Ota yhteyttä

Projektit, hankkeet ja TKI-toiminta GDPR-aikana

Henkilötiedot ja niiden käsittely Metropolian projekteissa, hankkeissa ja TKI-toiminnassa

Kaikissa Metropolian projekteissa, hankkeissa ja TKI-toiminnassa, joka pitää sisällään henkilötietoja, on aina otettava huomioon tietosuoja-asiat. Tämä on projekti- ja hankepäällikön sekä osaamisaluepäällikön ja innovaatiojohtajan vastuulla.

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilötiedon määritelmään kuuluvat sellaiset tiedot, joiden avulla henkilö voidaan tunnistaa suoraan, mutta myös sellaiset tiedot, joiden avulla henkilö voidaan tunnistaa välillisesti tai epäsuorasti huomioiden kohtuullisen todennäköisesti käytettävissä olevat keinot.

Erityisiä henkilötietoryhmiä ovat tiedot, joista ilmenee

  • rotu tai etninen alkuperä,
  • poliittisia mielipiteitä,
  • uskonnollinen tai filosofinen vakaumus,
  • ammattiliiton jäsenyys,
  • terveyttä koskevia tietoja,
  • seksuaalinen suuntautuminen tai käyttäytyminen,
  • henkilön tunnistamista varten käsitellyt geneettiset ja biometriset tiedot. Biometrinen henkilötieto rekisteröidyn yksiselitteistä tunnistamista varten voi olla myös henkilön valokuva.

Henkilötietojen käsittelylle pitää olla aina lain mukainen käsittelyperuste. Jos perustetta ei ole, ei henkilötietoja saa käsitellä. Vain käsittelyn tarkoituksen kannalta tarpeellisia tietoja saa käsitellä.

Erityisiin henkilötietoryhmiin (GDPR:n art. 9) kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Niitä saa käsitellä vain, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa (GDPR:ssä) tai erikseen unionin oikeudessa tai kansallisessa lainsäädännössä, kuten tietosuojalaissa.

Projekteissa ja hankkeissa käytettävistä työvälineistä

Projektissa käytettävän työvälineen valinta (tietojärjestelmän, sovelluksen, digityökalun yms. käyttöönoton valinta) on aina tietosuoja-asia silloin kun sen käyttöönotto joko

  • edellyttää sitä käyttävien henkilöiden rekisteröitymistä (henkilötietojen antamista järjestelmäntoimittajalle) tai,
  • jos sen avulla käsitellään henkilötietoa sisältäviä dokumentteja.

Rekisterinpitäjävastuu ja rekisteröityjen oikeudet projekteissa ja hankkeissa

Rekisterinpitäjävastuu syntyy yllättävän pienestä määrästä henkilötietoja ja niiden keräämisestä. Kun esimerkiksi työvälineen käyttöönotto edellyttää rekisteröitymistä, niin se, että annetaan järjestelmäntoimittajan/palveluntarjoajan käyttöön etunimi, sukunimi, sähköpostiosoite, tehtävänimike tai joku muu vastaava henkilötieto ja kun tämä kerätään useammalta eri henkilöltä, voi käsillä jo olla henkilörekisteri, ja rekisterinpitäjävastuut astuvat voimaan.

Rekisterinpitäjävastuisiin kuuluu muun muassa rekisteröityjen tietosuojaoikeuksista huolehtiminen ja oikeuksien toteuttaminen. Rekisterinpitäjällä on kuukausi aikaa vastata rekisteröidyn esittämään tietopyyntöön, joka koskee hänen omia henkilötietojaan. Kenellä tahansa metropolialaisella työntekijällä, projektitoimijalla tai opiskelijalla on oikeus saada tietää, missä kaikissa tietovarannoissa ja järjestelmissä Metropolialla on tallennettuna hänen henkilötietojaan.

Rekisterinpitäjällä on tämän vuoksi velvollisuus ylläpitää reaaliaikaista henkilötietoinventaaria siitä, missä kaikissa tietovarannoissa, järjestelmissä, sovelluksissa, pilvitallennusalustoilla yms. Metropolialla on tallennettuna rekisteröidyn henkilötietoja.

Rekisterinpitäjän on myös helpotettava rekisteröidyn oikeuksien käyttämistä. Rekisteröidyiltä tuleviin yhteydenottopyyntöihin ja esimerkiksi GDPR:n artiklan 15 mukaiseen omien henkilötietojen tarkastuspyyntöön, tulee projekti- tai hankepäällikön reagoida aina välittömästi, ja ohjata pyyntö tarpeen vaatiessa Metropolian tietosuojavastaavalle vastattavaksi.

Rekisterinpitäjän vastuisiin kuuluu rekisteröidyn riittävä tunnistaminen, koska rekisteröity (esim. Metropolian koordinoiman projektin ulkopuolinen osallistuja) voi käyttää oikeuksiaan vain omiin tietoihinsa ja esittää omia tietojaan koskia pyyntöjä. Kaverin tietoja ei voi saada tarkasteltavakseen tai esittää niitä koskevaa tietojen poistopyyntöä.

Projekteissa, hankkeissa ja TKI-toiminnassa käsitellään tyypillisesti henkilötietoja kahdessa tarkoituksessa

  1. projektin/hankkeen hallinnoinnissa (esim. yhteistyökumppaneiden, rahoittajatahojen yhteyshenkilöt ja heidän yhteystietonsa projekti-/hankeviestintää varten; hankkeen sopimuksissa ja niiden allekirjoittamisen yhteydessä kerätyt henkilötiedot)
  2. projektin/hankkeen sisältöön liittyvissä spesifeissä henkilötietojen käsittelytoimissa (esim. henkilötietoja kerätään muilla keinoin tai niitä käytetään esim. markkinointitarkoituksiin tai projektiin/hankkeeseen sisältyy ilmoittautumistietojen keräämistä, arviointikyselyjä, uutiskirjeiden lähettämistä)

Molemmissa tapauksissa voi muodostua henkilötietorekisteri. Henkilötietojen kerääminen, säilyttäminen, käsittely, mahdollinen luovuttaminen, poistaminen ja tuhoaminen on suunniteltava etukäteen ja kuvattava nämä selkeästi ja ymmärrettävällä tavalla tietosuojaselosteeseen.

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä myös vastaa mahdollisista tietoturvaloukkauksista. Metropolian projektien, hankkeiden ja TKI-toimintaan liittyvissä henkilötietorekistereissä rekisterinpitäjänä on aina Metropolia Ammattikorkeakoulu, ei yksittäinen projektipäällikkö tai muu yksittäinen projektityöntekijä.

Projektin/hankkeen tietosuojaselosteen kirjoittaminen (tai selvittäminen, voiko hyödyntää jo jotakin olemassa olevaa, Metropoliassa laadittua ns. ”valmista tietosuojaselostetta”) on projektipäällikön/hankepäällikön tehtävä. Metropolian tietosuojavastaavalta saa apua tehtävään.

Jos projektissasi tai hankkeessasi käsitellään henkilötietoja jotenkin muulla tavoin tai muilla tietojärjestelmillä kuin edellä mainitusta Metropolian projekti- ja hanketoiminnan hallintorekisterin alla tapahtuvasta kuvauksesta poikkeavasti, niin silloin projekti-/hankepäällikön tehtävänä on laatia hankkeen/projektin oma henkilörekisterin tietosuojaseloste. Siihen käytetään Metropolian tietosuojaselosteen mallipohjaa, joka löytyy Metropolian intranetin GDPR ja tietosuojasivuilta (edellyttää kirjautumista).

Tutkimusaineisto ja rekisteröity

Kun projektin, hankkeen tai tutkimuksen kohteena on ihminen tai inhimillinen toiminta, projekti- tai hankekohtainen aineisto tai tutkimusaineisto sisältää hyvin usein henkilötietoja. Aineiston käsittelyn keskeisiä periaatteita on suunnitelmallisuus, vastuullisuus ja lainmukaisuuden noudattaminen. Vain projektin, hankkeen tai tutkimuksen tarkoituksen kannalta välttämättömiä henkilötietoja saa kerätä ja käsitellä.

Koska erilaisissa tutkimuksissa kerättävät henkilötiedot, niiden käyttötarkoitus, käsittely (esim. mahdollisuus pseudonymisointiin ja anonymisointiin), luovutukset (mahdollisesti yhteistyökumppaneille), tallennustavat ja säilytysajat vaihtelevat suuresti, tulee jokaisen projektin ja hankeen sisältöön liittyvät, henkilötietoja sisältävät dokumentit myös kartoittaa erikseen ja kuvata tuohon projekti-/hankespesifiin tietosuojaselosteeseen läpinäkyvällä, ymmärrettävällä ja yksinkertaisella tavalla.

Tietosuojaseloste on tarkoitettu rekisteröityjen informoimiseen läpinäkyvällä ja ymmärrettävällä tavalla.

Jos jossakin projektissa tai hankkeessa tehdään nimenomaisesti tieteellistä tutkimusta ja projektin/hankkeen suunnitelma myös näin osoittaa, voidaan käyttää erityistilanteeseen soveltuvia henkilötietojen käsittelyohjeita. Jos tieteellisen tai historiallisen tutkimuksen tarkoituksen kannalta on välttämätöntä, voi tällaisessa tutkimusaineistossa käsitellä myös erityisiä henkilötietoryhmiä.

Silloin rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava erityisen tarkasti rekisteröidyn oikeuksista. Tietosuojalain (1050/2018) 6§ on lueteltu erityiset toimenpiteet, joilla rekisteröidyn oikeudet on suojattava. Yksi näistä toimenpiteistä on tietosuojaa koskeva vaikutustenarviointi.

Tutkittavan (rekisteröidyn) suostumus

Jos tutkimusaineiston henkilötiedot kerätään muuten kuin suoraan tutkittavalta (esim. rekisteritutkimus), tutkittavien informoinnin tarpeellisuus ratkaistaan erikseen lainsäädännön perusteella. Mutta jos osakin tiedoista hankintaan tutkittavalta itseltään (esim. haastattelut tai kyselyt) tutkittavan suostumus on välttämätön. Suostumus on välttämätön myös silloin, kun tutkimuksessa puututaan ihmisen koskemattomuuteen.

Suostumuksen lähtökohtana on, että suostumuksen antaja tietää ja ymmärtää, mihin suostuu. Tutkittavalle tulee kertoa selkeällä ja ymmärrettävällä tavalla tutkimuksen

  • tarkoituksesta
  • sen tekijöistä
  • siihen osallistuvalle mahdollisesti kohdistuvista riskeistä tai haitoista
  • osallistumisen ja tietojen antamisen vapaaehtoisuudesta
  • tietojen käsittelystä
  • salassapidettävyydestä
  • säilytysajasta
  • luovutuksista ja
  • mahdollisesta aineiston arkistoinnista ja avaamisesta.

ESR Henkilö -rekisteri

ESR-hankkeiden hallinnointiviranomaisen eli työ- ja elinkeinoministeriön vaatimuksesta hankkeisiin osallistujista kerätään ja käsitellään poikkeuksellisen yksityiskohtaisia tietoja. Niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille, joten tietojen keräämisessä, käsittelyssä, tallentamisessa ja tuhoamisessa tulee kiinnittää erityistä huomiota tietosuojaan.

Metropolian intranetissä ESR-hankkeiden tiedonkeruuseen liittyviä ohjeita (edellyttää kirjautumista)

Kaikkien niiden ESR-hankkeiden, missä Metropolia on päätoteuttaja, osallistujien tiedot käsitellään Metropolian yhdessä ESR Henkilö -järjestelmää varten syötettävien henkilötietojen rekisterissä ja sen tietosuojaselosteessa.

Rekisterin tietosuojaseloste: ESR Henkilö -järjestelmää varten syötettävien henkilötietojen rekisteri/ Metropolia -tietosuojaseloste

Yksityisyyden suoja (tietosuoja) projektin ja hankkeen tuloksia julkaistaessa

Jos projektissasi tai hankkeessasi oli kohteena tutkittavia henkilöitä, tutkittavien tietoja ei yleensä ole tarpeen julkaista niin, että tutkittavat (rekisteröidyt) voidaan tunnistaa. Poikkeuksena voivat olla julkiset ja julkistetut henkilötiedot, jotka liittyvät esim. politiikkaan, hallinnolliseen päätöksentekoon, elinkeinoelämään tai kulttuuriin. Esim. asiantuntijahaastatteluihin voidaan tietoja antaneen luvalla sisällyttää hänen nimensä ja muita taustatietoja. Mutta on muistettava, että myös julkisuuden henkilöillä on yksityinen elämänpiiri, jota pitää kunnioittaa.

Lisätietoja

Metropolian tietosuojavastaava
tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)

Metropolian projektihallinnon johtaja Kimmo Virta
kimmo.virta [at] metropolia.fi (kimmo[dot]virta[at]metropolia[dot]fi)

Metropolian TKI-päällikkö Antti Laurikainen
antti.laurikainen [at] metropolia.fi (antti[dot]laurikainen[at]metropolia[dot]fi)