Skip to Main Content

E-aineistojen etäkäytön (3.9. - 5.9.) ongelma on korjattu. Jos etäkäytössä on edelleen ongelmia, tyhjennä selaimen välimuisti ja evästeet. // Some e-resources were not available in remote use 3.9. - 5.9. If problems still remain, empty your browser's cache memory and cookies.

Opas opinnäytetyön aineistonhallintaan, tietosuojaan ja tutkimusetiikkaan

Henkilötietojen käsittely opinnäytetyössä
EU:n yleinen tietosuoja-asetus ja tietosuojalaki velvoittavat opinnäytetyöntekijöitä, jos työssä käsitellään henkilötietoja.

Henkilötietojen käsittely ja tietosuoja ovat keskeinen osa aineistonhallintaa. Jos opinnäytetyössä käsitellään henkilötietoja, tulee noudattaa EU:n tietosuoja-asetukseen (GDPR) liittyviä määräyksiä ja Suomen tietosuojalakia. Tietosuojalainsäädäntö määrittelee sen, millä edellytyksillä henkilötietoja voi käsitellä. 

Itse tutkimusaineisto voi sisältää henkilötietoja, mutta henkilötietoja voi olla myös aineiston keruuseen tarvittavissa dokumenteissa, kuten tutkittavan suostumuslomakkeissa. Huomaa, että myös anonyymiksi tarkoitetusta kyselytutkimuksesta voi syntyä henkilötietoja, mikäli kysely toteutetaan verkkolomakkeella, joka tallentaa esimerkiksi vastaajan IP-osoitteen, tai jos kyselyssä on avovastausvaihtoehtoja. Myös kuva ja ääni ovat henkilötietoa.

Opiskelijalla on velvollisuus huolehtia tietosuojasta opinnäytetyötä tehdessään. Opinnäytetyön ohjaajan velvollisuutena on neuvoa opiskelijaa tietosuoja-asioissa.

Tämän takia on tärkeää tunnistaa, milloin opinnäytetyössä käsitellään henkilötietoja ja mitä käytänteitä silloin on hoidettava.

Opinnäytetyön henkilöitietojen käsittelyssä keskeistä on seuraavat asiat ja käytänteet:

  1. Tunnista, milloin käsittelet henkilötietoja
  2. Henkilötietojen käsittelyn kuvaaminen: rekisterinpitäjä, käsittelyn tarkoitus ja peruste
  3. Tietosuojailmoituksen teko ja suostumuksen pyytäminen
  4. Riskinarviointi ja mahdollinen DPIA

1. Mitä on henkilötieto?

EU:n tietosuoja-asetuksen määritelmän mukaan henkilötietoja ovat kaikki tiedot, joilla henkilön voi tunnistaa. Aineisto on tunnisteellista, jos se sisältää henkilötietoja, joiden perusteella voi tunnistaa henkilöitä. 

Suorat tunnisteet

Tiedoista, jotka yksin riittävät tunnistamaan henkilön käytetään nimitystä suorat tunnisteet. Näitä ovat muun muassa: 

  • henkilön koko nimi 
  • henkilötunnus 
  • sormenjälki 
  • kasvokuva 
  • ääni 
  • käsin tehty allekirjoitus. 

Vahvat epäsuorat tunnisteet

Vahvoja epäsuoria tunnisteita ovat kaikki sellaiset yksittäiset tiedot, joiden avulla henkilö voidaan tunnistaa kohtuullisen helposti. Sellaisia ovat esimerkiksi:  

  • osoite  
  • puhelinnumero 
  • harvinainen ammattinimike 
  • hyvin harvinainen sairaus 
  • yksilöivät tunnisteet kuten tietokoneen IP-osoite, opiskelijatunnus tai tilinumero. 

Epäsuorat tunnisteet

Epäsuoriksi tunnisteiksi luetaan tiedot, jotka yksin eivät riitä tunnistamiseen, mutta yhdistettynä voivat mahdollistaa henkilön tunnistamisen.  Epäsuoria tunnisteita ovat esimerkiksi: 

  • sukupuoli 
  • ikä 
  • tehtävänimike 
  • tulot 
  • kansallisuus  
  • työpaikka tai koulu 

Erityiset henkilötietoryhmät

Erityisiin henkilötietoryhmiin kuuluvat henkilötiedot ovat yksityisyyden ytimessä, Erityisten henkilötietojen käsittelystä on erikseen säädetty tietosuojalaissa. Opinnäytetöissä ei lähtökohtaisesti voi käsitellä erityisiä henkilötietoryhmiä. 

Erityisistä tai arkaluonteisista tiedoista ilmenee henkilön: 

  • rotu tai etninen alkuperä 
  • poliittisia mielipiteitä 
  • uskonnollinen tai filosofinen vakaumus 
  • ammattiliiton jäsenyys 
  • terveyttä ja sairautta tai sairauden hoitamista koskevia tietoja 
  • seksuaalinen suuntautuminen tai käyttäytyminen 
  • geneettisiä ja biometrisiä tietoja henkilön tunnistamista varten. 
  • erityisiksi henkilötiedoiksi lasketaan myös esimerkiksi päihdehuollon tai lastensuojelun asiakkuus tai henkilön rikostuomioihin liittyvät tiedot. 

2. Henkilötietojen käsittelyn kuvaaminen: rekisterinpitäjä, käsittelyn peruste, käsittelyn tarkoitus

Rekisterinpitäjä

Jos käsittelet opinnäytetyössä henkilötietoja, joku on aina niistä vastuussa.  Vastuutaho määrittelee ja ohjeistaa, mitä tarkoitusta varten henkilötietoja tarvitaan, miten niitä kerätään ja mitä tietoja ylipäätään tarvitaan kyseistä tarkoitusta varten. Tämä taho on rekisterinpitäjä, joka  voi joutua vastuuseen, jos tietosuojalainsäädäntöä on rikottu missä tahansa kehittämistyön vaiheessa.

Kuka on opinnäytetyösi rekisterinpitäjä?

  • Jos olet sopinut henkilötietojen keräämisestä opinnäytetyön toimeksiantajan kanssa, on kyseinen organisaatio rekisterinpitäjä.
  • Jos teet opinnäytetyön toimeksiantona Laurealle, rekisterinpitäjä on Laurea-ammattikorkeakoulu. 
  • Jos määrittelet henkilötietojen käsittelyn tarkoitukset sekä keinot niiden keräämiseksi opinnäytetyön osana, toimit rekisterinpitäjänä yhdessä Laurean kanssa.
  • Jos teet tutkimusta usean organisaation yhteistyönä, lisää kaikkien henkilötietojen keräämisestä vastaavien organisaatioiden tiedot. 
  • Jos (YAMK-opiskelijana) päätät itsenäisesti kerättävät henkilötiedot ja niiden käsittelyn tarkoituksen, olet yksin rekisterinpitäjä

Henkilötietojen käsittely on oikeutettua ainoastaan silloin, kun se on välttämätöntä nimettyä tarkoitusta varten ja henkilötietojen käsittelylle on olemassa käsittelyperuste.  Ennen henkilötietojen keräämisen aloittamista on käytävä vielä läpi opinnäytetyösuunnitelma ja mahdolliset tutkimuskysymykset ja varmistettava, että kaikki kerättävät tiedot ovat tarpeellisia opinnäytetyön tarkoituksen toteuttamiseksi. Huomaathan, että henkilötietojen käyttötarkoituksena ei voi olla "opinnäytetyö" vaan opinnäytetyösuunnitelmassa nimetyt tavoitteet, joihin päästään kyseisiä henkilötietoja keräämällä.

Käsittelyperuste 

Henkilötietojen käsittely edellyttää aina tietosuoja-asetuksen kuudennen artiklan mukaista käsittelyperustetta. 

Opinnäytetöiden aineistossa käsittelyperuste on usein rekisteröidyn suostumus.

Lue tarkemmin käsittelyn perusteita Tietosuojavaltuutetun sivuilta: 

 

3. Tietosuojailmoitus ja suostumukset

3. Tietosuojailmoitus ja suostumukset

Opinnäytetyöhön osallistuvalle on kerrottava selkeästi ja ymmärrettävästi opinnäytetyön tarkoituksesta sekä hänen osuudestaan siinä. Tutkimustiedotteen lisäksi osallistujan on saatava tieto siitä, miten hänen henkilötietojaan käsitellään opinnäytetyön aikana. Henkilötietojen käsittely kuvataan yleisimmin tietosuojailmoitukseen, jossa kerrotaan, miksi ja miten henkilötietoja käsitellään. Tässä yhteydessä kerrotaan myös, jos aineistoa on tarkoitus jatkokäyttää. Tärkeää on myös kuvata, miten henkilö voi käyttää oikeuksiaan omiin tietoihinsa liittyen, esimerkiksi mihin hän voi ottaa yhteyttä, jos haluaa tarkastaa, mitä tietoja hänestä on kerätty.

Hyödynnä tarvittaessa Laurean tutkimustiedotepohjaa ja käytä henkilötietojen informoimisen apuna  Laurean opinnäytetöiden tietosuojailmoituspohjaa, Pohjia voi muokata tarvittaessa muokata  kohderyhmän näköiseksi tai sähköiseen muotoon sopiviksi.

Suostumukset

Tietoon perustuvan osallistumissuostumuksen lisäksi henkilöltä on kysyttävä suostumus henkilötietojen käsittelyyn silloin kun henkilötietojen käsittely perustuu suostumukseen. Huomaathan, että näillä kahdella suostumuksella on eri merkitys. Jos opinnäytetyössä kerätään henkilötietoa suostumuksen perusteella, on henkilöllä oikeus pyytää suostumukseen perustuvien tietojensa poistamista.

Suostumukset on aina oltava todennettavissa ja annettu aidosti vapaaehtoisesti. Suostumuksesta kieltäytymisestä ei saa koitua haittaa tutkittavalle.

Hyödynnä tarvittaessa Laurean suostumuspohjaa.

4. Riskien ja vaikutusten arviointi

4. Riskien ja vaikutusten arviointi

Riippumatta siitä, minkälaisia henkilötietoja opinnäytetyössä kerätään, on hyvä arvioida henkilötietojen käsittelyyn liittyviä riskejä ja niihin liittyviä varotoimenpiteitä. Riskejä voi aiheutua esimerkiksi tilanteissa, joissa henkilötietoja katoaa vahingossa, niitä paljastuu sivullisille tai niitä käytetään luvattomasti opinnäytetyön aikana tai sen jälkeen. Tietojen paljastuminen tai väärinkäyttö voi aiheuttaa henkilölle mielipahaa tai häpeää, joskus jopa taloudellista vahinkoa tai turvallisuuden tunteen menettämistä. Riskeillä voi olla myös haitallisia vaikutuksia rekisterinpitäjään, jos selviää, että henkilön oikeuksia on rikottu tai tietosuojalainsäädäntöä ei ole noudatettu. 

Opinnäytetöissä ei pääsääntöisesti voi käsitellä suuririskisiä tietoja, kuten arkaluonteisia henkilötietoja, rikoksiin liittyviä tietoja tai haavoittuvaisten ryhmien henkilötietoja. Jossain tapauksissa, esimerkiksi  jos YAMK-opinnäytetyö toteutetaan osana hankeyhteistyötä, voi olla kuitenkin olla tilanne, että opiskelija käsittelee tällaisia tietoja. Näissä tapauksissa käsittelyn tarpeellisuus ja oikeasuhteisuus on arvioitava tarkasti, ja varmistettava, että kaikki tiedot ovat ehdottoman tarpeellisia tutkimuksen tavoitteiden kannalta, eikä vaihtoehtoisia tapoja käsitellä tietoja ole mahdollista toteuttaa. Samassa yhteydessä on dokumentoitava henkilötietojen käsittelystä aiheutuvat riskit ja toimenpiteet, joilla riskien vaikutukset minimoidaan arvioimalla riskin todennäköisyys ja vaikutuksen vakavuus ja priorisoimalla toimenpiteet riskiluvun mukaisesti. Tällaisissa tapauksissa myös eettinen ennakkoarviointi voi olla tarpeen.  Lue lisää eettisestä ennakkoarvioinnista.

 Lue lisää vaikutustenarvioinnista (Data Protection Impact Asssessment = DPIA) tietosuojavaltuutetun toimiston sivuilta

Laurea-kirjasto | Saavutettavuusseloste | Laurea Library | Accessibility statement