Eredeti melléklet letöltése
(PDF file)

Ez a közérdekűadat-igénylés csatolmányának HTML formátumú változata '2022. őszi, KRÉTA adatvédelmi incidens tankerületi bejelentés nyomán indult eljárása'.



Dr. Péterfalvi Attila András
 
 
 
      Ügyiratszám: NAIH- 4590-2/2024 
Adatigénylő  
részére 
 
[email protected]  
Tárgy: Közérdekű adatigénylés  
Tisztelt Adatigénylő! 
Az  Ön  2024.  február  25-én  elektronikus  levélben  a  Nemzeti  Adatvédelmi  és 
Információszabadság Hatósághoz (a továbbiakban: Hatóság) a KiMitTud felületén 16:12-kor 
benyújtott közérdekű adatigénylésére a Hatóság az alábbi választ adja: 
„I. Sikerült eldöntenie a Hatóságnak a 2022. évben indult KRÉTA-incidens esetében, hogy 
ki(k) 
minősült(ek) 
adatkezelő(k)nek, 
adatfeldolgozó(k)nak 

KRÉTA-adatok 
vonatkozásában?” 
Válasz:  A  2022  őszi,  az  Educational  Development  Informatikai  Zrt.-t  (korábbi  nevén: 
eKRÉTA  Informatikai  Zrt.)  (a  továbbiakban:  Ügyfél)  ért  adatvédelmi  incidens  ügyében  az 
Ügyfél  az  eljárás  során  tett  nyilatkozatai  szerint  a  KRÉTA  rendszer  vonatkozásában 
adatfeldolgozónak  tekintendő,  a  KRÉTA  rendszert  használó  intézményekkel  vagy 
fenntartóikkal  megkötött  KRÉTA  rendszerre  vonatkozó  Szoftvertermék  szolgáltatási 
szerződés  (vagy  vállalkozási  szerződés)  és  a  hozzájuk  kapcsolódó  adatfeldolgozási 
szerződés alapján (ld. a határozat 37-38. pontjai). Ezen minősítést a Hatóság nem bírálta 
felül  az  eljárás  során.  Az  eljárás  keretében  a  Hatóság  elsősorban  az  Ügyfél  által  az 
incidens  időpontjában  alkalmazott  adatbiztonsági  beállításokat,  valamint  az  incidens 
kezelése során tett intézkedéseket vizsgálta. 
 
„II.  Az  incidensbejelentő(k)  adatkezelő(k)nek  minősült(ek)  vagy  a  tagállami  jog˙˙  szerinti 
"bárki" bejelentőnek minősültek?” 
Válasz:  2022  novemberében,  miután  az  Ügyfél  értesítette  az  adatkezelőket,  vagyis  a 
tankerületi  központokat  az  incidensről,  azok  egyenként  mindannyian  –  azonos  tartalmú  - 
incidensbejelentéssel  éltek  a  Hatóság  felé.  Az  Ügyfél  szintén  bejelentette  az  incidenst  a 
Hatóságnak (ld. a határozat megállapításait). 
 
„III.  A  kötelezően  alkalmazandó  jogban  (1.)˙  és  2.)˙˙)  nevezett  jogalanyok  /  kötelezettek  - 
beleértve  magát  a  Hatóságot  is  -  mindent  a  jognak  (pl.  (1.)˙  és  2.)˙˙)  megfelelően  tettek, 
minden a jogban (1.)˙ és 2.)˙ előírtat megtettek?” 
Válasz:  A  Hatóság  az  Ügyfelet  ért  adatvédelmi  incidens  ügyében  adatvédelmi  hatósági 
eljárást  folytatott  le,  2023  decemberében  NAIH-1245-29/2023  számon  meghozta  a 
határozatát, ennek megállapításait a Hatóság honlapján, az alábbi linken olvashatja:  
https://www.naih.hu/hatarozatok-vegzesek  
 
„IV. Vizsgálta a Hatóság a következő nyilvános közadatot, amelyről ezt írta: "Adatkezelési 
tájékoztató 
az 
eKréta 
rendszerre 
vonatkozóan 

https://tudasbazis.ekreta.hu/pages/viewpage.action?pageId=4064926 
elektronikus 
elérhetőségen 
érhető 
el." 
(http://kimittud.hu/request/2022_oszi_kreta_adatvedelmi_inci#incoming-33412)?” 
…………………………………………………………………………………………………………………………………………………. 
1055 Budapest 
Tel.: +36 1 391-1400 
naih.hu/adatkezelesi-tajekoztatok 
Falk Miksa utca 9-11. 
KR ID: 429616918 
[email protected] 
 
Válasz: Az Ügyfél adatkezelési tájékoztatóját is megvizsgálta a Hatóság az eljárás során, 
de arra vonatkozóan nem tartalmaz a határozat megállapításokat.  
 
Budapest, elektronikus aláírás szerint 
Üdvözlettel:  
Dr. habil. Péterfalvi Attila 
elnök, c. egyetemi tanár