IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Zsidai Ágnes: Útvesztők az adatvédelemben. Az ÁBTL és General Data Protection Regulation
Útvesztők az adatvédelemben ■ 49 személyek jogaira és szabadságaira nézve (GDPR 35. cikk). Ilyen pl. a személyes adatok különleges kategóriáinak a kezelése (GDPR 9. cikk). Nem biztos, hogy jó érv e feladat alóli kibúváshoz, ha erre azt mondanánk: nem magas a kockázat, mivel a tevékenységünk eddig is körbe volt bástyázva jogszabályokkal. Kétségtelen, hogy rendszerünkbe a fő tevékenységünk jellegéből származó, a törvényünk (ÁBTLtv.) által gyűjtőkörünkbe rendelt adatok tízezrei kerülhetnek, amelyek kezelése nem képzelhető el a külvilágtól hermetikusan elzárva. A módosított Infotv. nem hagy kétséget: ha esetleg tagállami vagy uniós jogszabály nem határozná meg a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát, úgy az adatkezelőnek az adatkezelés megkezdésétől legalább háromévente felül kell vizsgálnia, hogy az általa kezelt személyes adat az adatkezelés céljának megvalósulásához szükséges-e. Ez esetünkben feltétlenül indokolt, hisz nem csak „egyszerű” személyes adat, hanem különleges adatok tömege van a kezelésünkben. Elvileg a felügyeleti hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni (ún. ’’fekete lista”). Figyeljünk a szóhasználatra! Ezzel szemben vagy emellett a felügyeleti hatóság összeállühatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni (ún. „fehér lista”). Ez a GDPR által kötelezett szervezeteknek nagy segítség lenne. Ilyen listákat tett közzé pl. Belgium, Nagy-Britannia, Lengyelország, de a különleges adatok kezelése kimaradt a felsorolásokból. Magyarországon ilyen lista eddig még tervezet formájában sem jelent meg. A NAIH honlapján szerepel néhány állásfoglalás, amely az adatvédelmi hatásvizsgálat kérdését is érinti. A GDPR 35. cikk (10) bekezdése alapján „ha a jogalkotási eljárás során egy általános hatásvizsgálat során már elvégezték az adatvédelmi hatásvizsgálatot, akkor azt nem kell elvégeznie az adatkezelőnek, kivéve, ha a tagállamok azt az adatkezelési tevékenységet megelőzően szükségesnek tartják”Ezzel kapcsolatban viszont a NAIH arra a megállapításra jutott, hogy a magyar jogalkotási törvény alapján végzendő hatásvizsgálat nem felel meg a GDPR által támasztott feltételeknek, így az adatkezelők még ilyen esetekben sem mentesülhetnek a hatásvizsgálati kötelezettségük elvégzése alól! Bár elvileg nem kötelező, de mégiscsak elengedhetetlen tudni azt, hogy egyáltalán egy szervezet milyen mennyiségű és struktúrájú adatvagyonnal bír. Az eredmény azonban nem lehet pusztán az intézményről felvett statikus kép, mert az adatkezelést és feldolgozást csak folyamatában lehet értékelni. Az adat
