���ʵ���

• Valet av ämne grundar sig på en diskussion mellan handledaren och den studerande om ämnets lämplighet för ��ä����dz�������DZ�et.
• Ämnets lämplighet för ��ä����dz�������DZ�et ska bedömas med hänsyn till behandling av personuppgifter när
  • forskningsobjektet är en människa
  • studien innefattar insamling/behandling av material som gör det möjligt att direkt eller indirekt identifiera personer
  • studien innefattar insamling/behandling av särskilda (känsliga) personuppgifter (Obs! Aalto-universitetet rekommenderar att ��ä����dz�������DZ� på kandidat- och magisternivå inte innefattar behandling av särskilda personuppgifter.)
• Ämnet ska utvärderas ur ett etiskt perspektiv:
  • identifiering av känsliga ämnen och målgrupper
  • risker och olägenheter för deltagare (och för ��ä����dz�������DZ�ets författare)
  • ��ä����dz�������DZ� ska i regel inte göras om ämnen som kräver en etisk förhandsbedömning
• Ämnet ska utvärderas utgående från den studerandes färdigheter och tidsanvändning.

• Att personuppgifter hålls skyddade är en grundläggande rättighet för alla. Behandling av personuppgifter förutsätter alltid en orsak och motivering som grundar sig på lagstiftningen. Detta gäller även en studerande som behandlar personuppgifter i sitt ��ä����dz�������DZ�.
• De viktigaste bestämmelserna som gäller behandling av personuppgifter är
  • EU:s allmänna dataskyddförordning (EU 2016/679, General Data Protection Regulation, d.v.s. GDPR)
  • den nationella dataskyddslagen (1050/2018) som kompletterar den allmänna dataskyddsförordningen
• Instruera den studerande att bekanta sig med Aalto-universitetets blankettmallar (Obs! För studerande på kandidat- och magisternivå finns det ett separat dataskyddsmeddelande, som skiljer sig från det som används inom forskningen): och anvisningarna gällande dataskydd och behandling av personuppgifter: Anvisningar för behandling av personuppgifter i studierna | Aalto-universitetet

• Forskningsplanen eller datahanteringsplanen (DMP) (sidan är på finska, planen har också en svenska mall) innehåller en beskrivning av hur personuppgifter kommer att behandlas i olika faser av arbetet med ��ä����dz�������DZ�et.
• Det lönar sig alltid för den studerande att göra en datahanteringsplan, även om den inte skulle vara obligatorisk.  Det hjälper den studerande att förstå och dokumentera åtgärder i anknytning till dataskydd.
• I planeringsstadiet ingår att fundera på vilka typer av personuppgifter som samlas in för ��ä����dz�������DZ�et. Ju mer olägenheter det innebär för deltagarna i studien att deras personuppgifter avslöjas för en utomstående, desto mer noggrannhet krävs.
• Vilken typ av personuppgifter som samlas in påverkar
  • var, hur och med vilka medel personuppgifter kan samlas in, överföras och analyseras
  • var de kan lagras.
• Dataskyddsmeddelandet ska ange hur materialet behandlas och lagras.

• I planeringen av materialinsamlingen ska den studerande följa principen om att minimera insamlingen av personuppgifter, det vill säga att samla in endast de personuppgifter som är nödvändiga för ��ä����dz�������DZ�et.
• I materialinsamlingen beaktas informationssäkerheten hos det verktyg som används för insamlingen samt hur personuppgifterna överförs till exempel från insamlingsverktyget till filer och hur filerna överförs mellan olika program.

Till exempel:

• I enkäter lönar det sig att undvika öppna frågor vars svar kan innehålla personuppgifter.
• I samband med en intervju kan deltagaren påminnas om att hen inte ska ta upp sådant som gäller en tredje part under intervjun utan hålla sig till temat för intervjun.
• Se till att apparater som används för ljud- eller videoinspelning av intervjuer inte används av utomstående så länge de innehåller intervjumaterial.
• Överför och förstör upptagningarna (ljud, video) från de apparater som använts för insamlingen så snart som möjligt efter insamlingen.
• Kontrollera om det behövs en säker anslutning (krypterad fil) när filer överförs från en apparat till en annan.

Hur bör man förfara i fråga om dataskydd när:

Insamling av material på sociala medier:

• Klargör i förväg och på ett tydligt sätt vad forskningen handlar om och hur personuppgifterna kommer att behandlas.
• Om det är omöjligt att be om samtycke personligen kan målgruppen för studien informeras t.ex. genom att publicera ett dataskyddsmeddelande i sociala medier.
• Utred alltid i förväg om den använda plattformen tillåter insamling av material för forskningsändamål. Till exempel i X är det möjligt att samla in forskningsmaterial, men i Metas sociala medier är det svårare att samla in material för forskning.
• Materialet ska lagras på samma sätt som annat konfidentiellt material som innehåller personuppgifter.

Insamling av material med hjälp av en kommersiell app:

• Endast appar som godkänts av Aalto IT får användas. Läs mer: IT service för studenter | Aalto-universitetet.
• Överför materialet till universitetets system så snart som möjligt.
• Behandla och förvara materialet på samma sätt som annat forskningsmaterial.

Behandling av personuppgifter i intervjuer:

• Kom ihåg att till exempel en e-postadress samt röst och bild är personuppgifter.
• Insamling av personuppgifter kräver samtycke och en dataskyddsbeskrivning, även om forskningsfrågorna inte gäller deltagarens personliga förhållanden.
• Om personuppgifter har samlats in utan korrekt samtycke måste samtycket och dataskyddsbeskrivningen ordnas i efterhand.
• Om någon inte ger sitt samtycke ska hens uppgifter raderas.

Den studerande ska kunna att hen har behandlat personuppgifter i enlighet med dataskyddsbestämmelserna. Det lönar sig därför att dokumentera alla åtgärder noggrant. Kontrollera att den studerande har följande dokument:

1.Datahanteringsplan: Rekommenderas som bilaga vid Aalto-universitetet om forskningstillstånd behövs: Aalto-yliopiston tutkimuslupaprosessi | Aalto-yliopisto (på finska och engelska)

2.Information till deltagarna i studien: Om personuppgifter behandlas är det bra att informera om detta och huruvida uppgifterna kommer att användas i fortsättningen.

3.Instruera den studerande att använda Aalto-universitetets mallar: (alla på samma blankett).

4.��ǰ�����Ծ��Բ����پ���������å�Ի� (om organisationen som är föremål för studien kräver det)

1. Vad innebär information:
   • Deltagarna informeras om syftet med studien och behandlingen av deras personuppgifter (insamling, användning, utlämning, lagring).
   • Målet med informationen är att klargöra för deltagarna hur och varför deras uppgifter behandlas.
   • Information kan ges vid flera olika tillfällen, men det viktigaste är att den är konsekvent i exempelvis alla dokument (dataskyddsmeddelande, forskningsmeddelande).
2. Planering av information:
   • Genomförs enligt dataskyddsförordningen och forskningsetiska riktlinjer.
   • God information är kortfattad, tydlig, lättförståelig och tillgänglig.
   • Det är bra att testa informationens förståelighet med en extern läsare.
3. Dokument och tidpunkter för information:
   • Dataskyddsmeddelande (görs alltid): registeransvarig, lagringstid, överföring/utlämning, registrerades rättigheter.
   • Etiskt samtycke: deltagande i studien, fortsatt användning och arkivering.
   • Forskningsmeddelande (används inte nödvändigtvis om dataskyddsmeddelandet redan tillräckligt omfattande): kan innehålla information om bl.a. studieämnet, mål, fördelar eller nackdelar samt eventuell fortsatt användning av studien.
   • Dokument ges skriftligt eller elektroniskt, om inte deltagaren begär muntlig information.
   • Information ges före insamlingen av material: direkt insamlade uppgifter ges i början av insamlingen, uppgifter från andra källor senast inom en månad.
4. Informationsmetoder:
   • Ansikte mot ansikte, i början av enkäten, via e-post eller webbplats.
   • Om direkt kontakt inte finns, publiceras informationen offentligt (t.ex. på projektets webbplats).
   • Deltagarna ges tid att bekanta sig med informationen och ställa frågor.
   • Förändringar i behandlingen av personuppgifter informeras och uppdateras i dataskyddsmeddelandet.
5. Dokumentation och lagring:
   • Samtycken digitaliseras eller antecknas om de ges muntligt.
   • Informationsdokumenten lagras på grund av bevisskyldighet.
   • Aalto-universitetets mallar:

Om ��ä����dz�������DZ�et behandlar personuppgifter måste studenten utforma en dataskyddsmeddelande som ges till de som deltar i forskningen. 

Dataskyddsmeddelandet måste innehålla åtminstone följande:

• Syftet med studien och grunden för behandlingen av personuppgifter.
• Den personuppgiftsansvariges namn och kontaktuppgifter. Den personuppgiftsansvarige beslutar om varför och på vilket sätt personuppgifter behandlas.
• Vilka personuppgifter som samlas in och från vilka källor.
• Hur personuppgifterna behandlas, lagras och skyddas.
• Hur länge personuppgifter behandlas
• Vem personuppgifterna lämnas ut till och varför.
• Vilka rättigheter deltagarna har till sina egna uppgifter och hur de kan använda dem. Detta innebär att en deltagare har rätt att få veta till exempel vilka uppgifter om hen som har lagrats, rätt att begära korrigering eller radering av uppgifterna och rätt att motsätta sig behandlingen av uppgifterna.
• Hur deltagarna kan kontakta den personuppgiftsansvarige eller dataombudsmannen om de har frågor som gäller dataskyddet.

om det inte är möjligt att informera deltagarna personligen, kan dataskyddmeddelandet publiceras exempelvis på en webbplats. 

Det är att rekommendera att ge dataskyddmeddelandet så tidigt som möjligt eftersom det innehåller information om vilka personuppgifter som samlas in i studien (forskningsregistrets innehåll), och i dessa ingår deltagarnas kontaktuppgifter.

• Den studerande ska ta reda på huruvida hen behöver ett forskningstillstånd från den organisation som är föremål för studien och vilken praxis som i så fall gäller för forskningstillstånd vid organisationen (t.ex. vilka dokument som behövs).
• Aalto-universitetets praxis: Den studerande ska tillsammans med sin handledare ansöka om forskningstillstånd vid Aalto-universitetet om hen planerar ett ��ä����dz�������DZ� eller en annan studie som involverar studerande eller personal vid Aalto-universitetet eller om hen behöver data från Aalto-universitetet för sin studie. Vid Aalto-universitetet finns en särskild blankett för ansökan om forskningstillstånd. Läs mer: Aalto-yliopiston tutkimuslupaprosessi | Aalto-yliopisto. (på finska och engelska)  Obs! Kravet på forskningstillstånd gäller i regel endast vetenskaplig forskning och studerande behöver inte alltid i praktiken begära tillstånd. Genom processen för ansökan om forskningstillstånd är det dock möjligt att reda ut huruvida forskningstillstånd behövs.

• Avtal om användning av materialet om materialet har erhållits från handledaren Först är det viktigt att fastställa vems materialet ursprungligen tillhör: vem äger det och vem har rätt att använda det? Vad har den som ursprungligen samlade in materialet kommit överens om gällande behandlingen av personuppgifter? Har deltagarna i studien informerats om den fortsatta användningen av materialet? Om materialet har samlats in av handledaren själv: Har handledaren rätt att lämna ut materialet för fortsatt användning och har hen själv kommit ihåg att be om tillstånd för att materialet får användas av en studerande? Innehåller materialet något upphovsrättsligt skyddat material (t.ex. bilder) som kräver separata tillstånd, eller personuppgifter som kräver samtycke? Det är lämpligt att ingå ett skriftligt avtal om användningen av materialet, och avtalet kan bland annat reglera sekretess.

Material som innehåller personuppgifter är förknippat med risker, eftersom en person kan identifieras direkt eller genom en kombination av uppgifter. Ingen vill att till exempel konfidentiella uppgifter som ges av deltagarna i en studie ska hamna i fel händer eller överhuvudtaget bli tillgängliga för någon obehörig. Deltagarnas integritetsskydd får inte äventyras genom slarvig behandling av materialet.

Personuppgifter kan skyddas på följande sätt:

1. Minimering
   • Endast sådana personuppgifter som behövs för studien ska samlas in.
   • Oväsentlig information som ges av deltagarna tas bort ur materialet.
   • Personuppgifter ska tas bort ur materialet så fort de inte längre behövs.
2. Pseudonymisering
   • Pseudonymisering innebär att uppgifter som gör det möjligt att identifiera en person ersätts med någon annan information eller kod omedelbart efter att materialet har samlats in eller när det börjar behandlas. Så länge materialet inte innehåller information om vem de kodade uppgifterna syftar på är det inte möjligt att identifiera enskilda personer i materialet.
   • Information om vad som är dolt med hjälp av någon term eller kod ska förvaras åtskilt från materialet.
   • Så länge det finns en "kodnyckel" som gör det möjligt att på nytt avslöja personuppgifterna ska materialet hanteras med särskild omsorg.
   • Pseudonymiserade uppgifter är fortfarande personuppgifter och ska behandlas i enlighet med dataskyddsbestämmelserna, vilket till exempel innebär att materialet ska sparas i tjänster som är kompatibla med GDPR.
   • När studien är klar ska kodnyckeln förstöras om avsikten är att fortsätta lagra materialet.
3. Anonymisering
   • Anonymisering av materialet innebär att all information som gör det möjligt att identifiera en enskild person tas bort.
   • Materialet kan till exempel ändras, kategoriseras eller omarbetas till en allmän nivå så att det inte längre är möjligt att identifiera enskilda deltagare. Identifiering ska förhindras på ett oåterkalleligt sätt.
   • Efter anonymiseringen ska det i princip inte ens vara möjligt för en person som deltagit i studien att identifiera sig själv.
   • Det är sällan möjligt att göra materialet helt anonymt, och det kan dessutom vara en dålig lösning med tanke på analysen. Den studerande kan därför behöva fundera mycket på olika lösningar för att förhindra identifiering med rimliga metoder, samtidigt som materialet fortsättningsvis är användbart för forskning.
   • Från och med att materialet anonymiseras kan det behandlas som vilket material som helst. Då är det möjligt att ange i dataskyddsmeddelandet att behandlingen av personuppgifter upphör i och med anonymiseringen.

• Tekniska åtgärder för att skydda personuppgifter:
  • Kryptering av filer
  • Olika åtgärder för att hantera åtkomst (lösenordsskydd, multifaktorautentisering).

• I valet av lagringsmetod för forskningsmaterial som innehåller personuppgifter är det viktigt att säkerställa informationssäkerheten.
• Instruera den studerande att bekanta sig med Aalto-universitetets lagringslösningar, till exempel den personliga lagringsplatsen i universitetets nätverk (), alternativt OneDrive eller Teams om data delas till handledaren. Vidare ska den studerande följa ����-����ä�Բ��ٱ��nas anvisningar i valet av lagringsplats (se Aalto-yliopiston tallennusratkaisut, på finska och engelska)
• Om personuppgifter samlas in på papper ska materialet förvaras i ett låsbart skåp och förstöras efter studien.
• Utomstående och olovlig användning av materialet ska förhindras.
• E-postmeddelanden som innehåller personuppgifter ska alltid skickas i krypterat format (på finska och engelska).
• Användning av USB-minne ska undvikas. Aalto erbjuder för närvarande inte krypterade USB-minnen, och dessutom kan de innehålla skadliga program eller försvinna. Se Aallon tietoturvaohjeet opiskelijoille (på finska och engelska).

• Överföring av forskningsmaterial innebär att materialet ”rör sig" mellan olika aktörer.  Det handlar också om överföring när det är möjligt att se uppgifterna via distansuppkoppling (t.ex. genom åtkomst till universitetets nätverk).
• Vid överföring av forskningsmaterial förblir ansvaret för behandlingen av personuppgifter och rollen som personuppgiftsansvarig fortfarande hos den som överför uppgifterna (jfr utlämnande av uppgifter, varvid ansvaret för behandlingen av personuppgifter överförs till den mottagande aktören och den personuppgiftsansvarige byts ut).

• Deltagarna i studien ska alltid informeras om fortsatt användning och arkivering av forskningsmaterial. Även om det inte ännu finns planer på fortsatt användning av materialet när studien inleds lönar det sig att förutse och nämna eventuell fortsatt användning åtminstone i dataskyddsmeddelandet. Det kan vara svårt eller till och med omöjligt att begära tillstånd för fortsatt användning i efterhand.
• Informationen kan inkluderas i ett eller flera dokument, till exempel:
  • dataskyddsmeddelande
  • meddelande till deltagarna i studien
  • följebrev till enkät
  • samtyckesblankett
• Det centrala är att deltagarna i studien har begriplig och korrekt information om den fortsatta användningen av forskningsmaterialet. För att trygga deltagarnas rättigheter och att fortsatt användning är möjlig är det viktigt se till att de olika dokumenten inte innehåller motstridiga uppgifter.
• Informationen till deltagarna ska besvara åtminstone dessa tre relevanta frågor:
• Vart lämnas forskningsmaterialet ut för arkivering?
  • Till vem överlåts forskningsmaterialet för fortsatt användning?
  • För vilket ändamål lämnas forskningsmaterialet ut senare?

• När ��ä����dz�������DZ�et har godkänts ska den studerande bestämma om hen ska spara materialet eller förstöra det.
• Lagring av material (inklusive samtycken) medför en risk för personuppgiftsincidenter, vilket talar för att det är bäst att förstöra materialet så fort som möjligt efter att arbetet godkänts.
• Att lagra materialet kan dock vara motiverat med hänsyn till den studerandes rättsskydd, eftersom det möjliggör bedömning i efterhand. I detta fall är rekommendationen att anonymisera materialet innan det lagras.
• Den studerandes filer raderas ur Aalto-universitetets lagringslösningar efter att hen utexaminerats.
• Eftersom ��ä����dz�������DZ�et är offentligt omedelbart efter att det har bedömts och godkänts får det inte innehålla någon sekretessbelagd information.