Tietosuoja huomioon myös opinnäytetyössä

TEKSTI | Margit Mannila
Artikkelin pysyvä osoite http://urn.fi/URN:NBN:fi-fe2021081843590

Lainsäädäntö koskettaa kaikkia inhimillisiä toimintoja, niin myös henkilötietojen käsittelyä ja niiden tietosuojaa. Suomen perustuslaissa 731/1999 10 §:ssä säädetään, että henkilötietojen suojasta säädetään tarkemmin lailla. Edelleen perustuslain 22 §:n säännöksen mukaisesti julkisen vallan on turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Vastaavasti Euroopan parlamentin ja neuvoston asetus EU 2016/679 ensimmäisen artiklan säädöksen mukaan Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan (myöhemmin perusoikeuskirja) 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Mainittu EU-asetus on tuotu kansalliselle tasolle säätämällä kansallinen tietosuojalaki (1050/2018), joka kumosi, voimaan tullessaan, vuonna 1999 säädetyn henkilötietolain (523/1999). Lisäksi aihepiiriin liittyy erityislainsäädäntöä.

Vastuu säädösten noudattamisesta on yrityksissä johdon vastuulla, sillä johto edustaa työantajaa. Työnantajalle kuuluu niin kutsuttu yleisvastuu ja siitä seuraa, että työnantajan on huolehdittava, että työntekijä voi suoriutua työstään myös yrityksen toimintaa, tehtävää työtä tai työmenetelmiä muutettaessa tai kehitettäessä, kuten työnantajan velvollisuuksista työsopimuslaissa 55/2001 2:1 §:ssä säädetään. Edelleen työturvallisuuslaissa 738/2002 säädetään työympäristön ja työolosuhteiden parantamisesta. Säädökseen liittyy erilaisten työstä ja työympäristöstä johtuvien kuormittumisen ja terveyshaittojen torjuminen. Eikä viranomainenkaan näistä velvoitteista vapaudu. Laissa kunnan ja hyvinvointialueen viranhaltijasta 304/2003 säädetään 4:20 §:ssä työturvallisuudesta siten, että myös viranhaltijan on huolehdittava työturvallisuudesta siten kuin työturvallisuuslaissa ja sen nojalla annetuissa säännöksissä viranhaltijan velvollisuudeksi säädetään. Tietosuojaan liittyvä ohjeistus on yksi tällainen asia, joka liittyy siihen moninaiseen säädöskudokseen, joka on työnantajan vastuulla.

Henkilötietojen käsittelyn riskiarviointi

Lähtökohtaisesti rekisterinpitäjän on tehtävä henkilötietojen käsittelyn riskiarviointi, ennen kuin henkilötietoja ryhdytään käsittelemään. Tietosuojavaltuutetun sivustolla on esitetty kuvio, jossa rekisteröidyn vapauksiin ja oikeuksiin liittyviä riskejä on arvioitu (Kuvio 1) riskien luonteen, laajuuden mukaan ja toisaalta tietojen rekisteröidyn tiedon tarkoituksen ja asiayhteyden mukaisesti. 

Arviossa on huomioitava henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
Kuvio 1. Rekisteriöidyn vapauksiin ja oikeuksiin kohdistuvat riskit. (Tietosuoja.fi).

Erityisesti rekisteröidyistä kerätyn tiedon laajuuteen ja tiedon säilytysaikaan tulisi kiinnittää huomiota. Tarpeettoman tiedon keräämistä tulisi lähtökohtaisesti välttää ja toisaalta säilytysaikojen suhteen tulisi laatia selkeät säännöt ja huolehtia viipymättä tarpeettomien aineistojen tietoturvallisesta hävittämisestä.

Esimerkiksi Kuvion 1 Asiayhteys-osiossa olevien eri yhteyksistä kerättyjen henkilötietojen yhdistely ja toisaalta henkilöiden tunnistaminen kolmannen kautta ovat sellaisia arkipäiväisiä asioita, joihin ei välttämättä osata edelleenkään kiinnittää riittävästi huomiota.

Riskien tason arvioinnin helpottamiseksi olen ottanut tähän myös kuvan tietoturvaloukkauksien riskiluokista (Kuvio 2.).

Kun henkilötietojen käsittelystä aiheutuvat riskit on tunnistettu, on arvioitava riskin ja siitä aiheutuvan haitan vakavuutta ja todennäköisyyttä.
Kuvio 2. Tietosuojaloukkauksen riskiluokat. (Tietosuoja.fi).

Kuviossa 2. on esitetty tietosuojaloukkauksen riskiluokat. Riskikartoituksessa on hyvä analysoida riskiluokkia hieman laajemmin. Jos esimerkiksi yrityksessä on runsaasti matalia riskejä, joiden vaikutus sinällään on matala, voivat ne kuitenkin yhdessä muuttua vakaviksi ja korkea riski toteutuu.

Opinnäytetyö henkilötietojen käsittelyn näkökulmasta

Opinnäytetyössä henkilötietojen käsittely on opinnäytetyön tekijän vastuulla. Taulukossa 1 pyrin esittämään tietosuojaan liittyvän tiedon hallinnointia korkeakouluorganisaatiossa. Pyrin saamaan taulukkoon tietosuojan näkökulmasta niitä asioita, joihin tulisi kyetä kiinnittämään huomiota toisaalta oppilaitoksen henkilötietojen hallintaan, mutta aivan erityisesti opinnäytetöihin liittyvään henkilötiedon hallintaan ja sen asianmukaisuuteen. Taulukko toimii samalla tarkastuslokina tehdyistä toimenpiteistä ja sitä tulee edelleen muokata vastaamaan käytännön tilannetta ja vaatimuksia.

Tarkastelun kohdeKuvausArvioiJohdaSeuraa
Toimin­nan säännön­mukaisuusToiminnan säännön­mukaisuus on johdon vastuulla. Johto valvoo, että toimin­nassa noudatetaan lakeja ja asetuksia. Johto delegoi tehtävän hoitamisen yrityksen tieto­suoja­vastaavalle ja johdon vastuulle kuuluu huolehtia riittävistä tiedollisista ja ajallisista resursseista suoriutua tietosuojaan liittyvistä tehtävistä.
StrategiaOrganisaation strategiassa huomioidaan liiketoiminnan nykyiset ja tulevat tarpeet tietosuojan näkökulmasta.
TietosuojavastaavaAsiantuntija, joka huolehtii, että organisaation tietosuojaan liittyvät asiat ovat ajan tasalla, tiedottaa ja ohjeistaa organisaatiolle tarvittavista tietosuojaan liittyvistä säädöksistä, niiden muutoksista ja käytännön toimenpiteistä niiden toteuttamiseksi.
Laatii tietosuojaselosteen ja ohjeistaa tietosuojaan liittyvät toimintamallit, kuten tutkittavan informointi, suostumus tutkimukseen osallistumiseen, suostumus henkilötietojen käsittelyyn ja tutkimukseen osallistumiseen, tietosuojan ennakkoarvio ja tietosuojan vaikutustenarviointi.
Toiminto- ja tehtäväkohtaiset ohjeetTietosuojavastaava ohjeistaa käytännön toimenpiteet eri toimintojen ja tehtävien osalta.
OpinnäytetyöOpinnäytetyöhön liittyvät tietosuojaan ja henkilötietojen käsittelyyn liittyvien prosessien selkeyttäminen ja tiedottaminen opettajille ja opinnäytetyön tekijöille.
Taulukko 1. Tietosuojaan liittyvän tiedon hallinnointi korkeakouluorganisaatiossa.

Henkilötietojen käsittely ja siihen liittyvät säädökset on siis otettava huomioon, kun tehdään opinnäytetyötä. Vastaavasti kursseihin liittyvien harjoitustehtävien osalta tulkinta on, että ne kuuluvat henkilökohtaisessa toiminnassa tapahtuvaksi käsittelyksi, jolloin niihin ei sovelleta tietosuoja-asetusta, joskin myös niissä tulee henkilötietojen asianmukainen käsittely huomioida. (Tietosuojaohje opiskelijoille.)

Helppo tapa tunnistaa, onko kyse henkilötietojen keräämisestä ja käsittelystä, on se yksinkertainen sääntö, että mikäli aineisto liittyy elossa oleviin ihmisiin, niin silloin on aina kyse henkilötietojen keräämisestä ja käsittelystä. Tietosuojasäännöksiä ei kuitenkaan sovelleta valmiiksi anonymisoituihin aineistoihin, mutta se koskee myös julkaistuja henkilötietoja, kuten esimerkiksi verkosta kerättäviä tietoja. (Tietosuojaohje opiskelijoille.)

Voitaneen ajatella, että sääntelyn ensisijaisena tarkoituksena on nimenomaisesti suojata tutkittavia ja heidän oikeuksiaan, kun he ovat tutkimuksen kohteena. Kuitenkin käytännössä tietosuoja-asetuksen (EU 2016/679) ja tietosuojalain (1050/2018) noudattamisella varmistetaan niin tutkittavien oikeuksien toteutuminen kuin myös tutkijan oma oikeusturva. Noudattamalla säädöksiä varmistetaan, että konflikteja ei synny tai jos niitä syntyy, on niin tutkijalla kuin organisaatiolla valmis toimintamalli, jolla konflikti voidaan ratkaista.

Tutkimuskontekstissa tutkittavia tulee informoida erityisesti siitä, miten aineistoja käsitellään heidän henkilötietojensa näkökulmasta. Tietojen kerääminen voi käytännössä tapahtua usealla erilaisella tavalla, kuten kyselylomakkeella (paperinen tai digitaalinen), haastattelemalla tutkittavia, havainnoimalla, keräämällä tietoja verkkopaleluista, joko suoraan yritysten tai henkilöiden sivustoilta tai esimerkiksi lehtihaastatteluista. Myös haastateltavan ääni, valokuva tai video ovat henkilötietoa. Lisäksi on huomattava, että myös nimettömänä vastattavissa kyselytutkimuksista käsitellään henkilötietoja, mikäli vastaaja voidaan tunnistaa suoraan tai välillisesti kerätystä tiedosta. Tunnistettavuus toteutuu, mikäli henkilön lähipiiri tai tutkimusta tekevä voi henkilön tunnistaa. (Tietosuojaohje opiskelijoille.) Esimerkki 1. Jos haluat tutkia esimerkiksi Vaasan ammattikorkeakoulun opettajakuntaa ja lähetät kyselylomakkeen, jossa kysyt taustamuuttujaksi henkilön koulutusta, työyksikköä, ikää ja tehtävänimikettä, on käsissäsi sellainen tietokokonaisuus, joka riittää henkilön tunnistamiseen koko työyhteisössä ja pienellä taustatietojen etsimisellä todennäköiset vastaajat ovat myös kenen tahansa ulkopuolisen tunnistettavissa.

Tietosuojaohjeessa opiskelijoille mainitaan, että myös haastateltavan ääni, valokuva tai video ovat henkilötietoa. Tätä ei välttämättä tule heti ajatelleeksi.

Myös Sorvettula (2015) huomauttaa, että tietosuoja on yksityisyyden suojan toteuttamista käytännössä. Tietosuoja tarkoittaa ja on niitä periaatteita ja toimintakäytäntöjä, joilla ihmisten yksityisyyttä kunnioitetaan ja suojellaan oikeudellisia säännöksiä noudattaen. Jotta tietosuoja voidaan turvata, vaaditaan ammateissa työskenteleviltä henkilöiltä huolellisuutta ja tietämystä tietosuojaan liittyvistä vaatimuksista ja erityisesti organisaatioilta vaaditaan toimintamalleja. Tietosuojalla tarkoitetaan henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista kaikessa työyhteisön toiminnassa.

Tiivistän tähän Itä-Suomen yliopiston Tietosuojaohje opiskelijoille –sivuston ohjeet siitä, mitä tulee huomioida ennen henkilötietojen käsittelyn aloittamista.

  1. Määrittele tutkimussuunnitelmassa tarkasti mitä, mihin ja miten henkilötietoja käsittelet.
  2. Kuvaa tutkimussuunnitelmassasi opinnäytetyössä/tutkimuksessa tarvittavien henkilötietojen käsittelyä ja säilytystä koskevat asiat. Älä kerää tarpeettomia tietoja ja muista, että voit käyttää tietoja vain kuvattuun tarkoitukseen. Tätä kutsutaan käyttösidonnaisuustarkoitukseksi.
  3. Rekisterinpitäjän arviointi ja tunnistaminen:
    1. jos suoritat tutkimuksen itsenäisesti, olet rekisterinpitäjä,
    2. jos määrittelet yhdessä toisen opiskelijan kanssa, sairaalan tai yliopiston kanssa on kyse yhteisrekisterinpitäjyydestä,
    3. mikäli yritys määrittelee ne yksin (teet opinnäytetyön toimeksiantona ja yritys haluaa tietyt taustamuuttujat) on silloin tilaaja rekisterinpitäjä ja opiskelija noudattaa tilaajan tietosuoja- ja tietoturvaohjeita ja toimii niiden mukaisesti,
    4. tutkimushankkeessa tehtävä opinnäytetyö on taho, joka vastaa tutkimusrekisteristä.

Opinnäytetyötä tehtäessä tulee pohtia seuraavia rekisterinpitäjyyteen liittyviä kohtia THL:n tietosuojavastaava Jaakko Reitun muistion mukaan, jota on lainattu myös tekstissä Tietosuojaohje opiskelijoille, ja josta olen sen tähän tekstiin ottanut:

  • ”henkilötietojen käsittelyn aloittamisesta (aloittaa henkilötietojen käsittely ja hyötyy siitä.
  • miksi henkilötietoja käsitellään (käsittelyn tarkoitus)
  • mitä henkilötietoja käsitellään
  • miten kauan henkilötietoja käsitellään/säilytetään/arkistoidaan
  • ketkä saavat käsitellä henkilötietoja ja mihin niitä siirretään
  • miten henkilötietoja käsitellään (käsittelyn keinot).” (Tietosuojaohje opiskelijoille.)

  1. Sinun tulee laatia tietosuojaseloste, jossa hän kuvaa henkilötietojen käsittelyn. Vaikka suoria henkilötunnisteita ei kerättäisikään ja riski henkilön tunnistamiseen epäsuorilla tunnisteilla olisi hyvin pieni, kannattaa seloste silti laatia. Voit sillä osoittaa tarvittaessa, että olet noudattanut tietosuojalainsäädäntöä. Sen voi liittää myös opinnäytetyön liitteeksi.
  2. Huolehdi tutkittaville tiedote tutkimuksestasi.
  3. Jos keräät tietoja viranomaisen henkilörekisteristä, tarvitset todennäköisesti tutkimusluvan.
  4. Varmista, että tietoja ei tarvitse siirtää muille. Varmista myös, että niitä ei siirretä EU/ETA-alueen ulkopuolille ns. kolmansiin maihin, sillä se on kiellettyä ilman tietosuoja-asetuksessa säädettyjä suojatoimia. Tiedot saattavat siirtyä kolmansiin maihin, jos käytät tallentamiseen pilvipalveluja tietokoneellasi tai mobiililaitteellasi.
  5. Tietosuojan vaikutustenarviointi tulee tehtäväksi, jos työssäsi käsitellään laajasti niin sanottuja arkaluontoisia henkilötietoja, joita ovat esimerkiksi uskonto, rotu, terveystiedot, ammattiliittoon kuuluminen, seksuaalinen suuntautuminen. Voit joutua tekemään myös tietosuojan vaikutusten arvioinnin, jossa arvioit henkilötietojen käsittelyn aiheuttamaa riskiä tutkittaville. Tämän voit selvittää tekemällä tietosuojan ennakkoarvioinnin, jonka perusteella voit päätellä, tuleeko vaikutustenarviointi tehtäväksi.
  6. Eettisen ennakkoarvioinnin tarpeen arviointi kannattaa keskustella ohjaajan kanssa. Lähtökohtaisesti opinnäytetyön aiheen tulee olla sellaisia, että niistä ei tarvitse eettistä ennakkoarviointia pyytää. (Tietosuojaohje opiskelijalle.)

Loppupohdinta

Kuten edellä on tiivistetty, tulee opinnäytetyön osalta tarkastelun kohteeksi ottaa ainakin seuraavia keskeisiä elementtejä, joihin lukeutuvat tietojärjestelmät, opinnäytetyössä käsiteltävät henkilötiedot, kuinka, missä ja miten henkilötietoja käsitellään ja mikä on kyseisten henkilötietojen käyttötarkoitukset ja mitkä ovat niiden oikeusperusteet. Voidaanko esimerkiksi kolmas tunnistaa tutkimukseen osallistuneen kautta. Lisäksi huomioon otettavaksi tulevat erilaiset luvat esimerkiksi alaikäisten henkilötiedot (huoltajan lupa) ja kyselylomakkeen lähettäminen omaan korkeakouluyhteisöön (tutkimuslupa).

Riskiarvioinnissa on hyvä kartoittaa tietoturvaloukkausten mahdollisuus ja kuinka häiriöistä ja tapahtuneista tietoturvaloukkauksista ilmoitetaan sen kohteelle.

Yritykseltä vaaditaan seloste käsittelytoimista ja niiden informaatio rekisteröidylle (tietosuojaselosteet) lisäksi muu asiaan liittyvä osoitusvelvollisuus. Mikäli tietoja siirretään eri toimijoiden välillä, tulee myös kumppaninhallinta olla kunnossa. Tähän osa-alueeseen liittyvät mahdolliset siirrot ja sopimukset sekä myös toimenpiteiden lainmukaisuuden arviointi. Luonnollisesti kaiken lähtökohtana on jo edellä mainittu riskit tiedostava työskentelytapa, johon sisältyy niin vaikutusten arviointi kuin myös tietoturvariskien kartoittaminen ja toimenpiteet niiden hallintaan.

Tarvittavia työkaluja, joita tulisi opinnäytetyöprosessin tueksi tuottaa, ovat seuraavat mallipohjat:

  • Tietosuojaseloste
  • Tutkittavan informointi
  • Suostumus tutkimukseen osallistumiseen
  • Suostumus henkilötietojen käsittelyyn ja tutkimukseen osallistumiseen
  • Tietosuojan ennakkoarvio
  • Tietosuojan vaikutustenarviointi

Opiskelijan tulee säilyttää mainitut dokumentit vähintään sama aika, jonka hän säilyttää tutkimusaineistoa. (Tietosuojaohje opiskelijoille.)

Lopuksi tutkimusaineisto on hävitettävä tietoturvallisella tavalla. Älä siis heitä kirjallista aineistoa avoimiin roskiksiin, jotta aineisto ei päädy vääriin käsiin. (Tietosuojaohje opiskelijoille.)

Voi tietenkin kysyä, että onko nyt opinnäytetyön tekeminen mennyt liian hankalaksi, sillä se on tuottanut haasteita jo aiemminkin. Mielestäni ei ole. Tietosuojaan liittyvät säädökset ovat arkipäivää yrityksissä eikä oppilaitos tee tässä poikkeusta. Opiskelija oppii opinnäytetyöprosessissaan samalla myös tietosuojasta sellaisia asioita, jotka ovat otettava huomioon myös hänen tulevissa työtehtävissään. Tästä näkökulmasta tarkasteltuna kyseessä on mitä mainioin mahdollisuus harjoitella käytännössä tietosuojaan liittyviä yksityiskohtia.   

Lähteet
  • Laki kunnan ja hyvinvointialueen viranhaltijasta 304/2003. Finlex. Viitattu 12.8.2021. https://finlex.fi/fi/laki/ajantasa/2003/20030304

  • Sorvettula, J. 2015. Tietosuoja. Finnish Journal of eHealth and eWelfare 2015 7(1), 36-45.

  • Suomen perustuslaki 731/1999. Finlex. Viitattu 12.8.2021. https://finlex.fi/fi/laki/ajantasa/1999/19990731

  • Tietoarkisto. Tunnisteellisuus ja anonymisointi. Viitattu 12.8.2021. https://www.fsd.tuni.fi/fi/palvelut/aineistonhallinta/tunnisteellisuus-ja-anonymisointi/

  • Tietosuoja.fi. Arvioi riskit ja suunnittele toimenpiteet tietosuojan toteuttamiseksi. Viitattu 12.8.2021. https://tietosuoja.fi/arvioi-riskit

  • Tietosuoja.fi. 2010. Tietosuoja ja tieteellinen tutkimus. Viitattu 12.8.2021. https://tietosuoja.fi/documents/6927448/10594424/Tietosuoja+ja+tieteellinen+tutkimus/58d447d9-6d91-43ef-b583-997debcec83b/Tietosuoja+ja+tieteellinen+tutkimus.pdf

  • Tietosuojalaki 1050/2018. Finlex. Viitattu 12.8.2021. https://www.finlex.fi/fi/laki/ajantasa/2018/20181050

  • Tietosuojaohje opiskelijoille. Itä-Suomen yliopisto. Viitattu 13.8.2021. https://kamu.uef.fi/student-book/tietosuojaohje-opiskelijoille/

  • Työsopimuslaki 55/2001. Finlex. Viitattu 12.8.2021. https://www.finlex.fi/fi/laki/ajantasa/2001/20010055

  • Työturvallisuuslaki 738/2002. Finlex. Viitattu 12.8.2021. https://www.finlex.fi/fi/laki/ajantasa/2002/20020738

Aiheeseen liittyvää