Kréta: Gondviselő vagy törvényes képviselő? Tanuló vallása?
Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!
Azt az információt, adatot igényelem, hogy 2024. március 7-ig bármikor vizsgálta-e a Kréta rendszerben kezelt, tanuló
a) gondviselője és
b) vallása
személyes adatok kezelésének jogszerűségét vagy jogellenességét.
Tájékoztatom, hogy
- a "gondviselő"-t az Alkotmánnyal˙ 2012. január 1-től eltörölték,
- határozata˙˙˙ szerint kb. 1.87 millió "gondviselő" volt / van a Kréta rendszerben,
- a tanuló vallása különleges személyes adat˙˙˙˙,
- a tanuló személyes adatainak kezelésére a köznevelési törvény˙˙˙˙ adott és ad felhatalmazást,
- a Ptk.˙˙ törvény, mely a kiskorú tanuló törvényes képviseletét meghatározza.
Segítő együttműködését előre is köszönöm.
Kelt: 2024. március 7.
Üdvözlettel:
Kiss László
˙ Alkotmány (2011. XII. 31-ig)
https://njt.hu/jogszabaly/1949-20-00-00 :
70/J. § A Magyar Köztársaságban a szülők, gondviselők kötelesek kiskorú gyermekük taníttatásáról gondoskodni.
˙˙Ptk. (2014. III. 15-től)
https://njt.hu/jogszabaly/2013-5-00-00 :
2:43. § [Nevesített személyiségi jogok]
A személyiségi jogok sérelmét jelenti különösen
e) a magántitokhoz és a személyes adatok védelméhez való jog megsértése;
2:54. § [A személyiségi jogok érvényesítése]
(1) A személyiségi jogokat személyesen lehet érvényesíteni.
(2) A korlátozottan cselekvőképes kiskorú és a cselekvőképességében részlegesen korlátozott személy a személyiségi jogai védelmében önállóan felléphet.
A cselekvőképtelen személyiségi jogainak védelmében törvényes képviselője léphet fel.
˙˙˙NAIH határozat
file:///C:/Users/docto/Downloads/NAIH-1245-29-2023-hatarozat.pdf :
"az Ügyfél vagy Kötelezett megjelölés alatt a 2023. április 20. napját megelőző
tényállási elemekre vonatkozóan a Hatóság az
eKRÉTA Informatikai Zrt.-t, azt követően az
Educational Development Informatikai Zrt.-t érti.
A névváltozástól eltekintve a Kötelezett egyéb adatai (székhely, cégjegyzékszám, adószám) a tárolt cégkivonat alapján változatlanok maradtak."
"az Ügyfél a KRÉTA rendszerben tárolt jelszavakon kívül minden, a KRÉTA
rendszerben tárolt adathoz hozzáfér, melyek:
... gondviselő... törvényes képv-e ... Kötelezően kitöltendő"
"Az éles KRÉTA rendszerben az Ügyfél tájékoztatása szerint összesen kb. 225 ezer
alkalmazott, másfélmillió diák és 1.87 millió gondviselő személyes adata található meg. Ez a személyes adatok mennyiségét illetően az alkalmazottak esetében ~6.5 millió, diákok esetében ~47 millió, gondviselők esetében pedig ~7.5 millió adatot jelent (az adatok töltöttsége folyamatosan változik a felhasználók és az intézmények adattöltési szokásai és a beés kiiratkozások alapján). A KRÉTA rendszerben megjelenő adatkörökhoz a felhasználók nem minden esetben rögzítenek adatot, amennyiben az adott mező kitöltése nem kötelező."
"101.Kulcsfontosságú a Kötelezett által alkalmazott adatbiztonsági beállítások, és a Kötelezett incidenskezelési intézkedéseinek a Hatóság általi értékelése során, hogy a KRÉTA rendszer éles és teszt adatbázisai, melyekhez az érintett felhasználónak is volt hozzáférése, az összes tanuló, pedagógus, gondviselő személyes adatait tartalmazzák (ld. 59-60. bekezdésekben szereplő táblázatok), ezek között ráadásul van számos olyan, melyek nyilvánosságra kerülése az érintettet különösen hátrányosan érintheti, pl. küzd-e a tanuló beilleszkedési, tanulási, magatartási, nevelési nehézséggel; sajátos nevelési igényű-e; államilag gondozott-e; részesül-e szociális támogatásban vagy rendszeres gyermekvédelmi kedvezményben. Bár nem kötelező elem, de akár a tanuló vallása is megjelenhet a KRÉTA rendszerben. A KRÉTA rendszerben ráadásul a személyes adatok nagyszámú érintettre kiterjedően és nagy mennyiségben kerülnek tárolásra: kb. 225 ezer alkalmazott, másfélmillió diák és 1.87 millió gondviselő személyes adata található meg a rendszerben. Ez a személyes adatok mennyiségét illetően összesen az alkalmazottak esetében~6.5 millió, diákok esetében ~47 millió, gondviselők esetében pedig ~7.5 millió személyes adatot jelent."
"II. Alkalmazott jogszabályi rendelkezések
77. Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 99. §-a alapján a hatóság – a hatáskörének keretei között – ellenőrzi a jogszabályban foglalt rendelkezések betartását, valamint a végrehajtható döntésben foglaltak teljesítését.
78. Az általános adatvédelmi rendelet 2. cikk (1) bekezdése alapján az adatvédelmi incidenssel érintett adatkezelésre az általános adatvédelmi rendeletet kell alkalmazni.
79. Az általános adatvédelmi rendelet 4. cikk 12. pontja határozza meg, hogy mi minősül adatvédelmi incidensnek, ez alapján „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
80. Az általános adatvédelmi rendelet (75) és (76) Preambulum bekezdése értelmében a természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki. Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni."
"85. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény..."
"86. Az Ákr. ..."
˙˙˙˙Infotv.:
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
5. § (2) Különleges adat
a) az (1) bekezdés c)–d) pontjában meghatározottak szerint, vagy
b) akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli.
(3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.
Tisztelt Címzett!
Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!
Üdvözlettel:
NAIH Ügyfélszolgálat