Opiskelijaruokailu
Sähköposti
Viva Engage
Peppi
eLearn Moodle
DigiCampus
Lukari
Kirjasto
MOT-sanakirjat
Sykettä.fi
ISYY
UEF Connect
uef.fi
UEF-verkkokauppa
Peppi
uef.fi
Heimo
Peppi UEF
Ajankohtaista
Uudelle opiskelijalle
Tohtorikoulutus
Opintoyhteisöt
Opiskelijoiden tukikanavat
Sivuaineet ja muut opinnot
Opinto-oppaat
Vaihto-opiskelu ja kansainvälistyminen
Osaamisen tunnustaminen
Opintoneuvonta
Lukuvuoden ajankohtia
Kampukset, tiedekunnat
Yliopistosanastoa
Sulje

Tarkenna hakuasi

  1. Etusivu
  2. Tietopankki
  3. Opintojen aikana
  4. Opiskelijan oikeudet ja velvollisuudet
  5. Tietosuojaohje opiskelijoille

ITÄ-SUOMEN YLIOPISTO

JOENSUU, KUOPIO

Perustutkinto-opiskelija Jatkotutkinto-opiskelija Jatkuva oppija

Tietosuojaohje opiskelijoille

Käsitteletkö harjoitustöissä tai opinnäytetyössäsi henkilötietoja?

Henkilötietoja ovat kaikki sellaiset tiedot, jotka voidaan liittää luonnolliseen henkilöön siten, että tämä voi tulla tunnistetuksi suoraan tai epäsuorasti. Suoria tunnisteita ovat esim. nimi, henkilötunnus, valokuva, videokuva, ääni, nimenmukainen sähköpostiosoite ja perinteinen allekirjoitus. Epäsuorasti henkilö voi tulla tunnistetuksi, jos hänestä on tiedossa riittävä määrä ns. epäsuoria tunnisteita ja niiden avulla henkilö voidaan tunnistaa ilman kohtuutonta vaivaa, esim. tiedetään henkilön ammattinimike ja työpaikka tai joku annettu asema (kaupunginhallituksen puheenjohtaja), jolloin henkilön tunnistaminen ei vaadi suurtakaan vaivaa.

Henkilötietojen käsittelystä säädetään tietosuojalainsäädännössä (EU:n yleinen tietosuoja-asetus [EU 2016/679], kotimainen tietosuojalaki [1050/2018] sekä erityislainsäädäntö). Henkilötietojen käsittelyä ovat kaikki sellaiset toimet, jotka kohdistetaan henkilötietoihin, esim. katselu, kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, pseudonymisointi, anonymisointi, poistaminen tai tuhoaminen.

Henkilötietoja käsitellään opiskelun yhteydessä yleensä joko opinnäytetyötä tehtäessä tai opintojen yhteydessä erilaisissa harjoitustehtävissä.

Pääsääntöisesti opinnäytteen tekijä kerää ja käsittelee henkilötietoja, jos opinnäyte liittyy elossa oleviin ihmisiin. Tietosuoja-asetusta ei sovelleta vainajiin, mutta tulee silti muistaa, että vainajan henkilötiedot voivat viitata myös hänen elossa oleviin jälkeläisiinsä, jotka voivat tulla tunnistetuiksi, vaikka eivät olisikaan tutkimuksen kohteena. Valmiiksi anonymisoitujen aineistojen käsittelyyn, joita saa esim. Tietoarkistosta, ei sovelleta tietosuojasäännöksiä. Tietosuojasääntely koskee myös julkaistuja henkilötietoja, kuten verkosta kerättäviä henkilötietoja.

Opiskelija voi kerätä henkilötietoja useilla eri tavoilla esimerkiksi

  • kyselylomakkeella (esim. Webropol)
  • haastattelemalla
  • havainnoimalla
  • keräämällä henkilötietoja verkkopalveluista (sosiaalinen media, erilaiset yritysten tai julkisten henkilöiden verkkosivut jne.)

Haastateltavan ääni, valokuva tai video ovat henkilötietoa. Nimettömänäkin vastattavassa kyselytutkimuksessa käsitellään henkilötietoja, jos kerätyistä tiedoista voidaan tunnistaa vastaaja suoraan taikka välillisesti. Pelkkien taustamuuttujien kerääminen voi johtaa henkilön tunnistamiseen (esim. ikä, sukupuoli, asuinpaikka, ammattinimike, työpaikka). Tunnistettavuus ei edellytä, että suuren joukon pitäisi tunnistaa henkilö, riittää että henkilön lähipiiri tai tutkimusta tekevä voi hänet tunnistaa.

Henkilötietojen käsittely erilaisten opintoihin liittyvien harjoitustehtävien yhteydessä (ei opinnäytetyö) voidaan katsoa kuuluvan henkilökohtaisessa toiminnassa tapahtuvaksi käsittelyksi (ns. kotitaluskäyttö), jolloin tietosuoja-asetusta ei sovellettaisi harjoitustehtäviin, mutta asianmukainen henkilötietojen käsittely tulee silloinkin huomioida (vrt. Edinburgh University: If your research is strictly for domestic purposes related to your own personal academic use whilst studying at the University, then your research may be exempt from the Data Protection Laws. However, you should still work as if the legislation applies as it also aligns with ethical best practice). Opinnäytetyön tekemistä varten kerättävien henkilötietojen käsittelyä ei sen sijaan voida katsoa kuuluvaksi ns. kotitalouskäytön piiriin.

Mitä tulee huomioida ennen henkilötietojen käsittelyn aloittamista?

Ennen henkilötietojen käsittelyn aloittamista:

  1. Määrittele mahdollisimman tarkasti mitä, mihin ja miten henkilötietoja käsittelet (esim. tutkimussuunnitelmassa).
  2. Kuvaa opinnäytetyössä/tutkimuksessa tarvittavien henkilötietojen käsittelyä ja säilytystä koskevat asiat osana tutkimussuunnitelmaasi (tai muuta vastaavaa kirjallista dokumenttia). Muista, että ylimääräisiä/tarpeettomia tietoja ei saa kerätä (henkilötietojen minimointi). Muista myös, että voit käyttää tietoja vain kuvattuun tarkoitukseen (käyttötarkoitussidonnaisuus).
  3. Arvioi ja tunnista rekisterinpitäjä. Rekisterinpitäjä on se, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Lähtökohtaisesti opinnäytetyössä ja tutkimustoiminnassa henkilötietojen käsittelyn tarkoitukset ja keinot määritellään tutkimussuunnitelmassa (tutkimuskysymykset = henkilötietojen käsittelyn tarkoitukset, tutkimusmenetelmät = henkilötietojen käsittelyn keinot). Jos suoritat tutkimuksen itsenäisesti itse tekemääsi tutkimussuunnitelmaan nojautuen, olet rekisterinpitäjä. Jos opiskelija ja joku muu taho (esim. toinen opiskelija, yliopisto, sairaala) yhdessä määrittelevät henkilötietojen käsittelyn tavoitteet ja keinot, kyse on yhteisrekisterinpitäjyydestä. Tällöin edellytetään, että aineisto tallennetaan yliopiston tietoturvakäytänteiden mukaisesti (eli et voi tallentaa aineistoa omalle koneellesi). Jos opiskelija tekee opinnäytteen osana tutkimushanketta, sen aineistosta ja sen määrittelemin tutkimuskysymyksin ja opinnäytetyö on osa tutkimushankkeen julkaisuja, rekisterinpitäjä on yleensä sama taho, joka muutoinkin vastaa kyseisestä tutkimusrekisteristä. Yksittäisissä toimeksiantotutkimuksissa (tyypillisesti joku työelämän organisaatio/yritys) tilaaja voi määritellä henkilötietojen käsittelyn tarkoitukset ja keinot, jolloin se voi olla rekisterinpitäjä. Tällöin opiskelijan tulee noudattaa tilaajan antamia tietosuoja- ja tietoturvaohjeita.Määriteltäessä opinnäytetyötä varten kerättävän datan rekisterinpitäjyyttä, pohdi seuraavia asioita yhdessä ohjaajasi kanssa kuka päättää (kysymysluettelon lähde: THL:n tietosuojavastaava Jarkko Reitun muistio rekisterinpitäjyydestä 8.5.2020):
    • henkilötietojen käsittelyn aloittamisesta (aloittaa henkilötietojen käsittely ja hyötyy siitä)
    • miksi henkilötietoja käsitellään (käsittelyn tarkoitus)
    • mitä henkilötietoja käsitellään
    • miten kauan henkilötietoja käsitellään/säilytetään/arkistoidaan
    • ketkä saavat käsitellä henkilötietoja ja mihin niitä siirretään
    • miten henkilötietoja käsitellään (käsittelyn keinot)
  4. Laadi tietosuojaseloste, jossa kuvaat henkilötietojen käsittelyn. Tietosuojaseloste kannattaa laatia, vaikka et keräisi suoria henkilötunnisteita ja riski henkilön tunnistamiseen epäsuorilla tunnisteilla olisi hyvin pieni. Tietosuojaseloste jää sinulle itsellesi ja voit tarvittaessa sillä osoittaa, että olet noudattanut tietosuojalainsäädäntöä. Halutessasi voit liittää sen opinnäytetyösi liitteeksi (jos olet itse rekisterinpitäjä, niin poista julkaistavasta tietosuojaselosteesta yhteystiedot, jätä näkyviin vain nimesi).
  5. Laadi tutkittaville tiedote tutkimuksestasi. Mieti miten hoidat tiedottamisen.
  6. Jos keräät henkilötietoja esim. viranomaisen henkilörekisteristä, saatat tarvita tutkimusluvan. Tietosuojaseloste on hyvä liittää tutkimuslupa-anomukseen.
  7. Varmista, ettei tietoja tarvitse siirtää muille, eikä EU/ETA-alueen ulkopuolelle ns. kolmansiin maihin. Henkilötietojen siirto kolmansiin maihin on kiellettyä ilman tietosuoja-asetuksessa säädettyjä suojatoimia. Jos käytät esim. ilmaisia pilvipalveluita omalla mobiililaitteellasi tai tietokoneellasi, tiedot voivat siirtyä EU/ETA alueen ulkopuolelle.
  8. Jos opinnäytetyössäsi käsitellään laajasti ns. arkaluonteisia henkilötietoja (esim. terveystiedot, rotu, uskonnollinen tai poliittinen vakaumus, ammattiliittoon kuuluminen, seksuaalinen suuntautuminen), saatat joutua tekemään myös tietosuojan vaikutustenarvioinnin, jossa arviot henkilötietojen käsittelyn aiheuttamaa riskiä tutkittaville. Vaikutustenarvioinnin tarpeellisuuden voit selvittää tekemällä tietosuojan ennakkoarvion, jonka perusteella voit päätellä tuleeko vaikutustenarviointi tehtäväksi.
  9. Ohjaaja ja opiskelija arvioivat eettisen ennakkoarvioinnin tarpeen. Itä-Suomen yliopistossa opinnäytetöitä ei lähtökohtaisesti käsitellä UEFin tutkimuseettisessä toimikunnassa. Opinnäytetöiden aiheiden tulee olla sellaisia, ettei niistä tarvitse pyytää eettistä ennakkoarvioita.

Henkilötietojen käsittelyn tarkoitus, käsittelyn oikeusperuste ja suostumuksen pyytäminen

Henkilötietojen käsittelyn tarkoitus ja oikeusperuste eivät ole sama asia. Käsittelyn tarkoitus tarkoittaa sitä, että henkilötiedot kerätään vain tiettyä käyttötarkoitusta varten (esim. palvelussuhteen hoitaminen, asiakassuhteen ylläpito, jäsentietojen ylläpito, potilaan hoidon suunnittelu toteutus ja seuranta, opinnäytetyön tekeminen, tietty tieteellinen ja historiallinen tutkimus, tilastointi, yleisen edun mukainen arkistointi). Jokainen tieteellinen tutkimus tai opinnäytetyö tieteellisenä tutkimuksena on oma erillinen käyttötarkoituksensa, koska tutkimussuunnitelmissa määritellään erikseen tutkimuskysymykset (= henkilötietojen käsittelyn tarkoitukset) ja tutkimusmenetelmät (=henkilötietojen käsittelyn keinot).

Henkilötietojen käsittelylle pitää aina olla laillinen käsittelyperuste ja se on määritettävä ennen käsittelyn aloittamista. Perustetta ei voi vaihtaa toiseen sen jälkeen, kun käsittely on sidottu johonkin perusteeseen. Käsittelyperuste vaikuttaa siihen, mitä oikeuksia tutkittavilla on suhteessa rekisterinpitäjää. Tieteellisessä tutkimuksessa oikeudellinen käsittelyperuste on yleensä yleinen etu (käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tarkemmin tieteellisen tutkimuksen tekemiseksi).

Käsittelyperuste kirjataan tietosuojaselosteeseen ja se kerrotaan myös tutkittaville annettavassa informaatiossa. Jos opinnäytteen suunnitelma (kandityö) ei täytä tutkimusalalle asetettuja tieteellisyyden kriteereitä, käsittelyn oikeusperuste ei voi olla yleisen edun mukainen tieteellinen tutkimus, vaan perusteena tulee käyttää esimerkiksi tutkittavan suostumusta.

Kaikilta, joilta tietoa kerätään suoraan, tarvitaan aina myös suostumus osallistua tutkimukseen (ns. eettinen osallistumissuostumus, ei suostumus henkilötietojen käsittelyyn). Osallistumissuostumuksen voi pyytää joko kirjallisena, suullisena haastattelun alussa tai kyselytutkimuksessa rastitettavana kohtana sen jälkeen, kun tutkittava on saanut erillisen tiedotteen tutkimuksesta.

  • Esimerkki: Webropol-kyselyissä opinnäytteen tekijä voi tehdä kyselyn yhteyteen erillisen johdantokappaleen [=tiedote tutkittavalle], jossa kerrotaan yleistiedot tutkimuksesta sekä tarkemmin henkilötietojen käsittelystä tutkimuksen yhteydessä (tietosuoja-asetuksen määrittämät tutkittavalle annettavat tiedot). Informaatio voi olla myös linkkinä tai tiedostona kuitenkin siten, että se voidaan lukea ennen suostumuksen antamista ja on erillään suostumuksesta. Informaatio voidaan antaa myös erillisesti ennen kyselyyn vastaamista esim. jos tutkittavat rekrytoidaan sähköpostitse. Kyselyn yhteyteen tehdään suostumus siten, että tutkittava voi sen rastittaa ennen kuin pääsee vastaamaan kyselyyn. Muistathan poistaa keräämäsi tiedot Webropolista viimeistään tutkimuksesi päätyttyä.
  • Suostumus voidaan kysyä myös suullisesti haastattelun alussa kuitenkin niin, että informaatio tutkimuksesta ja henkilötietojen käsittelystä on annettu ennen suostumuksen kysymistä joko kirjallisena tai suullisena.
  • Suostumus voidaan kysyä myös kirjallisena. Muista kuitenkin, että pyytäessäsi kirjallisen suostumuksen otat siihen allekirjoituksen, joka sisältää suoran henkilötunnisteen ja siten keräämäsi suostumukset muodostavat myös henkilörekisterin.
  • Kun käytät suostumusta käsittelyn henkilötietojen käsittelyn oikeusperusteena, pyydä myös suostumus henkilötietojen käsittelyyn (kuvaamaasi käyttötarkoitukseen).

UEFin tarjoamat mallipohjat, joita tarvitset:

(Luetteloa mallipohjista ylläpidetään Heimon palveluhakemistossa, Henkilötietojen käsittely tieteellisessä tutkimuksessa -sivulla.)

  • Tietosuojaseloste
  • Tutkittavan informointi
  • Suostumus tutkimukseen osallistumiseen
  • Suostumus henkilötietojen käsittelyyn ja tutkimukseen osallistumiseen
  • Tietosuojan ennakkoarvio
  • Tietosuojan vaikutustenarviointi

Säilytä dokumentit itselläsi vähintään sama aika, jonka säilytät tutkimusaineistoasi.

Huolehdi riittävästä tietoturvasta

Opinnäytteen aineisto kannattaa pseudonymisoida (suorien tunnistetietojen poisto ja säilytys erillään) tai anonymisoida (kaikki henkilötiedot poistetaan siten, että mitään mahdollisuutta palata tunnisteelliseen tietoon ei enää ole) suojatoimena. Opiskelijan täytyy tallentaa aineisto tietoturvalliseen paikkaan joko yliopiston tarjoamille alustoille tai omalle tietokoneelle huolehtien aineiston riittävästä suojauksesta.

Jos henkilötietoa häviää tai joutuu sivullisten saataville, on kyse ns. tietoturvapoikkeamasta/-loukkauksesta. Jos epäilet tällaista tapahtuneen, ilmoita siitä välittömästä lisäohjeiden saamiseksi: abuse@uef.fi tai tietosuoja@uef.fi. Poikkeama/loukkaus on kyseessä yleensä myös silloin, jos tiedon tallennusvälinen katoaa tai varastetaan (kuten puhelin tai tietokone).

Huomaathan myös, että et voi keskustella tutkittavalta saamistasi luottamuksellisista henkilötiedoista sivullisten kanssa. Salassapitovelvollisuuteen kuuluvat kielto näyttää tai luovuttaa asiakirjaa sivulliselle (asiakirjasalaisuus), kielto paljastaa salassa pidettävän asiakirjan sisältöä ja tallentamaton tieto, joka asiakirjaan merkittynä olisi salassa pidettävä (vaitiolovelvollisuus) sekä kielto käyttää salassa pidettävää tietoa omaksi tai toisen hyödyksi tai vahingoksi (hyväksikäyttökielto). Opinnäytetyön ohjaajasi kanssa voit tarvittaessa läpikäydä aineistoa, koska hän ei ole opinnäytteeseesi nähden ulkopuolinen ja nimeät hänet tietosuojaselosteessa. Huomaathan kuitenkin, että jos olet itse rekisterinpitäjä aineiston luovuttaminen yliopistolle toiseen tarkoitukseen (ei tieteelliseen tutkimukseen), ei yleensä ole mahdollista.

Mitä tapahtuu henkilötiedoille, kun opinnäytetyösi on valmis?

Tutkimuksen jälkeen henkilötietoja sisältävä tutkimusaineisto on pääsääntöisesti hävitettävä tietoturvallisella tavalla, ettei aineisto päädy sivullisten käsiin. Älä heitä kirjallista aineistoa avoimeen paperinkeräykseen! Yliopistolla on lukollisia tietoturvaroskalaatikoita, joihin kirjallisen aineiston voi toimittaa. Verkkolevylle tai Webropoliin tallennetut tiedostot tulee poistaa ja muu aineisto hävittää tietoturvallisesti. Henkilötiedon elinkaaresta huolehtiminen on erityisen tärkeää. Henkilötietojen käsittelyllä on alku ja loppu. Joskus aineisto voidaan tallentaa tutkimuksen päätyttyä esim. Tietoarkistoon tai kielipankkiin.

Lisätietoja

Tietosuoja (Heimossa, vaatii kirjautumisen)  ja Tietoturvallisuus (Heimossa, vaatii kirjautumisen)

Tutkimuseettisen neuvottelukunnan (TENK) ohjeet

Tietosuojavaltuutetun toimiston ohjeet koskien tieteellistä tutkimusta

Ohjausta ja neuvoja saat tarvittaessa Itä-Suomen yliopiston tietosuojavastaavalta: tietosuoja@uef.fi, puh. 050 576 0282.

tietoturva opinnäytetyö tietosuoja tutkimus