IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
74 ■ Bodó Attila Pál Nem kell bejelentenie az adatkezelőnek a hatóság részére azt az adatvédelmi incidenst, amely „valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.”48 Ha az adatvédelmi incidens „valószínűsíthetően magas kockázattal jár” a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintetteket is az adatvédelmi incidensről,49 kivéve, ha korábban mások számára értelmezhetetlenné tette az incidenssel érintett adatokat, vagy az incidenst követően olyan további intézkedéseket tett, amelyekkel a kockázatokat érdemben csökkentette.50 48 GDPR 33. cikk (1) bekezdés 49 GDPR 34. cikk ( 1 ) bekezdés 50 GDPR 34. cikk (3) bekezdés 51 GDPR 33. cikk (2) bekezdés 52 GDPR 33. cikk (5) bekezdés 53 GDPR Preambulum (85), valamint 5. cikk (2) bekezdésében foglaltak szerint 54 GDPR 33. cikk (5) bekezdés és 34. cikk (1) bekezdés 55 GDPR 83. cikk (4) bekezdés a) pontja alapján Az adatfeldolgozó kötelezettsége, hogy az adatvédelmi incidensek felismerését és jelzését követően a maximális 72 órás időtartam sem áll rendelkezésére az adatkezelő irányába történő bejelentés megtételére, mivel az adatfeldolgozó köteles indokolatlan késedelem nélkül tájékoztatást adni az adatvédelmi, annak érdekében, hogy az adatkezelő a szükséges intézkedéseket megtegye.51 Az adatvédelmi incidensekről az adatkezelő részére nyilvántartási kötelezettséget is előír a GDPR, amely nyilvántartásban rögzítenie kell: a) az adatvédelmi incidenshez kapcsolódó tényeket és annak hatásait, b) az adatvédelmi incidens orvoslására tett intézkedéseket, azzal, hogy a nyilvántartásnak lehetővé kell tennie azt, hogy a felügyeleti hatóság ellenőrizhesse a bejelentési követelményeknek való megfelelést.52 Ez a nyilvántartási kötelezettség minden adatvédelmi incidensre kiterjed, és az elszámoltathatóság elve53 alapján az adatkezelő köteles igazolni az incidensek bejelentéséről, vagy az érintett tájékoztatásának szükségességéről hozott döntését. A felügyeleti hatóság a nyilvántartást áttekintve ellenőrizheti, hogy az adatkezelő helyesen mérlegelte-e az adatvédelmi incidens kockázatát.54 A bejelentési és nyilvántartási kötelezettségének megsértése esetén az eljáró adatvédelmi hatóság az adatkezelőt vagy feldolgozót 10 millió euróig terjedő összegű közigazgatási bírsággal, vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújthatja, azzal, hogy a két összeg közül mindig a magasabbat kell kiszabnia a hatóságnak.55
