Opiskelijan tietosuojaohjeet

Opiskelijan tietosuojaohjeet

Käsitteletkö opinnäytetyössä tai osana muuta opintosuoritusta henkilötietoja?

Henkilötietojen käsittelyä säännellään tietosuojalainsäädännössä. Pääsääntöisesti opinnäytteen tekijä kerää ja käsittelee henkilötietoja, jos opinnäyte tai muu opintotehtävä liittyy elossa oleviin ihmisiin.

Valmiiksi anonymisoitujen aineistojen käsittelyyn, joita saa esim. Tietoarkistosta ei sovelleta tietosuojasäännöksiä.

Aineistonhallinnan peruskoulutus on tärkeä kaikille henkilötietoja käsitteleville perustutkinto-opiskelijoille.

Peukalosääntö on, jos keräät tietoja ihmiseltä tai ihmisestä, käsittelet todennäköisesti henkilötietoja.

Tietosuojalainsäädäntöä ei sovelleta kuolleiden henkilöiden henkilötietojen käsittelyyn, eikä tilanteisiin, joissa ei kerätä henkilötietoja (henkilöä ei voida suoraan tai välillisesti tunnistaa kerätystä aineistosta eli käytetään esimerkiksi valmiiksi anonymisoitua aineistoa). Kirjoitettaessa kuolleista yksityisistä henkilöistä, on kuitenkin syytä pyrkiä, vainajan muistoa kunnioittavaan ilmaisuun.

Opiskelija voi kerätä henkilötietoja useilla eri tavoilla esimerkiksi

kyselylomakkeella (Webropol)
haastattelemalla
havainnoimalla
verkosta

On hyvä huomata, että haastateltavan ääni, valokuva ja video ovat henkilötietoa. Nimettömänäkin vastattavassa kyselytutkimuksessa kerätään henkilötietoja, jos kerätyistä tiedoista voidaan tunnistaa vastaaja suoraan taikka välillisesti.

Pelkkien taustamuuttujien kerääminen voi johtaa henkilön tunnistamiseen (esim. lempinimi, ikä, sukupuoli, asuinpaikka). Tunnistettavuus ei edellytä, että suuren joukon pitäisi tunnistaa henkilö, riittää että henkilön lähipiiri tunnistaa hänet.

Tutustu tarkasti henkilötiedon laajaan käsitteeseen Tietoarkiston sivulta.

Käy ohjaajasi kanssa lävitse opinnäytteen tutkimussuunnitelma, se millaisia henkilötietoja keräät ja miten tutkittavia informoit. Mieti aina onko henkilötietojen käsittely tarpeellista ja pysytkö käsittelemään niitä tietoturvallisesti.

Erityiset henkilötietoryhmät

Erityisten henkilötietoryhmien käsittely edellyttää rekisteröidyn nimenomaista suostumusta tai sitä, että tutkimusta voidaan pitää tieteellisenä tutkimuksena.

Kun henkilötietojen käsittely perustuu suostumukseen, suostumus on pätevä vain jos se on

vapaaehtoinen
tietoinen
annettu tiettyyn tarkoitukseen
nimenomainen ja se annetaan selkeästi suostumusta ilmaisevalla (aktiivisella) toimella (esimerkiksi henkilö rastittaa ruudun verkossa tai allekirjoittaa lomakkeen)
suostumus on mahdollista peruuttaa ja tämä tosiasia on kerrottu (peruuttamisesta seuraa henkilötietojen poistovelvoite).

Erityisiä henkilötietoryhmiä ovat

rotu tai etninen alkuperä
poliittiset mielipiteet
uskonnollinen tai filosofinen vakaumus
ammattiliiton jäsenyys
terveyttä koskevat tiedot (terveys käsitettä tulkitaan laajasti)
seksuaalinen suuntautuminen tai käyttäytyminen
geneettiset tai biometriset tiedot henkilön tunnistamista varten.

Opiskelijan on syytä ensisijaisesti välttää erityisten henkilötietoryhmien käsittelyä. Jos niitä on välttämätöntä käsitellä sinun tulee arvioida mahdollisuutesi käsitellä niitä tietoturvallisesti sekä hankkia käsittelyyn pätevä suostumus.

1. Määrittele mitä henkilötietoja käsittelet osana opinnäytettä tai muuta opintosuoritusta, mikä on käsittelyn tarkoitus ja miten niitä käsittelet (esim. tutkimussuunnitelmassa).

Muista minimointiperiaate (ylimääräisiä/tarpeettomia tietoja ei saa kerätä)
Muista käyttötarkoitussidonnaisuus (tietoja voi käyttää vain kuvattuun tarkoitukseen)

2. Tunnista rekisterinpitäjä. Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Yleensä yliopisto ei määrittele opiskelijan tekemän tutkimuksen tai opintosuorituksen tarkoitusta ja keinoja. Poikkeuksena tähän voi olla tilanne, jossa yliopisto edellyttää, että käsittelet henkilötietoja. Tällöin kyse on yhteisrekisterinpitäjyydestä yliopiston kanssa. Teet kuitenkin yleensä päätöksen henkilötietojen käsittelystä itse.

Peukalosääntö: Jos tutkimusta ei tehdä työsuhteessa Jyväskylän yliopistoon tai osana yliopiston täydentävän rahoituksen hanketta toimit itse tutkimusrekisterin rekisterinpitäjänä. Tämä koskee myös itsenäisesti tehtäviä muita opintosuorituksia, joissa käsitellään henkilötietoja.

Jos teet opinnäytteen osana Jyväskylän yliopiston tutkimushanketta, sen aineistosta, rekisterinpitäjä on yleensä sama taho, joka muutoinkin vastaa tutkimusainestosta eli Jyväskylän yliopisto.

Jos teet opinnäytteetn yrityksen tai muun organisaation toimeksiannosta tilaaja voi olla rekisterinpitäjä (tai yhteisrekisterinpitäjä), jos se määrittelee käsittelyn tarkoituksen ja keinot. On tärkeää, että selvität asian etukäteen, jotta tiedät, minkä tahon ohjeita noudatat.

Rekisterinpitäjän määrittelyssä seuraavat kysymykset voivat auttaa:

Kuka päättää miksi tietoja käsitellään (opinnäytetyön tai opintosuorituksen tavoite) ja mihin ennakoituun tulokseen pyritään?
Kuka päättää ne keinot, joita käytetään eli miten henkilötietoja käsitellään?
Millaisia toimintatapoja käytetään tuloksen saavuttamiseksi?
Kuka päättää millä välineillä henkilötietoja käsitellään (esim. oma tietokone, koti, työpaikka) ja kuinka tiedot suojataan (tietoturva)?
Kuka päättää mitä tietoja käsitellään ja kenellä on pääsy tietoihin?
Kuka päättää kuinka kauan tietoja käsitellään?
Miltä tilanne näyttää tutkittavan näkökulmasta (miten vastuut esitetään tutkittavalle)?

Kysymysluettelon lähde: Tietosuoja-asetus ja tieteellinen tutkimus – mikä muuttuu? Tietosuoja tutkijan arjessa-seminaari 16.5.2018 (tietosuojavaltuutetun toimisto ylitarkastaja).

Yhteisrekisterinpitäjyys on mahdollinen, jos edellä kerrotut asiat määritellään yhdessä yliopiston (ohjaaja) kanssa.

3. Informoi henkilötietojen käsittelystä tietosuojalainsäädännön edellyttämällä tavalla (tiedote, tietosuojailmoitus ja suostumus osallistua tai suostumus henkilötietojen käsittelyyn). Joskus voi olla tarpeen hakea myös tutkimuslupaa, jos kyse on esim. Kelan rekisteritiedoista tai työntekijä käyttää työaikaa tutkimukseen osallistumiseen.

4. Varmista, ettei tietoja siirry EU/ETA-alueen ulkopuolelle. Tällaisia siirtoja on rajoitettu. Jos käytät esim. pilvitallennusta omalla koneellasi tiedot voivat siirtyä EU/ETA alueen ulkopuolelle ja tämä on kielletty ilman lainsäädännön asettamia suojatoimia.

5. Arvioi yhdessä ohjaajan kanssa eettisen ennakkoarvion tarve (opinnäytetyö).

6. Jos sinulla on kysyttävää henkilötietojen käsittelystä ole yhdessä ohjaajan kanssa yhteydessä tietosuoja@jyu.fi (ohjaaja vähintään cc:nä)

Opinnäytetyöt, jotka voidaan katsoa tieteelliseksi tutkimukseksi

Henkilötietojen käsittelylle tulee aina löytyä oikeusperuste. Tieteellisessä tutkimuksessa oikeudellinen käsittelyperuste on yleensä aina yleinen etu. Jos opinnäytteen suunnitelma täyttää tutkimusalalle asetetut tieteellisyyden kriteerit käsittelyn oikeudellinen peruste voi olla yleinen etu, eikä sinun tarvitse käyttää esimerkiksi tutkittavan suostumusta tai oikeutettua etua. Kaikilta, joilta tietoa kerätään suoraan, tarvitset aina myös suostumuksen osallistua tutkimukseen, vaikka kyse olisi tieteellisestä tutkimuksesta (se on eri asia kuin käsittelyn oikeudellinen peruste). Jos teet tutkimusta osana yliopiston hanketta tieteellisyyden kriteeri yleensä täyttyy. Kaikissa muissa tilanteissa tarvitset ohjaajasi luvan käyttää käsittelyperuteena yleistä etua. Mallipohjat löytyvät kohdasta rekisteröidyn informointi.

Opinnäytetyöt, joita ei voida pitää tieteellisenä tutkimuksena

Jos opinnäytetyötä ei voida katsoa tieteelliseksi tutkimukseksi sinun tulee käyttää käsittelyperusteena tutkittavan suostumusta/nimenomaista suostumusta tai oikeutettua etua. Jos käytät oikeutettua etua käsitteyperusteena sinun tulee tehdä tasapainotesti: Oikeutettu etu voi soveltua tilanteeseen, jossa aineisto kerätään muualta kuin suoraan rekisteröidyltä.

Muut opintosuoritukset, joiden osana käsitellään henkilötietoa

Tarvitset ensisijaisesti osallistujan suostumuksen/nimenomaisen suostumuksen henkilötietojen käsittelyyn. Jos käytät oikeutettua etua käsitteyperusteena sinun tulee tehdä tasapainotesti: . Oikeutettu etu voi soveltua tilanteeseen, jossa aineisto kerätään muualta kuin suoraan rekisteröidyltä.

Muiden henkilötietoja sisältävää aineistoa ei saa tallentaa tai käsitellä kuluttajapilvipalveluissa, kuten Dropboxissa, Google Docsissa/Formsissa, iCloudissa tai vastaavissa. Käytä sen sijaan yliopiston tarjoamia työkaluja, kuten Office 365 (perushenkilötiedon tallennukseen), Funet Miitti Zoom (haastatteluihin) ja Webropol tai RedCap (sähköisiin kyselyihin). Tarkemmin näet, mitä saa tallentaa ja minne salassapitotaulukosta:

Kun olet itsenäinen rekisterinpitäjä sinulla voi olla velvollisuus tehdä ilmoitus myös valvontaviranomaiselle ja tietyissä tilanteissa rekisteröidylle:

Henkilötietojen käsittelyyn liittyy aina riskejä, mitä arkaluontoisempia käsiteltävät tiedot ovat, sitä paremmin ne pitää pysytä suojaamaan.

Poikkeama on kyseessä yleensä myös silloin, jos tiedon tallennusvälinen katoaa tai varastetaan (kuten puhelin tai tietokone) taikka tiedot päätyvät palveluun, jossa niitä ei pitäisi ylipäätään käsitellä.

Oman koneen tietoturva.

Riskien minimoimiseksi kannattaa kerätä ja käsitellä ainoastaan sellaisia henkilötietoja, joiden tietoturvallisesta käsittelystä pystyt huolehtimaan.

Huomaathan myös, että et voi keskustella tutkittavalta saamistasi luottamuksellisista henkilötiedoista ulkopuolisten kanssa. Salassapitovelvollisuuteen kuuluvat kielto näyttää tai luovuttaa asiakirjaa sivulliselle (asiakirjasalaisuus), kielto paljastaa salassa pidettävän asiakirjan sisältöä ja tallentamaton tieto, joka asiakirjaan merkittynä olisi salassa pidettävä (vaitiolovelvollisuus) sekä kielto käyttää salassa pidettävää tietoa omaksi tai toisen hyödyksi tai vahingoksi (hyväksikäyttökielto). Opinnäytetyön ohjaajasi kanssa voit tarvittaessa läpikäydä aineistoa, koska hän ei ole opinnäytteeseesi nähden ulkopuolinen ja nimeät hänet tietosuojailmoituksessa. Huomaathan kuitenkin, että jos olet määritellyt itsesi rekisterinpitäjäksi aineiston luovuttaminen yliopistolle toiseen tarkoitukseen, ei yleensä ole mahdollista.

Kun opinnäyte julkaistaan yliopiston sinun tulee varmistaa, että et vahingossa julkaise henkilötietoja eli tietoja, joista tutkittavan voi tunnistaa suoraan taikka välillisesti.

Tutkimuksen jälkeen henkilötietoja sisältävä tutkimusaineisto tai muu aineisto on pääsääntöisesti hävitettävä tietoturvallisella tavalla, ettei aineisto päädy ulkopuolisten käsiin. Kirjallista aineistoa ei saa heittää paperinkeräykseen! Yliopistolla on lukollisia tietoturvaroskalaatikoita, joihin kirjallisen aineiston voi toimittaa (esim. kirjaamossa). Verkkolevylle tai Webropoliin tallennetut tiedostot sekä muut tallenteet tulee poistaa ja muu aineisto hävittää tietoturvallisesti. Tämä henkilötiedon elinkaaresta huolehtiminen on erityisen tärkeää. Henkilötietojen käsittelyllä on alku ja loppu.

Joskus aineisto voidaan tallentaa tutkimuksen päätyttyä esim. Tietoarkistoon anonymisoituna tai Kielipankkiin.

Ģ��ֱ��

Opiskelijan tietosuojaohjeet

Käsitteletkö opinnäytetyössä tai osana muuta opintosuoritusta henkilötietoja?

Milloin tietosuojalainsäädäntöä ei sovelleta henkilötietojen käsittelyyn?

Käsitteletkö opinnäytetyössä tai osana muuta opintosuoritusta henkilötietoja?

Toimintaohje henkilötiedon käsittelyyn

Henkilötietojen käsittelyn oikeusperuste ja suostumuksen pyytäminen

Mallilomakkeet informointiin (tietosuojailmoitus, tiedote, suostumuslomake)

Tietoturvallinen henkilötietojen käsittely

Opinnäytetyö tai opintosuoritus on valmis mitä tapahtuu aineistolle?

Koulutusta aineistonhallintaan