2022. őszi, KRÉTA adatvédelmi incidens tankerületi bejelentés nyomán indult eljárása
Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!
Az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.
Kérem, szíveskedjen elektronikus másolatban megküldeni részemre
a 60 tankerületi központ és az eKréta Zrt., jelenleg EduDev Zrt. adatfeldolgozó - https://www.edudev.hu/ Educational Development Informatikai Zrt.
1117 Budapest, Gábor Dénes utca 4. Infopark C épület
Tel: +36-1-999-1700 Email: ugyfelszolgalat kukac edudev.hu
URL: www.edudev.hu - 2022. őszi, adatvédelmi incidens bejelentését követően a Kréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens kivizsgálása céljából a Hatóság által hivatalból indított eljárása, tevékenysége közadatait, ha eljárását egy év alatt sikerült befejeznie.
Ha nem zárult le fenti vizsgálata, tájékoztatását csupán arról a közérdekű adatról kérem, hogy ki(k) a Krétában kezelt adatok adatkezelője (adatkezelői), akiknek a bejelentést a GDPR szerint az incidensről tudomásszerzést követő 72 órán belül meg kellett tennie (tenniük), azaz a tankerületi központok és a szakképzési centrumok kötelezett adatkezelők voltak-e az adatvédelmi incidens illetve a tudomásszerzés időpontjában, és az összesen 60 tankerületi központ adatkezelőként tett-e bejelentést a Hatóságnál,
ha az adatkezelő(k), (közös adatkezelők) kilétét a tisztelt Hatóság ismeri, vagy eljárása során megismerte.
Felhívom szíves figyelmét a GDPR (39)-re, abban kiemelten arra, hogy
"az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű
nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről való tájékoztatására."
Ez alapján kérem még, ha ismer olyan közzétételi helyet, ahol az intézményekben használt Kréta rendszer
adatkezelőjének vagy adatkezelőinek kilétéről
közérthető, világos, egyszerű nyelvezetű tájékoztatás könnyen hozzáférhető, azt az URL-t, azokat az URL-eket is szíveskedjen részemre megküldeni.
GDPR (39) A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes
személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan
gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint
azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az
átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve
kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű
nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő
kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra,
hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra
a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt
adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról,
szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja
az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt
explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének
időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára
alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra
kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető
legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az
adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása
érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő
törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok
helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat
olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését,
többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok
kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan
felhasználását.
(Változtatás nélküli másolat forrása: https://www.naih.hu/GDPR/GDPR_HU_korrege...)
Segítő együttműködését előre is köszönöm.
Kelt: 2023. december 4.
Üdvözlettel:
Kiss László
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat
-----Original Message-----
From: Kiss László [mailto:[FOI #23620 email]]
Sent: Monday, December 4, 2023 3:17 PM
To: KözAdat requests at NAIH <[NAIH request email]>
Subject: Közérdekűadat igénylés - 2022. őszi, KRÉTA adatvédelmi incidens tankerületi bejelentés nyomán indult eljárása
Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!
Az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.
Kérem, szíveskedjen elektronikus másolatban megküldeni részemre a 60 tankerületi központ és az eKréta Zrt., jelenleg EduDev Zrt. adatfeldolgozó - https://www.edudev.hu/ Educational Development Informatikai Zrt.
1117 Budapest, Gábor Dénes utca 4. Infopark C épület
Tel: +36-1-999-1700 Email: ugyfelszolgalat kukac edudev.hu
URL: www.edudev.hu - 2022. őszi, adatvédelmi incidens bejelentését követően a Kréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens kivizsgálása céljából a Hatóság által hivatalból indított eljárása, tevékenysége közadatait, ha eljárását egy év alatt sikerült befejeznie.
Ha nem zárult le fenti vizsgálata, tájékoztatását csupán arról a közérdekű adatról kérem, hogy ki(k) a Krétában kezelt adatok adatkezelője (adatkezelői), akiknek a bejelentést a GDPR szerint az incidensről tudomásszerzést követő 72 órán belül meg kellett tennie (tenniük), azaz a tankerületi központok és a szakképzési centrumok kötelezett adatkezelők voltak-e az adatvédelmi incidens illetve a tudomásszerzés időpontjában, és az összesen 60 tankerületi központ adatkezelőként tett-e bejelentést a Hatóságnál, ha az adatkezelő(k), (közös adatkezelők) kilétét a tisztelt Hatóság ismeri, vagy eljárása során megismerte.
Felhívom szíves figyelmét a GDPR (39)-re, abban kiemelten arra, hogy "az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről való tájékoztatására."
Ez alapján kérem még, ha ismer olyan közzétételi helyet, ahol az intézményekben használt Kréta rendszer adatkezelőjének vagy adatkezelőinek kilétéről közérthető, világos, egyszerű nyelvezetű tájékoztatás könnyen hozzáférhető, azt az URL-t, azokat az URL-eket is szíveskedjen részemre megküldeni.
GDPR (39) A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.
(Változtatás nélküli másolat forrása: https://www.naih.hu/GDPR/GDPR_HU_korrege...)
Segítő együttműködését előre is köszönöm.
Kelt: 2023. december 4.
Üdvözlettel:
Kiss László
-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23620 email]
Is [NAIH request email] the wrong address for Közérdekűadat requests to Nemzeti Adatvédelmi és Információszabadság Hatóság? If so, please contact us using this form:
http://kimittud.hu/change_request/new?bo...
Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers
Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.
-------------------------------------------------------------------
Tisztelt Dr. Habil. Péterfalvi Attila
Adatvédelmi és Információszabadság Hatóság Elnöke, C. Egyetemi Tanár!
A sajtóban nyilvános˙˙, hogy az Adatvédelmi és Információszabadság Hatóság a NAIH-1245-29/2023 számú határozattal lezárta az óvodásoknak, iskolásoknak és családjaiknak a gyerekek és diákok jogviszonyával, tanulmányi életútjával, felvételijével, TB jogosultságával, nevelési és iskoláztatási ellátásra jogosultságaival, kötelezettségek teljesítésével, hiányzásaik mértékével, igazoltságával, szabálysértések elkövetésével, informatikai eszközök kölcsönszerződésével, sajátos nevelési igényével, egészségi, fizikai, mentális állapotával, magatartásával, tartós gyógykezelésével, veszélyeztetettségével, szakképzési ösztöndíjával, állami vizsgáival, végzettségével, fegyelmi ügyeivel, a velük kapcsolatos hatósági döntésekkel, hatósági igazolványaikkal, elérhetőségeikkel, adóazonosítójukkal, TAJ-azonosítójukkal, személyi- és lakcímnyilvántartásban szereplő lakcímükkel kapcsolatos adataikkal, stb. a KRÉTA rendszerben végzett adatkezelést érintő 2022.-ben indított adatvédelmi eljárását.
Alábbi levelében˙ még nem tudta, ezért kérem a következő információt / adatot / ismeretet:
Kérem, szíveskedjen elektronikus másolatban megküldeni részemre
a 60 tankerületi központ és az eKréta Zrt., jelenleg EduDev Zrt. adatfeldolgozó - https://www.edudev.hu/ Educational Development Informatikai Zrt.
1117 Budapest, Gábor Dénes utca 4. Infopark C épület
Tel: +36-1-999-1700 Email: ugyfelszolgalat kukac edudev.hu
URL: www.edudev.hu - 2022. őszi, adatvédelmi incidens bejelentését követően a Kréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens kivizsgálása céljából a Hatóság által hivatalból indított eljárása, tevékenysége közadatait, ha eljárását egy év alatt sikerült befejeznie.
Ha nem zárult le fenti vizsgálata, tájékoztatását csupán arról a közérdekű adatról kérem, hogy ki(k) a Krétában kezelt adatok adatkezelője (adatkezelői), akiknek a bejelentést a GDPR szerint az incidensről tudomásszerzést követő 72 órán belül meg kellett tennie (tenniük), azaz a tankerületi központok és a szakképzési centrumok kötelezett adatkezelők voltak-e az adatvédelmi incidens illetve a tudomásszerzés időpontjában, és az összesen 60 tankerületi központ adatkezelőként tett-e bejelentést a Hatóságnál,
ha az adatkezelő(k), (közös adatkezelők) kilétét a tisztelt Hatóság ismeri, vagy eljárása során megismerte.
Üdvözlettel:
Kiss László
Ügyiratszám: NAIH-10030-2/2023
Adatigénylő
részére
[email address]
Tárgy: Közérdekű adatigénylés
Tisztelt Adatigénylő!
Ön 2023. december 4-én du. 3 óra 17 perkor elektronikus levél útján közérdekű adatigénylést
nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban:
Hatóság) a 2022. év őszén az eKréta rendszerrel kapcsolatosan bejelentett adatvédelmi
incidenssel összefüggésben.
Adatigénylésére a Hatóság az alábbi választ adja:
Az Educational Development Informatikai Zrt.-nél (korábbi nevén: eKRÉTA Informatikai Zrt.)
bekövetkezett adatvédelmi incidenssel kapcsolatos, a NAIH által 2022. novemberében
hivatalból indított hatósági eljárás még folyamatban van.
Az esettel kapcsolatban 2022. novemberében az összes tankerületi központ, a Klebersberg
Központ és az Educational Development Informatikai Zrt. is tett incidensbejelentést a Hatóság
felé, utóbbi adatfeldolgozóként.
Adatkezelési tájékoztató az eKréta rendszerre vonatkozóan a
https://tudasbazis.ekreta.hu/pages/viewp... elektronikus
elérhetőségen érhető el.
Végezetül tájékoztatom, hogy a Hatóság az egyes ügyekben esetről esetre dönti el, hogy egy
adott adatkezelés tekintetében ki minősül adatkezelőnek vagy adatfeldolgozónak.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
˙˙https://24.hu/belfold/2024/02/21/kreta-k...
"Lezárult az adatvédelmi hatóság vizsgálata a 2022 szeptemberében történt hekkertámadás ügyében, amikor is a közoktatásban használt a KRÉTA-t érte támadás: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forint adatvédelmi bírság megfizetésére kötelezte a fejlesztőcéget – írja szerdai cikkében a Telex.
Bár a hatóság honlapján a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat, ám a portál már megszerezte azt. Ebben a dokumentumban az áll, hogy a NAIH szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett.
Egyfelől nem biztosított kellő védelmet a rá bízott személyes adatoknak, másrészt, amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A vizsgálat megállapította, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával. A Telex szerint a hatóság határozata lesújtó képet fest a fejlesztőcég biztonsági gyakorlatáról: így például megállapítják, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához. ...."
Tisztelt Adatvédelmi és Információszabadság Hatóság!
Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére
1.)˙ az általános adatvédelmi rendeletet kell alkalmazni
és
2.)˙˙ a 2011. évi, az információs önrendelkezési jogról és az információszabadságról szóló CXII. törvény (a továbbiakban: Infotv.) 51/A. § (1) bekezdésében, az 52–54. §-ban, az 56–60. §-ban meghatározott kiegészítéseket kell alkalmazni.
A Hatóság tájékoztatása - http://kimittud.hu/request/2022_oszi_kre... - szerint "a Hatóság az egyes ügyekben esetről esetre dönti el, hogy egy adott adatkezelés tekintetében ki minősül adatkezelőnek vagy adatfeldolgozónak".
A következő adatot / információt / ismeretet igényelem:
I. Sikerült eldöntenie a Hatóságnak a 2022. évben indult KRÉTA-incidens esetében, hogy
ki(k) minősült(ek) adatkezelő(k)nek, adatfeldolgozó(k)nak a KRÉTA-adatok vonatkozásában?
II. Az incidensbejelentő(k) adatkezelő(k)nek minősült(ek) vagy a tagállami jog˙˙ szerinti "bárki" bejelentőnek minősültek?
III. A kötelezően alkalmazandó jogban (1.)˙ és 2.)˙˙) nevezett jogalanyok / kötelezettek - beleértve magát a Hatóságot is - mindent a jognak (pl. (1.)˙ és 2.)˙˙) megfelelően tettek, minden a jogban (1.)˙ és 2.)˙˙) előírtat megtettek?
IV. Vizsgálta a Hatóság a következő nyilvános közadatot, amelyről ezt írta: "Adatkezelési tájékoztató az eKréta rendszerre vonatkozóan a https://tudasbazis.ekreta.hu/pages/viewp... elektronikus elérhetőségen érhető el." (http://kimittud.hu/request/2022_oszi_kre...
Üdvözlettel:
Kiss László
˙1.)
28. cikk Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság - a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően - általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) A felügyeleti hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
29. cikk Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
30. cikk Az adatkezelési tevékenységek nyilvántartása
(1) Minden adatkezelő és - ha van ilyen - az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.
31. cikk Együttműködés a felügyeleti hatósággal
Az adatkezelő és az adatfeldolgozó, valamint - ha van ilyen - az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a felügyeleti hatósággal - annak megkeresése alapján - együttműködik.
33. cikk Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
34. cikk Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.
39. cikk Az adatvédelmi tisztviselő feladatai
(1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
d) együttműködik a felügyeleti hatósággal.
˙˙2.)
52. § (1) A Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
60. § (1) A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít és hivatalból adatvédelmi hatósági eljárást indíthat.
(4) Ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg, a bejelentőt az adatvédelmi hatósági eljárás megindításáról, illetve befejezéséről a Hatóság értesíti.
54.§ (2) A vizsgálat eredményéről, a vizsgálat lezárásának indokáról, esetleges intézkedéséről, illetve hatósági eljárás megindításáról a Hatóság a bejelentőt és – ha a vizsgálatban részt vett – a vizsgálat alá vont adatkezelőt, illetve adatfeldolgozót értesíti.
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat
-----Original Message-----
From: Kiss László [mailto:[FOI #23620 email]]
Sent: Sunday, February 25, 2024 4:12 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-10030-2/2023
Tisztelt Adatvédelmi és Információszabadság Hatóság!
Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére
1.)˙ az általános adatvédelmi rendeletet kell alkalmazni és 2.)˙˙ a 2011. évi, az információs önrendelkezési jogról és az információszabadságról szóló CXII. törvény (a továbbiakban: Infotv.) 51/A. § (1) bekezdésében, az 52–54. §-ban, az 56–60. §-ban meghatározott kiegészítéseket kell alkalmazni.
A Hatóság tájékoztatása - http://kimittud.hu/request/2022_oszi_kre... - szerint "a Hatóság az egyes ügyekben esetről esetre dönti el, hogy egy adott adatkezelés tekintetében ki minősül adatkezelőnek vagy adatfeldolgozónak".
A következő adatot / információt / ismeretet igényelem:
I. Sikerült eldöntenie a Hatóságnak a 2022. évben indult KRÉTA-incidens esetében, hogy
ki(k) minősült(ek) adatkezelő(k)nek, adatfeldolgozó(k)nak a KRÉTA-adatok vonatkozásában?
II. Az incidensbejelentő(k) adatkezelő(k)nek minősült(ek) vagy a tagállami jog˙˙ szerinti "bárki" bejelentőnek minősültek?
III. A kötelezően alkalmazandó jogban (1.)˙ és 2.)˙˙) nevezett jogalanyok / kötelezettek - beleértve magát a Hatóságot is - mindent a jognak (pl. (1.)˙ és 2.)˙˙) megfelelően tettek, minden a jogban (1.)˙ és 2.)˙˙) előírtat megtettek?
IV. Vizsgálta a Hatóság a következő nyilvános közadatot, amelyről ezt írta: "Adatkezelési tájékoztató az eKréta rendszerre vonatkozóan a https://tudasbazis.ekreta.hu/pages/viewp... elektronikus elérhetőségen érhető el." (http://kimittud.hu/request/2022_oszi_kre...
Üdvözlettel:
Kiss László
˙1.)
28. cikk Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság - a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően - általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) A felügyeleti hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
29. cikk Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
30. cikk Az adatkezelési tevékenységek nyilvántartása
(1) Minden adatkezelő és - ha van ilyen - az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.
31. cikk Együttműködés a felügyeleti hatósággal Az adatkezelő és az adatfeldolgozó, valamint - ha van ilyen - az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a felügyeleti hatósággal - annak megkeresése alapján - együttműködik.
33. cikk Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
34. cikk Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.
39. cikk Az adatvédelmi tisztviselő feladatai
(1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
d) együttműködik a felügyeleti hatósággal.
˙˙2.)
52. § (1) A Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
60. § (1) A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít és hivatalból adatvédelmi hatósági eljárást indíthat.
(4) Ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg, a bejelentőt az adatvédelmi hatósági eljárás megindításáról, illetve befejezéséről a Hatóság értesíti.
54.§ (2) A vizsgálat eredményéről, a vizsgálat lezárásának indokáról, esetleges intézkedéséről, illetve hatósági eljárás megindításáról a Hatóság a bejelentőt és – ha a vizsgálatban részt vett – a vizsgálat alá vont adatkezelőt, illetve adatfeldolgozót értesíti.
-----Original Message-----
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat
-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23620 email]
Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers
Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.
-------------------------------------------------------------------
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat
-----Original Message-----
From: Kiss László [mailto:[FOI #23620 email]]
Sent: Sunday, February 25, 2024 2:02 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-10030-2/2023
Tisztelt Dr. Habil. Péterfalvi Attila
Adatvédelmi és Információszabadság Hatóság Elnöke, C. Egyetemi Tanár!
A sajtóban nyilvános˙˙, hogy az Adatvédelmi és Információszabadság Hatóság a NAIH-1245-29/2023 számú határozattal lezárta az óvodásoknak, iskolásoknak és családjaiknak a gyerekek és diákok jogviszonyával, tanulmányi életútjával, felvételijével, TB jogosultságával, nevelési és iskoláztatási ellátásra jogosultságaival, kötelezettségek teljesítésével, hiányzásaik mértékével, igazoltságával, szabálysértések elkövetésével, informatikai eszközök kölcsönszerződésével, sajátos nevelési igényével, egészségi, fizikai, mentális állapotával, magatartásával, tartós gyógykezelésével, veszélyeztetettségével, szakképzési ösztöndíjával, állami vizsgáival, végzettségével, fegyelmi ügyeivel, a velük kapcsolatos hatósági döntésekkel, hatósági igazolványaikkal, elérhetőségeikkel, adóazonosítójukkal, TAJ-azonosítójukkal, személyi- és lakcímnyilvántartásban szereplő lakcímükkel kapcsolatos adataikkal, stb. a KRÉTA rendszerben végzett adatkezelést érintő 2022.-ben indított adatvédelmi eljárását.
Alábbi levelében˙ még nem tudta, ezért kérem a következő információt / adatot / ismeretet:
Kérem, szíveskedjen elektronikus másolatban megküldeni részemre
a 60 tankerületi központ és az eKréta Zrt., jelenleg EduDev Zrt. adatfeldolgozó - https://www.edudev.hu/ Educational Development Informatikai Zrt.
1117 Budapest, Gábor Dénes utca 4. Infopark C épület
Tel: +36-1-999-1700 Email: ugyfelszolgalat kukac edudev.hu
URL: www.edudev.hu - 2022. őszi, adatvédelmi incidens bejelentését követően a Kréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens kivizsgálása céljából a Hatóság által hivatalból indított eljárása, tevékenysége közadatait, ha eljárását egy év alatt sikerült befejeznie.
Ha nem zárult le fenti vizsgálata, tájékoztatását csupán arról a közérdekű adatról kérem, hogy ki(k) a Krétában kezelt adatok adatkezelője (adatkezelői), akiknek a bejelentést a GDPR szerint az incidensről tudomásszerzést követő 72 órán belül meg kellett tennie (tenniük), azaz a tankerületi központok és a szakképzési centrumok kötelezett adatkezelők voltak-e az adatvédelmi incidens illetve a tudomásszerzés időpontjában, és az összesen 60 tankerületi központ adatkezelőként tett-e bejelentést a Hatóságnál,
ha az adatkezelő(k), (közös adatkezelők) kilétét a tisztelt Hatóság ismeri, vagy eljárása során megismerte.
Üdvözlettel:
Kiss László
Ügyiratszám: NAIH-10030-2/2023
Adatigénylő
részére
[FOI #23620 email]
Tárgy: Közérdekű adatigénylés
Tisztelt Adatigénylő!
Ön 2023. december 4-én du. 3 óra 17 perkor elektronikus levél útján közérdekű adatigénylést
nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban:
Hatóság) a 2022. év őszén az eKréta rendszerrel kapcsolatosan bejelentett adatvédelmi
incidenssel összefüggésben.
Adatigénylésére a Hatóság az alábbi választ adja:
Az Educational Development Informatikai Zrt.-nél (korábbi nevén: eKRÉTA Informatikai Zrt.)
bekövetkezett adatvédelmi incidenssel kapcsolatos, a NAIH által 2022. novemberében
hivatalból indított hatósági eljárás még folyamatban van.
Az esettel kapcsolatban 2022. novemberében az összes tankerületi központ, a Klebersberg
Központ és az Educational Development Informatikai Zrt. is tett incidensbejelentést a Hatóság
felé, utóbbi adatfeldolgozóként.
Adatkezelési tájékoztató az eKréta rendszerre vonatkozóan a
https://tudasbazis.ekreta.hu/pages/viewp... elektronikus
elérhetőségen érhető el.
Végezetül tájékoztatom, hogy a Hatóság az egyes ügyekben esetről esetre dönti el, hogy egy
adott adatkezelés tekintetében ki minősül adatkezelőnek vagy adatfeldolgozónak.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
˙˙https://24.hu/belfold/2024/02/21/kreta-k...
"Lezárult az adatvédelmi hatóság vizsgálata a 2022 szeptemberében történt hekkertámadás ügyében, amikor is a közoktatásban használt a KRÉTA-t érte támadás: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forint adatvédelmi bírság megfizetésére kötelezte a fejlesztőcéget – írja szerdai cikkében a Telex.
Bár a hatóság honlapján a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat, ám a portál már megszerezte azt. Ebben a dokumentumban az áll, hogy a NAIH szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett.
Egyfelől nem biztosított kellő védelmet a rá bízott személyes adatoknak, másrészt, amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A vizsgálat megállapította, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával. A Telex szerint a hatóság határozata lesújtó képet fest a fejlesztőcég biztonsági gyakorlatáról: így például megállapítják, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához. ...."
-----Original Message-----
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat
-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23620 email]
Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers
Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.
-------------------------------------------------------------------
Tisztelt NAIH! Köszönöm az alábbi válasz megküldését.
Ügyiratszám: NAIH- 4590-2/2024
Adatigénylő
részére
[email address]
Tárgy: Közérdekű adatigénylés
Tisztelt Adatigénylő!
Az Ön 2024. február 25-én elektronikus levélben a Nemzeti Adatvédelmi és
Információszabadság Hatósághoz (a továbbiakban: Hatóság) a KiMitTud felületén 16:12-kor
benyújtott közérdekű adatigénylésére a Hatóság az alábbi választ adja:
„I. Sikerült eldöntenie a Hatóságnak a 2022. évben indult KRÉTA-incidens esetében, hogy
ki(k) minősült(ek) adatkezelő(k)nek, adatfeldolgozó(k)nak a KRÉTA-adatok
vonatkozásában?”
Válasz: A 2022 őszi, az Educational Development Informatikai Zrt.-t (korábbi nevén:
eKRÉTA Informatikai Zrt.) (a továbbiakban: Ügyfél) ért adatvédelmi incidens ügyében az
Ügyfél az eljárás során tett nyilatkozatai szerint a KRÉTA rendszer vonatkozásában
adatfeldolgozónak tekintendő, a KRÉTA rendszert használó intézményekkel vagy
fenntartóikkal megkötött KRÉTA rendszerre vonatkozó Szoftvertermék szolgáltatási
szerződés (vagy vállalkozási szerződés) és a hozzájuk kapcsolódó adatfeldolgozási
szerződés alapján (ld. a határozat 37-38. pontjai). Ezen minősítést a Hatóság nem bírálta
felül az eljárás során. Az eljárás keretében a Hatóság elsősorban az Ügyfél által az
incidens időpontjában alkalmazott adatbiztonsági beállításokat, valamint az incidens
kezelése során tett intézkedéseket vizsgálta.
„II. Az incidensbejelentő(k) adatkezelő(k)nek minősült(ek) vagy a tagállami jog˙˙ szerinti
"bárki" bejelentőnek minősültek?”
Válasz: 2022 novemberében, miután az Ügyfél értesítette az adatkezelőket, vagyis a
tankerületi központokat az incidensről, azok egyenként mindannyian – azonos tartalmú -
incidensbejelentéssel éltek a Hatóság felé. Az Ügyfél szintén bejelentette az incidenst a
Hatóságnak (ld. a határozat megállapításait).
„III. A kötelezően alkalmazandó jogban (1.)˙ és 2.)˙˙) nevezett jogalanyok / kötelezettek -
beleértve magát a Hatóságot is - mindent a jognak (pl. (1.)˙ és 2.)˙˙) megfelelően tettek,
minden a jogban (1.)˙ és 2.)˙ előírtat megtettek?”
Válasz: A Hatóság az Ügyfelet ért adatvédelmi incidens ügyében adatvédelmi hatósági
eljárást folytatott le, 2023 decemberében NAIH-1245-29/2023 számon meghozta a
határozatát, ennek megállapításait a Hatóság honlapján, az alábbi linken olvashatja:
https://www.naih.hu/hatarozatok-vegzesek
„IV. Vizsgálta a Hatóság a következő nyilvános közadatot, amelyről ezt írta: "Adatkezelési
tájékoztató az eKréta rendszerre vonatkozóan a
https://tudasbazis.ekreta.hu/pages/viewp... elektronikus
elérhetőségen érhető el."
(http://kimittud.hu/request/2022_oszi_kre...
2
Válasz: Az Ügyfél adatkezelési tájékoztatóját is megvizsgálta a Hatóság az eljárás során,
de arra vonatkozóan nem tartalmaz a határozat megállapításokat.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
Tisztelt NAIH! Köszönöm az alábbi közadat megküldését:
Ügyiratszám: NAIH- 4582-2/2024
Adatigénylő
részére
[email address]
Tárgy: Közérdekű adatigénylés
Tisztelt Adatigénylő!
Ön a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság)
a KiMitTud felületén 2024. február 25-án 14:02–kor benyújtott közérdekű adatigénylésében
a 2022. őszén az eKréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens
közadatainak a megküldését kérte, amennyiben a vizsgálat befejeződött.
A Hatóság az adatigénylésre a következő választ adja.
Az adatvédelmi incidens ügyében indult adatvédelmi hatósági eljárás 2023 decemberében
befejeződött, a Hatóság a NAIH-1245-29/2023 számon meghozta az ügyben a határozatát,
amelynek megállapításait a Hatóság honlapján, az alábbi linken olvashatja:
https://www.naih.hu/hatarozatok-vegzesek...
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
file:///C:/Users/docto/Downloads/NAIH-1245-29-2023-hatarozat.pdf