Tankerületi adatgyűjtés jogszerűsége

Az igénylés sikeres volt.

Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!

Az információs önrendelkezési jogról és az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.

Kérem, szíveskedjen elektronikus másolatban megküldeni részemre, ha volt, illetve van olyan, az alábbi adatkezelő alábbi adatkezelése jogalapjával kapcsolatos közérdekű bejelentés(ek) adatait, személyes adatok nélkül.

Tankerületi Központ
Köznevelési Regisztrációs és Tanulmányi Alaprendszer KRÉTA
nevű nyilvántartása leíró adatai:
elektronikus rendszer tanügy-igazgatási, adminisztrációs és oktatásmenedzsment feladatok ellátása,
közfeladat ellátása - az állami köznevelési közfeladat ellátásában részt vevő szervekről, valamint a Klebelsberg Központról szóló 134/2016. (VI.10.) Korm.
Rend. 8/A.§
tanuló adatai esetében 10 év, dolgozói adatok esetében 5 év
iskolai tanulók és dolgozók
A 20/2012. (VIII.31.) EMMI rendelet szerinti tanügyi nyilvántartások adatai, azon belül a jogszabályi alapul megjelölt rendelet.

Azaz volt-e olyan közérdekű bejelentés, amely bármely tankerületi központ adatkezelő rendeletre alapozott adatkezelésére hívta fel a Hatóság figyelmét, és milyen adatok keletkeztek a bejelentés nyomán?

Az alkalmazandó jogszabály:
Az általános adatvédelmi rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
6. cikk
Az adatkezelés jogszerűsége
(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az
alábbiak egyike teljesül:
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának
keretében végzett feladat végrehajtásához szükséges.
(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása
érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák azadatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az
adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben
meghatározott egyéb konkrét adatkezelési helyzeteket is.

Az (1) bekezdés c) és e) pontjának való megfelelés céljából bevezetett konkrétabb rendelkezések, amelyekben pontosabban meghatározott, azadatkezelésre vonatkozó konkrét követelmény:
a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
2. § (2) szerint -
Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet az 5. § (3) bekezdésében meghatározott kiegészítésekkel kell alkalmazni.
- KÖTELEZŐ
5. § (3) bekezdése alapján az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a
kezelendő adatok fajtáit,
az adatkezelés célját és feltételeit,
az adatok megismerhetőségét,
az adatkezelő személyét,
valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát
az adatkezelést elrendelő TÖRVÉNY, illetve önkormányzati rendelet határozza meg.

Azaz egyértelmű, hogy a kötelezően kezelendő adat fajtáját, adatkezelő személyét rendelet nem határozhatja meg, kizárólag TÖRVÉNY (vagy ÖNKORMÁNYZATI rendelet).

Segítő együttműködését előre is köszönöm.

Kelt: 2023. november 7.

Üdvözlettel:

Kiss László

Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!

Kérem annak az ismeretnek a szíves rendelkezésemre bocsátását is, hogy volt-e
olyan közérdekű bejelentés tankerületi központ fenntartó és / vagy szakképzési centrum fenntartó adatkezelésével kapcsolatban, amely arra hívta fel a Hatóság figyelmét, hogy az adatkezelő által közzétett jogalap (törvény) nem a tankerületi központ fenntartó és / vagy szakképzési centrum fenntartó személyét, hanem a fenntartó fenntartásában lévő intézményt határozta meg mint az Infotv. 5. § (3)-ban foglalt adatkezelő személyét.

Az alkalmazandó jogszabály:
Az (1) bekezdés c) és e) pontjának való megfelelés céljából bevezetett konkrétabb rendelkezés, abban pontosabban meghatározott, az adatkezelésre vonatkozó konkrét követelmény:
a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
2. § (2) szerint -
Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet az 5. § (3) bekezdésében meghatározott kiegészítésekkel kell alkalmazni.
- KÖTELEZŐ
5. § (3) bekezdése alapján az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a
kezelendő adatok fajtáit,
az adatkezelés célját és feltételeit,
az adatok megismerhetőségét,
az adatkezelő személyét,
valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát
az adatkezelést elrendelő TÖRVÉNY, illetve önkormányzati rendelet határozza meg.

Segítő együttműködését előre is köszönöm.

Kelt: 2023. november 8.

Üdvözlettel:

Kiss László

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

1 Melléklet

 

 

Tisztelt Címzett!

 

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság
levelét!

 

Üdvözlettel:

 

NAIH Ügyfélszolgálat

 

Tisztelt NAIH!

A NAIH-tól köszönettel megkaptam az alábbi felhívást:

Tárgy: Felhívás az adatigénylés pontosítására
Tisztelt Adatigénylő!
Ön 2023. november 8-án elektronikus levél útján közérdekű adatigényléssel fordult a Nemzeti
Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság).
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 28. § (3) bekezdése1 alapján kérem, hogy az adatigénylését szíveskedjék az
alábbiak tekintetében pontosítani:
1. Az általános adatvédelmi rendelet2 2018. május 25-ét követően történt kötelező
alkalmazandóságára is figyelemmel, mely időintervallumra vonatkozóan kéri közérdekű
adatigénylésének a teljesítését?
2. Az adatigénylés első mondatában megfogalmazott „közérdekű bejelentés” alatt a
panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével
összefüggő szabályokról szóló 2023. évi XXV. törvény (2023. május 25-ét megelőzően a
panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) 1. § (3)
bekezdése vagy az Infotv. 52. § (1) bekezdése szerinti bejelentést érti-e?
3. Az adatigénylés első mondatában megfogalmazott „jogalap” alatt azt érti-e, hogy a bejelentő
azt sérelmezte, hogy rendeleti szintű szabályozáson alapul az adatkezelés?
4. Pontosan milyen dokumentumok másolatainak a megküldését kéri a Hatóságtól?
Tájékoztatom, hogy az adatszolgáltatást a Hatóság a kérelem pontosításának beérkezését
követően teljesíti az Infotv. 29. § rendelkezései szerint meghatározott törvényi határidőn belül.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár

1
Infotv. 28. § (3) Ha az adatigénylés nem egyértelmű, az adatkezelő felhívja az igénylőt az igény
pontosítására.
2 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásának, valamint a 95/46/EK
irányelv hatályon kívül helyezéséről

Adatigénylésem:

"Kérem, szíveskedjen elektronikus másolatban megküldeni részemre, ha volt, illetve van olyan, az alábbi adatkezelő (tankerületi központ) alábbi adatkezelése (Kréta) jogalapjával kapcsolatos közérdekű bejelentés(ek) adatait, személyes adatok nélkül.

Azaz volt-e olyan közérdekű bejelentés, amely bármely tankerületi központ adatkezelő rendeletre alapozott adatkezelésére hívta fel a Hatóság figyelmét, és milyen adatok keletkeztek a bejelentés nyomán?"

A felhívásnak megfelelően pontosítok:

1. Az általános adatvédelmi rendelet 2018. május 25-ét követően történt kötelező
alkalmazandóságára is figyelemmel a 2018. május 25 és 2023. adatigénylés elintézése napja közötti időszakra vonatkozóan kérem közérdekű adatigénylésem teljesítését.

2. Adatigénylésemet a
panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével
összefüggő szabályokról szóló 2023. évi XXV. törvény (2023. május 25-ét megelőzően a
panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) és az Infotv. szerinti kezdőiratra pontosítom, mellyelel kapcsolatban a NAIH bármilyen tevékenységet folytatott.

3. Az adatigénylés első mondatában megfogalmazott „jogalap” alatt a jogszabályban meghatározott „jogalapot" értem.
Adatigénylésemet a tárgyi adatkezelésnek a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
2. § (2) szerint -
Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet az 5. § (3) bekezdésében meghatározott kiegészítésekkel kell alkalmazni.
- KÖTELEZŐ
5. § (3) bekezdésben az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) tekintetében meghatározott
kezelendő adatok fajtáival,
az adatkezelés céljával és feltételeivel,
az adatkezelés törvényi vagy rendeleti jogalapjával,
az adatok megismerhetőségével,
az adatkezelő személyével,
valamint az adatkezelés időtartamával és / vagy
az adatkezelés szükségessége időszakos felülvizsgálatával
kapcsolatos problémára pontosítom.

4. Pontosan milyen dokumentumok másolatainak a megküldését kérem a Hatóságtól?
A kezdőiratra a NAIH által végzett tevékenység közadatait tartalmazó közirat adategyüttesek minden közadata megismerhetőségének biztosítását kérem, úgy ahogy azt a NAIH biztosíthatja, biztosítani tudja. Természetesen nem kérem a "panaszos", írásban vagy szóban "bejelentő", "kérelmező", "beadványozó", "levélíró", stb. természetes személy nevét és egyetlen személyes adatát sem.

Nem járulok hozzá nevem válasziratban történő kezeléséhez, annak sem célját, sem értelmét nem találom.

Üdvözlettel:

Kiss László

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

1 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Thursday, November 16, 2023 2:36 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-9314-2/2023

Tisztelt NAIH!

A NAIH-tól köszönettel megkaptam az alábbi felhívást:

Tárgy: Felhívás az adatigénylés pontosítására Tisztelt Adatigénylő!
Ön 2023. november 8-án elektronikus levél útján közérdekű adatigényléssel fordult a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság).
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 28. § (3) bekezdése1 alapján kérem, hogy az adatigénylését szíveskedjék az alábbiak tekintetében pontosítani:
1. Az általános adatvédelmi rendelet2 2018. május 25-ét követően történt kötelező alkalmazandóságára is figyelemmel, mely időintervallumra vonatkozóan kéri közérdekű adatigénylésének a teljesítését?
2. Az adatigénylés első mondatában megfogalmazott „közérdekű bejelentés” alatt a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény (2023. május 25-ét megelőzően a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) 1. § (3) bekezdése vagy az Infotv. 52. § (1) bekezdése szerinti bejelentést érti-e?
3. Az adatigénylés első mondatában megfogalmazott „jogalap” alatt azt érti-e, hogy a bejelentő azt sérelmezte, hogy rendeleti szintű szabályozáson alapul az adatkezelés?
4. Pontosan milyen dokumentumok másolatainak a megküldését kéri a Hatóságtól?
Tájékoztatom, hogy az adatszolgáltatást a Hatóság a kérelem pontosításának beérkezését követően teljesíti az Infotv. 29. § rendelkezései szerint meghatározott törvényi határidőn belül.
Budapest, elektronikus aláírás szerint
Üdvözlettel:
Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár

1
Infotv. 28. § (3) Ha az adatigénylés nem egyértelmű, az adatkezelő felhívja az igénylőt az igény pontosítására.
2 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásának, valamint a 95/46/EK irányelv hatályon kívül helyezéséről

Adatigénylésem:

"Kérem, szíveskedjen elektronikus másolatban megküldeni részemre, ha volt, illetve van olyan, az alábbi adatkezelő (tankerületi központ) alábbi adatkezelése (Kréta) jogalapjával kapcsolatos közérdekű bejelentés(ek) adatait, személyes adatok nélkül.

Azaz volt-e olyan közérdekű bejelentés, amely bármely tankerületi központ adatkezelő rendeletre alapozott adatkezelésére hívta fel a Hatóság figyelmét, és milyen adatok keletkeztek a bejelentés nyomán?"

A felhívásnak megfelelően pontosítok:

1. Az általános adatvédelmi rendelet 2018. május 25-ét követően történt kötelező alkalmazandóságára is figyelemmel a 2018. május 25 és 2023. adatigénylés elintézése napja közötti időszakra vonatkozóan kérem közérdekű adatigénylésem teljesítését.

2. Adatigénylésemet a
panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény (2023. május 25-ét megelőzően a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) és az Infotv. szerinti kezdőiratra pontosítom, mellyelel kapcsolatban a NAIH bármilyen tevékenységet folytatott.

3. Az adatigénylés első mondatában megfogalmazott „jogalap” alatt a jogszabályban meghatározott „jogalapot" értem.
Adatigénylésemet a tárgyi adatkezelésnek a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 2. § (2) szerint - Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet az 5. § (3) bekezdésében meghatározott kiegészítésekkel kell alkalmazni.
- KÖTELEZŐ
5. § (3) bekezdésben az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) tekintetében meghatározott kezelendő adatok fajtáival, az adatkezelés céljával és feltételeivel, az adatkezelés törvényi vagy rendeleti jogalapjával, az adatok megismerhetőségével, az adatkezelő személyével, valamint az adatkezelés időtartamával és / vagy az adatkezelés szükségessége időszakos felülvizsgálatával kapcsolatos problémára pontosítom.

4. Pontosan milyen dokumentumok másolatainak a megküldését kérem a Hatóságtól?
A kezdőiratra a NAIH által végzett tevékenység közadatait tartalmazó közirat adategyüttesek minden közadata megismerhetőségének biztosítását kérem, úgy ahogy azt a NAIH biztosíthatja, biztosítani tudja. Természetesen nem kérem a "panaszos", írásban vagy szóban "bejelentő", "kérelmező", "beadványozó", "levélíró", stb. természetes személy nevét és egyetlen személyes adatát sem.

Nem járulok hozzá nevem válasziratban történő kezeléséhez, annak sem célját, sem értelmét nem találom.

Üdvözlettel:

Kiss László

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

1 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Wednesday, November 8, 2023 4:24 PM
To: KözAdat requests at NAIH <[NAIH request email]>
Subject: Re: Közérdekűadat igénylés - Tankerületi adatgyűjtés jogszerűsége

Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!

Kérem annak az ismeretnek a szíves rendelkezésemre bocsátását is, hogy volt-e

olyan közérdekű bejelentés tankerületi központ fenntartó és / vagy szakképzési centrum fenntartó adatkezelésével kapcsolatban, amely arra hívta fel a Hatóság figyelmét, hogy az adatkezelő által közzétett jogalap (törvény) nem a tankerületi központ fenntartó és / vagy szakképzési centrum fenntartó személyét, hanem a fenntartó fenntartásában lévő intézményt határozta meg mint az Infotv. 5. § (3)-ban foglalt adatkezelő személyét.

Az alkalmazandó jogszabály:

Az (1) bekezdés c) és e) pontjának való megfelelés céljából bevezetett konkrétabb rendelkezés, abban pontosabban meghatározott, az adatkezelésre vonatkozó konkrét követelmény:

a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

2. § (2) szerint -

Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet az 5. § (3) bekezdésében meghatározott kiegészítésekkel kell alkalmazni.

- KÖTELEZŐ

5. § (3) bekezdése alapján az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a

kezelendő adatok fajtáit,

az adatkezelés célját és feltételeit,

az adatok megismerhetőségét,

az adatkezelő személyét,

valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát

az adatkezelést elrendelő TÖRVÉNY, illetve önkormányzati rendelet határozza meg.

Segítő együttműködését előre is köszönöm.

Kelt: 2023. november 8.

Üdvözlettel:

Kiss László

-------------------------------------------------------------------

Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:

[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:

http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

Tisztelt NAIH!

Adatigénylésemre adott válaszában utalt egy hatósági eljárásra ("A gyermeke érdemjegyének rögzítésével összefüggő konkrét szülői panasz kapcsán indult
vizsgálati eljárásban a Hatóság kimondta, hogy a köznevelési intézmények adatkezelőnek, míg
az eKRÉTA Informatikai Zrt. adatfeldolgozónak minősülnek az eKRÉTA használata során."), melyben, ha jól értem, megállapította, hogy a Hatóság szerint az intézmények fenntartói nem adatkezelői a Kréta rendszerben kezelt tanulói adatoknak, azoknak csak az intézmények az adatkezelői.
Kérem, szíveskedjen megadni az eljárása számát vagy megnevezését, ha az nyilvánosan hozzáférhető, vagy elektronikus másolatban igényelem a vizsgálata lezáró dokumentumát.

Üdvözlettel:

Kiss László

Tisztelt NAIH!

Válaszában azt írta, hogy a "Hatóság arra az álláspontra jutott, hogy a köznevelési intézmények által kötelezően igénybe
veendő adatfeldolgozó alkalmazása és az általános adatvédelmi rendelet3 28. cikkének való
megfelelés állami intézkedést igényel, amelyre tekintettel jogszabályalkotásra vonatkozó
ajánlást fogalmazott meg a Belügyminisztérium részére. Kérte a Belügyminisztérium
közreműködését abban, hogy – a fenntartói formától függetlenül – egyértelmű legyen az
érintetti jogok gyakorlása során, hogy az adatkezelő intézmény feladata biztosítani az érintetti
joggyakorlást, nem a fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt
az általános adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell
szabályoznia.
A Hatóság kiemelte továbbá azt is, hogy az adatkezelésről adott tájékoztatásnak is – kitérve
az érintetti jogérvényesítés módjára – igazodnia kell a fenti követelményhez.
Tájékoztatom, hogy fenti ajánlását a Hatóság idén év elején fogalmazta meg a
Belügyminisztérium felé."

Adatigénylés

Kérem a fenti, év eleji ajánlásának és az azzal kapcsolatos, az adatigénylésem 2023. decemberig történő teljesítéséig terjedő időszakban keletkezett, kommunikációnak a szíves megküldését.

Üdvözlettel:

Kiss László

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

2 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Monday, December 4, 2023 12:06 AM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-9353-2/2023

Tisztelt NAIH!

Adatigénylésemre adott válaszában utalt egy hatósági eljárásra ("A gyermeke érdemjegyének rögzítésével összefüggő konkrét szülői panasz kapcsán indult

vizsgálati eljárásban a Hatóság kimondta, hogy a köznevelési intézmények adatkezelőnek, míg

az eKRÉTA Informatikai Zrt. adatfeldolgozónak minősülnek az eKRÉTA használata során."), melyben, ha jól értem, megállapította, hogy a Hatóság szerint az intézmények fenntartói nem adatkezelői a Kréta rendszerben kezelt tanulói adatoknak, azoknak csak az intézmények az adatkezelői.

Kérem, szíveskedjen megadni az eljárása számát vagy megnevezését, ha az nyilvánosan hozzáférhető, vagy elektronikus másolatban igényelem a vizsgálata lezáró dokumentumát.

Üdvözlettel:

Kiss László

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------

Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:

[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:

http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

2 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Monday, December 4, 2023 2:20 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-9353-2/2023

Tisztelt NAIH!

Válaszában azt írta, hogy a "Hatóság arra az álláspontra jutott, hogy a köznevelési intézmények által kötelezően igénybe

veendő adatfeldolgozó alkalmazása és az általános adatvédelmi rendelet3 28. cikkének való

megfelelés állami intézkedést igényel, amelyre tekintettel jogszabályalkotásra vonatkozó

ajánlást fogalmazott meg a Belügyminisztérium részére. Kérte a Belügyminisztérium

közreműködését abban, hogy – a fenntartói formától függetlenül – egyértelmű legyen az

érintetti jogok gyakorlása során, hogy az adatkezelő intézmény feladata biztosítani az érintetti

joggyakorlást, nem a fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt

az általános adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell

szabályoznia.

A Hatóság kiemelte továbbá azt is, hogy az adatkezelésről adott tájékoztatásnak is – kitérve

az érintetti jogérvényesítés módjára – igazodnia kell a fenti követelményhez.

Tájékoztatom, hogy fenti ajánlását a Hatóság idén év elején fogalmazta meg a

Belügyminisztérium felé."

Adatigénylés

Kérem a fenti, év eleji ajánlásának és az azzal kapcsolatos, az adatigénylésem 2023. decemberig történő teljesítéséig terjedő időszakban keletkezett, kommunikációnak a szíves megküldését.

Üdvözlettel:

Kiss László

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------

Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:

[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:

http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

Tisztelt NAIH Ügyfélszolgálat!

Köszönettel olvastam válaszait.
Kérem, szíveskedjen a december 7-én részemre mellékletben megküldött dokumentumot ismét megküldeni, mert annak első oldala hibás, és a szöveg egyik fele nem látható.
A később mellékelt - lenti - dokumentumhoz hasonló formátumban kérem a másolat megküldését.

Üdvözlettel:
Kiss László

Olvasható és másolható melléklet:

Ügyszám: NAIH-1365-1/2023
(NAIH-4667/2022)
dr. Pintér Sándor részére
belügyminiszter
Belügyminisztérium
hivatali kapu útján
Tisztelt Miniszter Úr!
I. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak (a továbbiakban: Hatóság) az
információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 38. § (2) bekezdése alapján a feladata a személyes adatok védelméhez,
valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog
érvényesülésének ellenőrzése és elősegítése. A Hatóság az Infotv. 38. § (4) bekezdésének c)
pontja szerint általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki.
II. A Hatóság egyik ügyének vizsgálata során arra a megállapításra jutott, hogy az eKRÉTA
rendszer esetében gyakorolható érintetti jogérvényesítés során nem egyértelműen válik szét az
adatkezelő és az adatfeldolgozó személye. Egy szülő a gyermeke képviseletében kérelemmel
fordult a Hatósághoz, amely kérelmében előadta, hogy az iskola mint adatkezelő nem tudja a
jogszabályban biztosított hozzáférési jogot biztosítani a személyes adatok tekintetében, az
eKRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) szülők által hozzáférhető
rendszerében, illetve adminisztrációs felületén sem követhető nyomon az érdemjegyek felülírása
és törlése.
A szülő a gyermeke érdemjegyének rögzítésével kapcsolatos adatokat kérte elsőként az iskolától,
majd az eKRÉTA Informatikai Zrt.-től, ugyanis tévesen került beírásra egy félévi érdemjegy a
KRÉTA rendszerbe, amely a féléves osztályozó értekezleten módosításra került.
A szülő pontos és részletes adatokat szeretett volna kérni az érdemjegy módosításának
körülményeiről: konkrétan ki, mikor módosította és ki, mikor törölte érdemjegyet. A szülő
párhuzamosan levelezett az iskolával és az eKRÉTA Informatikai Zrt.-vel. Az iskola – az eKRÉTA
Zrt. tájékoztatására támaszkodva – azt állította, hogy az érdemjegyek módosításáról, annak
időpontjáról nem nyerhető ki információ a rendszerből. Ezt követően a Zrt. nem adott a jegy
felülírására irányuló információt, mivel válaszuk szerint a köznevelési intézményektől lehet ilyen
igényt kérni, ők bocsáthatják a kérelmező rendelkezésre.
A szülő kérte az iskolát, hogy képernyőfotókkal szolgáltasson információt gyermeke összes
történelem tantárgyból kapott jegyének beírásáról, illetve módosításának dátumáról, beleértve a
2
féléves értékelésének megvizsgálását, és a tényleges beírások napjáról. Az iskola ezt megtette,
továbbá megküldte a szülőnek az eKRÉTA üzemeltetőjének részükre adott válaszát, miszerint
megküldött képernyőképen túl információ a rendszerből nem kinyerhető. Az üzemeltető rögzítette
azt is, hogy az e-napló alkalmazás admin felületéről kinyerhető információk egyértelműek és
képernyőfotókkal dokumentáltak. Ezekből egyértelműen kiderül a bejegyzés dátuma (az a tanítási
nap, amelyhez kapcsolóan az adott bejegyzés született), valamint a rögzítés dátuma (annak
időpontja, amikor a bejegyzést az e-naplóban rögzítették.) Az iskola tehát minden, a KRÉTA
rendszerben hozzáférhető adatot átadott a szülőnek, amelyet a rendszer üzemeltetője is
megerősített, miszerint ennél több információt az intézmény nem tud visszafejteni az elektronikus
naplóban.
Ezt követően a szülő az Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási Főosztálytól
kapott választ, miszerint az intézmény fenntartója kérésre részletes tájékoztatást ad a fejlesztő cég
a fenntartó részére, az adatokkal történő bármilyen művelet és annak jellemzői visszakereshető
módon naplózva vannak.
Az intézmény fenntartója és az eKRÉTA Informatikai Zrt. levelezéseit követően a cég a pontos, a
szülő által kért adatokat ki tudta nyerni a rendszerből, majd a fenntartó levélben tájékozatta a
szülőt, hogy a kért információ az üzemeltető cég számára is csak sokadjára, egy mélyebb,
alaposabb, átfogóbb vizsgálat eredményeként került megállapításra.
A cég vezérigazgatója kijelentette, hogy „az eKRÉTA Informatikai Zrt. rendelkezik hozzáférési
jogosultsággal a felhasználók KRÉTA rendszer használatához kapcsolódó naplóállományokhoz,
azzal, hogy az eKRÉTA Informatikai Zrt. a KRÉTA rendszert használó intézmény és/vagy az
intézmény fenntartójának írásbeli kérésére a naplóállományt kiadja”. Az eljárás során azonban az
nyert bizonyítást, hogy a kért adatokhoz az intézmény semmilyen módon nem tud hozzáférni, csak
a fenntartó írásos kérésére és többedik próbálkozásra sikerült adatot szolgáltatnia az
üzemeltetőnek, amely adatokat a fenntartó még az iskolával való egyeztetést követően bocsájtott a
szülő rendelkezésére.
III. A Hatóság megállapítása szerint az eKRÉTA Informatikai Zrt. adatfeldolgozónak, míg a
köznevelési intézmények adatkezelőnek minősülnek az eKRÉTA használata során.
A tanulóról az intézmény által kezelt adatok pontosságáért és az átlátható adatkezelés
biztosításáért1 az adatot rögzítő, azt kezelő köznevelési intézmény a felelős, és adott esetben neki
kell tudnia az adatkezelés jogszerűségét az érintett előtt is igazolnia. Adatkezelői felelőssége
független attól, hogy felette a fenntartó jogokat ki gyakorolja.
Az ügyben a rendszert üzemeltető társaság, illetve a felügyeletet ellátó közigazgatási szerv
tájékoztatása sem volt azonos abban a tekintetben, hogy a kért adathoz történő hozzáférés milyen
módon biztosítható. Az EMMI tájékoztatása szerint a KRÉTA rendszert üzemeltető eKRÉTA
Informatikai Zrt. a fenntartó kérésére biztosítja a kért adatról való tájékoztatást, míg az üzemeltető
nyilatkozata alapján a köznevelési intézmény, illetve annak fenntartója is kérvényezheti az
adatszolgáltatást a naplóállományok adatait érintően, amely állományokhoz való hozzáféréssel az
üzemeltető eKRÉTA Informatikai Zrt. rendelkezik. Végül az intézmény nem, hanem a fenntartó
kapta meg a Zrt. részéről az érintetti kérelem teljesítéséhez szükséges tájékoztatást.
1 GDPR 5. cikk (1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes
eljárás és átláthatóság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az
adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására
(„elszámoltathatóság”).
3
A Hatóság megállapítása alapján az adatnak az adatkezelő részére történő biztosítása minősül az
általános adatvédelmi rendeletnek2 megfelelő gyakorlatnak, mivel az adatkezelő – és nem annak
fenntartója – kötelessége az érintetti kérelmek érvényesítése, amely kérelem teljesítését a 28. cikk
(3) bekezdés e) pontja értelmében az adatfeldolgozó segíti.
A feltárt tényállás szerint az adatkezelő köznevelési intézmény adatfeldolgozói szerződéssel nem
rendelkezett.
A GDPR értelmében az adatfeldolgozó csak az adatkezelő megbízásából végezhet személyes
adat kezelésével járó tevékenységet. Általános esetben az adatkezelő felelős az általa alkalmazott
adatfeldolgozó kiválasztásáért, és annak utasításokkal való ellátásáért.
Az állami fenntartású köznevelési intézményeknek – miközben intézményként adatkezelőnek
minősülnek – nincs önálló döntési jogosultságuk arra nézve, hogy használják-e a rendszert, sem
abban, hogy vesznek-e igénybe adatfeldolgozót, és ha igen, kit választanak.
Így e körben az adatfeldolgozóért való felelősség sem terhelheti őket. Ez vonatkozik az egyéb
fenntartású intézményekre is, amennyiben a tevékenységük folytán kötelesek a KRÉTA rendszer
igénybevételére. Ahogyan a vizsgált esetben az intézményben folyó szakképzés okán, az
intézmény a rendszer használatára az NSZFH-val kötött szerződés útján jogosult, tehát nincs
egyedi szolgáltatási/üzemeltetési szerződése sem.
A Hatóság álláspontja szerint az adatkezelő köznevelési intézmények által kötelezően igénybe
veendő adatfeldolgozó alkalmazása és a 28. cikknek való megfelelés állami intézkedést igényel,
és a GDPR előírásainak figyelembe vételével kellene a minisztériumnak átgondolnia a rendszer
működését, és az azt biztosító jogi aktusokat.
IV. A Hatóság jelen ügyben fontosnak tartja hangsúlyozni, hogy a KRÉTA rendszerben a tanulóról
rögzített – ezek között az ő értékelésére, teljesítményére vonatkozó adatok – a gyermek adatának
minősülnek, az adatkezelés alanya, érintettje3 a gyermek.
Amikor a szülő az Nkt. alapján tájékoztatást kap a gyermeke érdemjegyeiről, értékeléséről4, ekkor
ez nem hozzáférésnek, adatkezelési érintetti jogérvényesítésnek minősül, hanem jogszabályon
alapuló adatszolgáltatásnak, a szülő részére való adatközlés az általános adatvédelmi rendelet 6.
2 a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról,
valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU rendelet (a továbbiakban: általános adatvédelmi rendelet,
vagy GDPR)
3 GDPR 4. cikk 1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ;
azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám,
helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy
szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
4 a nemzeti köznevelésről szóló 2011. évi CXC. törvény (Nkt.)
54. § (1) A pedagógus - a (3) bekezdésben meghatározott kivétellel - a tanuló teljesítményét, előmenetelét tanítási év közben
rendszeresen érdemjeggyel értékeli, félévkor és a tanítási év végén osztályzattal minősíti. A külföldi tartózkodás miatt egyéni
munkarenddel rendelkező tanuló esetében a félévi minősítés az igazgató döntése alapján mellőzhető, ez esetben a tanuló csak az év
végén ad számot tudásáról. A tanuló magatartásának és szorgalmának értékelését és minősítését az osztályfőnök - az osztályban
tanító pedagógusok véleményének kikérésével - végzi. Az érdemjegyekről a tanulót és a kiskorú tanuló szülőjét rendszeresen értesíteni
kell. A félévi és az év végi osztályzatot az érdemjegyek alapján kell meghatározni. Az évközi érdemjegyeket és az év végi
osztályzatokat szóbeli vagy írásbeli szöveges értékelés kíséri. Az iskola az osztályzatról a tanulót és a kiskorú tanuló szülőjét félévkor
értesítő, év végén bizonyítvány útján értesíti. Értesítő gyakrabban is készülhet az intézmény pedagógiai programja szerint. Az
érdemjegy és az osztályzat megállapítása a tanuló teljesítményének, szorgalmának értékelésekor, minősítésekor nem lehet
fegyelmezési eszköz.
72. § A szülő joga különösen, hogy
b) gyermeke fejlődéséről, magaviseletéről, tanulmányi előmeneteléről rendszeresen részletes és érdemi tájékoztatást, neveléséhez
tanácsokat, segítséget kapjon,
4
cikk (1) bekezdés e) pontja szerinti jogalapon alapul. Ugyanakkor az érintett gyermek maga
jogosult az adatkezelés ellenőrzése érdekében a rendszerben tárolt adatokhoz – ide értve a
vizsgált esetben is bemutatott, a félévi osztályzatának utólagos módosítására vonatkozó adathoz –
való hozzáférésre. Az adatkezelési érintetti jogérvényesítés jogát nem változtatja az a tény, hogy
kiskorú esetén ezt a jogot a gyermek nem személyesen, hanem a törvényes képviselője útján
gyakorolhatja5, a gyermeknek a saját adatához való érintetti hozzáférési joga nem a szülő joga,
hanem a gyermeké. A gyermek jogainak fokozott biztosítását pedig az általános adatvédelmi
rendelet is több helyen kifejezetten rögzíti.
A Hatóság ennek okán is kiemelten fontosnak tartja azt, hogy az érintetti joggyakorlás módja az
általános adatvédelmi rendeletnek megfelelő módon rendezett és egyértelmű jogviszonyon és
szabályozáson alapuljon.
V. Az eKRÉTA Zrt. megismert gyakorlata miatt, amely szerint a Zrt. a rendszerében tárolt, a
gyermekre vonatkozó adatokhoz való hozzáférést csak hosszas és egymásnak ellentmondó
nyilatkozatok után biztosította a fenntartó, és nem pedig az adatkezelő köznevelési intézmény
részére, továbbá tekintettel arra, hogy az adatfeldolgozó személyét nem az adatkezelő szabadon
választja, hanem a jogalkotó kötelezően jelöli ki, az alábbi ajánlást teszem az Infotv. 38. § (4)
bekezdésének c) pontja alapján, és a tisztelt Miniszter Úr6 közreműködését kérem annak
egyértelműsítésében, hogy az érintetti jogok gyakorlása során – a fenntartói formától
függetlenül – az adatkezelő intézmény feladata biztosítani az érintetti joggyakorlást, nem a
fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt az általános
adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell
szabályoznia.
Ezen felül az adatkezelésről adott tájékoztatásnak is – kitérve az érintetti jogérvényesítés
módjára – igazodnia kell a fenti követelményekhez, figyelembe véve a gyermekek
érintettségét7.
A Zrt. honlapján fellelhető Adatkezelési tájékoztató8 7. – „A Felhasználót, mint érintettet megillető
jogok” – pontja a GDPR szakaszainak puszta másolása, amely nem ad a rendszer működésére
egyéniesített érthető tájékoztatást az érintetti joggyakorlás tartalmáról, valamint a határozatban és
fent bemutatottak alapján nem a valós helyzetet tükrözi, mert az érintett az ott leírt módon a jogait
az adatkezelő köznevelési intézmény előtt érvényesíteni nem tudta.
5 NAIH-4667-10/2022. sz. határozat 11. old. utolsó előtti bek.
„A Ptk. a 2:43 § e) pontjában személyiségi jogként nevesíti a személyes adatok védelmét. A Ptk. 2:54. § (1) bekezdése szerint a
személyiségi jogokat személyesen lehet érvényesíteni, amelyet tehát az érintett maga gyakorolhat, illetve a Ptk. 2:14. §-a alapján a
kiskorú nevében a törvényes képviselője járhat el, így a gyermek adataihoz való – az általános adatvédelmi rendelet 15. cikkében
részletezett – hozzáférési jogot is ő gyakorolja. Kiskorú törvényes képviselője szülők esetében a Ptk. 4:161. §-a alapján a szülői
felügyeletet gyakorló szülő. A GDPR a szülő fogalma esetén a szülői felügyelet gyakorlóját használja. „
6 A Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet
66. § (1) A belügyminiszter (ezen alcím alkalmazásában a továbbiakban: miniszter) a Kormány
29. köznevelésért,
felelős tagja.
7 általános adatvédelmi rendelet (58) preambulumbekezdés „Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az
érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető
nyelven fogalmazzák meg, illetve - ezen túlmenően - szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható
elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen
olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett
számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például
az online reklámozás esete. Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés
vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek
könnyen megért.”
8 https://tudasbazis.ekreta.hu/pages/viewp...
5
A Hatóság a hatósági eljárás iránti kérelem nyomán a tanulóról nyilvántartott adatokra tett
megállapítást, és a rendszerben kezelt adatokra vonatkozóan a szülők, munkavállalók
adatkezelési érintetti jogait nem vizsgálta, ugyanakkor a problémafelvetés nyomán a teljes
KRÉTA-rendszer felülvizsgálata és a rendszer tekintetében adatkezelő kijelölése válhat
szükségessé.
Az Infotv. 38. § (4) bekezdésének c) pontjának megfelelően kérem szíves intézkedését, és az arról
való tájékoztatást. A Hatóság együttműködik az intézkedés kapcsán szükséges esetleges
egyeztetések során.
A Hatóság a NAIH-4667-10/2022. sz. határozatának anonimizált változatát jelen leveléhez
mellékeli.
Kelt, Budapest, az elektronikus aláírás szerint
Dr. Péterfalvi Attila
elnök
c. egyetemi tanár

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

2 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Saturday, December 16, 2023 12:53 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-10027-2/2023

Tisztelt NAIH Ügyfélszolgálat!

Köszönettel olvastam válaszait.
Kérem, szíveskedjen a december 7-én részemre mellékletben megküldött dokumentumot ismét megküldeni, mert annak első oldala hibás, és a szöveg egyik fele nem látható.
A később mellékelt - lenti - dokumentumhoz hasonló formátumban kérem a másolat megküldését.

Üdvözlettel:
Kiss László

Olvasható és másolható melléklet:

Ügyszám: NAIH-1365-1/2023
(NAIH-4667/2022)
dr. Pintér Sándor részére
belügyminiszter
Belügyminisztérium
hivatali kapu útján
Tisztelt Miniszter Úr!
I. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak (a továbbiakban: Hatóság) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 38. § (2) bekezdése alapján a feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. A Hatóság az Infotv. 38. § (4) bekezdésének c) pontja szerint általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki.
II. A Hatóság egyik ügyének vizsgálata során arra a megállapításra jutott, hogy az eKRÉTA rendszer esetében gyakorolható érintetti jogérvényesítés során nem egyértelműen válik szét az adatkezelő és az adatfeldolgozó személye. Egy szülő a gyermeke képviseletében kérelemmel fordult a Hatósághoz, amely kérelmében előadta, hogy az iskola mint adatkezelő nem tudja a jogszabályban biztosított hozzáférési jogot biztosítani a személyes adatok tekintetében, az eKRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) szülők által hozzáférhető rendszerében, illetve adminisztrációs felületén sem követhető nyomon az érdemjegyek felülírása és törlése.
A szülő a gyermeke érdemjegyének rögzítésével kapcsolatos adatokat kérte elsőként az iskolától, majd az eKRÉTA Informatikai Zrt.-től, ugyanis tévesen került beírásra egy félévi érdemjegy a KRÉTA rendszerbe, amely a féléves osztályozó értekezleten módosításra került.
A szülő pontos és részletes adatokat szeretett volna kérni az érdemjegy módosításának
körülményeiről: konkrétan ki, mikor módosította és ki, mikor törölte érdemjegyet. A szülő párhuzamosan levelezett az iskolával és az eKRÉTA Informatikai Zrt.-vel. Az iskola – az eKRÉTA Zrt. tájékoztatására támaszkodva – azt állította, hogy az érdemjegyek módosításáról, annak időpontjáról nem nyerhető ki információ a rendszerből. Ezt követően a Zrt. nem adott a jegy felülírására irányuló információt, mivel válaszuk szerint a köznevelési intézményektől lehet ilyen igényt kérni, ők bocsáthatják a kérelmező rendelkezésre.
A szülő kérte az iskolát, hogy képernyőfotókkal szolgáltasson információt gyermeke összes történelem tantárgyból kapott jegyének beírásáról, illetve módosításának dátumáról, beleértve a
2
féléves értékelésének megvizsgálását, és a tényleges beírások napjáról. Az iskola ezt megtette, továbbá megküldte a szülőnek az eKRÉTA üzemeltetőjének részükre adott válaszát, miszerint megküldött képernyőképen túl információ a rendszerből nem kinyerhető. Az üzemeltető rögzítette azt is, hogy az e-napló alkalmazás admin felületéről kinyerhető információk egyértelműek és képernyőfotókkal dokumentáltak. Ezekből egyértelműen kiderül a bejegyzés dátuma (az a tanítási nap, amelyhez kapcsolóan az adott bejegyzés született), valamint a rögzítés dátuma (annak időpontja, amikor a bejegyzést az e-naplóban rögzítették.) Az iskola tehát minden, a KRÉTA rendszerben hozzáférhető adatot átadott a szülőnek, amelyet a rendszer üzemeltetője is megerősített, miszerint ennél több információt az intézmény nem tud visszafejteni az elektronikus naplóban.
Ezt követően a szülő az Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási Főosztálytól kapott választ, miszerint az intézmény fenntartója kérésre részletes tájékoztatást ad a fejlesztő cég a fenntartó részére, az adatokkal történő bármilyen művelet és annak jellemzői visszakereshető módon naplózva vannak.
Az intézmény fenntartója és az eKRÉTA Informatikai Zrt. levelezéseit követően a cég a pontos, a szülő által kért adatokat ki tudta nyerni a rendszerből, majd a fenntartó levélben tájékozatta a szülőt, hogy a kért információ az üzemeltető cég számára is csak sokadjára, egy mélyebb, alaposabb, átfogóbb vizsgálat eredményeként került megállapításra.
A cég vezérigazgatója kijelentette, hogy „az eKRÉTA Informatikai Zrt. rendelkezik hozzáférési jogosultsággal a felhasználók KRÉTA rendszer használatához kapcsolódó naplóállományokhoz, azzal, hogy az eKRÉTA Informatikai Zrt. a KRÉTA rendszert használó intézmény és/vagy az intézmény fenntartójának írásbeli kérésére a naplóállományt kiadja”. Az eljárás során azonban az nyert bizonyítást, hogy a kért adatokhoz az intézmény semmilyen módon nem tud hozzáférni, csak a fenntartó írásos kérésére és többedik próbálkozásra sikerült adatot szolgáltatnia az üzemeltetőnek, amely adatokat a fenntartó még az iskolával való egyeztetést követően bocsájtott a szülő rendelkezésére.
III. A Hatóság megállapítása szerint az eKRÉTA Informatikai Zrt. adatfeldolgozónak, míg a köznevelési intézmények adatkezelőnek minősülnek az eKRÉTA használata során.
A tanulóról az intézmény által kezelt adatok pontosságáért és az átlátható adatkezelés
biztosításáért1 az adatot rögzítő, azt kezelő köznevelési intézmény a felelős, és adott esetben neki kell tudnia az adatkezelés jogszerűségét az érintett előtt is igazolnia. Adatkezelői felelőssége független attól, hogy felette a fenntartó jogokat ki gyakorolja.
Az ügyben a rendszert üzemeltető társaság, illetve a felügyeletet ellátó közigazgatási szerv tájékoztatása sem volt azonos abban a tekintetben, hogy a kért adathoz történő hozzáférés milyen módon biztosítható. Az EMMI tájékoztatása szerint a KRÉTA rendszert üzemeltető eKRÉTA Informatikai Zrt. a fenntartó kérésére biztosítja a kért adatról való tájékoztatást, míg az üzemeltető nyilatkozata alapján a köznevelési intézmény, illetve annak fenntartója is kérvényezheti az adatszolgáltatást a naplóállományok adatait érintően, amely állományokhoz való hozzáféréssel az üzemeltető eKRÉTA Informatikai Zrt. rendelkezik. Végül az intézmény nem, hanem a fenntartó kapta meg a Zrt. részéről az érintetti kérelem teljesítéséhez szükséges tájékoztatást.
1 GDPR 5. cikk (1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
3
A Hatóság megállapítása alapján az adatnak az adatkezelő részére történő biztosítása minősül az általános adatvédelmi rendeletnek2 megfelelő gyakorlatnak, mivel az adatkezelő – és nem annak fenntartója – kötelessége az érintetti kérelmek érvényesítése, amely kérelem teljesítését a 28. cikk
(3) bekezdés e) pontja értelmében az adatfeldolgozó segíti.
A feltárt tényállás szerint az adatkezelő köznevelési intézmény adatfeldolgozói szerződéssel nem rendelkezett.
A GDPR értelmében az adatfeldolgozó csak az adatkezelő megbízásából végezhet személyes adat kezelésével járó tevékenységet. Általános esetben az adatkezelő felelős az általa alkalmazott adatfeldolgozó kiválasztásáért, és annak utasításokkal való ellátásáért.
Az állami fenntartású köznevelési intézményeknek – miközben intézményként adatkezelőnek minősülnek – nincs önálló döntési jogosultságuk arra nézve, hogy használják-e a rendszert, sem abban, hogy vesznek-e igénybe adatfeldolgozót, és ha igen, kit választanak.
Így e körben az adatfeldolgozóért való felelősség sem terhelheti őket. Ez vonatkozik az egyéb fenntartású intézményekre is, amennyiben a tevékenységük folytán kötelesek a KRÉTA rendszer igénybevételére. Ahogyan a vizsgált esetben az intézményben folyó szakképzés okán, az intézmény a rendszer használatára az NSZFH-val kötött szerződés útján jogosult, tehát nincs egyedi szolgáltatási/üzemeltetési szerződése sem.
A Hatóság álláspontja szerint az adatkezelő köznevelési intézmények által kötelezően igénybe veendő adatfeldolgozó alkalmazása és a 28. cikknek való megfelelés állami intézkedést igényel, és a GDPR előírásainak figyelembe vételével kellene a minisztériumnak átgondolnia a rendszer működését, és az azt biztosító jogi aktusokat.
IV. A Hatóság jelen ügyben fontosnak tartja hangsúlyozni, hogy a KRÉTA rendszerben a tanulóról rögzített – ezek között az ő értékelésére, teljesítményére vonatkozó adatok – a gyermek adatának minősülnek, az adatkezelés alanya, érintettje3 a gyermek.
Amikor a szülő az Nkt. alapján tájékoztatást kap a gyermeke érdemjegyeiről, értékeléséről4, ekkor ez nem hozzáférésnek, adatkezelési érintetti jogérvényesítésnek minősül, hanem jogszabályon alapuló adatszolgáltatásnak, a szülő részére való adatközlés az általános adatvédelmi rendelet 6.
2 a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU rendelet (a továbbiakban: általános adatvédelmi rendelet, vagy GDPR)
3 GDPR 4. cikk 1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
4 a nemzeti köznevelésről szóló 2011. évi CXC. törvény (Nkt.) 54. § (1) A pedagógus - a (3) bekezdésben meghatározott kivétellel - a tanuló teljesítményét, előmenetelét tanítási év közben rendszeresen érdemjeggyel értékeli, félévkor és a tanítási év végén osztályzattal minősíti. A külföldi tartózkodás miatt egyéni munkarenddel rendelkező tanuló esetében a félévi minősítés az igazgató döntése alapján mellőzhető, ez esetben a tanuló csak az év végén ad számot tudásáról. A tanuló magatartásának és szorgalmának értékelését és minősítését az osztályfőnök - az osztályban tanító pedagógusok véleményének kikérésével - végzi. Az érdemjegyekről a tanulót és a kiskorú tanuló szülőjét rendszeresen értesíteni kell. A félévi és az év végi osztályzatot az érdemjegyek alapján kell meghatározni. Az évközi érdemjegyeket és az év végi osztályzatokat szóbeli vagy írásbeli szöveges értékelés kíséri. Az iskola az osztályzatról a tanulót és a kiskorú tanuló szülőjét félévkor értesítő, év végén bizonyítvány útján értesíti. Értesítő gyakrabban is készülhet az intézmény pedagógiai programja szerint. Az érdemjegy és az osztályzat megállapítása a tanuló teljesítményének, szorgalmának értékelésekor, minősítésekor nem lehet fegyelmezési eszköz.
72. § A szülő joga különösen, hogy
b) gyermeke fejlődéséről, magaviseletéről, tanulmányi előmeneteléről rendszeresen részletes és érdemi tájékoztatást, neveléséhez tanácsokat, segítséget kapjon,
4
cikk (1) bekezdés e) pontja szerinti jogalapon alapul. Ugyanakkor az érintett gyermek maga jogosult az adatkezelés ellenőrzése érdekében a rendszerben tárolt adatokhoz – ide értve a vizsgált esetben is bemutatott, a félévi osztályzatának utólagos módosítására vonatkozó adathoz – való hozzáférésre. Az adatkezelési érintetti jogérvényesítés jogát nem változtatja az a tény, hogy kiskorú esetén ezt a jogot a gyermek nem személyesen, hanem a törvényes képviselője útján gyakorolhatja5, a gyermeknek a saját adatához való érintetti hozzáférési joga nem a szülő joga, hanem a gyermeké. A gyermek jogainak fokozott biztosítását pedig az általános adatvédelmi rendelet is több helyen kifejezetten rögzíti.
A Hatóság ennek okán is kiemelten fontosnak tartja azt, hogy az érintetti joggyakorlás módja az általános adatvédelmi rendeletnek megfelelő módon rendezett és egyértelmű jogviszonyon és szabályozáson alapuljon.
V. Az eKRÉTA Zrt. megismert gyakorlata miatt, amely szerint a Zrt. a rendszerében tárolt, a gyermekre vonatkozó adatokhoz való hozzáférést csak hosszas és egymásnak ellentmondó nyilatkozatok után biztosította a fenntartó, és nem pedig az adatkezelő köznevelési intézmény részére, továbbá tekintettel arra, hogy az adatfeldolgozó személyét nem az adatkezelő szabadon választja, hanem a jogalkotó kötelezően jelöli ki, az alábbi ajánlást teszem az Infotv. 38. § (4) bekezdésének c) pontja alapján, és a tisztelt Miniszter Úr6 közreműködését kérem annak egyértelműsítésében, hogy az érintetti jogok gyakorlása során – a fenntartói formától függetlenül – az adatkezelő intézmény feladata biztosítani az érintetti joggyakorlást, nem a fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt az általános adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell szabályoznia.
Ezen felül az adatkezelésről adott tájékoztatásnak is – kitérve az érintetti jogérvényesítés módjára – igazodnia kell a fenti követelményekhez, figyelembe véve a gyermekek érintettségét7.
A Zrt. honlapján fellelhető Adatkezelési tájékoztató8 7. – „A Felhasználót, mint érintettet megillető jogok” – pontja a GDPR szakaszainak puszta másolása, amely nem ad a rendszer működésére egyéniesített érthető tájékoztatást az érintetti joggyakorlás tartalmáról, valamint a határozatban és fent bemutatottak alapján nem a valós helyzetet tükrözi, mert az érintett az ott leírt módon a jogait az adatkezelő köznevelési intézmény előtt érvényesíteni nem tudta.
5 NAIH-4667-10/2022. sz. határozat 11. old. utolsó előtti bek.
„A Ptk. a 2:43 § e) pontjában személyiségi jogként nevesíti a személyes adatok védelmét. A Ptk. 2:54. § (1) bekezdése szerint a személyiségi jogokat személyesen lehet érvényesíteni, amelyet tehát az érintett maga gyakorolhat, illetve a Ptk. 2:14. §-a alapján a kiskorú nevében a törvényes képviselője járhat el, így a gyermek adataihoz való – az általános adatvédelmi rendelet 15. cikkében részletezett – hozzáférési jogot is ő gyakorolja. Kiskorú törvényes képviselője szülők esetében a Ptk. 4:161. §-a alapján a szülői felügyeletet gyakorló szülő. A GDPR a szülő fogalma esetén a szülői felügyelet gyakorlóját használja. „
6 A Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 66. § (1) A belügyminiszter (ezen alcím alkalmazásában a továbbiakban: miniszter) a Kormány 29. köznevelésért, felelős tagja.
7 általános adatvédelmi rendelet (58) preambulumbekezdés „Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve - ezen túlmenően - szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete. Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.”
8 https://tudasbazis.ekreta.hu/pages/viewp...
5
A Hatóság a hatósági eljárás iránti kérelem nyomán a tanulóról nyilvántartott adatokra tett megállapítást, és a rendszerben kezelt adatokra vonatkozóan a szülők, munkavállalók adatkezelési érintetti jogait nem vizsgálta, ugyanakkor a problémafelvetés nyomán a teljes KRÉTA-rendszer felülvizsgálata és a rendszer tekintetében adatkezelő kijelölése válhat szükségessé.
Az Infotv. 38. § (4) bekezdésének c) pontjának megfelelően kérem szíves intézkedését, és az arról való tájékoztatást. A Hatóság együttműködik az intézkedés kapcsán szükséges esetleges egyeztetések során.
A Hatóság a NAIH-4667-10/2022. sz. határozatának anonimizált változatát jelen leveléhez mellékeli.
Kelt, Budapest, az elektronikus aláírás szerint Dr. Péterfalvi Attila elnök c. egyetemi tanár

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

Tisztelt NAIH Ügyfélszolgálat!

Sajnos az 10007 4 2023 számú levele mellékleteként megküldött 1. oldal még mindig hibás, az egyik fele nem olvasható.

Üdvözlettel:

Kiss László

Tisztelt NAIH!

Az igénylésre részben olvashatatlan mellékletben megküldött kérelmet elutasító
határozatát megtaláltam az interneten.

A NAIH kérelmet elutasító határozatában foglaltak alapján a következő adatigénylést terjesztem elő.

Kérem, szíveskedjen elektronikus másolatban megküldeni azt az információt, hogy az elutasítással lezárt eljárásában vizsgálta-e, hogy

1.) az ügyben megkérdezett és válaszóló szervek pontosan milyen feladatuk elvégzése során, milyen konkrét célból kezelhetik a KRÉTA rendszerben rögzített személyes adatokat, és hogy a KRÉTA rendszerben nyilvántartott személyes adatok tekintetében pontosan minek (adatkezelőnek, feldolgozónak, címzettnek, adatszolgáltatónak, harmadik félnek, adatkezelés törvényességét felügyelő szernek, ...) minősülnek;

2.) biztosítja-e bármelyik, határozatában említett szerv, vagy bejelentette-e bármelyik, az ügyben válaszoló, eljáró szerv azt, hogy
(a NAIH határozatban hivatkozott rendelet 113. § (1) alapján) a hibás bejegyzéseket a tanügyi nyilvántartásokban áthúzással kell érvényteleníteni, olyan módon, hogy az olvasható maradjon, és a hibás bejegyzést helyesbíteni kell. A javítást aláírással, keltezéssel és papíralapú nyomtatvány esetén az iskola körbélyegzőjének lenyomatával kell hitelesíteni,
azaz, hogy adatot a rendszerben nyomtalanul törölni nem lehetne, de a határozat tényei alapján a KRÉTÁ-ban gond nélkül lehet.

NAIH határozat:
"(eKRÉTA) által 2021. június 29-én 13:48 perckor adott válasz:
„Tisztelt […]. Köszönjük megkeresését. Kérdésére a következő választ tudjuk adni: Az
érdemjegyek módosításáról, annak időpontjáról nem nyerhető ki információ a rendszerből.
[…]”
A Kérelmezett a nyilatkozata szerint ezt követően már csak arról szerzett tudomást, hogy
Kérelmező a részére az EMMI (Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási
Főosztály) – ahova az Oktatási Hivatal irányította a Kérelmezőt a fent idézett panasza
alapján – 2021. augusztus 10-én kelt válaszának megfelelően a fenntartóhoz fordult.
Az EMMI ezen válasza szerint „A […] Általános Iskola, Gimnázium és […] Szakgimnázium (a
továbbiakban Intézmény) fenntartója az […]. Az Intézmény tanulóval, szülővel szembeni
eljárásával kapcsolatos észrevételét, panaszát a fenntartónak kötelessége kivizsgálni, annak
eredményéről pedig az érintettet tájékoztatnia kell.
A Kormány az állami fenntartók vonatkozásában a KRÉTA rendszert a Klebelsberg Központ
útján működteti, azonban a Klebelsberg Központnak nincs információja arra vonatkozóan,
hogy milyen megállapodás van az eKRÉTA Informatikai Zrt. és az Intézmény egyházi jogi
személy fenntartója között, vagyis milyen modulokat, milyen funkciókat használnak.
A KRÉTA rendszerben az adatokkal történő bármilyen művelet (beírás, módosítás, törlés) –
és annak jellemzői (mely felhasználó, mely IP címről, mikor végezte el az adott műveletet) –
visszakereshető módon naplózva van, amelyről kérésre részletes tájékoztatást ad a fejlesztő
cég a fenntartó részére”"

Üdvözlettel:
Kiss László

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

2 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Saturday, December 16, 2023 12:53 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-10027-2/2023

Tisztelt NAIH Ügyfélszolgálat!

Köszönettel olvastam válaszait.
Kérem, szíveskedjen a december 7-én részemre mellékletben megküldött dokumentumot ismét megküldeni, mert annak első oldala hibás, és a szöveg egyik fele nem látható.
A később mellékelt - lenti - dokumentumhoz hasonló formátumban kérem a másolat megküldését.

Üdvözlettel:
Kiss László

Olvasható és másolható melléklet:

Ügyszám: NAIH-1365-1/2023
(NAIH-4667/2022)
dr. Pintér Sándor részére
belügyminiszter
Belügyminisztérium
hivatali kapu útján
Tisztelt Miniszter Úr!
I. A Nemzeti Adatvédelmi és Információszabadság Hatóságnak (a továbbiakban: Hatóság) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a
továbbiakban: Infotv.) 38. § (2) bekezdése alapján a feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. A Hatóság az Infotv. 38. § (4) bekezdésének c) pontja szerint általános jelleggel vagy meghatározott adatkezelő részére ajánlást bocsát ki.
II. A Hatóság egyik ügyének vizsgálata során arra a megállapításra jutott, hogy az eKRÉTA rendszer esetében gyakorolható érintetti jogérvényesítés során nem egyértelműen válik szét az adatkezelő és az adatfeldolgozó személye. Egy szülő a gyermeke képviseletében kérelemmel fordult a Hatósághoz, amely kérelmében előadta, hogy az iskola mint adatkezelő nem tudja a jogszabályban biztosított hozzáférési jogot biztosítani a személyes adatok tekintetében, az eKRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) szülők által hozzáférhető rendszerében, illetve adminisztrációs felületén sem követhető nyomon az érdemjegyek felülírása és törlése.
A szülő a gyermeke érdemjegyének rögzítésével kapcsolatos adatokat kérte elsőként az iskolától, majd az eKRÉTA Informatikai Zrt.-től, ugyanis tévesen került beírásra egy félévi érdemjegy a KRÉTA rendszerbe, amely a féléves osztályozó értekezleten módosításra került.
A szülő pontos és részletes adatokat szeretett volna kérni az érdemjegy módosításának
körülményeiről: konkrétan ki, mikor módosította és ki, mikor törölte érdemjegyet. A szülő párhuzamosan levelezett az iskolával és az eKRÉTA Informatikai Zrt.-vel. Az iskola – az eKRÉTA Zrt. tájékoztatására támaszkodva – azt állította, hogy az érdemjegyek módosításáról, annak időpontjáról nem nyerhető ki információ a rendszerből. Ezt követően a Zrt. nem adott a jegy felülírására irányuló információt, mivel válaszuk szerint a köznevelési intézményektől lehet ilyen igényt kérni, ők bocsáthatják a kérelmező rendelkezésre.
A szülő kérte az iskolát, hogy képernyőfotókkal szolgáltasson információt gyermeke összes történelem tantárgyból kapott jegyének beírásáról, illetve módosításának dátumáról, beleértve a
2
féléves értékelésének megvizsgálását, és a tényleges beírások napjáról. Az iskola ezt megtette, továbbá megküldte a szülőnek az eKRÉTA üzemeltetőjének részükre adott válaszát, miszerint megküldött képernyőképen túl információ a rendszerből nem kinyerhető. Az üzemeltető rögzítette azt is, hogy az e-napló alkalmazás admin felületéről kinyerhető információk egyértelműek és képernyőfotókkal dokumentáltak. Ezekből egyértelműen kiderül a bejegyzés dátuma (az a tanítási nap, amelyhez kapcsolóan az adott bejegyzés született), valamint a rögzítés dátuma (annak időpontja, amikor a bejegyzést az e-naplóban rögzítették.) Az iskola tehát minden, a KRÉTA rendszerben hozzáférhető adatot átadott a szülőnek, amelyet a rendszer üzemeltetője is megerősített, miszerint ennél több információt az intézmény nem tud visszafejteni az elektronikus naplóban.
Ezt követően a szülő az Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási Főosztálytól kapott választ, miszerint az intézmény fenntartója kérésre részletes tájékoztatást ad a fejlesztő cég a fenntartó részére, az adatokkal történő bármilyen művelet és annak jellemzői visszakereshető módon naplózva vannak.
Az intézmény fenntartója és az eKRÉTA Informatikai Zrt. levelezéseit követően a cég a pontos, a szülő által kért adatokat ki tudta nyerni a rendszerből, majd a fenntartó levélben tájékozatta a szülőt, hogy a kért információ az üzemeltető cég számára is csak sokadjára, egy mélyebb, alaposabb, átfogóbb vizsgálat eredményeként került megállapításra.
A cég vezérigazgatója kijelentette, hogy „az eKRÉTA Informatikai Zrt. rendelkezik hozzáférési jogosultsággal a felhasználók KRÉTA rendszer használatához kapcsolódó naplóállományokhoz, azzal, hogy az eKRÉTA Informatikai Zrt. a KRÉTA rendszert használó intézmény és/vagy az intézmény fenntartójának írásbeli kérésére a naplóállományt kiadja”. Az eljárás során azonban az nyert bizonyítást, hogy a kért adatokhoz az intézmény semmilyen módon nem tud hozzáférni, csak a fenntartó írásos kérésére és többedik próbálkozásra sikerült adatot szolgáltatnia az üzemeltetőnek, amely adatokat a fenntartó még az iskolával való egyeztetést követően bocsájtott a szülő rendelkezésére.
III. A Hatóság megállapítása szerint az eKRÉTA Informatikai Zrt. adatfeldolgozónak, míg a köznevelési intézmények adatkezelőnek minősülnek az eKRÉTA használata során.
A tanulóról az intézmény által kezelt adatok pontosságáért és az átlátható adatkezelés
biztosításáért1 az adatot rögzítő, azt kezelő köznevelési intézmény a felelős, és adott esetben neki kell tudnia az adatkezelés jogszerűségét az érintett előtt is igazolnia. Adatkezelői felelőssége független attól, hogy felette a fenntartó jogokat ki gyakorolja.
Az ügyben a rendszert üzemeltető társaság, illetve a felügyeletet ellátó közigazgatási szerv tájékoztatása sem volt azonos abban a tekintetben, hogy a kért adathoz történő hozzáférés milyen módon biztosítható. Az EMMI tájékoztatása szerint a KRÉTA rendszert üzemeltető eKRÉTA Informatikai Zrt. a fenntartó kérésére biztosítja a kért adatról való tájékoztatást, míg az üzemeltető nyilatkozata alapján a köznevelési intézmény, illetve annak fenntartója is kérvényezheti az adatszolgáltatást a naplóállományok adatait érintően, amely állományokhoz való hozzáféréssel az üzemeltető eKRÉTA Informatikai Zrt. rendelkezik. Végül az intézmény nem, hanem a fenntartó kapta meg a Zrt. részéről az érintetti kérelem teljesítéséhez szükséges tájékoztatást.
1 GDPR 5. cikk (1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
3
A Hatóság megállapítása alapján az adatnak az adatkezelő részére történő biztosítása minősül az általános adatvédelmi rendeletnek2 megfelelő gyakorlatnak, mivel az adatkezelő – és nem annak fenntartója – kötelessége az érintetti kérelmek érvényesítése, amely kérelem teljesítését a 28. cikk
(3) bekezdés e) pontja értelmében az adatfeldolgozó segíti.
A feltárt tényállás szerint az adatkezelő köznevelési intézmény adatfeldolgozói szerződéssel nem rendelkezett.
A GDPR értelmében az adatfeldolgozó csak az adatkezelő megbízásából végezhet személyes adat kezelésével járó tevékenységet. Általános esetben az adatkezelő felelős az általa alkalmazott adatfeldolgozó kiválasztásáért, és annak utasításokkal való ellátásáért.
Az állami fenntartású köznevelési intézményeknek – miközben intézményként adatkezelőnek minősülnek – nincs önálló döntési jogosultságuk arra nézve, hogy használják-e a rendszert, sem abban, hogy vesznek-e igénybe adatfeldolgozót, és ha igen, kit választanak.
Így e körben az adatfeldolgozóért való felelősség sem terhelheti őket. Ez vonatkozik az egyéb fenntartású intézményekre is, amennyiben a tevékenységük folytán kötelesek a KRÉTA rendszer igénybevételére. Ahogyan a vizsgált esetben az intézményben folyó szakképzés okán, az intézmény a rendszer használatára az NSZFH-val kötött szerződés útján jogosult, tehát nincs egyedi szolgáltatási/üzemeltetési szerződése sem.
A Hatóság álláspontja szerint az adatkezelő köznevelési intézmények által kötelezően igénybe veendő adatfeldolgozó alkalmazása és a 28. cikknek való megfelelés állami intézkedést igényel, és a GDPR előírásainak figyelembe vételével kellene a minisztériumnak átgondolnia a rendszer működését, és az azt biztosító jogi aktusokat.
IV. A Hatóság jelen ügyben fontosnak tartja hangsúlyozni, hogy a KRÉTA rendszerben a tanulóról rögzített – ezek között az ő értékelésére, teljesítményére vonatkozó adatok – a gyermek adatának minősülnek, az adatkezelés alanya, érintettje3 a gyermek.
Amikor a szülő az Nkt. alapján tájékoztatást kap a gyermeke érdemjegyeiről, értékeléséről4, ekkor ez nem hozzáférésnek, adatkezelési érintetti jogérvényesítésnek minősül, hanem jogszabályon alapuló adatszolgáltatásnak, a szülő részére való adatközlés az általános adatvédelmi rendelet 6.
2 a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU rendelet (a továbbiakban: általános adatvédelmi rendelet, vagy GDPR)
3 GDPR 4. cikk 1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
4 a nemzeti köznevelésről szóló 2011. évi CXC. törvény (Nkt.) 54. § (1) A pedagógus - a (3) bekezdésben meghatározott kivétellel - a tanuló teljesítményét, előmenetelét tanítási év közben rendszeresen érdemjeggyel értékeli, félévkor és a tanítási év végén osztályzattal minősíti. A külföldi tartózkodás miatt egyéni munkarenddel rendelkező tanuló esetében a félévi minősítés az igazgató döntése alapján mellőzhető, ez esetben a tanuló csak az év végén ad számot tudásáról. A tanuló magatartásának és szorgalmának értékelését és minősítését az osztályfőnök - az osztályban tanító pedagógusok véleményének kikérésével - végzi. Az érdemjegyekről a tanulót és a kiskorú tanuló szülőjét rendszeresen értesíteni kell. A félévi és az év végi osztályzatot az érdemjegyek alapján kell meghatározni. Az évközi érdemjegyeket és az év végi osztályzatokat szóbeli vagy írásbeli szöveges értékelés kíséri. Az iskola az osztályzatról a tanulót és a kiskorú tanuló szülőjét félévkor értesítő, év végén bizonyítvány útján értesíti. Értesítő gyakrabban is készülhet az intézmény pedagógiai programja szerint. Az érdemjegy és az osztályzat megállapítása a tanuló teljesítményének, szorgalmának értékelésekor, minősítésekor nem lehet fegyelmezési eszköz.
72. § A szülő joga különösen, hogy
b) gyermeke fejlődéséről, magaviseletéről, tanulmányi előmeneteléről rendszeresen részletes és érdemi tájékoztatást, neveléséhez tanácsokat, segítséget kapjon,
4
cikk (1) bekezdés e) pontja szerinti jogalapon alapul. Ugyanakkor az érintett gyermek maga jogosult az adatkezelés ellenőrzése érdekében a rendszerben tárolt adatokhoz – ide értve a vizsgált esetben is bemutatott, a félévi osztályzatának utólagos módosítására vonatkozó adathoz – való hozzáférésre. Az adatkezelési érintetti jogérvényesítés jogát nem változtatja az a tény, hogy kiskorú esetén ezt a jogot a gyermek nem személyesen, hanem a törvényes képviselője útján gyakorolhatja5, a gyermeknek a saját adatához való érintetti hozzáférési joga nem a szülő joga, hanem a gyermeké. A gyermek jogainak fokozott biztosítását pedig az általános adatvédelmi rendelet is több helyen kifejezetten rögzíti.
A Hatóság ennek okán is kiemelten fontosnak tartja azt, hogy az érintetti joggyakorlás módja az általános adatvédelmi rendeletnek megfelelő módon rendezett és egyértelmű jogviszonyon és szabályozáson alapuljon.
V. Az eKRÉTA Zrt. megismert gyakorlata miatt, amely szerint a Zrt. a rendszerében tárolt, a gyermekre vonatkozó adatokhoz való hozzáférést csak hosszas és egymásnak ellentmondó nyilatkozatok után biztosította a fenntartó, és nem pedig az adatkezelő köznevelési intézmény részére, továbbá tekintettel arra, hogy az adatfeldolgozó személyét nem az adatkezelő szabadon választja, hanem a jogalkotó kötelezően jelöli ki, az alábbi ajánlást teszem az Infotv. 38. § (4) bekezdésének c) pontja alapján, és a tisztelt Miniszter Úr6 közreműködését kérem annak egyértelműsítésében, hogy az érintetti jogok gyakorlása során – a fenntartói formától függetlenül – az adatkezelő intézmény feladata biztosítani az érintetti joggyakorlást, nem a fenntartóé, ehhez az adatfeldolgozónak segítséget kell nyújtania, és ezt az általános adatvédelmi rendelet 28. cikke szerinti szerződésnek, vagy más jogi aktusnak kell szabályoznia.
Ezen felül az adatkezelésről adott tájékoztatásnak is – kitérve az érintetti jogérvényesítés módjára – igazodnia kell a fenti követelményekhez, figyelembe véve a gyermekek érintettségét7.
A Zrt. honlapján fellelhető Adatkezelési tájékoztató8 7. – „A Felhasználót, mint érintettet megillető jogok” – pontja a GDPR szakaszainak puszta másolása, amely nem ad a rendszer működésére egyéniesített érthető tájékoztatást az érintetti joggyakorlás tartalmáról, valamint a határozatban és fent bemutatottak alapján nem a valós helyzetet tükrözi, mert az érintett az ott leírt módon a jogait az adatkezelő köznevelési intézmény előtt érvényesíteni nem tudta.
5 NAIH-4667-10/2022. sz. határozat 11. old. utolsó előtti bek.
„A Ptk. a 2:43 § e) pontjában személyiségi jogként nevesíti a személyes adatok védelmét. A Ptk. 2:54. § (1) bekezdése szerint a személyiségi jogokat személyesen lehet érvényesíteni, amelyet tehát az érintett maga gyakorolhat, illetve a Ptk. 2:14. §-a alapján a kiskorú nevében a törvényes képviselője járhat el, így a gyermek adataihoz való – az általános adatvédelmi rendelet 15. cikkében részletezett – hozzáférési jogot is ő gyakorolja. Kiskorú törvényes képviselője szülők esetében a Ptk. 4:161. §-a alapján a szülői felügyeletet gyakorló szülő. A GDPR a szülő fogalma esetén a szülői felügyelet gyakorlóját használja. „
6 A Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 66. § (1) A belügyminiszter (ezen alcím alkalmazásában a továbbiakban: miniszter) a Kormány 29. köznevelésért, felelős tagja.
7 általános adatvédelmi rendelet (58) preambulumbekezdés „Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve - ezen túlmenően - szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete. Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.”
8 https://tudasbazis.ekreta.hu/pages/viewp...
5
A Hatóság a hatósági eljárás iránti kérelem nyomán a tanulóról nyilvántartott adatokra tett megállapítást, és a rendszerben kezelt adatokra vonatkozóan a szülők, munkavállalók adatkezelési érintetti jogait nem vizsgálta, ugyanakkor a problémafelvetés nyomán a teljes KRÉTA-rendszer felülvizsgálata és a rendszer tekintetében adatkezelő kijelölése válhat szükségessé.
Az Infotv. 38. § (4) bekezdésének c) pontjának megfelelően kérem szíves intézkedését, és az arról való tájékoztatást. A Hatóság együttműködik az intézkedés kapcsán szükséges esetleges egyeztetések során.
A Hatóság a NAIH-4667-10/2022. sz. határozatának anonimizált változatát jelen leveléhez mellékeli.
Kelt, Budapest, az elektronikus aláírás szerint Dr. Péterfalvi Attila elnök c. egyetemi tanár

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

1 Melléklet

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-----Original Message-----
From: Kiss László [mailto:[FOI #23431 email]]
Sent: Monday, January 8, 2024 4:16 PM
To: NAIH Ügyfélszolgálat <[NAIH request email]>
Subject: Re: NAIH-10007-4/2023

Tisztelt NAIH!

Az igénylésre részben olvashatatlan mellékletben megküldött kérelmet elutasító határozatát megtaláltam az interneten.

A NAIH kérelmet elutasító határozatában foglaltak alapján a következő adatigénylést terjesztem elő.

Kérem, szíveskedjen elektronikus másolatban megküldeni azt az információt, hogy az elutasítással lezárt eljárásában vizsgálta-e, hogy

1.) az ügyben megkérdezett és válaszóló szervek pontosan milyen feladatuk elvégzése során, milyen konkrét célból kezelhetik a KRÉTA rendszerben rögzített személyes adatokat, és hogy a KRÉTA rendszerben nyilvántartott személyes adatok tekintetében pontosan minek (adatkezelőnek, feldolgozónak, címzettnek, adatszolgáltatónak, harmadik félnek, adatkezelés törvényességét felügyelő szernek, ...) minősülnek;

2.) biztosítja-e bármelyik, határozatában említett szerv, vagy bejelentette-e bármelyik, az ügyben válaszoló, eljáró szerv azt, hogy (a NAIH határozatban hivatkozott rendelet 113. § (1) alapján) a hibás bejegyzéseket a tanügyi nyilvántartásokban áthúzással kell érvényteleníteni, olyan módon, hogy az olvasható maradjon, és a hibás bejegyzést helyesbíteni kell. A javítást aláírással, keltezéssel és papíralapú nyomtatvány esetén az iskola körbélyegzőjének lenyomatával kell hitelesíteni, azaz, hogy adatot a rendszerben nyomtalanul törölni nem lehetne, de a határozat tényei alapján a KRÉTÁ-ban gond nélkül lehet.

NAIH határozat:
"(eKRÉTA) által 2021. június 29-én 13:48 perckor adott válasz:
„Tisztelt […]. Köszönjük megkeresését. Kérdésére a következő választ tudjuk adni: Az érdemjegyek módosításáról, annak időpontjáról nem nyerhető ki információ a rendszerből.
[…]”
A Kérelmezett a nyilatkozata szerint ezt követően már csak arról szerzett tudomást, hogy Kérelmező a részére az EMMI (Emberi Erőforrások Minisztériuma Köznevelés-Igazgatási
Főosztály) – ahova az Oktatási Hivatal irányította a Kérelmezőt a fent idézett panasza alapján – 2021. augusztus 10-én kelt válaszának megfelelően a fenntartóhoz fordult.
Az EMMI ezen válasza szerint „A […] Általános Iskola, Gimnázium és […] Szakgimnázium (a továbbiakban Intézmény) fenntartója az […]. Az Intézmény tanulóval, szülővel szembeni eljárásával kapcsolatos észrevételét, panaszát a fenntartónak kötelessége kivizsgálni, annak eredményéről pedig az érintettet tájékoztatnia kell.
A Kormány az állami fenntartók vonatkozásában a KRÉTA rendszert a Klebelsberg Központ útján működteti, azonban a Klebelsberg Központnak nincs információja arra vonatkozóan, hogy milyen megállapodás van az eKRÉTA Informatikai Zrt. és az Intézmény egyházi jogi személy fenntartója között, vagyis milyen modulokat, milyen funkciókat használnak.
A KRÉTA rendszerben az adatokkal történő bármilyen művelet (beírás, módosítás, törlés) – és annak jellemzői (mely felhasználó, mely IP címről, mikor végezte el az adott műveletet) – visszakereshető módon naplózva van, amelyről kérésre részletes tájékoztatást ad a fejlesztő cég a fenntartó részére”"

Üdvözlettel:
Kiss László

-----Original Message-----

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

-------------------------------------------------------------------
Ezt az e-mail címet használja, amikor erre az igénylésre válaszol:
[FOI #23431 email]

Jognyilatkozat: Ezt az üzenetet és az ön válaszát is közzétesszük az interneten. Az adatvédelemre és szerzői jogokra vonatkozó politikánk:
http://kimittud.hu/help/officers

Amennyiben megkeresésekre válaszoló munkatársként hasznosnak találta ezt a szolgáltatást, kérje meg szervezete webmesterét, hogy helyezzen el a honlapunkra mutató hivatkozást közérdekű adatokat tartalmazó weboldalán.

-------------------------------------------------------------------

idézett részek elrejtése