2/2019, Katsaus

Helpotusta EU:n tietosuoja-asetuksen tulkintahaasteisiin: yhteistyötä ja käytännesääntöjä

Kirjoittajat: Maria Rehbinder, Ulla Virranniemi & Kari Kataja.

EU:n tietosuoja-asetuksen (2016/679) siirtymäaika päättyi 25.5.2018. Tämän jälkeen odotettiin pitkään Suomen kansallista lainsäädäntöä. Vaikka EU-asetus onkin suoraa sovellettavaa lainsäädäntöä, tietosuoja-asetus on jättänyt kansallista liikkumavaraa. Eräs tällainen alue, josta tulee säätää kansallisesti, on henkilötietojen käyttö tieteelliseen tutkimukseen. Vihdoin 1.1.2019 astui voimaan Suomen tietosuojalaki (1050/2018). Tietosuojalaissa täsmennetään muun muassa, että tieteellinen tutkimus on tietosuoja-asetuksen tarkoittama yleisen edun mukainen tehtävä, jolloin yleisen edun mukainen tieteellinen tutkimus voi olla käsittelyperuste henkilötiedoille. Tietosuoja-asetuksessa (resitaali 159) tutkimuksen käsitettä tulkitaan laajasti, eli se kattaa myös TKI-toiminnan.

Kansallisen lainsäädännön viivästyminen vaikeutti korkeakouluissa tapahtuvan tutkimusdataan sisältyvien henkilötietojen käsittelyn ohjeistamista, etenkin vuoden 2018 aikana. Työtä on myös ollut määrällisesti paljon. Esimerkiksi kaikkien henkilötietoja käsittelevien alihankkijoiden kanssa on pitänyt tehdä sopimus (tai sopimusliite) henkilötietojen käsittelystä.

Onneksi valmistelutyötä ei kuitenkaan ole tarvinnut tehdä yksin. Korkeakoulujen tietosuojavastaavat muodostavat korkeakoulujen tietosuojavastaavien verkoston, jossa on jaettu hyviä käytäntöjä, keskusteltu henkilötietojen käsittelyyn liittyvistä asioista ja valmisteltu materiaaleja yhdessä. Verkoston vahvuutena ovat eritaustaiset tietosuojavastaavat: osalla tietosuojavastaavista on vahva juridinen tausta, osalla tietohallintotausta, muutamilla opetukseen, laatuun tai tutkimukseen liittyvä tausta. Verkosto on myös järjestänyt seminaaritilaisuuksia, joihin on kutsuttu verkoston ulkopuolisia asiantuntijoita. Verkoston toimintaa koordinoi työvaliokunta. Tällä hetkellä verkosto valmistelee käytännesääntöjä.

Käytännesäännöt ovat johonkin osa-alueeseen kohdistuvia henkilötietojen käsittelyyn liittyviä ohjeita, tulkintoja ja suosituksia. EU:n tietosuoja-asetuksen (2016/679, artikla 40) mukaisesti on mahdollista tehdä käytännesääntöjä, joiden avulla tuetaan tietosuoja-asetuksen soveltamista. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tietosuoja-asetuksen mukainen ja hyväksyy käytännesäännöt, jos se katsoo, että käytännesäännöt tarjoavat riittävät asianmukaiset takeet tietosuoja-asetuksen mukaisesta henkilötietojen käsittelystä.

Jo aikaisemmin, ennen tietosuoja-asetusta, korkeakoulut ovat yhdessä laatineet korkeakoulujen opintotietojen tietosuojan käytännesäännöt (2017), jotka tietosuojavaltuutetun toimisto tarkasti 2.5.2017. Nämä käytännesäännöt ovat vapaasti ladattavana eDuunissa.

On kuitenkin syytä huomata, että näissä käytännesäännöissä ei vielä ole otettu huomioon 2018 täysimääräisesti voimaan tulleen tietosuoja-asetuksen vaatimuksia, eikä 2019 alusta voimaan tullutta kansallista tietosuojalakia. Tietosuojavastaavien verkosto onkin päivittämässä opintotietojen käytännesääntöjä tietosuoja-asetuksen ja kansallisen lainsäädännön mukaiseksi. Työ on edennyt hyvin: perusrunko ja tärkeimmän kokonaisuudet alkavat olla valmiina. Käytännesääntöihin pyritään sisällyttämään myös esimerkkejä selkeyttämään arkipäivän työssä vastaan tulevia tilanteita. Käytännesäännöt palvelevat kaikkia, jotka käsittelevät opiskelijoiden henkilötietoja, opettajista opiskelijapalveluihin. Opintotietojen käytännesäännöt parantavat opiskelijoiden oikeusturvaa, luomalla kaikille korkeakouluille yhteiset tulkintaperiaatteet opiskelijoiden tietojen käsittelyyn.

Myös tutkimuksen käytännesääntötyö on käynnissä. Korkeakoulujen tietosuojavastaavien verkosto on ollut myös tässä työssä aloitteellinen ja aktiivinen. Valmistelutyössä on hyödynnetty muun muassa Hollannin VSNU (2018) käytännesääntötyötä. Käytännesäännöt voivat suuresti helpottaa erilaisia tieteelliseen tutkimukseen liittyviä tietosuojalainsäädännön tulkinnan ongelmia. Myös korkeakoulujen tutkimusyhteistyö helpottuu, kun noudatetaan yhteisiä sääntöjä. Hienoa olisi, jos ajan kanssa saadaan luoduksi EU-tason käytännesääntöjä European Research Area tutkimukselle. Tällainen työ on käytössä terveyttä koskevan tutkimuksen osalta ks.  Code of Conduct for Health Research (2018).

Käytännesäännöille on suuri tarve, joten ne yritetään saada mahdollisimman nopeasti valmiiksi. On kuitenkin mahdotonta kertoa tarkkaa aikataulua, koska linjausten löytäminen hankaliin asioihin vie oman aikansa. Yhteistyöllä nämä kuitenkin saadaan tehtyä.

Kirjoittaja

Maria Rehbinder, OTK, Certified Information Privacy Professional (CIPP/E), Senior Legal Counsel, Academic Legal Services, Aalto-yliopisto, Vice Chairman of LIBER Working Group on Legal Matters

Ulla Virranniemi, OTK, FM, Tietosuojavastaava ja lehtori, korkeakoulujen opintotietojen käytännesääntöjä valmistelevan työryhmän puheenjohtaja, Oulun ammattikorkeakoulu, ulla.virranniemi(at)oamk.fi

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi


Code of Conduct for Health Research 2018, https://code-of-conduct-for-health-research.eu

EU:n yleinen tietosuoja-asetus 2016/679, https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679

Korkeakoulujen opintotietojen tietosuojan käytännesäännöt 2.5.2017, https://wiki.eduuni.fi/display/CSCKOOTUKI/Korkeakoulujen+opintotietojen+tietosuojan+kaytannesaannot

Tietosuojalaki 1050/2018, https://www.finlex.fi/fi/laki/alkup/2018/20181050

VSNU 2018. Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek (Henkilötietojen käyttöä tieteellisessä tutkimuksessa koskevat käytännesäännöt), https://www.vsnu.nl/code-pers-gegevens.html

Edellinen artikkeliSeuraava artikkeli