bírság;hackertámadás;NAIH;Kréta;

- Több mint száz millió forintos bírságot kapott a KRÉTA fejlesztője, amiért feltörték a rendszerét

Több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek. A Nemzeti Adatvédelmi és Információszabadság Hatóság szerint a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához.

Több mint egy év után tavaly decemberben zárult le az adatvédelmi hatóság vizsgálata, mely azt követően indult, hogy 2022 szeptemberében hackertámadás érte a minden iskolában használt közoktatási rendszer, a KRÉTA fejlesztőjét. A Telexhez most eljutott a határozat, amely jelentős adatvédelmi bírság, 110 millió forint megfizetésére kötelezi a fejlesztőcéget.

A portál azt írja, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett:

  • nem biztosított kellő védelmet a rá bízott személyes adatoknak,

  • és amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.

A NAIH azt is megállapította, hogy

több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.

A határozat szerint a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához.

A hatóság honlapján, a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat. A Telex úgy értesült róla, hogy egy jogász – aki úgy ítélte meg, hogy iskolás gyereke révén közvetlenül is érintett lehet az adatszivárgásban – a történtek után adatvédelmi eljárás iránti kérelmet nyújtott be a NAIH-nak. Mivel a hatóság eddigre már hivatalból vizsgálta az incidenst, ezt a kérelemre indult ügyet előbb felfüggesztette, majd a saját eljárásának lezárása után megszüntette, egyúttal tájékoztatta a kérelmet benyújtó jogászt a lezárt eljárás eredményéről. Ennek a másik ügynek a határozatából derült ki az is, hogy a fejlesztőcég perre ment. A dokumentum szerint „a határozat 2023. december 20. napján megszületett, és közlésre is került a Kötelezettel, aki az ellen keresetet nyújtott be. A bíróság döntése jelen végzés időpontjában még nem ismert a Hatóság előtt”.

Az étterem szeptember óta zárva tart, bár pár napja egy „Hamarosan” felirattal azt sejteti, talán újra kinyit. A helyszínként szolgáló település nemrég azzal került a hírekbe, hogy 677 millió forintból épült ott egy 12 fős bölcsőde.