Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilötietoja ovat esimerkiksi nimi, osoite, sähköpostiosoite, puhelinnumero, IP-osoite ja valokuva.
Henkilötietoja voidaan kerätä ja käsitellä vain tietosuoja-asetuksessa määriteltyjen edellytysten mukaisesti ainoastaan tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten vastaisesti.
Tieteellisiä tutkimustarkoituksia (ml. TKI-toiminta) ei kuitenkaan katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa.
Tietosuoja-asetuksen mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista käsittelytarkoituksen kannalta. Henkilötietojen käsittelyä ovat kaikki ne toimet, jotka kohdistetaan henkilötietoihin. Henkilötietoja voidaan säilyttää sellaisessa muodossa, josta tutkittava on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
Käytännössä kannattaakin kerätä ainoastaan sellaisia henkilötietoja, jotka ovat oleellisia TKI-toiminnan kannalta (tietojen minimointi). Mieti siis aina etukäteen, onko henkilötieto tarpeellinen tieto vai voiko sen jättää kokonaan keräämättä.
Useinkaan tutkittavien nimiä tai yhteystietoja tms. ei tarvita enää aineiston analyysivaiheessa vaan ne kannattaa poistaa mahdollisimman nopeasti tutkimuksen edetessä. Yksittäiset tutkittavat voidaan erottaa toisistaan myös käyttämällä tunnisteita, esimerkiksi numerosarjaa (pseudonymisointi). On kuitenkin huomioitava, että seurantatutkimuksessa yhteystietoja tarvitaan myös myöhemmässä vaiheessa.
Mikäli keräät henkilötietoja, muodostuu niistä automaattisesti oma henkilörekisteri, josta tulee tehdä tietosuojaseloste. Tällöin on myös suunniteltava etukäteen henkilötietojen kerääminen, säilyttäminen, käsittely, mahdollinen luovuttaminen, poistaminen ja tuhoaminen sekä kuvattava nämä tietosuojaselosteeseen. (SeAMKin tietosuojaselosteen esitäytetty pohja löytyy SeAMK sharesta)
Henkilötietojen käsittelyyn liittyviä riskejä on arvioitava aina ennen kuin niitä ryhdytään käsittelemään. Riskianalyysin avulla tunnistetaan jo suunnitteluvaiheessa ne toimenpiteet, joihin on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi. Käytännössä pääsy henkilötietoihin täytyy aina rajata niihin henkilöihin, jotka tarvitsevat niitä tutkimuksen suorittamiseen.
Tietosuoja-asetuksen mukainen riskiarvio on tehtävä rekisteröidyn näkökulmasta eli rekisterinpitäjän on arvioitava
Tarkempia ohjeita riskiarvion tekemiseen löytyy Tietosuojavaltuutetun toimiston sivuilta.
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi tulee tehdä silloin, jos käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn oikeuksille ja vapauksille.
Yksityiskohtaisempia ja käytännönläheisiä esimerkkejä niistä tilanteista, joissa vaikutustenarviointi tulee tehdä tietosuoja-asetuksen mukaisesti löytyy Tietosuojavaltuutetun toimiston sivuilta.
Laurea-kirjasto | Saavutettavuusseloste | Laurea Library | Accessibility statement