Az OH az állami iskolák adatfeldolgozója?
Tisztelt Oktatási Hivatal!
Az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.
Kérem, közfeladatával, tevékenységével kapcsolatban szíveskedjen megválaszolni azt a kérdést, hogy az Oktatási Hivatal csak a Közép-Budai Tankerületi Központ fenntartásában működő állami iskoláknak adatfeldolgozója-e, vagy az összes tankerületi, állami iskolának is adatfeldolgozója.
Tájékoztatom, hogy a GDPR alapján „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
A KBTK iskolái adatkezelési tevékenységeinek GDPR alapján kötelező nyilvántartása alapján az adatkezelő iskolák nevében az "Oktatási Hivatal, KIR rendszer" kezeli az iskolák Krétában gyűjtött adatait.
Például ezt a közzétett nyilvántartást a Rózsadombi Általános Iskola intézményvezetője írta alá:
https://rozsadombiiskola.hu/wp-content/u...
De a többi KBTK intézményvezető is ugyanezt írta alá.
GDPR 28. cikk
Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság - a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően - általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) A felügyeleti hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
29. cikk
Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
Segítő együttműködését előre is köszönöm.
Kelt: 2024. január 26.
Üdvözlettel:
Kiss László
Tisztelt Kiss László!
Az Oktatási Hivatalhoz érkezett megkeresésére hivatkozva a következőkről tájékoztatom.
Az Oktatási Hivatalról szóló 121/2013. (IV. 26.) Korm. rendelet 3. § c) pontja alapján a Kormány az Oktatási Hivatalt jelölte ki a köznevelési információs rendszer (a továbbiakban: KIR) adatkezelői feladatai ellátására.
A nemzeti köznevelésről szóló törvény végrehajtásáról szóló 229/2012. (VIII. 28.) Korm. rendelet (a továbbiakban: Nkt. vhr.) 1. § (1) bekezdése értelmében a KIR hatósági és szakmai tevékenységeket kiszolgáló, az Oktatási Hivatal által működtetett elektronikus alkalmazások, adatállományok, dokumentációk adatbázisa, valamint országos statisztikai és jogosultság alapú adatszolgáltatási rendszer. A KIR szakmai rendszerekből, azokat kiszolgáló, támogató segédprogramokból és alrendszerekből, továbbá a köznevelésért felelős miniszter által használt alkalmazásokból épül fel.
Az Oktatási Hivatal által a KIR részeként működtetett rendszereket az Nkt. vhr. sorolja fel, a személyes adatokat is tartalmazó, az oktatási nyilvántartás alrendszereként működtetett KIR rendszerekről az oktatási nyilvántartásról szóló 2018. évi LXXXIX. törvény (a továbbiakban: Onytv.) rendelkezik. A köznevelési intézményeknek az általuk nyilvántartott adatok alapján az oktatási nyilvántartás, valamint a KIR egyes alrendszerei felé történő adatszolgáltatási kötelezettségéről a nemzeti köznevelésről szóló 2011. évi CXC. törvény 41. § (1) bekezdése rendelkezik, részletesen pedig az Onytv. és az Nkt. vhr. szabályozza.
Tisztelettel:
Oktatási Hivatal
-----Original Message-----
From: Kiss László <[FOI #24051 email]>
Sent: Friday, January 26, 2024 3:04 PM
To: Adatvédelem <[Oktatási Hivatal request email]>
Subject: Közérdekűadat igénylés - Az OH az állami iskolák adatfeldolgozója?
Kedves Kolléga!
Az alábbi email az Oktatási Hivatal hálózatán kívüli forrásból érkezett, kérjük legyen óvatos a linkekkel és csatolmányokkal!
Tisztelt Oktatási Hivatal!
Az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.
Kérem, közfeladatával, tevékenységével kapcsolatban szíveskedjen megválaszolni azt a kérdést, hogy az Oktatási Hivatal csak a Közép-Budai Tankerületi Központ fenntartásában működő állami iskoláknak adatfeldolgozója-e, vagy az összes tankerületi, állami iskolának is adatfeldolgozója.
Tájékoztatom, hogy a GDPR alapján „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
A KBTK iskolái adatkezelési tevékenységeinek GDPR alapján kötelező nyilvántartása alapján az adatkezelő iskolák nevében az "Oktatási Hivatal, KIR rendszer" kezeli az iskolák Krétában gyűjtött adatait.
Például ezt a közzétett nyilvántartást a Rózsadombi Általános Iskola intézményvezetője írta alá:
https://rozsadombiiskola.hu/wp-content/u...
De a többi KBTK intézményvezető is ugyanezt írta alá.
GDPR 28. cikk
Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság - a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően - általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) A felügyeleti hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
29. cikk
Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
Segítő együttműködését előre is köszönöm.
Kelt: 2024. január 26.
Üdvözlettel:
Kiss László
-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #24051 email]
Is [Oktatási Hivatal request email] the wrong address for Közérdekűadat requests to Oktatási Hivatal? If so, please contact us using this form:
http://kimittud.hu/change_request/new?bo...
Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers
Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.
-------------------------------------------------------------------
Tisztelt KRÉTA Adatfeldolgozója!
Köszönöm, hogy megerősítette, hogy az Oktatási Hivatal a KRÉTA-adatok adatfeldolgozója, valamint az iskolák a KIR adatkezelői.
------------------------------------------------------------------------------------------------------
További iskolai példa:
https://drive.google.com/file/d/1ZJJlT8A...
"Budapest II. Kerületi Móricz Zsigmond Gimnázium
Szervezeti és Működési Szabályzata
OM azonosító: 037775
Érvényes: 2020. szeptember 01-tőll1
Jóváhagyta:
Hajnissné Anda Éva
Közép-Budai Tankerületi igazgató
Elfogadta:
A Budapest II. Kerületi Móricz Zsigmond
Gimnázium nevelőtestülete
1
2022. szeptember 30 án adatvédelmi szabályzattal kiegészített; a szabályzat az SZMSZ 17.5. számú mellékletét képezi"
...
162. oldal:
"ADATFELDOLGOZÁS
Az Nkt. 41. § (1) bekezdése értelmében a köznevelési intézmény és a köznevelési feladatot ellátó
nem köznevelési intézmény köteles a jogszabályban előírt nyilvántartásokat vezetni, a köznevelés
információs rendszerébe (KIR) bejelentkezni. A KIR a köznevelés feladataiban közreműködők
által szolgáltatott adatokra épülő, országos, elektronikus nyilvántartási és adatszolgáltatási
rendszer.
Adatfeldolgozói minőségében az alábbi jogszabályok alapján jogosult részt venni az
adatkezelésben:
- 2011. évi CXC. törvény a nemzeti köznevelésről 41. § (1)
- 229/2012. (VIII. 28.) Korm. rendelet a nemzeti köznevelésről szóló törvény
végrehajtásáról 1-3/A. §
- 2018. évi LXXXIX. törvény az oktatási nyilvántartásról 4. § (1) a), (6) a), 6. § (1)
és 1. melléklet
- 121/2013. (IV. 26.) Korm. rendelet az Oktatási Hivatalról 3. §
Oktatási Hivatal, KIR rendszer
Adatfeldolgozó neve: Oktatási Hivatal
Székhely: 1055 Budapest, Szalay utca 10-14.
Levelezési cím: 1363 Budapest, Pf. 19.
Elektronikus elérhetőség: [email address]
Központi telefonszám: (36-1) 374-2100
Budapest, 2022. november 25.
.........................................................................
Veleczki Viktória
intézményvezető"
-----------------------------------------------------------------------------------------------------------
Üdvözlettel:
Kiss László