Ha tényleg kikerülhettek tömegesen személyes és ráadásul különleges adatok a KRÉTÁból, tehát súlyosnak látszik az incidens, akkor
- NAIH értesítve lett az előírt időn belül az incidensről?
- Érintettek (kiskorú miatt szülők) megfelelőképpen értesítve lettek az adatkezelő által, hogy a róluk tárolt személyes adat kikerülhetett?
Ha nem lettek ezek az intézkedések végrehajtva, miért nem?
Lásd: 2016/679 EU rendelet 33. cikk és 34. cikk
Ha esetleg az állami intézményre nincs a gyakorlatban ilyen kötelezvény, akkor a nem államiakra miért van? Az EU direktíva nem tesz különbséget állami és nem állami között.
Vagy nem volt semmi incidens, csak kitalálta valaki?