Tietosuoja opinnäytetöissä
Ammattikorkeakoulun opiskelijana saatat käsitellä opinnäytetyössäsi henkilötietoja. Tämä ohje auttaa sinua huomioimaan tietosuojalainsäädännön vaikutukset opinnäytetyöhön ja sen toteutukseen.
Voit käyttää tätä ohjetta myös silloin, jos käsittelet henkilötietoja osana muuta opintosuoritustasi, esim. harjoitus/projektityötä, jota varten keräät henkilötietoja.
Henkilötietojen käsittelystä säädetään tietosuojalainsäädännössä:
- EU:n yleinen tietosuoja-asetus GDPR (EU2016/679)
- Tietosuojalaki (1050/2018) sekä
- Eri alojen erityislainsäädäntö
Tutustu VAMKin tietosuojapolitiikkaan Tietosuojapolitiikka – VAMK
- Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä.
- Henkilötietoja ovat kaikki tiedot, joiden perusteella henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötietoja ovat esimerkiksi nimi, osoite, henkilötunnus, sähköpostiosoite tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain henkilöstä. Myös videot, valokuvat tai äänitallenteet ovat henkilötietoja, mikäli henkilö on niistä tunnistettavissa.
- Erityisistä (nk. arkaluonteisista) henkilötiedoista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen sekä geneettiset ja biometriset tiedot.
- Henkilötietojen käsittelyä ovat kaikki toimet, jotka kohdistetaan henkilötietoihin, esimerkiksi henkilötietojen kerääminen, tallentaminen, säilyttäminen, muokkaaminen, haku, yhdistäminen sekä tietojen luovuttaminen ja tuhoaminen. Henkilötietojen käsittelylle pitää olla aina tietosuojalainsäädännön mukainen käsittelyperuste. Jos perustetta ei ole, ei henkilötietoja saa käsitellä. Voit käsitellä vain käsittelyn tarkoituksen kannalta tarpeellisia tietoja.
Henkilötietojen käsittelylle täytyy olla aina laillinen käsittelyperuste. Henkilötietojen käsittely on oikeutettua ainoastaan silloin, kun se on opinnäytetyön tekemiseen välttämätöntä. Sovi henkilötietojen käsittelystä opinnäytetyön vastuullisen ohjaajan kanssa tai muun opintosuorituksen kohdalla opettajasi kanssa ennen henkilötietojen käsittelyn (kuten keräämisen) aloittamista. Keskustele ohjaajan kanssa tarvitsetko tutkimusluvan.
Laadi suunnitelma henkilötietojen käsittelystä tarkkaan ja mahdollisimman aikaisessa vaiheessa. Henkilötietojen käsittely on kuvattava tutkimussuunnitelmassa.
Kun käsittelet henkilötietoja, sinun on kerrottava siitä tutkimukseen osallistuville (eli rekisteröidylle). Mistään tietyn muotoisesta informointivälineestä ei ole säädetty (esim. selosteesta), mutta pääsääntöisesti tiedot on annettava kirjallisesti. Sen avulla voit huolehtia osoitusvelvollisuudesta, joka on keskeinen periaate tietosuoja-asetuksessa ja tarkoittaa sitä, että rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Laatimasi tietosuojaseloste jää sinulle itsellesi ja voit tarvittaessa sen avulla osoittaa, että olet noudattanut tietosuojalainsäädäntöä.
Tietosuojaseloste voi toimia myös pohjana tutkittaville annettavan informaation laatimiseen, voit käyttää pohjana oheista mallia: Esimerkki_Opinnäytetyön tietosuojaseloste_VAMK Voit käyttää apuna myös erillistä saatekirjettä, jolla tiedotat tutkimukseen osallistuvaa tutkintoosi liittyvästä opinnäytetyöstä. Siinä voit kertoa tarkemmin opinnäytetyöstäsi sekä keskeisistä tietosuojaa koskevista asioista. Verkkokyselyissä voit tehdä kyselyn yhteyteen erillisen johdantokappaleen, jossa kerrotaan yleistiedot tutkimuksesta sekä tarkemmin henkilötietojen käsittelystä.
Tutkimuslupaa tarvitaan, mikäli opinnäytetyö kohdistuu jonkin organisaation henkilöstöön, opiskelijoihin tai muihin sidosryhmiin. Selvitä kyseisestä organisaatiosta heidän tutkimuslupakäytänteensä. Organisaatioilla voi olla omat tutkimuslupahakemuksensa ja niihin liittyvät toimintatavat. Jos teet opinnäytetyötä toimeksiantosopimuksena ja opinnäytetyössä käsitellään henkilötietoja, selvitä toimeksiantajalta heidän tutkimuslupakäytänteensä.
Tee tutkimuslupahakemus yhteistyössä ohjaajan kanssa, apua voitte pyytää VAMKin tietosuojavastaavalta.
Huomaa myös, että tutkimuslupakäytäntö on erilainen eri aloilla. Etenkin sosiaali- ja terveysalalla tutkimuksen suunnittelussa ja luvan hankinnassa tulee kiinnittää erityistä huomiota tutkimuksen eettisyyteen. Lisätietoja: https://tenk.fi/fi/eettinen-ennakkoarviointi
Organisaatiolta hankittavan tutkimusluvan lisäksi olet vastuussa suostumuksen hankkimisesta opinnäytetyöhön osallistuvilta henkilöiltä. Eli vaikka kohdeorganisaatio myöntää tutkimusluvan, niin osallistumisesta tutkimukseen (esim. haastatteluun tai kyselyyn) kukin tutkittava päättää itse ja antaa suostumuksensa henkilökohtaisesti. Osallistumissuostumuksen voit pyytää esim. kirjallisesti, suullisesti haastattelun alussa tai kyselyssä rastitettavana kohtana.
VAMKin henkilöstöön tai opiskelijoihin kohdistuvien tutkimusten tutkimuslupakäytänteestä voit lukea lisää täältä: Tutkimuslupa – VAMK
Rekisterinpitäjällä tarkoitetaan tahoa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä on siis se osapuoli, jonka tarkoitusta varten henkilötietoja käsitellään ja joka tekee henkilötietojen käsittelyä koskevat päätökset. Rekisterinpitäjällä on vastuu siitä, että käsittely tapahtuu oikein ja laillisesti rekisteröidyn oikeuksia kunnioittaen.
Kun kyse on itsenäisesti suoritettavasta opinnäytetyöstä, opiskelijana toimit itse keräämiesi henkilötietojen osalta rekisterinpitäjänä. Tämä tarkoittaa, että vastaat tutkimuksen tekijänä henkilötietojen käsittelyn lainmukaisuudesta ja asianmukaisuudesta. Sinun on suunniteltava etukäteen henkilötietojen kerääminen, säilyttäminen, käsittely, mahdollinen luovuttaminen, poistaminen ja tuhoaminen.
Toimeksiantotutkimuksissa (tyypillisesti joku työelämän organisaatio/yritys) tilaaja voi määritellä henkilötietojen käsittelyn tarkoitukset ja keinot, jolloin se voi olla rekisterinpitäjä. Tällöin sinun tulee noudattaa tilaajan antamia tietosuoja- ja tietoturvaohjeita. Mikäli teet opinnäytetyön VAMKin johtamassa tutkimusprojektissa, niin silloin VAMK toimii rekisterinpitäjänä.
Jos suoritat työn yhdessä toisen opiskelijan kanssa tai jonkun muun tahon kanssa ja määrittelette yhdessä henkilötietojen käsittelyn tavoitteet ja keinot, kyse on silloin yhteisrekisterinpitäjyydestä.
Käsittelyn tarkoitus tarkoittaa sitä, että henkilötiedot kerätään vain tiettyä käyttötarkoitusta varten. Tässä tapauksessa käyttötarkoitus on opinnäytetyön tekeminen. Huomioi, että tietosuojalainsäädäntö tarkentaa sitä, että voit käyttää tietoja vain kuvaamaasi tarkoitukseen (käyttötarkoitussidonnaisuus).
Mikäli keräämiäsi henkilötietoja halutaan käyttää opinnäytetyösi valmistumisen jälkeen johonkin muuhun tarkoitukseen, pitää tämä huomioida jo alkuvaiheessa ja se tulee kirjata käyttötarkoitukseen tietojen keräämisvaiheessa ja informoida siitä tutkimukseen osallistuvia.
Henkilötietojen käsittelylle pitää aina olla laillinen käsittelyperuste ja se on määritettävä ennen käsittelyn aloittamista. Perustetta ei voi vaihtaa toiseen sen jälkeen, kun käsittely on sidottu johonkin perusteeseen. Käsittelyperuste vaikuttaa siihen, mitä oikeuksia tutkittavilla on suhteessa rekisterinpitäjää. Opinnäytetöissä oikeusperuste on yleensä tutkittavien suostumus.
Huomioi, että vaikka henkilötietojen käsittelyn lainmukainen oikeusperuste on suostumus, tulee sinun tulee myös pyytää suostumus tutkimukseen osallistumisesta kaikilta, joilta tietoa kerätään. Osallistumissuostumuksen voi pyytää kirjallisesti, suullisesti haastattelun alussa tai kyselyssä rastitettavana kohtana.
Kerää vain opinnäytetyösi kannalta välttämättömiä henkilötietoja. Älä kerää tarpeettomia tai ylimääräisiä henkilötietoja. Noudata tietosuoja-asetuksen tietojen minimointiperiaatetta.
Keskustele ohjaajasi kanssa, jos opinnäytetyössäsi käsitellään erityisiä (ns. arkaluonteisia) henkilötietoja, saatat joutua tekemään silloin myös tietosuojan vaikutustenarvioinnin, jossa arviot henkilötietojen käsittelyn aiheuttamaa riskiä tutkittaville. Lisätietoja vaikutustenarvioinnista saa VAMKin tietosuojavastaavalta.
Voit kerätä henkilötietoja eri tavoilla, esimerkiksi:
- kyselylomakkeilla
- haastattelemalla
- havainnoimalla
- keräämällä tietoja esim. verkkopalveluista (some, organisaatioiden verkkosivut, ym.)
Huomaa että nimettömänäkin vastattavassa kyselytutkimuksessa kerätään henkilötietoja, jos kerätyistä tiedoista voidaan tunnistaa vastaaja joko suoraan taikka välillisesti. Pelkkien taustamuuttujien kerääminen voi johtaa henkilön tunnistamiseen (esim. ikä, sukupuoli, asuinpaikka, ammattinimike, työpaikka). Tunnistettavuus ei edellytä, että suuren joukon pitäisi tunnistaa henkilö, riittää että henkilön lähipiiri voi hänet tunnistaa.
Mikäli mahdollista, tarjoa vastaajille mahdollisuus vastata nimettömästi. Lisäksi mikäli mahdollista, vältä lähettämästä kyselylinkkiä yksittäisille henkilöille. Sähköpostin jakelulistan kokoaminenkin on henkilötietojen käsittelyä. Suositeltava menettely on lähettää kyselylinkki kohdeorganisaation tai -ryhmän yleissähköpostiin organisaation sisällä eteenpäin välitettäväksi.
Tallenna aineisto turvalliseen paikkaan ja huolehdi sen riittävästä suojauksesta. Kuvaa tutkimussuunnitelmassasi ja rekisteröityjä tiedottaessasi tarkemmin, miten aineisto säilytetään ja miten se suojataan niin, että ulkopuoliset eivät saa siihen pääsyä.
Opinnäytetyön aineisto kannattaa anonymisoida tai pseudonymisoida.
Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tiedoista voidaan poistaa henkilötiedot eikä yksittäistä henkilöä koskevat tiedot ole enää tunnistettavassa muodossa. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi.
Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Vaikka tiedot olisivatkin pseudonymisoitu, niiden avulla yksilö voidaan edelleen tunnistaa yhdistämällä lisätiedot. Pseudonymisoidut tiedot ovat yhä henkilötietoja ja niiden käsittelyssä on sovellettava tietosuojasäännöksiä.
Käsittele henkilötietoja aina anonyymeinä, kun rekisteröidyn henkilöllisyys ei ole välttämätön tieto opinnäytetyön toteuttamiselle.
Henkilötiedon elinkaaresta huolehtiminen on erityisen tärkeää. Tutkimuksen jälkeen henkilötietoja sisältävää tutkimusaineistoa ei saa tarpeettomasti säilyttää vaan se tulee hävittää (pääsääntö) tietoturvallisella tavalla niin, ettei aineisto päädy ulkopuolisten käsiin.
Suunnittele opinnäytetyösi henkilötietojen käsittelyn elinkaari etukäteen ja kuvaa se tutkimussuunnitelmaasi sekä myös tietosuojaselosteeseen informoidaksesi rekisteröityjä.
Jos aineisto on tarkoitus säilyttää tai jatkokäyttää, muista että siihen on pyydettävä siihen lupa tutkittavilta jo aineiston keruuvaiheessa. Jos aineisto voisi olla hyödyllinen uudelleen käytettynä, poista siitä tunnistetiedot peruuttamattomasti (anonymisointi) ja tallenna se ohjaajasi ohjeiden mukaisesti.
Opiskelijoiden opinnäytetöissä ei yleensä luovuteta tai siirretä henkilötietoja, vaan sinä opiskelijana olet ainoa, joka käsittelee tietoja. Jos keräämääsi aineistoa on tarkoitus kuitenkin siirtää tai luovuttaa (esim. jatkokäyttöä varten), tulee tämä huomioida ja siitä täytyy informoida rekisteröityjä.
Varmista, ettei tietoja tarvitse siirtää EU/ETA-alueen ulkopuolelle. Tällaisia siirtoja on rajoitettu. Jos käytät esim. pilvitallennusta, omalla koneellasi tiedot voivat siirtyä EU/ETA alueen ulkopuolelle ja tämä on kielletty ilman lainsäädännön asettamia suojatoimia.
Mikäli henkilötietoja häviää tai joutuu sivullisten saataville, kyseessä on henkilötietojen tietoturvapoikkeama. Jos epäilet, että näin on käynyt, niin ilmoita siitä välittömästi rekisterinpitäjälle tai VAMKin tietosuojavastaavalle saadaksesi lisäohjeita.
Poikkeama on kyseessä yleensä myös silloin, jos tiedon tallennusväline katoaa tai varastetaan (kuten puhelin tai tietokone).
Riskien minimoimiseksi kannattaa kerätä ja käsitellä ainoastaan sellaisia henkilötietoja, joiden tietoturvallisesta käsittelystä pystyt huolehtimaan.
Muista myös että sinulla on salassapitovelvollisuus tutkittavalta saamistasi luottamuksellisista henkilötiedoista etkä voi keskustella niistä sivullisten kanssa. Poikkeuksena on opinnäytetyön ohjaaja, jonka kanssa voit tarvittaessa käydä aineistoa läpi, koska hän ei ole opinnäytetyöhösi nähden ulkopuolinen.