25. toukokuuta 2018

Tutkimusetiikan ja tietosuojan välisestä suhteesta

Etiikalla ja tietosuojalla on läheinen suhde, joka ulottuu tietosuojan alkuaikoihin. Tietosuoja kehittyi tietojenkäsittelyn mahdollisuuksien lisääntyessä. Ruotsin vuoden 1973 Datalagin (1973:289) valmistelu aloitettiin 60-luvulla. Sääntely perustui lisenssimalliin, jonka henkistä perintöä ilmentää Suomen henkilötietolakiin (523/1999) jäänyt – ja uuden tietosuoja-asetuksen (2016/679) myötä kumoutuva – mahdollisuus tietosuojalautakunnalle myöntää lupa henkilötietojen käsittelyyn eräissä tilanteissa.

Ruotsissa lisenssien myöntämisedellytykset tieteellisessä tutkimuksessa yhdistyivät kirjalliseen muotoon koonnettuihin eettisiin normistoihin. Eettisten normistojen erot vaikuttivat henkilötietojen käsittelyyn eri tieteenaloilla.1 Menettelyssä ei ollut kyse nimenomaan eettisestä ennakkoarvioinnista, vaan käsittelyn lainmukaisuuden arvioinnista lautakunnassa. Eettisyyttä pidettiin kiinteänä osana henkilötietojen käsittelyn laillista sallittavuutta.

80-luvun keskustelua Suomessa

Klaus Mäkelä kirjoitti vuonna 1987, että "[t]ämän hetken polttavimmat tutkimuseettiset kysymykset liittyvätkin usein tietosuojaan pikemmin kuin tiedonhankintatapoihin".2 Samana vuonna julkaistiin Tieteen keskustoimikunnan asettaman jaoston raportti "Yhteiskuntatieteellisen tutkimuksen tietosuoja".3 Molemmat liittyivät Suomessa vuoden 1988 alussa voimaan astuneeseen, nyt jo kumottuun, henkilörekisterilakiin (471/1987). Uusi lainsäädäntö, joka korvasi rikosoikeudelliseen lähestymistapaan perustuvaa ajattelumallia, aiheutti tarpeen reflektoida tutkimusetiikan ja tietosuojan välistä suhdetta.

Edellä mainitun raportin keskeisiä ajatuksia oli, että lainsäädännön sanamuoto ei yksin riitä kattavaksi ohjeistukseksi kaikkiin käytännön ongelmiin. Toisaalta kaikkea laillista ei pidetty välttämättä eettisesti hyväksyttävänä. Jaosto kiinnitti huomiota tasapainoiluun eettisten ohjeiden yleisyyden ja yksityiskohtaisuuden välillä ja suositti kehittämään käytäntöjä ja ohjeita, jotka herkistävät eettisten ongelmien havaitsemiseen.4 Tutkimusetiikka ja tietosuojaa koskeva lainsäädäntö elävät vuorovaikutussuhteessa keskenään.

Tutkimuskäytäntöjä säätelevät niin eettiset ohjeet kuin lainsäädäntö

Tutkimuseettiset periaatteet eroavat lainsäädännöstä siinä, että eettiset periaatteet perustuvat itsesääntelyyn ja vapaaehtoiseen sitoutumiseen. Oikeustieteen näkökulmasta eettisissä periaatteissa on kyseessä ns. soft law -tyyppinen sääntely. Eettisiä ohjeita ei voi suoraan rinnastaa tuomioistuimen soveltamaan lakiin (Nieminen 2018, s. 16).5

Taustalla voi nähdä yhteyden Suomen perustuslain (731/1999) 3 §:ään kirjattuun valtiollisten tehtävien jakoon, jossa tuomiovalta ja lainsäädäntövalta on eriytetty erillisille instituutioille. Vaikka eettiset ohjeet eivät perustu parlamentaarisessa menettelyssä säädettyyn lakiin, niillä on huomattava käytännön merkitys tutkijoiden vastuun ja tutkittavien oikeuksien määrittämisessä.

Tutkimuseettisillä periaatteilla on vahva side lainsäädäntöön sitä kautta, että lainsäädäntö edellyttää tietynlaisissa tutkimuksissa eettistä ennakkoarviointia. Esimerkiksi laki lääketieteellisestä tutkimuksesta (1999/488) 17.2 § edellyttää eettistä toimikuntaa selvittävän lausuntoaan varten, onko tutkimussuunnitelmassa otettu huomioon tässä tai muussa laissa taikka lain nojalla annetut lääketieteellistä tutkimusta koskevat säännökset tai määräykset. Lainkohdan esitöissä (HE 65/2010 vp) viitataan tietosuojaa koskeviin säännöksiin.

EU:n tietosuojadirektiivi (95/46/EY), joka toimeenpantiin Suomessa henkilötietolailla, ei sisältänyt nimenomaista mainintaa eettisistä normistoista. Myöskään henkilötietolaki ei maininnut nimenomaisesti eettisiä normistoja. Lain esitöissä eettisten normistojen noudattaminen oli kuitenkin yhdistetty arkaluonteisten tietojen käsittelyyn. Tilanne on muuttunut uuden yleisen tietosuoja-asetuksen myötä. Tietosuoja-asetuksen johdanto-osan kappaleessa 33 mainitaan nimenomaisesti tieteellisen tutkimuksen tunnustetut eettiset standardit.

Uusi tietosuoja-asetus edistää tutkittavien eettistä kohtelua

EU:n yleisestä tietosuoja-asetuksesta ja tieteellisestä tutkimuksesta on viime aikoina kirjoitettu ja keskusteltu suhteellisen paljon. Mukaan on mahtunut useita myyttejä ja tarpeetonta pelottelua. Etenkin tietosuoja-asetuksen valmisteluvaiheessa esitettiin kannanottoja, joiden mukaan tieteellinen tutkimus estyy kokonaan. Toinen usein esillä oleva teema on ollut hallinnolliset sanktiot, joita on käytetty pelotteena palvelujen markkinoinnissa. Harvemmin on kerrottu sitä, että hallinnollisten sanktioiden määräämisen tulee olla jokaisessa yksittäistapauksessa oikeansuhtaista, varoittavaa ja tehokasta. Tietosuoja on useiden väärinkäsitysten vuoksi saanut tarpeettoman negatiivisen sävyn. Useimmat tilanteet ovat ratkaistavissa huolellisella suunnittelulla ja ottamalla tietosuoja huomioon mahdollisimman varhaisessa vaiheessa.

Tutkittavien kohtelua ja suojelua koskevilla tutkimuseettisillä periaatteilla ja tietosuojalainsäädännöllä on useita samanlaisia päämääriä. Selvennykseksi on hyvä todeta, että tietosuoja ei suojaa tietoa itsessään vaan yksilöä, jota tämä tieto koskee. Tietosuojalainsäädäntö ei liity ainoastaan yksityisyyden tai henkilötietojen suojaan. Tietosuoja-asetuksen tavoitteena on suojella myös laajemmin luonnollisen henkilön perusoikeuksia ja -vapauksia. Tietosuoja-asetus suojelee sivutuotteena esimerkiksi Euroopan unionin perusoikeuskirjassa (2012/C 326/02) turvattuja ihmisarvoa, oikeutta ruumiilliseen ja henkiseen koskemattomuuteen sekä oikeutta vapauteen ja henkilökohtaiseen turvallisuuteen.

"Tietosuoja ei suojaa tietoa itsessään vaan yksilöä, jota tämä tieto koskee."

Tiedon ei-julkista luonnetta tai tiedon antajan ja vastaanottajan erityistä suhdetta on kuvattu erilaisissa eettisissä ohjeissa vaihtelevilla ilmaisuilla. Käytettyjä ilmaisuja ovat esimerkiksi yksityisyys, luottamuksellisuus, vaitiolo ja salassapito. Lisäksi tiedon käyttötavoille on voitu asettaa rajoituksia. Ilmaisuille voi muodostua tietyissä konteksteissa ajan myötä vakiintuneita merkityssisältöjä, mutta ne ovat ainakin ulkopuolisten vaikeasti selvitettävissä.

Yksityisyyden sisällöstä ja rajoista on jokaisella kirjoittajalla oma tulkintansa. Tietosuoja-asetus olisi hyvä nähdä tässä yhteydessä kokoelmana ennalta hyväksyttyjä menettelytapoja tutkittavan ja häntä koskevien tietojen suojelemiseksi. Tietosuoja-asetus ja sitä täydentävä kansallinen lainsäädäntö tarjoaa tutkijoille työkalupakin tutkittavien suojaamiseen liittyvien ongelmien ratkaisemiseksi.

Antti Ketola
lakimies
etunimi.sukunimi [at] uta.fi

1 Jansson, Carl Gunnar: Country Report Sweden: Privacy Legislation and Social Research in Sweden. Teoksessa (toim.) Mochmann, Ekkehard & Müller, Paul: Data Protection and Social Science Research: Perspectives from Ten Countries. Campus Verlag GmbH. Frankfurt 1979, s. 32–33.
2 Mäkelä, Klaus: Yhteiskuntatieteellisen tiedonhankinnan eettiset normit ja tietosuoja. Teoksessa (toim.) Mäkelä, Klaus: Tieteen vapaus ja tutkimuksen etiikka. Kustannusosakeyhtiö Tammi. Helsinki 1987, s. 180–195
3 1/87 Yhteiskuntatieteellisen tutkimuksen tietosuoja. Tieteen keskustoimikunnan asettaman jaoston raportti.
4 ibid. s. 3–4, 8–10.
5 Nieminen, Liisa: Ammattieettiset ohjeet juristin haasteena. Viestintäoikeuden vuosikirja 2017. Helsingin yliopiston oikeustieteellisen tiedekunnan julkaisuja. Helsinki 2018.


27. huhtikuuta 2018

Uudet sopimusmallit tutkimusaineistojen arkistointiin

Tietoarkisto on uudistanut tutkimusaineistojen arkistointia koskevat yleiset sopimusmallinsa vastaamaan tietosuoja-asetuksen (2016/679) vaatimuksia. Sopimuksia kehitettäessä on lähtökohtana ollut Tietoarkiston tutkijoille tarjoamien palvelujen luotettavuus ja laillisuus.

Rekisterinpitäjä, joka luovuttaa tutkimusaineiston Tietoarkistoon käsiteltäväksi, täyttää uusien sopimusten myötä tietosuojalainsäädäntöön perustuvat omat velvoitteensa, joita edellytetään sopimuksen sisällöstä 25.5.2018 jälkeen. Sopimusjärjestely suojelee samalla tutkittavia huolehtimalla tietosuojan ja -turvan korkeasta tasosta heidän tietojaan käsiteltäessä.

Miksi sopimusmallien päivittäminen oli tarpeellista?

Sopimuksia solmittaessa yleinen lähtökohta on sopimusvapaus, johon kuuluvat muun muassa sisältövapaus ja muotovapaus. Poikkeuksia sopimusvapauteen on pakottavassa lainsäädännössä. Tietosuoja-asetus laajentaa henkilötietolailla (523/1999) kansallisesti toimeenpannun tietosuojadirektiivin (95/46/EY) sopimuksille asettamia vaatimuksia. Tietosuojasopimuksia koski aiemmin etenkin tietosuojadirektiivin 17 artikla, joka edellytti huolehtimaan lähinnä yleisellä tasolla käsittelyn turvallisuudesta ja seuraamaan rekisterinpitäjän ohjeita. Direktiivistä poiketen uusi tietosuoja-asetus määrittelee yksityiskohtaisesti rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen sisältöä ja muotoa.

Tietoarkisto toimii useimmiten henkilötietojen käsittelijän roolissa tutkimusaineiston toimittaneen rekisterinpitäjän lukuun. Tietosuoja-asetuksen edellyttämät yksityiskohtaiset ehdot on sisällytetty arkistointisopimuksen liitteeksi. Aineiston jatkokäyttöä koskevat perusratkaisut on arkistointisopimuksessa jätetty ennalleen. Jos henkilötietoja sisältävä tutkimusaineisto toimitetaan Tietoarkistolle ennen arkistointisopimuksen tekemistä, solmitaan luovuttajan ja Tietoarkiston välille erillinen sopimus henkilötietojen käsittelystä arkistointiedellytysten arvioimiseksi.

Kaikki tutkimusaineistot eivät tietenkään sisällä henkilötietoja. Joskus tätä on vaikea arvioida etukäteen tarkastelematta aineistoa. Tämän vuoksi henkilötietojen käsittelyä koskevat sopimusehdot on otettu osaksi kaikkia sopimuksia.

Mitä hyötyä uusista sopimusehdoista on?

Uusilla sopimusehdoilla on useita etuja aineiston luovuttavan rekisterinpitäjän kannalta. Rekisterinpitäjän kannalta henkilötietojen käsittelyä koskevat yksityiskohtaiset sopimusehdot

  • auttavat toteuttamaan tietosuoja-asetuksen 5 artiklan 2 kohdan mukaista osoitusvelvollisuutta
  • lisäävät tutkittavien luottamusta henkilötietojen vastuulliseen käsittelyyn
  • mahdollistavat tutkimusaineiston laillisen siirtämisen Tietoarkiston käsiteltäväksi
  • voidaan ottaa huomioon tietosuojaa koskevassa vaikutustenarvioinnissa.

Sopimusehdoilla on myös etuja aineiston luovuttajan ja Tietoarkiston väliselle yhteistyölle. Sopimus

  • parantaa tiedonkulkua sopijapuolten välillä
  • vahvistaa henkilötietojen käsittelyn turvallisuutta
  • selkeyttää työnjakoa.

Lisätietoa:

» Sopimus henkilötietojen käsittelystä arkistointiedellytysten arvioimiseksi (PDF)
» Arkistointisopimus (PDF)

Antti Ketola
lakimies
etunimi.sukunimi [at] uta.fi

Tämä blogikirjoitus on luettavissa myös englanniksi:
New contract models for archiving research data.