Hantering av forskningsdata

(1) Före insamling av data (under forskningsplaneringsfasen)

1. Planera vilka data du behöver och implementera principerna om inbyggt dataskydd och dataskydd som standard 

Om din forskning innefattar behandling av personuppgifter ska du ha planer för att visa att EU:s och nationella dataskyddslagar efterlevs under hela datalivscykeln.

I det tidigaste skedet av utformningen av ditt forskningsprojekt fundera på hur du utformar din studie så att dina uppgifter kan vara minst identifierbara samtidigt som du uppnår dina forskningsmål, och se till att personuppgifter behandlas med högsta integritetsskydd i standardfallet. Dessa kallas principerna om inbyggt dataskydd och dataskydd som standard.

Förstå målen för din studie och definiera det tydliga, specificerade behovet av att samla in personuppgifter. Samla bara in den minsta mängd personuppgifter som är nödvändiga för och står i proportion till utförandet av dina studieuppgifter. Personuppgifter ska inte samlas in bara om de skulle kunna vara användbara i framtiden.

Genomföra en uppgiftsminimeringsgranskning för hela datahanteringsprocessen, inklusive att definiera typerna och mängden av personuppgifter som samlas in, i vilken utsträckning de kan kommas åt, hur de behandlas och delas, för vilka syften de används och för vilken period de behölls.

2. Utvärdera risker för registrerade

2.1 Begära ett utlåtande om etikprövning vid behov

Vid all forskning ska relevanta etiska principer och riktlinjer och tillämpliga praxis för etikprövning följas. Gör en etisk självbedömning och identifiera etiska frågor i din forskningsplan.

• Kolla de sex studietyper som beskrivs i Etikprövning för att se om du ska begära ett utlåtande om etikprövning av Hankens Forskningsetiska kommitté. Om din studie är en av de sex typerna, fyll i e-blanketten Request for an ethical review for an empirical study och skicka in den till Hankens Forskningsetiska kommitté. 
• När du ansöker om etikprövning behöver du alltid tillhandahålla dessa bilagor: ett dataskyddsmeddelande och en samtyckesblankett. Beroende på din forskning kan du också behöva andra bilagor, t.ex. en datahanteringsplan (DMP) där du anger datumet för din ansökan om etikprövningen och/eller en konsekvensbedömning avseende dataskydd (DPIA).

Kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi) för råd.

Mer information: För att identifiera etik och dataskyddsfrågor i ditt forskningsprojekt kan du läsa Ethics and data protection  (av Europeiska kommissionen för forskarvärlden, särskilt för finansieringssökande) och prova Ethics and Data Protection Decision Tree.

2.2 Gör en konsekvensbedömning avseende dataskydd vid behov

Om en planerad personuppgiftsbehandlingen sannolikt leder till en hög risk för de registrerades rättigheter och friheter ska en konsekvensbedömning avseende dataskydd (Data protection impact assessment, DPIA) göras före behandlingen. Detta kan inträffa när följande data behandlas:

• Uppgifter som behandlas i stor omfattning, t.ex. stora mängder data eller data från mer än 500 registrerade.
• personuppgifter om barn under 15 år eller om andra sårbara registrerade, t.ex. anställda, psykiskt sjuka personer, asylsökande, äldre personer eller patienter.
• känsliga personuppgifter eller uppgifter av mycket personlig karaktär, t.ex. särskilda kategorier av personuppgifter, elektronisk kommunikation vars konfidentialitet ska skyddas, lokaliseringsuppgifter vars insamling medför att den fria rörligheten ifrågasätts, finansiella uppgifter som kan användas för betalningsbedrägeri, personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter. 
• en systematisk och omfattande bedömning av personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som i betydande grad påverkar fysiska personer. 
• systematisk övervakning: behandling som används för att observera, övervaka eller kontrollera registrerade, inbegripet uppgifter som har samlats in genom nätverk eller systematisk övervakning av en allmän plats. I dessa situationer kanske de registrerade inte är medvetna om vem som samlar in deras uppgifter eller hur de kommer att användas. Dessutom kan det vara omöjligt för enskilda att undvika att bli föremål för sådan behandling på allmän plats (eller allmänt tillgängliga platser).
• matchande eller kombinerande uppgiftsserier, som t.ex. kommer från två eller flera behandlingar av uppgifter som utförs i olika syften och/eller av olika personuppgiftsansvariga på ett sätt som överstiger den registrerades rimliga förväntningar.
• innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar, såsom en kombination av fingeravtryck och ansiktsigenkänning för förbättrad fysisk åtkomstkontroll. 
• om särskilda kategorier av personuppgifter behandlas OCH det finns ett undantag från den registrerades rättigheter till tillgång, rättelse, begränsning av behandling och rätt att göra invändningar. Observera att i denna situation ska DPIA delges Dataombudsmannens byrå innan behandlingen inleds enligt 31 § i Finlands Dataskyddslag (1050/2018). 
• Dataskyddsmyndigheten i varje medlemsstat ska upprätta och offentliggöra en kompletterande förteckning över behandlingsverksamheter som kräver en DPIA (GDPR, art. 35 (4)). I EU Member State DPIA Whitelists, Blacklists and Guidance som sammanställts av International Association of Privacy Professionals (IAPP), kan du hitta den svarta listan från den finska dataskyddsmyndigheten:
  • Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning.

Mer information, se de nio kriterierna i Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida
behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (PDF-filen av Europeiska dataskyddsstyrelsen, s.10-12). Riktlinjerna (s.12-16) presenterar också en längre lista över scenarier där en DPIA kan vara nödvändig eller inte.

En behandling som uppfyller ett eller två av kriterierna kan kräva att en DPIA utförs. En DPIA hjälper dig att identifiera och minimera dataskyddsriskerna med ett projekt. En DPIA ska innehålla åtminstone: 

• en systematisk beskrivning av den planerade behandlingen, inklusive dess karaktär, omfattning, sammanhang, syften och rättsliga grund,
• en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
• en bedömning av de risker för de registrerades rättigheter och friheter, och
• de lämpliga ytterligare åtgärder som planeras för att hantera, förhindra eller mildra riskerna.

Beroende på din uppgiftsbehandlings karaktär och omfattning kan du utföra en fullständig eller lätt version av en DPIA. Använd Hanken's DPIA template (for studies and research) för att utföra en fullständig version av DPIA, eller svara direkt på de fyra minsta aspekter som krävs för en DPIA.

Kontakta dataethics@hanken.fi för att göra en DPIA.

(2) Datainsamling och analys (under aktiv forskningsfas)

3. Specificera den rättsliga grunden och ge dataskyddsmeddelandet

Behandling av personuppgifter är endast laglig om och i den mån som åtminstone en av de sex rättsliga grunderna är uppfyllt: samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, allmänt intresse eller offentlig makt och berättigat intressen (GDPR, art. 6). Du ska stödja dig på en rättslig grund för att motivera varför du har rätt att samla in, lagra och behandla personuppgifter.

För forskningsarbete som utförs av forskare inklusive doktorander är vanligtvis behandlingsgrunden vetenskaplig forskning som en uppgift av allmänt intresse . 

Vid insamlingen av personuppgifter, vad forskare inklusive doktorander ska göra för att följa god datahanteringspraxis, dataskyddslagar och forskningsintegritet inkluderar:

• (1) Att be om informerat samtycke från forskningsdeltagarna, vilket krävs av forskningsetik, t.ex. TENK:s riktlinjer. För icke-medicinsk forskning som gäller människor ska forskare följa Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland 2019. Forskningsetiska delegationens anvisningar 2019 (PDF). Anvisningarna står att "[in]formerat samtycke om att delta i forskningen är en viktig etisk praxis inom humanforskningen" (s. 9). 

Observera att detta samtycke (till att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycke (till behandlingen av personuppgifterna, som en rättslig grund enligt GDPR). Skillnaden erkänns av TENK:s riktlinjer (s. 9).

• Forskare använder Hankens mall för informerat samtycke (på engelska, på finska, på svenska) för att be om informerat samtycke. Välj det språk som dina forskningsdeltagare vill ha.

Om du inte ber om informerat samtycke från forskningsdeltagarna, eller om din studie är en av de andra fem typerna som beskrivs i Etikprövning, ska du anhålla om etikprövning av Hankens Forskningsetiska kommitté.

• (2) Att ge dataskyddsmeddelandet till forskningsdeltagarna om behandlingen av deras personuppgifter. GDPR (art. 12-14) fastställer långa listor över information som ska tillhandahållas till de registrerade, inklusive syftet och den rättsliga grunden för behandlingen, identiteten och kontaktuppgifterna för den personuppgiftsansvarige och dataskyddsombudet, mottagarna av personuppgifterna, överföringen av personuppgifter utanför EU och EES, planerna för lagringsperioder och radering och de registrerades rättigheter. 

  • Forskare fyller i och skickar in e-blanketten Forskningens dataskyddsmeddelande (på engelska, på finska, på svenska) och ge dataskyddsmeddelandet till forskningsdeltagarna för att fullgöra skyldigheten att tillhandahålla nödvändig information. 

• Efter att blanketten sänds in, klickar du på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina forskningsdeltagare.

• Efter inlämningen fungerar detta e-blankett också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter (GDPR, skäl 82 och art. 30).

För studier och avhandlingar av kandidat-, magister-, EMBA-studerande används vanligtvis samtycke som behandlingsgruden om inte studenten är medlem i ett forskningsprojekt där det finns en eller flera forskare (på doktorsnivå och däröver). Om samtycke används som behandlingsgrunden för behandlingen av personuppgifterna ska samtycket uppfylla kraven i GDPR. Samtycket till behandlingen av personuppgifter ska vara en "frivillig, specifik, informerad och otvetydig viljeyttring" och begäran om samtycke ska läggas fram "på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk" (GDPR, art. 4 och 7). De registrerade har rätt att när som helst återkalla sitt samtycke. Se Samtycke av den registrerade av Dataombudsmannens byrå.  

Vid insamlingen av personuppgifter, vad kandidat-, magister-, EMBA-studerande ska göra för att följa dataskyddslagar inkluderar:

• (1) Att få respondenternas samtycke till behandlingen av personuppgifterna som den rättsliga grunden. 
  • Studerande använder Hankens mall för Samtycke till behandlingen av personuppgifter i studien (på engelska, på finska, på svenska) för att få samtycke. Välj det språk som dina respondenter vill ha. Spara samtycket, eftersom du kan vara skyldig att visa att det har erhållits. 

• (2) Att fylla i och skicka in e-blanketten Studiens dataskyddsmeddelande (på engelska, på finska, på svenska) och ge dataskyddsmeddelandet till respondenterna om behandlingen av deras personuppgifter för att följa öppenhetsprincipen och fullgöra skyldigheten att tillhandahålla nödvändig information enligt GDPR (art. 12-14). 
  • Efter att blanketten sänds in, klicka på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina respondenter. 
  • Efter inlämningen fungerar e-blanketten också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter enligt GDPR.

Särskilda kategorier av personuppgifter (känsliga personuppgifter) är föremål för specifika behandlingsvillkor. Studerande och forskare behöver stödja sig på minst ett av de tio undantag från förbudet för att samla in och behandla särskilda kategorier av personuppgifter, .

• Forskare använder vanligtvis undantaget (j) – behandlingen av särskilda kategorier av personuppgifter är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

• Studerande använder vanligtvis undantaget (a) – den registrerade har lämnat sitt uttryckliga samtycke till behandlingen av särskilda kategorier av personuppgifter. Detta innebär att samtycket inte bara ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandlingen av personuppgifterna, utan också vara uttryckligt med en tydlig bekräftande handling från den registrerade.

En konsekvensbedömning avseende dataskydd (DPIA) kan krävas när studerande och forskare behandlar särskilda kategorier av personuppgifter, uppgifter av mycket personlig karaktär och andra särskilt skyddade personuppgifter. Se instruktionerna under "2.2 Gör en konsekvensbedömning avseende dataskydd vid behov" och kontakta dataethics@hanken.fi. 

4. Lagra, säkerhetskopiera och överföra data på ett säkert sätt

För säker lagring och säkerhetskopiering av aktiv forskningsdata använder studerande och forskare:

• datalagringstjänster som tillhandahålls och underhålls av Hanken, inklusive forskarens eget konto på Hankens nätverk som H:\, Microsoft Office365-applikationer (t.ex. Onedrive for Business), Webropol eller SPSS.
  • Om du samlar in personuppgifter från online frågeformulär eller undersökningar, använd de GDPR-kompatibla verktygen och plattformarna som Webropol. Instruktioner för Webropol finns på sidan av Hankens IT-tjänster. 
  • Du kan använda Hankens video plattform Panopto för att transkribera forskningsdata, från både ljudfiler och videofiler. Observera att du bär ansvar över att inte dela de personuppgifter som finns i Panopto med någon annan. Se Transkribering av kvalitativ data.
• Eller datalagringstjänster som tillhandahålls av CSC såsom IDA som också är till för dataarkivering. IDA är en Fairdata-tjänst för både datalagring och dataarkivering. Fairdata-tjänsterna erbjuds av UKM och produceras av CSC.

Utöver Hankens och CSC:s datalagringssystem kan du använda din egen lösenordsskyddade persondator och hårdvara (t.ex. interna/externa hårddiskar) och lösenordsskyddade samanvändningsdatorer i ett rum på Hanken med begränsad åtkomst för att lagra och hantera data under forskningen:

• När du använder minnesstickor eller externa hårddiskar, se till att de förvaras säkert, t.ex. i låsta skåp, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter användningen. Du kan också kryptera data på minnespinnar och externa hårddiskar med t.ex. zip-applikationer eller Office365.

• Använd dock INTE datalagring som är ansluten till eller säkerhetskopierad på molntjänster (t.ex. iCloud, Google Docs, DropBox). Använd endast lokala hårddiskar och datamappar som inte är säkerhetskopierade i molntjänster eller andra internettjänster.

Om du inte har ett databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör som är ett personuppgiftsbiträde, får du INTE använda andra system. Detta gäller t.ex. Dropbox, Google Docs, allmänt tillgänglig Onedrive (för konsumenter) eller andra frågeformulärplattformar än Webropol. Ett databehandlingsavtal (DPA) ska undertecknas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

Om du överför personuppgifter utanför Hanken:

• Använd OneDrive-lagringsutrymmet i ditt Hanken-levererade konto för att dela filer och samarbeta med andra. Använd "Specific people"-alternativet för att säkerställa dataåtkomstkontroll. Se Instruktioner för att dela filer och samarbeta med andra på Hanken för att säkerställa datasäkerhet.

• Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärder som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.

• Du kan använda fysiska minnespinnar eller externa hårddiskar, t.ex. i en situation där du eller den andra parten inte har tillgång till Hankens datadelningssystem (t.ex. OneDrive for Business). Se till att data förvaras på ett säkert sätt, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter dataöverföringen. Du kan kryptera data på minnespinnar och externa hårddiskar.

• Observera att du INTE ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken eller CSC (t.ex. DropBox, GoogleDocs, allmänt tillgänglig Onedrive (för konsumenter) för dataöverföringar.

• Om du har en tredje part utanför Hanken som personuppgiftsbiträdet som tillhandahåller t.ex. översättning/tolkning, translitteration/transkription eller rådataanalystjänster, behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

• För data från och till länderna utanför EU/EES, följ EU-kommissionens Rules on international data transfers (GDPR, Kapitel V, art 44-50):

  • Om mållandet finns med på listan över kommissionens beslut om adekvat skyddsnivå (Adequacy decision) kan personuppgifter överföras utan att ytterligare dataskyddsåtgärder behövs.
  • Om mållandet inte finns på listan och personuppgifter inte kan överföras till tredjelandet på grundval av beslutet om adekvat skyddsnivå, behöver du avgöra om överföringen kan vara laglig under lämpliga dataskyddsåtgärder med någon av de antagna mekanismerna som standard contractual clauses, binding corporate rules, certifieringsmekanism och uppförandekoder.
  • Det finns också begränsade undantag för specifika situationer. T.ex. som en del av den vetenskapliga publiceringsprocessen kan det vara exceptionellt men nödvändigt att överföra personuppgifter utanför EU/EES till förlagen eller referentgranskarena för att verifiera forskningsresultaten.

Om personuppgifter överförs till länder utanför EU/EES, ange ländernas namn i ditt dataskyddsmeddelande och lämpliga dataskyddsåtgärder du planerar att ta för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom dataskyddsförordningen inte undergrävs. Kontakta dataethics@hanken.fi för råd, t.ex. för att genomföra en Transfer impact assessment (TIA).

Mer information se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.

Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.

Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information, information om nationell säkerhet och uppgifter som erhållits genom tillit och förtroende:

• Se till att dina lagringslösningar är tillräckligt säkra för dina data.
• Använd INTE molnlagring p.g.a. dess otillräckliga dataskydd.
• Använd INTE externa hårddiskar som det huvudsakliga lagringsalternativet.
• Skydda data med kryptering. Vid behov bör särskilt mobila enheter, bärbara och externa lagringsenheter krypteras, t.ex. genom att använda Cryptomaror.
• Data med direkta identifierare, kontaktinformation, känsliga personuppgifter och konfidentiella uppgifter ska INTE skickas mellan forskargruppens medlemmar via e-post – inte ens Hankens e-postsystem.

Du kan be om råd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) för att säkerställa att dina datalagrings- och arkiveringslösningar uppfyller dataskyddkraven. 

5. Informera registrerade om ändringar och uppdatera dokumentation

Om det sker förändringar i behandlingen av personuppgifterna, t.ex. om det finns nya, kompatibla behandlingsändamål andra än det ursprungliga ändamål, om det finns nya mottagare av personuppgifterna (t.ex. nya forskningspartner eller leverantörer av översättnings- eller transkriptionstjänster), eller om det finns ett tillägg av nya datavariabler till kategorierna av personuppgifter som sammanställs i dataset, ska dataskyddsmeddelandet och annan dokumentation uppdateras och forskningsdeltagarna informeras om ändringarna innan den nya behandlingen.

6. Anonymisera data före publicering och arkivering

Det står på sidan Minimering av personuppgifter i vetenskaplig forskning av Dataombudsmannens byrå att "[a]nonymiseringen och pseudonymiseringen ska genomföras så snart det är möjligt, till exempel efter att uppgifterna har sammanförts". 

Pseudonymisering betyder behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används.Pseudonymisering kan göras genom att ta bort eller ersätta identifierare med pseudonymer, alias eller koder. De kompletterande uppgifterna och teknikerna som används för att skapa pseudonymerna eller koderna ska förvaras organisatoriskt och tekniskt åtskilda från de pseudonymiserade uppgifterna för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. (GDPR, art. 4 (5))

Uppgifterna förblir pseudonymiserade och personliga så länge de kompletterande identifieringsuppgifterna finns tillgängliga. Det vill säga, pseudonymiserade uppgifter kan tillskrivas till en fysisk person genom användningen av de kompletterande uppgifterna och är fortfarande personuppgifter. 

Pseudonymiserade uppgifter blir anonymiserade när de separat förvarade kompletterande identifieringsuppgifter som används för att skapa pseudonymerna och koderna (t.ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna) har oåterkalleligt raderas och inte kan kopplas till de pseudonymiserade uppgifterna.

Med anonymisering avses att personuppgifter behandlas på så sätt att personen inte längre kan identifieras utifrån dessa. Anonymiserade uppgifter anses inte längre som personuppgifter och omfattas inte av dataskyddsförordningen.

Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimliga ansträngningar baserat på dina data, t.ex. genom att kombinera olika indirekta identifierare i dian data, eller genom att kombinera dina data med information från andra externa källor.

Tabellen från FSD ger bra tips för att veta om vad som är direkta, indirekta och starka indirekta identifierare och hur man anonymiserar forskningsdata genom att ta bort, ändra eller kategorisera dessa identifierare.

Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.

Det räcker dock sällan att enbart ta bort direkta och starka indirekta identifierare för anonymisering. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. För att lära dig vad och hur man gör för framgångsrik anonymisering, se de detaljerade beskrivningarna av anonymiseringsprinciper och tekniker för både kvantitativ och kvalitativ data i Anonymisation and Personal Data av FSD.

För särskilda kategorier av personuppgifter som involverar pseudonymisering eller anonymisering kan det vara nödvändigt att genomföra en konsekvensbedömning avseende dataskydd (DPIA). Se 2.2 Gör en konsekvensbedömning avseende dataskydd vid behov och kontakta dataethics@hanken.fi.

(3) Efter aktiv forskningsfas

7. Dataradering och (meta)datapublicering

Personuppgifter som inte längre behövs för det ursprungliga ändamålet bör raderas så snart som möjligt om det inte finns särskilda skäl eller lagstiftning som kräver arkivering. Lagringsminimering minskar riskerna relaterade till behandling av personuppgifter. Om det inte är möjligt att fastställa den exakta datalagringsperioden, specificera kriterierna som används för att bestämma den perioden för dina forskningsdeltagare.

Att radera filer med operativsystemets verktyg, eller till och med formatera om en hårddisk förstör inte data oåterkalleligt. Spara dina filer på OneDrive och använd funktionen delete/radera. Kom ihåg att tömma papperskorgen också. Data i Webropol raderas av Hankens datacentral strax efter att en studerandes användar-id inaktiveras. Be om hjälp och stöd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) för säkra åtgärder för att radera data.

Mer information, se:

• Data disposal av FSD.
• Five steps to decide what data to keep av Digital Curation Centre (DCC).

Anonymiserade data publiceras och arkiveras i ett datalager för gemensamt bruk närhelst det är möjligt. Enligt Dataskyddslag (1050/2018, § 4 (4)) och GDPR (art. 6 (1)(e)), om behandling av forskningsmaterial som innehåller personuppgifter samt av personuppgifter som ingår i deras metadata behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter, är det lagligt. Pseudonymiserade uppgifter är fortfarande personuppgifter. Begränsad tillgång kan användas som en åtgärd för att arkivera pseudonymiserade uppgifter. Forskningsdeltagarna behöver informeras om dina öppen dataplaner i dataskyddsmeddelandet.

Om ett datasets öppna tillgänglighet inte är möjlig av berättigade skäl, kan datasetets metadata publiceras öppet tillgänglig. Det rekommenderas starkt att använda Fairdata Qvain-metadataverktyget för att beskriva och publicera din (meta)data. Se Datapublicering och långtidsbevaring.

Kom ihåg att registrera dina data i Hankens forskningsdatabas - Haris och lägg till de PIDs (t.ex. DOI och URN) för dina (meta)data. Se Registrera dataset.

Några grundläggande dataskyddskoncept:

Databehandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (d.v.s. varför och hur) för behandlingen av personuppgifter. Den personuppgiftsansvarige är primärt ansvarig för efterlevnaden av dataskyddslagar under hela datalivscykeln. Den personuppgiftsansvarige kan fördela ansvar enligt parternas faktiska roller.

• För behandlingen av personuppgifter i forskningsarbete av forskare inklusive doktorander ska den personuppgiftsansvarige bestämmas från fall till fall, och oollen som den registeransvarige eller den gemensamma registeransvarige kan definieras i följande fall:
  • Om forskaren som utför forskningen är anställd av Hanken, d.v.s. om forskningen utförs enligt ett anställningsavtal med Hanken och som en del av den anställdes arbetsuppgifter, är Hanken den personuppgiftsansvarige.
  • Om forskningen inte utförs enligt ett anställningsavtal med Hanken eller inte som en del av ett Hankens forskningsprojekt, är forskaren den personuppgiftsansvarige. 
  • Om forskningen beställs av ett företag eller en organisation är företaget eller organisationen i allmänhet den personuppgiftsansvarige.
  • Om två eller fler personuppgiftsansvariga (t.ex. Hanken, Aalto-universitetet, Helsingfors universitet) gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga.
• För behandlingen av personuppgifter i studier och examensarbete av BSc/MSc/EMBA-studerande ska den personuppgiftsansvarige också bestämmas från fall till fall:
  • Om en student självständigt samlar in och behandlar personuppgifter för sina studier och det inte finns något anställningsavtal mellan Hanken och studenten, är studenten den personuppgiftsansvarige.
  • Om en students studie genomförs enligt ett anställningsavtal med Hanken eller som en del av ett Hankens forskningsprojekt är Hanken den personuppgiftsansvarige.
  • Om studien beställs av ett företag eller en organisation är företaget eller organisationen i allmänhet den personuppgiftsansvarige.
  • Det finns också fall där två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter för en studerandes studier eller avhandling.

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet fastställer inte ändamål och medel (d.v.s. varför och hur) för behandlingen av personuppgifterna. Om ditt forskningsprojekt har en tredje part utanför Hanken som personuppgiftsbiträde som tillhandahåller t.ex. IT-lösningar för datainsamling eller datalagring, översättning/tolkning, translitteration/transkription eller rådataanalystjänster behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

Mer information, se:

• A Preliminary opinion on data protection and scientific research av Europeiska datatillsynsmannen. Yttrandet anser att dataskydd är helt förenligt med ansvarsfull forskning. Dataskyddsförordningar är avsedda att fungera som en säkerhetsram för individer vars data behövs för att stödja vetenskap och forskning.
• Vetenskaplig forskning och dataskydd av Dataombudsmannens byrå i Finland. Dessa riktlinjer ger riktlinjer om att definiera syftet med behandlingen av personuppgifter, välja den rättsliga grunden och genomföra den registrerades rättigheter. De innehåller också information om en personuppgiftsansvarigs och ett personuppgiftsbiträdes skyldigheter att visa efterlevnaden av dataskyddsförordningarna, ansvar vid överföring av data utanför EU eller EES och lämpliga sätt att radera, anonymisera eller arkivera forskningsdata.
• Additional instructions for planning the management of sensitive and confidential data 2019 (baserad på Finlands Akademis DMP-mall) av Tuuli-projektet.
• How to handle personal data in research? av Aalto-universitetet.
• Privacy policy: Instructions for researchers av Jyväskylä universitet.
• Data protection in research av Tammerfors universitet.