EU:n yleinen tietosuoja-asetus ja tietosuojalaki velvoittavat opinnäytetyöntekijöitä, jos työssä käsitellään henkilötietoja.
Henkilötietojen käsittely ja tietosuoja ovat keskeinen osa aineistonhallintaa. Jos opinnäytetyössä käsitellään henkilötietoja, tulee noudattaa EU:n tietosuoja-asetukseen (GDPR) liittyviä määräyksiä ja Suomen tietosuojalakia. Tietosuojalainsäädäntö määrittelee sen, millä edellytyksillä henkilötietoja voi käsitellä.
Itse tutkimusaineisto voi sisältää henkilötietoja, mutta henkilötietoja voi olla myös aineiston keruuseen tarvittavissa dokumenteissa, kuten tutkittavan suostumuslomakkeissa. Huomaa, että myös anonyymiksi tarkoitetusta kyselytutkimuksesta voi syntyä henkilötietoja, mikäli kysely toteutetaan verkkolomakkeella, joka tallentaa esimerkiksi vastaajan IP-osoitteen, tai jos kyselyssä on avovastausvaihtoehtoja. Myös kuva ja ääni ovat henkilötietoa.
Opiskelijalla on velvollisuus huolehtia tietosuojasta opinnäytetyötä tehdessään. Opinnäytetyön ohjaajan velvollisuutena on neuvoa opiskelijaa tietosuoja-asioissa.
Tämän takia on tärkeää tunnistaa, milloin opinnäytetyössä käsitellään henkilötietoja ja mitä käytänteitä silloin on hoidettava.
Opinnäytetyön henkilöitietojen käsittelyssä keskeistä on seuraavat asiat ja käytänteet:
Tiedoista, jotka yksin riittävät tunnistamaan henkilön käytetään nimitystä suorat tunnisteet. Näitä ovat muun muassa:
Vahvoja epäsuoria tunnisteita ovat kaikki sellaiset yksittäiset tiedot, joiden avulla henkilö voidaan tunnistaa kohtuullisen helposti. Sellaisia ovat esimerkiksi:
Epäsuoriksi tunnisteiksi luetaan tiedot, jotka yksin eivät riitä tunnistamiseen, mutta yhdistettynä voivat mahdollistaa henkilön tunnistamisen. Epäsuoria tunnisteita ovat esimerkiksi:
Erityisiin henkilötietoryhmiin kuuluvat henkilötiedot ovat yksityisyyden ytimessä, Erityisten henkilötietojen käsittelystä on erikseen säädetty tietosuojalaissa. Opinnäytetöissä ei lähtökohtaisesti voi käsitellä erityisiä henkilötietoryhmiä.
Erityisistä tai arkaluonteisista tiedoista ilmenee henkilön:
Jos käsittelet opinnäytetyössä henkilötietoja, joku on aina niistä vastuussa. Vastuutaho määrittelee ja ohjeistaa, mitä tarkoitusta varten henkilötietoja tarvitaan, miten niitä kerätään ja mitä tietoja ylipäätään tarvitaan kyseistä tarkoitusta varten. Tämä taho on rekisterinpitäjä, joka voi joutua vastuuseen, jos tietosuojalainsäädäntöä on rikottu missä tahansa kehittämistyön vaiheessa.
Kuka on opinnäytetyösi rekisterinpitäjä?
|
Henkilötietojen käsittely on oikeutettua ainoastaan silloin, kun se on välttämätöntä nimettyä tarkoitusta varten ja henkilötietojen käsittelylle on olemassa käsittelyperuste. Ennen henkilötietojen keräämisen aloittamista on käytävä vielä läpi opinnäytetyösuunnitelma ja mahdolliset tutkimuskysymykset ja varmistettava, että kaikki kerättävät tiedot ovat tarpeellisia opinnäytetyön tarkoituksen toteuttamiseksi. Huomaathan, että henkilötietojen käyttötarkoituksena ei voi olla "opinnäytetyö" vaan opinnäytetyösuunnitelmassa nimetyt tavoitteet, joihin päästään kyseisiä henkilötietoja keräämällä.
Henkilötietojen käsittely edellyttää aina tietosuoja-asetuksen kuudennen artiklan mukaista käsittelyperustetta.
Opinnäytetöiden aineistossa käsittelyperuste on usein rekisteröidyn suostumus.
Lue tarkemmin käsittelyn perusteita Tietosuojavaltuutetun sivuilta:
Opinnäytetyöhön osallistuvalle on kerrottava selkeästi ja ymmärrettävästi opinnäytetyön tarkoituksesta sekä hänen osuudestaan siinä. Tutkimustiedotteen lisäksi osallistujan on saatava tieto siitä, miten hänen henkilötietojaan käsitellään opinnäytetyön aikana. Henkilötietojen käsittely kuvataan yleisimmin tietosuojailmoitukseen, jossa kerrotaan, miksi ja miten henkilötietoja käsitellään. Tässä yhteydessä kerrotaan myös, jos aineistoa on tarkoitus jatkokäyttää. Tärkeää on myös kuvata, miten henkilö voi käyttää oikeuksiaan omiin tietoihinsa liittyen, esimerkiksi mihin hän voi ottaa yhteyttä, jos haluaa tarkastaa, mitä tietoja hänestä on kerätty.
Laurean tietosuojailmoituspohja
Hyödynnä tarvittaessa Laurean tutkimustiedotepohjaa ja
Käytä henkilötietojen informoimisen apuna Laurean opinnäytetöiden tietosuojailmoituspohjaa, Pohjia voi muokata tarvittaessa muokata kohderyhmän näköiseksi tai sähköiseen muotoon sopiviksi.
Suostumukset
Tietoon perustuvan osallistumissuostumuksen lisäksi henkilöltä on kysyttävä suostumus henkilötietojen käsittelyyn silloin kun henkilötietojen käsittely perustuu suostumukseen. Huomaathan, että näillä kahdella suostumuksella on eri merkitys. Jos opinnäytetyössä kerätään henkilötietoa suostumuksen perusteella, on henkilöllä oikeus pyytää suostumukseen perustuvien tietojensa poistamista.
Suostumukset on aina oltava todennettavissa ja annettu aidosti vapaaehtoisesti. Suostumuksesta kieltäytymisestä ei saa koitua haittaa tutkittavalle. Hyödynnä tarvittaessa Laurean suostumuspohjaa.
Riippumatta siitä, minkälaisia henkilötietoja opinnäytetyössä kerätään, on hyvä arvioida henkilötietojen käsittelyyn liittyviä riskejä ja niihin liittyviä varotoimenpiteitä. Riskejä voi aiheutua esimerkiksi tilanteissa, joissa henkilötietoja katoaa vahingossa, niitä paljastuu sivullisille tai niitä käytetään luvattomasti opinnäytetyön aikana tai sen jälkeen. Tietojen paljastuminen tai väärinkäyttö voi aiheuttaa henkilölle mielipahaa tai häpeää, joskus jopa taloudellista vahinkoa tai turvallisuuden tunteen menettämistä. Riskeillä voi olla myös haitallisia vaikutuksia rekisterinpitäjään, jos selviää, että henkilön oikeuksia on rikottu tai tietosuojalainsäädäntöä ei ole noudatettu.
Opinnäytetöissä ei pääsääntöisesti voi käsitellä suuririskisiä tietoja, kuten arkaluonteisia henkilötietoja, rikoksiin liittyviä tietoja tai haavoittuvaisten ryhmien henkilötietoja. Jossain tapauksissa, esimerkiksi jos YAMK-opinnäytetyö toteutetaan osana hankeyhteistyötä, voi olla kuitenkin olla tilanne, että opiskelija käsittelee tällaisia tietoja. Näissä tapauksissa käsittelyn tarpeellisuus ja oikeasuhteisuus on arvioitava tarkasti, ja varmistettava, että kaikki tiedot ovat ehdottoman tarpeellisia tutkimuksen tavoitteiden kannalta, eikä vaihtoehtoisia tapoja käsitellä tietoja ole mahdollista toteuttaa. Samassa yhteydessä on dokumentoitava henkilötietojen käsittelystä aiheutuvat riskit ja toimenpiteet, joilla riskien vaikutukset minimoidaan arvioimalla riskin todennäköisyys ja vaikutuksen vakavuus ja priorisoimalla toimenpiteet riskiluvun mukaisesti. Tällaisissa tapauksissa myös eettinen ennakkoarviointi voi olla tarpeen. Lue lisää eettisestä ennakkoarvioinnista.
Lue lisää vaikutustenarvioinnista (Data Protection Impact Asssessment = DPIA) tietosuojavaltuutetun toimiston sivuilta
Laurea-kirjasto | Saavutettavuusseloste | Laurea Library | Accessibility statement