Több mint egy év után tavaly decemberben zárult le az adatvédelmi hatóság vizsgálata, mely azt követően indult, hogy 2022 szeptemberében hackertámadás érte a minden iskolában használt közoktatási rendszer, a KRÉTA fejlesztőjét. A Telexhez most eljutott a határozat, amely jelentős adatvédelmi bírság, 110 millió forint megfizetésére kötelezi a fejlesztőcéget.
A portál azt írja, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett:
nem biztosított kellő védelmet a rá bízott személyes adatoknak,
és amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A NAIH azt is megállapította, hogy
több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.
A határozat szerint a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához.
A hatóság honlapján, a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat. A Telex úgy értesült róla, hogy egy jogász – aki úgy ítélte meg, hogy iskolás gyereke révén közvetlenül is érintett lehet az adatszivárgásban – a történtek után adatvédelmi eljárás iránti kérelmet nyújtott be a NAIH-nak. Mivel a hatóság eddigre már hivatalból vizsgálta az incidenst, ezt a kérelemre indult ügyet előbb felfüggesztette, majd a saját eljárásának lezárása után megszüntette, egyúttal tájékoztatta a kérelmet benyújtó jogászt a lezárt eljárás eredményéről. Ennek a másik ügynek a határozatából derült ki az is, hogy a fejlesztőcég perre ment. A dokumentum szerint „a határozat 2023. december 20. napján megszületett, és közlésre is került a Kötelezettel, aki az ellen keresetet nyújtott be. A bíróság döntése jelen végzés időpontjában még nem ismert a Hatóság előtt”.
A fejlesztők megpróbálták eltussolni a KRÉTA-rendszer feltörését, amelyben a hackerek minden magyarországi diák adatait megszerezték