Henkilötietojen käsittelyn roolit ja vastuut tieteellisessä tutkimuksessa
Tutkimushankkeessa voi olla useita eri tahoja eri rooleissa. Tutkimuksessa saattaa olla yksi tai useampi tutkimusorganisaatio, tutkimuksesta vastaava henkilö, toimeksiantaja, tutkija sekä muuta henkilökuntaa, joka suorittaa tosiasiallista henkilötietojen käsittelyä tutkimuksen toteuttamiseksi. Eri toimijoiden roolit henkilötietojen käsittelyn ja rekisterinpitäjälle kuuluvan vastuun osalta on määriteltävä selkeästi ennen tutkimuksen aloittamista.
Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan. Määritelmällä pyritään kohdistamaan vastuu tietosuojasäännösten noudattamisesta sinne, missä käsittelyyn voidaan tosiasiallisesti vaikuttaa.
Rekisterinpitäjän määrittely yksittäisessä tutkimushankkeessa on tehtävä tapauskohtaisen arvioinnin perusteella. Rekisterinpitäjänä voi toimia esimerkiksi yksittäinen tutkija, tutkimusryhmä, tutkimusorganisaatio tai edellä mainitut tahot yhdessä yhteisrekisterinpitäjinä. Olennaista on, että henkilötietojen käsittelyn vastuut määritetään selkeästi tutkimuksen alusta loppuun. Jokaisen tutkimushankkeeseen osallistuvan on tiedettävä tehtävänsä. Henkilötietojen käsittelyn osalta ei saa jäädä katvealueita.
Arvioinnissa on huomioitava rekisterinpitäjän määritelmä ja myös se, onko tutkimushankkeessa sellaista lainsäädäntöä, joka vaikuttaa rekisterinpitäjän määrittelemiseen käsittelytoimien osalta. Esimerkiksi joillakin valtion tutkimuslaitoksilla on laissa säädetty tehtävä tutkimuksen tekemiseen, ja erityisten henkilötietojen käsittelylle on oma käsittelyn mahdollistava lainsäännös. Kansainvälistä tutkimusta tehdessä rekisterinpitäjän määrittelyyn voi vaikuttaa myös kansallinen lainsäädäntö.
Henkilötietojen käsittelyn vastuun jakamiseen vaikuttavat tekijät
1. Onko tutkimushanketta ja sen tarkoitusta suunnittelemassa yksi vai useampi toimija?
- Rekisterinpitäjä määrittelee yksin henkilötietojen käsittelyn tarkoitukset tai keinot.
- Kun on kysymys yhteisrekisterinpitäjyydestä, toimijat määrittelevät yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot sekä jakavat rekisterinpitäjän vastuun. Yhteisrekisterinpitäjien tulee tietosuoja-asetuksen 26 artiklan mukaisesti määritellä keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueet tietosuoja-asetuksessa olevien velvoitteiden noudattamiseksi. Tehtävänjaon on oltava selkeä rekisteröidyn oikeuksien käytön ja rekisteröidyn informoinnin osalta. Järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Vastuunjaon keskeisten osien on oltava rekisteröidyn saatavilla.
2. Toteuttaako tutkimuksen tekijä kaikki henkilötietojen käsittelytoimet itse vai pitääkö tutkimuksen toteuttamiseksi tarvittavia käsittelytoimia hankkia joltain muulta taholta?
- Rekisterinpitäjä voi hankkia henkilötietojen käsittelyyn liittyviä palveluita myös henkilötietojen käsittelijältä. Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti ja sen alaisuudessa. Käsittelijällä ei ole itsenäistä määräysvaltaa käsittelemiinsä tietoihin, eikä se saa käsitellä niitä muutoin kuin rekisterinpitäjän ohjeiden mukaisesti. Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
- Tietosuoja-asetus edellyttää, että henkilötietojen käsittelijän suorittama käsittely on määritettävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa tai oikeudellisessa asiakirjassa on vahvistettava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tietosuoja-asetuksen 28 artiklassa säädetään yksityiskohtaisemmin rekisterinpitäjän ja käsittelijän välisestä suhteesta sekä sopimukseen sisällytettävistä ehdoista.
Rekisterinpitäjän tehtävät tutkimustoiminnassa
Olennaista on, että rekisterinpitäjänä toimii sellainen taho, joka pystyy vastaamaan rekisterinpitäjälle asetetuista velvoitteista ja osoittamaan tietosuojasäännösten noudattamisen käytännössä.
Rekisterinpitäjän tehtävänä on esimerkiksi varmistaa, että
- tietosuojaperiaatteet toteutuvat tutkimushankkeessa, ja dokumentaatio todentaa periaatteiden toteutumisen käytännössä tutkimuksen koko elinkaaren ajan
- henkilötietojen käsittelyyn liittyvä riski on arvioitu, ja tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi on tehty
- vaikutustenarviointi on tehty, jos tutkimuksen luonne tai rekisteröidyn oikeuksiin tehtävät poikkeukset sitä vaativat
- tietosuojavaltuutetun ennakkokuuleminen tehdään, jos vaikutustenarvioinnista paljastuu korkea riski, jota ei saada laskettua alemmas suojatoimilla
- henkilötietojen käsittelijöiden kanssa tehdään asianmukaiset sopimukset ja niille annetaan yksityiskohtaiset ohjeet henkilötietojen käsittelystä
- yhteisrekisterinpitäjyyden vastuista sovitaan läpinäkyvästi
- rekisteröityjä informoidaan ja oikeuksien käyttöä helpotetaan
- mahdolliset rajoitukset rekisteröidyn oikeuksiin ovat perusteltuja
- seloste käsittelytoimista on laadittu
- tietoturvaloukkauksien varalle on laadittu menettelytavat
- tietosuojavastaava on nimetty, jos käsittelytoimet tutkimushankkeessa ovat sellaisia, että ne edellyttävät tietosuojavastaavan nimeämistä
- muu osoitusvelvollisuuden mukainen dokumentaatio on olemassa ja sitä ylläpidetään tarvittaessa.