Kuruma intikal eden şikâyette;  şikayetçinin velisi bulunduğu çocuklarının veri sorumlusuna ait okulda eğitim gördüğü, gerek bu öğrencilere gerekse de diğer öğrencilerin okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği, aynı madde hükmünce ilgili kişilerin veya velisinin açık rızası bulunmadan bu verilerin işlenmesinin kesinlikle yasaklandığı, veri sorumlusunun uzun süredir şikayetçinin velayeti altında bulunan çocuklara eğitim vermekte iken hiçbir kayıt işleminde kişisel verilerin işlenmesinden bahsetmediği, Kanunun 10 uncu maddesi hükümlerince aydınlatma yükümlülüğünün yerine getirilmediği, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alınamadığı bu çerçevede Kurula şikâyette bulunulduğu belirtilerek, veri sorumlusunun Kanunun 18 inci maddesi uyarınca aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerini ihlal fiillerinden dolayı cezalandırılması, işlenen verilerin Kanunun 7 nci maddesi doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi ve yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• Öncelikle şikayetçinin iddialarının aksine sadece bir çocuğuna bahse konu testin uygulandığı,
• Şikayete konu edilen testin hukuki dayanağının; eğitim kurumlarında sunulacak rehberlik hizmetlerinin amaç, ilke, faaliyet ve çalışma yöntemlerini düzenleyen “Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği” (10 Kasım 2017 tarihli ve 30326 sayılı R. G.) olduğu, söz konusu Yönetmeliğin 6 ncı maddesi uyarınca rehberlik hizmetlerinin eğitsel rehberlik, mesleki rehberlik ve kişisel/sosyal rehberlik olarak üç temel alana ayrıldığı, 
  • Bu kapsamda eğitsel rehberliğin “bireyin yetenek, ilgi, ihtiyaç, değer, kişilik özellikleri, imkân ve koşullarıyla uyumlu eğitsel kararlar alması; eğitime ilişkin olumlu tutum geliştirmesi ve hayat boyu öğrenme sürecinde bireyin gelişimine destek olunması amacıyla bireye ve ailesine sunulan hizmet” (Madde 6 (1) (a)); kişisel/sosyal rehberliğin ise “bireyin bilişsel, sosyal, duygusal, ahlaki ve davranışsal gelişimini desteklemek amacıyla kendini tanıması; karar verme ve problem çözme gibi sosyal beceriler ile yaşam becerilerini geliştirmesi ve sorumluluk sahibi bir birey olarak hayatına devam edebilmesi için bireye ve ailesine sunulan hizmet” (Madde 6 (1) (c)) olarak tanımlandığı,  
  • Aynı Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasının (b) bendinde “İlkokul kademesinde rehberlik hizmetleri; öğrencinin okula uyum sağlamasına, eğitim ortamlarına ve öğrenmeye yönelik olumlu tutum geliştirmesine; öğrenmeyi öğrenme ve öğrendiklerini aktarmaya yönelik bilişsel becerileri kazanmasına; etkili öğrenmeye yönelik stratejiler geliştirme, duyguları tanıma, kendini ifade etme gibi sosyal beceriler ile zorlu yaşam olaylarıyla baş etme becerileri kazanmasına; kişilik gelişimini ve mesleki gelişimlerini desteklemeye yönelik olarak eğitsel, mesleki ve kişisel/sosyal rehberlik hizmetleri kapsamında yürütülür.” hükmünün yer aldığı,
  • Bu çerçevede eğitim kurumlarında sunulan rehberlik hizmetinin amacının ölçme değerlendirme araçları ve diğer yöntemleri kullanarak öğrencilerin durumlarının tespit edilip desteklenmesi gereken alanlarda çalışma yürütmek olduğu,
  • Rehberlik hizmetlerinin yerine getirilebilmesi ve amaçlarının sağlanabilmesi için “bireyin tanınması” nın zorunlu olduğu ve öğretmenlerin görevleri arasında olduğu, Yönetmeliğin 9 uncu maddesinin (1) numaralı fıkrasına göre bireyi tanımanın, “bireyin kendi ilgi, yetenek, değer, tutum ve kişilik özelliklerini keşfetmesini ve gerçekçi kararlar almasını sağlamak amacıyla rehberlik öğretmeni, sınıf rehber öğretmeni ve diğer öğretmenler tarafından yürütülen bilgi toplama süreci” olarak tanımlandığı ve aynı maddenin aynı fıkrasının (c) bendine göre bireyin tanınması sürecinde farklı ölçme araçlarının, yöntemlerinin ve tekniklerinin kullanılmasının mümkün olduğu,
  • Yönetmelik ile “rehberlik ve araştırma merkezleri ile rehberlik servislerinin bireyi tanıma, tanılama, tarama ve inceleme çalışmalarında kullanabilecekleri çeşitli test, anket ve envanterler”in psikolojik ölçme araçları olarak tanımlandığı ve Yönetmeliğin 10 uncu maddesinde rehberlik hizmetlerinde bireyi tanıma çalışmalarında kullanılacak psikolojik ölçme araçlarının sağlanmasına ilişkin amaç ve uygulama ilkelerinin belirlendiği,
• Bu çerçevede testin amacının rehberlik faaliyeti kapsamında öğrenciye eğitsel, kişisel, sosyal rehberlik hizmeti ile sınırlı olduğu, yürütülen faaliyetin hukuka uygun, belirli, açık ve meşru olduğu, testin uygulanmasına ilişkin velilerin bilgisi ve onayının bulunduğu,
• Öğrencinin velisi ile veri sorumlusunun rehberlik servisi arasında yapılan rehberlik görüşmesinde; öğrencinin öfkeli ve kaygılı olduğu, konuşurken heyecanlandığı, ikinci defa tekrarlamak istemediği, arkadaşları tarafından alay edilebildiği, içe dönük yapısı olduğu gibi konularda dikkatli olunması gerektiği hususunda veli tarafından bilgilendirme yapıldığı, bunun üzerine rehberlik hizmetine başlandığı, akabinde veri sorumlusunun rehberlik servisi ile öğrencinin velileri (anne ve baba) arasında çeşitli tarihlerde rehberlik görüşmelerinin devam ettiği ve bu görüşmelere ilişkin velilerin imzasını da içeren Bireysel Görüşme Formlarının düzenlendiği,
• CAS testinin öğrencinin velisinin bilgisi ve onayı ile başlanan rehberlik faaliyeti çerçevesinde öğrencinin durumunu tespit etmek, öğrenciyi tanımak, öğrencinin yetenek ve ilgi alanlarını belirleyerek öğrencinin bilişsel ve akademik gelişmesini sağlayabilmek amacıyla uygulandığı ve şikayetçinin başvurusuna verilen cevapta da bunun belirtildiği,
• Testin sonucuna ilişkin değerlendirmelerin öğrencinin velisi ile paylaşıldığı, veli ile yapılan e-posta yazışmalarında veli tarafından kendisine iletilen söz konusu test değerlendirmelerinin öğrenciyi takip eden psikiyatrist ile de paylaşıldığının belirtilmesinin ve rehberlik birimine öğrencinin tedavisi ile ilgili bilgi verilmesinin, velinin CAS testinin uygulandığından haberdar olduğunu gösterdiği, 
• Uygulanan testin milli eğitim mevzuatı çerçevesinde, rehberlik faaliyetlerinde uygulanmasına cevaz verilen psikolojik bir ölçme aracı olduğu ve öğrenciye ilişkin kişisel verilerin işlenmediği ve üçüncü şahıslarla paylaşılmadığı, söz konusu test kitapçığının Kuruma iletildiği,
• Testin Milli Eğitim Bakanlığının Rehberlik Hizmetleri mevzuatı çerçevesinde, rehberlik hizmetleri amaçları doğrultusunda uygulandığı ve veri sorumlusu eğitim kurumunun mevzuat ile tanımlanmış görev ve yetkilerini aşmadığı, testin uygulanmasında Kanuna aykırı davranılmadığı 

belirtilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 02/04/2020 tarihli ve 2020/255 sayılı Kararı ile,

• 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
• Bu çerçevede şikayete konu olayda, şikayetçinin velisi olduğu öğrencinin CAS testine tabi tutulması sonucunda ortaya çıkan verilerin kişisel veri niteliğinde olduğu, şikayetçinin velisi olduğu öğrencinin gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, bünyesindeki eğitim kurumlarında öğrenim görmekte olan öğrencilerinin kişisel verilerinin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olması nedeniyle eğitim kurumunun veri sorumlusu olduğu, 
• Genel olarak, eğitim kurumlarının rehberlik servisleri tarafından uygulanan psikolojik testlerin çeşidi ne olursa olsun, öğrencinin bireysel olarak daha yakından tanınmasını sağlamayı amaçladığı dikkate alındığında; testin sonucunun yorumlanması neticesinde oluşturulan değerlendirme kapsamında öğrenciyi diğer öğrencilerden ayıran ve kimliğini belirli veya belirlenebilir hale getiren kişisel verilerin işlendiği,
• Bu kapsamda ilgili kişilere CAS testi uygulanması sonrasında, veri sorumlusunun rehberlik servisinde görevli rehberlik öğretmeni/ psikolojik danışman tarafından yapılan ve öğrenciye ilişkin duygu durum, davranış, bilişsel yetenekler vb. unsurları içerdiği kanaatine varılan test sonucuna ilişkin değerlendirmenin kişisel veri işleme faaliyeti kapsamında olduğu,
• Kanununun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde; 
  “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
  a) Kanunlarda açıkça öngörülmesi.
  b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hüküne yer verildiği,
•  “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde ise;
  “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerinin yer aldığı,
• Söz konusu kişisel veri işleme faaliyeti kapsamında; veri sorumlusu ile veli arasında, bireysel görüşme formları ve e-posta yazışmaları yoluyla en az 7 ay süren rehberlik sürecinde ilgili kişi öğrencinin ruh sağlığına ilişkin bilgilerin paylaşıldığı ve CAS testinin uygulanması sonucunda dikkat eksikliği/ hiperaktivite bozukluğu/ kaygı bozukluğu gibi ilgili kişinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlendiği,
• Psikolojik testlerin ölçüm alanları itibariyle farklılık gösterdiği ve eğitim sürecinde; öğrencinin öğrenme becerilerinin geliştirilmesi, akademik performansının arttırılması, sosyal faaliyetlere yönlendirilmesi, meslek seçimi vb. konulara yönelik çalışmalar yapılmasını desteklemek amacıyla öğrencinin kişilik özelliklerini, akademik başarısını, zeka düzeyini, yeteneklerini, ilgi alanlarını ölçen psikolojik testlerin uygulanması sonucunda elde edilen değerlendirmelerin dahi kişisel veri içerdiği, Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliğinin 10 uncu maddesi çerçevesinde; bu kapsamdaki kişisel veri işleme faaliyetinin, veri sorumlusunun Kanunun 5 inci maddesinin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” kişisel veri işleme şartına dayandırılabileceği,
• Bununla birlikte somut vakada, ilgili kişi öğrenciye CAS testinin uygulanması sonucunda, zekâ ve bilişsel becerilerin yanı sıra dikkat eksikliği ve hiperaktivite bozukluğu gibi öğrencinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu dikkate alındığında; Kanunun 6 ncı maddesinin (3) numaralı fıkrasında yer verilen “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları da bulunmadığından, veri sorumlusu tarafından söz konusu veri işleme faaliyetinin “açık rıza” şartına dayandırılması gerektiği sonucuna varılacağı,
• Kurula yapılan şikâyet başvurusunda; gerek velisi olunan öğrencilere gerek diğer öğrencilere okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde açık rızaları alınmadan CAS testinin yapıldığı iddiası karşısında ek bilgi/belge talebi kapsamında, Kurumun yazısı ile testin uygulanması sürecinde ilgili kişilerin açık rızasının alınıp alınmadığına ilişkin bilgi, belge, kayıt vb. dokümanın Kuruma iletilmesinin talep edildiği, veri sorumlusu tarafından iletilen cevabi yazıda, CAS testinin velinin bilgi ve onayı dâhilinde uygulandığının ifade edildiği, bunun da daha önce iletilen velinin imzasının bulunduğu bireysel görüşme formları ve e-posta yazışmaları ile açıkça kanıtlandığı ancak açık rızanın alındığına veya talep edildiğine dair herhangi bir bilgi/ belge iletilmediği,
• Özel nitelikli kişisel veri olan “sağlık verisi”nin, ilgili kişinin açık rızasına dayanarak işlenebildiği ve ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, bu kapsamda veri sorumlusunun, ilgili kişilere CAS testi uygulanması sürecinde, ilgili kişilerin reşit olmaması nedeniyle velisinin açık rızasına dayanmadan özel nitelikli kişisel verilerini işlediği, ilgili kişilerin açık rızasının alınmadığı hususunda taraflar arasında ihtilaf olmadığı, söz konusu verilerin özel nitelikli verileri de içermesi nedeniyle ilgili kişilerin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir veri işleme faaliyeti olduğu,
• Kuruma intikal eden şikâyet başvurusunda; veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilmeden gerek velisi olunan öğrencilere gerek diğer öğrencilere CAS testinin yapıldığının iddia edildiği, bu çerçevede veri sorumlusundan ek bilgi/belge talebi kapsamında, testin uygulanması sürecinde ilgili kişilere testle ilgili olarak aydınlatma yapılıp yapılmadığı, ayrıca test ve testin sonucuna ilişkin bilgilendirmenin yapılıp yapılmadığına ilişkin bilgi, belge, kayıt vb. dokümanın Kuruma iletilmesinin talep edildiği, 
• Veri sorumlusu tarafından iletilen cevap yazısında, CAS testinin rehberlik hizmeti kapsamında velinin bilgisi ve onayı dahilinde uygulandığı, testin sonucuna ilişkin değerlendirmelerin öğrencilerin velisi ile paylaşıldığı, söz konusu test değerlendirmelerinin ilgili kişi tarafından ayrıca öğrenciyi takip eden psikiyatr ile de paylaşıldığı, bu hususların velinin imzasının bulunduğu bireysel görüşme formları ve e-posta yazışmalarında açıkça yer aldığı belirtilmekle birlikte aydınlatmanın yapıldığına dair herhangi bir bilgi/ belgenin Kuruma  iletilmediği,
• Kanun uyarınca veri sorumlusu veya yetkilendirdiği kişi tarafından, kişisel verilerin elde edilmesi sırasında, ilgili kişinin talebine bağlı olmaksızın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesinin gerektiği ayrıca bu yükümlülüğün yerine getirildiğinin ispatının da veri sorumlusuna ait olduğu, bu nedenle somut olayda, veri sorumlusu her ne kadar CAS testinin uygulanması süreci ve testin sonucu hakkında velinin bilgisi ve onayının olduğunu kanıtlasa da, aydınlatma yükümlülüğünün yerine getirilmesi için Kanunda öngörülen gerekli şartlar ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde yer alan usul ve esasları tam olarak yerine getirmediği,
• Bu kapsamda veri sorumlusunun rehberlik servisi tarafından; öğrencilere CAS testi uygulanması sürecinde veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişilerin diğer hakları konusunda öğrencinin velisine yeterli düzeyde bilgi sağlamamak suretiyle veri sorumlusunun aydınlatma yükümlülüğünü tam olarak yerine getirmediği sonucuna varıldığı,
• Şikâyet dilekçesinde veri sorumlusu tarafından işlenen kişisel verilerin Kanunun 7 inci maddesi gereğince silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği belirtilmekle birlikte veri sorumlusuna başvuruda bu hususta bir talepte bulunmadığı, 
• Veri sorumlusunun savunmasında CAS testi yoluyla ilgili kişilerin kişisel verilerinin işlenmediği iddia edilerek verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili herhangi bir hususa yer verilmediği, öğrencilerin, velisi tarafından yeni eğitim öğretim yılında bir başka okula nakledildikleri dikkate alındığında; işlenmesinde Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan herhangi birini karşılamayan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği, 
• Yukarıda açıklandığı üzere, somut olayda gerçekleşen veri işleme faaliyetinde, ilgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu sonucuna varıldığı,
• Son olarak ilgili kişi tarafından şikayet dilekçesinde, CAS testinin yalnızca velisi olduğu öğrencilere değil diğer öğrencilere de okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan uygulandığının iddia edildiği, veri sorumlusunun bir eğitim kurumu olduğu dikkate alındığında, Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği doğrultusunda öğrencilere yönelik bireysel veya grup rehberlik hizmetlerini yürütmek üzere CAS ve benzeri psikolojik ölçme araçlarını kullanarak öğrencilerinin kişisel verilerini/ özel nitelikli kişisel verilerini işlediği sonucuna varıldığı

değerlendirmelerinden hareketle,

• Veri sorumlusu eğitim kurumu tarafından ilgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle Kanunun 12 inci maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli  idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendinde gereğince 50.000 TL idari para cezası uygulanmasına,
• Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesi uyarınca, özel nitelikli kişisel veri kapsamında olan ilgili kişinin sağlık verisinin ilgili kişilerin/velinin açık rızası alınmadan işlenmesi nedeniyle hukuka aykırı bir şekilde veri işlendiği dikkate alınarak velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusu tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin olarak aydınlatma yükümlülüğünün Kanunun 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun şekilde yerine getirilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Öte yandan, hukuka aykırı elde edilen verilerin Kanunun 7 nci maddesi kapsamında silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda Şirketin talimatlandırılmasına, 
• Diğer taraftan şikâyetçinin, yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesine yönelik talebinin Kanun kapsamında olmadığı dikkate alındığında bu hususta Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.