IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Zsidai Ágnes: Útvesztők az adatvédelemben. Az ÁBTL és General Data Protection Regulation
50 ■ ZsiDAi Ágnes vagyonleltár (egyfajta adattérkép) és kockázatelemzés/hatásvizsgálat egymástól elválaszthatatlan. Nehezíti a helyzetet, hogy az adatkezelés és feldolgozás az informatikai rendszeren keresztül történik, tehát az itt említett műveletek végrehajtása mindenképp komoly adatvédelmi és egyben informatikai szakembert igényel. 4. Adatvédelmi tisztviselő (Data Protection Officier) A szervi hatály problematikussága magával vonta az adatvédelmi tisztviselő kijelölésének kérdését is. A Rendelet elvileg a szervezetre bízza az adatvédelmi tisztviselő (a továbbiakban: DPO) kijelölését, de 37. cikkének (1) bekezdése szerint az adatkezelő (és adatfeldolgozó) adatvédelmi tisztviselőt köteles kijelölni minden olyan esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik - kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat. Nyilvánvalóan az ABTL-t közfeladat teljesítésére hozták létre, de ez nem jelenti azt, hogy ezzel együtt közhatalmat gyakorol. DPO kijelölésére rendeleti szempont lehet még az adatok sajátossága, az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveletek: ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok GDPR 9. cikk szerinti különleges kategóriáinak (és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok) nagy számban történő kezelését foglalják magukban. Ezzel azonban az a probléma, hogy az említett, általunk kezelt adatok nem a GDPR alá, hanem az ÁBTLtv. alá tartoznak. Az ÁBTL - és egyéb levéltárak - esetében tehát dogmatikailag kérdéses: mindenképp szükséges-e DPO-t kijelölni, ám a szabályozást körülvevő bizonytalanság, az illetékes szervek iránymutatása nélkül a „szakmai közhangulat” alapján az intézmények gondoskodnak adatvédelmi tisztviselőről. Sőt, a 29. Munkacsoport szerint írásban meg kell indokolni, ha egy szervezet mégsem nevez ki ilyen tisztviselőt. Ez a tisztviselő lehet belső munkatárs, de összeférhetetlenség miatt felső vezető, informatikai vezető, HR-es és olyan pozícióban lévő nem lehet, aki az adatkezelés célját és eszközeit meghatározhatja! Szolgáltatási szerződés keretében „külsős” személy, sőt akár szervezet is, ahol folyamatos jelenlét, közreműködés szükséges, ott a szervezet ajánlott, természetesen nevesített kapcsolattartóval. Több közfeladatot ellátó szerv közös DPO-t is kijelölhet. Számomra nagyon problematikus, hogy a GDPR a DPO számára nem ír elő semmilyen végzettséget, de magas szintű szakmai kompetenciát, rátermett
