![](./foiextract20240618-347259-fszs6f-1_2.png)
Dr. Péterfalvi Attila András
Ügyiratszám: NAIH- 4590-2/2024
Adatigénylő
részére
[email protected]
Tárgy: Közérdekű adatigénylés
Tisztelt Adatigénylő!
Az Ön 2024. február 25-én elektronikus levélben a Nemzeti Adatvédelmi és
Információszabadság Hatósághoz (a továbbiakban: Hatóság) a KiMitTud felületén 16:12-kor
benyújtott közérdekű adatigénylésére a Hatóság az alábbi választ adja:
„I. Sikerült eldöntenie a Hatóságnak a 2022. évben indult KRÉTA-incidens esetében, hogy
ki(k)
minősült(ek)
adatkezelő(k)nek,
adatfeldolgozó(k)nak
a
KRÉTA-adatok
vonatkozásában?”
Válasz: A 2022 őszi, az Educational Development Informatikai Zrt.-t (korábbi nevén:
eKRÉTA Informatikai Zrt.) (a továbbiakban: Ügyfél) ért adatvédelmi incidens ügyében az
Ügyfél az eljárás során tett nyilatkozatai szerint a KRÉTA rendszer vonatkozásában
adatfeldolgozónak tekintendő, a KRÉTA rendszert használó intézményekkel vagy
fenntartóikkal megkötött KRÉTA rendszerre vonatkozó Szoftvertermék szolgáltatási
szerződés (vagy vállalkozási szerződés) és a hozzájuk kapcsolódó adatfeldolgozási
szerződés alapján (ld. a határozat 37-38. pontjai). Ezen minősítést a Hatóság nem bírálta
felül az eljárás során. Az eljárás keretében a Hatóság elsősorban az Ügyfél által az
incidens időpontjában alkalmazott adatbiztonsági beállításokat, valamint az incidens
kezelése során tett intézkedéseket vizsgálta.
„II. Az incidensbejelentő(k) adatkezelő(k)nek minősült(ek) vagy a tagállami jog˙˙ szerinti
"bárki" bejelentőnek minősültek?”
Válasz: 2022 novemberében, miután az Ügyfél értesítette az adatkezelőket, vagyis a
tankerületi központokat az incidensről, azok egyenként mindannyian – azonos tartalmú -
incidensbejelentéssel éltek a Hatóság felé. Az Ügyfél szintén bejelentette az incidenst a
Hatóságnak (ld. a határozat megállapításait).
„III. A kötelezően alkalmazandó jogban (1.)˙ és 2.)˙˙) nevezett jogalanyok / kötelezettek -
beleértve magát a Hatóságot is - mindent a jognak (pl. (1.)˙ és 2.)˙˙) megfelelően tettek,
minden a jogban (1.)˙ és 2.)˙ előírtat megtettek?”
Válasz: A Hatóság az Ügyfelet ért adatvédelmi incidens ügyében adatvédelmi hatósági
eljárást folytatott le, 2023 decemberében NAIH-1245-29/2023 számon meghozta a
határozatát, ennek megállapításait a Hatóság honlapján, az alábbi linken olvashatja:
https://www.naih.hu/hatarozatok-vegzesek „IV. Vizsgálta a Hatóság a következő nyilvános közadatot, amelyről ezt írta: "Adatkezelési
tájékoztató
az
eKréta
rendszerre
vonatkozóan
a
https://tudasbazis.ekreta.hu/pages/viewpage.action?pageId=4064926
elektronikus
elérhetőségen
érhető
el."
(http://kimittud.hu/request/2022_oszi_kreta_adatvedelmi_inci#incoming-33412)?”
………………………………………………………………………………………………………………………………………………….
1055 Budapest
Tel.: +36 1 391-1400
naih.hu/adatkezelesi-tajekoztatok
Falk Miksa utca 9-11.
KR ID: 429616918
[email protected]
Válasz: Az Ügyfél adatkezelési tájékoztatóját is megvizsgálta a Hatóság az eljárás során,
de arra vonatkozóan nem tartalmaz a határozat megállapításokat.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár
2