Tutkimuksen tietosuojaselosteen täyttöohje

Yleistä

Tietosuojaseloste tulee laatia huolellisesti, kaikki kohdat täyttäen ja tutkittavan ymmärtämää kieltä käyttäen. Lisäksi tutkimuksen asiakirjojen laadinnassa tulee kiinnittää huomiota siihen, että asiat on kuvattu kaikissa tutkimuksen asiakirjoissa yhdenmukaisesti henkilötietojen käsittelyn osalta (esimerkiksi tietosuojaseloste, tietosuojariskien itsearviointi tutkimuksessa, tutkimussuunnitelma, tutkittavien tiedote ja suostumusasiakirja). Tietosuojaseloste tulee päivittää säännöllisin väliajoin tietojen muuttuessa.

Kohta 1a.

Kirjaa kohtaan tutkimuksen suomenkielinen nimi ja sulkuihin englanninkielinen nimi, mikäli sellainen on.

Kohta 1b.

Lisää lomakkeen täyttö- tai päivityspäivämäärä.

Kohta 2a.

Kirjaa kohtaan rekisterinpitäjän nimi ja rekisterinpitäjän yhteystiedot. Rekisterinpitäjällä tarkoitetaan esimerkiksi oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä ei ole esimerkiksi tutkija, joka työ- ja palvelussuhteessaan tekee tutkimuslaitoksen tai sairaalan tutkimusta, vaan rekisterinpitäjä on tutkimuslaitos tai sairaala. Itsenäisesti toimiva, omaa yksityistä tutkimustaan suorittava tutkija on sen sijaan rekisterinpitäjä. Pirkanmaan hyvinvointialueella toteutettavien tutkimusten rekisterinpitäjä on pääsääntöisesti Pirkanmaan hyvinvointialue (Pirha) tai Pirkanmaan hyvinvointialue, Tampereen yliopistollinen sairaala (Tays). Toimeksianto- tai tilaustutkimuksissa tutkimuksen toimeksiantaja on kuitenkin yleensä rekisterinpitäjä.

Mikäli kyseessä on yhteisrekisteri, kirjaa kohtaan kaikkien rekisterinpitäjien nimet ja yhteystiedot (käytä tarvittaessa erillistä liitettä). Yhteisrekisteristä on kyse silloin, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot.

Kohta 2b.

Täytä kohta vain, mikäli kyseessä on yhteisrekisteri. Mikäli kyseessä on yhteisrekisteri, kuvaa tässä kohdassa eri rekisterinpitäjien todelliset tehtävät ja roolit kohdassa 13 kuvattujen rekisteröityjen oikeuksien toteuttamisessa. Kyseisessä kohdassa tulee kuvata kunkin rekisterinpitäjän tehtävät tutkimuksessa (esim. osallistuvatko tutkimuksen suorittamiseen / näytteiden käsittelyyn jne.). ja mihin rekisterinpitäjään tutkittava voi kussakin asiassa olla yhteydessä.

Pirkanmaan hyvinvointialueella toteutettavissa tutkimuksissa on erittäin harvoin kysymys yhteisrekisterinpitäjyydestä.

Kohta 3.

Kirjaa kohtaan Suomessa oleva yhteyshenkilö (esimerkiksi tutkimuksen vastaava tutkija tai tutkimusryhmän jäsen) ja hänen yhteystietonsa (puhelinnumero, osoite, sähköposti) tai anna muu yhteystieto Suomessa, josta tutkittavan on mahdollista saada tietoja henkilötietojen käsittelystä tässä tutkimuksessa.

Kohta 4.

Kirjaa kohtaan rekisterinpitäjän tietosuojavastaavan yhteystiedot.

Kohta 5.

Kirjaa kohtaan tutkimusrekisterin nimi.

Kohta 6a.

Kuvaa kohdassa lyhyesti (1-2 lausetta) tutkimuksen tarkoitus.

Kohta 6b.

Valitse tutkimuksessa käsiteltävien henkilötietojen ja arkaluontoisten henkilötietojen käsittelyn oikeusperuste.

Pirkanmaan hyvinvointialue ohjeistaa, että sikäli, kun hyvinvointialue toimii rekisterinpitäjänä tieteellisessä tutkimuksessa henkilötietojen käsittelyperusteena ohjeistetaan käyttämään EU:n tietosuoja-asetuksen art. 6(1)e (yleinen etu). Lisäksi on mahdollista käyttää täydentäviltä osin muita kuudennen artiklan oikeusperusteita.

Mikäli henkilötietojen käsittelyn oikeusperusteena on rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu, on kohdan 6 1 f yhteydessä kuvattava tehdyn tasapainotestin tulos ja mihin oikeutettuun etuun rekisterinpitäjä viittaa.

Arkaluonteisten henkilötietojen osalta ohjeistetaan käyttämään oikeusperusteena art. 9(2)i ja j (yleinen etu).

Lue lisää henkilötietojen käsittelystä Tietosuojavaltutetun toimiston sivuilta.

Kohta 7a.

Kirjaa kohtaan, kuinka paljon tutkittavia tutkimukseen osallistuu (Suomessa ja kaikkiaan koko maailmassa).

Kohta 7b.

Kirjaa kohtaan kuvaus siitä, mistä tietolähteistä rekisteriin tallennettavat tiedot kerätään sekä mitä tietoa kustakin tietolähteestä kerätään. Viittaus tutkimussuunnitelmaan ei ole riittävä. Tietolähteitä ovat esimerkiksi tutkittava ja hänen omaisensa, potilasrekisteri, muut rekisterit (esimerkiksi KELA), muut tutkimusrekisterit. Kerättävät henkilöiden yksilöinti- ja tunnistustiedot tulee luetella (kuten nimi, henkilötunnus, yhteystiedot). Muilta osin riittää tietotyyppien tai ryhmien kuvaus (kuten kuvantamistulokset, lääkitystiedot, diagnoositiedot, demografiset tiedot, hoitohistoria, sairaushistoria, muut hoitotiedot, tutkittavilta kerättävät biologiset näytteet, geneettiset näytteet ja geneettiset tiedot). Myös koodattu / pseudonymisoitu tieto on henkilötietoa.

Kohta 8a.

Nimeä tässä kohdassa kaikki tutkimukseen osallistuvat tutkimuskeskukset.

Lisäksi kuvaa tässä kohdassa kaikki muut tällä hetkellä tiedossa olevat henkilötietojen (mukaan lukien tutkittavilta kerätyt biologiset näytteet, geneettiset näytteet ja geneettiset tiedot) vastaanottajat tai vastaanottajaryhmät joiden kanssa tehdään yhteistyötä tutkimuksen toteuttamiseksi ja joille siirretään henkilötietoja, pois lukien julkaisutoiminta, joka kuvataan kohdassa 9. Siirrolla tarkoitetaan henkilötietojen siirtoa henkilötietojen käsittelijäorganisaatiolle, jolloin rekisterinpitäjä ei muutu.

Kuvaa tässä kohdassa myös, mitä henkilötietoryhmiä siirretään ko. vastaanottajalle (esimerkiksi potilastiedot, kudosnäytteet, geneettiset näytteet, laboratorionäytteet, kuvantaminen, mittausdata).

Kohta 8b.

Ilmoita tässä, mille rekisterinpitäjäorganisaatiolle henkilötietoja luovutetaan. Henkilötietojen luovutuksella tarkoitetaan tietojen luovutusta toiselle rekisterinpitäjäorganisaatiolle, josta tulee luovutettujen henkilötietojen rekisterinpitäjä.

Kuvaa tässä kohdassa myös, mitä henkilötietoryhmiä luovutetaan kyseessä olevalle vastaanottajalle (esimerkiksi potilastiedot, kudosnäytteet, geneettiset näytteet, laboratorionäytteet, kuvantaminen, mittausdata).

Kohta 9.

Valitse kohdasta kaikki mahdolliset julkaisukanavat, joissa tutkimuksen tuloksia on tarkoitus julkaista.

Kohta 10.

Mikäli tietoja ja näytteitä ei siirretä EU:n tai ETA:n ulkopuolelle rastita kohdan 10 ensimmäinen kohta. Anna tässä kohdassa tarkemmat tiedot kohdassa 8a ja 8b ilmoitetuista tietojen vastaanottajista, jotka sijaitsevat EU- tai ETA-maiden ulkopuolella, mukaan lukien kansainväliset järjestöt.

• mihin maahan ja/tai organisaatioon?
• mitä tietoja / biologisia näytteitä ja geneettisiä näytteitä / geneettisiä tietoja?
• missä muodossa (yksilöintitietoineen vai koodattuna)?
• mitä tarkoitusta varten?

Kyseiset tiedot tulee kirjata jokaisen organisaation osalta erikseen.

Lisäksi ilmoita myös tietojen siirroissa käytettävät suojatoimet: rastita sopiva kohta taulukon alta, ja kirjaa, mitä taulukossa lueteltuja maita kyseinen suojatoimi koskee.

Tarvittavat suojatoimet on kuvattu tietosuojaselosteessa. Alla lisätietoja:

• Henkilötietojen siirrot kolmansiin maihin tietosuoja-asetuksessa

Tietosuoja-asetus asettaa niin sanottuihin kolmansiin maihin eli EU:n ja ETA-alueen ulkopuolisiin maihin kohdistuville henkilötietojen siirroille normaalia korkeammat vaatimukset. Kolmansiin maihin kohdistuvien henkilötietojen siirtojen on täytettävä kaikki samat vaatimukset kuin EU-alueella tapahtuvien siirtojen ja tämän lisäksi tietosuoja-asetuksen viidennessä luvussa säädetyt lisävaatimukset. Tietosuoja-asetuksen V-luku sisältää kolme vaihtoehtoista tapaa, joista vähintään yhden on sovelluttava, jotta siirto on mahdollista toteuttaa. Nämä tavat ovat

• siirto tietosuojan riittävyyttä koskevan päätöksen perusteella, lue lisää (tietosuoja.fi)
• siirto asianmukaisia suojatoimia käyttäen sekä
• artiklan 49 rajatut erityistilanteita koskevat poikkeustilanteet.

Siirrot tietosuojan riittävyyttä koskevan päätöksen perusteella

Tietosuoja-asetuksen 45 artiklan perusteella Euroopan komissio voi tehdä päätöksen, jolla se toteaa tietyn kolmannen valtion tai kansainvälisen järjestön täyttävän riittävän tietosuojan tason. Hyväksyvän päätöksen piirissä oleville toimijoille voidaan tehdä henkilötietojen siirtoja samoilla edellytyksillä kuin EU- tai ETA-alueen jäsenvaltioiden sisällä. Hyväksyvä päätös voi olla kuitenkin sisällöllisesti rajoitettu.

Siirrot asianmukaisia suojatoimia käyttäen

Asianmukaiset suojatoimet on listattu tietosuojan 46 artiklassa. Suojatoimet on kuvattu artiklassa käyttäen melko laajoja ja liukuvia käsitteitä. Käytännössä merkittävin suojatoimi on komission hyväksymät vakiomuotoiset henkilötietojen käsittelyä koskevat sopimusehdot, jotka liitetään henkilötietojen siirtoa koskevan sopimuksen osaksi. Täyttääkseen asianmukaisia suojatoimia koskevan ehdon, vakioehtoihin ei saa tehdä vähäisiäkään muutoksia. Lisäksi edellytyksenä on, käytettävät suojatoimet ovat täytäntöönpanokelpoisia. Tämä tarkoittaa esim. ettei henkilötietojen käsittelyyn liity kohdemaassa pakottavaa lainsäädäntöä, joka tekisi sopimuksen solmimisen tavalla tai toisella tehottomaksi. Tämän tyyppistä lainsäädäntöä on monissa maissa erityisesti koskien julkishallintoa. Henkilötietojen siirtäminen kolmansiin maihin, joita koskien ei ole Euroopan komission tietosuojan riittävyyttä koskevaa päätöstä edellyttää siis tuntemusta myös kohdemaan tietosuojalainsäädännöstä.

Erityistilanteet

Asetuksen 49 artikla sisältää seitsemänkohtaisen listan poikkeustilanteista, joissa siirto kolmansiin maihin voidaan toteuttaa, vaikka kumpikaan aikaisemmin mainituista perusteista ei täyttyisi. Yksi poikkeusperusteista on rekisteröidyn nimenomainen suostumus henkilötietojen siirtoon kolmanteen maahan. Suostumuksen on oltava tietoinen ja rekisteröityä on tiedotettava siitä, että siirto saattaa vaarantaa hänen tietoturvansa tason luovutettavien henkilötietojen osalta. Asetuksen 49 artiklan poikkeukset ovat rajattu ainoastaan erityistilanteisiin. Niitä ei ole sallittua käyttää toistuvana käytäntönä siirrettäessä henkilötietoja kolmansiin maihin.

Kohta 11.

Kirjaa kohtaan tutkimuksen suunniteltu kesto ja henkilötietojen (myös näytteiden) säilytysaika tai arvio siitä. Tutkimuksen kesto tulee arvioida riittävän pitkäksi, jotta tutkimuksen aikana on mahdollista kerätä riittävä tutkimusaineisto, analysoida se ja julkaista tulokset. Säilytysaikaa arvioidessa tulee ottaa huomioon tietosuoja asetuksen mukainen käyttötarkoitussidonnaisuus ja tietojen säilytyksen minimointivelvoite. Minimointivelvoitteen mukaisesti tietojen säilytysaikaa tulee arvioida säännöllisin väliajoin tutkimuksen aikana.

Kohta 12.

Kirjaa kohtaan, miten tutkimuksen yhteydessä kerättyjä henkilötietoja käsitellään, pseudonymisoidussa vai anonymisoidussa muodossa, ja mitä tällä käytännössä tarkoitetaan (esimerkiksi, jos kyse on pseudonymisoiduista tiedoista, tällä tarkoitetaan, että tiedot yksilöidään numerosarjalla nimen sijaan ja lisäksi henkilötiedot de-identifioidaan siten, että niistä poistetaan kaikki tarpeettomasti yksilöitävät tunnisteet). Käytännössä lähes aina kaikki tutkimuksessa käsiteltävät tiedot ovat pseudonyymejä. Anonymisoituja tiedot ovat vasta silloin, kun yhteys tutkittavien yksilöintitietoihin on peruuttamattomasti estetty eikä tutkimustiedoista ole mahdollista enää millään keinolla tunnistaa yksittäistä tutkittavaa.

Kirjaa kohtaan, missä henkilötietoja sisältäviä fyysisiä (esimerkiksi paperit / biologiset näytteet / geeninäytteet) ja sähköisiä aineistoja säilytetään, missä muodossa (tunnisteellisena / pseudonymisoidussa / anonymisoidussa muodossa?) ja kenellä on pääsy tiloihin.

Kuvaa kohdassa myös, miten tietokannat on suojattu ja ketkä tietoihin ja tietojärjestelmiin pääsevät käsiksi. Lisäksi kohdassa tulee kuvata, miten tietojen salassapidosta on huolehdittu. (esimerkiksi ”Tietoja käsittelevät tutkimusryhmään kuuluvat henkilöt, jotka ovat sitoutuneet noudattamaan tutkimuksen toteuttamisessa tutkimuseettisen neuvottelukunnan hyvän tieteellisen käytännön ohjeita sekä pitämään salassa kaikki tutkimuksessa käsiteltävät henkilötiedot. Arkaluonteisen potilastiedon käsittelyssä on huomioitu erityisen korkea salassapitointressi. Tutkimusryhmien käytettäväksi annetut tiedot eristetään selkeästi omaksi kokonaisuudekseen. Pääsyä aineistoon kontrolloidaan ja valvotaan muun muassa rajoittamalla käyttöoikeuksia vain sallituille henkilöille ja keräämällä lokitietoja henkilötietojen käsittelystä.”)

Kohta 13a.

Tutkittavalla on milloin tahansa tutkimuksen aikana syytä ilmoittamatta oikeus peruuttaa suostumuksensa tutkimukseen osallistumiseen. Jos tutkittava haluaa peruuttaa suostumuksensa tutkimukseen osallistumiseen, tutkittava voi ilmoittaa tästä tutkimushenkilökunnalle.

Kohta 13b.

Tutkittavan henkilötietojen käsittelyyn liittyvät oikeudet riippuvat henkilötietojen käsittelyperusteesta, joka on määritelty tietosuojaselosteen kohdassa 6 b.

Tutkimukseen osallistuessaan tutkittavalla on lähtökohtaisesti käytössään tietosuoja-asetuksen mukaiset henkilötietojen käsittelyyn liittyvät oikeudet. Näistä tutkittavan oikeuksista on mahdollisuus poiketa tietyin tietosuojalain 31§:ssä tarkemmin määritellyin edellytyksin.

Rastita alta ne oikeudet, joita tutkittava voi käyttää tässä tutkimuksessa. Mikäli jostakin tutkittavan oikeudesta on tarkoitus poiketa, jätä kyseinen kohta rastittamatta.

• Oikeus saada tieto henkilötietojensa käsittelystä
  • Kohta rastitetaan riippumatta käsittelyperusteesta.
• Oikeus saada pääsy tietoihin
  • Kohta rastitetaan riippumatta käsittelyperusteesta.
• Oikeus tietojen oikaisemiseen
  • Kohta rastitetaan riippumatta käsittelyperusteesta.
• Oikeus henkilötietojen poistamiseen
  • Kohta rastitetaan, mikäli käsittelyperuste on jokin muu kuin lakisääteinen velvollisuus tai yleinen etu.
• Ei oikeutta henkilötietojen poistamiseen
  • Oikeutta henkilötietojen poistamiseen ei ole, mikäli lainsäädäntö edellyttää rekisterinpitäjää säilyttämään kyseessä olevat henkilötiedot osana tutkimusrekisteriä tietyn määräajan. Kohta voidaan rastittaa, mikäli käsittelyperuste on yleinen etu ja tutkimustulosten säilyttäminen on välttämätöntä.
• Oikeus käsittelyn rajoittamiseen
  • Kohta rastitetaan riippumatta käsittelyperusteesta.
• Vastustamisoikeus
  • Kohta rastitetaan, mikäli käsittelyperuste on EU:n tietosuoja-asetuksen 6. artiklan mukainen yleinen etu (6(1)e) tai oikeutettu etu (6(1)f).
• Oikeus peruuttaa henkilötietojen käsittelyyn annettu suostumus
  • Kohta rastitetaan, mikäli käsittelyperuste on rekisteröidyn suostumus (art. 6(1)a ja/tai 9(2)a).
• Tutkittavan oikeuksista poikkeaminen
  • Kohta rastitetaan, mikäli tutkimuksessa poiketaan tutkittavan henkilötietojen käsittelyä koskevista oikeuksista noudattaen tietosuojalain 31 §:n mukaista menettelyä.

Mikäli tutkittavan oikeuksista poiketaan käsiteltäessä arkaluonteisia henkilötietoja, rekisterinpitäjän on lisäksi laadittava tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Sen tiedot ja muut tietosuojavaltuutetun edellyttämät tiedot tulee toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle ennen tutkimuksen aloittamista. '

Lue lisää aiheesta rekisteröidyn oikeuksista poikkeaminen tieteellisen tai historiallisen tutkimuksen tai tilastoinnin yhteydessä. (tietosuoja.fi)

Jos tutkittava haluaa käyttää henkilötietojen käsittelyyn liittyviä oikeuksiaan, hänen tulee toimittaa kirjallinen pyyntö rekisterinpitäjälle. Kun Pirkanmaan hyvinvointialue on rekisterinpitäjä, lisää tietosuojaselosteen kohdan 13 loppuun seuraava lause: ”Kirjallinen pyyntö tulee toimittaa osoitteeseen Pirkanmaan hyvinvointialue, Kirjaamo, PL 2000, 33521 Tampere.” Rekisterinpitäjän ollessa jokin muu taho, ilmoitetaan tässä osoite, johon pyyntö lähetetään.

Kohta 14.

Ei vaadi täydennystä. Kyseessä olevat tiedot annetaan aina