IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
Adatvagyon, adatvédelem, információbiztonság ■ 73 a) a nemzeti hatóság a szükséges intézkedéseket megtegye és a bejelentések tartalmából akár egyes adatkezelői csoportokra, szolgáltatási területekre nézve is adatot szerezhessen az adatbiztonság tényleges helyzetére vonatkozóan; b) az adatkezelő a személyes adatokat ért incidenseket felismerje, körülményeit felmérje, azokat megfelelően dokumentálja, amely alapján tervezhetővé válnak a szükséges védelmi intézkedések; c) az adatkezelő - a jó hírnevét is veszélyeztető incidensek és a hozzájuk kapcsolódó értesítési kötelezettségek előfordulásának minimalizálása érdekében - jelentős erőforrásokat fordítson az adatbiztonság szintjének növelésére, az incidenssel érintettek számának, vagy a potenciális károknak a csökkentésére.45 45 Szőke Gergely László: Értesítési kötelezettség az adatvédelmi incidensek esetén - elméleti és gyakorlati kérdések. JURA, 2017/1. 46 GDPR 33. cikk ( 1 ) bekezdés 47 GDPR 33. cikk (3) bekezdés Az adatvédelmi incidensek hatékony kezelése érdekében a GDPR 33. cikke előírja, hogy az adatvédelmi incidens bekövetkezését az adatkezelő indokolatlan késedelem nélkül - ha lehetséges, legkésőbb 72 órával az után, hogy az a tudomására jutott - köteles bejelenteni az illetékes felügyelő hatóságnak.46 A GDPR a bejelentés főbb tartalmi elemeit is meghatározza az egységes kezelés érdekében, így többe között előírja, hogy a bejelentésben rögzíteni kell: a) az adatvédelmi incidens jellegét (körülményei), és ha az lehetséges, az arra vonatkozó adatokat (érintettek köre és száma, az incidenssel érintett adatok köre); b) az adatvédelmi tisztviselő vagy kapcsolattartó személyének nevét és elérhetőségeit; c) az incidens várható hatását, következményeit; d) az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.47 Ha az adatkezelő a bejelentésre előírt 72 órás maximális határidőt elmulasztja, akkor a bejelentéséhez mellékelni köteles a késedelem igazolására szolgáló indokokat is.
