Usean korkeakoulun yhteistyössä tekemä Opinnäytetyön ohjaajan ja datakouluttajan tietosuojapaketti on nyt valmis. Paketti pitää sisällään keskeisimmät opinnäytetyön tietosuojakäytänteet, niihin liittyvän ohjeistuksen sekä aikajanan, missä vaiheessa opinnäytetyötä tietosuojaan liittyvät toimenpiteet tulevat vastaan. Lisäksi mukana on korkeakouluista kerättyjä usein kysyttyjä kysymyksiä. Tutustu ja ota käyttöön!
Opinnäytetyön ohjaajan ja datakouluttajan tietosuojapaketti on tehty yhteistyössä FinnARMAn alaisuudessa toimivassa Datakoulutukset-työryhmässä. FinnARMA-verkosto on korkeakoulujen perustama laaja-alainen yhteistyöverkosto, joka toimii tutkimushallinnon, tutkimuksen tuen ja tutkimuspalveluiden alueella. Datakoulutukset-työryhmän toimintaan osallistuu runsas 40 datakouluttajaa yliopistoista, ammattikorkeakouluista ja tutkimuslaitoksista. Työryhmän tehtävänä on suunnitella koulutuksia datan hallintaan: löydettävyyteen, säilytykseen ja avoimuuteen liittyen sekä toimia organisaatioiden datapalveluissa toimivien henkilöiden yhteistyöfoorumina.
Miksi opinnäytetyön tietosuojapakettia tarvitaan?
Opinnäytetyön aineiston tietosuojaa käsittelevässä oppaassa on koottu yhteen tietosuojakäytänteitä sekä niihin liittyviä usein kysyttyjä kysymyksiä ja ratkaisuja. Datatuessa työskentelevät ovat tunnistaneet tarpeen tällaiselle ohjeistukselle, koska opettajille suunnatut tietosuojaohjeet eivät aina huomioi yksityiskohtaisesti asioita, jotka tulevat esiin opinnäytetöitä ohjatessa.
Tutkimus- ja kehittämistoimintaan liittyvät tietosuoja- ja aineistonhallintakäytänteet ovat muuttuneet vuoden 2017 jälkeen, kun EU:n yleinen tietosuoja-asetus (GDPR) otettiin käyttöön ja asetusta alettiin soveltaa vuonna 2018. Tästä johtuen myös opinnäytetyön ohjaustarpeet ovat muuttuneet ratkaisevasti.
Yleinen tietosuoja-asetus nosti henkilötietojen käsittelyn käytänteet pakollisiksi, jos tutkimuksessa käsitellään henkilötietoja. Myös Tutkimuseettinen neuvottelukunta on nostanut henkilötietojen käsittelyn tärkeäksi osaksi hyvää tieteellistä käytäntöä (2023) ja ihmiseen kohdistuvan tutkimuksen eettisiä periaatteita (TENK 2019).
Korkeakouluissa tarjotaan opinnäytetyön aineistonhallintaan ja tietosuojakäytänteisiin erilaisia koulutuksia ja oppaita, mutta silti opinnäytetyöhön liittyvät kysymykset saattavat herättää opinnäytetyön ohjaajissa hämmennystä; eihän monenkaan ohjaajan omiin opintoihin kuulunut aikoinaan aineistonhallinnan ja tietosuojan teemoja eikä opinnäytetyön ohjaajien tietosuojaosaamista ole varmistettu. Lisäksi pelkästään tietosuojailmoituksen/tietosuojaselosteen termien sisäistäminen voi olla vaikeaa, koska käytetty sanasto on peräisin lainsäädännön terminologiasta ja tietoturvan teknisestä käsitteistöstä.
Tietosuojaosaaminen on välttämätön osa opinnäytetyötä, kun opiskelija käsittelee henkilötietoja opinnäytetyössään. Tietosuojalainsäädännön tarkoituksena on ennalta turvata henkilötietojen suojaamisen toteutuminen. Opinnäytetyötä suunnitellessa onkin pohdittava, kerätäänkö opinnäytetyössä henkilötietoja ja myös suunniteltava, miten niitä käsitellään.
Tietosuojan keskeisiä käsitteitä: henkilötieto, rekisteri, rekisterinpitäjä, tietosuojaseloste/tietosuojailmoitus ja henkilötietojen käsittelyn oikeusperuste
Henkilötiedon käsite on laaja, eikä henkilötietojen luonnetta ole rajattu tietosuoja-asetuksessa. Henkilötietoja ovat kaikki sellaiset tiedot, joiden perusteella henkilö on tunnistettavissa, kuten esimerkiksi ääni ja kuva. Myös auton rekisterinumero tai tietokoneen IP-osoite ovat useimmiten henkilötietoa. Tunnistaminen voi tapahtua suoraan tai epäsuorasti. Henkilöä ei välttämättä voi tunnistaa yksittäisestä epäsuorasta henkilötiedosta, esimerkiksi ammattinimikkeestä, mutta yhdistettynä muihin henkilötietoihin, kuten ikään tai sukupuoleen, henkilön tunnistaminen saattaa olla helppoakin. Henkilö voidaan tunnistaa myös hänelle tunnusomaisten ominaisuuksien tai elinolosuhteita kuvaavien tietojen perusteella.
Henkilötietorekisterillä tarkoitetaan mitä tahansa henkilötietoja sisältävää kokonaisuutta. Henkilötietorekisteristä laaditaan aina tietosuojailmoitus. Opinnäytetyön aineistonkeruun oheistuotoksena voi muodostua henkilötietorekisteri, vaikkei opinnäytetyön tutkimuksen kohteena olisikaan ihminen. Esimerkiksi rehupaalien digitaalisen seurantajärjestelmään tallentuu rehupaalin RFID-tunnisteen mukana henkilötietoa, koska RFID-tunniste sisältää tiedon peltolohkosta ja peltolohkon kautta RFID-tunnisteen tiedot on mahdollista yhdistää pellon omistajaan.
Se, millaisia henkilötietoja kerätään tai tuotetaan opinnäytetyössä, vaikuttaa siihen, missä, miten ja millä välineillä henkilötietoja voi kerätä, siirtää ja analysoida, sekä minne niitä voi tallentaa. Erityisten henkilötietojen (aikaisemmmin arkaluonteiset henkilötiedot) käsittelyltä edellytetään huomattavasti tiukempia suojatoimenpiteitä. Opinnäytetyössä onkin tärkeää pyrkiä välttämään tällaisten tietojen keräämistä, mikäli se on mahdollista.
Opinnäytetyössä opiskelija on tyypillisesti rekisterinpitäjä, mutta rekisterinpitäjyys on kuitenkin aina määriteltävä tapauskohtaisesti. Rekisterinpitäjänä opiskelija päättää, mitä henkilötietoja hän kerää ja miten hän niitä käsittelee opinnäytetyössään. Rekisterinpitäjänä opiskelija vastaa henkilötietojen lainmukaisuudesta ja on juridisessa vastuussa henkilötietojen käsittelyn tietosuojasta ja tietoturvallisuudesta. Rekisterinpitäjänä opiskelija vastaa rekisterinpitäjälle tietosuoja-asetuksessa asetetuista velvoitteista ja hänen on myös pystyttävä osoittamaan, että hän on noudattanut niitä.
Rekisterinpitäjän tehtäviin kuuluu tietosuojailmoituksen laatiminen osana tutkittavan informointia. Tietosuojailmoitus on tietosuoja-asetukseen perustuva dokumentti, jossa kerrotaan rekisteröidyille eli opinnäytetyötutkimukseen osallistuvalle henkilölle, miten hänen henkilötietojaan käsitellään opinnäytetyön aikana. Tietosuojailmoituksen on oltava selkeä ja riittävän kattava kuvaus. Tietosuojailmoitus tehdään aina, jos opinnäytetyössä käsitellään henkilötietoja. Tutkittavalla on oikeus tietää miten hänen henkilötietojaan tullaan käsittelemään opinnäytetyötutkimuksen aikana ja sen jälkeen. Tietosuojailmoituksessa kerrotaan tutkittaville muun muassa kuka on opinnäytetyössä rekisterinpitäjä, mitä henkilötietoja opinnäytetyössä käsitellään ja millä välineillä, kuinka kauan henkilötietoja säilytetään, ketkä käsittelevät henkilötietoja, siirretäänkö tai luovutetaanko henkilötietoja muille tahoille ja mitkä ovat tutkittavan oikeudet.
Tietosuojailmoituksessa tutkittavalle kerrotaan, mikä on se oikeusperuste, jolla henkilötietoja käsitellään opinnäytetyössä. Rekisteröidyn eli tutkimuksen kohteena olevan henkilön oikeudet, kuten esimerkiksi tietojen poistaminen ja unohdetuksi tuleminen, määräytyvät sen mukaisesti, mikä lain mukainen käsittelyperuste opinnäytetyöhön on valittu. Jos opinnäytetyön henkilötietojen käsittelyn oikeusperusteena on yleinen etu eli tieteellinen tutkimus, erillistä suostumusta henkilötietojen käsittelyyn ei tarvitse pyytää, mutta suostumus tutkimukseen osallistumiseen (=eettinen osallistumissuostumus) tarvitaan. Erityisten henkilötietojen käsittely kuitenkin edellyttää aina tutkittavalta saatavaa nimenomaista suostumusta.
Korkeakouluista kerättyjä usein kysyttyjä kysymyksiä:
- Mitä tarkoitetaan henkilötietojen käsittelijällä ja vastaanottajalla tietosuojailmoituksessa?
- Pitääkö noudattaa tietosuoja-asetusta, jos haastattelun anonymisoi heti?
- Voiko anonyymin datan avata, kun avaamisesta ja jatkokäytöstä ei ole informoitu tutkittavia?
Korkeakoulujen erilaiset käytänteet
Vaikka tietosuoja-asetus koskee kaikkia korkeakouluja, sitä voidaan tulkita eri tavoin. Vertailimme muutamien korkeakoulujen ohjeita ja havaitsimme joitakin eroavaisuuksia käytänteissä.
Korkeakouluilla on omat tietosuojaa ja tietoturvaa koskevat ohjeet, mutta opiskelija tarvitsee tukea niiden tulkitsemiseen oman opinnäytetyönsä kontekstissa. Opiskelijalle tulee vastaan uusia käsitteitä, joita hänen tulee viedä käytäntöön toimenpiteinä, joita tietosuoja-asetus edellyttää henkilötietojen käsittelyltä. Myös eettisten periaatteiden toteuttaminen, erityisesti ammattikorkeakoulujen työelämän kanssa yhteistyössä tehtävissä opinnäytetöissä, on vaativa tehtävä opiskelijalle. Harva opiskelija tietää, mitä käytännössä tarkoittaa tutkimus- ja kehittämistyössä hyvän tieteellisen käytännön ja ihmisiin kohdistuvan tutkimuksen tutkimuseettisten periaatteiden noudattaminen.
Rekisterinpitäjä
Opinnäytetyön rekisterinpitäjä on tyypillisesti opiskelija itse, kun kyseessä on opiskelijan itsenäisesti toteuttama työ. On myös yliopistoja ja ammattikorkeakouluja, joissa korkeakoulu ja opiskelija ovat yhdessä rekisterinpitäjiä. Tällöin korkeakoulu ja opiskelija ovat yhteisvastuussa henkilötietojen käsittelystä, vaikka opiskelija käsittelee henkilötietoja itsenäisesti.
Rekisterinpitäjyys määritellään usein kuitenkin tapauskohtaisesti. Korkeakoulu voi olla rekisterinpitäjänä, jos opiskelija on työsuhteessa korkeakouluun ja opinnäytetyön aineisto kerätään osana korkeakoulun tutkimus- tai TKI-hanketta. Yritys on rekisterinpitäjänä niissä yliopistojen opinnäytetöissä, jotka tehdään työsuhteessa yritykseen tai yrityksen toimeksiannosta. Ammattikorkeakouluissa on näissä tapauksissa enemmän vaihtelua, koska ammattikorkeakouluissa on tavoitteena, että kaikki opinnäytetyöt tehdään työelämän tai hankkeiden toimeksiantoina.
Riskien arviointi
Korkeakouluilla on erilaisia käytäntöjä siihen, miten rekisterinpitäjän tulee arvioida henkilötietojen käsittelyyn liittyvät riskit. Riskien arviointi tehdään tutkittavan näkökulmasta, ja niin, että se pitää sisällään myös toimenpiteet, joilla riskejä ei pääse syntymään. Useilla korkeakouluilla on käytössä riskien arviointia varten lomakepohja, jolla voi arvioida mahdollisen henkilötietojen käsittelyn loukkauksen tai haitan vakavuutta ja kuinka todennäköistä on riskien toteutuminen. Rekisterinpitäjällä on myös osoitusvelvollisuus riskiperusteisen lähestymistavan noudattamisesta.
Jos riskien arvioinnin perusteella rekisterinpitäjä tulee siihen tulokseen, että henkilötietojen käsittely voi aiheuttaa suuren riskin tutkittavan oikeuksille ja vapauksille, on tietosuoja-asetuksen mukaisesti tehtävä tietosuojaa koskeva vaikutustenarviointi. Kandidaatin töissä ja AMK-opinnäytetöissä ei pitäisi kuitenkaan käsitellä sellaisia henkilötietoja, joiden käsittely voisi aiheuttaa korkean riskin tutkittavalle.
Eettinen arviointi
Yliopistojen kandidaatintöiden ja ammattikorkeakoulujen AMK-opinnäytetöiden ei tulisi sisältää sellaisia teemoja, jotka vaativat eettistä ennakkoarviointia. Ohjaaja ja opinnäytetyön tekijä miettivät yhdessä eettiset asiat kuntoon niin, ettei eettistä lausuntoa tarvita. Yliopistojen eettiset toimikunnat eivät tyypillisesti ota perustutkintoon liittyviä lausuntopyyntöjä käsittelyyn, ellei opinnäytetyö ole osa isompaa tieteellistä tutkimushanketta. Niissä YAMK-opinnäytetöissä, jotka suunnitellaan toteutettavaksi tavalla, joka edellyttää eettistä ennakkoarviointia, opiskelija hakee lausuntopyyntöä eettiseltä toimikunnalta yhdessä ohjaajansa kanssa. Joissain ammattikorkeakouluissa ennakkoarviointi on mahdollista tehdä tarvittaessa edelleen myös AMK-töille.
Henkilötietojen käsittelyn oikeusperuste
Tietosuoja-asetuksessa on kuusi vaihtoehtoa, joiden perusteella henkilötietojen käsittely on mahdollista ja perusteltua. Näistä vaihtoehdoista henkilötietojen käsittelyn perusteeksi soveltuu opinnäytetyöhön joko rekisteröidyn suostumus tai yleiseen etuun perustuva tieteellinen tutkimus.
Tutkittavan antamaa suostumusta henkilötietojen käsittelyyn käytetään tyypillisesti tietosuoja-asetuksen oikeusperusteena opinnäytetyössä, jos se ei täytä tieteellisen tutkimuksen kriteereitä. Rajanveto opinnäytetyön ja tieteellisen itsenäisen tutkimuksen välillä voi olla häilyvä, koska opinnäytetyöt voivat olla paitsi eri tieteenaloilla erilaisia mutta myös saman tieteenalan sisällä eri tasoisia. Yliopistoissa suostumusta käytetään tyypillisesti alemmissa opinnäytetöissä sekä puhtaasti taiteellisissa tutkimuksissa.
Väitöskirjoissa henkilötietojen käsittely perustuu lähtökohtaisesti tieteelliseen tutkimukseen, mutta myös pro gradu -työt voivat täyttää tieteellisen tutkimuksen kriteerit. YAMK-opinnäytetöidenkin voidaan arvioida joissain tapauksissa täyttävän tieteellisen tutkimuksen kriteerit, jolloin käsittelyperusteena voi olla tieteellinen tutkimus. Tyypillisenä esimerkkinä tällaisesta on artikkelimuotoinen opinnäytetyö.
Eettinen osallistumissuostumus
Tutkimukseen osallistuvan suostumusta henkilötietojensa käsittelyyn ei pidä sekoittaa tutkittavan antamaan suostumukseen osallistua tutkimukseen (eettinen osallistumissuostumus). Eniten eroa korkeakoulujen välillä on siinä, pitääkö tutkittavalta pyytää suostumus henkilötietojen käsittelyyn ja suostumus osallistua tutkimukseen erikseen vai voiko molemmat suostumukset pyytää tutkittavalta samassa pyynnössä.
Aineistojen jatkokäytöstä ja avaamisesta informointi
Tutkittavia on informoitava henkilötietoja sisältävän aineiston jatkokäytöstä ja avaamisesta. Jatkokäytöstä ja arkistoinnista kerrotaan esimerkiksi saatekirjeessä ja tietosuojailmoituksessa. Korkeakoulujen välillä on erilaisia menettelytapaohjeistuksia siitä miten informointi toteutetaan, muun muassa siitä, pitääkö pyytää erikseen lupa henkilötietojen jatkokäyttöön. Oleellista on, että eri dokumenttien välillä ei ole ristiriitaisuuksia siitä, mitä aineistolle tapahtuu tutkimuksen päätyttyä. Eettisiin periaatteisiin kuuluu myös informoida tutkittavaa aineistojen mahdollisesta jatkokäytöstä tai avaamisesta, vaikka aineisto ei sisältäisikään henkilötietoja.
Miten käyttää tietosuojapakettia?
Tietosuojapaketin ensisijainen kohderyhmä on opinnäytetyöohjaajat, mutta tietosuojapaketista on hyvä kertoa omassa korkeakoulussa myös esimerkiksi koulutusten kehittämisestä vastaaville työryhmille, tietosuojavastaaville, juristeille ja data-asiantuntijoille.
Opinnäytetyön tietosuojapakettia voidaan levittää korkeakoulun omissa tiedotuskanavissa ja hyödyntää koulutusmateriaalina. Tietosuojapakettia voi käyttää sellaisenaan ja sitä voi vapaasti muokata omiin tarkoituksiin soveltuvaksi lisenssin mukaisesti. Yksityiskohtaisemmat ohjeet on tarkistettava kuitenkin aina oman korkeakoulun ohjeistuksesta. Materiaalia on jo hyödynnetty koulutusmateriaalina ja siitä on saatu hyvää palautetta.
Tietosuojapaketti sisältää korkeakoulujen datatukeen esitettyjä kysymyksiä ja niiden vastauksia. Tulevaisuudessa tietosuojapakettiin voidaan lisätä uusia esimerkkejä ja ohjeistuksia, jotta se pysyy ajantasaisena ja vastaa käytännön tarpeita. Siten tietosuojapaketti on joustava resurssi, joka auttaa ohjeistamaan korkeakoulujen opinnäytetöiden tietosuojaan liittyvissä monimutkaisissa kysymyksissä.
Kommentit