Rekisterinpitäjän määrittäminen tieteellisessä tutkimuksessa

Dnro: 1718/41/2015
21.10.2015

Asia

Olette esittänyt tietosuojavaltuutetun toimistolle kysymyksen, joka koskee rekisterinpitäjää tieteellisessä tutkimuksessa. Kerrotte, että yliopiston X suunnitelma on, että jatkossa henkilötietoja sisältävän datan rekisterinpitäjänä olisi aina sopimusperusteisesti yliopisto. Kysytte, voisiko yliopisto X olla tutkijan kanssa etukäteen tehtävän sopimuksen perusteella aina rekisterinpitäjä sellaisten tutkimusten osalta, joissa käsitellään henkilötietoja ja joissa syntyy henkilörekisteri.

Tietosuojavaltuutetun toimivallasta

Henkilötietolain (523/1999) 38 §:n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Tietosuojavaltuutetun vastaus

Henkilötietolain 3.1 §:n 4 kohdan mukaan rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittely tapahtuu lainsäädännön vaatimusten mukaisesti. Rekisterinpidon kannalta on olennaista, kenellä on määräysvalta tutkimukseen ja siinä kerättävään aineistoon nähden.

Tietosuojaryhmä WP 29 toteaa lausunnossaan 1/2010 rekisterinpitäjän ja henkilötiedon käsittelijän käsitteestä, että rekisterinpitäjän käsitteellä on ennen kaikkea tarkoitus määrittää se, kuka vastaa tietosuojasäännösten noudattamisesta ja miten rekisteröidyt voivat käyttää käytännössä oikeuksiaan.

Rekisterinpitäjäksi ryhdytään usein siksi, että joku henkilö tai organisaatio on arvioinut, että on tarpeellista käsitellä henkilötietoja johonkin tiettyyn omaan tarkoitukseen. Rekisterinpitäjän käsite on toiminnallinen käsite, jolla jaetaan vastuuta sinne, missä todellinen vaikutus on, ja joka näin ollen perustuu tosiasialliseen eikä niinkään muodolliseen analyysiin. Yhteisöä, jolla ei ole laillista eikä tosiasiallista vaikutusvaltaa määriteltäessä, miten henkilötietoja käsitellään, ei voida katsoa rekisterinpitäjäksi.

Tietojen käsittelyn "tarkoituksen" määritteleminen on annettu "rekisterinpitäjän" tehtäväksi. Näin ollen tämän päätöksen tekijä on (tosiasiallisesti) rekisterinpitäjä. Rekisterinpitäjä voi valtuuttaa tietojen käsittelyn "keinojen" määrittelemisen jollekin toiselle teknisten ja organisatoristen seikkojen osalta. Olennaiset kysymykset, jotka ovat ratkaisevia tietojen käsittelyn laillisuuden kannalta, on varattu rekisterinpitäjälle. Henkilö tai yhteisö, joka päättää esim. siitä, kuinka kauan tietoja säilytetään, tai siitä, kenellä on oikeus tutustua käsiteltyihin tietoihin, toimii "rekisterinpitäjänä" tietojen käsittelyn tässä osassa, ja sen on näin ollen täytettävä rekisterinpitäjän velvoitteet.

Rekisterinpidon kannalta on olennaista, kenellä on määräysvalta tutkimukseen ja siinä kerättävään aineistoon nähden. Silloin kun tutkija tekee organisaation tutkimusta virka-, työ- tai palvelussuhteessa tai tutkimus tehdään muutoin kyseessä olevan organisaation lukuun, rekisterinpitäjä on organisaatio, ei yksittäinen tutkija. Omaa itsenäistä tutkimustaan tekevä tutkija tai tutkijaryhmä on puolestaan tutkimushankkeen yhteydessä syntyvän tutkimusrekisterin rekisterinpitäjä.

Jos tutkimushankkeeseen hankkeeseen osallistuu useampi taho, on tärkeä määrittää, toimiiko tutkimusrekisterinpitäjänä yksi organisaatio vai onko kysymyksessä yhteistyöhanke, jolloin rekisterinpidon vastuu voi olla jaettu eri henkilötietojen käsittelytoimenpiteiden osalta eri organisaatioiden kesken. Tutkimukseen osallisten rooli henkilötietojen käsittelyn yhteydessä on syytä määritellä sopimuksin. Tässä yhteydessä on tarpeellista määrittää muun muassa se, ketkä osallistuvat tutkimukseen ja siinä kerättävien henkilötietojen käsittelyyn, sekä mitkä ovat heidän vastuunsa ja roolinsa näissä tehtävissä.

Mikäli kyseessä on yhteistyöhanke, on tutkimusrekisterinpitäjän lisäksi määriteltävä, ketkä osallistuvat tutkimukseen sekä mitkä ovat heidän vastuunsa henkilötietojen käsittelyssä. Jos tietyn tutkimuslaitoksen (rekisterinpitäjä) tutkimukseen osallistuu esimerkiksi eri organisaatioita/henkilöitä, on tärkeää henkilötietolain ja mahdollisten muiden säännösten mukaisesti sopimuksin määritellä, missä ominaisuudessa nämä tutkimukseen osallistuvat (työsuhde, toimeksiantosuhde) sekä mitkä käytännössä ovat osapuolten vastuut ja roolit henkilötietojen keräämisessä ja muussa käsittelyssä, kuten suojaamisessa, hävittämisessä tai arkistoinnissa.

Olennaista on se, että rekisterinpitäjä tunnistetaan oikein tutkimushankkeen alkaessa. Kuten edellä on todettu, rekisterinpitäjän käsitteen määritteleminen ei perustu muodolliseen analyysiin vaan tosiasialliseen analyysiin edellä mainittujen seikkojen valossa. Henkilötietolain nojalla ei voitaisi sopimusperusteisti sitovasti sopia siitä, että tietty taho on henkilötietojen käsittelyn suhteen rekisterinpitäjän asemassa, jos tosiasiallisen analyysin perusteella rekisterinpitäjä on jokin toinen taho.

Ohjaan ottamaan huomioon tämän vastauksen toimintanne jatkosuunnittelussa. WP 29 -tietosuojaryhmän lausunto on saatavilla osoitteessa: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp169_fi.pdf .

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Anna Hänninen


 
Julkaistu 30.6.2017