Hae

Henkilötietojen käsittely opinnäytetyössä tai opintosuorituksissa

Kun keräät tietoja ihmisestä, tulee sinun noudattaa tietosuojalakia. Tämä ohje auttaa sinua tunnistamaan, mitä henkilötiedot ovat, miten niitä käsitellään turvallisesti ja mitä sinun tulee huomioida opintosuoritusten yhteydessä.

|

Muistilista ennen kuin aloitat henkilötietojen käsittelyn

  1. Keskustele ohjaajasi kanssa. Selvitä, onko tarpeellista käsitellä henkilötietoja ja miten se tehdään tietosuojalainsäädännön mukaisesti.
  2. Määrittele tarkoitus. Kirjaa opinnäytetyösi suunnitelmassa tai tutkimussuunnitelmassa, mitä tietoja keräät ja miksi. Kerää vain välttämättömät tiedot.
  3. Tunnista rekisterinpitäjä. Selvitä vastaatko itse henkilötietojen käsittelystä vai vastaako käsittelystä organisaatio, jolle teet opinnäytetyösi.
  4. Suunnittele, miten keräät tiedot. Selvitä, missä tietoja säilytetään ja, mitä tiedoille tapahtuu opinnäytetyön tai muun opintosuorituksen valmistuttua.
  5. Valitse millä perusteella käsittelet henkilötietoja. Henkilötietojen käsittelyyn tarvitaan aina laillinen syy, ja se pitää päättää ennen kuin alat kerätä henkilötietoja.
  6. Informoi tutkittavia. Kerro henkilötietojen käsittelystä selkeästi tutkittaville ja pyydä suostumus tietojen käsittelyyn.
  7. Käsittele tietoja tietoturvallisesti. Käytä yliopiston hyväksymiä työkaluja, kuten Webropolia kyselyjen tekemiseen. Huolehdi, ettei tietoja siirry EU:n/ETA:n ulkopuolelle.
  8. Hävitä aineisto valmistumisen jälkeen. Poista tiedot tietoturvallisesti, esimerkiksi yliopiston tietosuojaroskalaatikoissa tai sähköisestä järjestelmästä.

Yhteyshenkilöt henkilötietojen käsittelyä koskevissa kysymyksissä

Opinnäytetyösi ohjaaja tukee sinua myös opinnäytetyöhösi liittyvissä tietosuoja-asioissa ja hän on ensisijainen yhteyshenkilösi henkilötietojen käsittelyä koskevissa kysymyksissä.

Voit myös kysyä neuvoa Taideyliopiston tietosuojavastaavalta: tietosuoja@uniarts.fi

Mitä henkilötiedot ovat?

Henkilötietoja ovat kaikki tiedot, joista ihminen voidaan tunnistaa suoraan tai epäsuoraan. Tällaisia tietoja ovat esimerkiksi:

  • nimi
  • kotiosoite
  • sähköpostiosoite
  • IP-osoite (verkko-osoite)
  • puhelinnumero
  • valokuva tai videotallenne, jos henkilö on niistä tunnistettavissa
  • ääni, jos henkilö on tunnistettavissa äänen perusteella
  • opiskelijanumero

Myös epäsuorat tiedot, kuten harvinainen ammattinimike tai lempinimi, voivat olla henkilötietoja, jos niiden perusteella henkilö on tunnistettavissa. Lue lisää henkilötietojen määritelmästä (tietosuoja.fi).

Henkilötietojen käsittelyn tavat

Henkilötietojen käsittely tarkoittaa kaikkia tapoja, joilla henkilötietoja käytetään. Tämä voi olla esimerkiksi tietojen keräämistä, katsomista, säilyttämistä, muokkaamista tai poistamista.

Jos opinnäytetyösi liittyy elossa oleviin ihmisiin, käsittelet todennäköisesti henkilötietoja. Esimerkiksi tietojen kerääminen kyselyllä, haastattelulla, havainnoimalla tai videoimalla on henkilötietojen käsittelyä. Kun käsittelet henkilötietoja, sinun on noudatettava tietosuojalakeja.

Pseudonymisointi tarkoittaa, että henkilön tunnistetiedot poistetaan, mutta henkilö voidaan tunnistaa lisätietojen avulla. Pseudonymisoidut tiedot ovat yhä henkilötietoja.

Anonymisoinnissa tiedot muutetaan niin, ettei henkilöä voi enää tunnistaa. Anonymisoidut tiedot eivät ole enää henkilötietoja, eivätkä GDPR:n vaatimukset siksi koske anonymisoituja tietoja. Pseydonymisointi ja anonymisointi ovat myös henkilötietojen käsittelyä.  Lue lisää henkilötietojen käsittelemisestä (tietosuoja.fi)

Vältä arkaluontoisten henkilötietojen käsittelyä

Arkaluontoisilla henkilötiedoilla tarkoitetaan erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden käsittely voi vaarantaa henkilön oikeuksia. Näihin tietoihin kuuluvat esimerkiksi henkilön etninen tausta, poliittiset mielipiteet, uskonto, ammattiliiton jäsenyys, terveys, seksuaalinen suuntautuminen sekä geneettiset ja biometriset tiedot. Näiden tietojen käsittely on pääsääntöisesti kiellettyä, mutta se voi olla sallittua tietyissä tilanteissa, kuten silloin, kun henkilö antaa siihen selkeän suostumuksensa tai kun tiedot liittyvät tieteelliseen tutkimukseen.

Opiskelijan tulisi välttää käsittelemästä tällaisia tietoja opinnäytetyössä, ellei se ole välttämätöntä. Jos käsittelyä tarvitaan, on tärkeää arvioida, voiko tiedot käsitellä turvallisesti, ja hankkia siihen tarvittava suostumus. Jos opinnäytetyössä käsitellään laajasti arkaluonteisia tietoja, saatetaan tarvita myös tietosuojan vaikutustenarviointi, jossa selvitetään, miten henkilötietojen käsittely vaikuttaa tutkittaviin. Tarpeen arvioimiseen kannattaa käyttää tietosuojan ennakkoarviointia.

Näissä tilanteissa on aina hyvä keskustella etukäteen opinnäytetyön ohjaajan kanssa ja noudattaa opinnäyteohjeita.

Näin käsittelet henkilötietoja tietoturvallisesti

Opinnäytetyötä tai muuta opintosuoritusta varten kerättyjä henkilötietoja tulee käsitellä tietoturvallisesti. Lue lisää tietoturvasta Taideyliopistossa henkilöstön intranet-Artsista tai pyydä Taideyliopiston ohjeistus ohjaajaltasi tai opettajaltasi.

Opiskelijan on käsiteltävä henkilötietoja sisältäviä tietoja huolellisesti. Jos henkilötietoja kuitenkin häviää tai joutuu sivullisten saataville, kyse on tietoturvaloukkauksesta tai -poikkeamasta. Henkilötietojen tietoturvaloukkauksesta on kyse esimerkiksi, jos tietokoneesi varastetaan, tietoja tallennetaan väärään järjestelmään tai tiedot muutoin paljastuvat sivullisille. Jos epäilet tällaista tapahtuneen, ilmoita siitä välittömästä lisäohjeiden saamiseksi: tietoturva@uniarts.fi. 

Mikäli teet kyselytutkimuksen, käytä keräämiseen vain Taideyliopiston osoittamia sähköisiä kyselytyökaluja. Taideyliopiston käytössä oleva työkalu on ensisijaisesti Webropol. Lue lisää Webropol-työkalusta.

Keskustele ohjaajasi kanssa tarve henkilötietojen käsittelyyn

Ennen kuin aloitat opinnäytetyön tai opintosuorituksen, keskustele ohjaajasi kanssa, onko sinun ylipäätään tarpeen käsitellä henkilötietoja opinnäytetyötä  tai opintosuoritusta tehdessäsi. Jos henkilötietojen käsittely on tarpeen, suunnittele etukäteen tarkasti, miten käsittelet niitä. Näin varmistat, että tietosuojaa koskevat säännöt toteutuvat koko käsittelyn ajan.

Muista, että vaikka käsittelisit henkilötietoja opinnäytetyötä varten, lopullisessa työssä ei saa olla henkilötietoja.

Aloita henkilötietojen käsittely määrittelemällä sen tarkoitus

Määrittele esimerkiksi opinnäytetyösi suunnitelmassa tai tutkimussuunnitelmassa, mitä henkilötietoja keräät, ja mikä on käsittelyn tarkoitus eli miksi keräät henkilötietoja. Suunnitellessasi kerättäviä tietoja, ota huomioon tietosuojan keskeisiin periaatteisiin kuuluvat tietojen minimointiperiaate ja käyttötarkoitussidonnaisuuden periaate.

Minimointiperiaatteen mukaan henkilötietoja saa käsitellä vain silloin, kun ne ovat tarpeellisia. Kerää opinnäytetyötäsi tai muuta opintosuoritusta varten vain tietoja, jotka ovat välttämättömiä opinnäytetyösi tai muun opintosuorituksesi kannalta. Anonymisoi tai pseudonymisoi säilyttämäsi henkilötiedot, kun rekisteröidyn tunnistaminen ei enää ole tarpeen.

Käyttötarkoitussidonnaisuuden periaatteen mukaan henkilötietojen käsittelyn tarkoitus on suunniteltava selkeästi ennen käsittelyn aloittamista. Et saa myöhemmin käsitellä henkilötietoja alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla.

Pohdi myös henkilötietojen käsittelyä suunniteltaessa, mitkä ovat riittävän turvallisia työvälineitä ja sovelluksia henkilötietojen käsittelyyn.

Tunnista rekisterinpitäjä

Rekisterinpitäjä on se taho, joka määrää henkilötietojen käsittelyn tarkoituksen ja keinot.

Jos kyse on itsenäisesti suoritettavasta opinnäytetyöstä tai muusta opintosuorituksesta, toimit opiskelijana itse rekisterinpitäjänä. Tämä tarkoittaa, että vastaat tutkimuksen tekijänä henkilötietojen käsittelyn lainmukaisuudesta ja asianmukaisuudesta. Rekisterinpitäjän velvollisuutena on muun muassa informoida rekisteröityjä. 

Jos teet opinnäytetyösi yliopiston projektissa ja olet työsuhteessa yliopistoon, rekisterinpitäjänä toimii yleensä yliopisto. Tällöinkin on hyvä informoida ohjaajaa. 

Jos määrittelet yhdessä jonkun muun tahon (esimerkiksi toinen opiskelija, yliopisto tai yritys) kanssa henkilötietojen käsittelyn tavoitteet ja keinot, kyse on yhteisrekisterinpitäjyydestä.

Jos teet opinnäytteen yrityksen tai muun organisaation toimeksiannosta opinnäytetyön tilaaja voi olla rekisterinpitäjä (tai yhteisrekisterinpitäjä), jos se määrittelee käsittelyn tarkoituksen ja keinot.

Rekisteröidyllä tarkoitetaan henkilöä, jonka henkilötietoja käsitellään.

Suunnittele henkilötietojen käsittelyn elinkaari

Kuvaa esimerkiksi tutkimussuunnitelmassa henkilötietojen käsittelyn elinkaari. Suunnittele se, miten keräät tiedot, missä tietoja säilytetään ja, mitä tiedoille tapahtuu opinnäytetyön tai muun opintosuorituksen valmistuttua.

Muista, että minimointiperiaatteen mukaisesti henkilötietojen säilytysaika on pidettävä mahdollisimman lyhyenä.

Varmista ettei henkilötietoja siirretä EU/ETA-alueen ulkopuolelle

Varmista, ettei henkilötietoja siirry esimerkiksi pilvitallennuksen kautta tietokoneeltasi EU/ETA-alueen ulkopuolelle. Tällaisia siirtoja koskevat tietyt lainsäädännössä asetetut lisävaatimukset. Jos käytät esimerkiksi kuvankäsittelysovelluksia tai ilmaisia pilvipalveluita omalla mobiililaitteellasi tai tietokoneellasi, tiedot voivat siirtyä EU/ETA-alueen ulkopuolelle.

Valitse millä perusteella käsittelet henkilötietoja

Henkilötietojen käsittelylle pitää aina olla GDPR:n eli lainmukainen käsittelyperuste ja se on määritettävä ennen käsittelyn aloittamista. Perustetta ei voi vaihtaa toiseen sen jälkeen, kun olet aloittanut käsittelemään henkilötietoja.

Opinnäytetöiden kohdalla käsittelyperuste on usein rekisteröidyn suostumus, sillä opinnäytetyön ei useimmiten katsota täyttävän tieteellisen tutkimuksen kriteerejä. Tutustu tarkemmin pätevän suostumuksen edellytyksiin.

Joissain tilanteissa käsittelyperusteena voi olla mahdollista käyttää myös oikeutettua etua. Oikeutettu etu voi soveltua tilanteeseen, jossa aineisto kerätään muualta kuin suoraan rekisteröidyltä. Tällöin vaaditaan tasapainotestin suorittamista. GDPR:n tasapainotesti tarkoittaa arviointia, jossa selvitetään, voiko henkilötietojen käsittely perustua rekisterinpitäjän oikeutettuun etuun. Tämä testi tehdään, jotta varmistetaan, ettei rekisteröidyn (eli henkilön, jonka tietoja käsitellään) oikeudet ja vapaudet syrjäydy rekisterinpitäjän tai kolmannen osapuolen edun vuoksi. Lisätietoa oikeutetusta edusta.

Tieteellisessä tutkimuksessa oikeudellinen käsittelyperuste on yleensä yleinen etu (käsittely on tarpeen tieteellisen tutkimuksen tekemiseksi). Jos opinnäytteen suunnitelma täyttää tieteellisyyden kriteerit, käsittelyperuste voi olla yleinen etu, eikä sinun tarvitse käyttää käsittelyperusteena esimerkiksi tutkittavan suostumusta tai oikeutettua etua. Keskustele aina ensin ohjaajasi kanssa, mikäli katsot opinnäytteesi täyttävän tieteellisen tutkimuksen kriteerit.

Valittu käsittelyperuste kirjataan tietosuojailmoitukseen (tarkemmin jäljempänä) ja se kerrotaan myös tutkittaville annettavassa informaatiossa.

Kaikilta, joilta tietoa kerätään suoraan, tarvitset kuitenkin aina myös suostumuksen osallistua tutkimukseen, vaikka kyse olisi tieteellisestä tutkimuksesta (suostumus osallistua tutkimukseen on eri asia kuin suostumus käsittelyn oikeudellisena perusteena).  Osallistumissuostumuksen voi pyytää joko kirjallisena, suullisena haastattelun alussa tai kyselytutkimuksessa rastitettavana kohtana sen jälkeen, kun tutkittava on saanut erillisen tiedotteen tutkimuksesta. Suositeltavaa on pyytää suostumus kirjallisena.

Laadi tietosuojailmoitus

Informoi tutkittavia laatimalla tietosuojailmoitus, jossa kuvaat selkeästi henkilötietojen käsittelyn. Lisäksi tietosuojailmoituksessa rekisteröidylle on kerrottava muun muassa rekisterinpitäjä, henkilötietojen käyttötarkoitus ja säilytysaika. Lue lisää informointivelvollisuudesta: https://tietosuoja.fi/rekisteroidyn-informointi

Voit tehdä tietosuojailmoituksen käyttämällä Taideyliopiston tietosuojailmoituslomake -mallipohjaa, jonka saat ohjaajaltasi. Täytä lomakkeelle tarvittavat tiedot ja anna ilmoitus rekisteröidylle.

Jos keräät henkilötietoja muusta lähteestä kuin rekisteröidyltä itseltään, informoi rekisteröityä kohtuullisessa ajassa (viimeistään kuukauden kuluessa). Jos jo tätä aiemmin henkilötietoja käytetään rekisteröidylle viestimiseen tai henkilötietoja luovutetaan kolmannelle/ulkopuoliselle osapuolelle, rekisteröityä on informoitava jo viestinnän tai luovutuksen hetkellä.

Hävitä aineisto valmistumisen jälkeen

Opinnäytetyön tai opintosuorituksen valmistuttua ja tultua hyväksytyksi, henkilötietoja sisältävä aineisto on pääsääntöisesti hävitettävä tietoturvallisella tavalla, ettei aineisto päädy ulkopuolisten käsin. Paperisen aineiston voi toimittaa yliopiston tietosuojaroskalaatikkoon, joita löydät monitoimilaitteiden läheisyydestä. Sähköinen aineisto tulee poistaa sen säilytyspaikoista, kuten verkkolevyltä ja Webropolista. Joskus aineisto voidaan tallentaa tutkimuksen päätyttyä esim. Tietoarkistoon anonymisoituna tai Kielipankkiin.

Varmista lopuksi, ettei valmis opinnäytetyö tai opintosuoritus sisällä henkilötietoja, ja ettei valmiista työstä voi tunnistaa yksittäistä henkilöä ilman kyseisen henkilön suostumusta.

Käsittele henkilötietoja aina anonyymeinä, kun rekisteröidyn henkilöllisyys ei ole välttämätön tieto tutkimuksen toteuttamiselle.

Tie­to­suo­ja ja hen­ki­lö­tie­to­jen kä­sit­te­ly Tai­dey­li­opis­tos­sa Tietosuojavaltuutetun toimisto