Karar Özeti: Veri Koruma Otoritesi tarafından Milano’da bir veri sorumlusu üniversitenin Covid-19 sürecindeki sınavların, kopyaya mahal vermeyecek şekilde yürütülmesini sağlamak amacı ile öğrencilerin sınav esnasında anlaştıkları bir veri işleyen/ yazılımcı tarafından video kayıtlarının alınması zorunluluğunu getirmesi ve kabul etmezlerse çevrimiçi sınavlara giremeyeceklerini belirtmek suretiyle hukuka aykırı bir şekilde rızalarının alınması, üniversite öğrencilerinin Özel Nitelikli Kişisel Verilerinin işlenmesi, rıza ve/veya sözleşme gibi yasal dayanaklara dayandırması üzerine inceleme başlatılmıştır. Veri Koruma Otoritesi sınavların uzaktan yapılmasını gerektiren COVID-19 salgını sırasında üniversiteler tarafından bu tür yazılımların kullanılmasının genel olarak kabul edilebilir olduğunu belirtse de veri koruma ilkelerine uygunluğun sağlanması gerektiğini de belirtmiştir. Üniversitenin öğrencilerine sunduğu aydınlatma metninde kullanmış olduğu Respondus isimli yazılım hakkında genel bilgiler sağlanmasına rağmen işbu yazılımı sağlayan şirketin bulunduğu yere (ABD) olası veri aktarımları hakkında hiçbir bilgi bulunmamaktaydı. Otorite, üniversitenin öğrencilerin kişisel verilerini yazılım aracılığıyla rıza almaksızın ABD’ye aktarmasını hak ihlali olarak değerlendirmiştir. Öğrencilerin biyometrik verilerinin işlenmesi rıza göstermedikleri takdirde sınavlara giremeyecekleri koşuluna bağlandığından ötürü, öğrenciler ve üniversite arasındaki güç dengesizliği göz önüne alındığında, Otorite tarafından hukuka uygun bulunmamıştır. Nitekim işleme, ancak izlenen amaçla orantılı olacak, veri koruma hakkının özüne saygı gösterecek ve uygun koşulları sağlayacak veya önemli kamu yararı nedenleriyle gerekliyse yasal olabilirdi. Üniversitenin elde etmiş olduğu Özel Nitelikli Kişisel Verileri bünyesinde beş sene boyunca saklamasının da orantısız olduğu Otorite tarafından kabul edilmiştir. Tüm bu sayılan sebeplerin sonucunda DPA, ilgili maddelerin ihlali nedeniyle üniversiteye para cezası verilmesine karar verilmiştir..
