Oppimisanalytiikka ja GDPR

1. Oppimisanalytiikka ja GDPR Harto Pönkä 24.4.2020

2. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.

3. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.

4. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Kuvassa on ns. tavallisia henkilötietoja. Huom. Jos IP-osoite ei mahdollista henkilön tunnistamista, se ei ole henkilötieto.

5. Arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1

7. Kysymys: milloin kyse henkilörekisteristä? - Milloin ”muu rekisteri” muuttuu henkilötietorekisteriksi? • Läppäri 233 • Varattu klo 10-14 • Käyttö: opiskelu • Haettu klo: 9:50 • Palautettu klo 14:00 • Varaaja ID: 20231 • Läppäri 112 • Läppäri 159 • Läppäri 217 • Läppäri 233 • Läppäri 288 • Läppäri 289 • Läppäri 302 • Läppäri 312 • 20111: Essi Esimerkki • 19547: Matti Mainio • 31313: Aku Ankka • 20231: Jaska Jokunen • 45990: Maija Mallikas • 21331: Joku Vaan A B C Sisältää henkilötietoja = muodostavat yhdessä rekisterinEi sisällä henkilötietoja

8. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

9. • Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset – Opetustilanteet, myös etä- ja verkko-opetus – Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) – Paikallaolot, suoritukset, testit, arviointi – Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) – Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa – Kuvaus-, julkaisu- ja tekijänoikeusluvat – Harjoitteluihin ja vierailuihin liittyvät tiedot – Oppilashuolto ja erityisen tuen tarve • Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä julkisen tehtävän hoitaminen tai lakisääteiset velvoitteet. • Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita. – Suostumuksen pitää olla aidosti vapaaehtoinen, eikä sen antamatta jättäminen tai peruminen myöhemmin saa aiheuttaa oppijalle haittaa. – Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. Opiskelijarekisteri etäopetuksessa Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot

10. • Tietosuojavaltuutettu katsoi v. 2017, että suostumusta opetuksen järjestäjän hallinnoimien pilvipalvelujen opetuskäyttöön ei tarvita. • Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä, ja voivat sen perusteella käsitellä tarpeellisia henkilötietoja. • Opetuksen järjestäjä päättää, millaisia laitteita, työvälineitä ja oppimateriaaleja käytetään, ml. digitaalisia oppimisympäristöjä • Henkilötiedot tulee suojata asiattomalta pääsyltä ja käsittelyn lainmukaisuutta tulee valvoa. • Ulkopuolisten palvelujen käytöstä tulee sopia rekisterinpitäjän ja palveluntarjoajan välillä niin, että rekisterinpitäjä vastaa henkilötiedoista (nyk. sopimus henkilötietojen käsittelystä). • Tietoja voidaan siirtää EU:n ulkopuolelle Privacy shield -järjestelyllä. • Opetuksen järjestäjän tulee laatia säännöt, minkälainen TVT:n käyttö on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa. Ennakkopäätös: pilvipalvelut opetuksessa Lähde: Tietosuojavaltuutetun päätös 28.2.2017, https://finlex.fi/fi/viranomaiset/tsv/2017/20170242 (huom. ennen GDPR:ää)

11. Samat tiedot ja tarkoitus = sama rekisteri Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot Opetuksen järjestäminen + yhteensopivat käyttötarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.

12. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield- järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa

13. Ulkopuoliset verkkopalvelut Opiskelija- rekisteri (opetuksen järjestäjä rekisterinpitäjänä) Ulkopuolinen verkkopalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Henkilötietoja ei saa luovuttaa opetuksessa ulkopuoliselle taholle, jos 1) ei ole sopimusta henkilötietojen käsittelystä tai 2) jos siihen ei ole saatu suostumusta. Jos henkilötietoja kerätään ulkopuolisen verkkopalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia rekisterinpitäjän informointivelvollisuudesta, esim. linkki tietosuojaselosteeseen. Ulkopuolista verkkopalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, jos aloite siihen tulee heiltä, jolloin he käytännössä antavat suostumuksen sen käyttöön ko. asian hoidossa.

14. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Alaikäisen kohdalla suostumuksen antaa huoltaja. • Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. • Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus). – Mikäli laitteille asennetaan sovelluksia opetuksessa, tulee tähän pyytää suostumus. – Huoltaja voi hyväksyä sovelluksen käyttöehdot lapsen puolesta ja antaa sen lapsen käyttöön, mikäli ehdoissa ei kielletä tällaista. • Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain. Pyydettävät suostumukset ja luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa

15. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman, että rekisteröidyltä on siihen suostumus. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. Henkilötietojen käsittelyn perusteita

16. Vaitiolovelvollisuus henkilötiedoista • Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. • Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. • Laissa on lukuisia erityistapauksia, joissa säädetään erikseen salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot, tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.). – Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla rikoslain mukainen salassapitorikos. • Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee varmistua näiden vaitiolovelvollisuudesta sopimuksella. Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120, Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38

17. Oppimisanalytiikka ja GDPR

18. Anonyymi data = ei henkilötietoja Henkilötiedot oppimisanalytiikassa Lähde: Oulu Juuso ja Voutilainen Tomi, 2019, Oppimisanalytiikka ja opiskelijatietojen käsittely yliopistoissa, https://www.edilex.fi/artikkelit/20064.pdf • Opiskelijan tunnistamiseksi käytettävät tiedot: nimi, opiskelijanumero, henkilötunnus, oppijanumero • Opiskelijan opinto-oikeuteen liittyvät tiedot • Opiskelijan opintojen suunnitteluun liittyvät tiedot • Opiskelijan omat tavoitteet, opintojen etenemiseen vaikuttavat seikat, työelämätiedot • Opintojen yleiseen etenemiseen ja suorittamiseen liittyvät tiedot: opintopisteet, suoritukset, arvosanatiedot, palaute, opiskelijavaihdon tiedot • Yksittäisiin opintojaksoihin liittyvä tieto: opiskelijan tavoitteet, tehdyt palautukset, opiskelijan käyttäytymistä ilmentävät lokitiedot oppimisympäristössä, kurssipalaute • Ulkopuolisista ja muista kuin opintoihin suoraan liittyvistä rekistereistä saatavat tiedot, valtakunnalliset rekisterit, kirjaston käyttötiedot ym. • Arviot, ennusteet ja profiilit: arviot tai ennusteet opintopistekertymästä, valmistumisajasta, opintomenestyksestä tai putoamisvaarasta, suositukset (esimerkiksi opintojaksot) Opiskelijan tiedot = henkilötietoja

19. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN GDPR:n tarkoittama profilointi Profilointiin ja automaattiseen päätöksentekoon tarvitaan suostumus tai sopimus, jos sillä on oikeusvaikutuksia tai se vaikuttaa rekisteröityyn vastaavalla tavalla merkittävästi.

20. Milloin oppimisanalytiikka on profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet

21. GDPR:N TARKOITTAMAA PROFILOINTIA, MUTTA EI AUTOMAATTISTA PÄÄTÖSTÄ GDPR:N TARKOITTAMA AUTOMAATTINEN PÄÄTÖS Tunnista profilointi ja autom. päätökset Lähde: Oulu Juuso ja Voutilainen Tomi, 2019, Oppimisanalytiikka ja opiskelijatietojen käsittely yliopistoissa, https://www.edilex.fi/artikkelit/20064.pdf

22. • Rekisteröidyllä on oikeus olla joutumatta pelkästään automaattisen päätöksen kohteeksi, kuten profilointiin, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. • Mitä on ”vastaavalla tavalla merkittävä vaikutus”? Esimerkkejä: – merkittäviä vaikutuksia henkilön olosuhteisiin, käyttäytymiseen tai valintoihin – pitkäkestoista tai pysyvää vaikutusta rekisteröityyn – äärimmillään yksilöiden syrjimistä tai pois sulkemista. • Automaattinen päätöksenteko on sallittua, jos päätös – on välttämätön sopimuksen tekemistä tai täytäntöönpanoa varten – on hyväksytty unionin oikeudessa tai jäsenvaltion lainsäädännössä – perustuu rekisteröidyn nimenomaiseen suostumukseen. • Rekisterinpitäjän on huolehdittava vähintään seuraavista suojatoimenpiteistä: – rekisteröidyille kerrotaan tietojen käsittelystä – rekisteröidyille tarjotaan yksinkertaisia tapoja vaatia ihmisen osallistumista tietojen käsittelemiseen, esittää oma kantansa ja riitauttaa päätös – käsiteltävät tiedot ja algoritmit tarkistetaan säännöllisesti, jotta voidaan varmistaa, että päätöksentekoprosessi toimii kuten tarkoitettu, eikä johda esimerkiksi yksilöitä syrjivään tietojen käsittelyyn. Automaattisen päätöksenteon edellytykset Lähde: Tietosuojavaltuutetun toimisto, 2020, Automaattinen päätöksenteko ja profilointi, https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi

23. Henkilötietojen käyttö opetuksessa • Opetus • Opetuksen tukitoiminnot • Arkistointi • Tutkimus • Tilastot • Oppimisanalyytiika ja profilointi ilman automatisoituja päätöksiä • Lisäpalvelut kuten ulkopuoliset sovellukset • Oppimisanalyytiikka, jossa tehdään oppijaa koskevia automatisoituja päätöksiä • Tietojen luovutus ja julkaisu • Lisäpalvelut kuten ulkopuoliset sovellukset • Automatisoidut päätökset • Tietojen luovutus ja julkaisu

24. Kuva: Moodle IntelliBoard plugin, https://moodle.org/plugins/block_intelliboard Oppijoiden työskentelyä kuvaavat pisteet, %-luvut ja kuvaajat kertovat edistymisestä, mutta niissä ei tehdä automaattisia päätelmiä, joten kyse ei ole profiloinnista. Oppimisanalytiikkaa kyllä, profilointia ei

25. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf Tehtävien pisterajoihin tai suorituksiin perustuvat merkit eivät ole profilointia, vaan tulosten esittämistä havainnollisesti suhteessa tavoitteisiin. Oppimisanalytiikkaa kyllä, profilointia ei

26. Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta, https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/ Oppilas 1 aktiivisuus Oppilas 2 aktiivisuus Oppimisanalytiikkaa kyllä, profilointia ei

27. Edistynytkään oppimisanalytiikka ei aina ole profilointia Oppimisanalytiikka, jossa ei tehdä yksittäisiin oppijoihin kohdistuvia päätelmiä, ei ole profilointia. Datasta voidaan tunnistaa esimerkiksi oppimiseen liittyviä yleisiä malleja, syy-seuraussuhteita, ongelmakohtia ja erilaisia oppijoiden ryhmiä. Samalla tulee huolehtia oppijoiden tietosuojasta. Henkilötiedot voidaan poistaa (anonymisoida) tai peittää (pseudonymisoida) ja tekijöillä tulee olla vaitiolovelvollisuus.

28. Anonymisointi = tunnistetietojen poisto, ei henkilötietoa Pseudonymisointi = esim. numerot nimien sijasta, on henkilötietoa

29. Korrelaatio r=0,67 (p<0,001) Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta, https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/ Oppimisanalytiikkaa kyllä, profilointia ei Yhteenvedot, tilastot ja kuvaajat oppijoiden suorituksista eivät ole profilointia, vaikka kyse olisi tiedosta, jota voitaisiin käyttää ennustemallien tekemiseen.

30. Oppimisanalytiikkaa ja tiedonlouhintaa kyllä, profilointia ei Oppimisesta kertyvän datan käyttö tiedonlouhintaan ei ole profilointia, kun sen tarkoituksena on kehittää yleisesti opetusta, eikä tehdä päätelmiä yksittäisistä oppijoista. Kuva: Äyrämö, 2006, Knowledge Mining Using Robust Clustering (väitösk.), Jyväskylän yliopisto, https://pdfs.semanticscholar.org/8374/0f3c02800468e939c3e887a8061eb336b729.pdf

31. Kun analysoidaan tai ennakoidaan automaattisesti yksilön ominaisuuksia, kyse on profiloinnista Oppimisanalytiika, jonka tavoitteena on tuottaa yksilöä koskevia automaattisia päätelmiä tai ehdotuksia oppijalle tai ohjaajalle, on GDPR:n tarkoittamaa profilointia. Oleellista ei ole, voitaisiinko dataa käyttää näin, vaan tilanne, jossa näin tehdään. Tyypillisesti kyse on oppijan luokitteluun perustuvista ehdotuksista, oppijan toimintaan perustuvista ennusteista tai oppijaa koskevien todennäköisyyksien esittämisestä.

32. Oppimisanalytiikkaa kyllä, profilointia kyllä Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille, Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf ViLLE-oppimisympäristö pyrkii tunnistamaan oppijoiden tuen tarpeen käyttämällä avuksi tietoa, miten tulokset ennustavat menestymistä MAKEKO-testissä.

33. Oikeusperusteet oppimisanalytiikassa Oppijoiden tiedot ja toiminta Kun ei tehdä automaattisesti oppijaa koskevia päätöksiä. Voi sisältää oppijan ominaisuuksien profilointia. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Tiedonlouhinta, tilastot ja analyysit Kun analyysin tulokset eivät kohdistu yksittäisiin oppijoihin, vaikka tehtäisiin automaattisia muita päätöksiä. Oppijan profilointi sisältäen autom. päätöksiä Yksilön ominaisuuksien analysointi, luokittelu ja näihin perustuvat toiminnot Opetuksessa käytetty muu oikeusperuste voi riittää Suostumus tai sopimus

34. 1. Oppimisanalytiikka, joka liittyy rekisterinpitäjän henkilötietojen käsittelyn tarkoitukseen, esimerkiksi opetuksen järjestämiseen ja sen kehittämiseen (pattern-finding) – Tietosuoja-asetuksen lupa käyttää henkilötietoja tilastointiin tai tutkimukseen voi riittää – Oikeutetussa edussa voidaan huomioida se, että opetuksen järjestäjä voi analyysin avulla kehittää opetusta ja palveluitaan opiskelijoille (asiakkaille) sekä tuottaa yleistä hyötyä. – Analyysin tulee olla sellaista, mihin rekisteröidyt voivat kohtuudella odottaa tietoja käytettävän. – Tämän tyyppisellä analyysilla voidaan löytää esimerkiksi koulutukseen liittyviä yleisiä trendejä ja kehitystarpeita sekä oppijoihin ja oppimiseen liittyviä yleisiä malleja, mekanismeja ja luokittelua – Rekisterinpitäjän tulee huolehtia riittävistä suojakeinoista kuten rekisteröityjen anonymisoinnista tai pseudonymisoinnista sekä analyysejä tekevän henkilöstön vaitiolovelvollisuudesta. 2. Oppimisanalytiikka, jonka tarkoitus on profiloinnin avulla tarjota esimerkiksi yksilöllistä ohjausta, ehdotuksia ja tehtäviä (pattern-mathcing) – Profilointiin ja automaattisiin päätöksiin/valintoihin tarvitaan suostumus tai sopimus – Suostumus kannattaa pyytää vasta silloin, kun profilointiin perustuva oppimisanalytiikka halutaan ottaa käyttöön. – Oleellista rekisteröidyltä saatujen suostumusten (opt-in) ja kieltojen (opt-out) hallinta ja voimassaolo. – Suostumuksen antoon ei saa painostaa. Oppijalla tulee olla aito vaihtoehto esimerkiksi valita perinteinen opetus automaattisesti räätälöidyn ohjauksen sijasta. Oppimisanalytiikan tietosuojakehikko Lähde: Andrew Cormack, 2016, Data Protection Framework for Learning Analytics, http://epress.lib.uts.edu.au/journals/index.php/JLA/article/view/4554

35. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää. Yksityisyyden suoja on perusoikeus.

36. Keskustelu & kysymykset

37. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

Oppimisanalytiikka ja GDPR

Oppimisanalytiikka ja GDPR

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Similar a Oppimisanalytiikka ja GDPR

Similar a Oppimisanalytiikka ja GDPR(20)

Más de Harto Pönkä

Más de Harto Pönkä(20)

Oppimisanalytiikka ja GDPR