Usein kysyttyä tieteellisestä tutkimuksesta
Lue lisää tieteellisestä tutkimuksesta verkkosivujemme Tieteellinen tutkimus ja tietosuoja -osiosta.
Ei ole. Henkilötietojen käsittely tutkimuksessa voi perustua myös muuhun käsittelyperusteeseen kuin suostumukseen. Käsittelyperuste voi olla esimerkiksi lainsäännös (esim. tietosuojalain 4 § ja 6 §) tai rekisterinpitäjän oikeutettu etu.
On tärkeää huomata, että suostumuksen vaatimus tutkimuksessa voi liittyä myös muuhun asiaan kuin henkilötietojen käsittelyyn. Tutkittavan suostumus voidaan tarvita esimerkiksi tutkimukseen osallistumiseen tai verinäytteenottoon. Suostumuksen pyytäminen esimerkiksi verinäytettä varten suojaa tutkittavan fyysistä koskemattomuutta, ei henkilötietojen suojaa. Lääketieteelliseen ja kliiniseen lääketutkimukseen liittyvä tietoisen suostumuksen vaatimus on tärkeä eettinen arvo, mutta se ei ole sama asia kuin henkilötietojen käsittelyperuste.
On tärkeää, että suostumuksen tarkoitus tunnistetaan tutkimuksessa selkeästi, ettei tutkittavalle synny väärinkäsityksiä siitä, millä perusteella ja miten henkilötietoja tullaan tutkimuksessa käsittelemään.
Vaikutustenarviointi on lähetettävä tietosuojavaltuutetun toimistoon kahdessa tapauksessa, kun on kyse tieteellisestä tutkimuksesta.
Vaikutustenarviointi on lähetettävä tietosuojavaltuutetun toimistoon, kun
1) tieteellisessä tai historiallisessa tutkimuksessa poiketaan rekisteröidyn oikeuksista ja käsiteltävät henkilötiedot ovat erityisiä henkilötietoja
2) tietosuojavaltuutettua on ennakkokuultava. Tietosuojavaltuutetun ennakkokuuleminen vaaditaan, kun tutkimuksessa tehdyssä vaikutustenarvioinnissa on tunnistettu korkea riski, eikä rekisterinpitäjä ole saanut riskiä alhaisemmaksi omilla toimenpiteillään.
On tärkeää havaita, että velvollisuus tehdä vaikutustenarviointi on huomattavasti laajempi, mutta vain edellä mainituissa tapauksissa tutkimuksen rekisterinpitäjän on toimitettava vaikutustenarviointi tietosuojavaltuutetun toimistoon.
Tietosuojavastaavan on oltava riippumaton, eikä hänellä voi olla sellaisia tehtäviä, jotka ovat ristiriidassa tietosuojavastaavan roolin kanssa.
Tietosuojavastaava ei voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelyn tarkoitusten ja keinojen määrittely on rekisterinpitäjälle kuuluva tehtävä. Eturistiriitoja voi syntyä, jos tietosuojavastaavaksi on nimetty esimerkiksi ylimmän johdon edustaja tai tietoturvavastaava.
Eturistiriitoja on tarkasteltava tapauskohtaisesti, koska organisaatiot ovat erilaisia.
Jos tutkimushankkeeseen osallistuu useampia tahoja, on tunnistettava eri toimijoiden roolit. Tutkijan työntekijäasema ei estä sitä, että hänelle voisi muodostua rekisterinpitäjän rooli. Lopullinen analyysi rooleista on kuitenkin tehtävä tapauskohtaisten tunnusmerkkien ja tietosuoja-asetuksen rekisterinpitäjän määritelmän pohjalta.
Tietosuoja-asetuksen mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Tietosuoja-asetus tunnistaa myös yhteisrekisterinpitäjyyden. Yhteisrekisterinpitäjyydestä on kyse silloin, kun toimijat määrittelevät yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot sekä jakavat rekisterinpitäjän vastuun. Tällöin yhteisrekisterinpitäjien tulee tietosuoja-asetuksen 26 artiklan mukaisesti määritellä keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueet tietosuoja-asetuksessa olevien velvoitteiden noudattamiseksi. Tehtävänjaon on oltava selkeä rekisteröidyn oikeuksien käytön ja rekisteröidyn informoinnin osalta. Järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Rekisteröidyille on kerrottava yhteisrekisterinpitäjien vastuista ja muista keskeisistä tiedoista esimerkiksi tutkimushankkeen verkkosivuilla.
Vaikka tutkimustarkoitukseen keräämäsi tiedot olisivatkin internetistä tai muusta julkisesta lähteestä, tietosuojasäännökset on huomioitava samalla tavalla kuin muutenkin henkilötietoja käsiteltäessä.
Lisätietoa tietosuojasäännöksistä tieteellisestä tutkimuksesta
Kun tietoja luovutetaan potilasrekisteristä tieteellisen tutkimuksen tarkoituksia varten, luovutettujen tietojen käyttötarkoitus on potilaan hoidon sijaan tutkimuksen tekeminen. Luovutetut tiedot muodostavat alkuperäisestä tietolähteestä itsenäisen ja erillisen kokonaisuuden. Henkilötietojen käyttötarkoitus muuttuu, ja tietojen käsittelyn elinkaari on suunniteltava alusta loppuun. Suunnitelmassa on huomioitava tietosuojasäännökset tutkimuksen tarkoituksesta käsin.
Tutkimuksen rekisterinpitäjälle (tutkijalle tai tutkimusta tekevälle organisaatiolle) muodostuu tutkimusta varten oma rekisteri, jonka käyttötarkoitus on tutkimussuunnitelman mukaisen tutkimuksen tekeminen.
Kyllä ovat. Tiedot ovat niin pitkään henkilötietoja, kun ne voidaan muuttaa takaisin tiettyä henkilöä koskevaksi jonkin lisätiedon avulla, vaikka tällainen tieto ei olisikaan rekisterinpitäjän hallussa.
Tutkimustoiminnassa tietoja suojataan usein pseudonymisoimalla ja minimoimalla käsiteltävät tiedot.