Definitionen av personuppgifter är bred under EU:s allmänna dataskyddsförordning (2016/679) / General Data Protection Regulation of the European Union (GDPR, 2016/679).
Personuppgifter betyder varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad). En identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,
Följande personuppgifter definieras som särskilda kategorier av personuppgifter (känsliga personuppgifter) enligt GDPR (art. 9-10):
Mer information om vad som utgör personuppgifter, se:
Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt för att skydda de registrerades grundläggande rättigheter och friheter.
Om du samlar in och behandlar någon information från individer eller om individer (t.ex. konsumenter, företagsledare), anta att den är en personuppgift och följ de sju procedurerna nedan för att upprätthålla höga etiska standarde och följa dataskyddslagar:
(1) Före insamling av data (under forskningsplaneringsfasen)
1. Planera vilka data du behöver
2. Utvärdera risker för registrerade
3.1 Begära ett utlåtande om etikprövning vid behov
3.2 Gör en konsekvensbedömning avseende dataskydd vid behov
(2) Datainsamling och analys (under aktiv forskningsfas)
3. Specificera den rättsliga grunden och ge dataskyddsmeddelandet
4. Lagra, säkerhetskopiera och överföra data på ett säkert sätt
5. Informera registrerade om ändringar och uppdatera dokumentation
6. Anonymisera data före publicering och arkivering
(3) Efter aktiv forskningsfas
(1) Före insamling av data (under forskningsplaneringsfasen)
Om din forskning innefattar behandling av personuppgifter ska du ha planer för att visa att EU:s och nationella dataskyddslagar efterlevs under hela datalivscykeln.
I det tidigaste skedet av utformningen av ditt forskningsprojekt fundera på hur du utformar din studie så att dina uppgifter kan vara minst identifierbara samtidigt som du uppnår dina forskningsmål, och se till att personuppgifter behandlas med högsta integritetsskydd i standardfallet. Dessa kallas principerna om inbyggt dataskydd och dataskydd som standard.
Förstå målen för din studie och definiera det tydliga, specificerade behovet av att samla in personuppgifter. Samla bara in den minsta mängd personuppgifter som är nödvändiga för och står i proportion till utförandet av dina studieuppgifter. Personuppgifter ska inte samlas in bara om de skulle kunna vara användbara i framtiden.
Genomföra en uppgiftsminimeringsgranskning för hela datahanteringsprocessen, inklusive att definiera typerna och mängden av personuppgifter som samlas in, i vilken utsträckning de kan kommas åt, hur de behandlas och delas, för vilka syften de används och för vilken period de behölls.
2.1 Begära ett utlåtande om etikprövning vid behov
Vid all forskning ska relevanta etiska principer och riktlinjer och tillämpliga praxis för etikprövning följas. Gör en etisk självbedömning och identifiera etiska frågor i din forskningsplan.
Kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi) för råd.
Mer information: För att identifiera etik och dataskyddsfrågor i ditt forskningsprojekt kan du läsa Ethics and data protection (av Europeiska kommissionen för forskarvärlden, särskilt för finansieringssökande) och prova Ethics and Data Protection Decision Tree.
2.2 Gör en konsekvensbedömning avseende dataskydd vid behov
Om en planerad personuppgiftsbehandlingen sannolikt leder till en hög risk för de registrerades rättigheter och friheter ska en konsekvensbedömning avseende dataskydd (Data protection impact assessment, DPIA) göras före behandlingen. Detta kan inträffa när följande data behandlas:
Mer information, se de nio kriterierna i Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida
behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (PDF-filen av Europeiska dataskyddsstyrelsen, s.10-12). Riktlinjerna (s.12-16) presenterar också en längre lista över scenarier där en DPIA kan vara nödvändig eller inte.
En behandling som uppfyller ett eller två av kriterierna kan kräva att en DPIA utförs. En DPIA hjälper dig att identifiera och minimera dataskyddsriskerna med ett projekt. En DPIA ska innehålla åtminstone:
Beroende på din uppgiftsbehandlings karaktär och omfattning kan du utföra en fullständig eller lätt version av en DPIA. Använd Hanken's DPIA template (for studies and research) för att utföra en fullständig version av DPIA, eller svara direkt på de fyra minsta aspekter som krävs för en DPIA.
Kontakta dataethics@hanken.fi för att göra en DPIA.
(2) Datainsamling och analys (under aktiv forskningsfas)
Behandling av personuppgifter är endast laglig om och i den mån som åtminstone en av de sex rättsliga grunderna är uppfyllt: samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, allmänt intresse eller offentlig makt och berättigat intressen (GDPR, art. 6). Du ska stödja dig på en rättslig grund för att motivera varför du har rätt att samla in, lagra och behandla personuppgifter.
För forskningsarbete som utförs av forskare inklusive doktorander är vanligtvis behandlingsgrunden vetenskaplig forskning som en uppgift av allmänt intresse .
Vid insamlingen av personuppgifter, vad forskare inklusive doktorander ska göra för att följa god datahanteringspraxis, dataskyddslagar och forskningsintegritet inkluderar:
(1) Att be om informerat samtycke från forskningsdeltagarna, vilket krävs av forskningsetik, t.ex. TENK:s riktlinjer. För icke-medicinsk forskning som gäller människor ska forskare följa Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland 2019. Forskningsetiska delegationens anvisningar 2019 (PDF). Anvisningarna står att "[in]formerat samtycke om att delta i forskningen är en viktig etisk praxis inom humanforskningen" (s. 9).
Observera att detta samtycke (till att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycke (till behandlingen av personuppgifterna, som en rättslig grund enligt GDPR). Skillnaden erkänns av TENK:s riktlinjer (s. 9).
Om du inte ber om informerat samtycke från forskningsdeltagarna, eller om din studie är en av de andra fem typerna som beskrivs i Etikprövning, ska du anhålla om etikprövning av Hankens Forskningsetiska kommitté.
(2) Att ge dataskyddsmeddelandet till forskningsdeltagarna om behandlingen av deras personuppgifter. GDPR (art. 12-14) fastställer långa listor över information som ska tillhandahållas till de registrerade, inklusive syftet och den rättsliga grunden för behandlingen, identiteten och kontaktuppgifterna för den personuppgiftsansvarige och dataskyddsombudet, mottagarna av personuppgifterna, överföringen av personuppgifter utanför EU och EES, planerna för lagringsperioder och radering och de registrerades rättigheter.
För studier och avhandlingar av kandidat-, magister-, EMBA-studerande används vanligtvis samtycke som behandlingsgruden om inte studenten är medlem i ett forskningsprojekt där det finns en eller flera forskare (på doktorsnivå och däröver). Om samtycke används som behandlingsgrunden för behandlingen av personuppgifterna ska samtycket uppfylla kraven i GDPR. Samtycket till behandlingen av personuppgifter ska vara en "frivillig, specifik, informerad och otvetydig viljeyttring" och begäran om samtycke ska läggas fram "på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk" (GDPR, art. 4 och 7). De registrerade har rätt att när som helst återkalla sitt samtycke. Se Samtycke av den registrerade av Dataombudsmannens byrå.
Vid insamlingen av personuppgifter, vad kandidat-, magister-, EMBA-studerande ska göra för att följa dataskyddslagar inkluderar:
Särskilda kategorier av personuppgifter (känsliga personuppgifter) är föremål för specifika behandlingsvillkor. Studerande och forskare behöver stödja sig på minst ett av de tio undantag från förbudet för att samla in och behandla särskilda kategorier av personuppgifter, .
En konsekvensbedömning avseende dataskydd (DPIA) kan krävas när studerande och forskare behandlar särskilda kategorier av personuppgifter, uppgifter av mycket personlig karaktär och andra särskilt skyddade personuppgifter. Se instruktionerna under "2.2 Gör en konsekvensbedömning avseende dataskydd vid behov" och kontakta dataethics@hanken.fi.
För säker lagring och säkerhetskopiering av aktiv forskningsdata använder studerande och forskare:
Utöver Hankens och CSC:s datalagringssystem kan du använda din egen lösenordsskyddade persondator och hårdvara (t.ex. interna/externa hårddiskar) och lösenordsskyddade samanvändningsdatorer i ett rum på Hanken med begränsad åtkomst för att lagra och hantera data under forskningen:
Om du inte har ett databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör som är ett personuppgiftsbiträde, får du INTE använda andra system. Detta gäller t.ex. Dropbox, Google Docs, allmänt tillgänglig Onedrive (för konsumenter) eller andra frågeformulärplattformar än Webropol. Ett databehandlingsavtal (DPA) ska undertecknas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).
Om du överför personuppgifter utanför Hanken:
Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärder som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.
Du kan använda fysiska minnespinnar eller externa hårddiskar, t.ex. i en situation där du eller den andra parten inte har tillgång till Hankens datadelningssystem (t.ex. OneDrive for Business). Se till att data förvaras på ett säkert sätt, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter dataöverföringen. Du kan kryptera data på minnespinnar och externa hårddiskar.
Observera att du INTE ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken eller CSC (t.ex. DropBox, GoogleDocs, allmänt tillgänglig Onedrive (för konsumenter) för dataöverföringar.
Om du har en tredje part utanför Hanken som personuppgiftsbiträdet som tillhandahåller t.ex. översättning/tolkning, translitteration/transkription eller rådataanalystjänster, behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).
För data från och till länderna utanför EU/EES, följ EU-kommissionens Rules on international data transfers (GDPR, Kapitel V, art 44-50):
Om personuppgifter överförs till länder utanför EU/EES, ange ländernas namn i ditt dataskyddsmeddelande och lämpliga dataskyddsåtgärder du planerar att ta för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom dataskyddsförordningen inte undergrävs. Kontakta dataethics@hanken.fi för råd, t.ex. för att genomföra en Transfer impact assessment (TIA).
Mer information se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.
Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.
Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information, information om nationell säkerhet och uppgifter som erhållits genom tillit och förtroende:
Du kan be om råd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) för att säkerställa att dina datalagrings- och arkiveringslösningar uppfyller dataskyddkraven.
Om det sker förändringar i behandlingen av personuppgifterna, t.ex. om det finns nya, kompatibla behandlingsändamål andra än det ursprungliga ändamål, om det finns nya mottagare av personuppgifterna (t.ex. nya forskningspartner eller leverantörer av översättnings- eller transkriptionstjänster), eller om det finns ett tillägg av nya datavariabler till kategorierna av personuppgifter som sammanställs i dataset, ska dataskyddsmeddelandet och annan dokumentation uppdateras och forskningsdeltagarna informeras om ändringarna innan den nya behandlingen.
Det står på sidan Minimering av personuppgifter i vetenskaplig forskning av Dataombudsmannens byrå att "[a]nonymiseringen och pseudonymiseringen ska genomföras så snart det är möjligt, till exempel efter att uppgifterna har sammanförts".
Pseudonymisering betyder behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används.Pseudonymisering kan göras genom att ta bort eller ersätta identifierare med pseudonymer, alias eller koder. De kompletterande uppgifterna och teknikerna som används för att skapa pseudonymerna eller koderna ska förvaras organisatoriskt och tekniskt åtskilda från de pseudonymiserade uppgifterna för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. (GDPR, art. 4 (5))
Uppgifterna förblir pseudonymiserade och personliga så länge de kompletterande identifieringsuppgifterna finns tillgängliga. Det vill säga, pseudonymiserade uppgifter kan tillskrivas till en fysisk person genom användningen av de kompletterande uppgifterna och är fortfarande personuppgifter.
Pseudonymiserade uppgifter blir anonymiserade när de separat förvarade kompletterande identifieringsuppgifter som används för att skapa pseudonymerna och koderna (t.ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna) har oåterkalleligt raderas och inte kan kopplas till de pseudonymiserade uppgifterna.
Med anonymisering avses att personuppgifter behandlas på så sätt att personen inte längre kan identifieras utifrån dessa. Anonymiserade uppgifter anses inte längre som personuppgifter och omfattas inte av dataskyddsförordningen.
Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimliga ansträngningar baserat på dina data, t.ex. genom att kombinera olika indirekta identifierare i dian data, eller genom att kombinera dina data med information från andra externa källor.
Tabellen från FSD ger bra tips för att veta om vad som är direkta, indirekta och starka indirekta identifierare och hur man anonymiserar forskningsdata genom att ta bort, ändra eller kategorisera dessa identifierare.
Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.
Det räcker dock sällan att enbart ta bort direkta och starka indirekta identifierare för anonymisering. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. För att lära dig vad och hur man gör för framgångsrik anonymisering, se de detaljerade beskrivningarna av anonymiseringsprinciper och tekniker för både kvantitativ och kvalitativ data i Anonymisation and Personal Data av FSD.
För särskilda kategorier av personuppgifter som involverar pseudonymisering eller anonymisering kan det vara nödvändigt att genomföra en konsekvensbedömning avseende dataskydd (DPIA). Se 2.2 Gör en konsekvensbedömning avseende dataskydd vid behov och kontakta dataethics@hanken.fi.
(3) Efter aktiv forskningsfas
Personuppgifter som inte längre behövs för det ursprungliga ändamålet bör raderas så snart som möjligt om det inte finns särskilda skäl eller lagstiftning som kräver arkivering. Lagringsminimering minskar riskerna relaterade till behandling av personuppgifter. Om det inte är möjligt att fastställa den exakta datalagringsperioden, specificera kriterierna som används för att bestämma den perioden för dina forskningsdeltagare.
Att radera filer med operativsystemets verktyg, eller till och med formatera om en hårddisk förstör inte data oåterkalleligt. Spara dina filer på OneDrive och använd funktionen delete/radera. Kom ihåg att tömma papperskorgen också. Data i Webropol raderas av Hankens datacentral strax efter att en studerandes användar-id inaktiveras. Be om hjälp och stöd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) för säkra åtgärder för att radera data.
Mer information, se:
Anonymiserade data publiceras och arkiveras i ett datalager för gemensamt bruk närhelst det är möjligt. Enligt Dataskyddslag (1050/2018, § 4 (4)) och GDPR (art. 6 (1)(e)), om behandling av forskningsmaterial som innehåller personuppgifter samt av personuppgifter som ingår i deras metadata behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter, är det lagligt. Pseudonymiserade uppgifter är fortfarande personuppgifter. Begränsad tillgång kan användas som en åtgärd för att arkivera pseudonymiserade uppgifter. Forskningsdeltagarna behöver informeras om dina öppen dataplaner i dataskyddsmeddelandet.
Om ett datasets öppna tillgänglighet inte är möjlig av berättigade skäl, kan datasetets metadata publiceras öppet tillgänglig. Det rekommenderas starkt att använda Fairdata Qvain-metadataverktyget för att beskriva och publicera din (meta)data. Se Datapublicering och långtidsbevaring.
Kom ihåg att registrera dina data i Hankens forskningsdatabas - Haris och lägg till de PIDs (t.ex. DOI och URN) för dina (meta)data. Se Registrera dataset.
Databehandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (d.v.s. varför och hur) för behandlingen av personuppgifter. Den personuppgiftsansvarige är primärt ansvarig för efterlevnaden av dataskyddslagar under hela datalivscykeln. Den personuppgiftsansvarige kan fördela ansvar enligt parternas faktiska roller.
Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet fastställer inte ändamål och medel (d.v.s. varför och hur) för behandlingen av personuppgifterna. Om ditt forskningsprojekt har en tredje part utanför Hanken som personuppgiftsbiträde som tillhandahåller t.ex. IT-lösningar för datainsamling eller datalagring, översättning/tolkning, translitteration/transkription eller rådataanalystjänster behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).
Mer information, se:
Vid all forskning som utförs i Finland ska anvisningarna av Forskningsetiska delegationen (TENK) för god vetenskaplig praxis iakttas. Anvisningarna är publicerade i God vetenskaplig praxis och handläggning av misstankar om avvikelse från den i Finland. Forskningsetiska delegationens anvisningar 2023 (PDF-filen på engelska, finska och svenska). Checklista för att förbinda sig till GVP 2023-anvisningen hjälper organisationernas ledning, vetenskaplig verksamhet och enskilda forskare att kontrollera att de viktigaste förfaringssätten inom god vetenskaplig praxis har beaktats.
Forskningsetiska delegationen (TENK) har också publicerat Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland (2019, på engelska, finska och svenska):
I händelse av internationellt samarbete ska forskare följa European Code of Conduct for Research Integrity av ALLEA, European Federation of Academies of Sciences and Humanities och alla andra tillämpliga etiska riktlinjer.
Forskaren ska ta ansvar för etiska och moraliska frågor i samband med forskningen och för kontakterna mellan forskaren och forskningsdeltagarna. Följ alla relevanta etiska riktlinjer och god dataskyddspraxis för att upprätthålla höga etiska standarder och följa relevanta dataskyddslagar. Se avsnittet ovanför om Riktlinjer och procedurer för behandling av personuppgifter i studier och forskning på Hanken.
Om du har frågor om etiska riktlinjer och etikprövning, kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi).
Du ska begära ett uttalande om etikprövning av Hankens Forskningsetiska kommitté genom att fylla i e-blanketten för anhållan om etikprövning om din studie är någon av följande sex typer:
När du ansöker om etikprövning behöver du alltid tillhandahålla dessa bilagor: ett dataskyddsmeddelande och en samtyckesblankett. Beroende på din forskning kan du också behöva andra bilagor, t.ex. en datahanteringsplan (DMP) där du anger datumet för din ansökan om etikprövningen och/eller en konsekvensbedömning avseende dataskydd (DPIA).
Om du har frågor angående etikprövning, kontakta Hankens Stödperson för forsningsetik Anu Helkkula (anu.helkkula@hanken.fi).
Video av TENK: Etikprövning inom humanvetenskaperna.
Juridiska frågor relaterade till datahantering inkluderar dataskyddslagar, datadelningsavtal, dataägande, öppen data-licenser, sekundära dataanvändningsrättigheter och andra immateriella rättigheter (intellectual property rights, IPRs).
Avtal om dataägande och andra immateriella rättigheter ska ingås innan någon egentlig forskningsverksamhet påbörjas. Avtal om författarskap behöver också göras innan projektet påbörjas.
Beskriv i din DMP hur du kommer överens om användningsrättigheterna relaterade till forskningsdata som du kommer att samla in, producera och återanvända för ditt forskningsprojekt. Förtydliga procedurerna för överföring av rättigheter som är relevanta för ditt projekt. Följ finansiärens eller förlagets policyer. Vid behov, beskriv också konfidentiella frågor i ditt projekt.
Använd en licens när du öppnar dina forskningsdata, kod eller programvara för återanvändning. Licensiering av dina öppna forskningsdata innebär att du tydligt definierar återanvändningsvillkoren och eventuella begränsningar för framtida återanvändning av dina uppgifterna. På så sätt har du kontroll över vem som har rätt att återanvända uppgifterna och hur. Använd maskinläsbara licenser som följer internationella standarder, helst Creative Commons. Förutom Creative Commons-licenser finns det också licensing models for research data.
För mer information se: