IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
Adatvagyon, adatvédelem, információbiztonság ■ 75 Fentiek ismertetésével összefüggésben szükséges megjegyezni, hogy az általános, minden adatkezelőre kiterjedő nyilvántartási és bejelentési, illetve értesítési kötelezettség a GDPR egyik legjelentősebb változása, amelyre jóval kevesebb figyelem fordult a hatálybalépéssel összefüggő médiakampányokban, mint a bírságolás módszertanának változására. Álláspontom szerint megfelelő adatvagyon-nyilvántartás hiányában az alapvető kötelezettségek sem teljesíthetők a szervezetek oldaláról. Emellett azt is ki kell emelni, hogy az adatvédelmi incidensekre vonatkozó előírások nem a GDPR-ben jelentek meg először az Európai Unió adatvédelmi jogában, ahogy az átültetéssel járó kodifikációs eredmények is megjelentek már a nemzeti jogban. Például az elektronikus hírközlési ágazatban 2009 óta vonatkoznak előírások a személyes adatok biztonsága sérülésének esetkörére,56 amely során az Eht.57 módosításával ültette át a jogalkotó az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK (2002. július 12.) az Európai Parlament és a Tanács irányelvet. 56 Az Európai Parlament és a Tanács az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK (2002. július 12.) irányelv rendelkezései közé a 2009/136/EK irányelv ültette át a kötelezettséget. 57 Az elektronikus hírközlésről szóló 2003. évi C. törvény Sommázva az ismertetett rendelkezéseket, gyakorlati következtetésként az alábbiak vonhatók le: A GDPR: a) általános, a magas kockázatot nem jelentő biztonsági eseményekre is kiterjedő nyilvántartási kötelezettséget ír elő valamennyi adatvédelmi incidensre, és tevékenységtől vagy szektortól függetlenül valamennyi adatkezelő részére; b) az adatkezelő részére az incidens bejelentésére nyitva álló határidőt maximalizálja, a tudomásszerzéstől számított legfeljebb 72 órában, amely az eddigieknél gyorsabb reagálási képességet követel meg az érintettektől. Következtetésként vonható le továbbá, hogy mind az adatkezelőknek, mind az adatfeldolgozónak úgy kell megterveznie, kialakítania és szerveznie adatkezelési rendszereit, ügyviteli folyamatait, és úgy kell biztosítania az üzletmenet folytonosságát, hogy az adatvédelmi incidens(eke)t képes legyen felismerni, annak érdekében, hogy azokat nyilvántartásba vehesse, majd mérlegelhesse az érintettre vonatkozó várható kockázat mértékét, és még határidőben eleget tehessen az esetleges bejelentési és értesítési kötelezettségének. Mindezt úgy, hogy termé
