EU:n tietosuoja-asetus ja tuleva tietosuojalaki puhuttavat tutkijoita

EU:n tietosuoja-asetus ja tuleva kansallinen lainsäädäntö ovat tämän vuoden kuuma puheenaihe, koska näillä on suuri vaikutus henkilötietoja sisältävien tutkimusaineistojen käyttöön ja arkistointiin. EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle vuonna 2012. Uudistuksessa pyrittiin turvaamaan henkilötietojen suoja perusoikeutena ja digitaalitalouden kehitys sekä tehostamaan rikollisuuden ja terrorismin torjuntaa. Tietosuojadirektiivi sekä yleinen tietosuoja-asetus astuivat voimaan 24.5.2016. Yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 alkaen, mitä ennen pitää tehdä kansallinen lainsäädäntö.

Loka-marraskuun 2017 vaihteessa Tietoarkiston ja Avoin tiede ja tutkimus -hankkeen järjestämät seminaarit tietosuojalainsäädännön muutoksista ja tutkittavan suostumuksesta keräsivät etäosallistujat mukaanlukien noin tuhat kuulijaa. Seminaarit järjestettiin loppuvuodesta, jotta kotimainen lainsäädäntö ja Euroopan tietosuojatyöryhmän suostumusta koskevat ohjeet olisivat valmistuneet. Näin ei kuitenkaan käynyt, vaan joudumme edelleenkin olemaan osin odottavalla kannalla. Kummassakin seminaarissa asiaa oli erittäin paljon enkä tässä pyri kattavaan esitykseen. Suosittelen kaikkia tietosuojasta kiinnostuneita tutustumaan seminaarien esitysvideoihin. Linkit videoihin löytyvät jutun lopusta.

Arja Kuula-Luumi (Tietoarkisto, tilaisuuden puheenjohtaja, kuvassa vasemmalla), Anna Hänninen (Tietosuojavaltuutetun toimisto) ja Marjut Salokannel (SaReCo Oy) vastaamassa yhdessä osallistujien kysymyksiin.

Tietosuoja neljännen teollisen vallankumouksen haasteena

Jukka Lång, tietosuojaan erikoistunut juristi ja intohimoinen historian harrastaja, kuvasi tietosuojaa neljännen teollisen vallankumouksen asettamaksi haasteeksi. Euroopassa keskeistä on yksilön itsemääräämisoikeus henkilötiedoista. Suomessa ensimmäinen tietosuojaa määrittelevä laki oli henkilörekisterilaki vuodelta 1987. Nyt on tietosuojan 30-juhlavuosi.

Tietosuoja-asetuksen konteksti on tulevassa. EU tähtää digitalouden kehittämiseen ja digitaalisiin sisämarkkinoihin. EU haluaa eri suuntaan kuin vapaasti kehittyvä teknologia. Jos yritys, esimerkiksi vakuutusyhtiö, voi käyttää dataa toimintansa tehostamiseen, sitä varmasti käytetään, jos datan käyttö ei ole säänneltyä.

Jukka Lång kytki esityksensä eurooppalaisen ja amerikkalaisen tietosuojakäsityksen eroihin ja jännitteeseen. USA:ssa tietosuojaa ei katsota perustavaksi lähtökohdaksi palveluita, kuten Facebookia, tehtäessä. Toisaalta USA:ssa yksityisyyden suoja on perinteisesti ollut vahva. Tämä juontuu right to be let alone -ajattelusta, jonka mukaan yksilöllä on oikeus olla rauhassa, jos ei itse ole asettautunut julkisuuteen.

Eurooppalaista tietosuoja-ajattelua määrittää totalitarismin varjo. Lång viittasi Stasin toimintaan DDR:ssä ja saksalaisten miehittäjien toimiin toisen maailmansodan aikana: esimerkiksi Hollannissa oli helppo löytää juutalaiset hyvien arkistojen vuoksi. Tätä taustaa vasten on ymmärrettävää miksi EU tekee niin velvoittavaa lainsäädäntöä tietosuojasta.

”Pohjoismaissa ei olisi tehty näin tiukkaa tietosuojaa, tässä asetuksessa Saksa ja eurooppalainen näkemys painavat enemmän”, Jukka Lång kertoo.

Tietosuojalaki ja kansallinen liikkumavara

Anu Talus (oikeusministeriö) kertoi tietosuoja-asetuksen nelivuotisesta valmistelusta EU:ssa ja kansallisesta jatkovalmistelusta. Valmistelevan TATTI- työryhmän mietintö valmistui kesäkuussa 2017, lausuntokierros tuotti yli sata lausuntoa ja työ jatkuu virkamiesvalmisteluna. Työryhmä valmistelee kansallista tietosuojalakia, joka täydentää EU:n tietosuoja-asetusta ja linjaa kansallisen liikkumavaran käyttöä.

Tavoitteena on, että rekisteröity eli tutkimusaineistoissa tutkittava voisi antaa kattavasti suostumukset, koska tutkimuksen alkuvaiheessa aineistoa kerättäessä ei välttämättä ole selvillä mihin kaikkeen aineistoa voi käyttää, siis tutkimuskohdetta ei voi tarkasti määritellä. Suostumuksen antaminen yksittäistä tutkimusta laajemmin tieteenalalle on mahdollista, kun noudatetaan tutkimuksen eettisiä standardeja.

Immo Aakkulan (OKM) aiheena oli tietosuoja-asetus ja arkistointi. Arkistointi on aina jotain muuta varten kuin alkuperäistä käyttötarkoitusta varten. Tietosuoja-asetus koskee keskeisimmiltä osin suoraan arkistoja ja EU:n asetusta täydennetään kansallisella tietosuojalailla. Arkistoinnista säädetään yhdessä tutkimuksen ja tilastollisen käsittelyn kanssa.

Päänvaivaa tulee aiheuttamaan tietojen minimoinnin periaate. Kaikki arkistoitava pitää pysyä perustelemaan ja rekisterinpitäjällä on osoitusvelvollisuus; rekisterinpitäjän pitää pystyä osoittamaan noudattavansa tietosuoja-asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä.

Tietosuoja ja tieteellinen tutkimus

Anna Hänninen Tietosuojavaltuutetun toimistosta kertoi tietosuoja-asetuksesta ja tieteellisestä tutkimuksesta. ”Tutkimusaineistoissa kaikki kulminoituu käyttötarkoitukseen ja sen määrittelyyn”, Anna Hänninen sanoi.

Keskeiset muutokset liittyvät pääsääntöisesti siihen, miten henkilötietojen käsittelystä on säädetty tietosuoja-asetuksessa. Näitä ovat mm. riskiperusteinen lähestymistapa eli tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Muita muutoksia ovat mm. osoitusvelvollisuus, rekisteröityjen (tutkittavien) oikeuksien vahvistuminen ja parempi läpinäkyvyys, tietosuoja-asetuksen yksityiskohtaisempi sääntely ja seuraamusjärjestelmä.

Anna Hänninen kertoi, että tietosuoja-asetuksessa huomioidaan tieteellisen tutkimuksen erityispiirteet ja tutkimuksen vapauden turvaaminen. Rekisteritutkimuksen merkitys tunnustetaan.

”Tietosuojaa ei voi liimata päälle, elinkaariajattelun mukaisesti tietosuojan pitää olla sisäänrakennettuna koko ajan.”

Tutkittavan suostumuksesta Anna Hänninen totesi, että tarkoituksena on harmonisoida suostumusta ja tietosuojaa ja läpinäkyvyyttä. Rekisterinpitäjän pitää pystyä osoittamaan, että suostumus on annettu.

Periaatteena on, että suostumusta pyydettäessä aineiston käyttötarkoitus on määritelty. Suostumus rajaa henkilötietojen jatkokäsittelyä yli käyttötarkoitussidonnaisuuden periaatteen; aineistoa voi käyttää myöhemmin, jos käyttötarkoitus on yhteensopiva. Tutkittavan suostumus ei kuitenkaan syrjäytä tietosuojaperiaatteita eli suostumusta ei voi antaa tietosuoja asetusta vastaan.

Suostumus voidaan antaa yhteen tai useampaan yksilöityyn tarkoitukseen, mutta suostumusta ei voi pyytää pakettina vaan käyttötarkoitukset määritellään erikseen.

Kaupallinen yritysten käyttämä tapa pyytää suostumusta osana käyttöehtoja pitkän tekstimassan jälkeen ei ole mahdollinen. ”Suostumus on annettava erillään muista asioista ja helposti ymmärrettävässä muodossa”, Anna Hänninen huomautti. Suostumus voi olla kirjallinen tai sen voi antaa muulla tavoin kuten suullisesti, jos rekisteröidyn (tutkittavan) henkilöllisyys on varmistettu. ”Arkaluontoisten aineistojen kohdalla vaaditaan nimenomainen suostumus. Tämä indikoi kirjallista suostumusta, ja tässä kohdin odotamme Euroopan tietosuojatyöryhmän sovellusohjetta ja lisätietoja”, Anna Hänninen sanoi. ”Rekisteröidyllä on myös oikeus peruuttaa suostumus, ja tämän on oltava yhtä helppoa kuin suostumuksen antaminen.”

Tietosuoja ja kansainvälinen tutkimusyhteistyö

Marjut Salokannel (SaReCo Oy) kertoi tietosuoja-asetuksesta ja kansainvälisestä tutkimusyhteistyöstä. EU muodostaa tutkimuksen sisämarkkinat ja tavoitteena on eurooppalainen tutkimusalue. Käytännössä tutkimusyhteistyölle on kuitenkin hallinnollisia ja lainsäädännöllisiä esteitä. Kansalliset liikkumavarat vaikeuttavat yhteistyötä, koska ne mahdollistavat eroja tietosuojassa. Joissain tapauksissa voidaan tehdä EU:ta tiukempaa sääntelyä, mutta tämä ei saa vaikeuttaa eurooppalaisen tutkimusalueen muodostumista.

Marjut Salokannel totesi, että pilvipalveluiden ja henkilötietojen kohdalla pitää olla tarkka siitä, pysyvätkö henkilötiedot EU:n sisällä vai siirretäänkö niitä EU:n ulkopuolelle. Kun tutkimusyhteistyö yltää EU:n ulkopuolelle, tietosuojan riittävyys on varmistettava. Tutkittavalta pyydettävässä suostumuksessa on mainittava tietojen siirrosta EU:n ulkopuolelle. Tutkimusyhteistyössä USA:n kanssa on muistettava, että USA:n tietosuoja, Safe Harbor ja sitä seurannut tietosuojasopimus, ei ole riittävä, vaan EU:n tietosuoja-asetusta on noudatettava.

Yhteenvetona Marjut Salokannel totesi, että mahdollisimman yhtenäinen sääntely EU:n sisällä palvelisi parhaiten kansainvälistä tutkimusyhteistyötä.

Heidi Laine kertoi tutkijanäkökulmasta yhteiskuntahistorian aineistoista. Tutkijoiden käytössä on henkilötietoja sisältäviä vanhoja aineistoja kuten haastatteluja, joiden käyttöön ei ole aikanaan pyydetty suostumusta. Helsingin yliopiston datapolitiikan mukaan tutkimusdata on lähtökohtaisesti avointa ja Heidi Laine itse pitää tutkimusaineistojen FAIR-periaatteesta. ”Sensitiivinenkin data voi olla avoimesti kuvailtu.”

Heidi Laine pohti, että tietosuojassa oikeus tulla unohdetuksi korostuu. ”Entä oikeus tulla muistetuksi? Suostumuksen itsemääräämisoikeus voisi ohittaa asetuksen rajoitteita. Miten käy hiljaisten historian?” Heidi Laine muistutti, että samaan aikaan Google kahmii dataa, mutta yleishyödyllisellä tutkimuksella on rajoitteita. Lopuksi Heidi Laine esitti oman toivelistaansa: Tutkittavan suostumus menisi yli kaiken, omadata-sovellukset saataisiin juhlapuheista käytäntöön ja eettinen arviointi koskisi myös yritysten henkilödatan käsittelyä.

Kuva: tietosuojaseminaari Arja Kuula-Luumi (Tietoarkisto, tilaisuuden puheenjohtaja, kuvassa vasemmalla), Anna Hänninen (Tietosuojavaltuutetun toimisto) ja Marjut Salokannel (SaReCo Oy) vastaamassa yhdessä osallistujien kysymyksiin.

Videoidut esitykset

EU:n tietosuoja-asetus – tietosuojalainsäädännön muutokset tutkimuksessa ja arkistoinnissa 31.10.2017

Jukka Lång: Eurooppalaisen tietosuojan historiasta ja tietosuoja-ajattelun eroista (video)
Anu Talus: EU:n Tietosuoja-asetuksen valmistelu
Immo Aakkula: EU:n tietosuoja-asetus ja arkistointi (pdf video)
Anna Hänninen: EU:n tietosuoja-asetus ja tutkimus (pdf video)
Marjut Salokannel: Näkökulmia kansainväliseen tutkimusyhteistyöhön tietosuoja-asetuksen valossa (video)

Tietosuoja ja tutkittavan suostumus osallistua tutkimukseen 1.11.2017

Anna Hänninen: Eu:n tietosuoja-asetus ja tutkittavan suostumus (pdf video)
Heidi Laine: Yhteiskuntahistorian tutkimus, tutkittavan suostumus ja avoimen tieteen haasteet (tutkijapuheenvuoro) (pdf video)
Marjut Salokannel: Tutkittavan suostumus kliinisessä tutkimuksessa (video)
Ville Leinonen: Tietoisen suostumuksen haasteet tutkijan näkökulmasta (tutkijapuheenvuoro) (pdf video)
Sirpa Soini: Biopankkitutkimus ja tutkittavan suostumus (pdf video)
Vili Kostamo, Biopankkisuostumus kentällä (pdf video)

Lisää luettavaa

EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö
Tietosuojavaltuutetun sivut
Tietosuojavaltuutetun opas: Miten valmistautua EU:n tietosuoja-asetukseen?
EU:n yleinen tietosuoja-asetus suomeksi

 

CC 4.0 BY

Tämä teos on lisensoitu Creative Commons Nimeä 4.0 kansainvälinen -lisenssillä