäännösten pohjalta. Käsittelyn tarpeellisuudella ja oikeasuhtaisuudella tarkoitetaan, että henkilötietojen säilyttämisen oikeutus tulisi arvioida säännönmukaisesti kunkin säilytettävän henkilötiedon tai henkilötietoryhmän osalta suhteessa yleisen edun mukaiseen arkistointitarpeeseen. Arkistointitarpeeseen vaikuttavat erityisesti tiedon mahdollinen tutkimuskäyttö ja muu arvo. Arviossa tulisi kiinnittää erityistä huomiota yleisen tietosuoja-asetuksen henkilötietojen käsittelyä koskeviin periaatteisiin, varsinkin tietojen minimoinnin periaatteeseen (tietosuoja-asetuksen artiklan 5 kohta 1 c) ja säilytyksen rajoittamisen periaatteeseen (tietosuoja-asetuksen artiklan 5 kohta 1 e). Lisäksi arviossa on kiinnitettävä huomiota teknisiin ja organisatorisiin suojatoimiin, jotka on mitoitettu käsittelyyn liittyvän riskin mukaisesti.

Rekisterinpitäjän on käsittelyn oikeasuhtaisuutta arvioidessaan otettava huomioon rekisteröidyn oikeudet ja henkilötietojen käsittelyn muut yleiset periaatteet. Jos rekisteröidyn oikeuksista on poikettu tietosuojalain 32 §:n nojalla, rekisterinpitäjän on kiinnitettävä siihen erityistä huomiota arvioidessaan käsittelyn oikeasuhtaisuutta.

Lähtökohtaisesti rekisteröity voi käyttää tietosuoja-asetuksen mukaisia oikeuksia myös silloin, kun aineisto arkistoidaan yleisen edun vuoksi. Poikkeamisen ensimmäisenä edellytyksenä on, että yleisen edun mukaiseen käsittelyyn on sovellettu rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tietosuoja-asetuksen mukaisesti (kts. tietosuoja-asetuksen 89 artiklan 1 kohta).

Lisäksi tietosuojalain 32 §:n mukaan

  • rekisteröidyn oikeudesta saada pääsy tietoihin
  • oikeudesta tietojen oikaisemiseen, oikeudesta käsittelyn rajoittamiseen
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskevasta ilmoitusvelvollisuudesta
  • oikeudesta siirtää tiedot järjestelmästä toiseen ja
  • vastustamisoikeudesta

voidaan poiketa tapauskohtaisen harkinnan perusteella ainoastaan niiltä osin kuin

  • oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja
  • poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi (kts. tietosuoja-asetuksen 89 artiklan 3 kohta).

Kun arkistoitava tutkimusaineisto sisältää erityisiä henkilötietoja, on edellä esitetyn lisäksi huomioitava tietosuojalaissa säädetyt suojatoimenpiteet. Lisäksi arkistointi on tehtävä yleishyödyllistä arkistointitarkoitusta varten. Kun arvioidaan, onko kyse yleishyödyllisestä arkistointitarkoituksesta, voidaan kiinnittää huomiota esimerkiksi siihen, onko rekisterinpitäjän lakisääteinen tai sääntömääräinen tehtävä tutkimusaineistojen tallentaminen ja saataville saattaminen. Lisäksi huomiota tulisi kiinnittää siihen, perustuuko arkistotoiminta julkisesti saatavilla olevaan suunnitelmaan. Yleishyödyllisen arkistointitarkoituksen käsite ei täysin vastaa yleisessä tietosuoja-asetuksessa käytettyä ilmaisua "yleisen edun mukainen arkistointitarkoitus", vaan on tätä kapeampi.