Siirry pääsisältöön

Kirjaston TKI-toiminnan tukipalvelut

Opinnäytetyö ja tietosuoja

EU:n yleinen tietosuoja-asetus (GDPR) säätelee henkilötietojen käsittelyä myös opinnäytetöissä.

Itse tutkimusaineisto voi sisältää henkilötietoja, mutta henkilötietoja voi olla myös aineiston keruuseen tarvittavissa dokumenteissa, kuten tutkittavan suostumuslomakkeissa. Huomaa, että myös anonyymiksi tarkoitetusta kyselytutkimuksesta voi syntyä henkilötietoja, mikäli kysely toteutetaan verkkolomakkeella, joka tallentaa esimerkiksi vastaajan IP-osoitteen, tai jos kyselyssä on avovastausvaihtoehtoja. 

Opiskelijalla on velvollisuus huolehtia tietosuojasta opinnäytetyötä tehdessään. Opinnäytetyön ohjaajan velvollisuutena on neuvoa opiskelijaa tietosuoja-asioissa.

Mitä on henkilötieto?

Henkilötietoa on kaikki sellainen tieto, jonka avulla henkilö voidaan tunnistaa joko suoraan tai epäsuorasti. Tutkimusaineisto voi sisältää tunnistetietoja myös tutkittavan lähipiiristä tai muista henkilöistä. Myös heitä tunnistettavasti käsittelevät tiedot ovat henkilötietoa.

Suoria henkilötietoja ovat esimerkiksi henkilön koko nimi, henkilötunnus ja erilaiset biometriset tunnisteet kuten sormenjälki, kasvokuva, ääni ja käsin tehty allekirjoitus. 

Vahvoja epäsuoria tunnisteita ovat kaikki sellaiset yksittäiset tiedot, joiden avulla henkilö voidaan tunnistaa kohtuullisen helposti. Sellaisia ovat esimerkiksi osoite, puhelinnumero, harvinainen ammattinimike, hyvin harvinainen sairaus ja yksilöivät tunnisteet kuten tietokoneen IP-osoite, opiskelijatunnus tai tilinumero. 

Epäsuoria tunnisteita ovat kaikki ne tiedot, joita yhdistelemällä henkilö voidaan tunnistaa. Tällaisia ovat esimerkiksi sukupuoli, ikä, asuinpaikka, ammattinimike, kotitalouden koostumus, tulot, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu. Kun tutkimuksen kohderyhmä on jo valmiiksi rajattu ja kohtuullisen pieni, epäsuoria taustatietoja yhdistelemällä henkilö voi olla kohtuullisen helposti tunnistettavissa. 

Lähde: Aineistonhallinnan käsikirja: Tunnisteellisuus ja anonymisointi (Tietoarkisto)

Arkaluontoiset henkilötiedot

Arkaluontoisia henkilötietoja ovat tietosuoja-asetuksen määrittelemät erityiset henkilötietoryhmät eli tiedot joista ilmenee henkilön:

  • rotu tai etninen alkuperä
  • poliittisia mielipiteitä
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliiton jäsenyys
  • terveyttä koskevia tietoja
  • seksuaalinen suuntautuminen tai käyttäytyminen
  • geneettisiä ja biometrisia tietoja henkilön tunnistamista varten

Arkaluontoisia tietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa riskejä henkilön perusoikeuksille. Tästä syystä niiden käsittely on lähtökohtaisesti kiellettyä. Kieltoon on kuitenkin poikkeuksia, joista yksi on henkilön nimenomainen suostumus kyseisten henkilötietojen käsittelyyn. 

Huomaa, että arkaluontoisia henkilötietoja sisältävien aineistojen tallentaminen pilvipalveluihin on Metropoliassa kielletty. 

Henkilötietojen minimointi

Minimoinnin periaate henkilötietojen keruussa tarkoittaa sitä, että vältetään turhien henkilötietojen keräämistä. Tätä periaatetta kannattaa noudattaa jo opinnäytetyön tutkimuksen suunnittelussa. 

  • Kerää vain sellaisia henkilötietoja, jotka ovat välttämättömiä tutkimuskysymyksiin vastaamiseksi
  • Älä kerää henkilötietoja "varmuuden vuoksi"
  • Vältä arkaluontoisen tiedon keräämistä
  • Vältä kyselyissä avovastausvaihtoehtoja, koska et voi kontrolloida mitä tutkittavat niihin kirjoittavat
  • Henkilöhaastatteluissa haastateltavaa voi pyytää välttämään tarkkojen yksityiskohtien, kuten nimien tai työpaikkojen, esittämistä. 
  • Pohdi kuinka yksityiskohtaista tietoa tarvitset. Riittääkö esimerkiksi muuttujaksi tarkan tiedon sijaan luokka tai karkeistus? Esimerkiksi tarkan iän sijaan luokka 20-29-vuotiaat tai Metropolia Ammattikorkeakoulun sijaan pelkkä "ammattikorkeakoulu". 

Muistilista opinnäytetyön aineistojen tietosuojasta

  1. Tee aineistonhallintasuunnitelma. Tunnista keräätkö ja käsitteletkö henkilötietoja. Vain tutkimuksen kannalta olennaisia henkilötietoja saa kerätä.
  2. Jos aineistoon liittyy merkittäviä tietosuojariskejä tutkittavan kannalta, tee DPIA eli tietosuojaa koskeva vaikutusten arviointi. Näin on esimerkiksi silloin, jos aineisto sisältää arkaluontoisia henkilötietoja tai jos tutkimuskohteena on lapsia. Myös eettinen ennakkoarviointi voi olla tarpeen. Löydät Tutkimuksen DPIA-lomakkeen ja lisätietoa Oma-intrasta.  
  3. Määritä rekisterinpitäjä.
  4. Laadi tietosuojaseloste. Henkilötietojen kerääminen, säilyttäminen, käsittely ja tuhoaminen on suunniteltava etukäteen ja kuvattava nämä selkeästi ja ymmärrettävällä tavalla tietosuojaselosteessa. Tietosuojaseloste sisältyy Metropolian tutkittavan informointi -mallilomakkeeseen.
  5. Tarvitset henkilötietojen keräämiseen ja käsittelyyn käsittelyperusteen. Opinnäytetöissä se on yleensä tutkittavan antama suostumus.
  6. Ennen kuin keräät aineistoa, informoi tutkittavaa tutkimuksesta sekä henkilötietojen käsittelystä ymmärrettävällä tavalla. Metropolialla on oma mallilomake tähän. Informoinnin jälkeen tutkittava voi antaa suostumuksensa tutkimukseen osallistumiseen ja henkilötietojensa käsittelyyn. Myös tähän on oma lomakkeensa. 
  7. Henkilötietoja on käsiteltävä huolella ja vain siten kuin tutkittaville on kerrottu. Käytä tietojen keräämiseen, tiedonsiirtoon ja tallennukseen vain Metropolian hyväksymiä työvälineitä. Tietosuojarikkomukset ja huolimattomuus voivat johtaa sanktioihin tai opinnäytetyön hylkäämiseen. 

Metropolian kirjasto- ja tietopalvelut | Saavutettavuusseloste