IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
64 ■ Bodó Attila Pál Az 1. ábra szerint a nemzeti adatpolitika része a nemzeti adatvagyon fogalma, amelynek a közadatokon felül a magánszféra adatai is részét képezi. A közadatok körében meg kell különböztetni a közérdekű adatokat, a statisztikai adatokat, a közérdekből nyilvános adatokat és a korlátozottan terjeszthető adatokat, ez utóbbiak nem azonosak a minősített adatokkal, vagy törvény által védett egyéb adatokkal (pl. üzleti titok, jogi oltalom alatt álló adatok). Ezek az adatok az ábrán piros színű szövegdobozban szerepelnek, mivel az adathasznosítás szempontjából kizárt vagy korlátozottan forgalomképes adatoknak minősülnek, melyekre eltérő védelmi intézkedési csoportok kerültek bevezetésre (pl. a minősített adatokra a minősített adat védelméről szóló 2009. évi CLV. törvény és végrehajtási rendeletéi). A magánadatok között szerepelnek a személyes adatok és az üzleti jellegű adatok. A közérdekből nyilvános adatok olyan közadatok, amelyek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét a törvény közérdekből elrendeli, és amelyek között így az egyes közfeladatot ellátó szereplők személyes adatai is megjelenhetnek. Alapvetés, hogy minden a nemzeti adatvagyon részét képező közadatot vagy magánadatot megillet a törvényben meghatározott adatvédelem és információbiztonsági védelem, valamint a szükségesség és arányosság elvét figyelembe véve az adatfelhasználási korlátozás. A szervezetnek tehát rendelkeznie kell mikroszintű adatpolitikával, és ehhez kapcsolódóan egyértelműen tudnia kell, hogy mint adatgazdának milyen adatok vannak birtokában és feladatainak ellátása során milyen egyéb adatokat kezel. Ehhez a szervezetnek fel kell mérnie saját adatvagyonát, amelyet az alábbiak figyelembevételével17 célszerű megtennie: 17 GDPR 30. cikk (1) bekezdés figyelembevételével a) milyen típusú adatokat használ fel a szervezet feladatellátása során (pl. személyes adatok, különleges személyes adatok, közadatok, statisztikai adatok, nyílt vagy minősített adatok, stb.); b) az a) pont szerint felhasznált adatokból milyen adatokat tart nyilván a szervezet; c) mi az adatkezelés jogalapja a GDPR 6. cikke alapján, azaz milyen célból végzi az adatkezelést a szervezet; d) milyen formában tartja nyilván a b) pont szerinti adatokat a szervezet (papíralapú vagy elektronikus nyilvántartás); e) milyen adatbiztonsági technikai és szervezési intézkedések szükségesek az adatok védelméhez.
