kuva
Etusivu / Lapin ammattikorkeakoulu - Lapin AMK / Opiskelijalle / Oppaat ja ohjeet

Tietosuoja ja opinnäytetyö

Oletko aloittamassa tekemään opinnäytetyötä? Hieno homma! Joissain opinnäytetöissä tehdään kyselyitä, haastatteluita tai käsitellään muuten henkilötietoja. Ennen opinnäytetyön aloittamista tai heti alkuvaiheessa on hyvä pohtiamitä tämä tarkoittaa juuri sinun opinnäytetyösi kannalta.Tietosuojalainsäädännön tarkoituksena ei ole estää henkilötietojen käsittelyä vaan,luoda sille lailliset puitteet.Pitäähän meillä olla mahdollista tunnistaa luotettavasti muita ihmisiä. Jos vaikka haastattelet Oy Firma AB:n toimitusjohtajaa, niin tuleehansinun pystyä kertomaan hänen nimensä, jos tarkoitus on, että kuvaat nimenomaan kyseistä firmaa.

Keräät ja käsittelet henkilötietoja, jos tehtävä liittyy elossa oleviin ihmisiin (pääsääntö). Tietosuojasääntely koskee myös julkaistuja henkilötietoja, kuten verkosta kerättäviä henkilötietoja. Valmiiksi anonymisoitujen aineistojen käsittelyyn ei sovelleta tietosuojasäännöksiä. Tietosuoja-asetusta ei sovelleta myöskään vainajiin. On kuitenkin hyvä huomioida, ettävainajan henkilötiedot voivat viitata myös hänen elossa oleviin jälkeläisiinsä, jotka voivat tulla tunnistetuiksi, vaikka eivät olisikaan tutkimuksen kohteena.
1. Selvitä,sisältyykö tutkimustehtävääsi henkilötietojen käsittelyä
Henkilötieto määritellään EU:n yleisessä tietosuoja-asetuksessa (2016/679) seuraavasti: ”’Henkilötiedoilla’ tarkoitetaan kaikkiatunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja;tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaaerityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikkayhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen,kulttuurillisen tai sosiaalisen tekijän perusteella”.

Suoria tunnisteitaovat esim. nimi, henkilötunnus, valokuva, videokuva, ääni, nimenmukainen sähköpostiosoite ja perinteinen allekirjoitus. Henkilö voi tullaepäsuorastitunnistetuksi, jos hänestä on tiedossa riittävä määrä tunnisteita ja niiden avulla henkilö voidaan tunnistaa ilman kohtuutonta vaivaa, esim. tiedetään henkilön ammattinimike ja työpaikka tai asema (kaupunginhallituksen puheenjohtaja), jolloin henkilön tunnistaminen ei vaadi suurtakaan vaivaa.

Erityiset henkilötietoryhmät: Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä, mutta käsittelykieltoon on poikkeuksia, mm. tieteelliset tutkimustarkoitukset ja nimenomainen suostumus.

Henkilötietojen käsittelymääritellääntietosuoja-asetuksessa seuraavasti: ”’käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joitakohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattistatietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä,jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamistasiirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä,rajoittamista, poistamista tai tuhoamista”.

Esimerkki:Jos tekemässäsi kyselyssä tallennat vastaajan nimen tai tämä on muuten tunnistettavissa jälkikäteen, käsittelet henkilötietoja.

Henkilötietojen kerääminen voidaan toteuttaa useilla eri tavoilla: kyselylomakkeella, haastattelemalla, havainnoimalla, keräämällä henkilötietoja verkkopalveluista jne. Nimettömänäkin vastattavassa kyselytutkimuksessa käsitellään henkilötietoja, jos kerätyistä tiedoista voidaan tunnistaa vastaaja suoraan taikka välillisesti.Henkilö voi olla tunnistettavissa myös hänestä kerättävien taustatietojen perusteella (esim. ikä, sukupuoli, koulutus, asuinpaikka, ammattinimike, työpaikka).

Jos teet kyselynjaet etukäteen osaa sanoa,muodostuuko vastauksista henkilötietoja, niin kannattaa lähteä oletuksesta, että käsittelethenkilötietoja. Haastateltavan ääni, valokuva tai video ovat henkilötietoja. Jos teet nimettömänä vastattavan kyselytutkimuksen, käsitelethenkilötietoja, mikälikerätyistä tiedoista vastaaja voidaan tunnistaa suoraan taikka välillisesti. Pelkkien taustamuuttujien kerääminenkinvoi johtaa henkilön tunnistamiseen (esim. ikä, sukupuoli, asuinpaikka, ammattinimike, työpaikka). Tunnistettavuus ei edellytä, että suuren joukon pitäisi tunnistaa henkilö, riittää että henkilön lähipiiri tai tutkimusta tekevä voi hänet tunnistaa.Tilastollisen tutkimuksen periaatteissalähtökohtana on se, ettei alle viiden vastaajan ryhmiä käsitellä, joten jos saisitkin kyselyssäsi vastaajaksi sen ainokaisen 68 vuotiaan miespuoleisen kätilöopiskelijan, niin analyysissä sinun pitäisi häivyttää vastaajan tunnistamismahdollisuutta niin, että lopullisesta opinnäytetyöstä ei voida enää yksilöitä erottaa. Tämä kannattaa ilmoittaa myös jo etukäteen vastaajille.

Terveystietojaon monenlaisia, on hammaskarttaa, on geenitietoja ja muita, jotka yksilöivät henkilön yksiselitteisesti. Voi olla myös, että teet kyselyä siitä, miten jonkun sairaalan päivystys on toiminut jollain ajanjaksolla.Vaikka et kysyisikään vastaajalta mitään taustatietoja tai edes sitä miksi hän on päivystyksessä asioinut, niin pelkkä tieto, että hän on ollut päivystyksessä asiakkaana, on henkilötieto ja vieläpä sillä tavalla erityinen, että sinun on pidettävä tiedot erityisen huolellisesti salassa. Tällaisten tietojen käsittelystä kannattaa sopia paremmin toimeksiantajan kanssa ja keskustella ohjaajan kanssa.

Jos olet saanut opinnäytetyön toimeksiantajalta listanyhteystiedoista,niin voit käyttää niitä yhteydenottoihin. Ilmoita kuitenkin jo yhteyttä ottaessasi, mistä olet tiedot saanut. On myös hyvä sopia toimeksiantajan kanssa siitä, että hävität tiedot, kun et enää niitä tarvitse. Niitä saa jättää omaan sähköpostiin tai muuten omiin tiedostoihin.

Jos käytät yksittäisenhenkilönvalokuviaopinnäytetyössäsi,sovi hänen kanssaansiitä.Jos taas kuvaat jotain tapahtumaa ja kuvassa näkyy useita ihmisiä, on hyvä tilaisuudessa/tapahtumassa ilmoittaa, että siellä otetaan kuvia, jotka voidaan julkaista opinnäytetyössä. Kannattaa antaa osallistujille mahdollisuus vältellä kameraa. Lasten kuvaamisen suhteen kannattaa olla erityisen varovainen ja selvittää etukäteen tarvitsetko kuvaamiseen ja kuvien julkaisemiseen vanhempien suostumuksen.

Julkisesta aineistosta saatujen henkilötietojen käsittelyssäon oltava huolellinen. Julkista aineistoa ovat esim. oikeustapaukset. Tällöin kannattaa pohtia sitä, että vaikka jonkin henkilön tiedot olisivat jossain ihan julkisesti näkyvissä, onko perustetta sille, että sinä laittaisit ne sellaisenaan opinnäytteeseen. Jos kyse on jostain julkista tehtävää hoitavasta/hoitaneesta henkilöstä, voit sinäkin käyttää tietoja julkisesti, mutta jos esim. kyseessä on yksityinen henkilö, eikä erityisesti oletarpeen mainita hänen nimeään, niin kannattaa välttää tällaista. Esim. jos viittaat oikeustapaukseen, niin vaikka korkeimman oikeuden papereissa näkyisikin henkilön nimi, jonka asiaa on käsitelty, niin voit viitata tapaukseen ja henkilöön, esim. kirjaimella X.

Julkaisuihin voit edelleenkin viitatatekijän nimellä, eikä tämä vaadi erityistoimenpiteitä tietosuojan kannalta.

Vaikka et etukäteen tiedä, muodostuuko vastauksista henkilötietoja, kannattaa taustamuuttujia miettiessä valmistautua siihen. Mitä enemmän taustamuuttujia kysytään, sitä todennäköisempää on, että henkilötietoja muodostuu. Kysy vain ne taustamuuttujat, joita aidosti tarvitset.
2. Jos tutkimustehtäväsi sisältää henkilötietojen käsittelyä, selvitä oma roolisi ja velvollisuutesihenkilötietojen käsittelyssä
Rekisterinpitäjällä tarkoitetaan tahoa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä on siis se osapuoli, jonka tarkoitusta varten henkilötietoja käsitellään ja joka tekee henkilötietojen käsittelyä koskevat päätökset. Rekisterinpitäjällä on vastuu siitä, että käsittely tapahtuu oikein ja laillisesti rekisteröidyn oikeuksia kunnioittaen.

Rekisterinpitäjä voi olla opinnäytetyön tekijä, toimeksiantaja-tai yhteistyöorganisaatio, muu yhteistyötaho tai ammattikorkeakoulu. Jos rekisterinpitäjä on jokin muu kuin opiskelija, vastaavasti tällä on päävastuu henkilötietojen käsittelystä, mutta sinun tulee silti olla huolellinen ja noudattaa henkilötietojen käsittelylle asetettuja vaatimuksia opinnäytetyössäsi.

Henkilötietojen käsittelijällätarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällöin rekisterinpitäjänä on jokin muu taho ja henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Esim. markkinointipalveluja tarjoava taho voi olla henkilötietojen käsittelijä saadessaan rekisterinpitäjältä asiakkaiden nimi-ja yhteistietoja. Tällöin rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla kirjallinen sopimus henkilötietojen käsittelystä. Myös henkilötietojen käsittelijä on osaltaan vastuussa henkilötietojen käsittelystä, mutta vastuu on rajoitetumpaa.

3. Perehdy roolisi mukaisiin velvollisuuksiisi, joita tietosuoja-asetus sekä kansallinenlainsäädäntö määrittelevät

Mikäli käsittelet henkilötietoja, kerro siitä rekisteröidylle. Mistääntietyn muotoisesta informointivälineestä ei ole säädetty(esim. selosteesta), mutta pääsääntöisesti tiedot on annettava kirjallisesti. Sen avulla voit huolehtia rekisterinpitäjän osoitusvelvollisuudesta, joka on keskeinen periaate tietosuoja-asetuksessa ja tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Laatimasi tietosuojaseloste jää sinulle itsellesi ja voit tarvittaessa sen avullaosoittaa, että olet noudattanut tietosuojalainsäädäntöä. Halutessasi voit liittää sen opinnäytetyösi liitteeksi. Koskaselosteei toimi ko.yhteydessä informoinninvälineenä,voit poistaa siitäyhteystietosi jajättäänäkyviin vain nimesi.

Tietosuojaseloste voi toimia myös pohjana tutkittaville annettavan informaation laatimiseen. Voit käyttäämyösapuna lomaketta, jolla tiedotat tutkimukseen osallistuvaa tutkintoosi liittyvästä opinnäytetyöstä. Siinä voit kertoa tarkemmin opinnäytetyöstäsi sekä keskeisistä tietosuojaa koskevista asioista. Huomioithan, että henkilötietojen käsittely on oikeutettua ainoastaan silloin, kun se on välttämätöntä opinnäytetyöllesi. Älä kerää tietoja vain varmuuden vuoksi, vaan vainniitä tietoja, jotka ovat tarpeellisiaopinnäytetyössäsi(käyttötarkoitus).

Henkilötietojen käsittelylle pitää aina olla laillinen käsittelyperusteja se on määritettävä ennen käsittelyn aloittamista. Perustetta ei voi vaihtaa toiseen enää myöhemmin. Käsittelyperuste vaikuttaa siihen, mitä oikeuksia tutkittavilla on suhteessa rekisterinpitäjää.

Tieteellisessä tutkimuksessa oikeudellinen käsittelyperuste on yleensäyleinen etu(käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi,tässä yhteydessätieteellisen tutkimuksen tekemiseksi).Seonmyös opinnäytetyöhön sopiva käsittelyperuste, mutta yleensä AMKin perustutkintoihin liittyvä opinnäytetyö ei täytä tieteellisen tutkimuksen kriteereitä. Tällöin perusteena tulee käyttää esimerkiksi tutkittavan suostumusta.

Sinun tuleepyytää suostumus tutkimukseen osallistumisestakaikilta, joilta tietoa kerätään. Osallistumissuostumuksen voi pyytää kirjallisesti, suullisesti haastattelun alussa tai kyselyssä rastitettavanakohtana.

Huom. Tutkimuksessa voi olla kahdenlaisia suostumuksia:

  1. Suostumus henkilötietojen käsittelyyn (käsittelyn oikeusperuste.
  2. Eettinen osallistumissuostumus (käsittelyn oikeusperuste ei ole tutkittavan suostumus)

Huomaathan, että mikäli suostumus on tutkimuksesikäsittelyperusteena, niin myös siihen on pyydettävä suostumus esim. suostumuslomakkeella kirjallisesti tai sähköisesti tavalla, jolla tutkimukseen osallistuva ymmärtää riittävän tarkasti, mihin hän suostuu. Mikäli tutkittava peruuttaa antamansa suostumuksen, tarkoittaa tämä työn kannalta sitä, että tunnistettavissa olevat tiedot on poistettava, mikäli suostumus on ainoa käsittelyperuste.

Valmiiseen opinnäytetyöhön ei tule sisällyttää aiheetta henkilötietoja. Aineisto tulee anonymisoida tai pseudonymisoida.

Anonymisointitarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tiedoista voidaan poistaa henkilötiedot ja yksittäistä henkilöä koskevat tiedot ole enää tunnistettavassa muodossa. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi.

Pseudonymisointitarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Vaikka tiedot olisivatkin pseudonymisoitu, niiden avulla yksilö voidaan edelleentunnistaa yhdistämällä lisätiedot. Pseudonymisoidut tiedot ovat yhä henkilötietoja, ja niiden käsittelyssä on sovellettava tietosuojasäännöksiä.

Huolehdithan tietoturvasta. Tallenna aineisto turvalliseen paikkaanja huolehdi sen riittävästä suojauksesta. Mikäli henkilötietoja häviää tai joutuu sivullisten saataville, kyseessä on henkilötietojen tietoturvaloukkaus. Jos epäilet, että näin on käynyt, niin ilmoita siitä välittömästi rekisterinpitäjälletai tietosuoja@lapinamk.fisaadaksesi lisäohjeita.Sinulla on salassapitovelvollisuustutkittavalta saamistasi luottamuksellisista henkilötiedoistaetkä voi keskustella niistä sivullisten kanssa. Poikkeuksena on opinnäytetyön ohjaaja, jonka kanssavoittarvittaessakäydä aineistoaläpi, koska hän ei oleopinnäytetyöhösi nähden ulkopuolinen.

Henkilötiedon elinkaaresta huolehtiminen on erityisen tärkeää. Tutkimuksen jälkeen henkilötietoja sisältäväätutkimusaineistoaei saa tarpeettomasti säilyttäävaan se tuleehävittää (pääsääntö) tietoturvallisella tavalla.Kirjallista henkilötietoja sisältävää aineistoa ei saa laittaa paperinkeräykseentai roskakoriin.AMKillaon lukollisia tietoturvaroska-astioita, joihinvoit jättääko.aineiston. Verkkolevylle tai Webropoliin tallennetut tiedostot tulee poistaa ja muu aineisto hävittää tietoturvallisesti.

 

4. Lähde toteuttamaan tutkimustasi
Hyödynnä alla olevia linkkejäja muita tutkimuksen tekemiseen liittyvä ohjeita.Noudata myös Lapin AMKin opinnäytetyön ohjeita. Huomioithan, että Lapin AMKon sitoutunut noudattamaan ”Ihmiseenkohdistuvan tutkimuksen eettiset periaatteet ja ihmistieteiden eettinen ennakkoarviointi Suomessa” ohjetta. Ohje on Tutkimuseettisen neuvottelukunnan julkaisu 3/2019.

Lapin AMKin tietosuojavastaavan yhteystiedot


Lapin ammattikorkeakoulu, Pirjo Kärki-Koskinen, Jokiväylä11,96300 Rovaniemi, puh. +358(0)40510 0365, sähköposti tietosuoja@lapinamk.fi

Hyödyllisiä linkkejä

Henkilötietojen käsittelystä säädetään tietosuojalainsäädännössä

Myös muussa lainsäädännössä voi olla säännöksiä henkilötietojen käsittelystä (erityislainsäädäntö).

Tietosuojatyökaluja tutkijalle, Vastuullinen tiede, 3.5.2019 Raisa Leivonen https://vastuullinentiede.fi/fi/tutkimustyo/tietosuojatyokaluja-tutkijalle

Tietosuojavaltuutetun www-sivusto https://tietosuoja.fi/etusivu

Tutkimuseettisen neuvottelukunnan julkaisu 3/2019Ihmiseen kohdistuvan tutkimuksen eettiset periaatteet ja ihmistieteiden eettinen ennakkoarviointi Suomessa https://www.tenk.fi/sites/tenk.fi/files/Ihmistieteiden_eettisen_ennakkoarvioinnin_ohje_2019.pdf?_ga=2.97237471.1570266419.1600083979-1961579044.1599830313

Lapin AMKin ohjeet ja oppaat https://www.lapinamk.fi/fi/Opiskelijalle/Oppaat-ja-ohjeet

Lapin AMKin tietosuojasivut https://www.lapinamk.fi/fi/Esittely/Tietosuoja