![](./foiextract20240619-591943-teq5o7-1_2.png)
NAIH Dr. Péterfalvi Attila elnök
Ügyszám: NAIH-1365-1/2023
(NAIH-4667/2022)
dr. Pintér Sándor részére
belügyminiszter
Belügyminisztérium
hivatali kapu útján
Tisztelt Miniszter Úr!
I. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak (a továbbiakban: Hatóság) az
információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 38. § (2) bekezdése alapján a feladata a személyes adatok védelméhez,
valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog
érvényesülésének ellenőrzése és elősegítése. A Hatóság az Infotv. 38. § (4) bekezdésének c)
pontja szerint általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki.
II. A Hatóság egyik ügyének vizsgálata során arra a megállapításra jutott, hogy az eKRÉTA
rendszer esetében gyakorolható érintetti jogérvényesítés során nem egyértelműen válik szét az
adatkezelő és az adatfeldolgozó személye. Egy szülő a gyermeke képviseletében kérelemmel
fordult a Hatósághoz, amely kérelmében előadta, hogy az iskola mint adatkezelő nem tudja a
jogszabályban biztosított hozzáférési jogot biztosítani a személyes adatok tekintetében, az
eKRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) szülők által hozzáférhető
rendszerében, illetve adminisztrációs felületén sem követhető nyomon az érdemjegyek felülírása
és törlése.
A szülő a gyermeke érdemjegyének rögzítésével kapcsolatos adatokat kérte elsőként az iskolától,
majd az eKRÉTA Informatikai Zrt.-től, ugyanis tévesen került beírásra egy félévi érdemjegy a
KRÉTA rendszerbe, amely a féléves osztályozó értekezleten módosításra került.
A szülő pontos és részletes adatokat szeretett volna kérni az érdemjegy módosításának
körülményeiről: konkrétan ki, mikor módosította és ki, mikor törölte érdemjegyet. A szülő
párhuzamosan levelezett az iskolával és az eKRÉTA Informatikai Zrt.-vel. Az iskola – az eKRÉTA
Zrt. tájékoztatására támaszkodva – azt állította, hogy az érdemjegyek módosításáról, annak
időpontjáról nem nyerhető ki információ a rendszerből. Ezt követően a Zrt. nem adott a jegy
felülírására irányuló információt, mivel válaszuk szerint a köznevelési intézményektől lehet ilyen
igényt kérni, ők bocsáthatják a kérelmező rendelkezésre.
A szülő kérte az iskolát, hogy képernyőfotókkal szolgáltasson információt gyermeke összes
történelem tantárgyból kapott jegyének beírásáról, illetve módosításának dátumáról, beleértve a
…………………………………………………………………………………………………………
1055 Budapest
Tel.: +36 1 391-1400
[email protected]
Falk Miksa utca 9-11.
Fax: +36 1 391-1410
www.naih.hu
2
féléves értékelésének megvizsgálását, és a tényleges beírások napjáról. Az iskola ezt megtette,
továbbá megküldte a szülőnek az eKRÉTA üzemeltetőjének részükre adott válaszát, miszerint
megküldött képernyőképen túl információ a rendszerből nem kinyerhető. Az üzemeltető rögzítette
azt is, hogy az e-napló alkalmazás admin felületéről kinyerhető információk egyértelműek és
képernyőfotókkal dokumentáltak. Ezekből egyértelműen kiderül a bejegyzés dátuma (az a tanítási
nap, amelyhez kapcsolóan az adott bejegyzés született), valamint a rögzítés dátuma (annak
időpontja, amikor a bejegyzést az e-naplóban rögzítették.) Az iskola tehát minden, a KRÉTA
rendszerben hozzáférhető adatot átadott a szülőnek, amelyet a rendszer üzemeltetője is
megerősített, miszerint ennél több információt az intézmény nem tud visszafejteni az elektronikus
naplóban.
Ezt követően a szülő az Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási Főosztálytól
kapott választ, miszerint az intézmény
fenntartója kérésre részletes tájékoztatást ad a fejlesztő cég
a fenntartó részére, az adatokkal történő bármilyen művelet és annak jellemzői visszakereshető
módon naplózva vannak.
Az intézmény fenntartója és az eKRÉTA Informatikai Zrt. levelezéseit követően a cég a pontos, a
szülő által kért adatokat ki tudta nyerni a rendszerből, majd a fenntartó levélben tájékozatta a
szülőt, hogy a kért információ az üzemeltető cég számára is csak sokadjára, egy mélyebb,
alaposabb, átfogóbb vizsgálat eredményeként került megállapításra.
A cég vezérigazgatója kijelentette, hogy „
az eKRÉTA Informatikai Zrt. rendelkezik hozzáférési
jogosultsággal a felhasználók KRÉTA rendszer használatához kapcsolódó naplóállományokhoz,
azzal, hogy az eKRÉTA Informatikai Zrt. a KRÉTA rendszert használó intézmény és/vagy az
intézmény fenntartójának írásbeli kérésére a naplóállományt kiadja”. Az eljárás során azonban az
nyert bizonyítást, hogy a kért adatokhoz az intézmény semmilyen módon nem tud hozzáférni, csak
a fenntartó írásos kérésére és többedik próbálkozásra sikerült adatot szolgáltatnia az
üzemeltetőnek, amely adatokat a fenntartó még az iskolával való egyeztetést követően bocsájtott a
szülő rendelkezésére.
III. A Hatóság megállapítása szerint az eKRÉTA Informatikai Zrt. adatfeldolgozónak, míg a
köznevelési intézmények adatkezelőnek minősülnek az eKRÉTA használata során.
A tanulóról az intézmény által kezelt adatok pontosságáért és az átlátható adatkezelés
biztosításáért1 az adatot rögzítő, azt kezelő köznevelési intézmény a felelős, és adott esetben neki
kell tudnia az adatkezelés jogszerűségét az érintett előtt is igazolnia. Adatkezelői felelőssége
független attól, hogy felette a fenntartó jogokat ki gyakorolja.
Az ügyben a rendszert üzemeltető társaság, illetve a felügyeletet ellátó közigazgatási szerv
tájékoztatása sem volt azonos abban a tekintetben, hogy a kért adathoz történő hozzáférés milyen
módon biztosítható. Az EMMI tájékoztatása szerint a KRÉTA rendszert üzemeltető eKRÉTA
Informatikai Zrt. a
fenntartó kérésére biztosítja a kért adatról való tájékoztatást, míg az üzemeltető
nyilatkozata alapján a
köznevelési intézmény, illetve annak fenntartója is kérvényezheti az
adatszolgáltatást a naplóállományok adatait érintően, amely állományokhoz való hozzáféréssel az
üzemeltető eKRÉTA Informatikai Zrt. rendelkezik. Végül az intézmény nem, hanem a fenntartó
kapta meg a Zrt. részéről az érintetti kérelem teljesítéséhez szükséges tájékoztatást.
1 GDPR 5. cikk (1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes
eljárás és átláthatóság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az
adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására
(„elszámoltathatóság”).
3
A Hatóság megállapítása alapján az adatnak az adatkezelő részére történő biztosítása minősül az
általános adatvédelmi rendeletnek2 megfelelő gyakorlatnak, mivel
az adatkezelő – és nem annak
fenntartója – kötelessége az érintetti kérelmek érvényesítése, amely kérelem teljesítését a 28. cikk
(3) bekezdés e) pontja értelmében az adatfeldolgozó segíti.
A feltárt tényállás szerint az adatkezelő köznevelési intézmény adatfeldolgozói szerződéssel nem
rendelkezett.
A GDPR értelmében az adatfeldolgozó csak az adatkezelő megbízásából végezhet személyes
adat kezelésével járó tevékenységet. Általános esetben az adatkezelő felelős az általa alkalmazott
adatfeldolgozó kiválasztásáért, és annak utasításokkal való ellátásáért.
Az állami fenntartású köznevelési intézményeknek – miközben intézményként adatkezelőnek
minősülnek – nincs önálló döntési jogosultságuk arra nézve, hogy használják-e a rendszert, sem
abban, hogy vesznek-e igénybe adatfeldolgozót, és ha igen, kit választanak.
Így e körben az adatfeldolgozóért való felelősség sem terhelheti őket. Ez vonatkozik az egyéb
fenntartású intézményekre is, amennyiben a tevékenységük folytán kötelesek a KRÉTA rendszer
igénybevételére. Ahogyan a vizsgált esetben az intézményben folyó szakképzés okán, az
intézmény a rendszer használatára az NSZFH-val kötött szerződés útján jogosult, tehát nincs
egyedi szolgáltatási/üzemeltetési szerződése sem.
A Hatóság álláspontja szerint az adatkezelő köznevelési intézmények által kötelezően igénybe
veendő adatfeldolgozó alkalmazása és a 28. cikknek való megfelelés állami intézkedést igényel,
és a GDPR előírásainak figyelembe vételével kellene a minisztériumnak átgondolnia a rendszer
működését, és az azt biztosító jogi aktusokat.
IV. A Hatóság jelen ügyben fontosnak tartja hangsúlyozni, hogy a KRÉTA rendszerben a tanulóról
rögzített – ezek között az ő értékelésére, teljesítményére vonatkozó adatok – a gyermek adatának
minősülnek, az adatkezelés alanya, érintettje3 a gyermek.
Amikor a szülő az Nkt. alapján tájékoztatást kap a gyermeke érdemjegyeiről, értékeléséről4, ekkor
ez nem hozzáférésnek, adatkezelési érintetti jogérvényesítésnek minősül, hanem jogszabályon
alapuló adatszolgáltatásnak, a szülő részére való adatközlés az általános adatvédelmi rendelet 6.
2 a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról,
valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU rendelet (a továbbiakban:
általános adatvédelmi rendelet,
vagy GDPR)
3 GDPR 4. cikk 1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ;
azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám,
helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy
szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
4
a nemzeti köznevelésről szóló 2011. évi CXC. törvény (Nkt.)
54. § (1) A pedagógus - a (3) bekezdésben meghatározott kivétellel - a tanuló teljesítményét, előmenetelét tanítási év közben
rendszeresen érdemjeggyel értékeli, félévkor és a tanítási év végén osztályzattal minősíti. A külföldi tartózkodás miatt egyéni
munkarenddel rendelkező tanuló esetében a félévi minősítés az igazgató döntése alapján mellőzhető, ez esetben a tanuló csak az év
végén ad számot tudásáról. A tanuló magatartásának és szorgalmának értékelését és minősítését az osztályfőnök - az osztályban
tanító pedagógusok véleményének kikérésével - végzi. Az érdemjegyekről a tanulót és a kiskorú tanuló szülőjét rendszeresen értesíteni
kell. A félévi és az év végi osztályzatot az érdemjegyek alapján kell meghatározni. Az évközi érdemjegyeket és az év végi
osztályzatokat szóbeli vagy írásbeli szöveges értékelés kíséri. Az iskola az osztályzatról a tanulót és a kiskorú tanuló szülőjét félévkor
értesítő, év végén bizonyítvány útján értesíti. Értesítő gyakrabban is készülhet az intézmény pedagógiai programja szerint. Az
érdemjegy és az osztályzat megállapítása a tanuló teljesítményének, szorgalmának értékelésekor, minősítésekor nem lehet
fegyelmezési eszköz.
72. § A szülő joga különösen, hogy
b) gyermeke fejlődéséről, magaviseletéről, tanulmányi előmeneteléről rendszeresen részletes és érdemi tájékoztatást, neveléséhez
tanácsokat, segítséget kapjon,
4
cikk (1) bekezdés e) pontja szerinti jogalapon alapul. Ugyanakkor az érintett gyermek maga
jogosult az adatkezelés ellenőrzése érdekében a rendszerben tárolt adatokhoz – ide értve a
vizsgált esetben is bemutatott, a félévi osztályzatának utólagos módosítására vonatkozó adathoz –
való hozzáférésre. Az adatkezelési érintetti jogérvényesítés jogát nem változtatja az a tény, hogy
kiskorú esetén ezt a jogot a gyermek nem személyesen, hanem a törvényes képviselője útján
gyakorolhatja5, a gyermeknek a saját adatához való érintetti hozzáférési joga nem a szülő joga,
hanem a gyermeké. A gyermek jogainak fokozott biztosítását pedig az általános adatvédelmi
rendelet is több helyen kifejezetten rögzíti.
A Hatóság ennek okán is kiemelten fontosnak tartja azt, hogy az érintetti joggyakorlás módja az
általános adatvédelmi rendeletnek megfelelő módon rendezett és egyértelmű jogviszonyon és
szabályozáson alapuljon.
V. Az eKRÉTA Zrt. megismert gyakorlata miatt, amely szerint a Zrt. a rendszerében tárolt, a
gyermekre vonatkozó adatokhoz való hozzáférést csak hosszas és egymásnak ellentmondó
nyilatkozatok után biztosította a fenntartó, és nem pedig az adatkezelő köznevelési intézmény
részére, továbbá tekintettel arra, hogy az adatfeldolgozó személyét nem az adatkezelő szabadon
választja, hanem a jogalkotó kötelezően jelöli ki, az alábbi
ajánlást teszem az Infotv. 38. § (4)
bekezdésének c) pontja alapján, és a tisztelt Miniszter Úr6 közreműködését kérem annak
egyértelműsítésében, hogy az érintetti jogok gyakorlása során – a fenntartói formától
függetlenül – az adatkezelő intézmény feladata biztosítani az érintetti joggyakorlást, nem a
fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt az általános
adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell
szabályoznia.
Ezen felül az adatkezelésről adott tájékoztatásnak is – kitérve az érintetti jogérvényesítés
módjára – igazodnia kell a fenti követelményekhez, figyelembe véve a gyermekek
érintettségét7.
A Zrt. honlapján fellelhető Adatkezelési tájékoztató8 7. – „
A Felhasználót, mint érintettet megillető
jogok” – pontja a GDPR szakaszainak puszta másolása, amely nem ad a rendszer működésére
egyéniesített érthető tájékoztatást az érintetti joggyakorlás tartalmáról, valamint a határozatban és
fent bemutatottak alapján nem a valós helyzetet tükrözi, mert az érintett az ott leírt módon a jogait
az adatkezelő köznevelési intézmény előtt érvényesíteni nem tudta.
5 NAIH-4667-10/2022. sz. határozat 11. old. utolsó előtti bek.
„A Ptk. a 2:43 § e) pontjában személyiségi jogként nevesíti a személyes adatok védelmét. A Ptk. 2:54. § (1) bekezdése szerint a
személyiségi jogokat személyesen lehet érvényesíteni, amelyet tehát az érintett maga gyakorolhat, illetve a Ptk. 2:14. §-a alapján a
kiskorú nevében a törvényes képviselője járhat el, így a gyermek adataihoz való – az általános adatvédelmi rendelet 15. cikkében
részletezett – hozzáférési jogot is ő gyakorolja. Kiskorú törvényes képviselője szülők esetében a Ptk. 4:161. §-a alapján a szülői
felügyeletet gyakorló szülő. A GDPR a szülő fogalma esetén a szülői felügyelet gyakorlóját használja. „
6 A Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet
66. § (1) A belügyminiszter (ezen alcím alkalmazásában a továbbiakban: miniszter) a Kormány
29. köznevelésért,
felelős tagja.
7 általános adatvédelmi rendelet (58) preambulumbekezdés „Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az
érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető
nyelven fogalmazzák meg, illetve - ezen túlmenően - szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható
elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen
olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett
számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például
az online reklámozás esete. Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés
vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek
könnyen megért.”
8 https://tudasbazis.ekreta.hu/pages/viewpage.action?pageId=4064926
5
A Hatóság a hatósági eljárás iránti kérelem nyomán a tanulóról nyilvántartott adatokra tett
megállapítást, és a rendszerben kezelt adatokra vonatkozóan a szülők, munkavállalók
adatkezelési érintetti jogait nem vizsgálta, ugyanakkor a problémafelvetés nyomán a teljes
KRÉTA-rendszer felülvizsgálata és a rendszer tekintetében adatkezelő kijelölése válhat
szükségessé.
Az Infotv. 38. § (4) bekezdésének c) pontjának megfelelően kérem szíves intézkedését, és az arról
való tájékoztatást. A Hatóság együttműködik az intézkedés kapcsán szükséges esetleges
egyeztetések során.
A Hatóság a NAIH-4667-10/2022. sz. határozatának anonimizált változatát jelen leveléhez
mellékeli.
Kelt, Budapest, az elektronikus aláírás szerint
Dr. Péterfalvi Attila
elnök
c. egyetemi tanár