Eredeti melléklet letöltése
(PDF file)

Ez a közérdekűadat-igénylés csatolmányának HTML formátumú változata 'Tankerületi adatgyűjtés jogszerűsége'.



NAIH  Dr. Péterfalvi Attila elnök
 
 
 
 
 
 
 
 
 
 
Ügyszám: NAIH-1365-1/2023 
    (NAIH-4667/2022) 
 
 
 
dr. Pintér Sándor részére  
belügyminiszter 
 
Belügyminisztérium 
 
hivatali kapu útján 
 
 
 
 
Tisztelt Miniszter Úr!  
 
 
 
I.  A  Nemzeti  Adatvédelmi  és  Információszabadság  Hatóságnak  (a  továbbiakban:  Hatóság)  az 
információs  önrendelkezési  jogról  és az  információszabadságról  szóló 2011.  évi  CXII. törvény  (a 
továbbiakban:  Infotv.)  38.  §  (2)  bekezdése  alapján  a  feladata  a  személyes  adatok  védelméhez, 
valamint  a  közérdekű  és  a  közérdekből  nyilvános  adatok  megismeréséhez  való  jog 
érvényesülésének  ellenőrzése  és  elősegítése.  A  Hatóság  az  Infotv.  38.  §  (4)  bekezdésének  c) 
pontja szerint általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki.  
 
II.  A  Hatóság  egyik  ügyének  vizsgálata  során  arra  a  megállapításra  jutott,  hogy  az  eKRÉTA 
rendszer  esetében  gyakorolható  érintetti  jogérvényesítés  során  nem  egyértelműen  válik  szét  az 
adatkezelő  és  az  adatfeldolgozó  személye.  Egy  szülő  a  gyermeke  képviseletében  kérelemmel 
fordult  a  Hatósághoz,  amely  kérelmében  előadta,  hogy  az  iskola  mint  adatkezelő  nem  tudja  a 
jogszabályban  biztosított  hozzáférési  jogot  biztosítani  a  személyes  adatok  tekintetében,  az 
eKRÉTA  (Köznevelési  Regisztrációs  és  Tanulmányi  Alaprendszer)  szülők  által  hozzáférhető 
rendszerében,  illetve adminisztrációs felületén  sem  követhető nyomon az  érdemjegyek felülírása 
és törlése. 
 
A szülő a gyermeke érdemjegyének rögzítésével kapcsolatos adatokat kérte elsőként az iskolától, 
majd  az  eKRÉTA  Informatikai  Zrt.-től,  ugyanis  tévesen  került  beírásra  egy  félévi  érdemjegy  a 
KRÉTA rendszerbe, amely a féléves osztályozó értekezleten módosításra került.  
 
A  szülő  pontos  és  részletes  adatokat  szeretett  volna  kérni  az  érdemjegy  módosításának 
körülményeiről:  konkrétan  ki,  mikor  módosította  és  ki,  mikor  törölte  érdemjegyet.  A  szülő 
párhuzamosan levelezett az iskolával és az eKRÉTA Informatikai Zrt.-vel. Az iskola – az eKRÉTA 
Zrt.  tájékoztatására  támaszkodva  –  azt  állította,  hogy  az  érdemjegyek  módosításáról,  annak 
időpontjáról  nem  nyerhető  ki  információ  a  rendszerből.  Ezt  követően  a  Zrt.  nem  adott  a  jegy 
felülírására  irányuló  információt,  mivel  válaszuk  szerint  a  köznevelési  intézményektől  lehet  ilyen 
igényt kérni, ők bocsáthatják a kérelmező rendelkezésre. 
 
A  szülő  kérte  az  iskolát,  hogy  képernyőfotókkal  szolgáltasson  információt  gyermeke  összes 
történelem  tantárgyból  kapott  jegyének  beírásáról,  illetve  módosításának  dátumáról,  beleértve  a 
………………………………………………………………………………………………………… 
1055 Budapest 
Tel.: +36 1 391-1400 
[email protected] 
Falk Miksa utca 9-11. 
Fax: +36 1 391-1410 
www.naih.hu 
 
 

 
féléves  értékelésének  megvizsgálását,  és  a  tényleges  beírások  napjáról.  Az  iskola  ezt  megtette, 
továbbá  megküldte  a  szülőnek  az  eKRÉTA  üzemeltetőjének  részükre  adott  válaszát,  miszerint 
megküldött képernyőképen túl információ a rendszerből nem kinyerhető. Az üzemeltető rögzítette 
azt  is,  hogy  az  e-napló  alkalmazás  admin  felületéről  kinyerhető  információk  egyértelműek  és 
képernyőfotókkal dokumentáltak. Ezekből egyértelműen kiderül a bejegyzés dátuma (az a tanítási 
nap,  amelyhez  kapcsolóan  az  adott  bejegyzés  született),  valamint  a  rögzítés  dátuma  (annak 
időpontja,  amikor  a  bejegyzést  az  e-naplóban  rögzítették.)  Az  iskola  tehát  minden,  a  KRÉTA 
rendszerben  hozzáférhető  adatot  átadott  a  szülőnek,  amelyet  a  rendszer  üzemeltetője  is 
megerősített, miszerint ennél több információt az intézmény nem tud visszafejteni az elektronikus 
naplóban.  
 
Ezt  követően  a  szülő  az  Emberi  Erőforrások  Minisztériuma  Köznevelés-Igazgatási  Főosztálytól 
kapott választ, miszerint az intézmény fenntartója kérésre részletes tájékoztatást ad a fejlesztő cég 
a  fenntartó  részére,  az  adatokkal  történő  bármilyen  művelet  és  annak  jellemzői  visszakereshető 
módon naplózva vannak.  
 
Az intézmény fenntartója és az eKRÉTA Informatikai Zrt. levelezéseit követően a cég a pontos, a 
szülő  által  kért  adatokat  ki  tudta  nyerni  a  rendszerből,  majd  a  fenntartó  levélben  tájékozatta  a 
szülőt,  hogy  a  kért  információ  az  üzemeltető  cég  számára  is  csak  sokadjára,  egy  mélyebb, 
alaposabb, átfogóbb vizsgálat eredményeként került megállapításra. 
 
A  cég  vezérigazgatója  kijelentette,  hogy  „az  eKRÉTA  Informatikai  Zrt.  rendelkezik  hozzáférési 
jogosultsággal  a  felhasználók  KRÉTA  rendszer  használatához  kapcsolódó  naplóállományokhoz, 
azzal,  hogy  az  eKRÉTA  Informatikai  Zrt.  a  KRÉTA  rendszert  használó  intézmény  és/vagy  az 
intézmény fenntartójának írásbeli kérésére a naplóállományt kiadja”. Az eljárás során azonban az 
nyert bizonyítást, hogy a kért adatokhoz az intézmény semmilyen módon nem tud hozzáférni, csak 
a  fenntartó  írásos  kérésére  és  többedik  próbálkozásra  sikerült  adatot  szolgáltatnia  az 
üzemeltetőnek, amely adatokat a fenntartó még az iskolával való egyeztetést követően bocsájtott a 
szülő rendelkezésére.  
 
III.  A  Hatóság  megállapítása  szerint  az  eKRÉTA  Informatikai  Zrt.  adatfeldolgozónak,  míg  a 
köznevelési intézmények adatkezelőnek minősülnek az eKRÉTA használata során. 
 
A  tanulóról  az  intézmény  által  kezelt  adatok  pontosságáért  és  az  átlátható  adatkezelés 
biztosításáért1 az adatot rögzítő, azt kezelő köznevelési intézmény a felelős, és adott esetben neki 
kell  tudnia  az  adatkezelés  jogszerűségét  az  érintett  előtt  is  igazolnia.  Adatkezelői  felelőssége 
független attól, hogy felette a fenntartó jogokat ki gyakorolja. 
Az  ügyben  a  rendszert  üzemeltető  társaság,  illetve  a  felügyeletet  ellátó  közigazgatási  szerv 
tájékoztatása sem volt azonos abban a tekintetben, hogy a kért adathoz történő hozzáférés milyen 
módon  biztosítható.  Az  EMMI  tájékoztatása  szerint  a  KRÉTA  rendszert  üzemeltető  eKRÉTA 
Informatikai Zrt. a fenntartó kérésére biztosítja a kért adatról való tájékoztatást, míg az üzemeltető 
nyilatkozata  alapján  a  köznevelési  intézmény,  illetve  annak  fenntartója  is  kérvényezheti  az 
adatszolgáltatást a naplóállományok adatait érintően, amely állományokhoz való hozzáféréssel az 
üzemeltető  eKRÉTA  Informatikai  Zrt.  rendelkezik.  Végül  az  intézmény  nem,  hanem  a  fenntartó 
kapta meg a Zrt. részéről az érintetti kérelem teljesítéséhez szükséges tájékoztatást.  
                                                           
1 GDPR 5. cikk (1) A személyes adatok: 
a)  kezelését  jogszerűen  és  tisztességesen,  valamint  az  érintett  számára  átlátható  módon  kell  végezni  („jogszerűség,  tisztességes 
eljárás és átláthatóság”); 
d)  pontosnak  és  szükség  esetén  naprakésznek  kell  lenniük;  minden  észszerű  intézkedést  meg  kell  tenni  annak  érdekében,  hogy  az 
adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”); 
(2)  Az  adatkezelő  felelős  az  (1)  bekezdésnek  való  megfelelésért,  továbbá  képesnek  kell  lennie  e  megfelelés  igazolására 
(„elszámoltathatóság”). 
 
 

 
 
A Hatóság megállapítása alapján az adatnak az adatkezelő részére történő biztosítása minősül az 
általános adatvédelmi rendeletnek2 megfelelő gyakorlatnak, mivel az adatkezelő – és nem annak 
fenntartója – kötelessége az érintetti kérelmek érvényesítése, amely kérelem teljesítését a 28. cikk 
(3) bekezdés e) pontja értelmében az adatfeldolgozó segíti.  
A feltárt tényállás szerint az adatkezelő köznevelési intézmény adatfeldolgozói szerződéssel nem 
rendelkezett.  
A  GDPR  értelmében  az  adatfeldolgozó  csak  az  adatkezelő  megbízásából  végezhet  személyes 
adat kezelésével járó tevékenységet. Általános esetben az adatkezelő felelős az általa alkalmazott 
adatfeldolgozó kiválasztásáért, és annak utasításokkal való ellátásáért.  
 
Az  állami  fenntartású  köznevelési  intézményeknek  –  miközben  intézményként  adatkezelőnek 
minősülnek – nincs önálló döntési jogosultságuk arra nézve, hogy használják-e a rendszert, sem 
abban, hogy vesznek-e igénybe adatfeldolgozót, és ha igen, kit választanak.  
 
Így  e  körben  az  adatfeldolgozóért  való  felelősség  sem  terhelheti  őket.  Ez  vonatkozik  az  egyéb 
fenntartású intézményekre is, amennyiben a tevékenységük folytán kötelesek a KRÉTA rendszer 
igénybevételére.  Ahogyan  a  vizsgált  esetben  az  intézményben  folyó  szakképzés  okán,  az 
intézmény  a  rendszer  használatára  az  NSZFH-val  kötött  szerződés  útján  jogosult,  tehát  nincs 
egyedi szolgáltatási/üzemeltetési szerződése sem.   
 
A  Hatóság  álláspontja  szerint  az  adatkezelő  köznevelési  intézmények  által  kötelezően  igénybe 
veendő adatfeldolgozó alkalmazása  és a 28.  cikknek  való megfelelés állami intézkedést  igényel, 
és  a  GDPR  előírásainak  figyelembe  vételével  kellene  a  minisztériumnak  átgondolnia  a  rendszer 
működését, és az azt biztosító jogi aktusokat.  
 
IV. A Hatóság jelen ügyben fontosnak tartja hangsúlyozni, hogy a KRÉTA rendszerben a tanulóról 
rögzített – ezek között az ő értékelésére, teljesítményére vonatkozó adatok – a gyermek adatának 
minősülnek, az adatkezelés alanya, érintettje3 a gyermek.  
Amikor a szülő az Nkt. alapján tájékoztatást kap a gyermeke érdemjegyeiről, értékeléséről4, ekkor 
ez  nem  hozzáférésnek,  adatkezelési  érintetti  jogérvényesítésnek  minősül,  hanem  jogszabályon 
alapuló adatszolgáltatásnak, a szülő részére való adatközlés az általános adatvédelmi rendelet 6. 
                                                           
2 a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, 
valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU rendelet (a továbbiakban: általános adatvédelmi rendelet, 
vagy GDPR) 
3 GDPR 4. cikk 1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; 
azonosítható  az  a  természetes  személy,  aki  közvetlen  vagy  közvetett  módon,  különösen  valamely  azonosító,  például  név,  szám, 
helymeghatározó  adat,  online  azonosító  vagy  a  természetes  személy  testi,  fiziológiai,  genetikai,  szellemi,  gazdasági,  kulturális  vagy 
szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 
4 a nemzeti köznevelésről szóló 2011. évi CXC. törvény (Nkt.) 
54.  §  (1)  A  pedagógus  -  a  (3)  bekezdésben  meghatározott  kivétellel  -  a  tanuló  teljesítményét,  előmenetelét  tanítási  év  közben 
rendszeresen  érdemjeggyel  értékeli,  félévkor  és  a  tanítási  év  végén  osztályzattal  minősíti.  A  külföldi  tartózkodás  miatt  egyéni 
munkarenddel rendelkező tanuló esetében a félévi minősítés az igazgató döntése alapján mellőzhető, ez esetben a tanuló csak az év 
végén  ad  számot  tudásáról.  A  tanuló  magatartásának  és  szorgalmának  értékelését  és  minősítését  az  osztályfőnök  -  az  osztályban 
tanító pedagógusok véleményének kikérésével - végzi. Az érdemjegyekről a tanulót és a kiskorú tanuló szülőjét rendszeresen értesíteni 
kell.  A  félévi  és  az  év  végi  osztályzatot  az  érdemjegyek  alapján  kell  meghatározni.  Az  évközi  érdemjegyeket  és  az  év  végi 
osztályzatokat szóbeli vagy írásbeli szöveges értékelés kíséri. Az iskola az osztályzatról a tanulót és a kiskorú tanuló szülőjét félévkor 
értesítő,  év  végén  bizonyítvány  útján  értesíti.  Értesítő  gyakrabban  is  készülhet  az  intézmény  pedagógiai  programja  szerint.  Az 
érdemjegy  és  az  osztályzat  megállapítása  a  tanuló  teljesítményének,  szorgalmának  értékelésekor,  minősítésekor  nem  lehet 
fegyelmezési eszköz. 
72. § A szülő joga különösen, hogy  
b) gyermeke fejlődéséről, magaviseletéről, tanulmányi előmeneteléről rendszeresen részletes és érdemi tájékoztatást, neveléséhez 
tanácsokat, segítséget kapjon, 
 
 

 
cikk  (1)  bekezdés  e)  pontja  szerinti  jogalapon  alapul.  Ugyanakkor  az  érintett  gyermek  maga 
jogosult  az  adatkezelés  ellenőrzése  érdekében  a  rendszerben  tárolt  adatokhoz  –  ide  értve  a 
vizsgált esetben is bemutatott, a félévi osztályzatának utólagos módosítására vonatkozó adathoz – 
való hozzáférésre. Az adatkezelési érintetti jogérvényesítés jogát nem változtatja az a tény, hogy 
kiskorú  esetén  ezt  a  jogot  a  gyermek  nem  személyesen,  hanem  a  törvényes  képviselője  útján 
gyakorolhatja5,  a  gyermeknek  a  saját  adatához  való  érintetti  hozzáférési  joga  nem  a  szülő  joga, 
hanem  a  gyermeké.  A  gyermek  jogainak  fokozott  biztosítását  pedig  az  általános  adatvédelmi 
rendelet is több helyen kifejezetten rögzíti.  
A  Hatóság  ennek  okán  is kiemelten fontosnak tartja  azt,  hogy  az  érintetti  joggyakorlás módja  az 
általános  adatvédelmi  rendeletnek  megfelelő  módon  rendezett  és  egyértelmű  jogviszonyon  és 
szabályozáson alapuljon.  
V.  Az  eKRÉTA  Zrt.  megismert  gyakorlata  miatt,  amely  szerint  a  Zrt.  a  rendszerében  tárolt,  a 
gyermekre  vonatkozó  adatokhoz  való  hozzáférést  csak  hosszas  és  egymásnak  ellentmondó 
nyilatkozatok  után  biztosította  a  fenntartó,  és  nem  pedig  az  adatkezelő  köznevelési  intézmény 
részére, továbbá tekintettel arra, hogy az adatfeldolgozó személyét nem az adatkezelő szabadon 
választja,  hanem  a  jogalkotó  kötelezően  jelöli  ki,  az  alábbi  ajánlást  teszem  az  Infotv.  38.  §  (4) 
bekezdésének  c)  pontja  alapján,  és  a  tisztelt  Miniszter  Úr6  közreműködését  kérem  annak 
egyértelműsítésében,  hogy  az  érintetti  jogok  gyakorlása  során  –  a  fenntartói  formától 
függetlenül – az adatkezelő intézmény feladata biztosítani az érintetti joggyakorlást, nem a 
fenntartóé,  ehhez  az  adatfeldolgozónak  segítséget  kell  nyújtania,  és  ezt  az  általános 
adatvédelmi  rendelet  28.  cikke  szerinti  szerződésnek,  vagy  más  jogi  aktusnak  kell 
szabályoznia.  
 
Ezen  felül  az  adatkezelésről  adott  tájékoztatásnak  is  –  kitérve  az  érintetti  jogérvényesítés 
módjára  –  igazodnia  kell  a  fenti  követelményekhez,  figyelembe  véve  a  gyermekek 
érintettségét7.  
 
A Zrt. honlapján fellelhető Adatkezelési tájékoztató8 7. – „A Felhasználót, mint érintettet megillető 
jogok”  –  pontja  a  GDPR  szakaszainak  puszta  másolása,  amely  nem  ad  a  rendszer  működésére 
egyéniesített érthető tájékoztatást az érintetti joggyakorlás tartalmáról, valamint a határozatban és 
fent bemutatottak alapján nem a valós helyzetet tükrözi, mert az érintett az ott leírt módon a jogait 
az adatkezelő köznevelési intézmény előtt érvényesíteni nem tudta.  
 
                                                           
5 NAIH-4667-10/2022. sz. határozat 11. old. utolsó előtti bek.  
„A  Ptk.  a  2:43  §  e)  pontjában  személyiségi  jogként  nevesíti  a  személyes  adatok  védelmét.  A  Ptk.  2:54.  §  (1)  bekezdése  szerint  a 
személyiségi  jogokat  személyesen  lehet  érvényesíteni,  amelyet  tehát  az  érintett  maga  gyakorolhat,  illetve  a  Ptk.  2:14.  §-a  alapján  a 
kiskorú  nevében  a  törvényes  képviselője  járhat  el,  így  a  gyermek  adataihoz  való  –  az  általános  adatvédelmi  rendelet  15.  cikkében 
részletezett  –  hozzáférési  jogot  is  ő  gyakorolja.  Kiskorú  törvényes  képviselője  szülők  esetében  a  Ptk.  4:161.  §-a  alapján  a  szülői 
felügyeletet gyakorló szülő. A GDPR a szülő fogalma esetén a szülői felügyelet gyakorlóját használja. „ 
6 A Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 
66. § (1) A belügyminiszter (ezen alcím alkalmazásában a továbbiakban: miniszter) a Kormány 
29. köznevelésért, 
felelős tagja. 
7  általános  adatvédelmi  rendelet  (58)  preambulumbekezdés  „Az  átláthatóság  elve  megköveteli,  hogy  a  nyilvánosságnak  vagy  az 
érintettnek  nyújtott  tájékoztatás  tömör,  könnyen  hozzáférhető  és  könnyen  érthető  legyen,  valamint  hogy  azt  világos  és  közérthető 
nyelven  fogalmazzák  meg,  illetve  -  ezen  túlmenően  -  szükség  esetén  vizuálisan  is  megjelenítsék.  Az  ilyen  tájékoztatás  nyújtható 
elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen 
olyan  helyzetekben  lehet  fontos,  amikor  a  szereplők  nagy  száma  és  a  gyakorlat  technológiai  összetettsége  megnehezíti  az  érintett 
számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például 
az  online  reklámozás  esete.  Mivel  a  gyermekek  különös  védelmet  igényelnek,  a  kifejezetten  gyermekekre  vonatkozó  adatkezelés 
vonatkozásában  minden  információt  és  kommunikációt  olyan  világos  és  közérthető  nyelven  kell  megfogalmazni,  amelyet  a  gyermek 
könnyen megért.” 
8 https://tudasbazis.ekreta.hu/pages/viewpage.action?pageId=4064926 
 
 
 

 
A  Hatóság  a  hatósági  eljárás  iránti  kérelem  nyomán  a  tanulóról  nyilvántartott  adatokra  tett 
megállapítást,  és  a  rendszerben  kezelt  adatokra  vonatkozóan  a  szülők,  munkavállalók 
adatkezelési  érintetti  jogait  nem  vizsgálta,  ugyanakkor  a  problémafelvetés  nyomán  a  teljes 
KRÉTA-rendszer  felülvizsgálata  és  a  rendszer  tekintetében  adatkezelő  kijelölése  válhat 
szükségessé.  
 
Az Infotv. 38. § (4) bekezdésének c) pontjának megfelelően kérem szíves intézkedését, és az arról 
való  tájékoztatást.  A  Hatóság  együttműködik  az  intézkedés  kapcsán  szükséges  esetleges 
egyeztetések során. 
 
A  Hatóság  a  NAIH-4667-10/2022.  sz.  határozatának  anonimizált  változatát  jelen  leveléhez 
mellékeli.   
 
Kelt, Budapest, az elektronikus aláírás szerint 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Dr. Péterfalvi Attila 
 
 
 
 
 
 
 
 
 
 
elnök 
 
 
 
 
 
 
 
 
 
c. egyetemi tanár