Siirry pääsisältöön

Aineistonhallinta hankkeissa

""

Henkilötiedot TKI-aineistossa

​Tunnisteellisen aineiston eli henkilötietoja sisältävän aineiston käsittely vaatii erityistä huolellisuutta. Tieto on tunnisteellista, jos sen perusteella on mahdollista tunnistaa yksittäinen henkilö tai havaintorypäs kuten perhe. 

Tunnisteellisia aineistoja voi käyttää TKI-toiminnassa silloin, kun se on tarkoituksenmukaista, suunniteltua, asiallisesti perusteltua ja tietojen käsittelyyn on laillinen käsittelyperuste, esimerkiksi tutkittavan suostumus tai yleisen edun mukainen tutkimus.

Henkilötiedot tulee anonymisoida aineistosta heti kun niitä ei enää tarvita. 

Sivun lähteenä on hyödynnetty Tietoarkiston Aineistonhallinnan käsikirjaa. Metropolian tietosuojaohjeet ja mallipohjat löydät Oma-intrasta.

Mitä on henkilötieto?

Henkilötietoa on kaikki sellainen tieto, jonka avulla henkilö voidaan tunnistaa joko suoraan tai epäsuorasti. Tutkimus- tai kehittämisaineisto voi sisältää tunnistetietoja myös tutkittavan lähipiiristä tai muista henkilöistä. Myös heitä tunnistettavasti käsittelevät tiedot ovat henkilötietoa.

Suoria tunnisteita ovat esimerkiksi henkilön koko nimi, henkilötunnus ja erilaiset biometriset tunnisteet kuten sormenjälki, kasvokuva, ääni ja käsin tehty allekirjoitus. 

Vahvoja epäsuoria tunnisteita ovat kaikki sellaiset yksittäiset tiedot, joiden avulla henkilö voidaan tunnistaa kohtuullisen helposti. Sellaisia ovat esimerkiksi osoite, puhelinnumero, harvinainen ammattinimike, hyvin harvinainen sairaus ja yksilöivät tunnisteet kuten tietokoneen IP-osoite, opiskelijatunnus tai tilinumero. 

Epäsuoria tunnisteita ovat kaikki ne tiedot, joita yhdistelemällä henkilö voidaan tunnistaa. Tällaisia ovat esimerkiksi sukupuoli, ikä, asuinpaikka, ammattinimike, kotitalouden koostumus, tulot, siviilisääty, kieli, kansallisuus, etninen tausta, työpaikka tai koulu. Kun tutkimuksen kohderyhmä on jo valmiiksi rajattu ja suhteellisen pieni, epäsuoria taustatietoja yhdistelemällä henkilö voi olla kohtuullisen helposti tunnistettavissa. 

Erityiset henkilötietoryhmät 

Arkaluontoisia henkilötietoja ovat tietosuoja-asetuksen määrittelemät erityiset henkilötietoryhmät eli tiedot joista ilmenee henkilön:

  • rotu tai etninen alkuperä
  • poliittisia mielipiteitä
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliiton jäsenyys
  • terveyttä koskevia tietoja
  • seksuaalinen suuntautuminen tai käyttäytyminen
  • geneettisiä ja biometrisia tietoja henkilön tunnistamista varten

Arkaluontoisia tietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa riskejä henkilön perusoikeuksille. Tästä syystä niiden käsittely on lähtökohtaisesti kiellettyä. Kieltoon on kuitenkin poikkeuksia, joista yksi on henkilön nimenomainen suostumus kyseisten henkilötietojen käsittelyyn. 

Huomaa, että arkaluontoisia henkilötietoja sisältävien aineistojen tallentaminen pilvipalveluihin on Metropoliassa kielletty. 

Henkilötietojen minimointi

Minimoinnin periaate henkilötietojen keruussa tarkoittaa sitä, että vältetään turhien henkilötietojen keräämistä. Tätä periaatetta kannattaa noudattaa jo tutkimusta suunniteltaessa.

  • Kerää vain sellaisia henkilötietoja, jotka ovat välttämättömiä tutkimuskysymyksiin vastaamiseksi
  • Älä kerää henkilötietoja "varmuuden vuoksi"
  • Vältä arkaluontoisen tiedon keräämistä
  • Vältä kyselyissä avovastausvaihtoehtoja, koska et voi kontrolloida mitä tutkittavat niihin kirjoittavat
  • Henkilöhaastatteluissa haastateltavaa voi pyytää välttämään tarkkojen yksityiskohtien, kuten nimien tai työpaikkojen, esittämistä. 
  • Pohdi kuinka yksityiskohtaista tietoa tarvitset. Riittääkö esimerkiksi muuttujaksi tarkan tiedon sijaan luokka tai karkeistus? Esimerkiksi tarkan iän sijaan luokka 20-29-vuotiaat tai Metropolia Ammattikorkeakoulun sijaan pelkkä "ammattikorkeakoulu".

Tunnisteellisen tiedon käsittely

​Tunnisteellisten tutkimus- ja kehittämisaineistojen käsittelyn tulee olla suunnitelmallista ja huolellista. Tutkittavien yksityisyyden suojaa ei saa vaarantaa esimerkiksi aineiston huolimattomalla säilyttämisellä tai suojaamattomilla sähköisillä siirroilla.

Henkilötietojen käsittelyn yleisiä suojatoimia ovat pseudonymisointi, anonymisointi ja säilytyksen rajoittaminen.

Pseudonymisointi

Pseudonymisointi on  aineiston tunnisteellisten tietojen poistamista tai korvaamista peitetiedolla tai koodeilla, jotka prosessin jälkeen säilytetään erillään aineistosta organisatorisesti ja teknisesti. Organisatorisilla toimenpiteillä tarkoitetaan tietojen suojattua fyysistä käyttöympäristöä ja hallinnollisesti rajattua ja valvottua käyttöoikeutta. Teknisillä toimenpiteillä viitataan tietoturvallisiin tallennusratkaisuihin. Pseudonyymistä aineistosta tulee anonyymi, kun erillään säilytettävät tunnistetiedot (koodiavain, henkilötiedot ja tiedot muutettujen arvojen muodostamistavoista) hävitetään. Pseudonymisoitu aineisto on edelleen henkilötietoa, jollaisena sitä tulee myös käsitellä. 

Anonymisointi

Aineiston anonymisointi tarkoittaa sitä, että aineisto käsitellään niin, ettei se sisällä enää mitään tunnistetietoja. Tämä tarkoittaa siis henkilötietojen kohdalla sitä, että henkilöä ei voida aineistosta enää tunnistaa kohtuullisin keinoin. Myös organisaation tiedot tai muut luottamukselliset tiedot voidaan anonymisoida aineistosta. 

Vaikka et keräisi tutkittavien henkilötietoja suoraan, heidät voi silti olla mahdollista tunnistaa aineistosta. Esimerkiksi anonyymi-kysely ei välttämättä olekaan anonyymi, jos tutkittavan on mahdollista paljastaa itsestään tietoja avovastauksissa tai jos kyselylomakkeesta tallentuu vastaajan IP-osoite. Tällainen aineisto ei ole anonyymia, vaan sitä koskevat tietosuojalait.

Tutkimus- tai kehittämisaineiston anonymisointiin ei ole olemassa valmista kaikkiin aineistoihin soveltuvaa menettelytapaa. Anonymisointi tulee suunnitella aina aineistokohtaisesti.

Anonymisointiprosessin hahmottamiseksi niin kvantitatiivisissa kuin kvalitatiivisissa aineistoissa voi käyttää apuna seuraavia kysymyksiä:

  • Mitä suoria tai epäsuoria tunnisteita aineisto sisältää?
  • Sisältääkö aineisto ainutlaatuisia tai harvinaisia havaintoja?
  • Mitä aineiston tietoja yhdistelemällä henkilö olla tunnistettavissa?
  • Onko saatavilla ulkopuolisia tietoja, jotka voidaan yhdistää aineistoon niin, että havainnot/tutkittavat voivat olla tunnistettavissa?
  • Mieti, mihin aineistoa tullaan käyttämään ja mitkä ovat juuri ne aineiston ominaisuudet, jotka halutaan säilyttää  ja mitkä voidaan "uhrata" anonymisointiprosessissa.

Tekniikoita anonymisointiin ovat esimerkiksi

  • Yksittäisen tiedon poistaminen. Voidaan merkitä aineistoon esimerkiksi hakasulkeilla "tieto poistettu". 
  • Tietojen uudelleen luokittelu. Esimerkiksi jos olet kerännyt tarkat iät tai ammatit, voit korvata ne ikäluokilla tai ammattiluokilla. 
  • Keksityt nimet. Jos aineistossa esiintyy nimiä, voit  poistamisen sijaan myös korvata ne keksityillä nimillä.
  • Karkeistaminen. Voit muuttaa tarkan tiedon yleisemmäksi, esimerkiksi AIDS:n voi korvata termillä sairaus ja Metropolian voi korvata termillä ammattikorkeakoulu. 

Katso Tietoarkiston ohjevideo kvalitatiivisten aineistojen anonymisointiin (Youtube)

Katso Tietoarkiston ohjevideo kvantitatiivisten aineistojen anonymisointiin (Youtube)


Säilytyksen rajoittaminen

Tutkimuksen toteuttamiselle tarpeettomat henkilötiedot poistetaan heti, kun se on mahdollista. Esimerkiksi aineiston keruuvaiheessa tarvitut nimitiedot, osoitteet ja vastaavat tunnisteet hävitetään heti, kun ne eivät ole enää välttämättömiä tutkimuksessa. Samoin tietojen yhdistämiseen tarvittu henkilötunnus tulee hävittää, kun sitä ei enää tarvita.

Muistilista TKI-hankkeen tutkimus- ja kehittämisaineistojen tietosuojasta

  1. Tee aineistonhallintasuunnitelma. Tunnista keräätkö ja käsitteletkö henkilötietoja. Vain tutkimuksen tai kehittämistyön kannalta olennaisia henkilötietoja saa kerätä.
  2. Jos aineistoon liittyy merkittäviä tietosuojariskejä tutkittavan kannalta, tee DPIA eli tietosuojaa koskeva vaikutusten arviointi. Näin on esimerkiksi silloin, jos aineisto sisältää arkaluontoisia henkilötietoja tai jos tutkimuskohteena on lapsia. Myös eettinen ennakkoarviointi voi olla tarpeen. Löydät Tutkimuksen DPIA-lomakkeen DPIA-sivulta Oma-intrassa.  
  3. Määritä rekisterinpitäjä.
  4. Laadi tietosuojaseloste. Henkilötietojen kerääminen, säilyttäminen, käsittely ja tuhoaminen on suunniteltava etukäteen ja kuvattava nämä selkeästi ja ymmärrettävällä tavalla tietosuojaselosteessa. Tietosuojaseloste sisältyy Metropolian tutkittavan informointi -mallilomakkeeseen.
  5. Tarvitset henkilötietojen keräämiseen ja käsittelyyn käsittelyperusteen. Se voi olla esimerkiksi tutkittavan antama suostumus tai yleinen etu.
  6. Ennen kuin keräät aineistoa informoi tutkittavaa tutkimuksesta sekä henkilötietojen käsittelystä ymmärrettävällä tavalla. Metropolialla on oma mallilomake tähän. Informoinnin jälkeen tutkittava voi antaa suostumuksensa tutkimukseen osallistumiseen ja henkilötietojensa käsittelyyn. Myös tähän on oma lomakkeensa. 
  7. Henkilötietoja on käsiteltävä huolella ja vain siten kuin tutkittaville on kerrottu. Käytä tietojen keräämiseen, tiedonsiirtoon ja tallennukseen vain Metropolian hyväksymiä työvälineitä. Tietosuojarikkomukset ja huolimattomuus voivat johtaa sanktioihin.

Metropolian kirjasto- ja tietopalvelut | Saavutettavuusseloste