Henkilötietojen käsittelyperusteen valinta ja lainmukaisuuden varmistaminen tieteellisessä tutkimuksessa

Rekisterinpitäjä voi lähtökohtaisesti itse valita, mikä käsittelyperuste sopii tutkimuksen toteuttamiseen parhaiten. Erityisten henkilötietojen käsittelyyn on oltava erikseen käsittelyn oikeuttava peruste.

Rekisterinpitäjää (esimerkiksi valtion tutkimuslaitokset) tai tutkimushanketta (esimerkiksi kliiniset lääketutkimukset) koskeva erityislainsäädäntö voi kaventaa mahdollisuuksia käsittelyperusteen valinnan osalta.

Kun oikeaa käsittelyperustetta valitaan, kannattaa kiinnittää huomiota rekisteröidyn oikeuksiin, jotka vaihtelevat käsittelyperustekohtaisesti. Valittu käsittelyperuste voi esimerkiksi helpottaa tutkittavien rekrytoimista tutkimushankkeeseen, kun läpinäkyvyydellä ja vaikuttamismahdollisuuksilla turvataan tutkittavan luottamusta asianmukaiseen henkilötietojen käsittelyyn. On myös syytä tunnistaa, että tutkimustarkoituksen määrittelyn joustavuus on mahdollista vain silloin, kun tutkimuksen henkilötietojen käsittelyperusteena on suostumus.

Kun henkilötietoja käsitellään tieteellisen tutkimuksen tarkoituksia varten, käsittelyperuste voi olla suoraan tietosuoja-asetuksen nojalla:

1. Rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen suostumus.

  • Tutkimustoiminnassa on huomattava, että suostumusta ei voida käyttää käsittelyperusteena silloin, jos tutkittava on heikommassa asemassa esimerkiksi sairauden, vanhuuden tai alaikäisyyden vuoksi.
  • Tutkimuksessa suostumus ei välttämättä liity henkilötietojen käsittelyperusteeseen. Suostumus voi liittyä
    • tutkimuksen eettisiin vaatimuksiin (esim. suostumus osallistua tutkimukseen)
    • johonkin muuhun suojattavaan etuun (esim. tutkittavan koskemattomuuteen kajoaminen, kuten verinäytteen ottaminen, edellyttää lähtökohtaisesti suostumusta) tai
    • suojatoimiin.

2. Rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen, jos se on tasapainotestin mukaan mahdollista.

Käsittelyperuste voi olla EU:n tai kansallisen lainsäädännön nojalla myös:

1. Rekisterinpitäjän lakisääteinen velvoite.

  • Esimerkiksi kliinisen lääketutkimuksen osalta rekisterinpitäjälle on asetettu lakisääteinen velvoite arkistoida kliinisen lääketutkimuksen kantatiedot 25 vuodeksi. Euroopan tietosuojaneuvoston lausunnossa käydään tarkemmin läpi, mitä käsittelyperusteita kliiniseen lääketutkimukseen voi liittyä.

2. Rekisterinpitäjän yleistä etua koskevan tehtävän suorittaminen.

  • Tietosuojalain mukaan henkilötietojen käsittely historiallista ja tieteellistä tutkimusta tai tilastointia varten on mahdollista silloin, kun se on tarpeellista ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden (tietosuojalain 4 §). Rekisterinpitäjällä on osoitusvelvollisuus siitä, että henkilötietojen käsittely on tarpeellista ja oikeasuhtaista. Tässä yhteydessä on kiinnitettävä erityistä huomioita tietojen minimointiin sekä säilytyksen rajoittamisen periaatteeseen.

Jos asianmukaisia teknisiä ja organisatorisia suojatoimia noudatetaan, henkilötietojen käsittely tieteellisen ja historiallisen tutkimuksen tarkoitusta varten voidaan määrätyissä tilanteissa katsoa yhteensopivaksi alkuperäisen käyttötarkoituksen kanssa. Yhteensopivan käyttötarkoituksen johdosta rekisterinpitäjän henkilötietojen käsittely tutkimustarkoituksia varten voi perustua samaan käsittelyperusteeseen kuin alkuperäinen käsittely, eikä uutta käsittelyperustetta tarvita. Käsittelyn on oltava lainmukaista myös muiden tietosuojasäännösten näkökulmasta; yhteensopiva käyttötarkoitus ei oikeuta rekisterinpitäjää poikkeamaan muista tietosuojasäännöksistä. Kun rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun kuin alkuperäiseen tarkoitukseen, asiasta on ilmoitettava rekisteröidylle ennen käsittelyn aloittamista.

Erityisten henkilötietojen käsittely tutkimustoiminnassa

Erityisten henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat esimerkiksi terveydentilaa kuvaavat ja geneettiset tiedot. Tutkimustoiminnassa erityisiä henkilötietoja voidaan käsitellä vain silloin, kun käsittelykieltoon on säädetty poikkeus.

Jos tutkimushankkeessa käsitellään erityisiä henkilötietoja,

  • käsittelyyn oikeuttavan suostumuksen on oltava nimenomainen ja täytettävä lisäksi muut suostumukseen liittyvät vaatimukset tai
  • erityisten henkilötietojen käsittelylle on löydyttävä jokin muu lakisääteinen peruste.
    • Tietosuojalain mukaan erityisten henkilötietojen käsittely on mahdollista tieteellistä tai historiallista tutkimusta tai tilastointia varten, jos rekisteröidyn oikeudet suojataan asianmukaisesti (tietosuojalaki 6 § 1 mom. 7 kohta).
    • Eräistä kansallisista tutkimuslaitoksista on olemassa erityislainsäädäntöä, joka mahdollistaa erityisten henkilötietojen käsittelyn lakisääteisiä tutkimustehtäviä varten.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lisäksi mahdollista vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä toteuttavat asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Olennaista on, että suojatoimenpiteillä saadaan henkilötietojen käsittelyyn liittyvä riski hyväksyttävälle tasolle. Tarpeelliset suojatoimet on räätälöitävä sopiviksi tapauskohtaisesti.

 Esimerkkejä suojatoimenpiteistä

  • Lokitietojen kerääminen ja valvonta
  • Henkilöstön tietosuojakoulutukset
  • Tietosuojavastaavan nimittäminen
  • Rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin
  • Henkilötietojen pseudonymisointi
  • Henkilötietojen salaaminen
  • Toimenpiteet, joilla taataan henkilötietojen käsittelyjärjestelmien ja käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus (mukaan lukien kyky palauttaa tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa nopeasti)
  • Teknisten ja organisatoristen toimenpiteiden tehokkuuden säännöllinen testaus ja arviointi
  • Erityiset menettelysäännökset, joilla varmistetaan tietosuojasäännösten toteutuminen, kun henkilötietoja siirretään tai käsittelyn tarkoitus muuttuu
  • Tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi

Myös rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyyn tieteellisessä ja historiallisessa tutkimuksessa löytyy tietosuojalaista oma säännöksensä (7 §:n 1 mom. 2 kohta). Näiden tietojen käsittely edellyttää korotettuja suojatoimia, joilla turvataan rekisteröidyn oikeudet.

Muun lainmukaisuuden varmistaminen

Rekisterinpitäjän on varmistettava, että tutkimuksen tiedot saadaan lainmukaisesti. Esimerkiksi tutkittavan antama suostumus, salassapitoperusteet tai käyttölupaehdot voivat rajata tutkimusaineiston käsittelymahdollisuuksia olennaisesti.

Käsittelyn yhteydessä tulee huomioida myös muu käsittelyä ohjaava erityislainsäädäntö. Tutkimustoiminnassa on erityislainsäädäntöä, joka koskee esimerkiksi lääketieteellistä tutkimusta, kliinistä lääketutkimusta sekä sosiaali- ja terveystietojen toissijaista käyttöä.