Keräätkö henkilötietoja opinnäytetyössäsi? Tiesithän, että monissa opinnäytetöissä henkilötietoja kerätään esimerkiksi haastattelujen tai kyselylomakkeiden avulla. Silloin opinnäytetyön tekemisen kuvioihin astuu myös GDPR eli General Data Protection Regulation, jota tulee noudattaa.
Henkilötietoihin ja tietosuojaan liittyvät ohjeistukset ja vaatimukset ovat opinnäytetöissä tarkentuneet melkoisesti viime vuosien aikana. Joten ei ihme, jos ne aiheuttavat hieman hämminkiä. Ne saattavat tuntua aluksi hyvinkin vierailta ja hankalilta. Saatat myös pohtia mistä edes aloittaa.
Henkilötiedot ja GDPR opinnäytetyössä
Tämän postauksen luettuasi tiedät:
- Mistä GDPR tietosuoja-asetuksessa on kyse
- Mikä on henkilötieto
- Minkälaisia henkilötietoja opinnäytetöissä käsitellään ja kerätään
- Miten toimia, jos käsittelet tai keräät henkilötietoja
GDPR tietosuoja-asetus
GDPR (General Data Protection Regulation) on yleinen tietosuoja-asetus ja henkilötietojen käsittelyä sääntelevä laki Euroopan Unionissa, joka koskee myös opinnäytetöitä. Lain tavoitteena on suojata osallistujan oikeuksia ja turvata yksityisyyden toteutuminen henkilötietoja käsiteltäessä.
GDPR sääntelee henkilötietojen keräämistä, käsittelyä ja luovuttamista. Sekä niihin liittyviä oikeuksia ja velvollisuuksia. Henkilötietoja voi esiintyä opinnäytetyössä kahdella tavalla:
- Aineiston keruuseen tarvittavat dokumentit sisältävät henkilötietoja
- Keräämäsi aineisto sisältää henkilötietoja
Nyrkkisääntönä toimii se, että opinnäytetyössä tulee kerätä ainoastaan sellaisia henkilötietoja, jotka ovat oleellisia ja välttämättömiä työsi kannalta. Mitään ylimääräistä tietoa ja varsinkaan henkilötietoja ei pidä kerätä ”varmuuden vuoksi”. Opinnäytetyön tekijänä sinulla on velvollisuus tunnistaa sisältääkö oma työsi henkilötietoja ja huolehtia tunnollisesti ja asianmukaisesti osallistujien tietosuojasta. Henkilötietoihin perehtyminen vaatii aikaa, mutta siitä ei kannata lannistua.
Perehdy henkilötietoihin näin:
- Selvitä ensin mikä on henkilötieto ja mikä ei
- Tunnista sisältääkö oma opinnäytetyösi mahdollisesti henkilötietoja
- Jos sisältää, pyri minimoimaan henkilötietojen määrä ja laadi tietosuojaseloste
1. Mikä on henkilötieto?
Henkilötietoja ovat kaikki sellaiset tiedot, joiden perusteella osallistuja voidaan tunnistaa suoraan tai välillisesti. Henkilötietoja on erityyppisiä:
- Suorat henkilötiedot
- Vahvat epäsuorat tunnisteet
- Epäsuorat tunnisteet
Olen koonnut tähän alle listaksi konkreettisia esimerkkejä erityisesti niistä henkilötiedoista, joita esiintyy opinnäytetöissä.
Suorat henkilötiedot:
- koko nimi
- henkilötunnus
- kasvokuva
- ääni
- käsin tehty allekirjoitus
Vahvat epäsuorat tunnisteet ovat yksittäisiä tietoja, joiden avulla henkilö voidaan tunnistaa kohtuullisen helposti:
- osoite
- puhelinnumero
- harvinainen ammattinimike
- hyvin harvinainen sairaus
- yksilöivät tunnisteet kuten tietokoneen IP-osoite
Epäsuorat tunnisteet ovat tietoja, joita yhdistelemällä henkilö voidaan tunnistaa:
- sukupuoli, ikä, siviilisääty, asuinpaikka, kotitalouden koostumus
- ammattinimike, työpaikka tai koulu, tulot
- kansallisuus, kieli, etninen tausta
Henkilötiedoista löytyy hyvin lisätietoja Tietoarkiston sivuilta Tunnisteellisuus ja anonymisointi
2. Opinnäytetyö sisältää henkilötietoja, jos
Keräät aineistosi haastattelujen avulla:
- Kontaktoit mahdolliset osallistujat lähettämällä haastattelukutsun heille suoraan henkilökohtaiseen työ- tai yksityiseen sähköpostiosoitteeseen (etunimi.sukunimi@…)
- Pyydät osallistujaa ottamaan sinuun yhteyttä sähköpostilla tai puhelimitse esim. haastatteluajankohdan sopimiseksi (sähköpostiosoite, nimi, puhelinnumero)
- Keräät suostumuslomakkeet (nimi ja allekirjoitus)
- Tallennat haastattelun (tallennettu ääni ja mahdollisesti kasvokuva)
Haastatteluiden järjestämiseen ja niiden toteuttamiseen sisältyy aina henkilötietojen keräämistä ja käsittelyä. Vaikka et kontaktoisikaan itse haastateltavia.
Tai keräät aineiston kyselylomakkeen avulla:
- Kontaktoit mahdolliset kyselyyn vastaajat lähettämällä heille kyselylomakkeen suoraan henkilökohtaiseen työ- tai yksityiseen sähköpostiosoitteeseen (etunimi.sukunimi@…)
- Käyttämäsi kyselylomakeohjelma kerää vastaajien IP-osoitteet
- Kysely sisältää avoimia kysymyksiä
- Kysely sisältää taustakysymyksiä (epäsuorat tunnisteet)
Kyselylomakkeet sisältävät usein henkilötietoja, joihin emme välttämättä huomaa etukäteen varautua.
Taustakysymykset sisältävät epäsuoria tunnisteita, joiden avulla vastaaja voidaan tunnistaa, vaikka hän olisi vastannut nimettömästi kyselyyn. Erityisesti, jos opinnäytetyön kohderyhmä on pieni ja epäsuoria taustatietoja voidaan yhdistää toisiinsa. Siksi taustakysymysten määrää ja sisältöä on tärkeä kriittisesti pohtia ja rajata vain oleellisiin kysymyksiin.
Avoimet kysymykset kannattaa myös huomioida, jos kyselylomakkeesi sisältää niitä. Koska vastaajat voivat vastata avoimiin kysymyksiin hyvinkin yksityiskohtaisilla tiedoilla, joka lisää henkilötietojen keräämisen riskiä. Lisäksi monet kyselylomakeohjelmat keräävät vastaajien IP-osoitteen, joka on vahva epäsuora tunniste. IP-osoite on numerosarja, jolla vastaajan puhelin tai tietokone voidaan tunnistaa.
Jos jokin tai useampi kohta yllä olevasta listasta ”osui ja upposi” oman työsi kohdalla, niin silloin käsittelet ja/tai keräät henkilötietoja. Joten sinun tulee laatia tietosuojaseloste.
3. Tietosuojaseloste kuntoon
Henkilötietojen käsitellystä ja keräämisestä pitää kertoa selkeästi ja ymmärrettävästi osallistujille, joka tapahtuu tietosuojaselosteen avulla. Tietosuojavaltuutetun toimiston sivuilta voit kurkata lisää Henkilötietojen käsittelystä.
Laadi tietosuojaseloste huolellisesti, jossa kuvaat tarkasti:
- Mitä henkilötietoja keräät ja miksi?
- Miten säilytät henkilötietoja?
- Miten käsittelet henkilötietoja?
- Miten ja milloin hävität henkilötiedot?
Monilla korkeakouluilla on valmiita tietosuojaselosteen mallilomakkeita, joiden avulla voit huomioida tarvittavat seikat. Joten perehdythän oman korkeakoulusi ohjeisiin ja lomakkeisiin. Osallistuja voi antaa suostumuksena opinnäytetyöhön osallistumisesta ja henkilötietojensa käsittelysta vasta sen jälkeen, kun hän on saanut niistä riittävästi tietoa.
Henkilötietoja on käsiteltävä erittäin huolellisesti ja laatimasi tietosuojaselosteen mukaisesti. Koska henkilötietojen tunnistaminen ja niiden käsittely ovat vahva osa hyvää tieteellistä käytäntöä ja tutkimusetiikan noudattamista.
Saattaisit olla kiinnostunut myös tästä:
Kuten huomaat, monet opinnäytetyöt sisältävät henkilötietoja eri lähteistä. Henkilötietojen käsittely on suunniteltava huolellisesti etukäteen ennen tietojen keräämistä. Tämän postauksen ohjeilla pääset jo hyvin alkuun.
