Pidin tänään Suomen eOppimiskeskuksen järjestämässä koulutuksessa luennon oppimisanalyytikasta EU:n yleisen tietosuoja-asetuksen kannalta. Esitykseni koostui GDPR:n perusteista (rekisterit, rekisterinpitäjän velvollisuudet, oikeusperusteet henkilötietojen käsittelylle jne.) sekä varsinaisesta oppimisanalytiikkaan liittyvästä osasta.
GDPR:n kannalta oppimisanalytiikka jakaantuu kahteen osaan sen mukaan, milloin henkilötietojen käsittelyyn tarvitaan rekisteröidyn suostumus tai sopimus, ja milloin oikeusperusteeksi riittää rekisterinpitäjän kuten opetuksen järjestäjän oikeutettu etu. Nyrkkisääntönä raja menee siinä, että jos oppimisanalytiikassa tehdään GDPR:n tarkoittamaa automaattista profilointia, tarvitaan rekisteröidyiltä (tai alaikäisten huoltajilta) suostumus tai toiminnan tulee perustua sopimukseen.
Aika paljon voidaan kuitenkin tehdä oppimisanalytiikkaa myös oikeutetun edun perusteella, siis silloin, kun yksittäisiä oppijoita ei profiloida GDPR:n tarkoittamalla tavalla. Esimerkiksi tavanomaiset oppijaa koskevat tiedot kuten aktiivisuus, osallistuminen, pisteet ja lokitiedot eivät ole profilointia, jos niiden perusteella ei tehdä automaattisia päätelmiä kuten luokittelua tai ennusteita. Oikeutettu etu on tällöin arvioitava tapauskohtaisesti nk. tasapainotestillä (ks. slide 15) ja siihen tulee mennä vain silloin, jos mikään muu oikeusperuste ei täyty.
Yleisiä tilastoja ja tutkimustakin voidaan tehdä GDPR:n mukaan myös henkilötiedoista, jotka on alunperin kerätty muuta käsittelyä varten. Datasta voidaan tehdä myös tiedonlouhintaa. Kummassakin tapauksessa on huolehdittava rekisteröityjen tietosuojasta ja riittävistä suojatoimista esim. anonymisoimalla tai pseudonymisoimalla data.
Luennon yhtenä lähteenä käytin Andrew Cormackin (2016) artikkelia A Data Protection Framework for Learning Analytics, jossa hän esittää yllä kuvatun jaon kahden tyyppisestä oppimisanalytiikasta sekä niihin liittyvistä GDPR:n vaatimuksista. Artikkelissa käsitellään tarkemmin aiheeseen liittyviä kysymyksiä ja näkökulmia.