Henkilötietojen minimointi tieteellisessä tutkimuksessa
Henkilötietojen tarpeellisuutta tieteellisessä tutkimuksessa on arvioitava mahdollisimman aikaisessa vaiheessa. Käsiteltävien henkilötietojen määrä on pyrittävä minimoimaan. Arviossa on huomioitava henkilötietojen määrän lisäksi se, millaisia henkilötietoja tutkimuksessa käsitellään.
Tietosuoja-asetus (EUR-Lex) korostaa tietojen minimointia erityisesti silloin, kun henkilötietoja käsitellään tieteellisen tutkimuksen tarkoituksia varten. Henkilötietojen on oltava riittäviä, olennaisia ja välttämättömiä käsittelyn tarkoituksen kannalta.
Tutkimus tulee toteuttaa ilman henkilötietoja aina kun mahdollista. Kun tutkimuksessa käsiteltävät tiedot ovat anonyymeja, esimerkiksi aggregoitua tilastotietoa, tietosuojasäännöksiä ei sovelleta. Anonymisoinnin tavoitteena on muuttaa tiedot tunnisteettomaksi siten, ettei yksittäisiä tapahtumia voi erottaa. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, ettei rekisterinpitäjä tai ulkopuolinen taho voi muuttaa tietoja takaisin tunnistettaviksi hallussaan olevilla tiedoilla.
Kun tiedot ovat anonyymejä, niiden käsittely on vapaampaa ja turvallisempaa myös tutkimuksen tekijän näkökulmasta. Anonyymit tiedot helpottavat myös kansainvälistä yhteistyötä, kun eroavaisuudet eri maiden tietosuojasääntelyssä eivät vaikuta tutkimuksen toteuttamiseen.
Esimerkki:
Tutkimukseen osallistuvan henkilön nimi- ja osoitetietoja tarvitaan kyselykirjeen lähettämistä ja karhuamista varten. Kun viimeinen karhukirje on lähetetty, vastausaika umpeutunut ja tutkimusaineisto saatu kokoon, nimi- ja osoitetiedot voidaan hävittää.
Tieteellisessä tutkimuksessa tietojen minimointia toteutetaan usein pseudonymisoimalla tutkimuksen kannalta tarpeelliset tiedot. Usein pseudonymisointi voidaan toteuttaa heti sen jälkeen, kun tutkimuksessa tarvittavat tiedot on saatu yhdistettyä. Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Esimerkiksi henkilötietojen koodaaminen on pseudonymisointia. Koodiavaimen haltija voi purkaa tietoaineiston salauksen ja helposti tunnistaa uudelleen jokaisen rekisteröidyn. Henkilötiedot voidaan myös suojata peitenimillä. Esimerkiksi tietokannoissa jokin henkilöön liittyvä tieto voidaan korvata toisella. Pseudonymisoidut tiedot ovat yhä henkilötietoja ja niiden käsittelyssä on huomioitava tietosuojasäännökset.
Henkilötietoja voidaan minimoida myös poistamalla aineistosta suorat tunnisteet, kuten henkilöiden nimet ja henkilötunnukset. On tärkeää huomata, että suorien tunnisteiden poistaminen ei useinkaan johda tieteellisessä tutkimuksessa siihen, että tiedot muuttuisivat anonyymeiksi. Henkilö voi olla tunnistettavissa muutenkin kuin suoraan nimen perusteella. Kerättävä aineisto voi sisältää henkilöstä niin yksityiskohtaista tietoa (esim. harvinainen sairaus tai tarpeeksi tietotyyppejä), että henkilö on välillisesti tunnistettavissa niiden perusteella. Tutkimusmuuttujien lisäksi henkilöä kuvaavat taustamuuttujat (kuten sukupuoli, siviilisääty, syntymävuosi, ikä ja koulutus) lisäävät osaltaan tunnistamismahdollisuutta. Henkilön yksilöinti voi olla helppoa jo ammatin perusteella (esimerkiksi presidentti), ja yksilöiminen helpottuu sitä mukaa, kun tietotyyppejä lisätään rinnakkain (esimerkiksi syntymäaika, maa, vuosiluku, milloin henkilö on ollut tässä tehtävässä). Kun kuvaavia tietotyyppejä on tarpeeksi, voidaan kenet tahansa yksilöidä niiden avulla. Tutkimuksessa kerätään usein kattavasti tietoa yksittäisestä tutkimuksen kohteena olevasta henkilöstä, joten yksilöiminen on monesti mahdollista ilman suoria tunnisteitakin.
Esimerkki:
Tutkimuksessa kerätään tietoa pienen paikkakunnan lukion opettajasta, josta käytetään tutkimuksessa oikean nimen sijasta lempinimeä. Lempinimi on laajasti käytössä, joten opettajaa koskevat muut tiedot ovat helposti tunnistettavissa häntä koskeviksi, kun ne liitetään hänen lempinimensä yhteyteen. Vaikka tutkimuksessa ei kerätä tietoja opettajan oikealla nimellä, paikkakunnan ja lempinimen laaja tunnistettavuus johtaa siihen, että tiedot voidaan tunnistaa välillisesti tiettyä henkilöä koskeviksi.
Rekisterinpitäjän on koko tutkimuksen elinkaaren ajan ja erityisesti tutkimuksen päättyessä varmistettava, että henkilötietoja ei käsitellä laajemmin kuin on tarpeellista suhteessa alkuperäisiin tarkoituksiin. Henkilötietojen säilytysajan tulee olla mahdollisimman lyhyt.
Esimerkki:
Tutkimuslomakkeet kannattaa suunnitella alusta alkaen sellaisiksi, että tutkimukseen osallistuneen tunnistetiedot voidaan poistaa analysoitavasta tutkimusaineistosta heti, kun niitä ei enää tarvita tietojen yhdistämiseksi. Henkilötiedot kannattaa sijoittaa lomakkeeseen esimerkiksi siten, että ne saadaan helposti pois leikkaamalla.
Anonymisointi ja pseudonymisointi tulee toteuttaa heti kun se on mahdollista, esimerkiksi tietojen yhdistämisen jälkeen. Jos henkilötietoja on tarpeen käsitellä, rekisterinpitäjän on asetettava määräajat henkilötietojen säilyttämisen tarpeellisuuden tarkastelua varten.
Lisätietoja henkilötietojen anonymisointitekniikoista saa WP29-tietosuojatyöryhmän (nykyinen Euroopan tietosuojaneuvosto) lausunnosta 5/2014 tietosuojaneuvoston verkkosivuilla.