A KRÉTA fejlesztőcége megsértette az adatvédelmi törvényt

2022 őszén kibertámadás érte az eKRÉTA Informatikai Zrt.-t, ami csak két hónappal később, egy internetes hírportálon megjelent cikk eredményeként jutott el a nyilvánosságig. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatot indított, majd megállapította, hogy a cég, amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, több ponton megsértette az adatvédelmi törvényt. 110 millió forint a bírság.

A döntésről szóló határozatot (NAIH-1245-29/2023) a hatóság a saját honlapján tette közzé, amelyből kiderül, hogy a KRÉTA fejlesztője egyrészt nem biztosított kellő védelmet a rá bízott személyes adatoknak, másrészt amikor ezek az adatok veszélybe kerültek, nem jelentette be az incidenst az adatkezelőknek, azaz az érintett iskoláknak.

Megfelelő adatbiztonsági intézkedések hiánya miatt bekövetkezett adatvédelmi jogsértés

A hatósági eljárás során bizonyítást nyert, hogy emberi hiba miatt szereztek hozzáférést kiberbűnözők 12 szakképzési centrumhoz kapcsolódóan összesen 8574 tanuló 290 ezer adatához, 11082 gondviselő 44 ezer adatához és 125 alkalmazott 35 ezer adatához. A NAIH szerint megelőzhető lett volna az adatvédelmi incidens, ha a többfaktoros hitelesítési rendszert már előbb bevezeti a cég. A határozatban kiszabott 110 millió Ft büntetés a magyar viszonyok között jelentősnek számít. A döntést az Educational Development Informatikai Zrt. peres úton megtámadta. A KRÉTA esete rámutat arra, hogy a fejlesztői környezet védelme és a jól működő kríziskommunikáció fontos elemei a kiberbiztonságnak.

Forráscikk: 110 millió forintos bírságot kapott a KRÉTA fejlesztője, HWSW, Dömös Zsuzsanna, 2024.02.21.