Tutkimuksen tietosuoja - Käytännön opas tutkijalle 2025

TietosuojaTutkimus
Written By Katri Harjuveteläinen

Tutkimuksessa vaaditaan nykyään tutkimusosaamisen lisäksi riittävää ymmärrystä tietosuojasta. Ymmärrettävästi monet tutkijat ja tutkimusryhmät kamppailevat yhä tiukempien vaatimusten kanssa. Tietosuoja voi helposti tuntua vaikealta, irralliselta ja jopa tutkimusta hidastavalta.

Hyvä uutinen on, että tutkimuksen tietosuoja ei ole mystiikkaa. Kun perusasiat suunnitellaan huolellisesti, tietosuoja tukee tutkimusta sen sijaan, että estäisi tai hidastaisi sitä.

Tässä oppaassa kuvataan tietosuojapolku, jota noudattamalla tutkijat ja tutkijaryhmät pääsevät hyvään alkuun tutkimuksen tietosuojan varmistamisessa. Opas koskee EU:n ja Suomen tietosuojavaatimuksia.

Miksi tietosuoja on tärkeä osa tutkimusta?

Tietosuoja eli henkilötietojen suojaaminen on keskeisessä roolissa kaikissa tutkimuksissa, joissa käsitellään henkilötietoja. Erityisesti lääketieteellistä ja humanististen alojen tutkimusta harvoin toteutetaan pelkällä anonyymilla tiedolla.

Tietosuoja tutkimuksessa on:

Lakisääteinen vaatimus
EU:n yleinen tietosuoja-asetus velvoittaa kaikkea henkilötietojen käsittelyä, myös tieteellistä tutkimusta. Lainsäädäntö pyrkii tasapainottamaan henkilötietojen suojaa ja tutkimuksen tarvetta käsitellä tietoja.

Rahoittajan vaatimus
Usein tietosuojalainsäädännön noudattaminen on kirjattu rahoitusehtoihin. Vaatimusten rikkominen voi johtaa rahoituksen takaisinperintään ja rahoittajan luottamuksen menettämiseen.

Sopimusvelvoite
Tietosuojavaatimukset sisältyvät usein tutkimusyhteistyötä koskeviin sopimuksiin (esim. DESCA, muut konsortiosopimukset, MTAt). Sopimusten rikkominen voi johtaa korvausvaatimuksiin ja oikeudellisiin seuraamuksiin.

Luottamuksen perusta
Ihmiset eivät helposti luovuta henkilötietojaan tai osallistu tutkimukseen, jos he eivät luota sen toteuttajaan. Tarkasti kuvatut tietosuojatoimet rakentavat tutkittavien luottamusta.

Tietosuojapolku tutkijalle: 8 keskeistä askelta

1. Määrittele tarkoitus ja käsittelyn peruste

Ennen henkilötietojen käsittelyn aloittamista on oltava selvää:

  • Mihin tarkoitukseen tietoja kerätään?

  • Millä oikeusperusteella henkilötietoja käsitellään?

Yleisin käsittelyperuste tieteellisessä tutkimuksessa on yleistä etua koskeva tehtävä (tieteellinen tutkimus), suostumus tai oikeutettu etu. Suostumus on tärkeää dokumentoida kirjallisesti. Huomioithan, että tutkittavan peruuttaessa suostumuksensa hänen tietojaan ei enää voida jatkokäyttää tutkimukseen.

Henkilötietojen käsittelyn tarkoitus on kerrottava riittävän täsmällisesti. Usein tarkoitus määritellään tutkimussuunnitelmassa, jossa yksilöidään mm. tutkimuskysymykset aineisto ja menetelmät.

✔️ Käytännön askel: kuvaa käsittelyn tarkoitus ja oikeusperuste esim. tietosuojaselosteeseen

Huomio:

  • Ilmaisut kuten "tulevaa tutkimusta varten" eivät yleensä riitä, tarkoituksen on oltava täsmällinen ja yksilöity

  • Suostumus henkilötietojen käsittelyyn (“GDPR suostumus”) ja suostumus tutkimukseen (“tutkimussuostumus”) ovat kaksi eri suostumusta. Ne voidaan joskus pyytää samalla lomakkeella.

2. Tunnista roolit (rekisterinpitäjä, käsittelijä vai yhteisrekisterinpitäjät)

Tutkimushankkeessa voi olla useita eri tahoja eri rooleissa. Tutkimuksessa saattaa olla yksi tai useampi tutkimusorganisaatio, toimeksiantaja, tutkija sekä palveluntuottajia, jotka suorittavat tosiasiallista henkilötietojen käsittelyä tutkimuksen toteuttamiseksi. Eri toimijoiden roolit on määriteltävä selkeästi ennen tutkimuksen aloittamista.

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan. Jos useampi taho yhdessä määrittelee tarkoituksia ja keinoja - eli esimerkiksi laatii tutkimussuunnitelman - ne voivat olla yhteisrekisterinpitäjiä.

Käsittelijäksi kutsutaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun. Esimerkiksi IT-palveluiden tuottaja, litteroija tai näytteitä analysoiva yritys voi olla käsittelijä.

Roolien tunnistaminen on tärkeää, koska henkilötietojen käsittelijän kanssa on tehtävä kirjallinen sopimus (henkilötietojen käsittelysopimus, DPA). Siinä kuvataan, miten henkilötietoja saa käsitellä esimerkiksi palveluja tuottaessa. Sopimus varmistaa myös sen, ettei käsittelijä voi käyttää tutkimuksen dataa omiin tarkoituksiinsa.

✔️ Käytännön askel: Tunnista roolit ja kuvaa ne kirjellisesti, esimerkiksi tietosuojaselosteelle. Jos käytät ulkopuolisia palveluntarjoajia tai pilvipalveluita, varmista, että niiden kanssa on laadittu asianmukainen henkilötietojen käsittelysopimus.

3. Arvioi käsittelyn riskit

Henkilötietojen käsittelyyn liittyvä riskiarviointi tulee tehdä ennen, kuin käsittely aloitetaan. Riskiarviointi voi olla ns. perusmuotoinen tai laajempi eli vaikutustenarviointi (DPIA). Riskiarvioinnin avulla voit tunnistaa käsittelyn riskit, hallita niitä ennakkoon ja huolehtia tutkittavien oikeuksista.

Vaikutustenarviointi on usein pakollinen esimerkiksi lääketieteellisessä tutkimuksessa, jossa käsitellään laajasti erityisiä henkilötietoryhmiä. Vaikutustenarviointi on tehtävä, jos henkilötietojen käsittely todennäköisesti aiheuttaa tutkittavalle korkeita riskejä. Esimerkiksi henkisesti tai fyysisesti kajoava tutkimus usein aiheuttaa korkeita riskejä.

✔️ Käytännön askel: Arvioi ennakkoon tutkimuksen tietosuojariskejä mahdollisimman tarkasti. Käytä oman organisaatiosi riskiarvioinnin työkaluja. Lisätietoa löydät esimerkiksi Tietosuojavaltuutetun sivuilta.

4. Toteuta tietosuojan periaatteet

Tietosuojalainsäädäntö edellyttää, että tietosuojan periaatteita noudatetaan ja se pystytään todistamaan. Siksi on tärkeää dokumentoida, miten periaatteista on tutkimuksessa huolehdittu.

Tietosuojaperiaatteet ovat:

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyy

  • Käyttötarkoitussidonnaisuus

  • Tietojen minimointi

  • Täsmällisyys

  • Säilytyksen rajoittaminen

  • Eheys ja luottamuksellisuus.

Käytännössä tietosuojaperiaatteet eivät edellytä mahdottomuuksia. Tutkittavien henkilötietoja on käsiteltävä laillisesti, käsittelystä on kerrottava asianmukaisesti ja jatkokäsittelyn tulee olla yhteensopivaa alkuperäisen tarkoituksen kanssa (esim. jatkotutkimus aiheeseen). Lisäksi tietoja tulee päivittää tarvittaessa, kerätä vain tarpeellinen määrä, säilyttää vain tarpeellinen aika ja varmistaa riittävä tietoturvan taso. Erityisesti terveystiedot ja muut arkaluontoiset tiedot tulee suojata teknisesti esimerkiksi salaamalla, virustorjunnalla ja käyttöoikeuksien hallinnalla.

Hyvä nyrkkisääntö on pohtia, voisiko tutkimusta toteuttaa vähemmillä tiedoilla - mitä rajatumpi tietomassa, sitä pienemmät riskit.

✔️ Käytännön askel: laadi suunnitelma, miten toteutat keskeisiä tietosuojaperiaatteita. Kuvaa se esimerkiksi tutkimussuunnitelmaan.

5. Laadi tietosuojaseloste ja informoi tutkittavia

Tutkittavilla on oikeus tietää, miten heidän tietojaan käsitellään. Käytännössä tutkittavien informointi tehdään tietosuojaselosteella tai muulla tiedotteella. Tietosuojaselosteella on kerrottava tietyt, pakolliset tiedot. Tutkittavalle on kerrottava esimerkiksi:

  • kuka on rekisterinpitäjä

  • mikä on tutkimuksen tarkoitus

  • mitä tietoja käsitellään ja mistä tiedot saadaan

  • siirretäänkö tietoja EU/ETA-alueen ulkopuolelle

  • kenelle tietoja luovutetaan ja

  • mitkä ovat tutkittavan oikeudet rekisteröitynä.

Tietyissä tilanteissa tieteellisessä tutkimuksessa voidaan poiketa tutkittavan informoinnista. Tämä on kuitenkin poikkeus hyvin vahvaan pääsääntöön.

✔️ Käytännön askel: Laadi tietosuojaseloste. Tietosuojaselosteella kerrottavista tiedoista löydät lisätietoa esimerkiksi täältä.

Huom! Henkilötietojen siirto EU/ETA-alueen ulkopuolelle vaatii erityistä huolellisuutta. Silloin on määriteltävä siirtomekanismi ja kohdemaasta riippuen tehtävä kirjallisesti sopimus, johon liitetään erityiset vakiosopimusehdot (SCC).

6. Suunnittele aineiston elinkaari

Henkilötietoja saa säilyttää vain niin kauan kuin se on tarpeen. Siksi aineiston ja henkilötietojen elinkaari on tärkeää suunnitella jo alkuvaiheessa, esimerkiksi osaksi aineistonhallintasuunnitelmaa (DMP). On tärkeää joko anonymisoida tai poistaa tiedot, kun niitä ei enää tarvita tutkimuksen tarkoituksiin.

Joskus tieteellisessä tutkimuksesssa voi olla tarpeen säilyttää aineisto pitkiäkin aikoja (yli 10 vuotta). Se on mahdollista, kunhan se on aidosti tarpeellista, kerrottu rekisteröidyille ja heidän oikeutensa on turvattu asianmukaisin toimenpitein.

✔️ Käytännön askel: Kuvaa aineiston ja henkilötietojen elinkaari sopivaan asiakirjaan (esim. DMP, tutkimussuunnitelma, tietosuojaseloste). Varmista, että tietojen poistamiselle on toimivat prosessit.

7. Huomioi tutkittavien oikeudet

Tutkittavilla on useita tietosuojaoikeuksia, jotka sinun on huomioitava, esimerkiksi:

  • Tarkastusoikeus: Tutkittavalla on oikeus saada tieto siitä, mitä henkilötietoja hänestä käsitellään

  • Oikaiseminen: Virheelliset tiedot on korjattava viipymättä

  • Suostumuksen peruuttaminen: Jos käsittely perustuu suostumukseen, tutkittava voi peruuttaa sen milloin tahansa

Tutkittavan oikeuksien laajuus riippuu siitä, mikä käsittelyperuste on. Jos käsittelyperuste on suostumus, tiedot on usein tutkittavan pyynnöstä poistettava. Tutkittavien oikeuksista voidaan tehdä tiettyjä poikkeuksia tai rajoittaa niitä, jos niiden toteuttaminen tekisi tutkimuksen mahdottomaksi tai vaikeuttaisi sitä merkittävästi.

✔️ Käytännön askel: Kuvaa tutkittavan tietosuojaoikeudet esim. tietosuojaselosteelle. Suunnittele niiden toteuttamisen prosessi.

8. Dokumentoi ja osoita vaatimustenmukaisuus

Tietosuoja-asetus edellyttää, että pystyt osoittamaan lainsäädännön vaatimusten noudattamisen. Käytännön keinona tähän on usein kirjallinen dokumentointi. Tärkeimpiä tietosuojadokumentteja ovat:

  • suostumuslomakkeet (jos pyydetty)

  • riskiarviointi tai vaikutustenarviointi (DPIA)

  • tietosuojaseloste

  • seloste käsittelytoimista (ns. käsittelytoimien rekisteri)

  • dokumentointi poikkeamista ja tietosuojapäätöksistä.

✔️ Käytännön askel: Laadi tärkeimmät tietosuojadokumentit kirjalliseen muotoon ja päivitä niitä säännöllisesti.

Yleisimmät haasteet ja vinkit niihin

“Yhteistyökumppanimme on EU:n ulkopuolella - mitä tehdä?”

Tutkimustoiminta on kansainvälistä ja on melko tavallista, että yhteistyökumppaneita on myös EU/ETA-alueen ulkopuolella. Arvioi ensin, onko henkilötietoja tarpeen siirtää kyseiselle kumppanille vai voitaisiinko se osuus toteuttaa EU:n sisällä. Jos siirto on tarpeen, selvitä sopiva siirtoperuste ja tee kirjallinen sopimus siirrosta. Huomiothan, että tiedonsiirroissa on velvollisuus varmistaa, että tietosuojan taso kohdemaassa on riittävä - tutkittavien tiedot eivät saa vaarantua.

Regulyn auttaa tarvittaessa tiedonsiirron arvioinnissa ja lainmukaisessa toteutuksessa. Esimerkiksi tiedonsiirron vaikutustenarviointi (TIA) voi olla haastavaa toteuttaa ilman juridista tukea.

“En tiedä, mikä käsittelyperuste on oikea”

Käsittelyperuste tieteellisessä tutkimuksessa on useimmiten yleisen edun mukainen tieteellinen tutkimus tai tutkittavan suostumus. Jos käsittelet erityisiä henkilötietoryhmiä (esim. terveystiedot), varmista niille sopiva käsittelyperuste.

Tieteelliselle tutkimukselle on erikseen määritelty peruste Suomen tietosuojalaissa. Sitä voi hyödyntää, kun kyseessä on tieteellinen tutkimus eikä erityislaissa ole perustetta käsittelylle.

“Mitä teen, jos tutkittavat haluavat tarkastaa tietonsa”

Suunnittele ennakkoon prosessi tarkastuksille. Jos tarkastusoikeus soveltuu, kokoa tutkittavan tiedot, kuten näytetulokset esimerkiksi tiettyyn kansioon ja toimita tiedot hänelle kuukauden kuluessa. Jos pyyntöä ei voi toteuttaa, perustele kieltävä vastaus. Varmista rekisteröidyn henkilöllisyys riittävästi, jotta tietoja ei tahattomasti vuoda ulkopuolisille.

Yhteenveto

Tutkimuksen tietosuoja on osa laadukasta tutkimusta. Vastuullisesta henkilötietojen käsittelystä on selkeitä etuja, sillä se:

  • parantaa tutkittavien luottamusta

  • suojaa oikeudellisilta vaatimuksisilta ja

  • mahdollistaa aineiston jatkokäytön myös tulevaisuudessa.

Tämä artikkeli on osa Regulynin tietopankkia. Tietopankin artikkeleja tarkastetaan ja päivitetään säännöllisesti. Regulyn avustaa tekoälyyn, tutkimukseen ja sopimuksiin liittyvissä kysymyksissä.

Päivitetty viimeksi 04.12.2025.

Kirjoittaja:

Katri Harjuveteläinen

Perustaja, johtava juristi

OTM, CIPP/E, CIPM, FIP

Katrilla on yli vuosikymmenen kokemus tietosuojasta, uusien teknologioiden sääntelystä, sopimuksista ja tieteellisestä tutkimuksesta. Hän neuvoo yrityksiä, terveydenhuollon organisaatioita, julkisia organisaatioita ja korkeakouluja lainsäädännön vaatimusten noudattamisessa.

Katri Harjuveteläinen
Previous

Ajantasainen tutkimuslainsäädäntö ja tulevat muutokset 2025-2026
Next

Mikä on EU:n tekoälyasetus?