IRATANYAG HASZNÁLATA - Kutatás, tájékoztatás, ügyfélszolgálat
Cseh Gergő Bendegúz - Köbel Szilvia (szerk.): A GDPR és a levéltárak - különös tekintettel a totalitárius rendszerek irataira, ÁBTL, Bp. 2021. - Bodó Attila Pál: Adatvagyon, adatvédelem, információbiztonság
78 ■ Bodó Attila Pál feldolgozóval végrehajtatja) és az adatfeldolgozó65 (az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel) fogalmát. 65 Infotv. 3.§ 18. pontja 66 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról szóló 2018. évi XXXVIII. törvény 16. §-a 67 Infotv. 25/J. § Szintén a GDPR rendelkezéseivel összhangban került módosításra66 az In fotv. adatvédelmi incidensek kezelésére vonatkozó része, amely önálló alcímben67 tartalmaz további részletszabályokat. A szabályozás összhangban áll a GDPR előírásaival, az adatvédelmi incidens bejelentési kötelezettségét az adatkezelőnek elektronikus úton, az alábbi részletszabályok mentén teljesítenie: a) haladéktalanul, de legfeljebb a tudomásszerzését követő 72 órán belül kell bejelentenie a nemzeti hatóságnak, kivéve, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére; b) ha a bejelentési kötelezettséget akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően haladéktalanul, a késedelem okait feltáró nyilatkozat mellékelésével kell teljesítenie; c) a bejelentés keretében az adatkezelőnek ismertetnie kell az adatvédelmi incidens jellegét, beleértve az érintettek körét és hozzávetőleges számát, valamint az érintett adatok körét és hozzávetőleges mennyiségét, az incidensből eredő, valószínűsíthető következményeket, továbbá az incidens kezelésére tett vagy tervezett intézkedéseket; e) tájékoztatást kell adnia az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól. Ha az adatvédelmi incidens az adatfeldolgozó tevékenységével összefüggésben merült fel vagy azt az adatfeldolgozó észleli, a tudomásszerzését követően haladéktalanul tájékoztatnia kell az adatkezelőt. Ha az adatvédelmi incidens magas kockázatú adatvédelmi incidensnek minősül, azaz valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel jár, az adatkezelő az érintettet haladéktalanul tájékoztatja, kivéve a nemzetbiztonsági célú adatkezelést. Mentesül az adatkezelő a haladéktalan tájékoztatási kötelezettség alól, ha:
