Henkilötietojen käsittelyn elinkaari, tietosuojaperiaatteet ja tietojen suojaaminen tieteellisessä tutkimuksessa

Jos henkilötietojen käsittely on tarpeen tutkimuksen toteuttamiseksi, henkilötietojen käsittelyn elinkaari on suunniteltava alusta loppuun. Rekisterinpitäjän on varmistettava tietosuojaperiaatteiden toteutuminen ja suojattava henkilötiedot käsittelyyn liittyvän riskin mukaisesti.

Tutkimuksen toteuttaminen on suunniteltava niin, että tietosuojaperiaatteet toteutuvat tehokkaasti.

Tietosuojaperiaatteiden mukaan henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
  • käsiteltävä luottamuksellisesti ja turvallisesti.

Tietosuojaperiaatteet on huomioitava yksityiskohtaisesti jo suunnitteluvaiheessa. Rekisterinpitäjällä on myös osoitusvelvollisuus periaatteiden tehokkaasta toteutumisesta. Se tarkoittaa, että rekisterinpitäjän on dokumentoitava, kuinka tietosuojaperiaatteet huomioidaan käytännössä tutkimuksen toteuttamisen yhteydessä. Tutkimussuunnitelmaa kannattaa hyödyntää myös osana osoitusvelvollisuuden toteuttamista.

Tieteellisen tutkimuksen käsittelyn osalta on korostettu tietojen minimoinnin periaatteen noudattamista. Henkilötietoja saa käsitellä tutkimuksessa vain, jos tutkimuksen toteuttaminen ei ole muulla tavoin mahdollista. Henkilötietojen käyttötarkoitus täsmentyy usein tutkimuskysymyksen kautta, ja kerättävien henkilötietojen välttämättömyyttä on perusteltava tätä vasten. Minimointi edellyttää myös mahdollisimman lyhyttä säilytysaikaa, joten tutkimuksen kesto, aineiston käsittely ja hävittäminen tutkimuksen jälkeen on hyvä määrittää jo tutkimussuunnitelmassa. Tutkimussuunnitelmassa on myös mainittava, onko kyseessä kerta- vai seurantatutkimus.

Riskiarvion tekeminen ja suojatoimien suunnittelu

Tietosuojasääntelystä seuraavia suojatoimenpiteitä on tehtävä sitä enemmän, mitä suuremman riskin henkilötietojen käsittely voi yksilölle aiheuttaa. Tutkimustoiminnassa korostetaan teknisten ja organisatoristen toimenpiteiden tärkeyttä henkilötietojen suojaamisessa. Rekisterinpitäjän on aina arvioitava henkilötietojen käsittelyn aiheuttama riski rekisteröidylle ja mitoitettava suojatoimet riskin mukaisesti. Tarpeellisten suojatoimien hahmottamiseksi on tunnistettava, millaisessa ympäristössä tutkimusaineistoa käytännössä käsitellään (esimerkiksi tekninen alusta, toimitilat, tietojen siirrot) ja ketkä kaikki aineistoa käsittelevät (rekisterinpitäjä, yhteisrekisterinpitäjät, henkilötietojen käsittelijät, tutkimuksen tekijät ja muu henkilökunta). Lue lisää riskiarvion tekemisestä

Esimerkki:
Tutkimusaineistoa on mahdollista käsitellä etäyhteyden päästä. Rekisterinpitäjän on varmistettava, että myös etäympäristö täyttää aineiston käsittelyn vaatimat tietoturvavaatimukset. Tutkijalle on annettava yksityiskohtaiset ohjeet muun muassa käytettävistä laitteista, henkilötietojen käsittelytavoista, aineiston asianmukaisesta suojaamisesta ja käytöstä. Etätyöympäristössä voi olla suurempi riski esimerkiksi sille, että sivullinen pääsisi aineistoon käsiksi.

Riskiarvio on tehtävä tutkimuksen kohteena olevan henkilön eli rekisteröidyn näkökulmasta. Rekisterinpitäjän on arvioitava, mitä vahinkoja ja haittaa rekisteröidylle voi aiheutua asiattomasta henkilötietojen käsittelystä. Esimerkiksi terveydentilatietojen paljastuminen oikeudettomasti sivulliselle voi aiheuttaa ahdistusta ja pelkoa leimaantumisesta tai syrjinnästä. Henkilötunnuksen paljastuminen voi aiheuttaa riskin petoksesta tai identiteettivarkaudesta.

Riskiarviossa on huomioitava

  • henkilötietojen käsittelyn luonne (esim. erityiset henkilötiedot, henkilötunnus ja turvakiellon alaiset tiedot)
  • laajuus (esim. rekisteröityjen lukumäärä ja säilytysaika)
  • asiayhteys (esim. rekisteröidyn heikompi asema ja luottamuksellisuus)
  • tarkoitukset (esim. käytetäänkö tietoja päätöksentekoon tai onko käsittelyllä muita oikeusvaikutuksia).

Kun henkilötietojen käsittelystä aiheutuvat riskit rekisteröidyn oikeuksille ja vapauksille on tunnistettu, on arvioitava riskin ja siitä aiheutuvan haitan vakavuutta sekä toteutumisen todennäköisyyttä. Rekisteröidylle aiheutuvan haitan vakavuus voi vaihdella riskistä riippuen. Haitta voi olla vakavuudeltaan

  • vähäinen (esim. ajanhukka tai hetkellinen mielipaha)
  • rajattu (esim. tunne yksityisyyden loukkaamisesta ilman peruuttamatonta haittaa)
  • merkittävä (esim. tunne perusoikeuksien loukkaamisesta, kuten syrjinnästä tai vakava psykologinen haitta, kuten masennus tai fobia)
  • korkea (esim. pitkäaikainen ja pysyvä fyysinen tai psykologinen haitta tai perhesiteiden katkeaminen).

Todennäköisyyttä arvioitaessa punnitaan, kuinka mahdollista riskin toteutuminen on. Kun vahinko ja sen todennäköisyys on tunnistettu, kirjataan suojatoimenpide, jolla riskiin pyritään puuttumaan. 

Mitä korkeampi riski henkilötietojen käsittelyyn sisältyy, sitä enemmän rekisterinpitäjän on toteutettava suojatoimenpiteitä henkilötietojen turvaamiseksi. Suojatoimenpiteillä pyritään suojamaan henkilötiedot siten, ettei asiatonta henkilötietojen käsittelyä tapahdu ja vahinkoa aiheudu sille, jonka henkilötietoja käsitellään.

Suojatoimenpiteillä torjutaan niin tutkimushankkeen sisältä tulevia uhkia (esimerkiksi omasta henkilökunnasta, käsittelijöistä, tutkimusaineiston käsittelylaitteista tai -ympäristöstä tulevia uhkia) kuin ulkoisia uhkia (esimerkiksi ulkopuolisten tai sivullisten oikeudeton pääsy tutkimusaineistoon). Myös se, missä muodossa tutkimusaineisto on, vaikuttaa suojatoimiin (paperiset kyselylomakkeet, nauhurille tai videolle otettu haastattelu, sähköinen taulukko, laboratoriossa olevat kudosnäytteet jne.).

Suojatoimilla voidaan pyrkiä torjumaan väärinkäyttöä jo ennalta, esimerkiksi rajaamalla pääsymahdollisuuksia aineistoon. Käsittelyn lainmukaisuutta voidaan varmistaa myös jälkikäteisillä keinolla, kuten keräämällä lokitietoja, joiden kautta voidaan selvittää mahdollisia väärinkäytösepäilyjä.

Suojatoimien valinnassa on kiinnitettävä huomiota uusimman tekniikan suomiin mahdollisuuksiin ja toteuttamiskustannuksiin. Suojatoimenpiteet voivat olla teknisiä (esimerkiksi palomuuri, virusohjelmat, salatut yhteydet tietoja siirrettäessä) tai organisatorisia (tutkimusaineistoa käsittelevälle henkilökunnalle annetut tietosuojaohjeet- ja koulutus, salassapitositoumukset, työtehtävien mukaisesti määritetyt käyttöoikeudet).

Esimerkki:
Tutkimusorganisaatio edellyttää tutkijoilta tietosuojakurssin käymistä ja salassapitositoumuksen antamista ennen henkilötietojen käsittelyä. Tällä suojatoimella pyritään varmistamaan, että tutkimuksessa henkilötietoja käsittelevät henkilöt ovat tietoisia henkilötietojen luottamuksellisuudesta ja vaitiolovelvollisuudestaan sekä osaavat käsitellä henkilötietoja oikein ja turvallisesti. Tutkimusorganisaatiolla on käytössään tämän ohella myös muita teknisiä ja organsatorisia suojatoimia.

Vaikutustenarviointi tieteellisessä tutkimuksessa

Tutkimustoiminnassa käsitellään usein yhden tutkittavan osalta useita tietotyyppejä (usein myös erityisiä henkilötietoja), joten käsittelyyn liittyvä riski nousee helposti korkeaksi. Vaikutustenarviointi on pakollinen silloin, kun suunniteltu käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille.

Tieteellisessä tutkimuksessa käsittely on usein sellaista, että siihen sisältyy korkea riski, joten vaikutustenarviointi on tehtävä. Vaikutustenarviointi on tehtävä esimerkiksi silloin, kun kaksi tai useampi seuraavista edellytyksistä täyttyy:

  • Käsittely kohdistuu erityisiin henkilötietoihin tai muuten hyvin henkilökohtaisiin tietoihin.
  • Henkilötietojen käsittely on laajamittaista
  • Tietokokonaisuuksia yhdistellään.
  • Käsittely kohdistuu heikommassa asemassa oleviin henkilöihin, kuten potilaisiin, lapsiin tai ikääntyneisiin.
  • Käsittely sisältää uusien teknologisten ja organisatoristen ratkaisujen tai innovaatioiden käyttöä.
  • Käsittely kohdistuu biometrisiin tietoihin.
  • Käsittely kohdistuu geneettisiin tietoihin.
  • Käsittely kohdistuu sijaintitietoihin.
  • Rekisteröidyn informoinnista halutaan poiketa tietosuoja-asetuksen 14 artiklan 5 b -kohdan nojalla.
  • Muista rekisteröidyn oikeuksista halutaan poiketa.

Rekisterinpitäjän on kuultava tietosuojavaltuutettua ennen henkilötietojen käsittelyn aloittamista, jos vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi. Lisätietoa ennakkokuulemisesta

Ennakkokuulemispyynnön voi tehdä käyttämällä tietosuojavaltuutetun toimiston verkkolomaketta.