IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
70 ■ Bodó Attila Pál adatvédelmi garanciák számbavételét várja el az adatkezelőtől. Az új szabályozás kiemelt figyelmet fordít az adatkezelési műveletekhez kapcsolódó technológiára (pl. titkosítás), és rögzíti, hogy minden adatkezelő köteles dokumentálni, bizonyos esetekben bejelenteni, valamint az érintetteket is tájékoztatni a személyes adatokat érintő incidensekről. Rögzíti a beépített adatvédelem elvét35 is, amely szerint az adatkezelőnek az adatkezelés módjának meghatározásakor és az adatkezelés teljes folyamata során figyelemmel kell lennie a tudomány és technológia állására, a megvalósítás költségeire, az adatkezelés jellegére, hatókörére, körülményeire és céljaira, valamint a személyes adatok kezelésével járó kockázatokra, és ez alapján kell meghatároznia az adatkezelés módját, és megtennie azokat a technikai és szervezési intézkedéseket (például álnevesítés), amelyek a követelmények maradéktalan betartását segítik elő. 35 GDPR 25. cikk 36 GDPR 35. cikk 37 Adatvédelmi irányelv 17. cikk A GDPR szabályozza továbbá az adatvédelmi hatásvizsgálat36 intézményét és azt, hogy mely esetekben szükséges különösen ezen hatásvizsgálat elvégzése. Az adatkezelőnek adatvédelmi hatásvizsgálatot akkor kell végeznie az adatkezelés megkezdése előtt, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi hatásvizsgálat annak feltárására irányul, hogy a tervezett adatkezelés miként érinti a személyes adatok védelmét. Látható tehát, hogy a GDPR a fentiekben említett célok elérése és a kihívásoknak való megfelelés érdekében számos változást tartalmaz mind az adatvédelem, mind az adatbiztonság területén az Adatvédelmi irányelv és az Infotv. előírásaihoz képest, ezért a szabályoknak történő megfelelésre két év felkészülési időt adott a jogalkotó, amely 2018 májusában azonban lejárt. A GDPR az adatbiztonság korábbi, az Adatvédelmi irányelvben rögzített általános megfogalmazását37 kiegészíti a kockázatok értékelésével és a védekezés költségeinek mérlegelésével. Eszerint „Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.” A fogalmi meghatározással összefüggésben felsorolja és rögzíti
