Projektit, hankkeet ja TKI-toiminta GDPR-aikana

Henkilötiedot ja niiden käsittely Metropolian projekteissa, hankkeissa ja TKI-toiminnassa

Kaikissa Metropolian projekteissa, hankkeissa ja TKI-toiminnassa, joka pitää sisällään henkilötietoja, on aina otettava huomioon tietosuoja-asiat. Tämä on projekti- ja hankepäällikön sekä osaamisaluepäällikön ja innovaatiojohtajan vastuulla.

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilötiedon määritelmään kuuluvat sellaiset tiedot, joiden avulla henkilö voidaan tunnistaa suoraan, mutta myös sellaiset tiedot, joiden avulla henkilö voidaan tunnistaa välillisesti tai epäsuorasti huomioiden kohtuullisen todennäköisesti käytettävissä olevat keinot.

Erityisiä henkilötietoryhmiä ovat tiedot, joista ilmenee

  • rotu tai etninen alkuperä,
  • poliittisia mielipiteitä,
  • uskonnollinen tai filosofinen vakaumus,
  • ammattiliiton jäsenyys,
  • terveyttä koskevia tietoja,
  • seksuaalinen suuntautuminen tai käyttäytyminen,
  • henkilön tunnistamista varten käsitellyt geneettiset ja biometriset tiedot. Biometrinen henkilötieto on myös henkilön valokuva.

Henkilötietojen käsittelylle pitää olla aina lain mukainen käsittelyperuste. Jos perustetta ei ole, ei henkilötietoja saa käsitellä. Vain käsittelyn tarkoituksen kannalta tarpeellisia tietoja saa käsitellä.

Erityisiin henkilötietoryhmiin (GDPR:n art. 9) kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Niitä saa käsitellä vain, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa (GDPR:ssä) tai erikseen unionin oikeudessa tai kansallisessa lainsäädännössä, kuten tietosuojalaissa.

Projekteissa ja hankkeissa käytettävistä työvälineistä

Kaikissa Metropolian projekteissa, hankkeissa ja TKI-toiminnassa, joka pitää sisällään henkilötietoja, on aina otettava huomioon tietosuoja-asiat. Projektissa käytettävän työvälineen valinta (tietojärjestelmän, sovelluksen, digityökalun yms. käyttöönoton valinta) on aina tietosuoja-asia silloin kun sen käyttöönotto joko

  • edellyttää sitä käyttävien henkilöiden rekisteröitymistä (henkilötietojen antamista järjestelmäntoimittajalle) tai,
  • jos sen avulla käsitellään henkilötietoa sisältäviä dokumentteja.

Ennen sellaisen uuden työvälineen, ohjelmiston, tietojärjestelmän, sovelluksen jne. käyttöönottoa projektissa tai hankkeessa, joka ei kuulu Metropoliassa tietosuojan näkökulmasta tällä hetkellä hyväksyttyihin työskentely- ja opiskeluvälineisiin, tulee projekti-, hanke- tai innovaatiojohtajan käynnistää tietosuojan vaikutusten arviointi eli DPIA (Data Protection Impact Assessment).

Se käynnistetään täyttämällä Metropolian oma DPIA-lomake, joka löytyy OMA-intranetin ”GDPR ja tietosuoja” -sivuilta: Metropolian DPIA-lomake  (edellyttää kirjautumista).         

Uusia työvälineitä voi jatkossa ehdottaa kaikki metropolialaiset/Metropolian yksiköt nostettavaksi tietosuojan näkökulmasta hyväksyttävien listalle joko itsenäisesti DPIA-lomakkeen täyttämisen kautta tai Metropolian digimentoriverkoston kautta. Ohjeet ja DPIA:n hyväksyntäprosessi Metropoliassa on kuvattu OMA-intranetin ”GDPR ja tietosuoja” -sivuilla  (edellyttää kirjautumista).

Metropoliassa tietosuojan näkökulmasta tällä hetkellä hyväksytyt työskentely- ja opiskeluvälineet (järjestelmät, ohjelmistot jne.) löytyvät listattuna OMA-intranetistä, yläosan valikkopalkista Työkalut-valikosta.

Rekisterinpitäjävastuu ja rekisteröityjen oikeudet projekteissa ja hankkeissa

Rekisterinpitäjävastuu syntyy yllättävän pienestä määrästä henkilötietoja ja niiden keräämisestä. Kun esimerkiksi työvälineen käyttöönotto edellyttää rekisteröitymistä, niin se, että annetaan järjestelmäntoimittajan/palveluntarjoajan käyttöön etunimi, sukunimi, sähköpostiosoite, tehtävänimike tai joku muu vastaava henkilötieto ja kun tämä kerätään 5 eri henkilöltä, on käsillä henkilörekisteri, ja rekisterinpitäjävastuut astuvat voimaan.

Rekisterinpitäjän vastuisiin kuuluu rekisteröityjen tietosuojaoikeuksien toteuttaminen. Rekisterinpitäjällä on kuukausi aikaa vastata rekisteröidyn esittämään tietopyyntöön, joka koskee hänen omia henkilötietojaan. Kenellä tahansa metropolialaisella työntekijällä, projektitoimijalla tai opiskelijalla on oikeus saada tietää, missä kaikissa tietovarannoissa ja järjestelmissä Metropolialla on tallennettuna hänen henkilötietojaan.

Rekisterinpitäjällä on tämän vuoksi velvollisuus ylläpitää reaaliaikaista henkilötietoinventaaria siitä, missä kaikissa tietovarannoissa, järjestelmissä, sovelluksissa, pilvitallennusalustoilla yms. Metropolialla on tallennettuna rekisteröidyn henkilötietoja.

Rekisterinpitäjän on myös helpotettava rekisteröidyn oikeuksien käyttämistä. Rekisteröidyiltä tuleviin yhteydenottopyyntöihin ja esimerkiksi GDPR:n artiklan 15 mukaiseen omien henkilötietojen tarkastuspyyntöön, tulee projekti- tai hankepäällikön reagoida aina välittömästi, ja ohjata pyyntö tarpeen vaatiessa Metropolian tietosuojavastaavalle vastattavaksi.

Rekisterinpitäjän vastuisiin kuuluu rekisteröidyn vahva tunnistaminen, koska rekisteröity (esim. Metropolian työntekijä, projektissa oleva ulkopuolinen toimija, Metropolian opiskelija) on oikeus saada tietää vain, missä kaikissa tietovarannoissa ja järjestelmissä Metropolialla on tallennettuna rekisteröidyn omia henkilötietoja.

Projekteissa, hankkeissa ja TKI-toiminnassa käsitellään tyypillisesti henkilötietoja kahdessa tarkoituksessa

  1. projektin/hankkeen hallinnoinnissa (esim. yhteistyökumppaneiden, rahoittajatahojen yhteyshenkilöt ja heidän yhteystietonsa projekti-/hankeviestintää varten; hankkeen sopimuksissa ja niiden allekirjoittamisen yhteydessä kerätyt henkilötiedot)
  2. projektin/hankkeen sisältöön liittyvissä spesifeissä henkilötietojen käsittelytoimissa (esim. henkilötietoja kerätään muilla keinoin tai niitä käytetään esim. markkinointitarkoituksiin tai projektiin/hankkeeseen sisältyy ilmoittautumistietojen keräämistä, arviointikyselyjä, uutiskirjeiden lähettämistä)

Molemmissa tapauksissa muodostuu henkilötietorekisteri.  Henkilötietojen kerääminen, säilyttäminen, käsittely, mahdollinen luovuttaminen, poistaminen ja tuhoaminen on suunniteltava etukäteen ja kuvattava nämä selkeästi ja ymmärrettävällä tavalla tietosuojaselosteeseen.

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä myös vastaa mahdollisista tietoturvaloukkauksista. Metropolian projektien, hankkeiden ja TKI-toimintaan liittyvissä henkilötietorekistereissä rekisterinpitäjänä on aina Metropolia Ammattikorkeakoulu Oy, ei yksittäinen projektipäällikkö tai muu projektityöntekijä.

Projektin/hankkeen tietosuojaselosteen kirjoittaminen (tai selvittäminen, voiko hyödyntää jo jotakin olemassa olevaa, Metropoliassa laadittua ns. ”valmista tietosuojaselostetta”) on projektipäällikön/hankepäällikön tehtävä. Metropolian tietosuojavastaavalta saa apua tehtävään.

  1. Projektin /hankkeen hallinnointi

-> Valmis tietosuojaseloste Oma-intranetissä ”Metropolian projekti- ja hanketoiminnan hallintarekisterin tietosuojaseloste” (edellyttää kirjautumista).

  1. Projektin/hankkeen sisältöön liittyvät spesifit henkilötietojen käsittelytoimet

-> Ei valmiina olevaa tietosuojaselostetta -> Metropoliassa projekti-/hankepäällikön tehtävänä on laatia ”Metropolian xxx-hankkeen henkilörekisterin tietosuojaseloste”

Jos projektissasi tai hankkeessasi käsitellään henkilötietoja jotenkin muulla tavoin tai muilla tietojärjestelmillä kuin edellä mainitusta Metropolian projekti- ja hanketoiminnan hallintorekisterin alla tapahtuvasta kuvauksesta poikkeavasti, niin silloin projekti-/hankepäällikön tehtävänä on laatia hankkeen/projektin oma henkilörekisterin tietosuojaseloste. Siihen käytetään Metropolian tietosuojaselosteen mallipohjaa, joka löytyy OMA-intranetin ”GDPR ja tietosuoja” -sivuilta: Metropolian tietosuojaseloste (tyhjä mallipohja)  (edellyttää kirjautumista).                                    

Muulla tavoin tapahtuva henkilötietojen käsittely voi tarkoittaa esimerkiksi sitä, että:

  • henkilötiedot kerätään projektissasi/hankkeessasi muilla keinoin
  • henkilötietoja käytetään projektissasi/hankkeessasi esim. markkinointitarkoituksiin
  • sinulla on projektissasi/hankkeessasi tutkimuksellinen aineisto, joka sisältää henkilötietoja
  • projektiisi/hankkeeseesi sisältyy ilmoittautumistietojen keräämistä, arviointikyselyjä, uutiskirjeiden lähettämistä, palautekyselyjä, tai rahoittajan vaatimuksesta kerätään jollakin poikkeuksellisella tavalla henkilötietoja (HUOM: ESR -Henkilö hankkeen muodostama henkilörekisteri on jo huomioitu Metropoliassa ”keskitetysti/yhteisesti” ja siitä on laadittu kaikkien ESR-hanketoimijoiden käyttöön tarkoitettu tietosuojaseloste, Ks. kappale ”ESR Henkilö -rekisteri”)

Metropoliassa tietosuoja- ja tietoturvanäkökulmasta tapahtuneen tarkastelun läpikäyneet työvälineet (OMA:n lista) ovat sellaisia, joiden osalta työvälineen takana olevan palveluntarjoajan/järjestelmäntoimittajan kanssa on kirjoitettu GDPR:n edellyttämä henkilötietojen käsittelysopimus. Ko. työvälineet on myös kirjoitettu auki Metropolian projekti- ja hanketoiminnan hallintorekisterin tietosuojaselosteen asianmukaiseen kohtaan.

Jos tämän lisäksi aiot projektissasi/hankkeessasi ottaa käyttöön jonkin muun työvälineen, niin otathan yhteyttä Metropolian tietosuojavastaavaan. Tietosuojavastaava ja projektipäällikkö yhdessä arvioivat:

  1. onko aiotun työvälineen käyttö mahdollista GDPR-aikana,
  2. muodostuuko projektipäällikölle tarve laatia tietosuojaseloste, jossa rekisteröitymistä (henkilötietojen antamista esimerkiksi Slack-työvälineen takana olevalle Slack Technologies Inc. -nimiselle yritykselle) edellyttävän työvälineen käyttö ja työvälineen käytön kautta tapahtuva henkilötietojen käsittely myös palveluntarjoajan taholta, kuvataan rekisteröidyille avoimesti.

Tutkimusaineisto ja rekisteröity

Kun projektin, hankkeen tai tutkimuksen kohteena on ihminen tai inhimillinen toiminta, projekti- tai hankekohtainen aineisto tai tutkimusaineisto sisältää hyvin usein henkilötietoja. Aineiston käsittelyn keskeisiä periaatteita on suunnitelmallisuus, vastuullisuus ja lainmukaisuuden noudattaminen. Vain projektin, hankkeen tai tutkimuksen tarkoituksen kannalta välttämättömiä henkilötietoja saa kerätä ja käsitellä.

Koska erilaisissa tutkimuksissa kerättävät henkilötiedot, niiden käyttötarkoitus, käsittely (esim. mahdollisuus pseudonymisointiin ja anonymisointiin), luovutukset (mahdollisesti yhteistyökumppaneille), tallennustavat ja säilytysajat vaihtelevat suuresti, tulee jokaisen projektin ja hankeen sisältöön liittyvät, henkilötietoja sisältävät dokumentit myös kartoittaa erikseen ja kuvata tuohon projekti-/hankespesifiin tietosuojaselosteeseen totuudenmukaisesti, ymmärrettävällä ja yksinkertaisella tavalla.

Tietosuojaseloste on tarkoitettu rekisteröityjen informoimiseen ymmärrettävällä ja yksinkertaisella tavalla.

Jos jossakin projektissa tai hankkeessa tehdään nimenomaisesti tieteellistä tutkimusta ja projektin/hankkeen suunnitelma myös näin osoittaa, voidaan käyttää erityistilanteeseen soveltuvia henkilötietojen käsittelyohjeita. Jos tieteellisen tai historiallisen tutkimuksen tarkoituksen kannalta on välttämätöntä, voi tällaisessa tutkimusaineistossa käsitellä myös erityisiä henkilötietoryhmiä.

Silloin rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava erityisen tarkasti rekisteröidyn oikeuksista. Tietosuojalain (1050/2018) 6§ on lueteltu erityiset toimenpiteet, joilla rekisteröidyn oikeudet on suojattava. Yksi näistä toimenpiteistä on tietosuojaa koskeva vaikutustenarviointi.

Metropolian tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assement, DPIA) toteuttamiseen tarkoitetun DPIA-lomakke Oma-intranetissä  (edellyttää kirjautumista).

Täytä DPIA-lomake niin pitkälle kuin osaat, ja ole sen jälkeen yhteydessä Metropolian tietosuojavastaavaan.

Tutkittavan (rekisteröidyn) suostumus

Jos tutkimusaineiston henkilötiedot kerätään muuten kuin suoraan tutkittavalta (esim. rekisteritutkimus), tutkittavien informoinnin tarpeellisuus ratkaistaan erikseen lainsäädännön perusteella. Mutta jos osakin tiedoista hankintaan tutkittavalta itseltään (esim. haastattelut tai kyselyt) tutkittavan suostumus on välttämätön. Suostumus on välttämätön myös silloin, kun tutkimuksessa puututaan ihmisen koskemattomuuteen.

Suostumuksen lähtökohtana on, että suostumuksen antaja tietää ja ymmärtää, mihin suostuu. Tutkittavalle tulee kertoa selkeällä ja ymmärrettävällä tavalla tutkimuksen

  • tarkoituksesta
  • sen tekijöistä
  • siihen osallistuvalle mahdollisesti kohdistuvista riskeistä tai haitoista
  • osallistumisen ja tietojen antamisen vapaaehtoisuudesta
  • tietojen käsittelystä
  • salassapidettävyydestä
  • säilytysajasta
  • luovutuksista ja
  • mahdollisesta aineiston arkistoinnista ja avaamisesta.

ESR Henkilö -rekisteri

ESR-hankkeiden hallinnointiviranomaisen eli työ- ja elinkeinoministeriön vaatimuksesta hankkeisiin osallistujista kerätään ja käsitellään poikkeuksellisen yksityiskohtaisia tietoja. Niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille, joten tietojen keräämisessä, käsittelyssä, tallentamisessa ja tuhoamisessa tulee kiinnittää erityistä huomiota tietosuojaan.

Metropolian Oma-intranetissä ESR-hankkeiden tiedonkeruuseen liittyviä ohjeita  (edellyttää kirjautumista)

Kaikkien niiden ESR-hankkeiden, missä Metropolia on päätoteuttaja, osallistujien tiedot käsitellään Metropolian yhdessä ESR Henkilö -järjestelmää varten syötettävien henkilötietojen rekisterissä ja sen tietosuojaselosteessa.

Rekisterin tietosuojaseloste Oma-intranetissä: ESR Henkilö -järjestelmää varten syötettävien henkilötietojen rekisteri/ Metropolia -tietosuojaseloste  (edellyttää kirjautumista)

Osallistujille voi antaa lisätiedoksi myös Työ- ja elinkeinoministeriön materiaalin ”Euroopan sosiaalirahaston (ESR) rahoittamiin hankkeisiin osallistuvista henkilöistä kerättävät henkilötiedot ”.

Yksityisyyden suoja (tietosuoja) projektin ja hankkeen tuloksia julkaistaessa

Jos projektissasi tai hankkeessasi oli kohteena tutkittavia henkilöitä, tutkittavien tietoja ei yleensä ole tarpeen julkaista niin, että tutkittavat (rekisteröidyt) voidaan tunnistaa. Poikkeuksena voivat olla julkiset ja julkistetut henkilötiedot, jotka liittyvät esim. politiikkaan, hallinnolliseen päätöksentekoon, elinkeinoelämään tai kulttuuriin. Esim. asiantuntijahaastatteluihin voidaan tietoja antaneen luvalla sisällyttää hänen nimensä ja muita taustatietoja. Mutta on muistettava, että myös julkisuuden henkilöillä on yksityinen elämänpiiri, jota pitää kunnioittaa.

Lisätietoja

Metropolian tietosuojavastaava Tuulia Aarnio
tuulia.aarnio metropolia fi
tietosuojavastaava metropolia fi                      

Metropolian projektihallinnon johtaja Kimmo Virta
kimmo.virta metropolia fi

Metropolian TKI-päällikkö Antti Laurikainen
antti.laurikainen metropolia fi