V1. Ohjeen kommenttiversio (työryhmän kommentoima)


Section	UUSI OHJETEKSTI	KOMMENTIT
Introduction	These instructions are meant to be used alongside the general Finnish DMP guidance. We have gathered the instructions under the each numbered section of data management plan (DMP) so that you will first find the guidelines on what to write in each sections, then practical Tips to ease the writing process, and finally some useful Links concerning that specific section. Note that research organisations provide researchers guidance on complying with the principles of data protection and information security. Please familiarise yourself with your organisation's data management guidelines and, if needed, contact your home organisation's support services. These instructions consider any data that, when exposed, can cause any harm, or is prohibited from being distributed further. Note that data can include parts needing different levels of protection. The data can include either confidential data or personal data. These data types are described below. Types of confidential data: Sensitive species data, such as data concerning endangered animals and plants, data related to nature conservation or biosafety. Other confidential data, such as patents, data related to national defence, organisational data, or trade secrets. Types of personal data (all data from which a person can be identified either directly or indirectly): Direct identifiers: eg., name, phone number, personal identity code, image, audio, fingerprint, dental chart, MRI image. Indirect identifiers: eg., gender, age, education, professional status, nationality, location data, career history, system log data, marital status, place of residence, vehicle registration number. Sensitive personal data are any data whose disclosure could harm the study subjects. Special categories of personal data may be related to health, sexual orientation, ethnic background, trade union membership or religious conviction. In the General Data Protection Regulation (GDPR) their processing is heavily regulated. In addition, there can be other types of personal data that are sensitive by nature. The research parties are responsible for identifying these sensitive data, such as information about the use of social welfare services and status as a debtor, among other things. Tips When handling any kind of personal data, you must acknowledge and address the seven principles of the EU's General Data Protection Regulation in the different sections of your DMP. Links Data protection principles (Office of the Data Protection Ombudsman) What is personal data (Finnish Social Science Data Archive) Processing of personal data (Office of the Data Protection Ombudsman)	KF 4.10. lisätään määritelmät, pohjustetaan myös suunnitelmallisuutta, maininta, että DMP on osa tietosuojadokumentaatiota Mietitään, siirretäänkö tietosuojaperiaatteet linkin taakse →siirretty (19.10) Ei pohjustettu suunnitelmallisuutta enempää, löytyy jo pääohjeesta. DMP osa tietosuojadokumentaatiota → lisättiin kohtaan 2.1. uudeksi tipsiksi. 2. Purpose limitation (...get new consents for any new purposes.): Tietosuojavaltuutetun sivuilla täsmällinen ohje uuden käyttötarkoituksen ilmaantuessa: When a controller intends to process personal data for purposes other than the original purpose of processing, it must notify the data subjects of this before starting processing. The controller is required to inform the data subjects of the new purpose of processing, the rights of the data subject and all other relevant information unless there is a legal basis for deviating from the notification obligation. Eli uudet nimenomaiset suostumukset tarvitaan nähdäkseni ensisijaisesti silloin, kun käsittelyperusteena on alun alkaenkin suostumus. Kyseessähän voi olla myös rekisteriperusteinen tutkimus, johon ei alun alkaenkaan ole pyydetty suostumusta. Oleellista jokaisessa tapauksessa vähintäänkin päivittää tietosuojailmoitus ja jos mahdollista informoida tutkittavia uudesta käyttötarkoituksesta ja päivitetystä tietosuojailmoituksesta. Koska ohjeessa on erikseen Legal -osio, riittäisikö tässä Clearly identify the purpose for processing personal data, and make sure any new purposes are planned in compliance with GDPR. (AH, Aalto-yliopisto) Linkit: Miksi linkki on nimenomaan UK GDPR ohjesivulle? Kansallisilla viranomaisilla on ajoittain erilaisia linjauksia ja ohjeita, joten olisi parempi linkittää mielummin kansallisen tietosuojavaltuutetun ohjesivusto. Tietosuojaperiaatteet \| Tietosuojavaltuutetun toimisto, sivusto on myös englanniksi. → viety tekstiin (EV) UEFista mietimme samaa. HUOM! Jos nämä "prinsiipit" on napattu UK-lähteestä, se pitäisi mainita. UEF: Voisiko olla "sanasto", jossa suomen- ja englanninkieliset keskeiset käsitteet tulisivat käsittellyiksi ja myös meille tuki-ihmiselle ja muille jatkuvaksi kertaukseksi. Tässä kerrotaan henkilötietodatan lakivaatimukset (GDPR), mutta entäs muu sensitiivinen data (esim. saimaannorppa-tutkimus), mitä lakeja silloin pitää noudattaa? Voisiko kolmannessa kappaleessa vielä painottaa "When handling any kind of personal data...." Olisi hyvä, jos kaikissa linkeissä näkyisi linkin perässä sulkeissa, minkä organisaation alle linkki johtaa. CSC-SD services office: It might be clearer using an official page as link to the GDPR and use Ombudsman page as additional link (not refer to UK legislation). It might be good to give practical examples in the definitions of the seven principles so that they do not remain abstracts: e.g. " Identify an appropriate lawful basis for processing personal data (e.g. consent, legitimate interest etc). Assess how the processing may affect the individuals. Keep the participants informed in a transparent manner. HULib/Tuulitoimisto (SM) hyvä nosto ensimmäisessä kappaleessa org. omista, tarkemmista ohjeista komppaan muita, ei kannata ohjeistaa lainsäädäntö asioissa UK:n kautta, Tietosuojavaltuutetun sivut parempi. (Jos jää lähteeksi, niin linkki tietysti mukana.) Viitaten UEFin kommenttiin sanastosta Tietoarkiston sivuilla on ”Termit haltuun” -osio: https://www.fsd.tuni.fi/fi/palvelut/aineistonhallinta/tunnisteellisuus-ja-anonymisointi/#termit-haltuun DMPTuuli ja tekniikka: ohjeistuksen syöttämisessä DMPTuuliin värikkäät tägit eivät onnistu (ja värisokeita eivät hyödytä); lista-toiminnot ja muut HTML-koodin tavat toimii, saa myös taulukoita (jostain syystä eivät näy Chromella, Firefoxilla näkyy) THL Jäin miettimään, onko tuossa riittävästi aineiston elinkaaren ennakoinnista ja aineistonhallinnasta. Usein tutkijat ryhtyvät suoraan tekemään, kovalla vauhdilla, jättäen dokumentoinnin ”myöhemmäksi” ja improvisoiden järjestelyitä. Dokumentointi- ja säilytyskäytännöt (kuten codebook, tutkimusloki, hakemistorakenteet) pitää suunnitella etukäteen, sekä itse tutkimuksen käytön aikaa ajatellen, mutta myös arkistointia varten – jos tarvitaan erillisiä siivous- tai dokumentointitoimenpiteitä arkistoidessa ne jäävät helposti tekemättä. Tämä kaikki vaikuttaa tietosuojaan, koska sotkun seasta lipsahtaa helpommin arkaluonteista materiaalia seassa. Toisaalta DMP-ohjeistus on erillinen, mutta mainitaanko siinä esim. kriittisten asiakirjojen (luvat, sopimukset, suostumukset) säilyttäminen? Tein muutaman pienen muokkauksen tekstiin jokaiseen kohtaan (lähinnä yhdenmukaistamista) 1.11.2023 TS
	1. General description of data
1.1 What kinds of data is your research based on? What data will be collected, produced or reused? What file formats will the data be in? Additionally, give a rough estimate of the size of the data produced/collected.	If your data includes personal, sensitive, or confidential data, you need to address them in this section of the DMP. These data will need special attention in data handling, which you will describe in other sections. Note that the researcher is responsible to recognise whether their data will include confidential data, personal data or sensitive personal data. Interview recordings, for instance, always contain direct identifiers (e.g., voice or face images of the study subject). In addition, surveys that contains open-ended questions most likely include at least indirect identifiers. Medical imaging data is often considered personal data. Even technical measurement data from a certain device is personal data if it can be associated with an individual person (e.g., GPS tracker information). Tips A table is a good way to address all the questions in this section. List all your datatypes in a table and add an extra column assigning whether the datatype includes conficential, personal or sensitive personal data. You can then refer to the table and datasets described in it later in the DMP. In this table you can also specify the owners, controllers and processors of the data; see section 2.1.	Poistaisin alla olevasta tuon ylivaavaamani. Itse luen tuota muuten, että the risk of developing viittaisi koko listaan. (muok. 28.9.2023 TS) Sensitive data may be related to health ~~or the risk of developing a disease~~, sexual orientation, ethnic background, trade union membership or religious conviction. In GDPR regulation, these are regarded as special categories of personal data and their processing is heavily regulated. "In a research" on vanhanaikainen tapa sanoa "A piece of research", joten "a" poistettu. Koko lause tuntuu itse asiassa turhalta, koska sama asia sanotaan on kohdan 1 ensimmäisessä lauseessa. Olisiko tilalle "Types of confidential data:"? (muok. 28.9.23 TS; lisäsin lauseen edellisen kappaleen loppuun; Furthermore, note that there can be either personal data or other confidential data. JA lisäksi types of confidential data ennen listaa. ONKO ok?) Lisätty serial comma ennen kohtaa "or trade secrets" jotta tulkinta ei olisi vain "organisational trade secrets" vaan "trade secrets" ylipäänsä. (AH, Aalto yliopisto) Miksi sensitive personal data kohdassa sanotaan ettei täydellistä listaa ole? GDPR:ssä on nimenomainen lista, jota ei ole tässä avattu kokonaan, vaikka syytä olisi (data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation). Lisäksi jos halutaan, niin voi minusta sanoa, että muukin data voi kyllä muuten olla luonteeltaan arkaluonteiksi miellettävää, vaikka se ei GDPR:n mukaan suoraan sitä olisi. Tässä on siis hyvä minusta todella selvästi avata se, mikä on lainsäädännön määritelmä ja lisäksi moni muu data voidaan arjessa ja muuten myös mieltää arkaluontoiseksi, lainsäädännön tunteman määritelmän lisäksi. (28.9.2023 TS; tässä kommentissa listattu special categories of personal data-tyypit, johon on linkki tuossa ohjetekstissä. Tarvitseeko listausta siis kirjoittaa vielä erikseen auki. Taisimme ajatella, että sensitive personal datalle ei ole selkeätä listaa, mutta tietty noille special categories of personal datalle on tuo lista. Entä jos ottaa mustan palleron pois ja laittaa tuon kohdan jatkoksi vaalealle pallerolle? Olisiko parempi?) Laittaisin terminologian käytöstä kommentin, eli kun tekee DMP:tä niin pyrkii käyttämään täsmällisesti oikeaa terminologiaa, esim. henkilöiteto, erityinen henkilöiteto, psydonymisoitu, anonymisoitu jne. Ajoittain näkee sittä että terminologia on mitä sattuu ja ristiriitaista, joten jää lopulta epäselväksi se, mikä on ollut tarkoitus. (Nämä tulevat seuraavissa kohdissa ohjetta, mutta pitää vielä tarkistaa, että varmasti ovat siellä. 28.9.2023 TS) TAU: Hyvä, että olette huomanneet erityistä suojausta edellyttäviksi tiedoiksi voivan kuulua myös muita tietoja kuin Art. 9 ja Art. 10 tietoja. Meillä esimerkiksi sosiaalihuollon palveluiden käyttöön tai velallisen asemaan liittyvät tiedot arvioidaan tällaisiksi. Tiedot voivat olla myös muusta syystä suojattavia kuin niiden sisältämien henkilötietojen vuoksi. Tutkijalle voisi olla apua esimerkinomaisesta luettelosta, keiden ja minkälaisten tietojen suojaamiseen kannattaa kiinnittää erityistä huomiota. (olisiko hyvä laittaa nämä esimerkeiksi regulated jälkeen? TS 28.9.2023) Taisa yrittää miettiä listaa seuraavaan ryhmän kokoukseen. 4.10.2023 TS tein listan boldatun tekstin perään. UEF: Kun listataan direct ja indirect identifiers, alkuun e.g. (listat eivät ole eivätkä voikaan olla kattavia). muokattu 28.9.2023 TS Ehdotus: In research, we can deal with either personal information or other confidential information: (tähän loppuun kaksoispiste, jotta yhdistyy alla olevan listan palluroihin) Tämä muokattu aiemman kommnetin perusteella erilaiseksi 28.9.2023 TS Kahdessa eka kappaleessa on toistoa. Voisiko jotenkin jämäköittää ilmaisua...(tälle ehkä jo aiemmin tehty jotain, koska ei enää toistoa, 28.9.2023 TS) Mietittiin jopa, että voisiko tästä 1-osiosta siirtää hieman tekstiä introon (esim. alaotsikoksi), jossa kerrottaisiin millaista arkaluonteista tms. dataa on olemassa ylipäätään. Mitä mieltä muut? 28.9.2023 TS olisiko "(e.g., GPS tracker information)" parempi lauseen lopussa, jolloin on selvää, että se on juuri sellaista, mitä voi helposti yhdistää henkilöön? (muok. 28.9.2023 TS) HULib/Tuulitoimisto (SM) Välttäisin termin ’personal information’ käyttöä tietosuojaa käsittelevien tekstien yhteydessä, koska juridinen termi ’personal data’ esiintyy tekstissä taajaan, eikä asiaa tuntematon välttämättä erota näiden termien eroja. Termit siirtyvät sitten sekavasti DMP:hen. (Tämä huomioitu ja muutettu kaikki personal data-termiksi. 28.9.2023) SIIRRETTY TERMIT KOHDASTA 1.1 INTROON, PAITSI PSEU JA ANONY -TERMIEN SELITYKSET LÖYTYVÄT NYT KOHDAN 1.2 ALTA. TS 19.10.2023
1.2 How will the consistency and quality of data be controlled?	Explain how the data collection, analysis and processing methods used may affect the quality of the data and how you will minimise the risks related to data accuracy. Data quality control ensures that no data is accidentally changed, and that the accuracy of the data is maintained over its entire life cycle. Quality problems can emerge due to the technical handling, converting or transferring of data, or during its contextual processing and analysis. Furthermore, eg. pseudonymisation and anonymisation can affect data quality: Pseudonymous and anonymous data (FSD): Pseudonymisation refers to removing or replacing identifiers with pseudonyms or codes, which are kept separately and protected. Pseudonymous data can become anonymous when separately kept identifying information (decryption key, personal data and information on the techniques used to pseudonymise the data) is destroyed. The data are anonymous if they cannot be linked to the original personal data with reasonable effort. Tips Does your research include processing personal or any kind of sensitive data? If yes, please discuss how minimisation, pseudonymisation, and anonymisation affect data quality. Remember the difference between anonymised and pseudonymised data. Adopt and enforce formal version control processes. This can mean, for instance, simply shared and documented file naming conventions, or everyone in the team working in Git repositories. Transcriptions of audio or video interviews should be checked by someone other than the transcriber. Analog material should be digitised in the highest resolution possible for accuracy. In all conversions, such as changes in file formats or transferring data between information systems, maintaining the original information content should be ensured. Organise training sessions and set guidelines to ensure that everyone in your research group can implement quality control and anticipate the risks related to the quality of the data. Links Anonymisation and Identifiers (Finnish Social Science Data Archive) Pseudonymised and Anonymised Data (Office of the Data Protection Ombudsman)	(AH, Aalto yliopisto) Varmaankin yleisin virhe tutkijoilla on se, että ei ymmärretä psdudonymisoidun ja anonymisoidun datan eroa. Anonyymi data ei ole henkilöitetoa lainkaan, mutta silti todella usein tutkijat kirjaavat papereihin datan "anonyymiksi", joka on tietenkin ongelmallista kun data on tosiasassa usein pseydonyymiä. Pitäisikö tästä lisätä kappale ja avata nämä termit. Lopussa on kyllä linkit, mutta pitäisikö ihan lyhyesti laittaa vielä leipätekstiin? Iina H. 28.9.2023 (mihin kohtaan tämä olisi hyvä lisätä): Pseudonymisation refers to removing or replacing identifiers with pseudonyms or codes, which are kept separately and protected. Pseudonymous data can become anonymous when separately kept identifying information (decryption key, personal data and information on the techniques used to pseudonymise the data) is destroyed. The data are anonymous if they cannot be linked to the original personal data with reasonable effort. (FSD) Kuuluu kaikille aineistoille, ilmeisesti tips:ejä lisää. Nämä voisi miettiä sen pseudonymisoitu/anonymisointi-näkökulmasta, miten datan laatu ja luotettavuus/29.9.2023 "Set up a plan to process data with scripts – not manually – ensuring full replicability of all operations, keeping data processing and data analysis separate." "Create a scheme to identify data versions by date and/or version number, with change logs and other relevant documentation." UEF: Selventäisikö: lauseeseen Does your research include processing personal or sensitive data? pieni lisäys Does your research include processing personal or any kind of sensitive data? OK/Iina H. 29.9.2023 HULib/Tuulitoimisto (SM) Kohdassa Tips: voisiko viimeisen palluran nostaa ensimmäiseksi? Tuo on yleensä se asia, josta DMP-koulutuksessa lähdetään. OK/Iina H. 22.9.2023
	2. Ethical and Legal Compliance
2.1 What legal issues are related to your data management? (For example, GDPR and other legislation affecting data processing.)?	Legal issues In this section please specify any legislation that is relevant to your research project. These might include legislation that governs the processing of personal data such as the GDPR, the Act on Secondary use of health and social data, or the Finnish Biobank Law, or other legislation such as the EU medical device regulation. Confidential data When working with external parties, for instance, with businesses or in a consortium, make sure that agreements on data handling and management are drawn up. Plan the safe handling of confidential data according to these agreements and possible non-disclosure agreements. Consider export restrictions and seek advice from your organisation if you think these apply to your research. If your research includes work that may be patented, get in touch with your organisation's data support services about how to protect the Intellectual Property Rights (IPR). Personal data and special categories of personal data The processing of personal data means any operation which is performed on personal data, such as collection, recording, organisation, use, storage, adaptation or alteration, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. Processing personal data in Finland is regulated by the General Data Protection Regulation (GDPR), the Finnish Data Protection Act and specific legislation (such as the Act on the Secondary use of health and social data, or the Act on the Protection of Privacy in Working Life). When processing personal data, mention here who, or what organisation is the data controller of the data you collect or produce. If two or more parties act as joint controllers, the data processing must be agreed upon in advance according to your organisation's guidelines (e.g., with a joint controllership agreement). Also mention if there are processors who process the personal data on behalf of the controller. A Data Processing Agreement (DPA) is typically required for external processors of data. These third parties could include collaborators, transcription companies, translation services, or IT solution providers that your organisation does not have a standing agreement with. Any research that gathers information from or about individuals will need a privacy notice. Check your own organisation's templates for privacy notice. The GDPR defines the information content required for the privacy noitice. Among the required information are the purpose of processing personal data and its legal basis. The legal basis with research is typically "scientific research, a task in the public interest" or "consent". If the legal basis is "consent", all usage purposes of the data must be distinctly specified both in the Privacy Notice and in the form for obtaining a participant's consent to process personal data. If these uses of data change, the participants must be informed, and new consent obtained. Consent to process personal data is different from the ethical consent to participate. See below for more information on the ethical consent to participate. When the processing of personal data is likely to result in a high risk to an individual's rights and freedoms , a Data protection impact assessment (DPIA) is required. Find out your organisation's guidance and process for this, and mention this in the DMP if it is relevant for your research. If you think you may need to transfer personal data outside of the EEA, outline the planned process and get in touch with your organisation's legal team or data protection officer regarding the required documentation. Ethical reviews and considerations Find out from your organisation if your research requires an Ethical review. Mention the need for an ethical review in the DMP. An ethical review is mandatory in medical research (Medical Research Act (986/1999). In human sciences, an ethical review is required if the study meets one of the six specific criteria defined by The Finnish National Board on Research Integrity (TENK) in The ethical principles of research with human participants and ethical review in the human sciences in Finland. These criteria include, for example, if participation in the study deviates from the principle of informed consent or if the research involves risk of causing mental harm to the research participants. Take into account that some publishers and funders may require ethical review. An ethical review can only be carried out prior to data collection. When individuals are involved in research, Ethical Consent to Participate needs to be obtained from participants. Informed consent to participate in a study is a fundamental premise for all research involving human subjects, both in medicine and in the human sciences. Assess if there are other ethical considerations regarding your data, such as sensitive species data, sensitive location data, or the use of artificial intelligence. Plan your data storage and opening with these in mind. Tips Remember that a DMP is part of the data protection documentation that helps you to fulfill the GDPR principle of accountability and comply with the data protection regulation. Read the guidelines of your own organisation and refer to their templates (such as privacy notice, consent form, risk assessment, data protection impact assessment, etc.). Links Data Protection Ombudsman Finnish National Board on Research Integrity advice and materials Scientific research and data protection (Data Protection Ombudsman)	EnricoG (Aalto) 9/6/2023: You write "GDPR and other legislations". I would give a couple of relatively common examples of other legislations that might apply such as the EU medical device regulation or the biobank law. The sentence could be: In this section please also specify any other legislation that is highly relevant to your research project such as the EU medical device regulation, the Finnish Biobank Law, or the legislation on Secondary use of health and social data. siirretty muokattuna tekstiin EV ehdotus simppelimmäksi lauserakenteeksi: In this section please specify any legislation that is relevant to your research project. These might include legislation that governs the processing of personal data, such as the GDPR, the Act on Secondary use of health and social data, or the Finnish Biobank Law, or other legislation such as the EU medical device regulation. Pitäisikö tässäkin olla Act on Secondary use of health and social data? KF: Muokkasin tekstiin ylläolevan mukaisesti. AR 02102023: Onko Section-sarakkeen ehdotus enää ajankohtainen, voiko sen poistaa tai muokata? Vrt. "GDPR and other legislation governing personal data processing". AR 02102023: "Processing personal data in Finland is regulated by the GDPR, the Finnish Data Protection Act and specific legislation" → Onko oikea termi special legislation (erityislansäädäntö)? EV: Jep. Luulen, että termi olisi special legislation. STM sivuilla käytetty. AR 02102023: "... specific legislation (such as the Secondary use of health and social data, ..." → the Act on the Secondary use of health and social data AR 02102023: "If several parties act as joint controllers" → olisiko täsmällisempi: two or more parties? AR 02102023: "These third parties could include -- IT solutions that your organisation does not have a standing agreement with" → IT solution providers? KF: ylläolevat muokattu tekstiin Kuulostaako alla oleva lause hassulta, kuin GDPR määrittäisi legal basis? (EV) "The GDPR defines the information content required for the privacy notice, including the purpose and the legal basis of processing personal data." Toimisko: "The GDPR defines the information content required for the privacy notice. Among the required information are the purpose of processing personal data and its legal basis." KF: Muokattu ehdotuksen mukaisesti. Tähän kohtaan lisäisin tuon lihavoidusti merkityn kohdan, koska myös rekisteritutkimuksista pitää tehdä tietosuojaseloste/ilmoitus Any research that gathers information from or about individuals will need a Privacy Notice which states what the legal basis of processing personal data is. The legal basis with research is typically be "public interest" or "consent". (AH Aalto yliopisto) "These third parties could include transcribing companies, translation services, and IT solutions that your organisation does not have a standing agreement with." Tutkijoilla on usein väärinkäsitys siitä, että tutkimusryhmä olisi juridisesti relevanttti elin ja siten esimerkiksi tutkimusryhmän sisällä voisi jakaa vapaasti henkilötiedoksi luettavaa dataa, vaikka tutkimusryhmässä olisi eri organisaatioihin työsuhteessa olevia tutkijoita. Eri yliopistot ovat kuitenkin myös suhteessa toisiinsa kolmansia, eli joskus DPA:n tekeminen on tarpeen myös yliopistojen välillä. Nyt tämä kohta saattaa vahvistaa tätä väärinkäsitystä, kun todetaan että kolmansia osapuolia ovat litterointiyritykset ja IT palveluntarjoajat. →muokattu AR 02102023: "When the processing of personal data is likely to carry a high risk," → Ehdotus: When the processing of personal data is likely to result in a high risk to an individual's rights and freedoms, ... KF: Tekstissä: If the legal basis is "consent", the various uses of data must be specified in the Privacy Notice and Consent to process personal data form. Nyt en ihan saa tästä muotoilemastamme lauseesta kiinni. Alku on järkevä, mutta tuo lopun Consent to process personal data form vaikuttaa vajaalta lauseelta. AR 02102023: Voisiko olla "If the legal basis is "consent", all usage purposes of the data must be distinctly specified both in the Privacy Notice and the form for obtaining a participant's consent to process personal data."? Tämä muotoilu käy järkeen. (EV) Mietin myös various uses > onko selvää, mihin tällä viitataan? Pitäisikö selventää? AR 02102023: Kirjasin ehdotukseni tähän edellisen bulletin yhteydessä KF: Lisätty uusi muotoilu "In some specific situations, it is possible to derogate from the data subject’s informing. If there are derogations in the informed consent to participate, ethical review is needed." Tarvitaankohan tätä kohtaa vielä, kun aihe on mainittu eettisen arvion kohdalla yläpuolella? (EV) KF: Poistettu (AH Aalto yliopisto) Täsmentäisin "public intrest" käsittelyperusteen nimenomaan tieteelliseen tutkimukseen, eli "scientific research, a task in the public interest" → check (AH Aalto yliopisto) Privacy notice kohta: laittaisin vielä, että GDPR:ssä on listattu mitkä tiedot rekisteröidylle tulee kertoa. Nyt tässä on vain murto-osa siitä tiedosta, mikä rekisteröidylle tulee kertoa ja saa kuvan, että käsittelyperusteen kertominen riittää. Lisäksi ohjaisin tutustumaan organisaation mallipohjiin, monella organisaatiolla on tietosuojaselsosteeseen laadukkaita mallipohjia, joiden ohjeita seuraamalla saa tehtyä tietosuojaselsoteen. Välillä on myöse sellaisia väärinkäistyksiä, että tietosuojaseloste ja DPM olisi sama asia, joten laittaisin siitäkin yhden lauseen, että kyseessä on eri dokumentti ja eri käyttötarkoitus ja kohderyhmä. → check (AH Aalto yliopisto) "In some specific situations, it is possible to derogate from the data subject’s informing and other rights". Siis puhutaanko tässä nyt poikkeamisesta rekisteröidyn oikeuksista tulla informoiduksi vai poikkeamisesta tutkimuseettisesta periaatteesta, että henkilöltä tulee lähtökohtaisesti kysyä suostumus osallistua tutkimukseen? Muotoilu on ehkä vähän epäselvä eikä selvinnyt itselleni, joten tätä voisi tarkentaa. Jos on tutkimuseettinen asia, niin lakimies on useimmiten väärä taho kystä apua, suurimmissa orgnisaatioissa on myös henkilöstöä neuvomaan tutkimuseettisissä asioissa, joka on minusta oikea taho kysyä apua. → tehty AR 02102023: "... six specific criteria defined by The ethical principles of research with human participants and ethical review in the human sciences in Finland (TENK)" → Ehdotus: "... six specific criteria defined by Finnish National Board on Research Integrity in The ethical principles of research with human participants and ethical review in the human sciences in Finland (TENK)" KF: Muotoilu korjattu Leipätekstissä ei viitata lainkaan TENK ohjeeseen ja lakiin (laki lääketieteellisestä tutkimuksesta), johon tarve hakea tutkimuseettinen lasunto pohjimmiltaan perustuu. Orginisaatioilla voi olla näihin pohjautuvia ja täydentämviä ohjeita. Lista tilanteista jolloin lausunto pitää hakea ei ole täydellinen, sekin olisi hyvä mainita jos nämä ovat vain esimerkkejä. -->lisätty UEF: Toisen kappaleen alkuun When processing (ei If processing)... Näyttää vähän hassulta, että linkkien alla on ohje lukea oman organisaation ohjeet (eli otsikko ei täsmää sisältöön). Korjattu AR 02102023: Pystyisikö lopussa kohdan "Read the guidelines..." + linkkilistan erottamaan edeltävästä sisällöstä niin, että kukaan ei erehdyksessä tulkitsisi sitä ainoastaan "Ethical reviews and considerations" -osion osaksi? Voisiko olla esim. omana osionaan "Further information, guidelines and templates" tms.? CSC-SD services office: This section might be quite difficult to read for a PhD student/ beginner. → liian hankala tässä kohtaa! Could the Omdunsman link be always the first presented in the list? So that they have always have the same reference in each paragraph. Act on Seconday use (https://www.finlex.fi/fi/laki/alkup/2019/20190552) is a legal base for processing health and social data for secondary use. Data can be provided by Findata or registers based on a permit (https://findata.fi/en/permits/). Not sure if you want to mention also this. Lisätty/muokattu HULib/Tuulitoimisto (SM) Tekstin järjestystä voisi ehkä muuttaa. Jos toiseksi kappaleeksi laittaisi tekstin, jossa kuvataan tietosuojailmoitusta “Any research that gathers informaisition from individuals will need a Privacy Notice…”), ja kerrottaisiin, että DMP:llä pohjustetaan tietosuojailmoitusta (tark. Aallon kommentti) ja sitten kerrottaisiin nuo asiat rekisterinpitäjyydestä, yhteisrekisterinpitäjyydestä, henkilötietojen käsittelijöistä jne. Mietitään vielä, miten lisätään HY:ssä eettinen ennakkoarviointi käännetty englanniksi “ethical review”, eli pre-etuliitettä ei käytetä. korjattu HY Ehdotus muotoiluksi: Ethical reviews and considerations When individuals are involved in research, Ethical Consent to Participate needs to be obtained from participants. Informed consent to participate in a study is a fundamental premise for all research involving human subjects, both in medicine and in the human sciences. From the perspective of data protection, it is possible to derogate from the data subject’s informing and other rights in some specific situations. To obtain more information on these derogations and related requirements, contact your organisation’s data or legal support. Find out from your organisation if your research requires an ethical review. An ethical review is mandatory in medical research (Medical Research Act (986/1999)). In human sciences, an ethical review is only required if the study meets one of the six specific criteria defined by the National Board on Research Integrity (TENK). These criteria include, for example, if participation in the study deviates from the principle of informed consent or research involves risk of causing mental harm to the research participants. Take into account that some publishers and funders may require ethical review. Remember, an ethical review can only be carried out prior to data collection. Assess if there are other ethical considerations regarding your data, e.g. sensitive species data, (seuraava siirretty poistetusta lauseesta tähän:) handling special categories of personal data, sensitive location data, artificial intelligence. Plan your data storage and opening with these in mind. → muokattu soveltuvin osin
2.2 How will you manage the rights of the data you use, produce, and share?	Agreements on data ownership and other intellectual property rights must be concluded before commencing any actual research activities. These define the processing of the data in many ways. In cases where personal data is handled by a processor, such as an external service provider, a Data Processing Agreement (DPA) must be prepared between the controller and processor. The DPA provides instructions for data processing. The data controller is also required to inform the research participants when personal data is handled by a processor. This information should be included in the privacy notice. When working with confidential data, consider whether non-disclosure agreements are needed for researchers or data processors. When using pre-existing data, consider what permissions and data access agreements are needed to access and use these data. Ensure you handle the data and delete it as specified by the data controller or owner. If you wish to archive the anonymised data in the end of the research, be sure to include any plans of archiving the anonymised data in your data request. Specify in your research group who has access to what data, and if there are any restricted datasets/work areas/folders. If possible, name the person who manages and grants access rights to the data. Please also find out whether the funder of your research, owner of the data or any other external party has any claims concerning the data. Template agreements are provided by your own research organisation, as well as consultation on making agreements, obtaining permssions and addressing IPR aspects of the data that you plan to collect or reuse.	Lisäisin lihavoidun osuuden alla olevaan When using pre-existing data, consider what permissions you need to access and use it. Ensure you handle the data and delete it as specified by the data controller or owner. If you wish to archive the anonymised data in the end of the research, include the plan in the data request. → lisätty AR 02102023: Jäin vielä miettimään, onko tämä sanamuoto riittävän selkeä tutkijalle "include the plan in the data request"; onko tätä mahdollista selkeyttää, ts. täsmentää, mikä suunnitelma on kyseessä? EV Toimisko: "Be sure to include any plans of archiving the anonymised data in your data request." KF: Muokattu ehdotuksen mukaisesti AR02102023: Ehdotus - olisiko hyvä vielä tarkentaa organisaatioiden tarjoamien palvelujen osalta, esim. "Template agreements and consultation are provided by your own research organisation." → Template agreements are provided by your own research organisation, as well as consultation on making agreements, obtaining permssions and addressing IPR aspects of the data that you plan to collect or reuse. KF: Muokattu Kaipaisiko tämä hieman rautalankaa? Vika lause hieman ontuva. (EV) "The data controller is required to inform the research participants if personal data is handled by a processor, such as an external service provider. Data Processing Agreement (DPA) must be prepared between the controller and the processor. The DPA provides instructions for data processing." "In cases where personal data is handled by a processor, such as an external service provider, a Data Processing Agreement (DPA) must be prepared between the controller and processor. The DPA provides instructions for data processing. The data controller is also required to inform the research participants when personal data is handled by a processor. This information can be included in the privacy notice. " KF: Lisäsin, mutta pitäisikö olla "This information should be included in the privacy notice"? UEF: Viidennessä kappaleessa pronomini whom > who. Tässä pitää avata lyhenne DP, vaikka onkin jo avattu edellisessä kohdassa. Ohjeen lukija ei välttämättä ole huomannut lyhennettä, eikä ainkaan tarvitse palata ohjeessa taaksepäin. Toinen kappale ei meinaa millään aueta. Pystyykö mitenkään selkeyttämään, esim. ehdotus: Participants of the research need to be informed if personal data is handled by an external organisations. A Data Processing Agreement (DPA) must be prepared if the data processor is the external party. The DPA provides instructions for data processing. Yhdenmukaisuus sivulauseen aloittavan sanan kanssa (if/when...)? Muokattu CSC-SD service office: A data controller can be defined also for reuse purposes. Data Access Agreement is also a legal agreement necesasry for defining the reuse under controlled access. Jäimme vielä miettimään tämän sijoittelua (sopii kohtiin 2.1., 2.2. 4)AR 02102023: Voisiko tämän näkökohdan lisätä tekstiin esim. seuraavasti: "When using pre-existing data, consider what permissions and data access agreements are needed to access and use these data." KF: Siirretty tekstiin tällä muotoilulla
	3. Documentation & metadata
3.1 How will you document your data in order to make it findable, accessible, interoperable, and re-usable for you and others? What kind of metadata standards, README files or other documentation will you use to help others to understand and use your data?	When describing data, please remember that file and folder names as well as variables and metadata may contain personal or sensitive data. Even if your research data contains personal data, related metadata can be published if it does not contain identifiers which could be used to identify a study subject. Tips If my research data is sensitive, what documentation can be included in the metadata? Although the actual values of the variables used in the data are confidential, you can make your codebook (the variable names and the descriptions of the variables) openly available. Interview or survey questions can also be included in metadata without compromising data protection regulation, unless restricted by copyright. A privacy notice, template of a consent form, and electronic lab notes can also be part of metadata. At a minimum, you can open a general description of your research topic and data, and distribute your contact information so that other researchers can find your valuable research. Links Making a research project understandable - Guide for data documentation (Zenodo by Helsinki University Library) Data Description and Metadata (Finnish Social Science Data Archive)	Uusi TIP -ehdotus Note that anonymised data is no longer sensitive, even if its content deals with health or political opinions, for example.(Mitä mieltä muut? Onko tämä kohdan 5. asiaa? IH, TS, MM) (AH Aalto yliopisto) Anonyymi data ei ole enää henkilötietoa lainkaan, joten ei siten tietysti myöskään arkaluonteista GDPR:n näkökulmasta. Korostaisin kuitenkin, että lainsäädännössä datan anonymiteetille asetetut vaatimukset ovat korkeat. Harvoin on niin päin, että tutkijat ratsastaisivat liian vähän datan anonymiteetillä, vaan suurimassa osassa tapauksia tutkijat ajattelevat datan olevan anonyymiä, vaikka se ei sitä lainsäädännnö näkökulmasta ole. Lisäsisin tästä kommentin, jos tämä anonymiteetti asia lisätään. Lisäyksiä lihavoituna. (nämä ok, IH, TS, MM) 20.9.2023 (Iina, Matilda, Taisa) suostumuslomakepohjan ja sähköiset muistiinpanot voisi lisätä Tips-listaan esimerkkinä. (Tämä muokattu, IH, TS, MM) Muutetaanko Tips-kohta sellaiseksi, että listataan metadat-asioita eikä ehkä puhuta vielä avaamisesta/julkaisemisesta? 25.9.2023 (HY - matilda) Pilkottu Tips-osion teksti useammaksi kohdaksi, muotoiltu sisältöä.
	4. Storage and backup during the research project
4.1 Where will your data be stored, and how will the data be backed up?	According to the General Data Protection Regulation (GDPR), risks related to the processing of personal data must be assessed before processing any such data. Familiarise yourself with the national and organisational data protection and risk management guidelines and consider the following: Which freedoms and rights of the data subject can be compromised by the processing? What kind of damage can the planned processing of personal data cause to the data subject? What kind of damage can the inappropriate disclosure, destruction or corruption of the data cause to the data subject? What kind of risks must your data be protected against? What measures are used to manage identified risks? What is an accepted level for the probability and impact of residual risks? Note that, health and social data from public register (processing under secondary-use law) can be processed only in audited environments listed in Valvira's TOINI register. These data can be accessed only if researchers have a permit from the data controller, and the data is available only in the registered research environment. The risk assessment is used to determine the required protective measures for the entire lifecycle of the data (see also section 4.2). After completing the assessment, verify with the data protection officer of your organisation whether your data requires a Data Protection Impact Assessment (DPIA) in accordance with the GDPR. Please familiarise yourself with your organisation's information classification and the related instructions on sensitive data storage services, data sharing, and tools with which information security is ensured in the processing of data. Also find out the service address of your organisation’s data protection and IT units. CSC Sensitive Data services support national requirements for sensitive data and comply with the General Data Protection Regulation (GDPR). Using SD Connect you can store and share encrypted sensitive data and using SD Desktop you can create a private workspace to compute sensitive data. Tips Preferably use a storage and computing service designed for sensitive data management offered by your home organisation, offered nationally (e.g., CSC) or services based in EU. Do the storage services maintain a log on data use? Can the data be accessed remotely and how is the remote access protected? Also consider your organisation's instructions regarding AI tools for research including personal, sensitive, or confidential data. Are parts of the data encrypted? What tools are needed and who manages the encryption keys and password? How and when are backup copies made in the storage services used and are automatic backups provided? Links Risk assessment (Data Protection Ombudsman) Impact assessment (Data Protection Ombudsman)	Enrico Glerean (Aalto) 9/6/2023: one standardized (ISO27001) framework of referring to these issues is "information classification", so these two words could be included to help researchers find the relevant pages in their organisations. The sentence "Please read your organisation's instructions" could be rephrased: Please familiarise yourself with your organisation's information classification and the related instructions on ... → Minna & Siiri modified the text in the left column using green / 8.9.2023 --- Lise, Marjut, Tero: maininta tekoälylinjauksista ok? Minna 29.9.: Tekoälyasiasta pitäisi varmasti keskustella silloin kun on tarkoitus päivittää geneeristä kansallista ohjetta. Tähän täydentävään DMP-ohjeeseen en sitä sijoittaisi. Kokouksessa 4.10. lisätty muokattu lause tekoälylinjauksista eli tämä nyt ok . / MA UEF: impact assessment -kohdassa kannattaisi olla taas lyhenne DPIA ja se avattuna, niin pysyy systemaattisesti samanlaisena termistö. Tämä muutos ok. Alkuperäinen muotoilu johtuu siitä, että tietosuojavaltuutetun sivulla aiheena impact assessments monikossa, eikä vain DPIA. Risk assessementiä koskeva kappale olisi hyvä sijoittaa ennen impact assessmenttiä (tämä järjestys on myös linkeissä, joten olisi silläkin tavalla selkeä ja systemaattinen järjestys). Muokattu / S&M CSC-SD services office: Health and social data from public register (processing under secondary-use law) can be processed only in audited environments listed in Valvira's TOINI register: https://www.valvira.fi/web/en/healthcare/secure-operating-environments-under-the-act-on-the-secondary-use-of-health-and-social-data/database-of-secondary-use-environments These data can be accessed only if researchers have a permit from the data controller, and the data is available only in the registered research environment. Lisättiin bullettien perään note that -kohta. Mitä mieltä muut ovat? Lisäys ok (Lise, Marjut, Tero) In the title: storage, analysis environment (computing) and backup Ei muokattu otsikkoa, koska templaatin muuttaminen ei kuulu tälle työryhmälle TAU Kohta 4.1 Where will your data be stored, and how will the data be backed up?: Art. 9 ja Art. 10 tietojen suojausvaatimuksissa on kansallisia eroja. Suomen vaatimuksista määrätään tietosuojalaissa (1050/2018) 6.2 §. Käsittelyyn tulee valita sellainen ympäristö, joka täyttää suojausvaatimukset TAI tiedot tallentavan on huolehdittava itse (kryptaus). Jakopalvelun toimittajan kanssa on oltava siitä sopimus. Aineiston metatietoihin tulee dokumentoida rekisterinpitäjä – kuka tiedot palveluun on vienyt. - Minna 21.9. "kansallinen" lisätty, jakamista käsitellään muualla, kryptaus sisällytetty tipseihin. Tallennuspalveluksi kannattaa valita EU -palvelu. Se vähentää riskejä luvattomista tiedonsiirroista. EU:n data-asetusten myötä niitä kannattaa suosia myös siitä syystä, että niistä omat tietonsa saa siirrettyä muihin palveluihin (ensin korvausta vastaan, kolmen vuoden kuluttua ilman erillistä maksua, sopimuksellisia tai teknisiä esteitä omille siirroille ei saa olla). - Minna 21.9.: Meneekö liian yksityiskohtaiselle tasolle? Eli riittääkö jos lisätään suositus EU-palveluista tipseihin? - Mielestämme ei mene liian yksityiskohtaiselle tasolle (Lise, Marjut, Tero) Ok, eli millaista lisäystä ehdotatte? Eli mitä kuuluisi ohjeistaa yleisohjeen puolella ja mitä nimenomaan täällä täydentävässä ohjeessa? Nyt lisätty tipseihin "services based in EU"- Minna 2.10. Esim. Euroopan komissio suosittelee Horizon hakujen yhteydessä näin: "as soon as possible and within the deadlines set out in the DMP, deposit the data in a trusted repository (federated in the EOSC if required in the call conditions) ---- Trusted repositories are either certified repositories (e.g. CoreTrustSeal, nestor Seal DIN31644, ISO16363) and/or disciplinary/domain repositories that are commonly used/endorsed by the research communities (e.g. ELIXIR deposition databases)." Jo nyt on rajoituksia Art. 9 ja Art. 10 tietojen jakamiselle, vaikka kyse on tutkimuksen tiedoista. Jos aineisto on mahdollista anonymisoida, sen edelleen luovuttaminen on mahdollista. Tuleva HDSA tulee kieltämään muun nyt toisiolain tarkoittamien tietojen luovuttamisen kuin anonymisoidun terveystiedon luovuttamisen organiaatiolta toiselle. - Minna 21.9.: Onko ohjetta syytä muokata tämän perusteella esim. lisäämällä jotakin luovuttamisesta? Jakaminen + anonymisointi ohjeistettu kohdassa 5.1.
4.2 Who will be responsible for controlling access to your data, and how will secured access be controlled?	Access to confidential, personal or sensitive personal data must be limited to those individuals for whom it is necessary in order to carry out the research. Data can be accessible only with expressly granted permissions. Please take into account that this group also includes the parties that maintain the services and equipment used and other external service providers, if any. Please familiarise yourself with the principles, guidelines and tools related to the management of access rights in your organisation. Find out how misuse and damage related to personal data are reported in your organisation. Tips How is user and access control implemented and who is responsible? Access is only granted when needed, and the access must be as limited as possible. A system must be in place for revoking and deleting access rights regularly. How do user right requirements vary by data? How is the use of data and its appropriateness monitored? This means both a technical log and procedures for monitoring the processing and use of the data. Minimise the data and avoid unnecessary copies. This means that you should only process/manage the data that is absolutely needed. How are the facilities used for the data protected? Who can transfer data from one party to another and on what grounds and what are the protocols for secure data transfer? This must be in line with the consent from the data subjects if the data has been made available based on consent. Data Transfer Agreement is necessary if personal and sensitive data are shared with collaborators affiliated with organizations in non-EU /EEA countries.	"What are the protocols for secure data transfer?" ← Lisäys kymmenientuhansien henkilöiden henkilötunnuksia ja terveystietoja samassa tavallisessa sähköpostissa ulkomailta saaneelta tutkijalta. Muokattu S&M 8.9.2023 CSC-SD service office: Data Transfer Agreement is necessary if personal and sensitive data are shared with collaborators affiliated with organizations in non EU /EEA countries. Muokattu, laitettiin tipsien loppuun, onko hyvä paikka? Lisäys ok (Lise, Marjut, Tero)
	5. Opening, publishing, and archiving the data after the research project
5.1 What part of the data can be made openly available or published? Where and when will the data, or its metadata, be made available?	Publishing datasets that contain confidential, personal, or sensitive personal data cannot be done in the same manner as non-sensitive datasets. You need to carefully consider the option suitable for your dataset and use special caution. Please familiarise yourself with the principles and guidelines in your organisation and contact your organisation's data support services for help. The following publishing ways are recommended: Anonymise the data and publish the anonymised data in a data repository. This is recommended as anonymised data no longer constitutes personal data and is no longer subject to data protection legislation, which makes accessing and opening it possible. Data is considered anonymous if there are no means to link the data back to an individual. Genuine anonymisation requires that both direct and indirect identification are made impossible, in addition to which the identification key must be destroyed. Pseudonymised data still constitutes personal data. Opening it for others can only be done by following GDPR principles and rules. Publish the discovery metadata of your dataset in a research database or another publishing service preferably in a structured form and making the actual data available subject to permission from the producer of the data or a reliable data repository. Use services designed for publishing sensitive, personal, and confidential data under controlled access such as CSC SD Submit (pilot phase) or Federated EGA (for biomedical data) and enable its reuse with SD Apply (pilot phase). Datasets that contain personal data can be disclosed to interested parties who have been granted a permit for a purpose corresponding with the original grounds for processing. The original grounds for processing datasets containing personal data, such as statutory grounds or consent, can restrict any further use. For example, if the original consent form does not cover the further use of the data, opening the dataset may require requesting fresh consent from the data subjects. Links Anonymisation and personal data (Finnish Social Science Data Archive) Pseudonymised and anonymised data (Office of Data Protection Ombudsman) Metadata publishing service Etsin National recommendations on file formats for digital preservation	Enrico Glerean (Aalto) 9/6/2023: I would also ad the tag "Minimisation" in this section. Added / S&M 8.9.2023 --- Ohjeessa on nyt näin: Pseudonymised data still constitutes personal data, which is why it cannot be opened. Esimerkiksi Tietoarkistoon voi nykyisin arkistoida pseudonyymejä datoja - tyypillisesti pitkittäistutkimuksia, joiden aineistoista tulee aikanaan anonyymejä, kun tutkijat tutkimuksen päätyttyä hävittävät henkilötiedot. Niiden hallinta on vain mutkikkaampaa kuin muiden aineistojen. Tällöin Privacy notice should include information about GDPR-roles and the regulation of data flow University X or researcher NN is the data controller FSD is the processor FSD gives rights of data use to its registered users according to the permissions and guidelines given by the processor Separate permission is asked from the controller/depositor for every data request and given only to purposes clearly defined in privacy notice En nyt tietenkään ehdota, että tuommoista ohjeeseen kirjattaisiin. Voisiko tuon kohdan muuttaa esim. Pseudonymised data still constitutes personal data. Opening it for others can only be done by following GDPR principles and rules. Muokattu! Vaikka discovery metadata on mainittu, tästä puuttuu jokin tällainen: "Make your metadata available, preferably in a structured form (e.g., DDI). Ensure the portability and longevity of both data and metadata by following national recommendations on file formats (https://www.digitalpreservation.fi)". HULib /Tuulitoimisto (SM) Kommentti tuohon ylempään kommenttiin: Aika varovaisesti nostaisin ohjeissa yksittäistä kuvailuformaattia kaikkien mahdollisten joukosta (kuten DDI). Kaikenlaiset suositukset usein kopioituvat DMP:hen, eikä tekijä välttämättä ymmärrä, mitä tarkoittavat. → Muokattu kohtaa 2, mutta jätetty DDI mainitsematta. Lisäksi lisätty kommentin perusteella linkki loppuun national recommendations on file formats. Mitä mieltä muut ovat? Lisäys ok (Lise, Marjut, Tero)
5.2 Where will data with long-term value be archived, and for how long?	Many trustworthy data repositories provide long-term storage for data with long-term value and some accept sets of personal data in exceptional cases. (See e.g. Language Bank, A ila (FSD). Please contact those services before collecting the data to get the necessary instructions. Digital Preservation Service for Research Data (DPS) offers long-term preservation of research data for higher education and research institutions. Each organisation determines their process for identifying valuable research data and transferring it to the service. Sensitive personal or confidential data can be preserved in DPS depending on the organisational guidelines and research permits. DPS is meant for preserving research data, not archiving. Archiving research datasets is possible on the grounds of complying with the Data Protection Act. Based on the Data Protection Act (Section 4.4.) the processing of personal data for archiving purposes is necessary and proportionate to the aim of public interest. Exceptions to the restrictions are made for the processing of special categories of personal data for archiving purposes in the public interest in accord with the Data Protection Act (Section 6.8.) Archived sets of (personal) data are no longer actively used for the original purpose. The recommendation is to erase all personal, confidential, and sensitive data, when it is no longer required by its original purposes of processing. Simply deleting a file and emptying the recycle bin is not enough. Deleted data can be recovered even after reformatting the hard disk. There is software available for the permanent disposal of data based on, for example, overwriting, or demagnetising hard disks. Storage devices can also be mechanically crushed into an unreadable state. Tips Information about data archiving should be provided in the privacy notice given to the study subjects. Please remember that the anonymisation and disposal or archiving of data must be carried out by the expiry of the relevant research permit. Many institutions of higher education and research institutions have internal guidelines and recommendations for the destruction of data and disposal of storage equipment; consult these before destroying data. Links Disposal of research data Destruction, anonymisation or archiving of data at the conclusion of research Storage limitation (Office of Data Protection Ombudsman)	Lisäisin alla olevan lihavoidun tekstin Many trustworthy data repositories provide long-term storage for data with long-term value and some accept sets of personal data in exceptional cases. (See e.g. Language Bank, A ila (FSD). Please contact those services before collecting the data to get the necessary instructions. → muokattu / S&M 8.9.2023 "Your institution may have separate rules and recommendations; consult these before destroying data." → Muokattu tipsien viimeistä bullettia, mitä mieltä olette? Lisäys ok (Lise, Marjut, Tero) (AH Aalto yliopisto) "The recommendation is to destroy all personal, confidential, and sensitive data after the research project has ended, as storing it is risky and requires special arrangements." Meillä ei ole tällaista suositusta, että data pitäisi tuhota heti tutkimusprojektin päättymisen jälkeen. Meillä useint tutkijat määrittävät säilytysajan X vuotta viimeisimmästä julkaisusta, jossa dataa on hyödynnetty. Säilytysaikaa, joka on tarpeellinen tutkimuksen toteuttamiseksi on monesti vaikea määrittää etukäteen datan keräämisen yhteydessä, kun ei tiedetä kauanko julkaisu kestää ja kuinka monta julkaisua datasta tehdään. Tätä lausetta pitää siis muokata. GDPR:n mukaan säilytysaikaa ei tarvitse kertoa päivän päälle, vaan jos henkilötietojen säilytysaikaa ei ole mahdollista ilmoittaa täsmällisesti, riittää että ilmoittaa tämän ajan määrittämiskriteerit. Tämän voisi muotoilla ehkä niin, että data pitää poistaa heti kun sitä ei enää tarvita siihen käyttötarkoitukseen, johon se on kerätty. → muokattu tietosuojavaltuutetun sivun ohjeen mukaisesti, mitä mieltä? L https://tietosuoja.fi/en/storage-limitation → lisättiin myös linkki TAU Kohdassa 5.2 Where will data with long-term value be archived, and for how long? kannattaa miettiä, onko arkistointiin laillista oikeutta. Arkistointi/pitkäaikaissäilytys tutkimuksen verifiointiajan päättyttyä ei ole enää tutkimusta. Varmaa on, että geneettistä dataa ei Suomessa saa arkistoida (eikä siirtää täältä muualle arkistoitavaksi), sillä kansallinen tietosuojalakimme ei sitä tällä hetkellä salli. Genomidatan säilyttämiseen on tulossa oma organisaationsa ja oma laki. Minna 21.9. : Eli pitääkö ohjetta muokata? Nyt siis ohjeessa siteerattu jo Data Protection actia? Meneekö erikseen genomidatasta ohjeistaminen liian yksityiskohtaiseksi eli kannattaako eri datatyypeistä antaa ohjetta? Tutkimusken päätyttyä on arvioitava, onko oikeutta säilyttää tai onko oikeus jakaa aineistoa ja jos on, missä sen voi tehdä. Sensitiivisen datan osalta data repositoryissä rakennetaan luvituspalveluita, joissa rekistrinpitäjä tai muu data holder tekee luovutuspäätöksen tietopyynnön perusteella. Minna 21.9. Eli pitääkö tämän pohjalta tehdä muutoksia ohjeeseen? Tässä kohdassa ohjetta ei toistaiseksi käsitellä jakamista ja luvitusta. Ks. 5.1.

6.1 Who (for example role, position, and institution) will be responsible for data management?	Though the PI carries overall responsibility of the project, specify here what tasks and responsibilities the project members will take on. For example, who is responsible for: Ensuring the research team is trained on processing confidential, personal or sensitive personal data? The risk analysis and possible ethical reviews for the project? Preparing the privacy notice, publishing it and keeping participants informed? The management of sensitive and confidential data as well as monitoring its quality throughout the lifecycle of the data? Preparing instructions on data processing for DPAs when working with external personal data processors? For data protection and information security? Overseeing the anonymisation/pseudonymisation process? Preparing the data for archiving and opening? Safely disposing of personal data once the project has finished? Consider if these responsibilities will be shared with partners or external parties, for example in cases of joint controllership.
6.2. What resources will be required for your data management procedures to ensure that the data can be opened and preserved according to FAIR principles (Findable, Accessible, Interoperable, Re-usable)?	This covers both direct costs to the project as well as personnel hours spent on data management. The foundation for creating FAIR data will be embedded into everyday working practices (file naming, documentation, agreements etc.). Estimated time required for this depends on the data management responsibilities (6.1.) of the project members. When planning the resources needed, the following must be taken into account: Costs of data minimisation, pseudonymisation, and anonymisation, or the time spent and software required for the task. Requirements set by a higher level of security for activities and solutions used, as well as related additional costs. Costs associated with services, permissions, or access to data (e.g., FINDATA). Costs associated with archiving and opening data. Costs associated with disposing of data. Time spent preparing the dataset for opening and considering personal data/confidentiality issues. Obtaining expertise to check the quality of the data (e.g., is a dataset anonymous).	HULib/Tuulitoimisto (SM) hyvä, että kustannukset sensitiivisen datan käsittelyn ja säilyttämisen kannalta nostettu esiin, niistä usein muistutetaan DMP-kommentoinnissa

Page tree

V1. Ohjeen kommenttiversio (työryhmän kommentoima)

Legal issues

Confidential data

Personal data and special categories of personal data

Ethical reviews and considerations