Karar Özeti: Veri Koruma Otoritesi tarafından alınan başvuruda, bir okul yönetim kurulu Smartschool sistemi aracılığıyla birinci sınıf öğrencilerine bir “”sağlık”” anketi göndermiştir. Veri sahibi, anket hakkında bilgi eksikliği olduğu, ebeveyn izninin gerekli olduğu, işleme için veri minimizasyonu uygulanmadığı (öğrencilere zorbalık, öğrenciler ve durumları, kimlik bilgilerinin anonimleştirilmediği iddiası) ve veri sorumlusunun bir veri koruma etki değerlendirmesi yapması gerektiği, ancak yapmadığı iddia etmiştir. Okul kurulu cevaben, yeterli bilgi verildiğini, reşit olmayan veri öznelerinin ve ebeveynlerinin rızasının, başka bir yasal dayanağın (gerekli bir yasal dayanak için işleme) geçerli olması nedeniyle işleme için gerekli olmadığını, özel bir kişisel veri kategorisi işlenmediğini, gelecekteki anketler veri minimizasyonu ilkesine saygı göstereceğini iletmiştir. Veri sorumlusu, ayrıca okulun gelecekte velileri ve öğrencileri anketin amacı hakkında daha iyi bilgilendirmesini sağlamak için bir mektup göndermeyi teklif etmiştir. Veri işlenmesinde ilgili kişinin işlemeye yönelik spresifik rıza vermesi gerekliliği kapsamında, anketin olayların meydana geldiği tarihte 13 yaşından küçük bir öğrenciye sunulması nedeniyle, işlemenin yalnızca spesifik rıza uyarınca yasal olacağını değerlendirmiştir. Ancak veri sorumlusu, işleme faaliyetine yasal yükümlülüğe uygunluk sağlanması amacı ile dayandığından işleme faaliyeti hukuka aykırıdır.
Bu nedenle Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından koşullar da geçerlidir: Veri Koruma Otoritesi, ebeveyn sorumluluğu sahibinin iznini gerektiren kriterler karşılandığından, yani öğrenci 13 yaşın altında olduğundan (Belçika’da işleme için rıza yaşı) bu maddenin uygulanmasına karar vermiştir. Smartschool aracı bir bilgi toplumu hizmetidir ve veri sorumlusu bu ebeveyn iznini alamadığından, ayrıca bu maddenin ihlal edildiğine karar verilmiştir. Veri Koruma Otoritesi, olayların gerçekleştiği sırada anketin anonim bir biçimde sunulmasının bir yolu olmasına rağmen veri sorumlusunca verilerin anonimleştirilmemesi sebebiyle veri minimizasyonu ilkesi gereğince ihlal tespit etmiştir. Veri Koruma Otoritesi, veri sorumlusu başarısız olduğu için öğrencilerin ilgili kişinin bilgilendirilme hakkı gerekliliği doğrultusunda yeterince bilgilendirildiğini göstermediğinden veri sorumlusunu hukuka uygunluk, adalet ve şeffaflık kapsamındaki sorumluluklarını yerine getirmediğine karar vermiştir.