IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
72 ■ Bodó Attila Pál tonsági esemény,42 amely akár csak egyetlen természetes személy adatát is hátrányosan érinti, már adatvédelmi incidensnek minősül, még akkor is, ha annak minimális az érintett magánszférájára gyakorolt hatása. Ez a tág fogalmi rendelkezés a nagyobb és a közvélemény számára is ismert, kiemelt hír- és kárértékkel rendelkező adatvesztések mellett, az üzemszerű adatkezelési tevékenységek során felmerülő emberi vagy technikai hibákra, téves adatkezelési műveletekre (pl. tévesen címzett személyes adatokat tartalmazó e-mail) visszavezethető „soft” eseményeket is bevonja hatókörébe. 42 Biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül; Ibtv. 1. § (1) bekezdés 9. pont 43 GDPR Preambulum (85) 44 GDPR Preambulum (86) A GDPR preambuluma rögzíti, hogy megfelelő és jól időzített védelmi intézkedések hiányában fizikai, vagyoni, vagy nem vagyoni károkat okozhat az adatvédelmi incidens az adatalanyoknak. A preambulum idesorolja „a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.”43 Azon adatvédelmi incidensekről, amelyek „valószínűsíthetően magas kockázatot” jelentenek a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek az érintettet indokolatlan késedelem nélkül tájékoztatnia kell, amelyben rögzíteni kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintettnek a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatait. Az indokolatlan késedelem nélküli tájékoztatás célja, hogy az értesítés hatására olyan védelmi intézkedéseket tehessen az érintett adatainak védelme érdekében - például jelszavának megváltoztatása annak kompromittálódása esetén, vagy elektronikus fizetőeszközének letiltatása - amelyekkel csökkentheti az incidens által okozott károkat.44 Az adatvédelmi incidensek bejelentési kötelezettségét előíró szabályozás célja és lényege, hogy a megtett bejelentés alapján:
