In English
Tutkimuksen tietosuojan ennakkoarviointi
Mikäli tutkimuksessasi aiotaan käsitellä henkilötietoja ja käsittely aiheuttaisi tutkittaville korkean riskin, pitää hankkeesta tehdä lainsäädännön vaatima tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) ennen henkilötietojen käsittelyn aloittamista. Mitä enemmän riskejä henkilötietojen käsittelyyn liittyy, sitä tarkemmin aineistoa on suojattava. Mieti, kuinka voit käsitellä ja suojata tutkimusaineistoa niin, että riskit vähenevät tai poistuvat.
Tällä sivulla olevat kysymykset on tarkoitettu avuksi siinä vaiheessa, kun suunnittelet omaa tutkimustasi. Kysymysten avulla voit alustavasti kartoittaa, millaisia riskejä henkilötietojen käsittelyyn voi omassa hankkeessasi liittyä. Varsinaisen vaikutustenarvioinnin (DPIA) tekeminen saattaa olla tarpeen etenkin, jos vastaat ”kyllä” useampaan kuin yhteen kysymykseen. Kysymysten kohdalla mainitut yksittäiset kriteerit ovat kuitenkin vain suuntaa-antavia ja niihin liittyvät tulkinnat voivat vaihdella.
Henkilötietojen käsittelyssä on noudatettava ensisijaisesti rekisterinpitäjän antamia ohjeita. Sinun tulee siis aina varmistaa omasta organisaatiostasi, missä tapauksessa ja miten vaikutustenarviointi on tehtävä.
Lisätietoa vaikutustenarvioinnista löydät myös tietosuojavaltuutetun sivuilta.
Ennakkoarviointikysymykset
1. Onko henkilötietojen käsittely laajamittaista?
Käsittely saatetaan katsoa laajamittaiseksi esimerkiksi, jos
- Tutkittavien henkilöiden lukumäärä on 10 000 tai enemmän
- Yksittäisestä henkilöstä kerätään paljon tietoa
- Tieto kerätään suuresta osasta jonkin ihmisryhmän jäsenistä (esim. suuresta osasta pieneen etniseen ryhmään kuuluvista henkilöistä tai tietyn työnantajan palveluksessa olevista henkilöistä)
- Käsittely on pysyvää tai pitkäkestoista
- Käsittely on maantieteellisesti laajamittaista
2. Käsitelläänkö sensitiivisiä ts. arkaluonteisia tai erityisen henkilökohtaisia henkilötietoja?
Sensitiivisiä henkilötietoja voivat olla:
- Terveystiedot
- Paikannustiedot (seurataan liikkumista)
- Geneettiset tiedot
- Biometristen tietojen käsittely henkilön tunnistamista varten
- Rotu tai etninen alkuperä
- Poliittiset mielipiteet
- Uskonnollinen tai filosofinen vakaumus
- Ammattiliiton jäsenyys
- Seksuaalinen suuntautuminen tai käyttäytyminen
- Rikostuomioita tai rikkomuksia koskevat tiedot
- Taloudelliset tiedot, joita saatetaan käsitellä maksuvälinepetoksiin
- Sähköinen viestintä
- Muutoin erityisen henkilökohtaiseksi koetut tiedot (kuten muistiinpanot ja päiväkirjat)
3. Aiotaanko poiketa seuraavista rekisteröityjen oikeuksista:
- Informointi
- Oikeus saada jäljennökset tutkittavaa koskevista tiedoista
- Oikeus korjata virheelliset tiedot
- Oikeus rajoittaa käsittelyä
- Oikeus vastustaa tietojensa käsittelyä (esim. jos käsittely tapahtuu julkisella alueella, jossa vierailevat henkilöt eivät pysty välttämään tietojen keräämistä)
4. Yhdistelläänkö tietoja eri aineistosta tutkittaville odottamattomalla tavalla?
- Esimerkiksi tietojen yhdistely kahteen eri käyttötarkoitukseen kerätystä aineistosta tai kahden eri rekisterinpitäjän tietojen yhdistäminen
5. Käsitelläänkö tutkimuksessa henkilöiden tietoja, joiden voi olla vaikea heikon asemansa vuoksi käyttää oikeuksiaan?
- esim. lapset, vanhukset, työntekijät, potilaat, turvapaikanhakijat, …
6. Sisältyykö käsittelyyn automaattista päätöksentekoa (ts. päätös ilman ihmisen osallistumista päätöksentekoon) ja/tai profilointia, josta saattaa seurata tutkittavalle merkittäviä vaikutuksia?
- Merkittäviä vaikutuksia saattaisivat olla esimerkiksi syrjintä, poissulkeminen, merkittävä vaikutus yksityisyyteen, tutkittavan palkkion määrittäminen automaattisen päätöksenteon avulla tms.
7. Käsitelläänkö tutkimuksessa henkilötietoja tutkittavien arvioimiseksi tai pisteyttämiseksi?
- Esimerkiksi sairastumisriskin arviointi/ennustaminen tai käyttäytymiseen perustuvan profiilin luominen
8. Käsittääkö tutkimus tutkittavien järjestelmällistä valvontaa?
9. Käytetäänkö tutkimuksessa henkilötietojen käsittelyyn uutta teknologiaa innovatiivisella tavalla?
- Kerätäänkö tai käytetäänkö tietoja uudella tavalla?
- Ovatko uuden tekniikan käytön seuraukset vielä toistaiseksi tuntemattomia?
10. Jos tutkimusaineisto julkaistaisiin tai se vuotaisi julkisuuteen, voisiko siitä aiheutua merkittäviä vaikutuksia tutkittaville?
- esim. väkivallan tai vainoamisen uhka
Päivitetty 6.9.2021