Kõigepealt tuleb koostada ülevaade plaanitavast teadustööst ja töödeldavatest isikuandmetest. Välja tuleb selgitada teadustöö jaoks kogutavate isikuandmetega seonduvad nõuded, kitsendused ja riskid, mis vajavad tähelepanu. Mida varem isikuandmetega seotud probleemid tuvastatakse, seda rohkem on aega nendega tegeleda.

Allpool on esitatud kontrollküsimustik, milles olevatele küsimustele on soovitatav teadustööd kavandades mõelda. Enne vastama hakkamist tasub tutvuda ka rahastaja tingimuste ja nõuetega, kuna sageli võivad need siinsete küsimustega kattuda, ehkki teistsuguses sõnastuses, järjekorras või detailsuses. Abiks on Euroopa Komisjoni teadustöö planeerimiseks loodud eetika ja andmekaitse otsustuspuu.

Vastused tasub kohe dokumenteerida. Kui teadustöö või -projekti jaoks on plaanis koostada andmehaldusplaan (vt p 2.2.1), on kõige mõistlikum küsimuste vastused sinna kirjutada. Lisaks võivad kirjalikud vastused olla abiks andmekaitsetingimuste, nõusolekuvormi, eetikakomitee kooskõlastuse taotluse, rahastustaotluse või muu isikuandmetega seotud dokumentatsiooni koostamisel. 


KONTROLLKÜSIMUSTIK ISIKUANDMETE KASUTAMISE KOHTA TEADUSTÖÖS

1.Mis on teadustöö eesmärk?

Eesmärk tuleb sõnastada nii täpselt ja konkreetselt kui võimalik. Kõige üldisemalt peab eesmärk andma teadustööga tutvujale teavet selle kohta, mida uuritakse või soovitakse uuringu abil saavutada (vt alaptk 2.12).

2. Kas mul on vaja isikuandmeid töödelda?

Kui teadustöö eesmärgid on täidetavad ka isikuandmeteta, tuleb eelistada seda võimalust. See on hea mitmel põhjusel: vähendab isikuandmete kogumise ja korrektse haldamisega seotud ressursikulu, säästab uuringusse kaasatuid, vähendab isikuandmete väärkasutamisest või ebaturvalisest haldamisest tulenevaid riske ja väldib omakorda nendest riskidest tekkivat kahju inimeste eraelule. Võrdsete tingimuste korral tuleks valida vähemate isikuandmete töötlemist eeldav lahendus – see on kooskõlas minimaalsuspõhimõttega (vt p 1.5.4).

3. Milliseid isikuandmeid ma töötlen?

Koguda tuleb vaid neid andmeid, mis on eesmärgi täitmiseks vajalikud, st neid ei tohi koguda igaks juhuks. Teadustööks vajalikud isikuandmed tuleb dokumenteerida koos nende kasutamise eesmärgiga – see aitab luua parema ülevaate ja seeläbi paremini hinnata, kas kõiki andmeid on tingimata vaja.

Uuringus kasutatavad isikuandmed tuleks esitada liikide või kategooriate kaupa. Seda teavet saab kasutada andmehaldusplaani koostamisel ja teadusprojektide isikuandmete töötlemise ülevaates.

4. Kas ma töötlen eriliiki isikuandmeid?

Planeerimisetapis tuleb välja selgitada, kas kogutavate andmete seas on eriliiki isikuandmeid (vt p1.3.1). Kui plaanis on eriliike töödelda, tuleb selleks küsida kooskõlastust valdkonna eetikakomiteelt (vt p-d 2.2.4 ja 2.8.5 ning alaptk 2.11).

5. Kes on teadustöö andmesubjektid?

Ülevaade andmesubjektidest tuleks esitada liikide või kategooriate kaupa. Kuna üldine inimeste jaotamise klassifikatsioon puudub, võib eelistada samu termineid, mida on kasutatud valimi koostamisel, näiteks „50–60-aastased“, „põhikooliõpilased“ või „alaealine“. Kui teadustöös puudub vajadus andmesubjekte mingite tunnuste alusel eristada, võib kasutada üldisi sõnu, näiteks „uuringusse kaasatud isikud“ või „uuritavad“ (vt alaptk-d 2.10, 2.15 ja 2.16).

6. Milline on andmete kogumise viis?

Peamine küsimus on, kas andmeid kogutakse vahetult inimestelt endilt või kasutatakse juba varem muul eesmärgil kogutud ehk teiseseid andmeid. Teiseste andmete puhul tuleb kindlaks määrata, kust need pärinevad, millised on kokkulepped andmete valdajatega ja kuidas on tagatud andmete turvaline üleandmine uurijatele (vt alaptk 2.8).

Sõltumata andmete kogumise viisist tuleb inimestele anda teavet nende andmete töötlemise kohta (vt p 2.8.2).

7. Milline on töötlemise õiguslik alus?

Selleks, et isikuandmete töötlemine oleks seaduslik, peab alati esinema üks üldmääruses nimetatud õiguslik alus (vt alaptk 1.6). Teadusprojekti eri etappidel võivad olla eri õiguslikud alused, kuid samas etapis ei saa valida neist mitut. Enamasti on küsimus selles, kas isikuandmete töötlemine toimub inimese nõusolekul (vt alaptk 2.3) või muul õiguslikul alusel (vt alaptk 2.4).

8. Kus ja kuidas andmeid hoitakse?

Mõelda tuleb sellele, kus ja kuidas andmeid hoitakse, kes pääsevad neile juurde ning mis tingimustel. Näiteks on vaja otsustada, kas andmete hoidmise keskkonnaks on ülikooli server, töötajate arvutid, pilveteenus vm ja kas see keskkond asub Euroopa Liidus või mõnes kolmandas riigis. Kui andmed on plaanis arhiveerida, on vaja aegsasti otsustada, millisel viisil ja kus neid säilitatakse (vt alaptk-d 2.2 ja 3.1).

9. Kui kaua isikuandmeid säilitatakse?

Eelnevalt tuleb kokku leppida, millisel kujul ja kui kaua uuringus kasutatud isikuandmeid säilitatakse. Teadusandmete kohta kehtib erand, mis lubab neid säilitada esialgse eesmärgi saavutamise ajast kauem, kuid mitte piiramatult. Tavapärane praktika on säilitada andmeid 5–10 aastat pärast projekti või uurimistöö lõppu, et oleks võimalik uuringu tulemusi kontrollida (vt alaptk 4.1).

Andmete varundamine ja pikaaegne säilitamine on tihedalt seotud teadusandmete haldamisega. Täpsemalt võib selle kohta lugeda Tartu Ülikooli raamatukogu õppematerjalist „Teadusandmete haldus ja publitseerimine“ ja andmehaldusplaani koostamise juhendist.

10. Milliseid turvameetmeid on plaanis kasutada?

Turvameetmed on nii tehnilist kui ka korralduslikku laadi. Tehnilised turvameetmed puudutavad andmete töötlemise seadmeid ja keskkondi. Korralduslikud turvameetmed on eelkõige töökord, füüsilised juurdepääsupiirangud (uksekaardid), ruumide ja seadmete lukustamine, andmehaldusplaan või isikuandmete töötlemise registreerimine. Turvameetmetena saab käsitada ka krüpteerimist, pseudonüümimist ja anonüümimist (vt alaptk-d 3.1, 3.3 ja 3.4).

11. Kellele on plaanis isikuandmeid edastada?

Nimetada tuleks kõik isikuandmete vastuvõtjad ehk isikud, kellele isikuandmeid edastatakse. Need võivad olla nii projektisisesed kui ka -välised asutused või isikud (vt alaptk 4.3).

12. Kas isikuandmeid edastatakse kolmandatesse riikidesse?

Kui isikuandmeid on plaanis edastada väljapoole Euroopa Liitu, kaasneb sellega kohustus tagada, et ka sihtriigis oleks piisav isikuandmete kaitse. Andmehaldusplaanis ja andmekaitsetingimustes tuleks kirjeldada ka kolmandatesse riikidesse edastavate andmete kooseisu ja kuju (vt alaptk 3.2).

  • No labels