Egészségügyi adatok és IT-selejtezés: a különleges kategória kötelezettségei

Kiszerelt SATA SSD egy klinikai munkafelületen, egészségügyi IT-eszköz selejtezés előkészülete

Egészségügyi adatok és IT-selejtezés: a különleges kategória kötelezettségei

Az egészségügyi adatok megsemmisítése az IT-eszközök életciklusának végén szigorúbb elvárás alá esik, mint az általános üzleti adaté, mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. Az egészségügyi intézmények betegadatot nemcsak munkaállomásokon és szervereken tárolnak, hanem a képalkotó rendszerek, laboratóriumi analizátorok és más orvostechnikai eszközök beépített adathordozóin is, amelyek a selejtezéskor gyakran kimaradnak a nyilvántartásból. A megfelelő eljárás ezért az adathordozók teljes körű felmérésével kezdődik, eszközönként dokumentált törléssel vagy fizikai megsemmisítéssel folytatódik, és minden tételhez tartozó tanúsítvánnyal zárul.

  • Az egészségügyi adat különleges kategóriájú személyes adat, ezért a selejtezéskori maradványkockázatot alacsonyabb szinten kell tartani, mint az általános üzleti adatnál.
  • A legnagyobb rejtett kockázat nem a szerver, hanem az orvostechnikai eszközök és a raktározott, leselejtezett gépek beépített adathordozója, amely rendre kicsúszik a leltárból.
  • Minden selejtezett adathordozóhoz tanúsítvány és visszakövethető átadási lánc tartozzon, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt.

Egy egészségügyi intézményben a betegadat nem ott van, ahol elsőre keresnénk. A háziorvosi vagy kórházi informatikus fejében a betegadat a központi rendszerben és a szervereken él, gondosan mentve és titkosítva. A valóságban ugyanaz az adat szétszóródik a szervezeten: a recepciós munkaállomás merevlemezén, a leselejtezett és a raktár sarkába tolt régi gépeken, a laptopon, amit egy főorvos évek óta hazavisz, és ami sokakat meglep, a képalkotó és laboratóriumi eszközök beépített tárolóin. Amikor ezek az eszközök életciklusuk végére érnek, a rajtuk maradt egészségügyi adat kezelése nem rutinszerű IT-selejtezés, hanem különleges kategóriájú személyes adat megsemmisítése, magasabb bizonyítási elvárással.

Miért szigorúbb az egészségügyi adat?

Az általános adatvédelmi rendelet az egészségügyi adatot a személyes adatok különleges kategóriájába sorolja, a faji vagy etnikai származásra, politikai véleményre és néhány más adattípusra vonatkozó adattal együtt.

Ennek a besorolásnak közvetlen következménye van a selejtezésre. A GDPR az adatkezelés biztonságáról szóló rendelkezése (32. cikk) a kockázattal arányos technikai és szervezési intézkedéseket ír elő, az adatkezelési alapelvek pedig (5. cikk) az integritás és bizalmas jelleg elvét rögzítik. A kockázatarányosság elvéből következik, hogy a betegadatot tartalmazó adathordozót jellemzően magasabb kockázatúként kell értékelni, mint egy általános üzleti dokumentumot. Védhető, auditálható gyakorlatként ilyenkor a hitelesített törlés vagy a fizikai megsemmisítés javasolt, és a folyamat bizonyíthatóságára is nagyobb súly esik.

A jogszabályi keretet erősíti, hogy az egészségügyi ellátás a kiberbiztonsági szabályozás által kiemelten kezelt ágazatok közé tartozik. A NIS2 a kiberbiztonsági kockázatkezelési intézkedéseket írja elő (21. cikk), a vezető testületek jóváhagyási és felügyeleti felelősségét pedig külön rögzíti. Az informatikai eszközök teljes életciklusa, beleértve a selejtezést, része a kezelendő kockázatoknak. Egy egészségügyi intézménynél tehát a selejtezési folyamat nem csupán adatvédelmi, hanem intézményvezetői felelősségi kérdés.

A rejtett adathordozók: ahol a betegadat tényleg van

Merevlemez, dokumentum-mappa és toll egymás mellett, dokumentált adathordozó-megsemmisítés

Az egészségügyi szektor selejtezési kockázatának súlypontja eltér a többi ágazattól. Egy pénzügyi cégnél vagy egy gyártónál az adathordozók viszonylag jól ismert eszközkategóriákban élnek. Az egészségügyben ezzel szemben az adat gyakran ott van, ahová az IT-leltár ritkán néz be:

  • Képalkotó rendszerek. A CT, MR, ultrahang és röntgen berendezéseknél a vizsgálati képek és a hozzájuk tartozó betegazonosítók gyakran a beépített vezérlőszámítógépen vagy a hozzá kapcsolt munkaállomáson maradnak, a rendszer felépítésétől függően. Ezek az eszközök 10-15 évig is szolgálatban vannak, és a cseréjükkor a helyi tároló sorsa gyakran tisztázatlan.
  • Laboratóriumi analizátorok. Egyes laboratóriumi analizátorok és a hozzájuk kapcsolt vezérlőgépek vagy middleware rendszerek eredményeket, betegazonosítókat és mintaadatokat tárolhatnak. Ahol ez így van, az eszköz selejtezéskor éppúgy adathordozó, mint egy merevlemez.
  • PACS és archiváló rendszerek szerverei. A képarchiváló rendszerek nagy tömegű, hosszú megőrzési idejű betegadatot tárolnak; ezek leselejtezésekor a szerverben lévő minden meghajtó érintett.
  • Munkaállomások és raktározott tartalék. A recepciós, orvosi és adminisztratív munkaállomások, valamint a „majd lesz vele valami” alapon raktárba került régi gépek gyakran évekig őriznek elérhető betegadatot.
  • Hordozható és magántulajdonú eszközök. Az orvosok által használt laptopok, tabletek és a betegadathoz hozzáférő magáneszközök a szervezet látóterén kívül eshetnek.

A selejtezés első lépése ezért nem a megsemmisítés, hanem a felmérés: melyik eszközön van vagy lehet betegadat. Amit a szervezet nem tart nyilván, azt nem is tudja bizonyíthatóan megsemmisíteni, és a nyilvántartásból kicsúszó eszköz az egyik legnehezebben bizonyítható kockázati pont.

Törlés vagy megsemmisítés: melyik mikor?

Az adathordozó életciklusának végén két megbízható eljárás létezik. A szoftveres törlés hitelesített felülírással teszi visszaállíthatatlanná az adatot úgy, hogy az eszköz fizikailag ép és tovább használható marad. A fizikai megsemmisítés néhány célzott vágással teszi az adathordozót olvashatatlanná. Az egészségügyi kontextusban a választást nem egy általános szabály, hanem az adott eszköz állapota és a benne rejlő érték dönti el:

  • Egy értékes, működőképes munkaállomás vagy szerver esetében a hitelesített törlés rendszerint jobb választás, mert az eszköz megtartja az értékét, sőt továbbadható vagy beszámítható.
  • Egy hibás, nem olvasható vagy kiszerelt adathordozónál a fizikai megsemmisítés az egyszerűbb és biztos út.
  • A beépített tárolójú orvostechnikai eszközöknél gyakran a beszállítóval egyeztetett módszer kell, mert a garancia, a validáció és a gyártói támogatás is szerepet játszik.

Fontos tisztázni egy elterjedt tévhitet: a gyári visszaállítás vagy a formázás önmagában nem törlés. A modern adathordozók, különösen az SSD-k működése miatt a felszínesen „letöröltnek” tűnő adat helyreállítható maradhat. Betegadatnál ez a különbség nem elméleti kérdés.

Az sem igaz, hogy a két eljárás közül az egyik mindig olcsóbb. Az összköltséget a mennyiség, a helyszín, az eszközök állapota és a maradványérték együtt határozza meg. Éppen ezért egy egészségügyi intézménynél a selejtezés nem feltétlenül tiszta kiadás: a még értékes gépeknél a hitelesített törlés és a felvásárlásba beszámítás akár csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és mindig előzetes értékfelmérést igényel, de érdemes a döntésnél számolni vele.

Helyszínen vagy beszállítással?

Az egészségügyi környezet egy további döntést is felvet, amely más ágazatokban ritkábban éles: a selejtezés a helyszínen történjen, vagy az eszközök beszállításával. Mindkettőnek van létjogosultsága, és a választás itt sem árkérdés önmagában.

A helyszíni selejtezés előnye, hogy az adathordozó ki sem lép az intézmény falai közül, így a külső szállítás kockázata kiesik (a belső mozgatás és hozzáférés láncát természetesen ilyenkor is dokumentálni kell). Ez különösen érzékeny betegadatnál vagy nehezen mozgatható berendezéseknél lehet indokolt, például egy beépített tárolójú képalkotó rendszernél, amelyet nem egyszerű elszállítani. A helyszíni megoldás ára jellemzően magasabb, mert a vágáshoz szükséges eszközöket és az ellenőrzött személyzetet ki kell vonultatni; helyszíni törlésnél a helyiség mérete és az egyszerre kezelhető gépszám is befolyásolja a ráfordítást. A pontos költséget mindig az eszközszám, a helyszín és a logisztika együtt adja.

A beszállításos selejtezés logisztikailag egyszerűbb és nagyobb tételnél gazdaságosabb lehet, cserébe a szállítási szakasz dokumentált, lezárt láncot kíván: ki, mikor, milyen lezárt szállítóeszközben vette át az adathordozókat, és mikor történt a tényleges megsemmisítés. Egy egészségügyi intézménynél a döntést az adat érzékenysége, az eszközök mozgathatósága, a mennyiség és a földrajzi távolság együtt határozza meg. A gyakorlatban egy vegyes megoldás is elképzelhető: a nehezen mozgatható vagy legérzékenyebb eszközök helyben, a többi beszállítással.

A bizonyíték: tanúsítvány és átadási lánc

Egy adatvédelmi audit vagy egy incidenskivizsgálás során nem az számít, hogy a szervezet elvben megsemmisítette az adatot, hanem hogy ezt bizonyítani tudja. Az egészségügyi adat magas kockázati besorolása miatt a bizonyíthatóság itt még fontosabb, mint máshol.

Minden selejtezett adathordozóhoz tartozzon hiteles tanúsítvány, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt. A tanúsítvány alapja a nyomon követhetőség: az eszköz egyedi azonosítója (sorozatszám, leltári szám), a selejtezés módja, dátuma és felelőse, valamint a köztes időszak, amíg az eszköz átadástól a megsemmisítésig eljut. Ez az átadási lánc a leggyakrabban kifelejtett elem. Egy megsemmisítési tanúsítvány önmagában keveset ér, ha az átvétel és a tényleges megsemmisítés közötti napokat senki nem dokumentálta, hiszen éppen ebben az ablakban a legmagasabb a kockázat.

Ha az intézmény külső szolgáltatóval végezteti a selejtezést, és a szolgáltató személyes adatot tartalmazó eszközhöz hozzáférhet vagy azt kezelheti, adatfeldolgozói konstrukciót kell vizsgálni: a GDPR 28. cikke szerinti adatfeldolgozói szerződést és a világos felelősségi határokat előre rendezni kell. Az intézménynek joga van megismerni, ki, hol és milyen módszerrel fér hozzá az adathordozóihoz, és milyen bizonylat igazolja a folyamat lezárását.

Mit tegyen egy egészségügyi intézmény?

A gyakorlati sorrend négy lépés. Először teljes körű adathordozó-felmérés, amely kiterjed az orvostechnikai eszközök beépített tárolóira és a raktározott tartalékra is. Másodszor eszközönkénti döntés a megfelelő eljárásról, az adat érzékenységének és az eszköz értékének figyelembevételével. Harmadszor a selejtezés dokumentált végrehajtása, minden tételhez tanúsítvánnyal és lezárt átadási lánccal. Negyedszer a folyamat visszavezetése az eszköznyilvántartásba, hogy az audit bármely eszközt végig tudjon követni.

A cél nem a legdrágább, hanem a legoptimálisabb megoldás: az az eljárás, amely az adott adathordozónál a szükséges biztonsági szintet a lehető legkisebb ráfordítással, bizonyíthatóan éri el. Ha bizonytalan, mely eszközein maradhat betegadat, érdemes előzetes eszköz- és értékfelméréssel eldönteni, melyik gépnél a hitelesített törlés és a beszámítás, melyiknél a vágás az optimális; a datad szakértői ehhez adnak előzetes felmérést és ajánlatot.

Gyakori kérdések

Miért szigorúbb az egészségügyi adat megsemmisítése, mint az általános üzleti adaté?

Mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. A magasabb kockázati besorolás miatt a selejtezéskor a maradványkockázatot alacsonyabb szinten kell tartani, és a folyamat bizonyíthatóságára is nagyobb hangsúly esik.

Mely eszközökön maradhat betegadat egy intézményben?

Nem csak a szervereken és munkaállomásokon: a képalkotó rendszerek (CT, MR, ultrahang), a laboratóriumi analizátorok, a PACS archiváló szerverek, a raktározott régi gépek és az orvosok hordozható eszközei mind tárolhatnak betegadatot a beépített adathordozóikon. Ezek gyakran kimaradnak az IT-leltárból.

Elég-e a gyári visszaállítás vagy a formázás betegadat törléséhez?

Nem. A gyári visszaállítás és a formázás önmagában nem teszi visszaállíthatatlanná az adatot, különösen SSD-knél. Betegadatnál hitelesített szoftveres törlés vagy fizikai megsemmisítés az elvárt szint, dokumentált bizonyítékkal.

Kell-e tanúsítvány a szoftveres törlésről is, vagy csak a fizikai megsemmisítésről?

Mindkét eljáráshoz hiteles tanúsítvány jár. A tanúsítvány igazolja az eszköz azonosítóját, a selejtezés módját és dátumát, valamint a nyomon követhető átadási láncot, ami audit és incidenskivizsgálás során a bizonyíték alapja.

Adatfeldolgozó-e a selejtezést végző külső szolgáltató?

Ha a szolgáltató betegadatot tartalmazó eszközt kezel, akkor a folyamat során adatfeldolgozónak minősülhet, ezért a GDPR 28. cikke szerinti adatfeldolgozói szerződés és a felelősségi határok tisztázása szükséges. Az intézménynek joga van megismerni, ki és milyen módszerrel fér hozzá az adathordozóihoz.

Mindig kiadás a selejtezés, vagy lehet belőle bevétel?

Nem mindig tiszta kiadás. A még értékes, működőképes gépeknél a hitelesített törlés megőrzi az eszköz értékét, és a felvásárlásba beszámítás csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és előzetes értékfelmérést igényel.

Források

SSD adattörlés: miért nem elég a formázás, és hogyan működik a kriptográfiai törlés?

leselejtezett SSD adathordozó tanúsított adattörlés előtt

SSD adattörlés: miért nem elég a formázás, és hogyan működik a kriptográfiai törlés?

Az SSD-k felhasználói formázása és gyári visszaállítása nem számít megbízható adattörlésnek: a flash tároló vezérlője az adatokat a felhasználó elől rejtett cellákba is szétteríti, így a felülírás sikere nem bizonyítható teljeskörűen. SSD-nél a nemzetközi médiatisztítási iránymutatás szoftveres útként jellemzően a kriptográfiai törlést emeli ki: a meghajtó titkosító kulcsának dokumentált megsemmisítését tanúsított folyamatban, amitől a tárolt tartalom — igazolhatóan titkosított meghajtón a rejtett cellákra is kiterjedően — visszafejthetetlenné válik. A módszer feltétele az igazolhatóan működő titkosítás és a dokumentált, tanúsított folyamat; ha ez nem áll fenn, SSD-nél a tanúsított fizikai megsemmisítés marad a védhető lezárás.
Legfontosabb megállapítások:

  • Az SSD formázása, gyári visszaállítása vagy egyszerű felülírása a kiegyenlítés (wear leveling) és a rejtett tartalékterület miatt nem ad bizonyítható, teljes adattörlést.
  • A kriptográfiai törlés nem a cellákat írja felül, hanem a titkosító kulcsot semmisíti meg — igazolhatóan titkosított meghajtón így a hatása a rejtett és tartalék cellákra is kiterjed, de csak tanúsított, dokumentált folyamatban ér valamit.
  • Ha a titkosítás nem verifikálható, a meghajtó sérült, vagy a folyamat nem dokumentálható, SSD-nél a tanúsított fizikai megsemmisítés a védhető út.

Egy leselejtezett SSD önmagában olcsó eszköz, a rajta maradt adat kockázata viszont akár egy egész adatvédelmi incidensé. A szervezetek mégis gyakran ugyanazzal a reflexszel kezelik a flash meghajtókat, mint a régi merevlemezeket: formáznak, gyári visszaállítást futtatnak, majd az eszközt továbbadják vagy raktárba teszik. Ami merevlemeznél nagyjából működött, az SSD-nél hamis biztonságérzet.

Az NIST SP 800-88 Rev. 2 médiatisztítási iránymutatása éppen ezért kezeli külön az SSD-ket: flash alapú tárolónál a felülíráson alapuló törlés nem ad ugyanolyan bizonyosságot, mint mágneses lemeznél, ezért szoftveres útként jellemzően a kriptográfiai törlést emeli ki. Hogy adott meghajtónál ez vagy a fizikai megsemmisítés a megfelelő, az az adat bizalmassági szintjén és az eszköz állapotán múlik.

Az általános, minden adathordozó-típusra érvényes döntési keretet — mikor törlés, mikor megsemmisítés — a fizikai megsemmisítés vagy tanúsított adattörlés írásunk tárgyalja. Ez a cikk a technika mélyére megy: miért nem törölhető hagyományos módon a flash tároló, pontosan hogyan működik a kriptográfiai törlés, és mik a feltételei, amelyek nélkül a módszer csak egy jól hangzó szó.

Miért nem számít adattörlésnek a formázás egy SSD-n?

A hagyományos merevlemez egy adott logikai szektort ugyanarra a fizikai helyre ír. Ha felülírják, az eredeti adat helyére ténylegesen új adat kerül. Az SSD egészen máshogy működik, és pontosan ez a különbség teszi félrevezetővé a megszokott törlési módszereket.

A flash memóriának korlátozott az írási ciklusszáma, ezért a vezérlő folyamatosan szétteríti az írásokat a cellák között. Ezt hívják kiegyenlítésnek (wear leveling), és emellett az SSD egy rejtett tartalékkapacitást is fenntart (over-provisioning). Amikor a felhasználó „felülír” egy fájlt, a régi adat fizikailag gyakran egy másik, kívülről közvetlenül nem címezhető cellában marad.

A gyakorlatban ez azt jelenti, hogy a felhasználói formázás, az operációs rendszerből indított gyári visszaállítás és a fájlszintű törlés egyike sem ad megbízható bizonyítékot arról, hogy minden adat végleg elérhetetlenné vált. A meghajtó kifelé üresnek látszik, miközben a rejtett cellákban ott maradhatnak az eredeti adattöredékek. A szoftveres felülírás sikere ráadásul nem is ellenőrizhető ugyanolyan egyértelműen, mint mágneses lemeznél: a vezérlő dönti el, mely cellákba ír valójában.

Fontos árnyalat: léteznek gyártói, eszközszintű secure erase és sanitize műveletek, amelyek valódi kriptográfiai törlést hajthatnak végre. A különbség nem a gomb nevében van, hanem a bizonyítékban: az operációs rendszerből indított visszaállítás vagy felhasználói formázás önmagában azért nem tekinthető tanúsított SSD adattörlésnek, mert az eredménye nem igazolt és nem dokumentált.

Hogyan működik a kriptográfiai törlés?

Egyes vállalati SSD-k, illetve az önmagukat titkosító meghajtók (self-encrypting drive, SED) alapból titkosítva tárolják az adatot: minden, ami a meghajtóra kerül, egy belső kulccsal titkosítva íródik le. Ilyenkor magának a felhasználói adatnak a törlése helyett elég a titkosító kulcsot megsemmisíteni. Kulcs nélkül a meghajtón maradt teljes tartalom — a rejtett és tartalék cellákban lévő töredékekkel együtt — értelmezhetetlen adathalmazzá válik.

Ezt nevezi a szakma kriptográfiai törlésnek, és két tulajdonsága miatt ez az SSD-k természetes törlési módszere. Az egyik a sebesség: nem kell a teljes kapacitást órákon át felülírni, a kulcs megsemmisítése rövid, gépi művelet. A másik a lefedettség: mivel nem a cellákat írja felül, hanem az értelmezésükhöz szükséges kulcsot szünteti meg, a hatása azokra a területekre is kiterjed, amelyeket a felülírás soha nem érne el — feltéve, hogy a meghajtó valóban minden adatot titkosítva tárolt.

A módszer ereje ugyanakkor teljes egészében a feltételein múlik. A kriptográfiai törlés nem egy gomb, amit bármely SSD-n meg lehet nyomni, hanem eljárás, amelynek minden lépése igazolható kell legyen.

A kriptográfiai törlés három feltétele

SSD adathordozó közeli képe szerverkörnyezetben, adatbiztonsági selejtezés szemléltetése
SSD adathordozó selejtezés előtt: a kriptográfiai törlés csak igazolható feltételekkel ér valamit

Első feltétel: a titkosításnak igazolhatóan, a meghajtó teljes élettartama alatt működnie kellett. Ha nem bizonyítható, hogy az adat végig titkosítva íródott a cellákba, a kulcs megsemmisítése csak a titkosított részt teszi olvashatatlanná — a korábbi, titkosítatlan töredékeket nem. Az, hogy egy SSD tud titkosítani, nem azonos azzal, hogy ez a funkció aktív és megbízható is volt.

Második feltétel: a kulcs megsemmisítésének eszközszintű, gyártói parancson keresztül, ellenőrzötten kell történnie. A jelszó átállítása vagy a partíció törlése nem kulcs-megsemmisítés. A szakszerű folyamat a meghajtó vezérlőjének dedikált parancsával dolgozik, és a végrehajtást gépszinten naplózza. Ide tartozik az is, hogy a kulcsnak ne létezzen külső másolata — mentés, kulcsletét vagy olyan gyártói hozzáférés, amely a későbbi visszanyerést lehetővé tenné.

Harmadik feltétel: a folyamatról tanúsítható, eszközre azonosított riport készül. A GDPR elszámoltathatósági elve nem a technológia nevét kéri számon, hanem a bizonyíthatóságot: dokumentálni kell tudni, melyik meghajtóval, mikor, mi történt. A tanúsított szoftveres adattörlés pontosan ettől több, mint egy házilag futtatott segédprogram — a folyamat végén hiteles tanúsítvány áll, ami a selejtezési audit alapdokumentuma.

Ha a három feltétel bármelyike nem teljesül — a meghajtó sérült, a vezérlő nem elérhető, a titkosítás múltja nem igazolható, vagy az adat érzékenysége miatt a szervezet nem vállal maradék-kockázatot —, akkor SSD-nél a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal. A kettő közötti mérlegelés szempontjait a fent hivatkozott döntési útmutató részletezi.

Mit jelent ez a költségek oldalán?

A kriptográfiai törlés üzleti vonzereje, hogy az eszköz működőképes és újrahasznosítható marad: egy értékes laptopnál vagy szervernél a meghajtó bent maradhat, a gép pedig a törlés után megőrizheti, sőt növelheti az eladási értékét. A tanúsított törlés közvetlen díja jellemzően magasabb, mint néhány vágásé — szoftverlicencet és felügyelt folyamatot igényel —, de értékes eszköznél a visszanyert érték ezt ellensúlyozhatja. Ez lehetőség, nem garancia: mindig előzetes értékfelmérés dönti el. Értéktelen vagy kiszerelt, önálló SSD-nél viszont gyakran a vágásos megsemmisítés az arányosabb megoldás.

Mi a védhető SSD adattörlési gyakorlat?

Az érett szervezeti gyakorlat SSD-nél nem módszert választ előre, hanem feltételeket ellenőriz: működik-e a meghajtó, igazolható-e a titkosítás, dokumentálható-e a folyamat. Ahol a három feltétel teljesül, a kriptográfiai törlés gyors, a rejtett területekre is kiterjedő és az eszköz értékét megőrző lezárást ad. Ahol nem, ott a tanúsított fizikai megsemmisítés zárja le bizonyíthatóan a kockázatot. Mindkét út végén ugyanannak kell állnia: hiteles tanúsítványnak.

Ha szervezete előtt SSD-selejtezés áll, érdemes előzetes értékfelméréssel kezdeni: ez mutatja meg eszközlistára szabottan, hogy hol elég a tanúsított kriptográfiai törlés, és hol indokolt a fizikai megsemmisítés. Egyedi ajánlatkérés alapján a Data Destroy szakértői a legoptimálisabb — és bizonyíthatóan lezárt — megoldásra tesznek javaslatot.

Gyakori kérdések

Elég a formázás vagy a gyári visszaállítás egy SSD-nél?

Nem. A flash tároló vezérlője az adatokat rejtett és tartalék cellákba is szétteríti, ezért a formázás és a gyári visszaállítás nem ad bizonyítható, teljes adattörlést — a meghajtó csak üresnek látszik.

Mit jelent a kriptográfiai törlés SSD-nél?

A titkosítva tároló meghajtón nem az adatot írják felül, hanem a titkosító kulcsot semmisítik meg eszközszintű paranccsal, amitől a teljes tárolt tartalom — a rejtett cellákban is — visszafejthetetlenné válik.

Minden SSD alkalmas kriptográfiai törlésre?

Nem. Feltétele, hogy a meghajtó igazolhatóan, a teljes élettartama alatt titkosítva tárolt, a kulcs-megsemmisítés gyártói parancson át, naplózva történjen, és a folyamatról tanúsított riport készüljön. Ez eszközfüggő, ezért előzetes felmérést igényel.

Mi történik, ha az SSD sérült, vagy a titkosítás nem igazolható?

Ilyenkor a kriptográfiai törlés alapfeltétele hiányzik, ezért a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal.

Drágább a kriptográfiai törlés, mint a fizikai megsemmisítés?

Nem általánosítható. A tanúsított törlés közvetlen díja jellemzően magasabb, cserébe az eszköz újrahasznosítható marad, és megőrizheti az értékét; értéktelen, önálló SSD-nél a vágásos megsemmisítés lehet az arányosabb. A döntést az adat érzékenysége, az eszköz állapota és a bizonyíthatóság vezérli, nem önmagában az ár.

Adatmegsemmisítés és adattörlés ára: mitől függ a szolgáltatás költsége?

Adatmegsemmisítés és adattörlés ára: mitől függ a szolgáltatás költsége?

Adatmegsemmisítés és adattörlés ára: mitől függ a szolgáltatás költsége?

Az adatmegsemmisítés és az adattörlés árára nincs fix listaár: minden megbízás egyedi kalkuláció, mert a végösszeget több tényező együtt alakítja — az eszközök mennyisége és típusa, a választott eljárás (fizikai megsemmisítés vágással vagy szoftveres törlés), a biztonsági szint és a helyszín. A két eljárás eltérő logikát követ, ezért nem a darabár, hanem a nettó eredmény a mérvadó: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. A szoftveres törlés egyik fő előnye éppen ez — az eszköz fizikailag ép és továbbértékesíthető marad, így a visszanyert érték mérsékelheti a projekt költségét. Minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár, amely a GDPR szerinti elszámoltathatóságot bizonyítja. A datad.hu (Data Destroy Kft.) szakértői a megrendelő helyzetéhez igazítva keresik meg a legoptimálisabb — nem a legdrágább — megoldást.

Mitől függ az adatmegsemmisítés és adattörlés ára?

Az adatmegsemmisítés és az adattörlés ára nem olvasható le egyetlen táblázatból. Ez nem rejtett árazás, hanem a szolgáltatás természetéből fakad: minden megbízás más eszközparkot, más biztonsági igényt és más logisztikát jelent, ezért a tisztességes ár mindig az adott projekt paramétereiből áll össze.

A Data Destroy kétféle eljárással dolgozik, és már a kettő közötti választás is az ár egyik kulcskérdése:

  • Fizikai megsemmisítés (vágás): az adathordozót speciális, nagy biztonságú daraboló berendezéssel — a datad által alkalmazott MAXXeGUARD shredder-technológiával — néhány vágással fizikailag használhatatlanná tesszük. A MAXXeGUARD szerepel a NATO Information Assurance Product Catalogue-ban (NIAPC).
  • Szoftveres törlés: minősített szoftverrel (Blancco) úgy töröljük az adatokat, hogy az eszköz fizikailag ép és újrahasználható marad.

Az alábbiakban végigvesszük, mely tényezők alakítják a végösszeget — vezetői szemmel, a felesleges szakmai részletek nélkül.

Eszközmennyiség és a minimáldíj logikája

A darabszám az egyik legerősebb áralakító tényező — de nem lineárisan. Egy megbízásnak vannak fix költségei (a szakemberek kiszállása, a berendezés mozgatása, az adminisztráció), amelyek néhány eszköznél ugyanúgy felmerülnek, mint több száznál. Ezért van minimáldíj, és ezért szerepel az ajánlatban külön kiszállási költség.

Egy szélsőséges példa világossá teszi: öt darab adathordozóért nem gazdaságos ugyanazt az infrastruktúrát és személyzetet kivonultatni, mint ötszázért. Kis tételnél éppen ezért gyakran a beszállításos megoldás az optimális — erről a logisztikai szakaszban lesz szó. Nagyobb mennyiségnél viszont a fix költségek elaprózódnak, így az egy eszközre jutó díj jellemzően csökken.

Vágás vagy törlés? — és miért nem a darabár dönt

Gyakori kérdés, hogy „melyik olcsóbb, a megsemmisítés vagy a törlés?”. Erre nincs egyetemes válasz, mert a kettő mást nyújt, és a végeredményt nettóban érdemes nézni: a szolgáltatás díja mínusz az, ami az eszközből visszajön.

A négy tipikus eset:

  • Értéktelen vagy kiszerelt adathordozó: ha a meghajtónak önmagában nincs piaci értéke, nincs mit megőrizni rajta — a nettó eredmény itt a vágás felé billen.
  • Értékes, működő eszköz: a szoftveres törlés a minősített törlőszoftver (Blancco) licencét és a háttérrendszer fenntartását igényli, cserébe viszont az eszköz fizikailag ép marad és továbbértékesíthető. A megmaradó érték miatt itt a nettó eredmény a törlés javára billenhet — a visszanyert eszközérték mérsékli a projekt költségét.
  • Komplett, piaci értékkel bíró gép: ilyenkor gyakran az a leggazdaságosabb, ha a meghajtót a gépben hagyjuk és töröljük — mert ez megőrzi, sőt növelheti a teljes gép eladási értékét.
  • Vegyes park: a legtöbb nagyobb projekt vegyes. Amit érdemes megőrizni, azt töröljük; amit nem, azt vágással semmisítjük meg. Ez gyakran a legjobb összesített eredmény.

Egy kivezetési projekt sokszor sokféle adathordozót tartalmaz egyszerre — HDD, SSD, szerver, laptop, DAT kazetta, mobiltelefon, memóriakártya, USB pendrive. Eszközönként más a kérdés: lehet-e az adatot a gépben hagyva törölni, vagy ki kell szerelni a meghajtót, és egy erre dedikált törlőállomáson törölni. Van, amit egyszerűen nem éri meg törölni: a DAT kazetta szoftveres törlése például rendkívül körülményes, és a használt szalagnak nincs érdemi másodpiaci értéke — ilyenkor a vágással történő megsemmisítés a logikus út.

A lényeg: a darabár önmagában félrevezető. A szakértő azt nézi, hogy az adott eszközparkból mi a legkedvezőbb nettó kimenet.

A vágás biztonsági szintje és a felülírás mint ártényező

A megsemmisítésnél nem mindegy, milyen apró darabokra vágjuk az adathordozót. Minél kisebb darabokra, annál magasabb a biztonsági szint — de annál több a gépidő is, ami emeli az árat. Egy magasabb biztonsági besorolású megsemmisítés tehát jogosan kerül többe, mint néhány gyors vágás.

A szoftveres törlésnél hasonló a logika a felülírással: az egyszeri és a többszörös felülírás eltérő időt vesz igénybe — több menet több gépidőt és így magasabb költséget jelent. Hogy melyik szint indokolt, az az adat érzékenységétől függ; ezt a megrendelővel közösen határozzuk meg.

Azt, hogy hány vágás vagy felülírás indokolt, alapvetően két dolog dönti el: a megrendelő belső adatkezelési szabályzata (policy), és a szakmailag alátámasztható, logikus biztonsági igény. Ha egy szabályzat előír egy adott darabolási szintet, annak meg kell felelni — a belső előírás tiszteletben tartása a kiindulópont. A tapasztalat ugyanakkor az, hogy a szabályzatok sokszor a legszigorúbb szintet rögzítik, ami nem minden esetben technikailag indokolt; ilyenkor érdemes közösen átgondolni, mi a valós kockázattal arányos megoldás. Ahol nincs ilyen kötöttség, ott a megfelelően megválasztott vágási mód a gyakorlatban visszaállíthatatlanná teszi az adatot — a szükséges darabolási szintet pedig az adathordozó típusa és a kockázat szabja meg.

> A teljesség kedvéért: a demagnetizálás (degausszolás) szintén egy ismert megsemmisítési mód, a Data Destroy azonban ezt nem alkalmazza — az ügyfelek (jogos) bizalmatlansága miatt, hiszen az eredménye szabad szemmel nem ellenőrizhető. Mi a vizuálisan is ellenőrizhető vágást, illetve a tanúsítvánnyal igazolt szoftveres törlést kínáljuk.

Helyszín és logisztika: hol és hogyan történik a munka?

Az ár egyik kevésbé látható, de fontos összetevője, hogy hol végezzük el a munkát, és ki szállítja az eszközöket.

Helyszíni vagy beszállításos elvégzés

Beszállításos megoldásnál az eszközök a Data Destroy telephelyére kerülnek, ahol a feldolgozás saját, optimalizált kapacitáson zajlik. Ez jellemzően kedvezőbb egységköltséget tesz lehetővé, és kis tételnél szinte mindig ez az ésszerű választás.

Helyszíni elvégzés akkor indokolt, ha a belső szabályzat vagy a körülmények nem teszik lehetővé az eszközök elszállítását. Itt fontos különbség van a két eljárás között:

  • Helyszíni megsemmisítés (vágás) esetén a nagy értékű ipari berendezést és a megfelelő jogosultságú, tapasztalt szakembereket a helyszínre visszük. Ez nem egyszerű „kiszállási felár”, hanem egy komplett mobil szolgáltatás kivonultatása, ami jelentős többletköltséggel jár.
  • Helyszíni törlésnél a megfelelő kezelőkörnyezetet mi hozzuk létre és telepítjük a törlés idejére; a megrendelő oldaláról elég a hely, az áram és az alaphálózat biztosítása. Itt egy gyakran alábecsült tényező a rendelkezésre álló helyiség mérete: nem mindegy, hogy egyszerre tíz vagy ötven gépet tudunk feldolgozni, mert ez közvetlenül befolyásolja a projekt időtartamát és így a költségét.

Szállítás és földrajzi távolság

Az is számít, hogy ki és hogyan szállítja az eszközöket. Ha a Data Destroy zárt, nyomon követett láncban gyűjti be az adathordozókat, az nagyobb biztonságot ad, de logisztikai költséggel jár. Ha a megrendelő maga szállít, az olcsóbbnak tűnhet — de érdemes mérlegelni, hogy a saját szállítás során ki viseli a kockázatot egy esetleges eltűnésért. A földrajzi távolság szintén tényező: egy budapesti és egy debreceni helyszín kiszállási költsége értelemszerűen eltér.

Iparági megfelelés és dokumentáció

Vegyes adathordozók egy helyen: merevlemez, SSD, M.2, USB és memóriakártya
Vegyes adathordozók egy helyen: merevlemez, SSD, M.2, USB és memóriakártya

Bizonyos ágazatokban — pénzügy, egészségügy, állami szektor, illetve TISAX vagy ISO 27001 szerint auditált környezetben — magasabb kontrolligény szokott megjelenni. Ez nem azt jelenti, hogy a szolgáltatás önmagában „megfelelést ad”, hanem azt, hogy ezekben a környezetekben jellemzően szigorúbb folyamatra, szorosabb kontrollra és nagyobb körültekintésre van szükség, ami az árban is megjelenhet.

A háttérben a GDPR elszámoltathatósági elve (5. cikk (2) bekezdés) áll: a szervezetnek bizonyítania kell, hogy az adatkezelési — így az adattörlési — kötelezettségeit teljesítette. Az adathordozók biztonságos kivezetése a tágabb kiberbiztonsági kontrollkörnyezetnek (például a NIS2 irányelv kockázatkezelési elvárásainak) is része lehet. Mindez közvetve azt jelenti: a megfelelő dokumentáció nem formalitás, hanem maga a bizonyíték.

Tanúsítvány és nyomonkövetés — minden megbízás része

Fontos tisztázni: minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár. Ez nem opcionális felár, hanem a szolgáltatás alapvető eleme. Egy auditbiztos megbízás dokumentációja jellemzően tartalmazza:

  • A tételes eszközjegyzéket — minden kezelt adathordozó sorozatszáma, típusa és a rajta elvégzett eljárás.
  • A tételes, visszakereshető tanúsítványt — a projekt dátumával, az érintett eszközök listájával, az alkalmazott eljárással és a felelős aláírásával.
  • Az átvételi-átadási nyomonkövetést (chain of custody) — annak igazolása, hogy az eszközök a begyűjtéstől a feldolgozás befejezéséig végig felügyelet alatt voltak.

Bizonyos megbízásoknál — jellemzően szigorúbb iparági vagy ügyfél-elvárás esetén — videós dokumentáció is kérhető a folyamatról. Ez projektfüggő, és mivel többletmunkát jelent, az árban is megjelenhet.

Költség vagy bevétel? Az értékes eszközök más képlet

Érdemes a projektre nem pusztán kiadásként tekinteni. Értékes, működő eszközöknél a felvásárlás-beszámítás csökkentheti, sőt kedvező esetben akár meg is fordíthatja a projekt költségét — ez azonban lehetőség, nem garancia, és előzetes állapot- és értékfelmérést igényel.

A logika egyszerű: ha egy gép vagy meghajtó még piacképes, akkor a tanúsított törlés után értékesíthető vagy beszámítható. A Data Destroy felvásárlási és IT-újrahasznosítási szolgáltatása így összekapcsolható az adattörléssel — a megrendelő nemcsak a megfelelőséget teljesíti, hanem a kivezetett eszközparkból visszanyert értékkel a projekt nettó költségét is mérsékelheti. Ez akkor is előny, ha a cég véglegesen kivezeti a gépet: ha a meghajtót benne hagyják és tanúsítottan törlik, a gép jellemzően magasabb áron értékesíthető, mint adathordozó nélkül — így a felvásárlási beszámítás közvetlenül csökkenti a törlési projekt nettó költségét. Hogy ez konkrétan mennyit jelent, mindig az eszközök korától, típusától és állapotától függ.

Hogyan kérj pontos ajánlatot?

A pontos, összehasonlítható ajánlathoz érdemes előre összeállítani néhány alapinformációt. Minél pontosabb a kép, annál pontosabb az ár:

  • Eszközök: típus (HDD, SSD, szerver, laptop, DAT kazetta, mobileszköz), becsült darabszám, hozzávetőleges kor és állapot (működő vagy hibás), illetve hogy a meghajtók kiszerelve vannak-e vagy a gépben.
  • Eljárás és biztonsági szint: vágás, törlés vagy vegyes — ha nem eldöntött, javaslunk; valamint hogy van-e elvárt biztonsági szint.
  • Helyszín: helyszíni vagy beszállításos; helyszíni törlésnél áll-e rendelkezésre megfelelő méretű helyiség; ki szállítja az eszközöket.
  • Határidő: van-e sürgős vagy audithoz kötött határidő.
  • Megfelelés és extra dokumentáció: van-e iparági (pénzügy, egészségügy, TISAX, ISO) elvárás; kell-e a tanúsítványon felül videós dokumentáció a folyamatról.
  • Érték: van-e a parkban értékesíthető, beszámítható eszköz.

Az ajánlat összehasonlítása: ne csak a darabárat nézzük

Ha több szolgáltatótól kér ajánlatot, az összehasonlítás félrevezető lehet, ha kizárólag az egységárakra figyel. Két azonos darabárú ajánlat mögött is eltérő minőség állhat: egy komoly szolgáltatónál a részletes, sorozatszámos, tételes tanúsítvány alapelvárás — máshol viszont csak egy összesített igazolás jár. Egy audit vagy hatósági vizsgálat esetén ez a különbség döntő. Ezért érdemes a teljes csomagot összehasonlítani: a tanúsítvány megbízhatóságát és tételességét, a megmaradó eszközértéket és a szakmai hátteret, nem csak a forintos egységdíjat.

A Data Destroy szakértői éppen ebben segítenek: az adat érzékenysége, az eszközök állapota és értéke, a helyszín, a határidő és a megfelelési elvárás alapján a legoptimálisabb megoldást keresik meg — gyakran épp a vegyes modellt —, nem automatikusan a legdrágábbat.

Legfontosabb megállapítások:

  • Az adatmegsemmisítés árára nincs fix listaár: a mennyiség, az eljárás (vágás vagy törlés), a helyszín és az eszközök típusa együtt határozza meg az egyedi kalkulációt.
  • Nem általánosítható, hogy melyik eljárás olcsóbb: a végeredményt nettóban érdemes nézni — a szolgáltatás díja mínusz az eszköz megmaradó értéke. Értékes, működő gépeknél a törlés akár csökkentheti is a teljes költséget.
  • Minden törléshez és megsemmisítéshez hiteles, tételes tanúsítvány jár — ez nem külön felár, hanem a szolgáltatás alapvető része.

Gyakori kérdések

Miért nincs kiírva fix adatmegsemmisítési árlista?

Mert a tisztességes ár mindig a konkrét projekt paramétereiből áll össze: a mennyiség, az eljárás (vágás vagy törlés), a biztonsági szint, a helyszín és a logisztika együtt határozza meg. Egy fix listaár vagy túlárazna egy egyszerű megbízást, vagy alulárazna egy összetettet — ezért adunk minden esetben egyedi kalkulációt.

A törlés vagy a megsemmisítés az olcsóbb?

Nem általánosítható. A két eljárás más logikát követ: a vágás után az adathordozó megsemmisül, a szoftveres törlés után az eszköz ép és értékesíthető marad. Ezért nem a darabárat, hanem a nettó eredményt érdemes nézni: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. Értékes, működő gépnél a megmaradó érték miatt a törlés adhat kedvezőbb összképet.

Kapok-e tanúsítványt a munkáról?

Igen, minden esetben. Hiteles, tételes tanúsítvány minden törléshez és megsemmisítéshez jár — ez nem külön felár, hanem a szolgáltatás alapvető része, és ez bizonyítja a GDPR szerinti megfelelőséget egy esetleges vizsgálatkor.

Mennyibe kerül, ha csak néhány eszközöm van?

Kis mennyiségnél a fix költségek (kiszállás, személyzet, adminisztráció) miatt minimáldíj és kiszállási költség merül fel. Ilyenkor gyakran a beszállításos megoldás a legésszerűbb — a szakértőnk segít megtalálni a kis tételhez illő, költséghatékony módot.

Helyszínen is el tudják végezni a munkát?

Igen. Helyszíni megsemmisítésnél a berendezést és a szakembereket a telephelyére visszük; helyszíni törlésnél a kezelőkörnyezetet mi telepítjük a törlés idejére. Utóbbinál a rendelkezésre álló helyiség mérete is befolyásolja, hány gépet tudunk egyszerre feldolgozni, és így a projekt időtartamát.

Visszakaphatom-e az eszközeim értékét?

Értékes, működő eszközöknél igen: a tanúsított törlés után az eszköz értékesíthető vagy beszámítható, ami csökkentheti a projekt nettó költségét. Ez előzetes érték- és állapotfelmérés kérdése — nem minden eszköznél működik, de ahol igen, ott érdemi megtakarítást jelenthet.

Tömeges adattörlés: szerverpark és eszközflotta biztonságos mentesítése

Tömeges adattörlés: szerverpark és eszközflotta biztonságos mentesítése

Tömeges adattörlés: szerverpark és eszközflotta biztonságos mentesítése

A tömeges adattörlés olyan nagyvállalati vagy intézményi folyamat, amelynek során egyszerre több száz vagy több ezer adathordozóról (HDD, SSD, szalagos médiák) kell biztonságosan, visszavonhatatlanul és auditálható módon eltávolítani az adatokat — jellemzően telephelybezárás, hdd leselejtezés, IT-eszközflotta cseréje, adatközpont selejtezése vagy lízing-visszaadás kapcsán. A folyamat két fő módszere — a minősített szoftveres törlés és a fizikai megsemmisítés — tömegben eltérő logisztikai és tanúsítási feltételeket támaszt. A GDPR 5. cikk (2) bekezdése szerinti elszámoltathatósági elv azt várja el, hogy az adatkezelő bizonyítani tudja a törlés megtörténtét; ennek auditbiztos gyakorlata a tételnagyságtól függetlenül az eszközönkénti, sorozatszám-szintű dokumentáció és tanúsítvány.
Legfontosabb megállapítások:

  • Tömeges adattörlési és hdd leselejtezési igénynél a logisztika (helyszíni vs. beszállításos), a párhuzamos kapacitás és az eszközönkénti nyomonkövethetőség határozza meg a projekt sikerét.
  • A szoftveres törlés és a fizikai megsemmisítés tömegben is különböző feltételek mellett optimális: SSD-k esetén a fizikai megsemmisítés NIST SP 800-88 Rev. 2 alapján is az ajánlott alternatíva, ha a kriptográfiai törlés nem elvégezhető.
  • Az auditbiztos gyakorlat szerint a tételnagyságtól függetlenül eszközönkénti, sorozatszám-alapú törlési jegyzőkönyv és tanúsítvány támasztja alá a GDPR elszámoltathatósági elvét.

Mikor merül fel tömeges adattörlési és hdd leselejtezési igény?

A tömeges adattörlés fogalma nem kötött alsó határhoz, de jellemzően akkor merül fel szervezeti szinten, amikor az érintett adathordozók száma meghaladja azt a küszöböt, ahol az egyszeri, manuális folyamatok még reálisan menedzselhetők. A hdd leselejtezés, az ssd leselejtezés és a merevlemez leselejtezés iránti igény rendszerint a következő szervezeti eseményekhez kapcsolódik:

Telephelybezárás vagy irodaköltöztetés. Ha egy szervezet regionális irodát, fióktelepet vagy gyártóegységet zár be, az ott használt teljes IT-infrastruktúra mentesítéséről kell gondoskodni. Ez jellemzően munkaállomások, notebookok, nyomtatók és hálózati eszközök egyidejű kezelését jelenti.

IT-eszközflotta cseréje (refresh). Nagyvállalatoknál a hardver-flotta rendszeres cseréciklusa (általában 3–5 évente) egyszerre akár ezres nagyságrendű eszköz kivonásával járhat. A használt IT eszközök selejtezése és az adatvédelmi mentesítés kötelező feltétele a GDPR-konform kibocsátásnak. A régi eszközökön tárolt adatokat a kivonás előtt bizonyíthatóan el kell távolítani.

Adatközpont selejtezése vagy konszolidáció. Ha egy szervezet saját üzemeltetésű szervertermet számol fel, felhőbe migrálja infrastruktúráját, vagy két adatközpontot von össze, az adatközpont selejtezésével érintett szerverek, tárolók és szalagos mentési médiumok (DAT kazetták, LTO szalagok) kezelése komoly kapacitástervezési feladatot jelent. Az adathordozó megsemmisítés és a hdd megsemmisítés az adatközpont-leszerelésnél az egyik legnagyobb kockázatú mozzanat.

Lízing- és bérelt eszközök visszaadása. A pénzügyi lízingbe vagy operatív lízingbe vett IT-eszközök visszaadásakor a lízingbe adó csak üres, de bizonyíthatóan tiszta eszközt vehet vissza. A bizonyítékot — az adattörlési tanúsítványt — az eszköz visszaadásakor kell tudni felmutatni. Ez jogi szempontból különösen kritikus, mivel az adathordozón tárolt adatokkal kapcsolatos adatvédelmi felelősség mindaddig az adatkezelő szervezetnél marad, amíg az eszközt ténylegesen átadja és az adatmentesítés bizonyított.

Felvásárlás, átszervezés, fúzió. Vállalati felvásárlásoknál az integráció részeként az átvevő cég sokszor a korábbi cég teljes IT-flottáját átveszi és selejtezi — ezzel mind a korábbi, mind az új entitás adatvédelmi kitettségét kezeli. A laptop selejtezés és a számítógép selejtezés ebben a forgatókönyvben is ugyanolyan dokumentációs kötelezettséggel jár, mint a szerver-szintű eszközöknél.

Mindezekben a forgatókönyvekben közös, hogy az érintett eszközök száma és az időnyomás együttesen olyan projektmenedzsment-igényt teremt, amelyet az ad-hoc, reaktív törlési megközelítés nem tud kiszolgálni.

A skálázás kihívásai: logisztika, kapacitás és párhuzamos törlés

Az egyszeri adattörlés és a tömeges adattörlés között a legélesebb különbség nem technológiai, hanem logisztikai és szervezési természetű. Néhány száz eszköz egyidejű kezelése olyan kérdéseket vet fel, amelyekre kisebb tételeknél nem szükséges felkészülni.

Helyszíni törlés versus beszállításos megoldás. A két alapmodell eltérő kompromisszumokat kínál:

A helyszíni (on-site) törlés esetén a szolgáltató a szervezet telephelyére viszi a szükséges hardvert és szoftvert, és az eszközök nem hagyják el az épületet a törlés befejezéséig. Ez különösen előnyös, ha az eszközök fizikai mozgatása érzékenységi vagy biztosítási szempontból problémás, vagy ha az eszközök száma és súlya miatt a logisztika aránytalan kockázatot jelentene. A hátránya, hogy a helyszíni kapacitás (párhuzamosan futtatható törlési munkafolyamatok száma) korlátozott.

A beszállításos modellnél az eszközök biztonságos, ellenőrzött szállítmányként kerülnek a törlési létesítménybe (a szolgáltatótól függően akár nyomkövetett szállítással). Ez nagyobb párhuzamos kapacitást tesz lehetővé (egyszerre több száz eszköz törlése), de a szállítás alatt az adatvédelmi felelősség gondos láncolata szükséges — a chain of custody dokumentálásával.

Párhuzamos törlési kapacitás. A szoftveres adattörlés időigényes: egy HDD teljes felülírása az eszköz kapacitásától és az alkalmazott szabvány lépéseinek számától függően több órát vehet igénybe. Ötezer eszköz esetén ez szekvenciálisan kezelve hetek, párhuzamos kapacitással napok kérdése. A megfelelő eszközpark kiválasztása és a tételnagysághoz igazított kapacitástervezés ezért alapvetően befolyásolja a projekt ütemezhetőségét. A flotta adattörlés hatékonysága nagyrészt az alkalmazott párhuzamos kapacitáson múlik.

SSD-k tömeges kezelése. A szilárdtest-meghajtók (SSD-k) esetén a szoftveres törlés technikailag bonyolultabb, mint HDD-k esetén: a wear-leveling mechanizmus és a flash-tárolás sajátosságai miatt a hagyományos felülírás-alapú módszerek nem garantáltan érik el az összes adatblokkot. Az ssd leselejtezés és az ssd megsemmisítés szabványos keretét a NIST SP 800-88 Rev. 2 határozza meg (a korábbi Rev. 1 verzió 2025. szeptember 26-án visszavonásra került): SSD esetén a hagyományos felülírás helyett jellemzően kriptográfiai törlés (Cryptographic Erase), megfelelő gyártói sanitization/Purge eljárás vagy fizikai megsemmisítés (Destroy) jöhet szóba; ha a kriptográfiai vagy gyártói törlés nem igazolható, a fizikai megsemmisítés a konzervatív alternatíva. Nagy tételben — különösen érzékeny adatosztályok esetén — a fizikai megsemmisítés gyorsabb és megbízhatóbb alternatíva, ha a kriptográfiai törlés elvégezhetőségére nincs garancia. A döntés az adatosztálytól, a szabályozói környezettől és a jövőbeli hasznosíthatóság szempontjaitól függ.

Nyomonkövethetőség nagy tételben: eszközönkénti audit és sorozatszám-szintű dokumentáció

Ipari merevlemez-shredder működés közben — a tömeges fizikai adatmegsemmisítés végállapota
Ipari merevlemez-shredder működés közben — a tömeges fizikai adatmegsemmisítés végállapota

A tömeges adattörlés egyik legsúlyosabb kockázata nem technikai, hanem dokumentációs természetű: ha az egyes eszközökhöz tartozó törlési bizonyíték nem egyedileg azonosítható, a hatósági ellenőrzésnél vagy egy adatvédelmi incidens vizsgálatánál nem lehet igazolni, hogy egy adott eszköz valóban mentesítésre került.

A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelő nem csupán eleget köteles tenni a szabályozási kötelezettségeknek, hanem azt dokumentáltan be is kell tudnia bizonyítani. Tömeges hdd leselejtezési projektnél ez azt jelenti, hogy minden egyes adathordozóhoz egyedi, az eszköz sorozatszámát (serial number), gyártóját, típusát és a törlési folyamat eredményét tartalmazó dokumentumra van szükség.

Mit tartalmaz az auditbiztos nyomonkövetési lánc?

Az eszközönkénti dokumentáció általában az alábbi elemeket foglalja magában:

  • Az eszköz egyedi azonosítói (sorozatszám, gyártó, modell, kapacitás)
  • Az átvétel időpontja és a chain of custody átadás-átvételi igazolása (helyszíni törlés esetén is)
  • Az alkalmazott törlési módszer és szabvány megnevezése (pl. NIST SP 800-88 Rev. 2 Clear/Purge szint)
  • A törlési folyamat sikerességének gépi logja és digitális tanúsítványa
  • Az aláírt papíralapú vagy digitális törlési tanúsítvány, amely az előzőket összefoglalja

Aggregált és tételes tanúsítvány. Tömeges projekteknél praktikus megkülönböztetni az összesített (batch-szintű) és az egyedi (eszközszintű) tanúsítványokat. Az összesített dokumentum a projekt egészéről ad áttekintést, de ez nem helyettesíti az eszközönkénti bizonyítékot — különösen akkor nem, ha az eszközök egy része más sorsra jutott (pl. hibás eszköz fizikai megsemmisítésre ment, míg a többi szoftveres törlésre).

Átláthatóság a döntéshozónak. Nagyvállalati projekteknél az IT-vezető, a DPO (adatvédelmi tisztviselő) és a pénzügyi vezető más-más szempontból érdekelt a dokumentációban: az IT-vezető az eszközleltár lefedettségét ellenőrzi, a DPO a jogi megfelelőség bizonyítékait, a pénzügyi vezető az eszközértékkel és a lízingvisszaadási feltételekkel kapcsolatos dokumentumokat. Egy jól szervezett tömeges projekt mindhárom igényt egy koherens dokumentációs csomaggal kiszolgálja.

Szoftveres törlés versus fizikai megsemmisítés tömegben: mikor melyik?

A tömeges igénynél a szoftveres törlés és a fizikai megsemmisítés közötti döntés nem csupán biztonsági, hanem logisztikai és gazdasági kérdés is. A két módszer tömeges alkalmazásának jellemzőit az alábbi szempontok szerint érdemes mérlegelni.

Szoftveres adattörlés tömegben:

A szoftveres törlés — ha a szoftver megfelel a vonatkozó szabványoknak és az eszköz fizikailag rendben van — lehetővé teszi, hogy az eszköz törlés után újrahasznosítható, tovább értékesíthető legyen. Ez különösen releváns flottacsere esetén, ahol a kivont eszközök egy része piaci értékkel bír. A merevlemez biztonságos törlése HDD-knél bevett és jól szabványosított eljárással hajtható végre nagy tételben is, a NIST SP 800-88 Rev. 2 Clear vagy Purge szintjén. Az időigény és a törlési siker aránya (egyes meghajtók hibák miatt nem tölthetők végig) viszont előre tervezhető; a hibás eszközök fallback-ként fizikai megsemmisítésre kerülhetnek.

Fizikai megsemmisítés tömegben:

Ha az adatokra vonatkozó biztonsági osztályozás magas, az eszközök SSD-k, vagy a szervezet nem kívánja az eszközöket továbbeladni, a fizikai megsemmisítés bizonyosabb és sok esetben gyorsabb tömegben is. Az ipari aprítóval (shredder) végzett adathordozó megsemmisítés esetén az egyedi meghajtó felépítésétől és típusától függetlenül garantálható az adat-visszaállíthatatlanság. A másik oldalon: a megsemmisített eszközök értéke elvész, és a keletkező anyagok kezelése és újrahasznosítása is részét képezi a folyamatnak.

Vegyes flotta esetén. A valóságban a tömeges projektek ritkán állnak homogén eszközparkból. Egy tipikus adatközpont selejtezési projekt vagy flottacsere HDD-ket, SSD-ket (SATA, NVMe), szalagos médiákat (DAT, LTO) és egyéb adathordozókat egyaránt érinthet. A módszer-mix meghatározása az eszközleltár-felmérés alapján történik: az eszköztípus, az adatosztályozás és a jövőbeli hasznosíthatóság együttesen határozza meg, hogy melyik eszköz melyik úton kerül kezelésre.

DAT kazetták és szalagos médiák tömegben. A szalagos mentési médiáknál a szoftveres felülírás nehézkes és időigényes; ezért nagy tételben a fizikai megsemmisítés az általánosan ajánlott megközelítés. A demagnetizálás (degaussing) kiegészítőként alkalmazható, de a szalagtípustól és a vonatkozó szabályozási keretektől függően önmagában nem feltétlenül tekinthető elegendő bizonyítéknak — ezt eseti módszertani döntés alapján érdemes meghatározni.

Hogyan tervezz tömeges adattörlési projektet?

A tömeges adattörlési projekt tervezése a kivitelezés előtt több héttel elkezdődik. Az alábbi lépések segítenek elkerülni a leggyakoribb csapdákat.

1. Eszközleltár felmérése. A projekt alapja az érintett eszközök pontos számbavétele: típus, gyártó, sorozatszám, tárolókapacitás, adatosztályozás. Ez az adat szükséges a módszer-mix meghatározásához, a kapacitástervezéshez és az ajánlatkéréshez is. A használt IT eszközök selejtezésénél a leltár elvégzése a logisztikai tervezés alapfeltétele.

2. Adatosztályozás. Nem minden eszközön tárolt adat egyenlő érzékenységű. A különböző adatosztályokhoz (pl. bizalmas személyes adatok, üzleti titkok, általános vállalati adatok) eltérő törlési módszer vagy biztonsági szint lehet előírt. A besorolás segít a módszer-mix és a prioritási sorrend meghatározásában.

3. Helyszíni vagy beszállításos döntés. Az eszközök fizikai állapota, mozgathatósága, a telephelyek száma és az időkeret együttesen határozzák meg, hogy helyszíni szolgáltatást, beszállításos modellt vagy kombinációt érdemes alkalmazni. Több telephely esetén az ütemezés és a szállítási lánc tervezése külön figyelmet igényel.

4. Dokumentációs igények tisztázása. A megrendelőnek érdemes előre meghatározni, milyen formátumban és részletezettséggel szükséges a törlési tanúsítvány (pl. egyedi eszközszintű digitális log, összesített PDF tanúsítvány, vagy mindkettő). Ha a dokumentációt lízing-visszaadáshoz, könyvvizsgálathoz vagy hatósági ellenőrzéshez kell felhasználni, ezeket a követelményeket a kivitelezés előtt érdemes rögzíteni.

5. Ütemterv és kapacitástartalék. Nagy projekteknél mindig érdemes kapacitástartalékot tervezni: a törlési folyamat egyes eszközöknél meghiúsulhat (hibás meghajtó), egyes szállítmányok késhetnek. Az ütemterv tartalmazza az egyes tételek átvételének, törlésének és tanúsításának mérföldköveit.

Adatkövetési kötelezettség és GDPR-megfelelőség tömeges projekteknél

A GDPR nemcsak a személyes adatok törlési jogát szabályozza (17. cikk), hanem az adatkezelési elvek körében a tárolás korlátozásának elvét is (5. cikk): a személyes adatok tárolása kizárólag addig indokolt, ameddig az adatkezelési cél megvalósításához szükséges. Tömeges selejtezési projektnél ez azt jelenti, hogy a kivont eszközökön tárolt személyes adatok mielőbbi, dokumentált törlése nem opció, hanem jogi kötelezettség.

A GDPR 33. cikke értelmében adatvédelmi incidens esetén az adatkezelőnek indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órán belül be kell jelentenie az incidenst a felügyeleti hatóságnak – kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Ha egy kivont, de még nem törölt eszköz elvész vagy jogosulatlan kezekbe kerül, az jellemzően ilyen bejelentési kötelezettséget keletkeztet. A tömeges hdd leselejtezési projekt ezért nemcsak IT-üzemeltetési, hanem jogi kockázatkezelési feladat is.

Ajánlott gyakorlat: a törlési tanúsítványt ne csak belső irattárban, hanem a szervezet adatkezelési nyilvántartásában (adatkezelési tevékenységek nyilvántartása) is rögzíteni, hogy hatósági ellenőrzésnél azonnal rendelkezésre álljon.

Gyakori kérdések

Mikor kell tömeges adattörlésre gondolni hdd leselejtezésnél?

Nincs rögzített alsó határ; gyakorlati tervezési küszöbként sok szervezetnél néhány tíz eszköz felett már érdemes dedikált tömeges projekttervezéssel megközelíteni a hdd leselejtezést és az eszközflotta mentesítését, ahol a logisztika, a párhuzamos kapacitás és a dokumentáció külön figyelmet igényel.

Hogyan kell dokumentálni a használt IT eszközök selejtezését GDPR szerint?

Az auditbiztos gyakorlat szerint eszközönkénti, sorozatszám-alapú törlési log és tanúsítvány az ajánlott. A GDPR 5. cikk (2) bekezdése szerinti elszámoltathatósági elv azt várja el, hogy az adatkezelő bizonyítani tudja az adattörlés megtörténtét — ehhez az eszközönkénti igazolás ad erősebb bizonyítékot, mint az összesített projekt-dokumentum önmagában.

Helyszíni vagy beszállításos törlés biztonságosabb?

Mindkét modell auditbiztos lehet, ha megfelelően dokumentált chain of custody kíséri. Helyszíni törlés esetén az eszközök nem hagyják el az épületet; a beszállításos adatközpont selejtezési modellnél a szállítás közben érvényes chain of custody és a zárt szállítás adnak garanciát. A döntés jellemzően az eszközök számától, az adatosztályozástól és a logisztikai lehetőségektől függ.

SSD-k esetén miért javasolt inkább a fizikai megsemmisítés tömeges ssd leselejtezésnél?

A szilárdtest-meghajtók (SSD-k) belső wear-leveling mechanizmusa miatt a hagyományos felülírás-alapú szoftveres törlés nem garantáltan éri el az összes adatblokkot. A NIST SP 800-88 Rev. 2 SSD esetén jellemzően kriptográfiai törlést, megfelelő gyártói sanitization/Purge eljárást vagy fizikai megsemmisítést tart elfogadható módszernek. Nagy tételű ssd leselejtezésnél, ahol az egyenként ellenőrzött törlési siker-arány nehezebben kezelhető, a fizikai megsemmisítés egyértelműbb bizonyosságot nyújt.

Szalagos médiákra (DAT, LTO) is vonatkozik a tömeges adattörlési kötelezettség?

Igen. A szalagos mentési médiákon tárolt adatok szintén a GDPR és az iparági adatvédelmi előírások hatálya alá esnek. Tömegben ezek fizikai megsemmisítése (aprítás, vagy demagnetizálás és aprítás kombinációja) általában a leghatékonyabb megközelítés.

Mennyi idő alatt végezhető el egy nagy léptékű tömeges adattörlési projekt?

Az időtartam az eszközök számától, típusától, a választott módszertől és a rendelkezésre álló párhuzamos kapacitástól függ. Helyszíni törlés esetén a kapacitás korlátozott, míg a létesítményszintű törlés napok alatt képes több ezer eszközt kezelni. A konkrét ütemtervet az eszközleltár alapján érdemes felmérni.

Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?

Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?

Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?

A minősített szoftveres adattörlés egy dokumentált, szabványalapú folyamat, amelynek során az adathordozón tárolt információt visszaállíthatatlanná teszik – a hozzáférhető területek felülírásával, illetve kriptográfiai törléssel, sérült eszköznél pedig fizikai megsemmisítéssel –, a műveletet a törlést végző által kiállított, eszközszintű tanúsítvány dokumentálja. A biztonságos adattörlés az adatvédelmi jogszabályok (GDPR 17. és 5. cikk) és a vonatkozó iparági szabványok (NIST SP 800-88 Rev. 2, ADISA) követelményeire épül, és audit-bizonyítékként szolgál megfelelőségi vizsgálatok során. A tanúsított adattörlés a gyári visszaállítástól és a formázástól abban különbözik, hogy az eszközönkénti workflow (leltár → törlés → verifikáció → tanúsítvány) teljes audit trail-lel zárul; a fogalmi különbségekről részletesen a kapcsolódó cikkben olvashat.
Legfontosabb megállapítások:

  • A minősített törlés lényege a szabványnak megfelelő felülírás plusz az eszközönkénti audit-nyomvonal – sem a formázás, sem az operációs rendszer törlése nem éri el ezt a szintet.
  • A NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavont változata) meghatározza, hogy melyik adathordozó-típusnál (HDD, SSD, NVMe, telefon) milyen módszerrel érhető el biztonságos adattörlés.
  • A folyamat végén kiállított tanúsítvány eszközazonosítót (sorozatszám), alkalmazott szabványt, dátumot és felelős szervezetet tartalmaz – ez a megfelelőség igazolását támogató bizonyíték GDPR- vagy NIS2-megfelelőségi vizsgálaton.

Mi a minősített adattörlés, és miben különbözik a sima törléstől?

Működőképes adathordozóknál a minősített szoftveres adattörlés a leggazdaságosabb megoldás, mert az eszköz utána újrahasználható marad; sérült vagy nem írható adathordozóknál a fizikai megsemmisítés a szükséges eljárás. Mindkét útnak közös eleme a dokumentált, auditbiztos lezárás.

A köznapi értelemben vett törlés – legyen az Lomtárból való végleges törlés, partíció-formázás vagy gyári visszaállítás – nem távolítja el az adatokat fizikailag az adathordozóról. Az operációs rendszer csupán felszabadítja a területet és eltávolítja a fájlrendszer hivatkozásait; maga az adat visszaállítható marad mindaddig, amíg az érintett szektorokat felül nem írja új adat. A fogalmi különbségekről (Clear / Purge / Destroy szintek, SSD vs. HDD viselkedés, gyári visszaállítás korlátai) részletesen a gyári visszaállítás és formázás összehasonlításáról szóló cikkben olvashat.

A minősített vagy tanúsított adattörlés ezzel szemben három kötelező elemből áll:

  1. Szabványos, az adathordozó típusához illesztett módszertan – HDD-nél a hozzáférhető logikai területek teljes felülírása, SSD/NVMe-nél viszont a wear-leveling és az over-provisioning miatt a host-oldali felülírás önmagában nem ér el minden fizikai cellát, ezért ott a kriptográfiai törlés vagy a gyártói sanitize/Secure Erase, illetve végső esetben a fizikai megsemmisítés az arányos megoldás.
  2. Ellenőrzés (verification) – a felülírást követően a szoftver ellenőrzi a törlés eredményét, jellemzően a felülírt területek (teljes vagy mintavételes) visszaolvasásával, illetve az eszköz állapotának és anomáliáinak kiértékelésével; az eltérések rögzítésre kerülnek.
  3. Dokumentálás (audit trail) – az egész folyamat naplózódik: az eszköz sorozatszáma, típusa, a törlés módszere, az operátor azonosítója, a dátum és az ellenőrzés eredménye mind rögzítve van.

Ez a hármas követelmény különbözteti meg a minősített adattörlést az egyszerű, dokumentálatlan eljárásoktól. Adattörlés cégeknek összefüggésében az utóbbi szempont – a dokumentálás – különösen kritikus: ez az egyik legerősebb bizonyíték arra, hogy a szervezet valóban gondoskodott az adat visszaállíthatatlan megsemmisítéséről.

Szabványháttér: NIST 800-88 Rev. 2, ADISA

A minősített adattörlés mögött álló legelterjedtebb referenciadokumentum a NIST SP 800-88 Rev. 2 (hatályos 2025. szeptember 26-a óta, a Rev. 1 ugyanekkor visszavonásra került; elérhető: csrc.nist.gov/pubs/sp/800/88/r2/final). A Rev. 2 három szintet határoz meg:

  • Clear – logikai felülírás, amely megvéd a szoftveres helyreállítástól (pl. szabványos egy-menetes felülírás HDD-n).
  • Purge – olyan módszer, amely a fejlettebb laborfelszereléssel végzett helyreállítás ellen is véd; SSD esetén jellemzően a kriptográfiai törlés (cryptographic erase), illetve a gyártó által támogatott, eszközszinten verifikált parancsok (pl. ATA Secure Erase, NVMe Sanitize) tartoznak ide – ezek Purge-szintű megbízhatósága azonban eszköz- és firmware-függő, ezért az eredmény verifikálása elengedhetetlen (a Rev. 2 a részletes technikai követelményeknél részben külön médiasanitizációs szabványokra – például az IEEE 2883-ra – támaszkodik).
  • Destroyfizikai megsemmisítés (aprítás, olvasztás), amelyre akkor kerül sor, ha a szoftveres módszerek nem alkalmazhatók.

Az ADISA (Asset Disposal and Information Security Alliance) például olyan iparági termékminősítési sémát működtet, amely a szoftver- és szolgáltatói piacot hivatott függetlenül értékelni: az ilyen termékvizsgálatok célja annak igazolása, hogy egy adattörlő megoldás eléri a deklarált biztonsági szintet az adott adathordozó-típuson.

Az iparágban referenciának tekintett törlőszoftverek – például a Blancco – jellemzően független tesztelésen és/vagy értékelésen esnek át, amelyek célja a törlési logika megbízhatóságának igazolása. A „blancco törlés” fogalma az iparágban a dokumentált, verifikált és tanúsítványos szoftveres megközelítés egyik közismert szinonimájává vált.

SSD-k és NVMe-eszközök esetén különös figyelmet igényel a wear-leveling mechanizmus: az SSD firmware automatikusan egyenlíti az írások terhelését a cellák között, ami azt jelenti, hogy egy egyszerű szekvenciális felülírás nem feltétlenül ér el minden fizikai cellát. Ezért SSD-kre a Purge szintű módszerek ajánlottak – a Clear szint önmagában nem garantál teljes adatmegsemmisítést.

Telefon minősített törlése esetén az eszköz típusa döntő: a modern mobileszközöknél a gyári visszaállítás jellemzően kriptográfiai törlést (crypto-erase) hajt végre a titkosítási kulcs eltávolításával, ami megfelelő módszer lehet – de ez eszköztámogatástól függ, ezért üzleti környezetben az eredményt minden esetben verifikálni és dokumentálni kell.

A minősített törlési workflow lépései: leltártól a tanúsítványig

Minősített szoftveres adattörlés verifikációja – SSD ellenőrző olvasása fizikai adatkábellel csatlakoztatva
A törlés utáni ellenőrző olvasás (verifikáció): az adathordozó fizikai kapcsolaton keresztül, auditálható módon kerül igazolásra.

A biztonságos adattörlés folyamata az eszköz fizikai átvételével kezdődik. A chain of custody (ellenőrzési lánc) azt dokumentálja, hogy az adathordozó az eredeti helyétől a törlési helyszínig, majd az eszköz visszaadásáig vagy megsemmisítéséig minden átadási ponton azonosítva volt, és felelős személy kezelte. Ez a logisztikai lánc fontos kontrollelem az ISO 27001 és a NIS2 szerinti eszközkezelés szempontjából is.

1. lépés – Előzetes eszközleltár (asset inventory)

Az eszközök sorozatszám, gyártó, modell, kapacitás és fizikai állapot alapján azonosítva kerülnek rögzítésre. A szerver-rack pozíció, eszközcímke és a szervezet belső leltárszáma is feljegyzésre kerül. Ez az előzetes leltár válik az összesített projekt-tanúsítvány alapjává, és az egyeztetés alapján visszaigazolja, hogy minden eszköz feldolgozásra került.

Az eszközleltár kialakításakor érdemes figyelembe venni a különböző adathordozó-típusokat:

  • HDD (magnetic hard drive): host-oldali szekvenciális felülírás + verifikáció a standard módszer.
  • SSD / NVMe: kriptográfiai törlés, ATA Sanitize vagy NVMe Sanitize parancs – wear-leveling miatt a host-oldali overwrite önmagában nem elegendő.
  • Mobileszközök / táblagépek: crypto-erase a gyártói visszaállítási mechanizmuson keresztül, verifikált eszköztámogatással.
  • Hibás vagy felismerhetetlenné vált eszközök: ezeket a leltárban külön jelölik; törlés helyett fizikai megsemmisítés következik.

2. lépés – Szállítás vagy helyszíni törlés

Az eszközök vagy biztonságos szállítással kerülnek a törlési helyszínre, vagy a szolgáltató a megrendelő telephelyén végzi a munkát (on-site törlés). Mindkét esetben az átvételi dokumentum aláírásra kerül, és rögzítésre kerül az átadás pontos időpontja, helyszíne és a felelős képviselők neve. Az on-site törlés különösen ajánlott, ha az adathordozók különleges személyes adatokat, üzleti titkokat vagy törvényi titoktartási kötelezettség alá eső információkat tároltak.

3. lépés – Törlés végrehajtása (eszközönként)

A minősített szoftver eszközönként futtatja a kiválasztott módszert (kriptográfiai törlés, overwrite-algoritmus, ATA Secure Erase vagy NVMe Sanitize). Minden eszköz eredménye önállóan rögzítve van; a párhuzamosan futó törlési folyamatok nem mosódnak össze – az audit trail mindig visszavezethető egy konkrét sorozatszámhoz.

4. lépés – Ellenőrző olvasás (verification pass)

A szoftver a szabványtól és a szervezeti előírástól függően ellenőrzi a törlés eredményét – a felülírt területek (teljes vagy mintavételes) visszaolvasásával és a várt mintával való összevetésével, illetve az eszköz státuszának és hibáinak kiértékelésével. Az eltérések – beleértve a sikertelen szektorokat is – rögzítve maradnak a naplóban. Ez a verification pass kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték áll rendelkezésre.

5. lépés – Tanúsítvány kiállítása

A törlési szoftver eszközönkénti tanúsítványt (certificate of erasure) állít ki automatikusan. Ez a lépés nem opcionális: dokumentáció nélkül a „minősített” jelző nehezen állja meg a helyét, mert a tanúsítvány teszi a törlést utólag igazolhatóvá.

A törlési tanúsítvány mezői és audit trail struktúrája

A törlési tanúsítvány az adattörlés cégeknek folyamat legfontosabb kimenetele. A tanúsítvány minimálisan tartalmazza:

  • az eszköz gyártóját, modelljét és sorozatszámát,
  • a törlési módszert és alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge),
  • a törlés dátumát és idejét,
  • a törlést elvégző operátor/szervezet azonosítóját,
  • az ellenőrző olvasás eredményét (sikeres/sikertelen szektorok),
  • az esetleges hibás szektorok listáját és a kezelési döntést (fizikai megsemmisítés / exception approval).

Egy jól dokumentált törlési projekt esetén a megrendelő megkapja:

  1. Összesített projekt-tanúsítványt – projekt szintű összefoglaló, összes eszközszám, dátum, módszer, felelős szervezet neve és aláírása.
  2. Eszközszintű egyedi tanúsítványokat – minden egyes sorozatszámhoz külön dokumentum, visszakereshető azonosítóval.
  3. Törlési naplót (audit log) – részletes szoftveres log, exportálható auditcélokra; tartalmazza az összes sikeresen és sikertelenül törölt szektor adatát, az alkalmazott módszer pontos paramétereit és az időbélyegeket.

Ez a háromszintű dokumentáció támogatja, hogy a szervezet igazolni tudja megfelelőségét belső auditon, hatósági ellenőrzésen vagy ügyfél által megkövetelt due diligence folyamatban.

Mit kér egy auditor? ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során jellemzően a következőket kérik: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (melyik eszköz, mikor, ki által), eszközszintű törlési tanúsítványok, chain-of-custody dokumentumok, failed wipe log és a sikertelen esetekre vonatkozó kezelési döntések feljegyzései. Ha ezek bármelyike hiányzik, a kontroll bizonyítatlanná válik – akkor is, ha az eszközök technikailag rendben lettek törölve.

Megőrzési idő: az adatvédelmi és informatikai biztonsági dokumentumok megőrzési kötelezettségét a szervezet belső iratkezelési szabályzata, valamint az alkalmazandó jogszabályok határozzák meg. A digitálisan aláírt, időbélyegzett formában megőrzött tanúsítvány adja a legerősebb bizonyítékot.

Mikor szoftveres, mikor fizikai megsemmisítés?

A szoftveres és a fizikai megközelítés nem egymás helyettesítője – a választás az eszköz állapotától, a biztonsági követelménytől és a jövőbeli felhasználástól függ.

Szoftveres minősített törlés ajánlott, ha:

  • Az eszköz fizikailag működőképes és a törlőszoftver el tudja érni az adathordozó összes területét.
  • A szervezet az eszközt értékesíteni, újrahasznosítani vagy visszaadni kívánja (pl. lízingvisszaadás, viszonteladás, adományozás).
  • A biztonsági besorolás nem igényel fizikai megsemmisítést.

Fizikai megsemmisítés szükséges vagy indokolt, ha:

  • Az eszköz meghibásodott és a szoftver nem fér hozzá az adatterületekhez.
  • Az adatok besorolása (pl. különleges személyes adat, üzleti titok, kormányzati minősített adat) fizikai megsemmisítést ír elő.
  • Az SSD wear-leveling-ből eredő bizonytalanság nem fogadható el a szervezet belső kockázatvállalási szintje alapján.

A fizikai megsemmisítés részleteiről – aprítási kategóriák, tanúsítványkövetelmények – külön cikk szól; itt a folyamat mindkét ágát egyformán az adattörlési tanúsítvány köti össze.

A tanúsított adattörlés mint GDPR- és NIS2-megfelelőségi bizonyíték

A GDPR a személyes adatok kezelésének megszűnésekor az adatkezelőtől azt várja el, hogy a törlési kötelezettség teljesítéséről bizonyítékot tudjon felmutatni. A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelőnek képesnek kell lennie igazolni, hogy az adatkezelési elveknek (köztük a tárolás korlátozásának, 5. cikk (1) e) pont) megfelelt. A GDPR 17. cikke alapján fennálló törlési kötelezettség teljesítésének bizonyítéka szintén ez az elvárás mentén vizsgálódik. Az adatvédelmi hatóság vizsgálata során a törlési tanúsítvány az, ami alátámasztja, hogy a szervezet gondoskodott az adat visszaállíthatatlan megsemmisítéséről – nem egyszerűen „törölte” azt.

A NIS2 irányelv (2022/2555, 21. cikk) az alapvető és fontos szervezetektől általános kiberbiztonsági kockázatkezelési intézkedéseket vár el – köztük az eszköz- és hozzáférés-kezelést –, amelyek kontrollkörnyezetében az adathordozók biztonságos kivonása is releváns. A megfelelőséget az adatkivonásnál is célszerű bizonyíthatóan dokumentálni.

Az ISO 27001:2022 kockázatalapú kontrollválasztásában – az alkalmazhatósági nyilatkozat (SoA) keretében – jellemzően szerepelnek az információ biztonságos törlésére és az eszközök biztonságos selejtezésére, illetve újrahasználatára vonatkozó kontrollok; ezek mentén a szervezet dokumentált eljárást és visszakereshető bizonyítékot tart fenn a kivont eszközökre.

Pénzügyi szektorban a DORA (2022/2554) az ICT harmadik felekhez kapcsolódó kockázatok kezelését is elvárja – fontos azonban, hogy egy külső adattörlési szolgáltató nem automatikusan minősül DORA-hatályú ICT harmadik félnek; ez eseti minősítés kérdése. Ahol releváns, ott a tanúsított, auditálható adattörlési folyamat a megfelelést támogató kontroll lehet.

Összefoglalva: a minősített törlés nem csupán technológiai megoldás, hanem megfelelőségi bizonyíték – a törlési tanúsítvány az a dokumentum, amely egy hatósági vizsgálaton vagy auditi eljárásban eszközszintű, mérésen alapuló, archivált bizonyítékot nyújt.

Összefoglaló: mire figyeljen a szervezet adattörlés cégeknek összefüggésében?

A vállalati adatkezelési életciklus utolsó lépése – az eszközök kivonása – pontosan olyan üzleti folyamat, mint bármely más biztonsági kontroll. Öt minimum-ellenőrzési pont:

  1. Törlési szabályzat írásban – tartalmaz-e kategóriánként módszert HDD, SSD és mobileszközre?
  2. Eszközszintű nyilvántartás – rögzítve van-e minden kivont eszköz sorozatszáma, a törlés időpontja és módszere?
  3. Verifikáció – van-e mérésen alapuló bizonyíték (a szabvány vagy a belső szabályzat szerinti verifikáció, tanúsítvány) a törlés sikerességéről?
  4. Hibás eszközök protokollja – definiált-e az út, ha egy eszköz nem írható (fizikai megsemmisítés következik)?
  5. Audit trail visszakereshetősége – a belső iratkezelési szabályzat szerinti megőrzési időre visszamenőleg (például néhány évre) előállíthatók-e a tanúsítványok?

Ha az öt pontból akár egyre is „nem” a válasz, a folyamat felülvizsgálata indokolt – még mielőtt egy hatóság vagy egy ügyfél teszi meg.

Az adattörlési tanúsítvány megkéréséhez és a minősített törlési folyamat elindításához forduljon a Data Destroy Kft. szakértőihez: az ajánlatkérés az adott adathordozó-típus, eszközmennyiség és biztonsági besorolás alapján személyre szabható.

Gyakori kérdések

Mit jelent a minősített törlés, és miben különbözik a sima törléstől?

A minősített törlés (tanúsított adattörlés) szabványos felülírási módszert (NIST SP 800-88 Rev. 2 Clear vagy Purge szint), verifikációs lépést és eszközszintű törlési tanúsítványt jelent. A sima törlés (formázás, Lomtár kiürítése, gyári visszaállítás) csak a fájlrendszer hivatkozásait távolítja el; a tényleges adatterületek visszaállíthatók maradnak. A fogalmi és technikai különbségekről részletesen az összehasonlító cikkben olvashat.

Melyik szabvány alapján kell elvégezni a minősített törlést?

A legelterjedtebb hivatkozás a NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavonásra került). HDD, SSD és flash-alapú adathordozókra eltérő módszereket (Clear, Purge) ír elő. Az ADISA termékminősítési séma a törlőszoftver megbízhatóságát hitelesíti. A konkrét szervezeti követelményt az adatbiztonsági szabályzat és az iparág-specifikus előírások is befolyásolhatják.

SSD-n és telefonon is elvégezhető minősített törlés?

Igen, de más módszertannal, mint HDD-n. SSD-n a wear-leveling miatt az egyszerű szekvenciális felülírás nem elegendő – a Purge szintű módszerek (ATA Secure Erase, NVMe Sanitize parancs, kriptográfiai törlés) alkalmazása szükséges. Telefon minősített törlése esetén a modern, alapból titkosított mobileszközöknél a gyártói visszaállítás jellemzően kriptográfiai törlést (crypto-erase) végezhet a titkosítási kulcs eltávolításával – ez azonban eszköz-, implementáció- és kulcskezelés-függő, ezért az eredményt verifikálni és dokumentálni kell. Ha a szoftveres módszer meghibásodott eszközön nem hajtható végre, a fizikai megsemmisítés az egyedüli megbízható megoldás.

Mit tartalmaz a törlési tanúsítvány?

Az eszközszintű tanúsítvány minimálisan tartalmazza az eszköz sorozatszámát, gyártóját és modelljét, a törlési módszert és az alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge), a törlés dátumát és időpontját, az elvégző szervezet azonosítóját, valamint az ellenőrző olvasás eredményét. A tanúsítvány auditcélra felhasználható, és GDPR-, NIS2- vagy ISO 27001-megfelelőségi vizsgálatokon bizonyítékként bemutatható.

Hogyan kapcsolódik a biztonságos adattörlés a GDPR-hoz?

A GDPR 5. cikk (2) bekezdése alapján az adatkezelőnek igazolnia kell, hogy az adatkezelési elveknek – köztük a tárolás korlátozásának – megfelelt. A GDPR 17. cikke szerinti törlési kötelezettség teljesítését a törlési tanúsítvány támasztja alá, amelyet az adatvédelmi hatóság vizsgálata során be lehet mutatni. A „töröltük” önbevallásos állítás – formázással vagy gyári visszaállítással alátámasztva – erre a célra nem elégséges.

Mikor nem elegendő a szoftveres minősített törlés?

Ha az eszköz fizikailag meghibásodott és a szoftver nem fér hozzá minden adatterülethez, vagy ha a szervezet belső szabályzata, illetve az adatok minősítése fizikai megsemmisítést ír elő, a szoftveres módszer nem alkalmazható. Ilyen esetekben az aprítással (shredding) végrehajtott fizikai megsemmisítés az egyedüli elfogadható megoldás – szintén tanúsítvánnyal kísérve.

GDPR törléshez való jog a gyakorlatban: mit jelent ez a szervezetek számára?

GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?

GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?

A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:

  • A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
  • A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
  • Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.

Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?

A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.

A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:

  • Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
  • Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
  • Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
  • Az adatokat jogellenesen kezelték.

Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.

A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.

Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek

A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.

Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.

Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.

A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.

A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.

A törlés technikai valósága: miért nem elég a fájl törlése?

Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés

Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.

A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.

A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.

SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.

A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.

Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?

A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.

Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:

  • Az érintett eszközök azonosítóit (sorozatszám, típus)
  • Az alkalmazott törlési módszer megnevezését és szabványát
  • A törlés elvégzésének dátumát és körülményeit
  • Az elvégző személy vagy szervezet adatait

Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.

Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.

Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.

Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:

  • Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
  • Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
  • Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.

Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.

Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?

A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.

Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.

Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.

Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.

Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.

Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.

Gyakori kérdések

Mit jelent pontosan a GDPR törléshez való jog?

A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.

Hogyan kell GDPR szerint törölni a személyes adatokat?

A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.

Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?

Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.

Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?

Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.

Hogyan kell dokumentálni a GDPR adatok törlését?

Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.

Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?

Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.

Adattörlési tanúsítvány és selejtezési jegyzőkönyv: milyen igazolást kérjen be a cég a szolgáltatótól?

Kesztyűs kéz adathordozó-tálcát ad át egy ipari adatmegsemmisítő gép adagolónyílásánál

Adattörlési tanúsítvány és selejtezési jegyzőkönyv: milyen igazolást kérjen be a cég a szolgáltatótól?

Az adattörlési tanúsítvány és a selejtezési jegyzőkönyv az adatkezelő GDPR-elszámoltathatóságának (5. cikk (2)) írásos bizonyítéka egy IT-eszköz selejtezésekor. A szolgáltatótól négy dokumentum kérhető be: szolgáltatói minőségi tanúsítványok, chain of custody (őrzési lánc), eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv, és sorozatszámos eszközlista. Hatósági ellenőrzés vagy biztosítási kárrendezés esetén ezek nélkül jelentősen gyengül és nehezen védhető a cég igazolási pozíciója.
Legfontosabb megállapítások:

  • A GDPR 5. cikk (2) bekezdése az adatkezelő cég felelősségévé teszi a megfelelőség írásos igazolását — még akkor is, ha a fizikai munkát szolgáltató végezte.
  • Négy dokumentum bekérése audit-ready állapotot ad: szolgáltatói minősítések, chain of custody, eszközszintű tanúsítvány vagy jegyzőkönyv, sorozatszámos eszközlista.
  • Az eszközszintű tanúsítványnak tartalmaznia kell a sorozatszámot, az alkalmazott módszer szabványhivatkozását (pl. NIST SP 800-88), az eredményt, a végrehajtó technikus azonosítóját és a dátumot — generikus „törölve” megjegyzés nem elég.

Az írásos igazolások nélkül egy IT-eszköz selejtezésekor az „elvégeztük” állítás bizonyíthatatlan — a cég pedig nem szabadul meg az adatkezelői felelősségtől azzal, hogy átadja a notebookot vagy szervert egy szolgáltatónak. A GDPR 5. cikk (2) bekezdése szerint az adatkezelő köteles igazolni a rendelet betartását, és ez a kötelezettség a teljes életciklusra — beleértve a törlést és megsemmisítést is — vonatkozik. Egy beszerző jellemzően csak akkor szembesül ezzel, amikor az auditor a jegyzőkönyveket kéri, vagy egy adatvédelmi incidens kapcsán a NAIH visszafelé rekonstruálja az eszköz útját.

Az alábbiakban azt foglaljuk össze, melyik négy dokumentum-típust érdemes a beszerzőnek a szolgáltatótól rendre bekérnie, és mit célszerű tartalmaznia mindegyiknek ahhoz, hogy a cég GDPR-audit, ISO 27001 belső ellenőrzés vagy biztosítási kárrendezés esetén lefedett legyen.

Miért szükséges a dokumentált bizonyíték?

A GDPR több ponton is megalapozza az írásos bizonyíték iránti igényt:

  • 5. cikk (2) — elszámoltathatóság: az adatkezelő nemcsak betartani köteles a rendeletet, hanem képesnek kell lennie e megfelelés igazolására is.
  • 24. cikk — az adatkezelő felelőssége: olyan technikai és szervezési intézkedéseket kell foganatosítani, amelyek a kockázat szintjéhez igazítva bizonyíthatóvá teszik a megfelelőséget.
  • 30. cikk — nyilvántartási kötelezettség: az adatkezelési tevékenységek nyilvántartásába a tervezett törlési határidők is beletartoznak — a kapcsolódó eszközszintű bizonyíték a tanúsítvány vagy jegyzőkönyv.

Ehhez társul a 32. cikk (adatbiztonság) és incidens esetén a 33. cikk (72 órás bejelentés), ahol a hatóság kérheti az eseményt megelőző védelmi intézkedések dokumentációját. Az adatfeldolgozóra (28. cikk) is csak akkor lehet hivatkozni felelősség-megosztáskor, ha a szolgáltató teljesítését írásos termékkel (jegyzőkönyv, tanúsítvány) lehet alátámasztani.

A magyar gyakorlatban a felügyeleti megközelítés szerint az adatkezelő nem hivatkozhat egyoldalúan a szolgáltatóra felelősség-mentesítésként, ha nem rendelkezik a szolgáltató teljesítését dokumentáló bizonyítékokkal. Az IT-eszközök életciklus végén történő adatkezelése tipikusan incidens-bejelentés vagy munkavállalói panasz nyomán kerül vizsgálat alá — ilyenkor a hatóságnak rendelkezésre kell tudni bocsátani a tanúsítványt, a jegyzőkönyvet vagy ezekkel egyenértékű, visszakövethető bizonyítékokat.

A párhuzamos szabályozói rétegek tovább erősítik az írásos evidencia igényét. A NIS2 21. cikk (2) bekezdése a hatálya alá eső szervezetektől supply chain security, asset management és üzletmenet-folytonosság (business continuity / disaster recovery) területén is konkrét intézkedéseket vár — a vendor adattörlési dokumentáció ennek a beszállítói kontroll-rétegnek a része. Az ISO 27001:2022 Annex A kontrolloknál a leginkább érintett pontok: A.5.20 (szállítói megállapodások információbiztonsági követelményei), A.7.14 (eszközök biztonságos újrahasználata vagy ártalmatlanítása) és A.8.10 (információ-törlés).

A négy dokumentum-típus, amit érdemes bekérni

1. Szolgáltatói minőségi és kompetencia-tanúsítványok

Az első réteg a szolgáltató általános alkalmasságát igazolja. Bekérendő — még szerződéskötés előtt:

  • ISO 27001 tanúsítvány (információbiztonsági irányítási rendszer) — érvényességi dátummal, scope-pal.
  • ISO 9001 tanúsítvány (minőségirányítás) — ha az adott szolgáltató rendelkezik vele.
  • Adattörlési szoftver gyártói tanúsítvány vagy partneri minősítés (pl. minősített, partneri viszonnyal igazolt használat). A Blanccohoz hasonló szoftvergyártók partneri státusza önmagában is iparági jelzés.
  • ADISA (Asset Disposal & Information Security Alliance) tanúsítás — IT-asset disposal-specifikus minősítés.
  • EN 15713 szabvány szerinti auditált eljárás — papír- és adathordozó-megsemmisítés európai standardja.
  • A felelősségbiztosítási kötvény másolata.

Ezek a dokumentumok nem cikkenként, hanem a szolgáltatóhoz egyszer kerülnek bekérésre, és érvényességi dátumukig hatályosak. A beszerző audit-trail mappájában együtt kell tárolni az alábbi három, eseti dokumentumtípussal.

2. Chain of custody (őrzési lánc) jegyzőkönyv

A chain of custody a szolgáltató fizikai és birtoklási láncát dokumentálja az átvételtől a megsemmisítés vagy törlés befejezéséig. Egy auditálható chain of custody jegyzőkönyv tartalmazza:

  • Az átvétel pontos időpontját, helyszínét és felelős személyét mindkét oldalról (átadó és átvevő aláírása).
  • A szállítójármű azonosítóját és a szállító technikus nevét.
  • Az átvett eszközök tételes listáját sorozatszám szerint (nem csak darabszámmal).
  • Az ideiglenes tárolás helyét és időtartamát, valamint a tároló biztonsági besorolását (zárt rakodótér, kamerás raktár stb.).
  • Az átadás-átvétel minden közbenső állomását, ha az eszköz több ponton áthalad.
  • A megsemmisítés vagy törlés helyszínén történő dokumentált beérkezést.

A chain of custody megszakítatlansága az audit során kulcskérdés: ha a sorozatszám szerinti lista nem azonos az átvételi és a megsemmisítési ponton, az értelmezhetetlenné teszi a tanúsítványt.

3. Eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv

Ez az a dokumentum, amit a hatósági kérdésre — „bizonyítsa, hogy a 2024-ben selejtezett laptopon megfelelően eljártunk az adattal” — a beszerző az iratokból ki tud húzni. A választást kockázatalapon érdemes meghozni: a NIST SP 800-88 r2 Clear / Purge / Destroy kategóriái közül az adatbesorolás és az adathordozó-típus dönt. Általánosító tájékozódásul: alacsony bizalmasságú adat + HDD esetén a Clear (felülírás) is elegendő lehet; bizalmas adat + SSD vagy NVMe esetén a wear-leveling és overprovisioning miatt a sima felülírás nem megbízható — Purge szinten ATA Sanitize, ATA Secure Erase, NVMe Sanitize / Format NVM secure erase setting vagy igazolt cryptographic erase alkalmazása indokolt, a gyártói implementáció és a parancs sikeres lefutásának dokumentálásával; titkos / különleges kategóriájú adatnál (GDPR 9. cikk) jellemzően Destroy szintű fizikai megsemmisítés ajánlott. A két dokumentumtípus különbözik az eljárás függvényében:

Szoftveres adattörlés esetén (működőképes adathordozó): eszközszintű adattörlési tanúsítvány. Tartalmi minimumai:

  • Az eszköz gyártója, modellje és sorozatszáma (nem batch-szintű, hanem darabra megnevezve).
  • Az adathordozó típusa (HDD/SSD/NVMe) és kapacitása.
  • Az alkalmazott törlési módszer szabványhivatkozással — pl. NIST SP 800-88 r2 Clear / Purge / Destroy kategória, vagy a használt szoftver belső szabványa.
  • Az eljárás eredménye (sikeres / hibás), és sikertelen szektor esetén a kezelési mód (újra-kísérlet, fizikai megsemmisítés).
  • A végrehajtó technikus azonosítója (név vagy egyértelmű azonosító).
  • Időpecsét és sorszám.
  • A használt szoftver és verziószám.
  • Digitális aláírás vagy manipuláció-védett pdf — papír esetén legalább cégszerű aláírás.

Fizikai megsemmisítés esetén: megsemmisítési jegyzőkönyv. Tartalmi minimumai:

  • Sorozatszám szerinti eszközlista.
  • Az alkalmazott eljárás (darálás, perforálás, demagnetizálás) és a végeredmény mérete (pl. EN 15713 szerinti H-szint, vagy DIN 66399 szerinti biztonsági szint).
  • A megsemmisítő berendezés azonosítója — célszerű minősített ipari adathordozó-megsemmisítőt használni, amely a megsemmisítés paramétereit (eljárás, eredmény, időpecsét) beépített logba rögzíti.
  • A megsemmisítés helyszíne és dátuma.
  • A felelős technikus aláírása vagy azonosítója.
  • Lehetőleg fotódokumentáció a megsemmisítés előtti és utáni állapotról.

Egy generikus „a felsorolt eszközök adattartalmát töröltük” megfogalmazás GDPR-szempontból nem ad megfelelő bizonyítékot — sem az eljárás, sem az eredmény nem visszakövethető belőle.

4. Sorozatszámos eszközlista

A negyedik dokumentum gyakran fizikailag a chain of custody melléklete, mégis külön érdemes megnevezni, mert az auditok alapja. Egy korrekt eszközlista:

  • Tételenként tartalmazza a gyártót, modellt, sorozatszámot (S/N) és — ahol értelmezhető — az asset tag-et.
  • A leltárból (CMDB vagy ITAM) generált export legyen, ne kézi újrakulcs.
  • Egy az egyhez egyeztethető a chain of custody átvételi és a tanúsítványok listájával.
  • Adattörlés és/vagy megsemmisítés mellett tartalmazza az eszköz további sorsát (újra-felhasználás, hulladékkezelés, refurbished értékesítés).

Az ITAM rendszerben a leltárból az eszközt csak akkor lehet selejt státuszra állítani, ha a tanúsítvány meg is érkezett. Ennek folyamatszintű kikényszerítése (pl. workflow szabály) jelentősen csökkenti az audit-kockázatot.

Beszerzői ellenőrzőlista a tanúsítványhoz

Mielőtt egy adattörlési tanúsítványt vagy megsemmisítési jegyzőkönyvet elfogadható minőségűnek minősít a beszerző vagy a compliance officer, érdemes az alábbi tizenkét ellenőrző pontot evidence intake checklist-ként átfutni:

Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
  1. Szerepel-e a tanúsítványon a szolgáltató cégszerű azonosítója (név, cégjegyzékszám, székhely)?
  2. Eszközszintű a tanúsítvány (egy eszköz = egy sorozatszám), vagy ha batch-szintű, mellékelve van sorozatszámos lista módszerrel és eredménymezőkkel?
  3. Az eszköz gyártó-modell-sorozatszám hármasa egyezik a leltárban szereplővel?
  4. A módszer megnevezve egy hivatkozható szabvánnyal (NIST SP 800-88 r2 Clear/Purge/Destroy, EN 15713, DIN 66399)?
  5. A módszer választása összhangban van az adat-klasszifikációs szinttel és az adathordozó-típussal (HDD vs SSD/NVMe)?
  6. Az eredmény státusza explicit — sikeres / hibás / részleges? Sikertelen eset esetén dokumentált a deviation handling (újra-kísérlet, fizikai megsemmisítés, eltérő sorozatszám kezelése)?
  7. A technikus azonosítója szerepel (nemcsak „a csapat”)?
  8. Időpecsét és sorszám beazonosíthatóan jelen van?
  9. A dokumentum manipuláció-védett (digitális aláírás, PDF/A, vagy cégszerű papír-aláírás)?
  10. Csatolva van-e a chain of custody ezzel egyező tartalommal?
  11. A tanúsítványhoz tartozó felelősségbiztosítás lefedi-e az esetleges eljárási hibákat?
  12. A beszerző oldalán van-e mintavételes másodlagos kontroll — pl. évente N% eszköz visszaellenőrzése (visszamért adatmaradvány-teszt vagy onsite audit) a szolgáltató teljesítményéről?

A pontok inkább audit-ready evidence intake szempontok, mint univerzális jogi minimumkövetelmények — a hiányzó pontoknál a beszerző és a szolgáltató közösen állapodjon meg a kockázatarányos pótlás módjáról.

Szerepkör-felelősség modell (RACI minimum a folyamat zökkenőmentes lebonyolításához): IT Asset Manager → ITAM-CMDB sorozatszám-export, fizikai átadás; Procurement → szerződéses kontroll, felelősségbiztosítás-ellenőrzés; DPO → adatkezelési nyilvántartás frissítése; CISO / belső auditor → mintavételes másodlagos kontroll, deviation review; Legal → DPA (adatfeldolgozói szerződés), alvállalkozói lánc. Kisebb szervezetnél ezek a szerepek összevonhatók, de a felelősségeknek akkor is elkülöníthetően meg kell jelenniük.

Mi történik, ha hiányos vagy hibás az igazolás?

Az írásos bizonyíték hiányának három tipikus következménye van:

  • GDPR-hatósági eljárás: a NAIH vizsgálatakor az adatkezelő nem tudja igazolni a 32. cikk szerinti megfelelő technikai intézkedéseket. A pénzbüntetés mértéke a rendelet 83. cikke alapján a kockázat súlyához igazodik — a felső határ 20 millió euró, vagy az előző üzleti év teljes globális éves árbevételének 4%-a, attól függően, melyik a magasabb. A gyakorlatban az arányos bírság is jelentős üzletviteli kockázat.
  • Belső audit hibajegy (nonconformity): ISO 27001 vagy TISAX éves audit során a megfelelőség objektív bizonyítékának hiánya minősített megállapítás. A javítási intézkedési terv és a következő audit időpontja ilyenkor szoros nyomás alá kerül.
  • Biztosítási kárrendezés elutasítása vagy szűkítése: kiberbiztosítások és felelősségbiztosítások kötvényfüggő módon korlátozhatják vagy kizárhatják a megfelelőség dokumentációjának hiányából eredő károkat. Egy adatvédelmi incidens utáni költségtérítés (értesítési, forenzikus és jogi költség) ilyenkor jellemzően a cég saját zsebéből megy. Konkrét határt mindig a kötvény és a brokeri ajánlás határoz meg.

A negyedik, kevésbé nyilvánvaló kockázat az üzletvitel-folytatás akadálya: ügyfél vagy partner auditok — különösen autóipari TISAX, banki / pénzügyi vendor due diligence és szabályozott egészségügyi beszállítói környezetben — elvárják az IT-selejtezés dokumentált rendjét. Egy szállítás közbeni eszközelvesztés ráadásul önmagában is GDPR 33. cikk szerinti bejelentési kötelezettséget válthat ki, ha a személyes adatok sérülése kockázatot jelent az érintettek jogaira és szabadságaira nézve — a chain of custody és a kétoldalú átvételi aláírás pontosan ezt a forgatókönyvet kezeli, mert pontosan azonosíthatóvá teszi az érintett adatkört és a felelősséget.

Mit jelent ez a beszerzői munkafolyamatra?

A gyakorlatban ez nem nagy adminisztratív teher, ha a folyamat a kezdetektől tisztán épül fel:

  1. Szerződéskötéskor a szolgáltatótól bekért dokumentumok (ISO 27001, ADISA, felelősségbiztosítás) bekerülnek a beszerzői aktába.
  2. Minden átadáskor a chain of custody mindkét fél részéről aláírva keletkezik — papíron vagy ellenjegyzett digitális dokumentumban.
  3. Megsemmisítés vagy törlés után a szolgáltató szerződéses SLA szerint — célszerű 10–30 napban rögzítve — átadja az eszközszintű tanúsítványokat és a sorozatszámos eszközlistát.
  4. Az ITAM rendszerben a tanúsítvány hivatkozási száma a leltár-rekordhoz kerül, és csak ezután állítható selejt státuszra az eszköz. Eltérés (ITAM-lista vs. szolgáltatói visszaigazolás) esetén dokumentált deviation handling folyamat indul.
  5. A teljes csomag (szolgáltatói tanúsítvány + chain of custody + eszközszintű tanúsítvány + lista) a belső retention policy alapján együtt tárolva, a jogi, ágazati és elévülési követelményekhez igazítva — jellemzően 5–10 év, de a konkrét időtartamot a cég adatkezelési nyilvántartása rögzíti.

Hogyan kérje be ezt a négy dokumentumot a gyakorlatban?

Egy egyszerű módszer audit-ready beszerzésre: a fenti tíz pontos beszerzői ellenőrzőlistát mellékelje az ajánlatkéréshez, és kérje a szolgáltatókat, hogy mintatanúsítványon mutassák be, hogyan teljesítik az egyes pontokat. Ez még szerződéskötés előtt láthatóvá teszi, melyik szolgáltató állít elő ténylegesen audit-szintű dokumentációt, és melyik dolgozik csak generikus jegyzőkönyvvel. A datad.hu szakmai csapata audit-ready tanúsítvány-mintát, chain of custody sablont és sorozatszámos átadás-átvételi formanyomtatványt biztosít ajánlatkérés mellé — a négy dokumentum-típus tartalmi minimumait egységes csomagban lefedve.

Gyakori kérdések

Mi a különbség az adattörlési tanúsítvány és a selejtezési jegyzőkönyv között?

Az adattörlési tanúsítvány a működőképes adathordozó szoftveres törlését dokumentálja, a selejtezési vagy megsemmisítési jegyzőkönyv pedig az eszköz fizikai megsemmisítését (darálás, perforálás, demagnetizálás). Egy cég jellemzően mindkettőt használja az eszközpark állapotától függően.

Elegendő-e egy batch-szintű tanúsítvány több eszközre?

Nem ajánlott. GDPR-audit során az adatkezelőnek eszközenként kell tudnia igazolnia az elvégzett intézkedést — egy „X db SSD törlésre került” tanúsítvány a sorozatszámok hiányában nem visszakövethető. A jó gyakorlat: eszközszintű tanúsítvány, sorozatszámos lista mellékletként.

Meddig kell megőrizni az adattörlési tanúsítványt?

A megőrzési idő a kapcsolódó adatkezelési tevékenység GDPR szerinti megőrzési idejéhez igazodik, jellemzően minimum 5 évig, de bankszektorban, autóiparban vagy egészségügyben gyakran 8–10 év vagy hosszabb. Belső adatkezelési szabályzatban célszerű rögzíteni.

A felhőszolgáltató is ad adattörlési tanúsítványt a virtuális gépekről?

Néhány hyperscaler ad tanúsítvány-szerű ügyfélnyilatkozatot, de jellemzően megosztott felelősségi modellel és nem eszközszintű részletességgel. Saját adathordozó esetén (fizikai szerver, edge eszköz) a jelen cikk dokumentációs követelményei közvetlenül érvényesek.

Mit tegyek, ha a meglévő szolgáltatóm csak generikus tanúsítványt ad?

Először írásban kérje a hiányzó tartalmak pótlását (sorozatszám, módszer, technikus azonosító). Ha a szolgáltató ezt nem tudja teljesíteni, GDPR-audit szempontból kockázatos a folytatás — érdemes mérlegelni a szolgáltatóváltást, mert az adatkezelői felelősség a cégnél marad.

Milyen szabványra hivatkozhat egy minősített adattörlési tanúsítvány?

A nemzetközi gyakorlatban a NIST SP 800-88 r2 (Guidelines for Media Sanitization) a referencia, az európai megsemmisítéseknél az EN 15713 és a DIN 66399. Egy minősített eszközre épülő eljárás (pl. egy ipari adathordozó-megsemmisítő dokumentált logja) szintén elfogadható bizonyítéknak számít, amennyiben a használt módszer szabvány-mappingje a tanúsítványban szerepel.

Irodaköltözés és telephelybezárás: a rejtett adatbiztonsági kockázat a régi eszközpark

Irodaköltözés folyamatban: kipakolt íróasztalok és raklapra helyezett régi IT eszközök egy modern európai irodában

Irodaköltözés és telephelybezárás: a rejtett adatbiztonsági kockázat a régi eszközpark

Az irodaköltözés és telephelybezárás során a régi IT eszközpark rejtett adatbiztonsági kockázatot jelent: a használaton kívüli hardver leltárról való „lecsúszása” ellenőrizetlen adatkijuttatási csatornát nyithat, miközben az érintett eszközök ügyfél-, dolgozói és üzleti adatokat tárolhatnak. A GDPR 32. cikkének kockázatarányos technikai és szervezési intézkedési kötelezettsége, a NIS2-irányelv 21. cikk (2) bekezdése (az irányelv hatálya alá tartozó szervezeteknél) és az ISO 27001:2022 vonatkozó kontrolljai (A.5.9, A.5.11, A.7.9, A.7.10, A.8.10) együttesen olyan keretet adnak, amelyből a gyakorlatban védhető kontrollként következik a dokumentált eszköznyomonkövetés és a bizonyítható adattörlés vagy megsemmisítés.
Legfontosabb megállapítások:

  • Az irodaköltözés és telephelybezárás kritikus pontja a régi eszközpark: a leltárról „lecsúszott” hardver dokumentálatlan csatornán távozhat a szervezetből, és ezzel az adatok feletti kontroll is megszűnik.
  • A GDPR 32. cikke kockázatarányos biztonsági intézkedéseket vár el az átmeneti időszakokra is; a NIS2 21. cikk (2) bekezdése — a hatálya alá tartozó szervezetekre — kockázatkezelési intézkedéseket követel meg. Mindkét keretből az ISO 27001:2022 A.7.9 (off-premises eszközök) és A.7.10 (adathordozó-kezelés) kontrolljain keresztül vezethetők le védhető operatív intézkedések.
  • A megoldás chain-of-custody dokumentáció és tanúsított adattörlés vagy fizikai megsemmisítés, amelyet a költöztetési projektterv részeként, nem utólag, hanem ütemezett részfeladatként végeznek el.

Az irodaköltözés és a telephelybezárás a szervezet életének két olyan eseménye, amikor a normál IT eszköz-életciklus folyamatok ideiglenesen szétesnek. A leltár stabil „ki, hol, milyen eszközt használ” képe egy néhány hetes időablakra felborul: dobozolt hardver halmozódik a folyosón, régi gépek kerülnek elő a tárolóhelyiségből, és a „majd később foglalkozunk vele” kategória néhány nap alatt naggyá duzzad. Pontosan ebben az időablakban válnak láthatatlanná azok a régi eszközök, amelyek tartalmazhatnak ügyféladatot, dolgozói adatot, üzleti titkot vagy szabályozott adatot — és pontosan ezekben a hetekben fordul elő a legtöbb dokumentálatlan adatkijuttatás.

A jelenség nem egy elszigetelt kockázat. Az európai adatvédelmi és kiberbiztonsági szabályozás kifejezetten erre az időszakra is alkalmaz követelményeket: a GDPR 32. cikke, a NIS2-irányelv 21. cikk (2) bekezdése és az ISO 27001:2022 vonatkozó kontrolljai egyértelművé teszik, hogy egy szervezet adatvédelmi felelőssége nem szünetel attól, hogy éppen átköltözik egy másik címre, vagy bezár egy telephelyet.

Miért különösen kockázatos az irodaköltözés és a telephelybezárás?

A normál IT eszköz-életciklus során minden hardvernek van gazdája, helye és státusza a leltárban. A használatból kikerült eszközöket a szervezet selejtezésre adja, és ott egy dokumentált, tanúsított folyamat végzi a tényleges adatmegsemmisítést. Egy költözés ezt a folyamatot ideiglenesen szétfeszíti négy ok miatt.

Először, a változás strukturális: az asset management napi folyamatai (átvétel, kiadás, javítás, selejtezés) egy időre háttérbe szorulnak, mert a fő figyelem a fizikai mozgáson van. Másodszor, az eszközmozgás tömeges és koncentrált — ami egy hónap alatt 5-10 eszközmozgás lenne, az most egy hét alatt akár több száz. Harmadszor, a folyamatban több, eltérő érdekű és felkészültségű szereplő vesz részt: a költöztető cég, a facility menedzsment, az IT részleg és HR. Negyedszer, a régi, már nem használt eszközök — amelyek pontosan azok, amelyek a leselejtezési csatornán kellene, hogy átmenjenek — könnyen kerülnek a „később foglalkozunk vele” zsákutcába, és onnan végül egy nyomtatott rendszerező doboz aljából bukkannak fel hónapokkal később, esetleg már a régi telephely épületgépészeti felújítása közben.

Mely eszközök kerülnek tipikusan a szürke zónába?

Egy költöztetés vagy telephelybezárás során minden hardver — minden tárolásra alkalmas hardver — kockázati elem. A gyakorlatban azonban néhány eszköztípus szisztematikusan a szürke zónába esik:

  • Régi laptopok és asztali gépek, amelyek már nem aktív használatban vannak, de a tárolóhelyiségben „tartalékban” pihennek
  • Tartalék merevlemezek és SSD-k, amelyeket meghibásodás vagy bővítés miatt cseréltek le
  • Hálózati eszközök (router, switch, tűzfal) konfigurációs adatokkal, amelyek a hálózati topológiát és hozzáférési mintázatokat is tárolják
  • Külső adathordozók (USB drive, optikai média, archiváló merevlemez), amelyeket egyszeri feladatra használtak, majd elraktak
  • Nyomtatók és multifunkciós eszközök, amelyek beépített háttértárolóval rendelkeznek és gyakran évek nyomtatási, szkennelési és faxálási tartalmát megőrzik
  • Mobil eszközök (céges telefon, tablet) BYOD vagy közös eszközből visszavett darabok

A kérdés ezeknél az eszközöknél nem az, hogy „tartalmaznak-e adatot” — hanem az, hogy a szervezet tudja-e dokumentáltan igazolni, hogy a rajtuk levő adat már nem visszaállítható, és az eszköz a felelős kezekben végzi.

GDPR 32. cikk, NIS2 21. cikk és az eszközmozgatás

A GDPR 32. cikke — „Az adatkezelés biztonsága” — előírja, hogy az adatkezelő és az adatfeldolgozó köteles a kockázat mértékének megfelelő technikai és szervezési intézkedéseket biztosítani a személyes adatok védelmére. A cikk nem ismer „költözési mentességet”: a kockázatarányos kötelezettség az átmeneti időszakokra is vonatkozik. Ha egy szervezet a költözési stresszben elveszít egy laptopot, amelyen HR-adatok vannak, az adatvédelmi incidens-helyzet — a bejelentési kötelezettséget azonban a GDPR 33. cikke szerinti kockázatértékelés alapján kell meghatározni. Egy nyílt, jelszó nélküli laptop más kockázatot képvisel, mint egy teljeskörűen titkosított, MDM-mel távolról törölhető eszköz.

A GDPR 17. cikke (a „törléshez való jog”) egy másik irányból érinti a régi eszközparkot. Ha egy érintett a költözést megelőzően kérte adatai törlését — és nem áll fenn a 17. cikk (3) bekezdés szerinti kivétel (pl. jogi kötelezettség teljesítése, közérdekű archiválási, tudományos vagy történelmi kutatási cél, vagy jogi igények előterjesztése, érvényesítése, illetve védelme) —, a szervezet a releváns aktív példányokat köteles eltávolítani. A backup retention és a jogi megőrzési kötelezettség kezelése külön, dokumentált kivételkezelési logikát igényel: egy régi laptopra mentett offline másolat, amely egy költöztetési dobozban felejtődik, ennek a kivételkezelésnek a hatókörén kívül esik — és a megőrzési helye miatt jogi értelemben problémás lehet.

A NIS2-irányelv (Európai Parlament és Tanács (EU) 2022/2555 irányelve) 21. cikk (2) bekezdése sorolja fel azokat a kockázatkezelési intézkedéseket, amelyeket az irányelv hatálya alá tartozó szervezeteknek alkalmazniuk kell. Ezek között szerepel a kockázatkezelés, az asset management és a supply chain security; a fizikai biztonsági szempontok az általános kockázatkezelési intézkedések részeként, levezetett követelményként következnek — mindhárom terület közvetlenül érintett egy költöztetés során. A NIS2 nem ír elő külön költöztetési szabályrendszert, de a folyamatos megfelelés a szervezeti változások idején is elvárás.

Fontos azonban tisztázni, hogy a NIS2 hatálya nem általános: kizárólag az úgynevezett essential entities (alapvető entitások) és important entities (fontos entitások) körébe tartozó szervezetekre vonatkozik közvetlenül, az irányelv mellékletében meghatározott szektorok és méretküszöbök szerint. A magyar átültetés a mindenkor hatályos hazai kiberbiztonsági szabályozási keretben szerepel; a szervezet pontos besorolása (essential vagy important entity) és a konkrét kötelezettségek a szektor-specifikus felügyeleti útmutatás és a hatályos jogszabály alapján határozhatók meg. A NIS2-hatály alá nem tartozó szervezeteknél a GDPR és az ISO 27001 marad az elsődleges jogi és módszertani keret — a cikkben tárgyalt eszközmozgatási követelmények azonban a GDPR 32. cikke alapján rájuk is vonatkoznak.

Az átköltöztetés vagy bezárás során bekövetkező adatvesztési esemény — például egy személyes adatot tartalmazó eszköz elveszése vagy ismeretlen kezekbe kerülése — a GDPR 33. cikke szerinti incidens-helyzet, ami 72 órán belüli bejelentési kötelezettséget keletkeztethet a felügyeleti hatóság (Magyarországon a NAIH) felé. A bejelentési kötelezettség dokumentált kockázatértékelés eredménye: titkosított és MDM-mel távolról törölhető eszköznél a kockázat — és ezzel a bejelentési kötelezettség is — más lehet, mint egy nyílt, hozzáférést nem korlátozó hardvernél. Az időablak azonban nem alkudható meg a költözési zűrzavarral, ezért is kritikus a folyamat előre megtervezett dokumentációja.

ISO 27001:2022 kontrollok a költöztetés és telephelybezárás idejére

Az ISO 27001:2022 Annex A hét kontrollja foglalkozik közvetlenül azzal a helyzettel, amikor egy IT eszköz nem a normál működési környezetében van vagy a használatból kikerül:

Pakolás közbeni pillanat egy modern irodában: zárt laptop és összetekercselt kábel egy állítható asztalon
Pakolás közbeni pillanat: minden eszköz a maga helyén, várva a dokumentált átadásra — a chain-of-custody itt kezdődik.

A.5.9 — Inventory of information and other associated assets. A teljes selejtezési és költöztetési folyamat alapja a naprakész eszközleltár. A pre-move adatvagyon-felmérés ennek a kontrollnak a koncentrált megvalósítása: nincs olyan eszköz, amely „nincs a leltárban”, és nincs olyan leltárelem, amelynek a fizikai helye ismeretlen.

A.5.11 — Return of assets. Telephelybezárás vagy munkavállalói leválás esetén kifejezetten releváns kontroll. Minden, korábban kiadott eszköz visszavételét, állapotának dokumentálását és további sorsának (újraosztás / selejtezés) eldöntését írja elő — pontosan az a folyamat, amit egy bezárási projektnek nagy léptékben kell végrehajtania.

A.7.9 — Security of assets off-premises. Ez a kontroll pontosan a költöztetés és telephelybezárás helyzetére illik. Az „off-premises” nem csak a hazavitt notebookot fedi le, hanem a költöztető kamionba pakolt szervert is. A kontroll megköveteli, hogy az ilyen helyzetekre kifejezett védelmi intézkedéseket alkalmazzon a szervezet — fizikai őrzés, sérülésvédelem, megfelelő szállítási mód.

A.7.10 — Storage media handling. Az adathordozók kezelése a teljes életcikluson át — beleértve a megsemmisítést is — dokumentált eljárásrend szerint kell, hogy történjen. Egy költöztetés vagy bezárás ennek a kontrollnak a stressz-tesztje: kiderül, hogy a szervezet eljárásrendje skálázódik-e tömeges, koncentrált eszközmozgásra is.

A.8.10 — Information deletion. Az információ törlésére vonatkozó kontroll explicit módon kimondja, hogy a már nem szükséges adatot dokumentált módon kell törölni vagy megsemmisíteni. A „már nem szükséges” pont az a kategória, ahova az irodaköltözés során sok adat hirtelen átkerül.

A.5.29 és A.5.30 (BCM/ICT kontinuitás). Telephelybezárás esetén további szempont az üzletmenetfolytonosság: ha a bezárandó telephely a szervezet katasztrófa-helyreállítási (DR) szerepét töltötte be, vagy backup-infrastruktúrát hostolt, az A.5.29 (Information security during disruption) és A.5.30 (ICT readiness for business continuity) kontrollok megkövetelik a tervek párhuzamos átdolgozását az eszközmozgatással egy időben.

A tanúsított adattörlés és fizikai megsemmisítés szerepe

A költöztetési és bezárási folyamat kulcs kontrollpontja a tanúsított adattörlés vagy fizikai megsemmisítés időbeni elvégzése. Az amerikai NIST SP 800-88 (Guidelines for Media Sanitization) szabvány — amelyet az európai szervezetek (köztük az ENISA és a német BSI iránymutatások) is széles körben referenciaként használnak — három szintet definiál: Clear (alaptörlés, alkalmi újrahasználathoz), Purge (logikai biztonsággal nem visszaállítható, ide tartozik a kriptográfiai törlés is) és Destroy (fizikai megsemmisítés). A választás az eszközre került adat klasszifikációjától, a média típusától és a titkosítási státusztól függ.

Egy költöztetési projektben ez a választás konkrét döntést követel meg: minden leselejtezésre szánt eszközre el kell dönteni, hogy *újrahasználható* (Clear vagy Purge szintű szoftveres adattörlés után újraosztható vagy értékesíthető), vagy *megsemmisítendő* (Destroy szintű fizikai megsemmisítés, jellemzően shredding, demagnetizáció vagy zúzás). A döntés alapja az eszközön szereplő adat érzékenysége, a média típusa, a titkosítási státusz és a tervezett újrahasználati cél: egy jogi részleg magas érzékenységű laptopja jellemzően Destroy szintet indokol — ugyanakkor egy ellenőrzötten titkosított, megfelelő kulcskezeléssel rendelkező SSD esetén a Purge vagy a kriptográfiai törlés (Cryptographic Erase) is védhető döntés lehet, ha az ellenőrizhetőség dokumentált.

A folyamat végén minden eszközhöz tanúsítvány (certificate of destruction vagy certificate of data sanitization) tartozik, amely sorozatszám szerinti azonosítóval rögzíti a tényt. Ez a tanúsítvány az audit nyomvonal kulcseleme: egy későbbi GDPR-vizsgálat, NIS2-felügyeleti ellenőrzés vagy ISO 27001 belső audit során ez bizonyítja, hogy a szervezet a kötelezettségét teljesítette.

Operatív lépéssor: hogyan építsd be a folyamatba?

A költöztetés vagy telephelybezárás adatbiztonsági komponensét nem lehet utólag a folyamatra „ráragasztani”. A leghatékonyabb megközelítés ötlépcsős, és a projektterv részeként ütemezett:

  1. Pre-move adatvagyon-felmérés. A költöztetés előtt 4-6 héttel listázzon minden IT eszközt: aktív használatban lévő, tartalék, leselejtezésre szánt. A lista minden tételhez tartalmazza az eszközazonosítót, a klasszifikációs szintet (publikus / belső / bizalmas / szigorúan bizalmas) és a tervezett sorsát (költöztetés / újraosztás / selejtezés). Egyúttal ellenőrzendő, hogy van-e olyan eszközön adat, amelyre korábban a GDPR 17. cikke szerinti törlési kérelmet logikai szinten teljesítettek (pl. CRM-ből kitörölve): az offline másolat (régi laptop, tartalék merevlemez) létezését igazolni kell, és a fizikai törlés ezeknél az eszközöknél kötelező.
  1. Klasszifikáció és döntés. A felmérési lista alapján döntés minden tételre: költöztetjük, vagy a költözés alkalma a selejtezési pont. A leselejtezésre szánt tételeknél döntés a NIST 800-88 szint szerint: Clear / Purge / Destroy.
  1. Chain-of-custody bevezetése. Fontos elhatárolás: minden eszközmozgatáshoz nyomonkövetés szükséges (átadás-átvétel), de tanúsított adattörlés vagy fizikai megsemmisítés csak a selejtezésre, újraosztásra vagy értékesítésre szánt eszközöknél indokolt — a normál működéshez áthelyezett, aktív hardver nem igényel sanitization-t, csak nyomonkövetést. Az átadás-átvételi jegyzőkönyv minimális tartalmi elemei: eszközazonosító (leltárszám és sorozatszám), állapot átadáskor (sérülésvizsgálat), átadó és átvevő neve és szerepköre, időpont és helyszín, az eszköz tervezett sorsa (költöztetés / selejtezés / raktározás), záró felelős személy. A jegyzőkönyv kerüljön be a szervezet adatvédelmi nyilvántartásába. Ez az ISO 27001 A.7.9 (off-premises) követelményének operatív megfelelője.
  1. Tanúsított adattörlés vagy megsemmisítés a selejtezési listára. A költöztetés ütemezésébe építsen be egy konkrét időablakot, amikor a selejtezésre szánt eszközök tanúsított törlésen vagy megsemmisítésen mennek át — szakszolgáltató bevonásával, on-site vagy off-site, de mindenképpen sorozatszám szerinti tanúsítvánnyal.
  1. Záró dokumentáció és leltárfrissítés. A folyamat végén a tanúsítványok bekerülnek a szervezet adatvédelmi nyilvántartásába, a leltár frissül (eszköz lezárt státusszal), és a GDPR megőrzési kötelezettsége is teljesül. A leltárfrissítés egyben az ISO 27001:2022 A.5.9 (Inventory) kontroll folyamatos naprakészségének teljesítéseként is dokumentálandó. A tanúsítványok megőrzési idejét érdemes a belső retention policy és az elévülési / követelésérvényesítési szempontok alapján meghatározni — gyakorlatban jellemzően 5-7 év (a GDPR 5. cikk (2) elszámoltathatósági elvének folyamatos bizonyíthatóságához igazítva).

A projektterv első verziójában érdemes egy rövid felelősségi mátrixot (RACI) is rögzíteni: ki az asset owner, ki dönt a Clear/Purge/Destroy szintről (jellemzően a DPO/adatvédelmi felelős és az adatgazda közös döntése a CISO bevonásával), ki hagyja jóvá a selejtezési listát, és ki zárja le a leltárt a folyamat végén.

A telephelybezárás esetén ugyanezt a logikát kell követni, néhány árnyalattal. Egy bezáráskor jellemzően magasabb a *selejtezés* aránya (mivel a cél nem új helyre vinni az eszközöket, hanem felszámolni a teljes telephely IT-állományát), és a *határidő* gyakran rugalmatlanabb (épület átadás, bérleti szerződés vége). Ez fokozza a „majd később foglalkozunk vele” csapdájának kockázatát — ezért a tanúsított törlési és megsemmisítési kapacitás biztosítását még korábban érdemes lekötni.

Gyakori kérdések

Mi a különbség leselejtezés és költöztetés között adatvédelmi szempontból?

A költöztetés egy meglévő, használatban lévő eszköz fizikai áthelyezése egy másik helyszínre, a tárolt adatokkal együtt — itt a kockázat a szállítás közbeni elvesztés vagy sérülés. A leselejtezés egy eszköz végleges kivonása a használatból, ami GDPR és ISO 27001 értelmében dokumentált adattörlési vagy megsemmisítési kötelezettséget keletkeztet. A költöztetés alkalmával gyakran derül ki, hogy egy „tartalék” eszköz valójában leselejtezésre vár — ezt a pillanatot érdemes formálissá tenni.

Kell-e jegyzőkönyvet vezetni a költöztetett IT eszközökről?

Igen. Az ISO 27001:2022 A.7.9 (off-premises eszközök biztonsága) és A.7.10 (adathordozó-kezelés) kontrolljai dokumentált eljárásrendet írnak elő. A GDPR 32. cikke (megfelelő technikai és szervezési intézkedések kötelezettsége) és az 5. cikk (2) bekezdése (elszámoltathatósági elv) egyaránt megköveteli, hogy a szervezet tudja igazolni az intézkedéseit. A gyakorlatban ez chain-of-custody jegyzőkönyvet jelent: minden eszközmozgáshoz aláírt átadás-átvétel.

Mit tegyek a telephelybezárás után fennmaradó régi eszközökkel?

A bezárási projekt utolsó fázisaként minden, használatban már nem lévő IT eszközt formálisan selejtezésre kell venni, klasszifikálni az adattartalom alapján, és a NIST SP 800-88 szerinti megfelelő szintet (Clear / Purge / Destroy) alkalmazni rá. Ezt szakszolgáltató tudja sorozatszám szerinti tanúsítvánnyal igazolni, ami a későbbi audit nyomvonal alapja lesz. Időablakot a bezárás előtti utolsó 2-4 hétre érdemes tervezni.

Bízhatom a költöztető cégre az adatvédelmet?

A költöztető cég a fizikai szállítás biztonságáért felel, de az adatvédelmi felelősség az adatkezelőnél marad (GDPR 24. cikk). A GDPR 28. cikke szerinti adatfeldolgozói szerződés (DPA) akkor szükséges, ha a szolgáltató ténylegesen személyesadat-kezelési műveletet végez — például hozzáfér a hardveren tárolt adathoz. Tisztán zárt, lezárt, hozzáférés nélküli eszközszállítás esetén a védhetőbb keret jellemzően a biztonsági szerződéses melléklet: NDA, plombázott szállítóeszköz, chain-of-custody kötelezettségek, kétszereplős átadás-átvétel. A minősítés a tényleges adatkezelési művelet alapján történik, nem önmagában a szállítás ténye alapján. A költöztetéskor használt eszközöket — különösen a tárolásra alkalmasakat — érdemes a költöztető csomagolása ELŐTT klasszifikálni, és a magas érzékenységű elemeket vagy elkülönítetten szállítani, vagy még a költözés előtt tanúsított adattörlésen átvinni.

Hogyan kapcsolódik a GDPR 17. cikke az irodaköltözéshez?

A GDPR 17. cikke (törléshez való jog) értelmében ha egy érintett kérte az adatai törlését, a szervezet a releváns aktív példányokat — a 17. cikk (3) bekezdés szerinti kivételek (pl. jogi megőrzési kötelezettség, közérdekű archiválási cél, jogi igények előterjesztése vagy érvényesítése) figyelembevételével — köteles eltávolítani. A backup retention és a litigation hold külön, dokumentált kivételkezelési logikát igényel. Ha a logikai törlést elvégezték (CRM, központi rendszerek), de egy régi laptop offline másolata egy költöztetési dobozban felejtődik — és a fájlra nem vonatkozik dokumentált kivétel —, a kötelezettség jogi értelemben nem teljesült. Az irodaköltözés egy alkalom, amikor érdemes a pre-move adatvagyon-felmérés részeként ellenőrizni: van-e olyan régi eszközön adat, amelynek logikai szinten már törölve kellene lennie.

Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?

Modern irodai szemetesbe dobott üzleti laptop, gyűrt papírokkal — leselejtezett IT eszközök kontrollálatlan adatkivonási kockázatának illusztrációja

Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?

A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:

  • A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
  • A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
  • Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.

Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.

A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.

A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.

Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.

Mi a különbség a három fogalom között?

A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.

Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.

Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.

Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.

Miért nem törlés a formázás?

A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.

A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.

A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.

Gyári visszaállítás: mikor működik, mikor nem

A „factory reset” hatása az eszköz típusától és életkorától függ.

Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.

SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.

Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.

Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.

A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.

Két azonos SSD egymás mellett: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a tanúsított adattörlés és a látszólagos törlés kontrasztja
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.

Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás

A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.

A folyamat lényege négy lépés:

  1. Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
  2. Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
  3. Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
  4. Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.

Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.

Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.

Gyári visszaállítás vs adattörlés: mikor melyik elég?

A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.

Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.

Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.

Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.

Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.

A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e adattörlési tanúsítvány vagy selejtezési jegyzőkönyv„. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.

Compliance kontextus: GDPR, NIS2, ISO 27001

Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.

GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.

NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.

ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.

Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.

A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.

Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.

Vezetői cselekvési pontok

A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:

  1. Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
  2. Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
  3. Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
  4. Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
  5. Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?

Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.

Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.

A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.

Gyakori kérdések

Vissza lehet állítani egy formázott merevlemezről az adatokat?

Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.

A gyári visszaállítás SSD-n elég biztonságos?

Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.

Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?

A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.

Kell-e jegyzőkönyv a vállalati eszközök törléséről?

Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.

Mit ad többletként a tanúsított szoftveres adattörlés?

Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.

IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?

Selejtezésre előkészített IT eszközök — laptopok, SSD-k, RAM modulok és okostelefonok rendezett inventory-ban

IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?

Az IT eszköz selejtezési szabályzat egy belső szabályozó dokumentum, amely az informatikai eszközök és adathordozók életciklusának végén a biztonságos kivonást, adatmegsemmisítést és dokumentált lezárást írja le. 2026-ban a szabályzat tartalmát három forrás határozza meg: a GDPR (5., 32. cikk) adatbiztonsági alapelvei, a NIS2 (EU 2022/2555) irányelv ISMS-elvárásai (Magyarországon nemzeti átültetéssel), valamint az ISO/IEC 27001:2022 A.7.14 kontroll, amely a Physical controls témakörében az eszközök biztonságos selejtezését szabályozza. A szabályzat nélkül a megfelelőségi audit során az adathordozó-kezelés rendre az első hibatípusok közé kerül.
Legfontosabb megállapítások:

  • 2026-ban egy IT eszköz selejtezési szabályzatnak ki kell terjednie minden adathordozóra, beleértve a mobiltelefonokat, hálózati eszközök perzisztens memóriáját és a leszerelt szerverek SSD-it is.
  • A szabályzat akkor működik, ha minden selejtezett tételhez chain of custody dokumentáció és megsemmisítési jegyzőkönyv tartozik, beszállító esetén pedig az alvállalkozói lánc is leírt.
  • Az auditok döntő többsége nem a megsemmisítés módszerét, hanem a dokumentáció hiányát és a hatály alól kicsúszó eszközöket (BYOD, lízingelt gép, raktározott tartalék) kifogásolja.

A magyar adatvédelmi hatósági gyakorlatban és a NAIH éves beszámolóiban visszatérő tanulság, hogy a nem aktív, leselejtezett, raktározott vagy elhagyott IT eszközök adatvédelmi kockázatot jelentenek — a kapcsolódó incidensek nem rendszerüzemeltetési, hanem életciklus-záró folyamati hiányosságokból fakadnak. Ezzel párhuzamosan az ISO 27001 2022-es revíziója önálló kontrollt rendelt a témához (A.7.14), a NIS2 pedig olyan kockázatkezelési intézkedéseket vár el, amelyekbe az eszközök életciklusa szervesen beletartozik. Ezek után 2026-ban egy szervezet — különösen, ha NIS2 hatálya alá tartozik vagy ISO 27001-tanúsított — nem támaszkodhat egy 4–5 éves selejtezési „eljárásrendre”. Konkrét tartalmi minimum kell.

Miért nem elég egy 2020-as szabályzat 2026-ban?

A legtöbb hatályos belső selejtezési szabályzat a 2017–2020 közötti GDPR-felkészülés idején született. Ezek jellemzően három pontot kezeltek: az adathordozó típusát, a megsemmisítés módját és a beszállító kijelölését. Az azóta eltelt időben három dolog változott:

  • Az eszközpark szerkezete átalakult. A vállalati flotta jelentős részében már SSD és NVMe meghajtók találhatók, a hagyományos winchesterek aránya csökken. Az SSD-knél az „alacsony szintű formázás” nem törlés — a wear leveling és a tartalék blokkok miatt csak kriptografikus törlés vagy fizikai megsemmisítés ad megfelelő bizonyosságot. A 2020-as szabályzatok többsége erre nincs felkészítve.
  • Az ISO/IEC 27001 megújult. A 2022-es verzió önálló kontrollként emeli ki az „eszközök biztonságos selejtezését vagy újrahasznosítását” (A.7.14), ami a 4 témaköri csoportból (organizational, people, physical, technological) a Physical controls (7-es csoport) része. Tartalmilag a 2013-as A.11.2.7 követelményével lényegében azonos, de a Statement of Applicability-ben (SoA) önálló kontrollként jelenik meg, ami az audit gyakorlatban explicit dokumentálási és bizonyítási kötelezettséget jelent.
  • A NIS2 keretében a felső vezetés személyes felelősségi köre kiterjed az ISMS-szintű kontrollok meglétére. Ha a kockázatértékelésben az adathordozó-megsemmisítés szerepel kontrollként, akkor azt dokumentált eljárással kell alátámasztani.

Egy 2020-as szabályzat ezeket a változásokat ritkán tudja követni egyszerű foltozással. Egy-két új bekezdés beillesztése formailag dokumentmódosításnak minősül, de tartalmi szinten ritkán fedi le az új kontroll-elvárásokat — auditori kérdésre a hatásvizsgálat és a verziókövetett struktúra hiánya jellemzően kiderül.

A kötelező tartalmi minimum: hét auditálható blokk

Az alábbi hét tartalmi blokkot egy 2026-os IT eszköz selejtezési szabályzatnak mind érdemes lefednie. Hiányzó blokk tipikusan auditori kérdést vagy megállapítást eredményez — a kontroll alkalmazhatóságát és bizonyíthatóságát az auditor a meglévő tartalom alapján méri, ezért a struktúra önmagában is bizonyíték.

1. Hatály és tárgyi kör. A szabályzat pontosan jelölje meg, milyen eszközökre vonatkozik: asztali és hordozható számítógépek, szerverek, mobiltelefonok, tabletek, hálózati eszközök (router, switch, tűzfal), nyomtatók (perzisztens memóriával), külső adathordozók, biztonsági mentés szalagok és optikai média. Külön ki kell térni a lízingelt eszközökre, a BYOD-konstrukcióra és a tartalékra raktározott gépekre. A három legtöbbet mulasztott terület audit-szempontból ez a három.

2. Felelősségi rend. A szerepköröket az auditori logika szerint érdemes szétbontani: policy owner (a szabályzat fenntartója, jellemzően az IT vezető vagy a CISO), process owner (a végrehajtási folyamat felelőse, tipikusan az IT operations vezetője), asset owner (az érintett eszköz nyilvántartási tulajdonosa), rendszergazda (azonosítás, fizikai kivonás), adatvédelmi tisztviselő vagy compliance officer (jogszabályi megfelelés ellenőrzése), belső auditor (a folyamat független ellenőrzése — ISO 27001 9.2 elvárás), pénzügy (állományi nyilvántartás), beszerzés (beszállítói szerződés). NIS2 hatálya alatt a felső vezetést is nevesítse a szabályzat az éves felülvizsgálati pontban. A compliance és a belső audit szerepkör tudatosan elkülönítendő — a belső audit függetlensége az ISMS tanúsítás alapelve.

3. Eszköz életciklus és kiváltó események. A szabályzat sorolja fel azokat az eseményeket, amelyek selejtezési folyamatot indítanak: amortizációs lejárat, meghibásodás, szoftveres elavulás (vendor support vége), lízing visszaadás, csere program, biztonsági incidens utáni karantén. Minden eseményhez tartozzon egy konkrét folyamatlépés-sor.

4. Adatmegsemmisítési módszerek és minősítésük. Itt érdemes a NIST SP 800-88 Rev.1 kategorizálását követni: Clear (validált logikai felülírás vagy gyártói reset úgy, hogy a felhasználó által címezhető adatterület szabványos eszközökkel ne legyen helyreállítható — egyszerű fájltörlés vagy gyorsformázás nem elég), Purge (gyártói sanitize parancs, kriptografikus törlés vagy mágneses média degausser), Destroy (fizikai megsemmisítés). A szabályzat eszköztípusonként és kockázati szintenként rendelje hozzá a megfelelő módszert. Egy minimális döntési mátrix:

  • HDD, alacsony kockázatú adat → Clear vagy Purge
  • HDD, magas kockázatú adat → Purge (degausser) vagy Destroy
  • SSD/NVMe, általános üzleti adat → gyártói sanitize parancs vagy hitelesített kriptografikus adattörlés
  • SSD/NVMe, különleges kategóriájú adat (GDPR 9. cikk) → kriptografikus törlés független validációval, vagy Destroy
  • Hibás, nem olvasható, vagy nem érvényesített SSD → Destroy
  • Mobiltelefon, tablet → gyártói factory reset titkosítás után (Purge), magas kockázatnál Destroy

A degausser kifejezetten mágneses adathordozóra (HDD, szalag) érvényes — SSD-nél hatástalan. A „különleges adat = Destroy” összerendelés kockázatkerülő alapértelmezés, nem szabványkényszer; a maradványkockázat megítélése szervezeti döntés.

5. Chain of custody és dokumentáció. Ez az audit-tapasztalat szerint a legtöbbet bukott pont. Minden selejtezett tételhez tartozzon: leltári azonosító, sorozatszám, eszköztípus, kivonás dátuma és felelőse, közbenső raktározás helye és időtartama, szállítási fázis felelőse és bizonylata (átadás-átvétel pillanata, lezárt szállítóeszköz, kísérőlevél), megsemmisítési bizonylat (jegyzőkönyv és tanúsítvány), végső megsemmisítés dátuma. A papíralapú átvételi elismervény önmagában nem elég — vissza kell vezethető legyen az állományi nyilvántartással és az ISMS eszköznyilvántartásával. A szállítási fázis felelősségi átadása a leggyakrabban kifelejtett dokumentációs lépés. A chain of custody dokumentumok megőrzési ideje a szervezet általános dokumentummegőrzési szabályzatához igazodjon — az ISO 27001 audit-ciklus (3 év) és a polgári elévülési idő (jellemzően 5 év) közül az erősebb keret a mértékadó.

6. Beszállító és alvállalkozói lánc. Ha a szervezet külső szolgáltatóval semmisítteti meg az adathordozókat, a szabályzat különítse el az alábbi szerződéses és minősítési elemeket: beszállító-minősítés kritériumai (tanúsítványok, bizonylati gyakorlat, telephelyi audit lehetőség), adatfeldolgozói szerződés (DPA, GDPR 28. cikk szerint, ha a beszállító személyes adatot tartalmazó eszközt kezel), alvállalkozó előzetes engedélyezése vagy értesítése, incidensértesítési határidő, auditjog (helyszíni vagy dokumentumalapú), bizonyítékformátum (jegyzőkönyv és tanúsítvány minimumadatai), valamint a láncolt felelősség kezelése. A NIS2 általános supply chain és incidensértesítési elvárásai erős érveket adnak ezen elemek mellé, a konkrét szerződéses tartalom azonban szervezet- és beszállító-specifikus.

7. Felülvizsgálat, képzés, kivételkezelés. A szabályzat évente egyszer kötelezően felülvizsgálandó. Tartalmazzon képzési előírást (kit, milyen gyakran, milyen tartalommal), incidenskezelési kapcsolódást (mikor lép át a folyamat az IBIR-be), valamint kivételkezelési eljárást (ki és milyen feltételek mellett engedélyezhet eltérést, hogyan dokumentálódik).

Jogszabályi és szabványalapok 2026-ban

Kéz tart egy 2.5
A selejtezési folyamat kritikus pillanata: az adathordozó fizikai kivezetése a rendszerből, ahonnan a chain of custody dokumentáció indul.

A szabályzat hivatkozási alapját négy forrás adja:

  • GDPR 5. cikk (1) f) és 32. cikk — az integritás és bizalmas jelleg alapelve, valamint a biztonsági intézkedések általános elvárása (megfelelő technikai és szervezési intézkedések). A 25. cikk (beépített és alapértelmezett adatvédelem) is releváns, ha az eszközök biztonságos törlése a tervezésbe építetten történik. Megjegyzés: a GDPR 17. cikk (érintetti törléshez való jog) önmagában nem általános selejtezési kötelezettség, hanem érintett-kezdeményezett jog — ezért a selejtezési szabályzat alapját az 5. és 32. cikk adja.
  • NIS2 (EU 2022/2555) irányelv 21. cikk — kockázatkezelési intézkedések ISMS-keretben. Az adathordozó-kezelés explicit nincs nevesítve, de a (2) bekezdés a) pontja („kockázatelemzési és információs rendszerek biztonságára vonatkozó szabályzatok”) és h) pontja („kriptográfia és adott esetben titkosítás alapszabályai és eljárásai”) gyakorlatilag lefedi. A NIS2 magyar átültetése külön nemzeti jogszabályban él, az operatív elvárásokat ehhez kell igazítani.
  • ISO/IEC 27001:2022 A.7.14 — „Secure disposal or re-use of equipment”. A kontrollhoz a Statement of Applicability-ben dokumentált eljárás és bizonyíték kell.
  • NIST SP 800-88 Rev.1Guidelines for Media Sanitization. Nem kötelező Magyarországon, de a beszállítói jegyzőkönyvek és a belső módszertan referenciaként ezt használják.

A szabályzat szövegében ezekre kifejezetten hivatkozzunk, ne csak általánosan a „vonatkozó jogszabályokra”. Audit során a hivatkozás konkrétsága az első kérdés. A tipikus auditori kérdezési logika négy szintű: kockázatértékelés → kontroll alkalmazhatósága a Statement of Applicability-ben → dokumentált eljárás → végrehajtási bizonyíték. A szabályzat ennek a négyszintű nyomvonalnak a harmadik eleme — bizonyíték nélkül önmagában kevés, kockázatértékelési lehorgonyzás nélkül lebeg.

Érdemes a selejtezési szabályzatot a business continuity tervezéssel is összehangolni. Az ISO 27001:2022 két szomszédos kontrollja kapcsolódik: az A.5.29 az „information security during disruption” (információbiztonság zavarhelyzetben), az A.5.30 pedig az „ICT readiness for business continuity” (ICT-felkészültség az üzletmenet-folytonosságra). Ezek keretében a tartalékként megőrzött eszköz és a selejtezésre váró eszköz tudatos megkülönböztetése elvárás. Egy DR-teszt során kivett tartalék gép, amely utána a selejtezési sorba kerül, dokumentált átminősítést igényel.

Audit szempontból gyakran bukó pontok

Tapasztalati alapon — belső auditok és tanúsítási megújítások visszatérő megállapításai alapján — három területen bukik el leggyakrabban a szabályzat:

  • Hatály alól kicsúszó eszközök. A leggyakoribb: BYOD telefonok, lízing visszaadás előtti adattörlés dokumentálatlansága, illetve a 6–18 hónapja raktározott tartalék gépek („majd lesz vele valami”) kategóriája. A szabályzatban ezeknek külön bekezdés jár.
  • Hiányos chain of custody. A megsemmisítési tanúsítvány önmagában nem elég, ha az átadás és a végső megsemmisítés között eltelt napokat senki nem dokumentálta. Az auditor jellemzően egy random kiválasztott eszköznél kéri végigkövetni a folyamatot az állományi nyilvántartástól a tanúsítványig.
  • Beszállítói szerződés gyengeségei. Ha a szabályzat előírja az alvállalkozói lánc dokumentálását, de a szerződésben erre vonatkozó audit jog vagy értesítési kötelezettség nincs, az ellentmondást az auditor jelzi.

Egy belső önaudit, amely ezt a három területet külön ellenőrzi, jellemzően több hibát talál, mint a fő selejtezési folyamat technikai részletei.

Mikor érdemes átírni a szabályzatot?

Konkrét triggerek 2026-ban:

  • ISO 27001 átállás 2013 → 2022 verzióra. Ha a szervezet tanúsítványa még a 2013-as kontroll-rendszerre épül, a megújításnál az A.7.14 új struktúrája kötelezi az átírást.
  • NIS2 hatálya alá kerülés. Ha a szervezet 2024–2025-ben került hatály alá (új ágazati besorolás vagy méretváltozás miatt), a meglévő szabályzat valószínűleg nem fedi a vezetői felelősség és a beszállító-felügyelet új elvárásait.
  • Nagyobb eszközcsere program. Egy laptop- vagy szerverpark cseréje előtt a szabályzat felülvizsgálata olcsóbb, mint utólag rekonstruálni a chain of custody-t.
  • Incidens vagy közeli incidens. Ha az elmúlt 12 hónapban előfordult olyan eset, amikor egy raktározott vagy átadott eszközön talált adat miatt belső vizsgálat indult, a szabályzat ráadásul teszteltség-bizonyítékként is kell.

A szabályzat átírása önmagában 2–4 hét munkája a folyamatok komplexitásától függően. Ennek többszörösét teszi ki a hozzá tartozó eszközleltár-tisztítás és a beszállítói szerződések felülvizsgálata, amely a tényleges átfutási idő gerincét adja. Ha külső szakértői támogatást keresel a megsemmisítési folyamat és a kapcsolódó dokumentáció kialakításához, kérj ajánlatot egy átvilágítási és tanúsítható megsemmisítési csomagra.

Gyakori kérdések

Kötelező-e külön IT eszköz selejtezési szabályzat 2026-ban?

Magyar jogszabály nem nevesíti külön kötelezőként, de az ISO/IEC 27001:2022 A.7.14 kontroll dokumentált eljárást vár el, és NIS2 hatály alatt a kockázatkezelési intézkedések alátámasztása is dokumentált belső szabályozást igényel. A gyakorlatban audit szinten kötelező.

Mi a különbség az adatkezelési szabályzat és az IT eszköz selejtezési szabályzat között?

Az adatkezelési szabályzat az adatok jogalapját, kezelési céljait és érintetti jogokat szabályozza. Az IT eszköz selejtezési szabályzat az eszközök életciklusának végén a fizikai és logikai folyamatot, a felelősöket és a dokumentációt írja le. A kettő egymásra hivatkozik, de nem helyettesíti egymást.

Ki a felelős a selejtezési szabályzat betartásáért NIS2 alatt?

A NIS2 irányelv (EU 2022/2555) és annak magyar átültetése keretében a felső vezetés személyes felelőssége a kockázatkezelési intézkedések megléte és érvényesülése. Az operatív végrehajtás jellemzően az IT vezető, a független ellenőrzés a belső auditor, a folyamatos megfelelőség-figyelés a compliance vagy adatvédelmi tisztviselő hatáskörébe esik.

Milyen jegyzőkönyv kötelező egy adathordozó megsemmisítéséről?

Általános szabványkövetelmény nincs a jegyzőkönyv pontos formájára, de az audit-elvárt minimumtartalom: a tétel egyedi azonosítói (sorozatszám, leltári szám), a megsemmisítés módja és minősítése (Clear/Purge/Destroy), dátum, helyszín, a végrehajtó megnevezése, valamint — ha a belső szabályzat vagy a beszállítói szerződés előírja — kísérő/ellenőrző fél vagy tanú megjelölése. Beszállítónál az alvállalkozói lánc visszakövethetőségét is biztosítani kell.

Hogyan kezeli a szabályzat a BYOD-eszközöket?

A szabályzatnak rendelkeznie kell az olyan eszközök adattörlési és kivonási folyamatáról, amelyek munkavállalói tulajdonban vannak, de céges adatot tárolnak. Tipikus megoldás: MDM-alapú remote wipe a munkaviszony megszűnésekor, dokumentált igazolás a folyamat lefutásáról, és érintetti tájékoztatás. A szabályzat térjen ki arra is, mi a teendő, ha a remote wipe nem érvényesíthető (eszköz offline, elveszett, vagy a felhasználó nem működik együtt) — ilyenkor incidenskezelési és adatvédelmi kockázatértékelési folyamat indul; NAIH és érintetti bejelentés akkor szükséges, ha a GDPR szerinti kockázati küszöb teljesül.

Évente hányszor kell felülvizsgálni a szabályzatot?

Minimum évente egyszer, valamint minden olyan eseménynél, amely érdemben befolyásolja a folyamatot: jogszabályváltozás, ISMS audit megállapítás, jelentős eszközcsere, beszállítóváltás, vagy adathordozóval kapcsolatos biztonsági incidens.

Külső források

TISAX audit IT eszközök: selejtezés és beszállítói felelősség

TISAX audit IT eszközök selejtezése autóipari beszállítói környezetben

TISAX audit IT eszközök: selejtezés és beszállítói felelősség

A TISAX audit során az autóipari beszállítónak bizonyítania kell, hogy az IT eszközök és adathordozók selejtezése kontrollált, dokumentált és a VDA ISA 6.0 követelményrendszeréhez illeszkedik. A VDA ISA 6.0 supporting assets és supplier relationships kontrolljai, az ISO/IEC 27001:2022 A.7.10 és A.8.10 kontrolljai, valamint a NIST SP 800-88 Rev. 2 (2025-09) együtt adják az auditban releváns bizonyíték- és kontrollterületet. A folyamat eszközszintű sanitization vagy destruction record nélkül nem védhető — egy TISAX assessor jellemzően ezt a bizonyítékot keresi.
Legfontosabb megállapítások:

  • A TISAX assessor az IT eszközök selejtezésénél nemcsak a szabályzatot, hanem az eszközleltárt, a védelmi igény szerinti döntést és a végrehajtási bizonyítékokat is vizsgálja.
  • A VDA ISA 6.0 beszállítói kontrolljai alapján az alvállalkozó adatmegsemmisítési szolgáltató információbiztonsági szintjét kockázatalapon kell értékelni és szerződésben rögzíteni.
  • A tanúsított törlési vagy megsemmisítési igazolás akkor használható auditbizonyítékként, ha az eszközazonosító, módszer, dátum, felelős fél és őrzési lánc visszakövethető.

Egy TISAX assessment során gyakori helyzet, hogy a beszállító részletesen bemutatja az ISMS szabályzatait, a hozzáférés-kezelést és az incidenskezelési folyamatot, majd az assessor rákérdez egy kevésbé látványos pontra: mi történik a fejlesztői notebookkal, a tesztlaborból kivont SSD-vel, a prototípusprojekthez használt mobiltelefonnal vagy a régi fájlszerver lemezeivel, amikor kikerülnek a használatból. Ilyenkor az IT eszköz életciklusának végjelenete kerül az audit fókuszába.

TISAX auditnál az IT eszközök kezelése nem áll meg az üzemeltetésnél. A selejtezés, a felújításra küldés, a visszavétel, a szoftveres törlés, a lemágnesezés és a fizikai megsemmisítés mind olyan pont, ahol autóipari információ, prototípusadat, személyes adat vagy OEM-szintű bizalmas dokumentáció kerülhet ki ellenőrizetlenül a szervezetből. Egy TISAX assessor jellemzően nem várja el, hogy minden adathordozót automatikusan meg kelljen semmisíteni — a döntésnek viszont kockázatalapúnak, dokumentáltnak és eszközszinten bizonyíthatónak kell lennie.

Miért auditkérdés az IT eszközök életciklusának vége?

Az autóipari beszállítói környezetben egy leselejtezett eszköz ritkán csak technikai hulladék. Tartalmazhat rajzokat, beszállítói árakat, mérési eredményeket, gyártási paramétereket, hibaanalíziseket, prototípusfotókat, vevői kapcsolattartók adatait, VPN-konfigurációkat vagy mentési maradványokat. A kockázat nem az eszköz könyv szerinti értékéhez, hanem a rajta tárolt információ védelmi igényéhez kapcsolódik.

A VDA ISA 6.0 logikája szerint az információs vagyon és az azt feldolgozó támogató eszközök összekapcsolódnak. A notebook, SSD, mobiltelefon, USB-adathordozó, szerverlemez vagy papíralapú dokumentáció nem önmagában érdekes, hanem azért, mert információt hordoz, és az információ védelmi igénye átszáll az adathordozóra is. Ez a gyakorlatban azt jelenti, hogy az eszközselejtezési folyamatnak kapcsolódnia kell az információosztályozáshoz, az eszközleltárhoz, a hozzáférés-kezeléshez és a beszállítói kockázatkezeléshez.

Az assessor általában nem elégedik meg egy általános „selejtezési szabályzat létezik” válasszal. A kérdés inkább az, hogy egy konkrét eszköz útja visszakövethető-e: ki minősítette, milyen adat volt rajta, milyen törlési vagy megsemmisítési módszer mellett döntöttek, ki vitte el, hol tárolták átmenetileg, ki végezte el a műveletet, és milyen igazolás maradt róla.

TISAX scope, label és assessment szintek

A TISAX assessment-rendszerben a beszállító nem általában „TISAX-tanúsítást” szerez, hanem konkrét assessment objective-okra vonatkozó label-ek érhetők el. A leggyakoribbak: Confidential és Strictly Confidential (információosztályozás szerint), High availability és Very high availability (rendelkezésre állás szerint), Proto Parts / Proto Vehicles / Test Vehicles / Proto Events (prototípusvédelem négy különböző scope-ja), valamint Data és Special Data (személyes és különleges adatkezelés). Az adott label határozza meg, hogy a VDA ISA 6.0 katalógusból melyik kontrollok érintettek és milyen mélységben vizsgálandók — ezért az IT eszköz selejtezésével kapcsolatos elvárás is a label-től függ.

Az assessment szintek (AL) a vizsgálati módszertant adják meg, nem minőségi címkék.

Assessment Level 1 alapvetően belső önértékelésre épül; az audit provider legfeljebb az önértékelés meglétét ellenőrzi, a tartalmat érdemben nem vizsgálja. Az ENX TISAX Participant Handbook szerint az AL1 eredmény alacsony bizalmi szintű, ezért TISAX label kiadásra ritkán használják.

Assessment Level 2 dokumentum-alapú plauzibilitás-vizsgálat: az audit provider a kitöltött VDA ISA önértékelés mellé bizonyítékokat (eszközlista, selejtezési jegyzőkönyv, törlési riport, megsemmisítési igazolás, beszállítói szerződés, kockázatértékelés) kér, és kiegészítő interjút készít az információbiztonságért felelős személlyel. Az interjú tipikusan távoli formában zajlik, de a hangsúly a benyújtott bizonyítékok érvényességén van. Ha bizonyos bizonyítékokat a beszállító nem tud távoli formában megosztani (eyes-only evidence), AL2-n belül helyszíni betekintés is kérhető. Létezik AL2.5 opció is, amely teljes körű remote assessment AL3-kompatibilis módszertannal, helyszíni aktivitások nélkül.

Assessment Level 3 a teljes körű audit: dokumentumellenőrzés, folyamatgazdákkal készített interjúk, helyszíni szemrevételezés és a folyamat tényleges végrehajtásának vizsgálata. Az auditor mintát vehet (jellemzően n=10-30 eszköz), és kérheti, hogy a beszállító az eszközleltártól a megsemmisítési igazolásig végigkövesse a kiválasztott tételeket. Az AL3 alatt ezért nem elméleti kérdés, hogy van-e zárt gyűjtő, elkülönített selejtezési terület, átadás-átvételi rend vagy látogatói kontroll.

A TISAX eredményeket a beszállító az ENX exchange portálon keresztül osztja meg az OEM-mel vagy más tier-1 partnerrel. Az exchange a már elvégzett TISAX assessmentek megosztására szolgál — nem helyettesíti a beszállító saját kockázatkezelését, szerződéses kontrolljait vagy a saját alvállalkozói felé támasztott elvárásait.

VDA ISA 6.0 kontrollok: hol jelenik meg az adathordozó-megsemmisítés?

A VDA ISA 6.0 három fő assessment-katalógusa az Information Security, a Prototype Protection és a Data Protection. A beszállítói kapcsolatok kezelése (Supplier Relationships) az Information Security katalóguson belül kapott önálló kontrollkört — a régi VDA ISA 5.x „Connection to Third Parties” terminust felváltotta. IT eszközök selejtezésénél ezek a katalógusok egyszerre érintettek.

VDA ISA 6.0 szerinti eszközleltár és adathordozó-kezelési bizonyítékok
Selejtezésre előkészített adathordozók munkapadon — VDA ISA 6.0 szerinti eszközleltár alapja.

Az Information Security katalógusból az eszközéletciklus végéhez közvetlenül kapcsolódó kontrollok: 1.3.1 information assets és supporting assets azonosítása és felelős hozzárendelése; 1.3.2 handling specifications a supporting assets-re (transport, storage, return, deletion/disposal); 3.1.3 handling of supporting assets a teljes életcikluson keresztül — high protection needs esetén a relevant standards (pl. ISO/IEC 21964 Security Level 4 vagy magasabb) szerinti megsemmisítés elvárás; 3.1.4 mobile IT devices és mobil adathordozók kontrolljai (encryption, access protection, marking, registration); 5.3.3 information assets visszavétele és secure removal külső IT szolgáltatásból; 6.1.1 Supplier Relationships — alvállalkozói kockázatértékelés, szerződéses kötelezettségek, verifikáció.

A Prototype Protection katalógus a customer-provided vehicles, components és parts védelmére fókuszál, és kiegészül a digitális prototípusadat-kezelési kontrollokkal. Releváns kontrollok az IT eszköz életciklusra: 8.2.2 subcontractor commissioning customer approval és NDA mellett; 8.2.6 image material (prototípusfotók, videók) secure deletion és disposal; 8.2.7 mobile photo és video devices kezelése security areas-ban. Fontos megjegyezni, hogy a Proto Parts / Proto Vehicles / Test Vehicles / Proto Events scope nem azonos a prototípusadatot tartalmazó IT-adathordozók kezelésével — utóbbi az Information Security katalógus mobile devices kontrolljai alá esik, de OEM-specifikus elvárás (BMW Group Standard, VW 80101/80102, Audi/Porsche prototípusvédelem) párhuzamosan érvényesülhet.

A Data Protection katalógus akkor válik assessment objective-ként relevánssá, ha a beszállító GDPR 28. cikk szerinti adatfeldolgozói pozícióban kezel ügyféladatot, vagy különleges kategóriájú adatot érint. A 9.5.2 kontroll itt az alvállalkozói és kooperációs partneri szerződéses kötelezettségeket és compliance review-t várja el. Önmagában a HR-adat vagy beléptető rendszer napló jelenléte a beszállítónál nem aktiválja automatikusan a Data label-t TISAX scope-ban.

ISO/IEC 27001:2022 A.7.10 és A.8.10 kapcsolata a TISAX kontrollokkal

Az ISO/IEC 27001:2022 Annex A kontrolljai jó hivatkozási pontot adnak a TISAX-felkészítéshez, de nem helyettesítik a VDA ISA 6.0 szerinti önértékelést. A kontrollok gyakorlati tartalmát az ISO/IEC 27002:2022 implementation guidance fejti ki, amely a TISAX-bizonyítékok kialakításához is referenciaként használható.

Az A.7.10 Storage media kontroll a tárolóeszközök védelméről szól a teljes életciklus alatt: használat, tárolás, szállítás, újrahasználat és selejtezés kontrollált kezelése. TISAX-környezetben ez közvetlenül megfeleltethető a VDA ISA 6.0 1.3.2 (handling specifications) és 3.1.3 (handling of supporting assets) kontrolljainak.

Az A.8.10 Information deletion kontroll azt várja el, hogy a már nem szükséges információt töröljék az információs rendszerekből, eszközökről és egyéb tárolókról. Ez nem azonos a felhasználói fájltörléssel. A compliance szempontból védhető eljárásnak ki kell térnie arra, hogy milyen típusú adathordozón milyen módszer elfogadható, ki hagyja jóvá a végrehajtást, és hogyan igazolják, hogy a törlés vagy megsemmisítés megtörtént.

A két ISO kontroll együtt adja az alapot a TISAX-ban elvárt működéshez: a tárolóeszköz kontrollált kezelése és az információ visszaállíthatatlanná tétele nem külön folyamat, hanem ugyanannak az életciklusnak két oldala. Ha a szervezet ISO/IEC 27001:2022 szerinti ISMS-t működtet, a TISAX felkészítésnél célszerű a storage media és information deletion bizonyítékokat közvetlenül összekötni a VDA ISA kontrollkérdéseivel — különösen az 1.3.1, 1.3.2, 3.1.3, 3.1.4, 5.3.3 és 6.1.1 kontroll-azonosítókkal.

NIST SP 800-88 Rev. 2: Clear, Purge, Destroy és a döntés bizonyíthatósága

A NIST SP 800-88 Rev. 2 2025-09-26-án jelent meg végleges formában, és leváltotta (superseded) a Rev. 1-et (2014-12-17). A kiadvány médiatisztítási programok kialakításához ad iránymutatást — a módszer kiválasztását az adatok érzékenységéhez, az adathordozó típusához és a további felhasználási célhoz köti, és Verification (4.5.1) + Validation (4.5.2) lépést is elvár.

Őrzési lánc dokumentálása tanúsított adathordozó-megsemmisítéshez
Őrzési lánc dokumentálása zárt szállítóládával — TISAX-ban auditálható átadás-átvételi pont.

A NIST szemléletében három fő kategória használható: Clear (3.1.1), Purge (3.1.2) és Destroy (3.1.3). A Clear logikai törlési vagy felülírási eljárás, amely normál hozzáférési módszerekkel megakadályozza az adatok visszanyerését. A Purge fejlettebb helyreállítási kísérletekkel szemben is védelmet céloz — például cryptographic erase, megfelelő coercivity-illesztésű degausser mágneses média esetén, vagy hardver-támogatott sanitize parancs. A Destroy a fizikai megsemmisítés (mechanikai szeletelés, darabolás, aprítás, incineration). A Rev. 2 a degaussingot kizárólag mágneses adathordozóra (HDD, mágnesszalag) ismeri el, és nem általános Destroy technika — SSD-re és flash-alapú médiára nem alkalmazható.

TISAX szempontból a Destroy nem „jobb” minden esetben, hanem akkor megfelelő döntés, ha a kockázat és a további eszközsors ezt támasztja alá. SSD és NVMe esetén az egyszerű overwrite-alapú Clear nem elégséges általános állításként — a wear leveling és overprovisioning miatt az overwrite parancs nem éri el a teljes flash-kapacitást, ezért a NIST Rev. 2 ezeket az adathordozó-osztályokat további szabványokra (IEEE 2883, NSA/CSS előírások, gyártói specifikációk) tereli. A megfelelő útvonalra példák: validált hardver-támogatott sanitize parancs (mint az NVMe Format with Secure Erase vagy ATA Secure Erase Enhanced), cryptographic erase ahol a kulcskezelés ellenőrizhető, vagy fizikai megsemmisítés — minden esetben az adott eszköz és firmware támogatásának konkrét validációja mellett.

A NIST kiadvány Appendix C mintát ad a Certificate of Sanitization tartalmára (eszközazonosító, módszer, validáció eredménye, felelős aláíró). A TISAX assessor jellemzően nem TISAX-formalizált sablont, hanem az Appendix C logikájával megfeleltethető, eszközszintű sanitization vagy destruction record-ot keres. A beszállítónak tudnia kell megmutatni a döntési logikát: mikor választ Clear-t, mikor Purge-t (cryptographic erase, secure erase, degausser mágneses médiára), mikor fizikai Destroy-t — és hogyan kezeli azt az esetet, amikor a Clear/Purge technikailag nem validálható.

Mit vár el az assessor az eszközszintű sanitization record-tól?

A TISAX nem ír elő formális TISAX-certificate-of-sanitization sablont — az assessor jellemzően olyan eszközszintű sanitization vagy destruction record-ot vár, amely tartalmában megfeleltethető a NIST 800-88 Rev. 2 Appendix C logikájának. A „tanúsított igazolás” magyar gyakorlatban lehet a szolgáltató saját jegyzőkönyve, ISO/IEC 21964 (a DIN 66399 nemzetközi megfelelője) szerinti megsemmisítési tanúsítvány vagy ezek kombinációja — a tartalom a döntő, nem a fejléc.

Egy auditban használható record tartalmazza legalább az eszköz vagy adathordozó azonosítóját (gyári szám, eszközleltári szám, vonalkód), az alkalmazott módszert (Clear/Purge/Destroy kategória + konkrét eljárás: szoftveres törlés, cryptographic erase, secure erase parancs, lemágnesezés mágneses médiánál, mechanikai szeletelés vagy aprítás), a dátumot, helyszínt, végrehajtó szervezetet, felelős személyt vagy gépi azonosítót, a végrehajtás eredményét (Verification + Validation a NIST szerint) és az esetleges kivételeket. Ha egy adathordozó nem törölhető, ezt nem szabad elrejteni — külön státuszt és kockázatalapú további intézkedést kell kapnia.

Az őrzési lánc (chain of custody) dokumentálása párhuzamos elvárás. Az assessor azt vizsgálja, hogy az eszköz nem tűnt-e el a folyamat közben, nem került-e ellenőrizetlen szállításba, és nem volt-e olyan átmeneti tárolás, ahol jogosulatlan hozzáférés történhetett. Az őrzési lánc minimális tartalma: átadó és átvevő neve, időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy zárt tartály azonosító, mennyiségi egyeztetés és eltéréskezelés módja.

AL3 audit alatt az assessor kockázatalapú mintát vehet, és kérheti, hogy a beszállító az eszközleltártól a sanitization record-ig végigkövesse a kiválasztott tételeket. Belső felkészülésnél érdemes egy 10-30 eszközből álló minta végigkövethetőségére készülni, de a tényleges mintaszám az audit provider mérlegelésén múlik. Hiánykezelési eljárás (eltérésjegyzőkönyv 24-48 órán belül, corrective action plan a Major non-conformity-knél jellemzően 90 napon belül) megléte ezért kulcs eleme a felkészülésnek.

Beszállítói lánc: az alvállalkozói IT biztonsági szint felelőssége

A TISAX nem zárul le a vállalat kapujánál. A VDA ISA 6.0 6.1.1 Supplier Relationships kontrollja elvárja, hogy a szervezet kockázatalapon értékelje a vállalkozókat és együttműködő partnereket, szerződésben rögzítse az információbiztonsági elvárásokat, és verifikálja azok teljesülését. Ez közvetlenül érinti az IT eszközök selejtezésébe bevont külső szolgáltatókat.

A beszállítói kockázat mértéke attól függ, ténylegesen mihez fér hozzá az alvállalkozó: csak már zárt vagy előkezelt elektronikai hulladékhoz, vagy magas védelmi igényű információhoz, prototípushoz, illetve személyes adathoz tartalmazó működő adathordozóhoz. Ha az alvállalkozó az utóbbi kategóriába esik, akkor nem elegendő egy általános megrendelés — a szerződésnek kezelnie kell a titoktartást, az adatkezelési szerepeket (GDPR 28. cikk szerinti adatfeldolgozói pozíció, ha releváns), az alvállalkozói lánc továbbadását, az eszközök átadásának rendjét, a sanitization módszereket, a dokumentációs elvárásokat és az auditjogot vagy bizonyítékbekérési jogot. A VDA ISA 6.0 9.5.2 Data Protection kontroll külön elvárja a personal data feldolgozásával kapcsolatos szerződéses kötelezettségeket.

Az assessor itt gyakran keres mintát: hogyan választották ki az adatmegsemmisítési szolgáltatót (kockázatértékelés bizonyítéka), milyen igazolás vagy tanúsítás támasztja alá a szolgáltató alkalmasságát (ISO/IEC 27001 tanúsítvány, ISO/IEC 21964 megsemmisítési minősítés, TISAX label, vagy ezek hiányában explicit kontrollteszt), és hogyan ellenőrzi a beszállító a szolgáltatási riportokat. Ha a szervezet csak a számlát és egy darabszámot tud felmutatni, az gyenge bizonyíték. Eszközszintű lista, átadási dokumentáció, sanitization record és eltéréskezelés együtt már auditálhatóbb alap.

Fontos korlát: a TISAX nem mondja ki automatikusan, hogy minden saját beszállítónak ugyanazt a TISAX label-t kell megszereznie. A beszállítónak viszont bizonyítania kell, hogy a külső szolgáltatás igénybevétele nem vezet be kezeletlen információbiztonsági kockázatot — magasabb védelmi igényű scope (Strictly Confidential vagy Proto Vehicles) esetén az ENX exchange portálon megosztott TISAX label vagy tanúsított ekvivalens szerződéses elvárás lehet.

Gyakorlati felkészülési lista TISAX előtt

Az első lépés az eszközleltár és az információosztályozás összekötése. A selejtezésre kerülő IT eszköznél legyen megállapítható, hogy milyen információs vagyonhoz kapcsolódott, milyen védelmi igény vonatkozott rá, és ki a felelős tulajdonos. Enélkül a törlési vagy megsemmisítési döntés utólag nehezen védhető.

Második lépésként legyen jóváhagyott módszerválasztási mátrix. Ez határozza meg, hogy HDD, SSD, mobiltelefon, memóriakártya, szerverlemez, mentési adathordozó vagy papíralapú dokumentáció esetén milyen módszer alkalmazható normál, magas vagy nagyon magas védelmi igénynél. A mátrix térjen ki a sérült, nem olvasható vagy titkosított eszközökre is.

Harmadik lépés a bizonyítékcsomag előkészítése. Egy assessor számára célszerű előre összeállítani egy mintacsomagot: selejtezési szabályzat, eszközlista, jóváhagyási rekord, átadás-átvételi jegyzőkönyv, őrzési lánc dokumentáció, tanúsított törlési vagy megsemmisítési igazolás, szolgáltatói kockázatértékelés és szerződéses kivonat. Nem a dokumentum mennyisége számít, hanem az, hogy egy konkrét eszköz végigkövethető legyen a döntéstől a végrehajtásig.

Negyedik lépésként kezelni kell az eltéréseket. Ha egy adathordozó hiányzik, nem azonosítható, nem törölhető vagy a darabszám eltér, annak legyen incidens- vagy eltéréskezelési útja. Az autóipari compliance gyakorlatban a kontrollált eltérés jobb, mint az utólag nem magyarázható csend.

Végül érdemes a TISAX felkészítés során próbainterjút tartani az IT, compliance, beszerzés, létesítményüzemeltetés és adatvédelmi felelős bevonásával. Az eszközselejtezés tipikusan több szervezeti egységet érint, és az assessor gyorsan látja, ha a folyamat csak az egyik területen ismert.

A külső szolgáltató kiválasztásakor a beszállító kérjen eszközszintű sanitization vagy destruction record-ot, dokumentált őrzési láncot és eltéréskezelési eljárást — a TISAX assessment oldaláról ezek a bizonyítékok illeszthetők a VDA ISA 6.0 ellenőrzéseihez. TISAX felkészítéshez használható selejtezési és adathordozó-kezelési ajánlatkérés.

Gyakori kérdések

Kötelező minden leselejtezett IT eszközt fizikailag megsemmisíteni TISAX alatt?

Nem. A módszert a védelmi igény, az adathordozó típusa, az eszköz további sorsa és a vevői követelmények alapján kell kiválasztani és dokumentálni.

Mit jelent az őrzési lánc az adathordozó-megsemmisítésnél?

Az őrzési lánc azt dokumentálja, hogy az eszköz mikor, kitől, kinek, milyen azonosítóval és milyen kontrollált körülmények között került átadásra, tárolásra, szállításra és megsemmisítésre.

Elfogadható auditbizonyíték egy darabszámos megsemmisítési igazolás?

Önmagában gyenge bizonyíték, ha nem köthető konkrét eszközazonosítókhoz. TISAX felkészítésnél eszközszintű vagy adathordozó-szintű visszakövethetőségre van szükség.

Hogyan kapcsolódik a NIST SP 800-88 Rev. 2 a TISAX audithoz?

A NIST SP 800-88 Rev. 2 nem TISAX szabvány, de elismert módszertani referencia a Clear, Purge és Destroy kategóriákhoz, ezért segít a törlési és megsemmisítési döntések indoklásában.

Mit kell ellenőrizni egy külső adatmegsemmisítési szolgáltatónál?

Kockázatalapon vizsgálni kell a szerződéses kötelezettségeket, titoktartást, alvállalkozók kezelését, őrzési láncot, tanúsított jegyzőkönyvezést és a szolgáltatási riportok ellenőrizhetőségét.



Hogyan működik a tanúsított fizikai adatmegsemmisítés

Modern ipari adatmegsemmisítő berendezés operátorral steril műhelyi környezetben, a háttérben szervergép-rack

Hogyan működik a tanúsított fizikai adatmegsemmisítés

A tanúsított fizikai adatmegsemmisítés egy adathordozó visszafordíthatatlan, dokumentált megsemmisítését jelenti mechanikai eljárással — szeleteléssel, darabolással vagy aprítással —, a vonatkozó szabványoknak megfelelő végeredménnyel (NIST SP 800-88 „Destroy” kategória, DIN 66399, ISO/IEC 27001:2022 A.7.10 kontroll). A folyamat végén tételszintű, sorszám szerint visszakereshető tanúsítvány kerül az auditdokumentációba. A Data Destroy Kft. szolgáltatásportfóliója a tanúsított fizikai megsemmisítésre épít — ezt különösen az audit-érzékeny szektorokban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.
Legfontosabb megállapítások:

  • A fizikai megsemmisítés és a tanúsított szoftveres törlés között az dönti el a választást, hogy az adathordozó visszakerül-e a használatba — a két módszer nem versenyez, hanem az életciklus különböző végállapotaira ad szakszerű választ.
  • A „tanúsított” minősítés akkor érvényes, ha a szolgáltató dokumentált eljárása lefedi az őrzési láncot (chain of custody), a sorszám szerinti tételazonosítást, a vonatkozó szabványnak megfelelő mechanikai megsemmisítési geometriát, és a folyamat végén kiállított, audit-célra megőrzött, tételszintű certificate of sanitization rendelkezésre áll.
  • A Data Destroy Kft. szolgáltatásportfóliója kifejezetten a tanúsított fizikai megsemmisítésre épít — ezt különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.

Egy ISO 27001 audit gyakori kérdése: bizonyíthatóan tudja-e a szervezet, mely meghajtói kerültek selejtezésre, mikor, milyen módszerrel, és kinek a felelősségében? Ha a vagyonleltár-csökkenéshez nincs sorszám-szintű certificate of sanitization vagy az őrzési lánc dokumentációja megszakadt, a kontroll nem tekinthető működőnek. Egy szervezet életében minden aktív adathordozó eljut arra a pontra, amikor kilép a működő vagyonleltárból, és ettől kezdve a leggyakoribb két útvonal: vagy az adathordozó — a rajta lévő adat tanúsított törlése után — visszakerül a használatba (belső másodlagos felhasználás, értékesítés, felújítás), vagy az adathordozó visszafordíthatatlanul megsemmisül. Léteznek átmeneti helyzetek is — jogi zárolás (legal hold), bizonyítékként megőrzés, gyártói RMA-visszaküldés —, de a kompletten lezárt életciklusra a két végállapot a tipikus. A választást nem egyszerűen üzleti, hanem kockázatalapú döntés vezérli: az adatminősítés, a médiatípus, a szoftveres törölhetőség, a jogi megőrzési kötelezettségek és az ágazati kontrollok együttesen szabják meg a megfelelő útvonalat. Ez a cikk azt mutatja be, hogyan zajlik szakszerűen a tanúsított fizikai adatmegsemmisítés — az őrzési lánc (chain of custody) felvételétől a certificate of sanitization kiállításáig —, és miért építi a Data Destroy Kft. szolgáltatásportfólióját erre az útvonalra.

Mikor szakmailag indokolt a fizikai megsemmisítés

A fizikai megsemmisítés négy elkülöníthető helyzetben válik a szakszerű választássá.

Az életciklus visszafordíthatatlan lezárása. Ha az adathordozó nem kerül vissza a vagyonleltárba — sem belső másodlagos felhasználásra, sem értékesítésre, sem felújításra —, a fizikai megsemmisítés önmagában is szakszerű befejezése a folyamatnak. Ilyenkor nem szükséges a megsemmisítés előtt szoftveresen törölni, mert az adat hozzáférhetetlenné tétele a fizikai megsemmisítéssel biztosítva van.

Hibás vagy szoftveresen nem kezelhető meghajtó. A tanúsított szoftveres törlés feltétele, hogy az adathordozó kommunikál a hosztrendszerrel, és a törlési parancs a teljes felhasználói és szolgáltatási területet eléri. Ha a meghajtó vezérlője meghibásodott, a SMART-attribútumok kritikus értéket mutatnak, vagy a meghajtó nem jelentkezik be a buszra, a szoftveres törlés sikere nem garantálható. Ilyenkor — feltéve, hogy az ügyfélnél nincs aktív legal hold vagy retenciós kötelezettség az adott meghajtóra — a fizikai megsemmisítés a megbízhatóan validálható útvonal.

Magas biztonsági besorolású tartalom. Pénzügyi szektor, kormányzati intézmények, kritikus infrastruktúra üzemeltetők — és minősített tartalommal dolgozó szervezetek — belső szabályzata vagy ágazati előírása előírhatja a fizikai megsemmisítés alkalmazását akkor is, ha a szoftveres törlés technikailag elvégezhető. Az auditkövetelmény ezekben a szektorokban gyakran a tárgyi, dokumentált végtermékre is kiterjed.

Kétszintű, kombinált védelem. Egyes szervezetek a tanúsított szoftveres törlést és a fizikai megsemmisítést egymás után alkalmazzák ugyanazon a meghajtón — különösen érzékeny tartalmaknál vagy olyan SSD-knél, ahol a wear-leveling miatt a szoftveres törlés ellenőrizhetősége korlátozott (a NIST 800-88 Rev. 2 kifejezetten figyelmeztet rá, hogy a Cryptographic Erase nem minden SSD firmware-en megbízható). Ez a többrétegű védelem (defense in depth) gyakorlata.

A négy helyzetből egyértelmű, hogy a fizikai megsemmisítés és a szoftveres törlés között nincs versenyhelyzet: a meghajtó tervezett életútja, állapota és a tartalom érzékenysége határozza meg, hogy melyik a megfelelő — vagy mikor szükséges mindkettő.

A nemzetközi szabványkeret: NIST SP 800-88 Rev. 2

A médiamegsemmisítés területén a NIST Special Publication 800-88 Revision 2 az általánosan elfogadott nemzetközi referenciadokumentum (a Rev. 1 2025 szeptemberében superseded státuszba került). A szabvány három kategóriát különböztet meg: Clear, Purge és Destroy.

A Clear azokat az eljárásokat fedi le, amelyek megakadályozzák, hogy az adat a szabványos rendszerinterfészeken keresztül visszanyerhető legyen — tipikusan szoftveres felülírás. A Purge mélyebb szinten dolgozik: a laboratóriumi szintű helyreállítást is kizáró eljárásokat alkalmaz, ezek közé tartoznak — eszköz, firmware és parancstámogatás validált megléte esetén — a cryptographic erase, az ATA Secure Erase parancsok, az SSD-k beépített sanitize funkciója és — kizárólag mágneses adathordozóknál — a lemágnesezés. A Destroy kategória a fizikai megsemmisítés: mechanikai szeletelés, darabolás, aprítás és égetés (incineration); a Destroy elismerésének feltétele, hogy a végeredmény validáltan megfeleljen a vonatkozó geometriai és rekonstrukciós követelménynek. Fontos pontosítás: a NIST 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses média esetén), nem általános Destroy technikaként — ez egy iparágszerte gyakori félreértés.

Az ISO/IEC 27001:2022 szabványban két kontroll köthető közvetlenül az adathordozó-megsemmisítéshez. Az A.7.10 (Storage media) az adathordozók kezelésére vonatkozó dokumentált eljárást írja elő, az A.8.10 (Information deletion) pedig kifejezetten az információ-törlési és megsemmisítési eljárás rögzítését várja el. Mindkét kontroll implementációja sok szervezetnél a NIST 800-88 Rev. 2-re vagy az európai DIN 66399 / ISO 21964 szabványra épül.

A DIN 66399 európai megsemmisítési szabvány médiatípus szerint különít el biztonsági szinteket. H osztály (H-1 … H-7) a mágneses adathordozókra (HDD) érvényes; E osztály (E-1 … E-7) az elektronikus adathordozókra (SSD, USB-stick, M.2 NVMe, chipkártya, mobiltelefon). A szigorúbb biztonsági szint kisebb megengedett darab- vagy szeletméretet jelent — fragmentumos aprításnál a részecskeméret, késes szeletelőnél a szeletszélesség és szeletvastagság a paraméter. A NIST 800-88 a Destroy kategórián belül a végeredmény-szintű elvárást rögzíti, a konkrét geometriai paramétereket DIN 66399, ISO 21964, NSA/CSS és IEEE 2883 hivatkozásokkal lehet alátámasztani.

Audit-érzékeny szektorokban (pénzügyi intézmények, kormányzati szervezetek, kritikus infrastruktúra üzemeltetők) az auditkövetelmény jellemzően a tárgyi, dokumentálható végterméket is bizonyítékként kéri.

A tanúsított folyamat hat lépcsője

A „tanúsított” jelző ebben a kontextusban azt jelenti, hogy a szolgáltató minden lépést dokumentált eljárás szerint végez, az alkalmazott berendezésnek gyári vagy független laboratóriumi minősítése van, és a folyamat végén tételszintű certificate of sanitization kerül kiállításra. (A „tanúsított” megnevezés ágazati gyakorlat — egyes ügyfelek kérhetik, hogy emellett akkreditált harmadik fél által tanúsított ISO 27001 vagy TISAX folyamat is legyen a háttérben.)

HDD, SSD, M.2 és mobiltelefon adathordozók fémes tálcán selejtezésre előkészítve
Selejtezésre előkészített adathordozók — vegyes HDD, SSD, M.2, USB és okostelefon.

1. Átvétel és őrzési lánc felvétele. Az adathordozók átvétele zárt szállítóeszközben, dokumentált felelős aláírásával történik. Az őrzési lánc (chain of custody) minimális adattartalma: időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy tartály azonosító, átadó és átvevő neve, valamint az eltéréskezelés módja. Az átvétel előtt javasolt az ügyfél belső eljárásában ellenőrizni, hogy a megsemmisítendő adathordozóhoz nem tartozik aktív legal hold vagy retenciós kötelezettség (pl. számviteli megőrzési idő, GDPR retention, jogi vagy felügyeleti zárolás).

2. Tételszintű azonosítás. Az adathordozók sorszámát (S/N), gyártói azonosítóját és — ha van — vagyontárgy-címkéjét tételenként rögzítjük. Ez a leltár lesz a kiállított tanúsítvány alapja, és ezzel veti össze az ügyfél a saját vagyonleltár-csökkenését. A jóváhagyási oldalon ügyféloldali asset owner, data owner vagy records manager hagyja jóvá tételenként a megsemmisítendő listát; az eltérés (hiányzó S/N, leltár-mismatch) eltérésjegyzőkönyvet eredményez.

3. Mechanikai megsemmisítési művelet. A meghajtó típusától függő mechanikai eljárást alkalmazzuk — HDD-knél és SSD-knél egyaránt késes szeletelés, darabolás vagy aprítás —, a vonatkozó DIN 66399 osztálynak (HDD: H-szint, SSD és elektronikus média: E-szint) megfelelő geometriával.

4. Folyamat- és végtermékellenőrzés. A megsemmisítés végeredménye — a szelet, darab vagy fragmentum geometriája — a vonatkozó szabvány szerinti paraméterek alapján ellenőrzött. Magasabb védelmi szinteken — az ISO/IEC 27001:2022 A.5.3 (Segregation of duties) elvét követve — a folyamatot operátoron kívül második személy is felügyeli (four-eyes principle), illetve videón rögzítjük. A keletkezett tárgyi végtermék az auditdokumentációhoz csatolt fotódokumentációval is alátámasztható.

5. WEEE-konform hulladékkezelés. A megsemmisült adathordozó-darabok elektronikai hulladéknak minősülnek (megfelelő EWC-kóddal); a további feldolgozás engedélyezett hulladékátvevőnél, dokumentált hulladékátadási bizonylattal történik.

6. Tanúsítvány kibocsátása. A folyamat végén kiállított certificate of sanitization tartalmazza az ügyfél nevét, a megsemmisítés dátumát és helyszínét, a tételenkénti sorszám-listát, az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. Ez a dokumentum kerül az ügyfél auditdokumentációjába; a megőrzési idejét az ügyfél belső szabályzata vagy ágazati előírása határozza meg (jellemzően 5–7 év).

Mechanikai megsemmisítési technológiák

A fizikai megsemmisítésen belül a mechanikai eljárásoknak több útja létezik, és a megfelelő választás a meghajtó típusától, a vonatkozó védelmi szinttől és az alkalmazott berendezés kategóriájától függ.

Késes szeletelés (cutter, guillotine). A berendezés erős mechanikus pengével vagy guillotine-szerkezettel hosszanti szeletekre bontja az adathordozót. A végeredmény nem azonos méretű fragmensek halmaza, hanem egyenletes szelet-csíkok — a megsemmisítés mélysége a szeletszélességgel és a szeletvastagsággal jellemezhető. Ez a technológia jellemzi a Data Destroy által használt berendezésosztályt; a folyamat HDD-re és SSD-re egyaránt alkalmas.

Fragmentumos aprítás (shredder). Más típusú mechanikai aprítók forgó kalapács- vagy késhenger-rendszerrel apró, szabálytalan fragmentumokra darabolják az adathordozót. Ennél a technológiánál a részecskeméret a szabályozott paraméter — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő SSD-aprításnál legfeljebb 2 mm körüli. A két technológia (szeletelés vs. aprítás) ugyanazt a célt — az adathordozó visszafordíthatatlan fizikai megsemmisítését — éri el, csak a végeredmény geometriája különbözik.

Lemágnesezés. A NIST SP 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses adathordozóra, HDD): erős, gyorsan változó mágneses térrel a HDD adattároló rétege visszafordíthatatlanul lemágneseződik. A módszer iparági elfogadottsága szektorfüggő — vannak területek, ahol a folyamatdokumentáció és a berendezés gyári minősítése elegendő bizonyítéknak. A Data Destroy szolgáltatásportfóliójában a lemágnesezés nem szerepel önálló eljárásként; ügyfeleink visszajelzései alapján a tárgyi végterméket eredményező mechanikai megsemmisítésre építünk. SSD-re a lemágnesezés definíció szerint sem alkalmas: a flash-cellákban tárolt adatot a mágneses tér nem érinti.

Kombinált technológia. Egyes európai gyártók — köztük a holland Maxxeguard — olyan berendezéseket állítanak elő, amelyek lemágnesezést és mechanikai szeletelést egyetlen folyamatban végeznek el. Ez a kombináció HDD-nél kétszintű védelmet ad: a mágneses adatréteg lemágneseződik, és a meghajtó fizikailag is darabolódik.

Tanúsított berendezések a gyakorlatban

A tanúsított fizikai megsemmisítés minőségét a használt berendezés képességei és minősítései határozzák meg. Az európai piacon több gyártó kínál olyan kombinált berendezéseket, amelyeket szigorú biztonsági követelményű környezetben (kormányzati, katonai, kritikus infrastruktúra) is használnak — ide tartozik például a holland Maxxeguard, amelynek késes szeletelő berendezései a piacon ebben a kategóriában elismertek. A konkrét akkreditációs vagy ügyfélkörülmények berendezésenként és felhasználónként eltérhetnek.

Aprított adathordozó-fragmentumok ipari gyűjtőkonténerben — a tanúsított fizikai megsemmisítés eredménye
Aprított adathordozó-fragmentumok ipari gyűjtőkonténerben — a tanúsított fizikai megsemmisítés eredménye.

Az ilyen kategóriájú berendezések három tulajdonsággal jellemezhetők. Először: a szeletvastagság és szeletszélesség dokumentált és független laboratóriumi méréssel vagy gyári minősítéssel igazolt — ez a paraméter felel meg a vonatkozó DIN 66399 osztálynak (HDD: H-szint, elektronikus média: E-szint). Másodszor: a folyamat tételszinten naplózott — a berendezés rögzíti minden megsemmisített adathordozó paramétereit, így a tanúsítvány utólag is visszakereshető a gépi logból. Harmadszor: a működés auditálható — egy külső auditor (ISO 27001 belső auditor, TISAX assessor, ágazati felügyelet) szemrevételezéssel és dokumentumellenőrzéssel verifikálni tudja.

A szolgáltató választásakor érdemes megvizsgálni, hogy a használt berendezés milyen DIN 66399 osztálynak és NIST 800-88 Destroy elvárásnak felel meg, milyen meghajtó-osztályokra van validálva, és hogyan integrálódik az őrzési lánc dokumentációjába.

Mit néz egy auditor

A fizikai megsemmisítés audit-szempontú értékelésekor az ellenőr nem a megsemmisítés tényét vizsgálja — azt a tanúsítvány önmagában rögzíti —, hanem a folyamat rendszer-szintű megbízhatóságát.

ISO/IEC 27001 belső auditor szempontból az A.7.10 (Storage media) és az A.8.10 (Information deletion) kontroll együttes implementációja akkor megfelelő, ha a szervezet eljárásrendje előírja a selejtezett adathordozók kezelésének lépéseit, a felelősök kijelölését, az őrzési lánc dokumentációját, és a tanúsítványok megőrzési idejét. Az auditor mintavételesen kéri be a kiállított certificate of sanitization dokumentumokat, és összeveti a vagyonleltár-csökkenéssel.

TISAX assessor — autóipari beszállítói lánc — különösen érzékeny a teljes szállítási láncra. Az adathordozók útját az átadástól a megsemmisítésig hézagmentesen kell dokumentálni, és a megsemmisítést végző alvállalkozó IT biztonsági szintje is felmérés tárgya. A TISAX-keret a megsemmisítési eljárás dokumentált, ismételhető és ellenőrizhető voltát várja el.

Pénzügyi szektor és kritikus infrastruktúra esetén a vonatkozó ágazati előírások — a pénzügyi szegmensben elsősorban a 2025 januárja óta hatályos DORA (EU 2022/2554) ICT-kockázatkezelési kerete, kritikus infrastruktúránál a NIS2 21. cikk kockázatkezelési kötelezettségei — a teljes ICT-eszközéletciklusra kiterjednek. A fizikai megsemmisítés egy elem ebben a láncban: a felügyeleti szempont nem önmagában a megsemmisítést, hanem a teljes ICT-vagyonkezelési folyamatot vizsgálja, beleértve azt, hogy az alkalmazott eljárás operatív szinten is auditálható-e.

A közös pont mindegyik szempont mögött ugyanaz: az auditor azt szeretné látni, hogy a szervezet bizonyíthatóan tudja, mely adathordozói kerültek selejtezésre, mikor, milyen módszerrel, és ki vállalt érte felelősséget. A tanúsított fizikai adatmegsemmisítés erre ad zárt bizonyítékláncot, és magasabb védelmi szinteken a fotódokumentációval kiegészített tárgyi végtermék is hozzátehető a lánchoz.

Mit jelent ez a gyakorlatban

A tanúsított fizikai adatmegsemmisítés akkor szakmailag indokolt választás, ha az adathordozó kilép a vagyonleltárból — másodlagos felhasználás, felújítás vagy értékesítés nélkül —, vagy ha a meghajtó már nem kezelhető szoftveresen. Az újrahasznosításra szánt, működőképes meghajtóknál a tanúsított szoftveres törlés ad azonos szintű bizonyítékláncot, és megőrzi az eszköz piaci értékét.

A két módszer együtt fed le minden szervezeti igényt: a kérdés nem az, hogy melyik a „jobb”, hanem hogy az adott meghajtó-tételhez melyik a megfelelő. A felelős döntéshez a szervezet IT-vagyonkezelési és adatkezelési szabályzatának kell egyértelművé tennie a kategorizálási logikát, és minden selejtezésnél a megfelelő útvonalra kell terelnie az eszközt.

A Data Destroy Kft. szolgáltatásportfólióját a tanúsított fizikai megsemmisítésre építjük — ezt ügyfeleink visszajelzései alapján alakítottuk ki. Ha a szervezet adathordozó-selejtezési listáját át szeretnéd nézetni, vagy konkrét megsemmisítési ajánlatot kérnél tételszintű certificate of sanitization kiadásával, az audit-előkészítő checklistünk és ajánlatkérési űrlapunk az ajánlatkérés oldalon érhető el.

Gyakori kérdések

Ki dönti el, hogy fizikai megsemmisítés vagy szoftveres törlés szükséges?

A választást az dönti el, hogy a meghajtó visszakerül-e a használatba. Ha a szervezet nem kívánja másodlagosan használni, eladni vagy felújításra küldeni — vagy ha a meghajtó hibás —, a fizikai megsemmisítés a megfelelő útvonal. Az újrahasznosításra szánt, működőképes meghajtónál a tanúsított szoftveres törlés a választás, mert ott megőrizhető az eszköz piaci értéke.

Elég-e önmagában a fizikai megsemmisítés, vagy előtte szoftveresen is törölni kell?

Önmagában elég, ha (1) a folyamat tanúsított és dokumentált, (2) a berendezés a meghajtó-osztálynak megfelelő paraméterekkel rendelkezik (HDD: DIN 66399 H-szint; SSD/elektronikus média: E-szint, a NIST 800-88 Destroy elvárásával összhangban), és (3) a végeredmény tételszinten visszakereshető. Magas érzékenységű tartalmaknál egyes szervezetek belső szabályzata előírja a kombinált — szoftveres + fizikai — megsemmisítést.

Mit kell ellenőrizni a megsemmisítés ELŐTT?

Az átvétel előtt javasolt az ügyféloldali pre-destruction check: aktív legal hold vagy retenciós kötelezettség (számviteli megőrzés, GDPR retention, jogi vagy felügyeleti zárolás) ellenőrzése; a megsemmisítendő tételek vagyonleltárral történő egyeztetése; az asset owner vagy data owner jóváhagyása. Az auditorok ezt rendszeresen ellenőrzik.

Miért épít a Data Destroy szolgáltatása a fizikai megsemmisítésre?

Ügyfeleink — különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban dolgozó szervezetek — gyakran kérnek olyan megsemmisítést, amelynek a tanúsítvány mellé tárgyi, dokumentálható végterméke is van. Ez a visszajelzés alakította a szolgáltatásportfóliónkat. A lemágnesezés szabvány által elismert eljárás, és vannak iparágak, ahol a folyamatdokumentáció és a berendezés tanúsítványa elegendő bizonyíték; mi azonban kifejezetten a mechanikai megsemmisítésre fókuszálunk.

Milyen geometriai paraméter kell SSD mechanikai megsemmisítésénél?

Fragmentumos aprításnál a részecskeméret szabályozott — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő szigorúbb környezetben legfeljebb 2 mm körüli. Késes szeletelő technológiánál a szeletszélesség és a szeletvastagság a vonatkozó paraméter, amelyet a berendezés gyári tanúsítása vagy független laboratóriumi mérés rögzít.

Mit tartalmaz a megsemmisítési tanúsítvány?

Az ügyfél azonosító adatait, a megsemmisítés dátumát és helyszínét, a megsemmisített meghajtók tételszintű listáját (gyártó, modell, S/N, vagyontárgy-címke), az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. A tanúsítvány a vagyonleltár-csökkenéssel történő összevetésre alkalmas formában készül; megőrzési ideje az ügyfél belső szabályzata szerint jellemzően 5–7 év.



Blancco tanúsított adattörlés: az iparági standard, amelyre a vállalati auditok épülnek

Tanúsított adattörlési folyamat dokumentálása vállalati irodai környezetben Blancco szoftverrel

Blancco tanúsított adattörlés: az iparági standard, amelyre a vállalati auditok épülnek

A Blancco a tanúsított szoftveres adattörlési megoldások globálisan elismert iparági standardja, amelyet szoftver-alapú adatmegsemmisítési folyamatok auditálható dokumentálására alkalmaznak vállalatok, kormányzati szervezetek és IT-eszközkezelő szolgáltatók. A szoftver NIST SP 800-88 Rev. 1 és más nemzetközi adatmegsemmisítési szabványok szerint végzi a törlést, és minden befejezett folyamathoz digitálisan aláírt, hamisítás ellen védett tanúsítványt állít ki. A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként közép- és nagyvállalati ügyfelek számára nyújtja ezt a tanúsított szolgáltatást.
Legfontosabb megállapítások:

  • A Blancco által kiállított digitálisan aláírt, kriptográfiailag hitelesített tanúsítvány széles körben elfogadott szoftveres törlési dokumentum, amelyet ISO 27001, GDPR és NIS2 auditokon egyaránt alkalmaznak.
  • A Blancco egyetlen egységes audit trail-lel kezeli a HDD, SSD (SATA, NVMe), mobil eszköz és szerver típusú adathordozókat is.
  • A Data Destroy Kft. mint magyarországi hivatalos Blancco-partner helyszíni törlési szolgáltatást kínál, ahol az eszközök nem hagyják el az ügyfél telephelyét a törlés és a tanúsítvány kiállítása előtt.

Egy vállalati IT-selejtezési folyamat a legtöbb szervezetnél informálisan zárul le: az eszközt kiadják a raktárból, valaki “formázza”, majd átkerül a hulladékkezelőhöz, az eszközkezelő partnerhez vagy a másodlagos piacra. A felelős vezető fejében kész a kép — az adat törlve lett. Az auditor fejében azonban egészen más kérdés merül fel: hogyan igazolható ez visszamenőleg, tételesen, eszközazonosítóra lebontva?

A tanúsítottan elvégzett adattörlés nem csupán technikai lépés. Compliance-szempontból azt jelenti, hogy egy szervezet képes utólag, dokumentáltan igazolni, hogy az adott eszközökön tárolt adatok mikor, milyen módszerrel, milyen ellenőrzött folyamatban lettek véglegesen és visszaállíthatatlanul megsemmisítve. Ezt a bizonyíthatósági funkciót számos nagyvállalati adatbiztonsági auditban a Blancco szoftver kimenete tölti be.

Miért nem elegendő a formázás — és mit kérdez az auditor?

A legelterjedtebb félreértés az adattörléssel kapcsolatban az, hogy egy operációs rendszer szintű törlés, egy gyári visszaállítás vagy egy egyszerű formázás elegendő védelmet nyújt. HDD esetén ez évtizedekkel ezelőtt még elfogadható közelítés lehetett, SSD-knél azonban alapvetően hibás feltételezés. A NAND flash memória wear-levelling mechanizmusa miatt a hagyományos felülírási módszerek a tároló teljes fizikailag létező területére nem hatnak ki garantáltan — a maradék adat a megfelelő szoftvereszközökkel visszaállítható maradhat.

Az auditor által feltett kérdés nem az, hogy “ki mondja, hogy törölted” — hanem az, hogy van-e rá dokumentált, harmadik féltől is ellenőrizhető bizonyíték. A kizárólag belső dokumentációra támaszkodó törlési folyamat — naplózás, négyszemközti felülvizsgálat és jóváhagyási lánc nélkül — erős auditkövetelményeket nehezen elégít ki, mivel nem biztosít harmadik fél által is ellenőrizhető igazolást. Egy tanúsított szoftver által automatikusan generált, digitálisan aláírt, integritásvédett riport igen.

Ez az a pont, ahol a Blancco az elmúlt két évtizedben de facto iparági standarddá vált.

A Blancco mint iparági standard: mi teszi elfogadottá az auditokban?

A Blancco nem csupán egy adattörlő szoftver — egy igazolható törlési folyamat dokumentálási rendszere. A szoftver minden befejezett törlési művelethez automatikusan generál egy digitálisan aláírt, audit trail-lel ellátott tanúsítványt, amelyen szerepel az eszköz sorozatszáma és azonosítója, az alkalmazott törlési módszer neve és verziója, a lefutott folyamat pontos időbélyege, a követett szabvány (pl. NIST SP 800-88 Rev. 1, HMG IS5) és a törlés sikerességének visszaigazolása.

Ez az adattörlési tanúsítvány az, amit egy GDPR-audit, egy ISO 27001-megfelelési vizsgálat, egy belső compliance-review vagy egy ügyfél által kért igazolás során be lehet mutatni. Nem támaszkodik emberi memóriára, nem módosítható utólag, és nem igényli a törlést végző személy jelenlétét az elszámoltathatóság biztosításához.

Az ADISA (Asset Disposal and Information Security Alliance) az adatmegsemmisítési folyamatokra kialakított, európai és globális auditokban elismert tanúsítási szervezet. Az ADISA tanúsítási kerete olyan átfogó adatmegsemmisítési folyamatokat minősít, amelyek auditálhatók, szoftveresen dokumentáltak és harmadik fél által ellenőrizhetők. Egy Blancco-ra épülő eljárás kulcsfontosságú eleme lehet egy ilyen folyamat felépítésének.

Mire képes a Blancco: eszköztípusok és törlési módszerek

Az egyik legjelentősebb előny, amelyet a Blancco nyújt, hogy egyetlen szoftverkörnyezetből kezeli a különböző adathordozó-típusokat — egységes audit trail-lel, ami nagyobb selejtezési projekteknél kritikus szervező tényező.

IT eszközök selejtezési folyamata auditálható Blancco adattörléssel vállalati környezetben
IT eszközök selejtezési folyamata: Blancco szoftverrel elvégzett, auditálható és tételesen dokumentált törlési folyamat.

Merevlemezek (HDD)

Hagyományos felülírásos módszerek, a NIST SP 800-88 Rev. 1 által definiált “Clear” és “Purge” szinteken. HDD-kre tervezett multi-pass felülírási módszerek (pl. régebbi szabályozói keretek által hivatkozott eljárások) szintén elérhetők — az iparági ajánlás azonban HDD-nél is az NIST SP 800-88 Rev. 1 szerinti módszerek alkalmazása.

SSD-k (SATA és NVMe)

A Blancco SSD-specifikus törlési módszert alkalmaz — nem hagyományos felülírással, hanem az egyes meghajtók natív sanitize parancsaival. Az ATA Secure Erase és az NVMe Sanitize parancsok a meghajtó teljes fizikailag elérhető területére kiterjedő törlést hajtanak végre, a NIST SP 800-88 Rev. 1 “Purge” kategóriájának megfelelően. A Crypto Erase módszer szintén Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől fogva Full Disk Encryption volt aktív (self-encrypting drive esetén). Az SSD-törlési módszer megválasztása tehát az adott meghajtó típusától és korábbi titkosítási konfigurációjától függ.

Mobil eszközök

Okostelefonok és táblagépek esetén a Blancco a gyártói szintű törlési parancsok és szoftver által vezérelt folyamatok kombinációját alkalmazza iOS és Android platformokon egyaránt. A BYOD-programok, eszközflotta-rotációk és szervezeti átszervezések során a telefonok törlése az egyik leggyakrabban figyelmen kívül hagyott kockázatforrás.

Szerverek és tárolórendszerek

Blade szervereknél, NAS- és SAN-eszközöknél a Blancco képes tömegesen kezelni a meghajtókat, akár hálózaton keresztül futtatva boot image-ből, ami nagyobb infrastruktúrák selejtezésekor jelentősen csökkenti az üzemeltetési terhet és az átadási időt.

Mindegyik kategória esetén az eredmény ugyanolyan formátumú és hitelességű Blancco-tanúsítvány, ami lehetővé teszi, hogy vegyes eszközállomány selejtezésekor egyetlen egységes dokumentációs csomag keletkezzen.

Blancco és a megfelelési keretrendszerek

A tanúsított adattörlés nem önálló biztonsági intézkedés — hanem azonosítható kapocs a szabályozói elvárások és a tényleges folyamatok dokumentálható bizonyítéka között.

GDPR (5. cikk (1)(e) és 5. cikk (2) — tároláskorlátozás és elszámoltathatóság): A GDPR 5. cikk (1)(e) alapján a személyes adatokat csak a szükséges ideig szabad megőrizni. A 5. cikk (2) elszámoltathatósági elve ezt azzal egészíti ki, hogy az adatkezelőnek képesnek kell lennie igazolni a megfelelés tényét. A selejtezési folyamat dokumentált lezárása — amit a Blancco-tanúsítvány biztosít — az adatvédelmi felelős számára az adatkezelési nyilvántartás fontos bizonyítékeleme. Ha a Data Destroy Kft. végzi a törlést, a konkrét szerződéses és tényleges szerepkörtől függően jellemzően adatfeldolgozói minőségben jár el (GDPR 28. cikk), és a kiállított Blancco-tanúsítvány az adatkezelő felé az elvégzett törlési folyamat igazolásának egyik dokumentált elemeként szolgál.

NIS2 (21. cikk — kockázatkezelési intézkedések): A NIS2 irányelv 21. cikke kiberbiztonsági kockázatkezelési intézkedéseket ír elő, köztük az eszközkezelés és az infrastruktúra biztonságának területén. A selejtezési folyamat igazolható dokumentálása a 21. cikk szerinti eszközkezelési és kockázatkezelési kötelezettségek teljesítésének dokumentálható bizonyítéka — az adattörlési naplózás nem szerepel explicit módon az irányelvben, de a kockázatkezelési elvárások keretében elvárható kontrollnak minősül.

ISO 27001:2022 (A.7.10 és A.8.10 — adathordozók kezelése és adatok törlése): Az ISO 27001:2022 két kontrollban is érinti az adathordozók selejtezését. Az A.7.10 (“Storage media”) az adathordozók fizikai kezeléséről és biztonságos selejtezéséről rendelkezik. Az A.8.10 (“Information deletion”) önálló kontrollként rögzíti a szoftveres adattörlési módszerek alkalmazását és az igazolhatóság követelményét — ez a Blancco-alapú folyamat legdirektebb ISO 27001 kapcsolódási pontja. A Blancco-tanúsítvány mindkét kontroll teljesítésének egyik dokumentált bizonyítékeleme — a teljes megfelelés az eszköznyilvántartással, a selejtezési folyamat dokumentációjával és a jóváhagyási lánccal együttesen igazolható.

Ezek a megfelelési pontok nem új elvárások — az auditok azonban egyre inkább nem a szándékot, hanem a bizonyíthatóságot ellenőrzik. Egy belső auditor vagy egy akkreditált tanúsítási szervezet nem veszi át a szóbeli nyilatkozatot, hogy “mi töröltük”. Kéri a dokumentumot.

Mit jelent a Data Destroy Blancco-partnerség a gyakorlatban?

A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként végez tanúsított szoftveres adattörlést közép- és nagyvállalati ügyfelek számára. Ez a partnerség konkrét tartalmat jelent, amelyet érdemes pontosan érteni.

A szoftvert a Data Destroy nem saját fejlesztésű megoldással, hanem az eredeti Blancco-szoftverrel futtatja, amely automatikusan a Blancco globális tanúsítási rendszerében regisztrált tanúsítványt állít ki minden törlésnél. Ezek a tanúsítványok ugyanolyan formátumban és hitelességi szinten érkeznek, mint bármely más Blancco-partner által kiállítottak — érthetők és elfogadottak minden olyan auditor vagy ügyfél számára, aki korábban már találkozott Blancco-dokumentációval.

A Data Destroy helyszíni törlési szolgáltatást kínál: a szoftver az ügyfél telephelyén fut, az eszközök nem hagyják el a szervezet területét mindaddig, amíg a törlés és a tanúsítvány kiállítása meg nem történt. Ez a modell különösen fontos azokban az esetekben, ahol az eszközöket szabályozói, adatvédelmi vagy biztosítói megfontolásból nem lehet elszállítani a törlés elvégzéséhez.

Az elvégzett törlésekről kiállított tanúsítványok tételesen, eszközazonosítóra (sorozatszámra) lebontva tartalmazzák a dokumentációt. Ez alkalmassá teszi az ügyfél compliance-csapatát, belső auditorait vagy külső vizsgálóit arra, hogy egyértelműen visszakövessék, melyik eszközön mikor, milyen módszerrel végezték el a törlést.

Ha szervezete közelgő IT-selejtezési projektet, auditot vagy eszközflotta-cserét tervez, a Data Destroy Kft. eszközlistára épülő megfelelési javaslattal és előzetes törlési dokumentációs tervvel tud segíteni — kérjen árajánlatot. Az igény az eszközök típusának és mennyiségének megadásával indul — az eredmény tételesen átadható Blancco-tanúsítványcsomag, amely a compliance-folyamat lezárásához szükséges dokumentáció egyik kulcsfontosságú, bizonyító erejű elemét képezi.

Gyakori kérdések

Mi a különbség a Blancco és egy egyszerű adattörlő szoftver között?

A Blancco elsődleges előnye nem a törlési sebesség, hanem a törlési folyamat digitálisan aláírt, automatizált dokumentálása: minden befejezett törléshez tanúsítvány generálódik, amelynek tartalma visszakövethetően azonosítja az eszközt, az alkalmazott módszert, a követett szabványt és az időpontot — auditorok és compliance-szervezetek által elfogadott formátumban.

Milyen eszköztípusokra alkalmazható a Blancco?

A Blancco kezeli a hagyományos merevlemezeket (HDD), SSD-ket (SATA, NVMe), mobil eszközöket (iOS, Android), szervereket és tárolórendszereket (NAS/SAN) — egyetlen egységes audit trail-lel, ami nagyobb, vegyes eszközállomány selejtezésekor különösen előnyös.

Elfogadják-e a Blancco-tanúsítványt a GDPR- és ISO 27001-auditokon?

A Blancco-tanúsítványokat az európai adatvédelmi és információbiztonsági auditok széles körben elfogadják mint a törlési folyamat igazolását, mivel a tanúsítvány tartalmazza az alkalmazott szabványt (pl. NIST SP 800-88 Rev. 1), a törlés időpontját, az eszköz sorozatszámát és az eredmény kriptográfiai visszaigazolását.

SSD törlésénél miért nem elég a hagyományos formázás?

Az SSD-k NAND flash memóriája wear-levelling mechanizmust alkalmaz, amelynek következtében a hagyományos felülírási módszerek nem érik el a tároló teljes fizikailag létező területét. A Blancco SSD-specifikus natív sanitize parancsokat alkalmaz (ATA Secure Erase, NVMe Sanitize), amelyek a NIST SP 800-88 Rev. 1 Purge szintjének felelnek meg. A Crypto Erase módszer Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől Full Disk Encryption volt aktív.

Hogyan történik a helyszíni törlés a Data Destroy Blancco-partnerségén keresztül?

A Data Destroy helyszíni Blancco-törlési szolgáltatása során a szoftver az ügyfél telephelyén fut, az eszközök szállítás nélkül kerülnek törlésre. A folyamat végén tételesen, eszközsorozatszámra lebontva kerülnek kiállításra a Blancco-tanúsítványok, amelyek közvetlenül átadhatók az ügyfél compliance- vagy audit-csapatának.

Mikor indokolt a Blancco-törlés helyett a fizikai megsemmisítés?

A Blancco-alapú szoftveres törlés akkor elegendő, ha az eszköz még működőképes és a tárolófelület épségéről meggyőződtek. Fizikailag sérült vagy meghibásodott meghajtó esetén, ahol a szoftver nem tud kapcsolódni a tároló összes területéhez, a fizikai megsemmisítés marad az egyetlen megbízható módszer — ezt a Data Destroy szintén kínálja.

IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások

Pénzügyi intézmény IT selejtezési megfelelőség — vezető compliance dokumentációt tekint át modern irodai környezetben

IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások

A pénzügyi intézmények IT eszközeinek selejtezése Magyarországon egyidejűleg három szabályozói keretrendszer — az MNB 1/2025. ajánlása, a DORA (EU 2022/2554) rendelet és a GDPR — elvárásainak kell megfeleljen. A nem megfelelően kezelt adattörlés közvetlen felügyeleti, jogi és reputációs kockázatot jelent, amellyel a szektorbeli szervezetek compliance és IT kockázatkezelési felelősei egyre intenzívebben szembesülnek. A tanúsított adattörlés és az auditálható selejtezési folyamat ebben a kontextusban nem csupán legjobb gyakorlat, hanem igazolható szabályozói elvárás.
Legfontosabb megállapítások:

  • A DORA (EU 2022/2554) 9. cikkéből levezethető megfelelőségi elvárás, hogy az ICT-védelmi politika az eszközök teljes életciklusára — ideértve a kivonást és a biztonságos selejtezést — is kiterjedjen; ez rendszertani és kockázatkezelési értelmezés, nem szó szerinti normaszöveg.
  • A GDPR korlátozott tárolhatóság elve (5. cikk (1) e) pont), az integritás és bizalmasság elve (5. cikk (1) f) pont), valamint a törlési jog (17. cikk) és az adatkezelői felelősség (24. és 32. cikk) együttesen kötelezettséget teremt a pénzügyi intézmény által kezelt személyes adatok hordozóinak dokumentált és biztonságos megsemmisítésére.
  • Az MNB 1/2025. ajánlás IT biztonságra vonatkozó elvárásrendszere — beleértve az eszközök életciklus-kezelését — az SREP IT-kockázati pillérének értékelési területén jelenik meg; az auditálható selejtezési folyamat és a rendezett tanúsítványkezelés ezért az intézményi felkészültség dokumentálható részévé kell váljon.

A pénzügyi intézmény IT selejtezés és adatvédelem kérdése ma már nem pusztán üzemeltetési szempont: egy leselejtezett, nem megfelelően törölt szerver vagy laptop háromféle párhuzamos kockázatot hordoz egyszerre. Felügyeleti kockázatot, ha az MNB-vizsgálat hiányos selejtezési dokumentációt talál; adatvédelmi incidens-kockázatot, ha az eszközön maradó személyes adatok illetéktelen kezekbe kerülnek; és auditkockázatot, ha a DORA szerinti ICT kockázatkezelési keretrendszer nem fed le minden eszköz-életciklus fázist. Az MNB, a DORA és a GDPR együttes elvárásrendszere ezt a területet ma már egyértelműen a compliance-kérdések közé sorolja — miközben a gyakorlatban sokhelyütt még mindig operatív IT-feladatként kezelik.

Pénzügyi intézmény IT selejtezés: miért kritikus az adatvédelem és a compliance?

A bankok, biztosítók, befektetési vállalkozások és pénzforgalmi szolgáltatók IT eszközparkja életciklusának végén adathordozókat tartalmaz, amelyeken ügyfél-azonosítási adatok, tranzakciós naplók, belső kommunikáció, kockázatkezelési dokumentumok és hitelesítési információk egyaránt megtalálhatók lehetnek. Egy nem megfelelően megsemmisített merevlemez vagy SSD-meghajtó ebből a szempontból összemérhető súlyú kockázatot hordozhat, mint egy rosszindulatú szoftver által kompromittált szerver — azzal a lényeges különbséggel, hogy a fizikai eszköz kivonásakor az incidens nem generál riasztást, nem jelenik meg a biztonsági monitoringban, és az érintettség esetenként csak hónapokkal vagy évekkel később derül fény.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosan elérhető határozatai jelzik, hogy a hatósági figyelem Magyarországon is kiterjedt erre a területre. Ezzel párhuzamosan a DORA 2025. januári alkalmazhatóvá válása a pénzügyi szektort az ICT kockázatkezelési elvárások szempontjából tovább szigorította — és a rendelet logikájából levezetett megfelelőségi értelmezés az eszközök selejtezési folyamatát is ebbe a keretrendszerbe helyezi.

Az MNB informatikai biztonsági elvárásai és az eszközök életciklusa

A Magyar Nemzeti Bank 1/2025. számú ajánlása az informatikai rendszer védelméről az IT biztonságot átfogóan, az eszközök teljes életciklusára kiterjedő megközelítésben tárgyalja. Az ajánlás kitér az adathordozók és IT eszközök megsemmisítésének, visszaszolgáltatásának és selejtezésének rendjére, és elvárja, hogy a pénzügyi intézmények belső szabályzataikban rögzítsék az ezzel kapcsolatos eljárásokat.

Az ajánlás szellemében az adathordozók kivonásakor alkalmazott eljárásrendnek ki kell terjednie legalább a következőkre: az érintett eszközök körének meghatározása eszköztípusonként, az alkalmazott megsemmisítési módszer rögzítése, a végrehajtás felelősi rendje, és a folyamat dokumentálásának módja. A puszta belső szabályzat önmagában nem elegendő: az MNB helyszíni vizsgálatakor a végrehajtás dokumentáltsága, a megsemmisítési tanúsítványok kezelése és a harmadik féltől igénybe vett selejtezési szolgáltatások auditálhatósága is az értékelés tárgyává válhat.

A pénzügyi intézmények belső compliance tevékenysége során ezért célszerű különválasztani az IT eszközök selejtezési folyamatát a fizikai infrastruktúra általános felváltásától: az előbbi önálló szabályozói relevanciával bíró terület, amelynek kezelése koordinációt kíván az IT üzemeltetés, az adatvédelmi tisztviselő és a kockázatkezelési funkció között.

DORA: az ICT kockázatkezelés az eszközök teljes életciklusában

A Digitális Operatív Rugalmassági Rendelet — DORA (EU 2022/2554) — 2025. január 17-től kötelező érvénnyel alkalmazandó valamennyi, az Unió pénzügyi szektor szabályozása alá eső szervezetre, beleértve a bankokat, biztosítókat, befektetési vállalkozásokat, elektronikuspénz-intézményeket és pénzforgalmi szolgáltatókat. A rendelet 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amely kiterjed az ICT-vagyonelemek — így az adathordozók — osztályozására és kezelésére. Ebből a rendszertani megközelítésből levezetett megfelelőségi értelmezés, hogy a védelem és a megelőzési intézkedések nem érhetnek véget az eszköz aktív üzemeltetési fázisával: a biztonságos kivonás és a dokumentált megsemmisítés ennek a politikának logikus és elvárható eleme.

A DORA logikája az ICT kockázatot az eszközök teljes életciklusában értelmezi: a beszerzéstől, a konfiguráción és üzemeltetésen át a kivonásig. Egy eszköz kivezetése — legyen szó laptopról, szerverről, mobileszközről, hálózati berendezésről vagy adattároló meghajtóról — ezért az intézmény ICT kockázatkezelési keretrendszerébe illeszkedő, dokumentálható folyamattá kell váljon.

Külső selejtezési partner bevonása esetén az intézménynek háromszintű minősítési kérdést kell megválaszolni. Első szint: egyáltalán ICT-szolgáltatónak minősül-e a partner (azaz technológiai jellegű adatkezelési vagy adattörlési szolgáltatást nyújt-e, nem csupán fizikai logisztikát)? Második szint: az általa érintett tevékenység kritikus vagy fontos funkciót támogat-e az intézmény működésében? Harmadik szint: fennállhat-e koncentrációs kockázat, amely a DORA szerinti kritikus ICT-harmadik fél besorolást vonja maga után? Egy alkalmi, könnyen helyettesíthető törlési partner jellemzően nem minősül kritikus ICT third-party-nak — de a minősítési döntést, az elvégzett due diligence-t és az indoklást dokumentálni kell. Ha a partner mégis ICT third-party-nak minősül, a DORA 28. cikke szerinti szerződéses minimumelvárások (kötelező záradékok, auditjog, kilépési terv, adatlokáció, alvállalkozói lánc) is alkalmazandók.

Minden esetben — függetlenül a partnerminősítéstől — az elvégzett selejtezési munkának auditálható dokumentációval és megsemmisítési tanúsítvánnyal kell zárulnia.

A GDPR korlátozott tárolhatóság elvének hatása az IT selejtezési folyamatokra

Compliance megfelelőségi dokumentáció áttekintése pénzügyi intézményben

A GDPR személyes adatok kezelésére vonatkozó elvei közül a korlátozott tárolhatóság elve (5. cikk (1) bekezdés e) pont) és a törléshez való jog (17. cikk) szorosan kapcsolódik az IT eszközök selejtezésének kérdéséhez. A korlátozott tárolhatóság elve értelmében a személyes adatokat csak addig szabad megőrizni, amíg az adatkezelési célhoz szükséges. Ez az elv az adathordozók fizikai megszűnésekor is érvényesítendő: ha egy eszközön személyes adatok maradnak, az adatkezelési cél megszűnése nem szűnteti meg automatikusan az adatvédelmi felelősséget. A GDPR 5. cikk (1) f) pontja (integritás és bizalmasság elve), a 24. cikk (az adatkezelő felelőssége) és a 32. cikk (az adatbiztonság technikai-szervezési intézkedései) szintén kötelezettséget teremt arra, hogy az adatkezelés teljes életciklusában — a selejtezést is beleértve — megfelelő biztonsági intézkedések legyenek érvényben.

A pénzügyi szektorban ez a kötelezettség összetett képet mutat. A banki megőrzési kötelezettségek — jellemzően 5–10 éves időszakokra — korlátozhatják a törlési jog közvetlen érvényesíthetőségét az aktív adatkezelési időszak alatt. Azonban a megőrzési kötelezettség lejártát követően a biztonságos megsemmisítés már nem ajánlott legjobb gyakorlat, hanem jogi kötelezettség. Ennek elmulasztása nemcsak GDPR-jogsértés alapját képezheti — amelyért a NAIH akár érzékeny mértékű bírságot is kiszabhat —, de adatvédelmi incidensként is bejelentendővé válhat, ha az adatok illetéktelen kezekbe kerülnek.

A pénzügyi intézmények adatvédelmi tisztviselőinek (DPO) ezért célszerű az IT eszközök selejtezési tervét az adatkezelési nyilvántartással összevetni, és gondoskodni arról, hogy a kivont eszközökön tárolt adatok törlése az adatkezelési nyilvántartásban rögzített megőrzési idővel összhangban történjen.

Tanúsított adattörlés és fizikai megsemmisítés: mikor melyik a megfelelő megközelítés?

A pénzügyi szektorbeli eszközök körében a két alapvető megsemmisítési módszer — szoftveres adattörlés és fizikai megsemmisítés — közötti választást több tényező együttesen határozza meg.

A tanúsított szoftveres adattörlés HDD meghajtók esetén elismert és auditálható megközelítés, amennyiben széles körben hivatkozott útmutató — például a NIST SP 800-88 Rev. 1 (Guidelines for Media Sanitization) — szerint kerül elvégzésre, és az eljárás tanúsítvánnyal zárul. Ez lehetővé teszi az eszközök fizikai újrahasznosítását vagy értékesítését, miközben a megsemmisítés szabályozói szempontból igazolható.

SSD meghajtók, flash-alapú tárolóeszközök, Hardware Security Module-ok (HSM) és kriptográfiai adatokat hordozó eszközök esetén a helyzet összetettebb. Az SSD-technológia sajátosságai — különösen a wear leveling és az over-provisioning mechanizmusok — következtében a szoftveres felülírás nem garantálja, hogy minden adatblokk elérhetővé válik az eljárás számára. A NIST SP 800-88 Rev. 1 SSD esetén két elfogadható utat nevez meg: a kriptográfiai törlést (Cryptographic Erase), amely akkor érvényes, ha a tárolás teljes időtartama alatt hardveres titkosítás volt érvényes; illetve a validált eszközspecifikus sanitize eljárást, ha az gyártói tanúsítással igazolható. Ahol sem a kriptográfiai törlés, sem az eszközspecifikus sanitize nem alkalmazható megbízhatóan, pénzügyi intézményi környezetben — ahol az adatok érzékenysége és az incidens következménye magasabb az átlagosnál — a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést.

A belső szabályzatnak az eszköztípusonkénti megközelítést rögzítenie kell: laptop (HDD vs. SSD típus szerint), szerver, mobileszköz, hálózati berendezés, HSM — mindegyik esetén meghatározva az alkalmazott módszert és az elvárt dokumentációs szintet.

A selejtezési folyamat felelősségi rendje: az 1-2-3 védelmi vonal modell

Banki kontextusban a selejtezési folyamat nemcsak IT-üzemeltetési feladat, hanem a három védelmi vonal mindegyikén megjelenő kontrollterület. Az első vonal (IT operations) felelős az eljárásrend tényleges végrehajtásáért: az eszközök azonosításáért, a megfelelő törlési vagy megsemmisítési módszer alkalmazásáért, és a megsemmisítési tanúsítványok begyűjtéséért. A második vonal (IT Risk / Compliance funkció) feladata az eljárásrend megfelelőségének ellenőrzése, a DORA- és MNB-elvárásokhoz való illeszkedés értékelése, a tanúsítványok dokumentált kezelése, és a DORA 28. cikke szerinti partnerminősítési döntések fenntartása. A harmadik vonal (belső audit) kockázatalapú audit terv szerint, rendszeresen végez mintavételes ellenőrzést: visszaellenőrzi, hogy az elvégzett megsemmisítések tanúsítványai konzisztensek-e az eszköznyilvántartással (CMDB), és hogy a külső partnernél végzett audit-jog ténylegesen érvényesíthető. A vezető testület (igazgatóság / felügyelő bizottság) szintjén az ICT kockázatkezelési keretrendszer részeként a selejtezési folyamat megfelelőségéről rendszeres jelentés szükséges.

A védelmi vonal struktúra expliciten szerepeltetése a selejtezési eljárásrendben és az ICT kockázatkezelési dokumentációban elvárható egy SREP-értékelés során.

A selejtezési dokumentáció és a szabályozói felkészültség

A megfelelőség szempontjából a tényleges megsemmisítés módszere mellett annak dokumentáltsága legalább olyan súlyú kérdés. Az MNB helyszíni vizsgálatai, illetve a DORA szerinti belső ICT kockázatkezelési ellenőrzések során felkészültséget jelent, ha az intézmény rendelkezik a következőkkel:

  • a selejtezési eljárásrendet rögzítő, hatályos és jóváhagyott belső szabályzat,
  • az elvégzett selejtezésekről kiállított tanúsítványok, amelyek tartalmazzák a megsemmisítés módszerét, az érintett eszközök azonosítóit, az elvégzés dátumát és a felelős aláírását,
  • a harmadik feles selejtezési partnerek minősítésére, szerződéses elvárásaira és teljesítményük dokumentálására vonatkozó eljárásrend,
  • a DORA szerinti ICT kockázatkezelési keretrendszerbe illeszkedő eszköz-életciklus kezelési dokumentáció,
  • a DORA 28. cikk szerinti partnerminősítési értékelés és annak indoklása (kritikalitás, helyettesíthetőség, koncentrációs kockázat).

A megsemmisítési tanúsítványok megőrzési idejét az intézmény iratmegőrzési szabályzatának, a Számviteli törvény (2000. évi C. törvény 169. §) szerinti bizonylati megőrzési kötelezettségnek (jellemzően 8 év), szerződéses kötelezettségeinek és jogérvényesítési szempontoknak megfelelően — jellemzően a jogi és compliance funkció koordinálásával — kell meghatározni. A konkrét megőrzési idő intézményi szinten a fenti szempontok alapján, az alkalmazandó jogszabályi keret figyelembevételével határozható meg.

Azok az intézmények, amelyek az IT eszközök selejtezését eddig kizárólag IT üzemeltetési feladatként kezelték, most indokolt mérlegelniük, hogy ez a terület illeszkedik-e a jelenlegi compliance és kockázatkezelési keretrendszerbe. Ha a megsemmisítési dokumentáció hiányos, a partnerminősítési döntés nincs rögzítve, vagy az eljárásrend nincs összhangban a DORA és az MNB 1/2025. ajánlás elvárásaival, a szükséges intézkedések köre meghatározható — és egy átfogó, auditálható folyamat kialakítható.

Ha szeretné felmérni, hogy intézménye selejtezési dokumentációja megfelel-e az aktuális MNB és DORA elvárásoknak, kérjen auditálható adattörlési folyamatértékelést: Ajánlatkérés

Gyakori kérdések

Mit takar pontosan a DORA ICT védelmi politikákra vonatkozó elvárása az eszközök selejtezése kapcsán?

A DORA (EU 2022/2554) 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amelybe az ICT-vagyonelemek osztályozása és kezelése is beletartozik. A rendszer logikájából levezetett megfelelőségi értelmezés szerint a védelmi intézkedéseknek ki kell terjedniük az eszközök teljes életciklusára — beleértve a kivonást és a dokumentált megsemmisítést is.

Milyen eszköztípusoknál indokolt a fizikai megsemmisítés?

SSD meghajtók, flash-alapú tárolók, Hardware Security Module-ok (HSM) és kriptográfiai kulcsokat hordozó eszközök esetén a szoftveres törlés technológiai sajátosságai miatt nem mindig garantálja az összes adatblokk elérhetőségét. Ahol az eszközspecifikus validált sanitize eljárás nem igazolható, a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést pénzügyi intézményi környezetben.

Hogyan kapcsolódik a GDPR a pénzügyi intézményi IT selejtezési folyamathoz?

A GDPR korlátozott tárolhatóság elvének (5. cikk (1) e) pont) és a törlési jognak (17. cikk) az együttes olvasata szerint a személyes adatokat az adatkezelési cél megszűnését vagy a megőrzési kötelezettség lejártát követően biztonságosan meg kell semmisíteni. Az integritás és bizalmasság elvéből (5. cikk (1) f) pont) és az adatkezelői felelősség szabályaiból (24. és 32. cikk) levezetett elvárás, hogy a selejtezési folyamat dokumentált, ellenőrizhető és arányos biztonsági intézkedésekkel kivitelezett legyen.

Mit ellenőrizhet az MNB az informatikai biztonsági helyszíni vizsgálat során az IT selejtezés kapcsán?

Az MNB 1/2025. ajánlása alapján a vizsgálat kiterjedhet a selejtezési eljárásrendek meglétére és naprakészségére, az elvégzett megsemmisítések tanúsítványaira, a harmadik feles selejtezési szolgáltatók minősítésére és a szerződéses elvárásokra, valamint az IT eszközök életciklus-kezelési dokumentációjára.

Elfogad-e a szabályozó szoftveres adattörlést fizikai megsemmisítés helyett?

Igen, HDD meghajtók esetén, amennyiben az alkalmazott eljárás elismert szabványon — például NIST SP 800-88 Rev. 1 — alapul, és a végrehajtás auditálható tanúsítvánnyal igazolt. SSD-k és flash-alapú tárolók esetén pénzügyi intézményi környezetben sok esetben a fizikai megsemmisítés a legkisebb kockázatú és legkönnyebben auditálható megoldás, különösen ott, ahol az eszközspecifikus validált sanitize eljárás nem igazolható.

Milyen dokumentumokat érdemes előkészíteni egy MNB-vizsgálatra az IT selejtezés kapcsán?

Az intézménynek rendelkezésre kell bocsátania a selejtezési eljárásrendet rögzítő belső szabályzatot, az elvégzett megsemmisítések tanúsítványait (eszközazonosítóval, módszerrel, dátummal, aláírással), a harmadik feles partnerekkel kötött szerződések releváns részeit, valamint az ICT kockázatkezelési keretrendszer eszközök életciklusára vonatkozó fejezetét.

Az ITAD és adattörlés: miért nem ugyanaz a két fogalom?

Vállalati ITAD-folyamat tervezése – IT-eszközök életciklus-lezárása

Az ITAD és adattörlés: miért nem ugyanaz a két fogalom?

Az ITAD (IT Asset Disposition) az IT-eszközök életciklus-zárásának teljes folyamatát jelöli, amelynek az adatmegsemmisítés csupán egyik eleme. Az ITAD magában foglalja az eszközleltárt, az adatmegsemmisítést, az értékvisszanyerést, a WEEE-kompatibilis ártalmatlanítást és a teljes chain-of-custody dokumentációt. Magyar vállalatok számára az ITAD-folyamat GDPR-, NIS2- és e-hulladék-megfelelőségi szempontból egyaránt releváns.
Legfontosabb megállapítások:

  • Az adattörlés az ITAD egyetlen lépése — a teljes életciklus-zárási folyamat hat elemet tartalmaz, köztük értékvisszanyerést és dokumentációs láncat is.
  • Az ITAD-folyamat hiánya GDPR-, NIS2- és WEEE-kockázatot jelent, mivel az adattörlési tanúsítvány önmagában nem elegendő a teljes felelősségi lánc igazolásához.
  • Iparági becslések szerint megfelelő ITAD-partnernél a leselejtezett IT-eszközök eredeti értékének 15–40 százaléka visszanyerhető, ami részben ellensúlyozhatja az új eszközök beszerzési költségeit.

Amikor az adattörlés csak a jéghegy csúcsa

Egy középvállalat belső IT-auditján kiderül: a leselejtezetett laptopok mindegyikéhez tartozik adattörlési tanúsítvány, az eszközöket mégis dokumentálás nélkül adták át egy harmadik félnek, értékük elveszett, az e-hulladék-kezelésről nincs hiteles bizonyíték. Az adattörlés papíron rendben volt — az ITAD-folyamat mégsem.

Ez a szituáció sokkal gyakoribb, mint amennyire látható. Az ITAD (IT Asset Disposition) és az adattörlés fogalma összemosódik a vállalati kommunikációban, a beszerzési dokumentumokban és az IT-biztonsági szabályzatokban egyaránt. Holott a kettő viszonya pontosan meghatározható: az adattörlés az ITAD egyik — bár nélkülözhetetlen — eleme. Nem fordítva.

A különbség nem csupán terminológiai: compliance-kockázatot, értékveszteséget és dokumentációs hiányosságot okoz, ha a szervezet az egyiket a másikkal helyettesíti. Felsővezetői szinten ez a különbség pénzben és jogi felelősségben mérhető.

Az ITAD folyamat: ami az adattörlésen túl van

Az ITAD az IT-eszközök életciklusának lezárási fázisát jelöli — azt a teljes folyamatot, amely attól kezdődik, amikor egy eszköz operatívan feleslegessé válik, és azzal ér véget, hogy az eszköz nyomon követhető, auditálható módon hagyja el a szervezet felelősségi körét.

Egy teljes ITAD-folyamat hat fő elemet tartalmaz:

  1. Eszközleltár és állapotfelmérés — azonosítás, sorozatszámok és adathordozók katalogizálása
  2. Adatmegsemmisítés — szoftveres törlés (NIST SP 800-88 Rev1 szerint) vagy fizikai megsemmisítés, tanúsítvánnyal
  3. Értékbecslés és újrahasznosítás — működőképes eszközök esetén visszaváltás vagy viszonteladás
  4. Felvásárlás vagy selejtezés — piaci értékkel bíró eszközöknél részleges költségmegtérítés
  5. Környezetbarát ártalmatlanítás — az EU WEEE-irányelvnek megfelelő e-hulladék kezelés és dokumentálás
  6. Chain-of-custody dokumentáció — minden lépésről auditálható bizonyíték, az eszköz kivonásától a végső selejtezésig

Az adattörlés a második lépés. Szükséges, de önmagában nem zárja le a folyamatot — és nem helyettesíti a többi elem teljesítésének igazolhatóságát.

Miért veszélyes a két fogalom összemosása?

Ha a szervezet az adattörlést azonosítja az ITAD-dal, három területen keletkezik rés.

Compliance gap. A GDPR értelmében az adatkezelő mindaddig felelős a személyes adatokért, amíg azok visszaállítható formában léteznek — és amíg ezt hiteles dokumentummal nem igazolja. Az adattörlési tanúsítvány szükséges, de nem elégséges bizonyíték egy hatósági vizsgálat során: a teljes felelősségi lánc igazolása szükséges. Ha az eszközök átadása harmadik fél felé dokumentálatlan volt — még ha az adattörlés el is készült —, a szervezet jogi felelőssége nem szűnik meg automatikusan.

Dokumentációs hiányosságok. Az ITAD lényege nem az egyes lépések elvégzése, hanem azok igazolhatósága. Egy incidensvizsgálatnál vagy auditban a kérdés nem az, hogy mi történt, hanem az, hogy ezt mi bizonyítja és hogyan. A chain-of-custody dokumentáció az a bizonyítéklánc, amelyre a szervezetnek támaszkodnia kell — és amelyet sok belső folyamat ma következetlenül vagy egyáltalán nem állít elő. Az önálló adattörlési megközelítés általában csak a törlés tényét igazolja; az eszköz ezt követő útjáról — szállítás, tárolás, értékesítés, újrahasznosítás — nincs szervezett nyilvántartás.

Értékveszteség. Az ITAD nem kizárólag kiadás. Iparági becslések szerint a leselejtezett IT-eszközök eredeti értékének 15–40 százaléka visszanyerhető megbízható ITAD-partnernél. Ha a folyamat „adattörlés = selejtezés” logikán alapul, ez az érték elvész — és a szervezet egy olyan feladatért fizet, amely egy jól szervezett folyamatban megtérülési dimenziót is tartalmazna.

Megfelelőségi elvárások: GDPR, NIS2, WEEE

Az IT-eszközök életciklus-lezárását ma három főbb szabályozási keret érinti.

GDPR. Az adatkezelő köteles bizonyítani, hogy a személyes adatokat megfelelő módon megsemmisítette — dokumentált formában. A maximális szankció 20 millió euró, illetve a globális éves forgalom 4 százaléka. A hatóság nem csupán az adattörlés tényét, hanem az egész folyamat dokumentáltságát vizsgálhatja: ki végezte az adattörlést, milyen módszerrel, mi lett az eszköz további sorsa.

NIS2. Az EU kiberbiztonsági irányelve 2025-től hatásos felügyeleti és megfelelőségi kötelezettségi keretet teremt az érintett szervezetek számára, amelyen belül az illetékes hatóság ellenőrzést és auditot alkalmazhat. Az IT-eszközök biztonságos kezelése — beleértve a selejtezési folyamatot — az informatikai kockázatkezelési keretrendszer részét képezi, amelynek dokumentálhatósága egy hatósági ellenőrzés tárgyát képezheti.

WEEE-irányelv. Az Európai Unió elektromos és elektronikus hulladékokra vonatkozó irányelve kötelezi a szervezeteket az e-hulladék jogszerű kezelésére. Ha az eszközátadás nem WEEE-kompatibilis folyamaton keresztül történik, a szervezet felelőssége e tekintetben sem szűnik meg — az átvevő fél e-hulladék-kezelési jogosultsága és a folyamat dokumentáltsága szükséges feltétel.

A három szabályozás együtt egyértelműen jelzi: az ITAD nem pusztán informatikai belügy, hanem vállalati kockázatkezelési és jogi megfelelőségi kérdés — amelynek tulajdonosa felsővezetői szinten kell, hogy legyen.

Biztonságos IT-eszköz selejtezés és adatmegsemmisítés — ITAD folyamat dokumentálással
Az ITAD-folyamat dokumentációs lánca minden lépésnél auditálható bizonyítékot teremt.

Az elveszett érték, amit a legtöbb vállalat nem számol el

Az ITAD-szemlélet hiánya nem csupán kockázatot teremt — bevételt is elveszít.

Iparági becslések szerint megbízható ITAD-partnernél a leselejtezett laptopok, szerverek és hálózati eszközök eredeti értékének 15–40 százaléka visszanyerhető. Ez a szám kontextusban értendő: egy középvállalatnál, amely háromévente cseréli az eszközparkját, a visszaváltási bevételek részben fedezhetik az új eszközök beszerzési költségeit — feltéve, hogy a folyamat nem törléscentrikusan, hanem ITAD-szemlélettel van felépítve.

Iparági piackutatások (Grand View Research, MarketsandMarkets) szerint a globális ITAD-piac 2025-ben meghaladja a 25 milliárd dollárt, és 2030-ra várhatóan megduplázódik, évi 14 százalékos növekedési ütemmel. Ez a piaci szám önmagában jelzi, hogy a szervezetek egyre nagyobb hányada ismeri fel: az életciklus-zárás nem csupán kockázatkezelési kérdés, hanem értékvisszanyerési lehetőség is.

Az ESG-szempontok és a fenntarthatósági elvárások növekvő súlya tovább erősíti ezt az összefüggést: a dokumentált és környezetbarát eszközkezelés ma már nem csupán belső hatékonyság, hanem vállalati reputációs és megfelelőségi szempont is.

Mit kérdezzen egy vezető a saját selejtezési folyamatától?

Ha nem egyértelmű, hogy a szervezet ITAD-szintű folyamatot követ-e, hat kérdéssel érdemes elkezdeni az átvizsgálást:

  1. Van-e dokumentált felelősségi lánc az eszköz kivonásától a végleges selejtezésig?
  2. Az adattörlési tanúsítvány tartalmazza a módszert, a szoftvert és az elvégző fél azonosítóját?
  3. Rendelkezik-e a szervezet tételes nyilvántartással arról, hogy melyik eszköznek mi lett a sorsa?
  4. A selejtezési folyamat megfelel az EU WEEE-irányelvének, és ez dokumentáltan igazolható?
  5. Készült-e értékbecslés a visszaváltási lehetőségekről az eszközcsere előtt?
  6. Az ITAD-partnernél van ADISA-, ISO 27001- vagy azzal egyenértékű tanúsítvány az adatmegsemmisítési folyamatra?

Ha e kérdések bármelyikére „nem” vagy „nem tudom” a válasz — ott fehér folt van, és az fehér folt compliance-kockázatot jelent.

A Data Destroy tapasztalata szerint a legtöbb szervezetnél az adattörlés elvégzett, tanúsított lépés. Az ITAD-folyamat többi eleme — a chain-of-custody, az értékmegőrzési dimenzió, a WEEE-kompatibilis ártalmatlanítás igazolása — rendszerint hiányos marad. Az adattörlés és az ITAD nem egymás szinonimái: az egyik az egész, a másik egy szükséges, de önmagában nem elégséges részlépés.

Gyakori kérdések

Mi az ITAD, és miben különbözik az adattörléstől?

Az ITAD (IT Asset Disposition) az IT-eszközök életciklusának teljes lezárási folyamata: eszközleltár, adatmegsemmisítés, értékbecslés, felvásárlás, környezetbarát ártalmatlanítás és dokumentáció. Az adattörlés ezek egyike — szükséges, de önmagában nem elegendő lépés.

Miért nem elegendő az adattörlési tanúsítvány a GDPR-megfelelőséghez?

A GDPR az adatkezelőtől a teljes felelősségi lánc igazolhatóságát követeli meg. Az adattörlési tanúsítvány igazolja, hogy az adat törlése megtörtént, de nem igazolja az eszköz ezt követő útját — szállítás, átadás, újrahasznosítás. Hatósági vizsgálat esetén a hiányzó chain-of-custody dokumentáció önálló kockázatot jelent.

Mekkora értéket lehet visszanyerni leselejtezett IT-eszközökből?

Iparági becslések szerint a leselejtezett laptopok, szerverek és hálózati eszközök eredeti értékének 15–40 százaléka visszanyerhető megbízható ITAD-partnernél, állapotfelmérés és megfelelő értékesítési csatornák alkalmazásával.

Mit jelent a chain-of-custody dokumentáció az IT-selejtezésnél?

A chain-of-custody az eszköz teljes útját dokumentálja: a kivonástól a szállításon, adatmegsemmisítésen és értékesítésen át az e-hulladékként való ártalmatlanításig. Minden lépést azonosítható fél végez, és minden átadás auditálható bizonyítékkal igazolt.

Milyen tanúsítványt érdemes keresni egy ITAD-partnernél?

Az ADISA (Asset Disposal and Information Security Alliance) tanúsítvány kifejezetten az IT-eszközök biztonságos kezelésére vonatkozik, és a Blancco és más vezető adatmegsemmisítési szoftverek esetén rendszeresen auditált. Az ISO 27001 az információbiztonsági irányítási rendszer általánosabb igazolása — ideálisan mindkettő megvan egy komplex ITAD-partnernél.

Mikor kerülhet elő az ITAD-folyamat egy NIS2-megfelelőségi ellenőrzésen?

A NIS2-irányelv 2025-től hatásos felügyeleti keretet teremt, amelyen belül az illetékes hatóság ellenőrzést alkalmazhat az érintett szervezeteknél. Az IT-kockázatkezelési dokumentáció — beleértve az eszközök selejtezési folyamatának igazolhatóságát — egy ilyen ellenőrzés tárgya lehet.

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

GDPR megfelelőség cégvezetőknek – adatvédelmi kötelezettségek üzleti szemmel

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:

  • A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
  • Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
  • A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.

Mi az a GDPR és miért érint minden céget?

A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.

A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:

  • munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
  • EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
  • bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.

A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.

Az adatvédelem hét alapelve — cégvezetői olvasatban

A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:

  1. Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
  2. Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
  3. Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
  4. Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
  5. Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
  6. Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
  7. Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.

Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.

Ki az adatkezelő és ki az adatfeldolgozó?

A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.

Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.

Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.

Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.

Mire adhat jogalapot az adatkezelés?

A GDPR hat jogalapot ismer:

  • Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
  • Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
  • Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
  • Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
  • Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
  • Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.

A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.

Az érintett személyek jogai — amit a cégnek biztosítania kell

A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:

  • Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
  • Hozzáférési jog — az érintett kérheti az adatai másolatát.
  • Helyesbítési jog — kérheti a pontatlan adatok javítását.
  • Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
  • Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
  • Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.

Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.

Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít

Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.

Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.

Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.

Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”

A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.

A bizonyítás eszközei lehetnek:

  • adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
  • adatvédelmi szabályzatok és eljárásrendek;
  • munkavállalók képzési dokumentációja;
  • adatfeldolgozói szerződések;
  • adatvédelmi hatásvizsgálatok (DPIA) kockázatos adatkezeléseknél;
  • adattörlési és megsemmisítési igazolások.

Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.

Szankciók: mennyibe kerülhet a meg nem felelés?

A GDPR kétfokozatú bírságrendszert vezet be:

  • Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
  • Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.

A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.

Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.

Hogyan érdemes hozzáfogni?

A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:

  1. Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
  2. Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
  3. GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
  4. Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
  5. Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
  6. IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?

Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.

Gyakori kérdések

Ki köteles betartani a GDPR-t?

Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.

Mi számít „személyes adatnak” a GDPR szerint?

Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.

Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?

Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.

Mennyi ideig lehet személyes adatokat tárolni?

Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.

Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?

Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.

Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?

Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.

Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?

vállalati döntéshozó leselejtezett laptopok és SSD-k adattörlési vagy fizikai megsemmisítési folyamatát értékeli

Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?

A leselejtezett vagy újrahasználatra átadott vállalati eszközök esetében a döntés nem az, hogy „töröljünk vagy sem”, hanem az, hogy milyen adattisztítási módszer arányos az üzleti, adatvédelmi és auditkockázattal. A GDPR biztonsági és elszámoltathatósági logikája, valamint a NIST jelenlegi adathordozó-szanitizálási iránymutatása alapján sok működőképes eszköznél elegendő lehet a tanúsított adattörlés, míg sérült, nem ellenőrizhető vagy különösen érzékeny adathordozóknál a fizikai megsemmisítés indokolt. Ez a kérdés a datad.hu témakörében elsősorban vezetői döntési, nem pusztán informatikai végrehajtási probléma.
Legfontosabb megállapítások:

  • A tanúsított adattörlés akkor üzletileg és szakmailag erős megoldás, ha a teljes törlés igazolható, ellenőrizhető és dokumentált.
  • Fizikai megsemmisítés akkor indokolt, ha az adathordozó állapota, az információ érzékenysége vagy a szerződéses megfelelési környezet miatt a szoftveres bizonyítás már nem elég.
  • A jó döntés alapja nem az eszköz piaci értéke, hanem a kockázati szint, a bizonyíthatóság és az elszámoltatható folyamat.

A vállalati gyakorlatban a „biztonságos törlés” körül még mindig két hibás reflex működik. Az egyik szerint ami egyszer adatot tárolt, azt csak fizikailag megsemmisíteni szabad. A másik szerint egy újratelepítés, gyári visszaállítás vagy sima fájltörlés már megoldja a kockázatot.

A valóság ennél árnyaltabb. A döntés arról, hogy fizikai megsemmisítésre vagy tanúsított szoftveres adattörlésre van szükség, vezetői kockázati döntés. A GDPR hivatalos szövege kockázattal arányos technikai és szervezési intézkedéseket vár el, nem egyetlen kötelező módszert. Ugyanebbe az irányba mutat a NIST SP 800-88 Rev. 2 útmutatója, amely a médiatisztításnál az érzékenységet, a validálást és a szervezeti folyamatot helyezi középpontba.

Ez azért fontos, mert a rossz döntés kétféleképpen drága. Ha indokolatlanul megsemmisítünk mindent, fölöslegesen veszítjük el az eszközök maradványértékét. Ha viszont ott is újrahasználatban gondolkodunk, ahol a törlés nem bizonyítható, akkor adatvédelmi, reputációs és szerződéses kockázatot vállalunk.

Először ne az eszközt nézzük, hanem a kockázatot

A jó kérdés nem az, hogy „SSD vagy HDD”, hanem az, hogy mekkora kárt okozna, ha az adott adathordozóról mégis visszanyerhető lenne információ.

Másként kell kezelni egy működő irodai laptopot, amely tanúsított törlés után újraértékesíthető, és máshogyan egy hibás meghajtót, amely ügyfél-, HR-, pénzügyi vagy egyéb érzékeny adatot hordozhatott. A ICO útmutatója külön figyelmeztet rá, hogy attól még, hogy egy eszköz nem indul el, az adat nem feltétlenül vált hozzáférhetetlenné.

A döntéshez három dolgot kell együtt nézni:

  1. az információ érzékenységét,
  2. az adathordozó műszaki állapotát,
  3. a törlés igazolhatóságát.

Mikor elég a tanúsított szoftveres adattörlés?

A tanúsított szoftveres adattörlés sok vállalati helyzetben teljesen megfelelő, de csak akkor, ha valóban tanúsított és ellenőrizhető folyamatról beszélünk. Nem ugyanaz, mint a formázás vagy a gyári reset.

Ha az adathordozó működőképes és teljesen verifikálható

A szoftveres törlés alapfeltétele, hogy az eszköz elérhető legyen, a folyamat végigfuthasson, és az eredmény ellenőrizhető legyen. Ha a teljes törlésről gépszintű riport készül, és az eszköz egyedileg azonosítható, akkor sok üzleti környezetben nincs szakmai indok a fizikai megsemmisítésre.

Ha az eszköz újrahasználata üzletileg érték

Itt a tanúsított adattörlés különösen erős. Megőrzi az eszköz újrahasználhatóságát, miközben lezárhatja az adatbiztonsági kockázatot is. Ez nem puhább megoldás, hanem sok esetben a legjobb egyensúly a biztonság, a dokumentálhatóság és az eszközgazdálkodás között.

Ha a bizonyítás fontosabb, mint a látvány

Sok szervezet automatikusan „biztonságosabbnak” érzi a fizikai megsemmisítést. Pedig egy dokumentálatlan megsemmisítés könnyen gyengébb kontroll lehet, mint egy tanúsított, naplózott, eszközszintű adattörlés. A GDPR logikája szerint nem az a legerősebb válasz, hogy „megsemmisítettük”, hanem az, hogy mi történt, melyik eszközzel, mikor, milyen módszerrel és erről mi a bizonyíték.

Ha a szabályzat vagy a szerződés ezt megengedi

Nem minden szervezetnek ugyanaz az elvárt kontrollszintje. Sok környezetben a működőképes adattárolók tanúsított szoftveres törlése teljesen megfelelő. Ha a belső politika és az ügyfélszerződések ezt nem zárják ki, nincs ok reflexből a legdrasztikusabb megoldást választani.

Mikor kell inkább fizikai megsemmisítés?

A fizikai megsemmisítés ott indokolt, ahol a szoftveres út már nem ad elég bizonyosságot.

Ha az adathordozó hibás, sérült vagy részben olvashatatlan

Ez a legtipikusabb eset. Ha a meghajtó instabil, vezérlőhibás, rossz szektoros vagy a teljes címezhetőség nem igazolható, akkor a szoftveres adattörlés megbízhatósága elesik. Ilyenkor nem az a kérdés, hogy „talán lefutott-e valami”, hanem az, hogy a szervezet vállalja-e a maradék bizonytalanságot. Általában nem érdemes.

Ha az adatok érzékenysége rendkívül magas

Kiemelt pénzügyi, egészségügyi, védelmi, kutatás-fejlesztési vagy stratégiai ügyféladatoknál a szervezet dönthet úgy, hogy a kockázattűrése gyakorlatilag nulla. Ilyenkor még működőképes adathordozónál is indokolt lehet a fizikai megsemmisítés, főleg ha ezt belső politika vagy szerződés is alátámasztja.

Ha a törlés nem vagy csak nehezen validálható

A NIST 2025-ös frissített iránymutatása már hangsúlyosan a validálásra és a szervezeti szintű médiatisztítási programra épít. Vezetői nyelvre lefordítva ez azt jelenti: ha a módszer nem védhető auditban, akkor valójában nem elég erős.

Ha nincs egyértelmű riport, nincs hiteles eszközazonosítás, nincs átadási lánc vagy nincs megfelelő szolgáltatói bizonyíték, a fizikai megsemmisítés gyakran tisztább döntés.

Ha a megfelelési környezet előírja

Bizonyos ügyfelek vagy szabályozott projektek nem mérlegelést, hanem konkrét megsemmisítési eljárást várnak el. Ilyenkor a tanúsított adattörlés hiába lenne technikailag megfelelő, üzletileg nem lesz elfogadható.

tanúsított adattörlésre alkalmas működő meghajtó és fizikai megsemmisítésre váró sérült SSD összehasonlítása
Működő meghajtó tanúsított törlésre előkészítve és sérült SSD fizikai megsemmisítés előtt

A leggyakoribb vezetői tévedések

„A fizikai megsemmisítés mindig biztonságosabb”

Nem feltétlenül. Egy rosszul dokumentált megsemmisítés könnyen gyengébb kontroll, mint egy megfelelően tanúsított adattörlés. A fizikai megsemmisítés akkor erős, ha maga a folyamat is kontrollált és igazolható.

„A szoftveres törlés csak kompromisszum”

Ez sem igaz. Megfelelő eszközön, megfelelő módszerrel, tanúsítással és riportálással a szoftveres adattörlés sok esetben elsőrangú megoldás.

„A nem működő meghajtó már nem veszélyes”

Ez veszélyes feltételezés. Attól, hogy egy laptop vagy SSD nem használható normál üzemben, az adathordozó egy része még lehet hozzáférhető.

Egy egyszerű vezetői döntési keret

Öt kérdés általában elég ahhoz, hogy a szervezet ne rutinból, hanem védhetően döntsön:

1. Működik és teljesen ellenőrizhető az adathordozó?

Ha igen, a tanúsított adattörlés valós opció. Ha nem, a fizikai megsemmisítés felé billen a mérleg.

2. Milyen érzékeny adat lehetett rajta?

Minél súlyosabb a lehetséges üzleti vagy adatvédelmi kár, annál kisebb helye van a bizonytalanságnak.

3. Szükség van az eszköz újrahasználatára vagy értékesítésére?

Ha igen, a tanúsított törlés sokszor a legésszerűbb út. Ha nem, és a kockázat magas, a megsemmisítés lehet tisztább döntés.

4. Bizonyítható a folyamat?

Riport, eszközazonosítás és auditnyom nélkül egyik módszer sem elég erős.

5. Van-e olyan szerződéses vagy belső előírás, amely kizárja a mérlegelést?

Ha van, azt kell követni. Ha nincs, akkor valódi vezetői döntésről beszélünk.

Nem egyetlen módszer kell, hanem védhető folyamat

Az érett gyakorlat nem arra épül, hogy a szervezet „mindig megsemmisít” vagy „mindig töröl”. Hanem arra, hogy külön kezeli a működőképes, újrahasználható és a sérült, nem verifikálható adathordozókat; tudja, mikor elég a tanúsított adattörlés; és tudja, mikor kell fizikai megsemmisítésre váltani.

Itt válik a szolgáltatóválasztás is stratégiai kérdéssé. Nem az a legjobb partner, aki mindenre ugyanazt mondja, hanem az, aki kockázati alapon, auditálhatóan tud különbséget tenni. A Data Destroy típusú megközelítés ebből a szempontból azért erős, mert nem pusztán „törlést” vagy „megsemmisítést” ad, hanem az eszköz állapotához, a kitettséghez és az igazolhatósági igényhez illesztett lezárást.

A jó vezetői álláspont tehát nem az, hogy a fizikai megsemmisítés vagy a szoftveres adattörlés közül melyik a „jobb”. Hanem az, hogy melyik módszer zárja le bizonyíthatóan a konkrét kockázatot a konkrét eszköznél.

Nem biztos benne, melyik módszer a megfelelő?

Segítünk eldönteni: kockázati alapon, az eszközök állapota és az adatok érzékenysége szerint javasoljuk a tanúsított adattörlést vagy a fizikai megsemmisítést. Kérjen egyedi értékelést.

Gyakori kérdések

Elég a gyári visszaállítás a leselejtezett laptopoknál?

Nem. A gyári visszaállítás vagy újratelepítés önmagában nem azonos a tanúsított adattörléssel, mert nem ad megfelelő bizonyítékot a teljes adattisztításról.

Mikor indokolt SSD-nél a fizikai megsemmisítés?

Akkor, ha az SSD hibás, nem verifikálható teljes körűen, vagy az adatérzékenység és a megfelelési környezet nem engedi meg a maradék bizonytalanságot.

A tanúsított adattörlés megfelelhet GDPR-szempontból?

Igen, sok esetben igen, ha a választott módszer a kockázattal arányos, ellenőrizhető, dokumentált és a szervezet bizonyítani tudja a végrehajtást.

Miért nem jó ötlet mindent automatikusan fizikailag megsemmisíteni?

Mert így a szervezet fölöslegesen elveszítheti a működőképes eszközök maradványértékét, miközben sok esetben a tanúsított adattörlés is megfelelő védelmet és jobb auditálhatóságot adhat.

Mi a legfontosabb különbség a két módszer között?

A tanúsított adattörlés megőrzi az eszköz újrahasználhatóságát, míg a fizikai megsemmisítés végleg kizárja azt. A döntést ezért mindig a kockázat, a bizonyíthatóság és a szabályozási környezet alapján érdemes meghozni.

Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie

IT eszköz selejtezés előtti vezetői checklist áttekintése modern vállalati környezetben

Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie

Az IT-eszközök selejtezése a magyar kis-, közép- és nagyvállalatoknál egyszerre adatvédelmi, információbiztonsági és irányítási kérdés. A GDPR elszámoltathatósági, korlátozott tárolhatósági és biztonsági elvei alapján nem elég törölni az adatokat: a szervezetnek azt is igazolnia kell, hogy a kivezetés folyamata kontrollált, dokumentált és a kockázattal arányos volt. A téma a datad.hu szakmai fókuszához azért kapcsolódik szorosan, mert a gyakorlatban a tanúsított adattörlés és a bizonyítható átadási lánc csökkenti leginkább a selejtezésből eredő vezetői kitettséget.

Legfontosabb megállapítások:

  • Az eszközselejtezés nem raktári feladat, hanem adat- és kockázatkezelési döntés.
  • A tényleges törlés önmagában kevés, ha a szervezet nem tudja hitelesen igazolni, hogy mikor, min és milyen eljárással történt meg.
  • A jó selejtezési folyamat végpontja nem egy kipipált adminisztratív lépés, hanem a dokumentált, auditálható és felelősségileg lezárt adattörlés.

Az IT-ben a selejtezés sok szervezetnél még mindig az életciklus legkevésbé stratégiai része. Új eszköz beszerzésére van folyamat, üzembe állításra van folyamat, jogosultságkezelésre is többnyire van folyamat. Amikor viszont egy notebook, szerver, SSD vagy mobiltelefon eléri a kivezetés pontját, a szervezet hajlamos ezt egyszerű logisztikai feladatként kezelni.

Ez hiba.

A leselejtezett eszköz ugyanis nem attól válik alacsony kockázatúvá, hogy már nem használják. Sokszor éppen ekkor a legnagyobb a kitettség: gazdátlanná válik a felelősség, fellazul az átadási lánc, és a döntéshozó utólag már csak azt látja, hogy egy hordozó eltűnt, egy adattartalom visszaállítható volt, vagy egy audit során nincs meg a bizonyíték arra, hogy a törlés valóban megtörtént.

A GDPR 5. cikke a korlátozott tárolhatóságot és az integritás-bizalmasság elvét is rögzíti, míg a 32. cikk megfelelő technikai és szervezési intézkedéseket vár el a kockázattal arányos védelemhez. A gyakorlatban ez azt jelenti: a selejtezés nem lehet vakfolt.

Az alábbi hét kérdés jó vezetői minimum. Nem technikai mélyfúrás, hanem olyan checklist, amely segít eldönteni, hogy a szervezet valóban lezár egy kockázatot, vagy csak arrébb tolja.

1. Pontosan tudjuk, milyen eszközöket vezetünk ki, és ki a felelős értük?

A selejtezési hibák jelentős része nem a törlési módszernél kezdődik, hanem sokkal korábban: az eszköznyilvántartás és a felelősségi lánc hiányánál. Ha nincs egyértelműen megmondva, hogy melyik eszköz melyik üzleti területhez, felhasználóhoz, telephelyhez vagy rendszerhez tartozik, akkor a kivezetés sem lesz kontrollált.

Az ICO eszközkezelési útmutatója külön is kiemeli az eszközök azonosítását, osztályozását, tulajdonosi kijelölését és a biztonságos megsemmisítés bizonyítékainak megőrzését. Ez nem brit sajátosság, hanem józan irányítási minimum.

Vezetői szempontból az első kérdés ezért nem az, hogy „hogyan törlünk”, hanem az, hogy van-e pontos listánk arról, mit vezetünk ki, és ki írja alá, hogy az adott eszköz valóban lezárható.

Mire figyeljen az IT-vezető?

  • szerepel-e az eszköz az aktuális nyilvántartásban;
  • ismert-e a tulajdonos, felhasználó vagy rendszergazda oldali felelős;
  • megvan-e az üzleti jóváhagyás a kivezetésre;
  • azonosítható-e az eszköz típusa, sorozatszáma, adattárolója és állapota.

Ha már ezen a ponton hiányos a kép, a selejtezés később sem lesz bizonyítható.

2. Tudjuk, milyen adat lehet még az adott eszközön?

Nem minden eszköz jelent azonos kockázatot. Egy vékonykliens, egy irodai monitor és egy vezetői notebook selejtezése nem ugyanaz a kategória. Ugyanígy más megítélés alá esik egy olyan mobiltelefon, amely többfaktoros hitelesítésre is használt alkalmazásokat futtatott, mint egy olyan laptop, amelyben helyi gyorsítótárak, e-mail-adatok, böngésző-tokenek vagy offline exportok maradhattak.

Az eszközkivezetés előtt tehát nem pusztán eszközt kell látni, hanem adathordozót és lehetséges adattartalmat. Ez különösen fontos a magyar KKV-knál, ahol az informatikai környezet sokszor hibrid: részben felhős, részben helyi, részben felhasználói szokásokra épülő működéssel. Ilyenkor könnyű azt feltételezni, hogy „úgyis minden a felhőben van”, miközben az eszközön továbbra is maradhatnak helyi másolatok, exportok vagy szinkronizált állományok.

A NIST SP 800-88 Rev. 2 abból indul ki, hogy az adathordozó törlési vagy megsemmisítési döntését a bizalmassági szinthez és a kockázathoz kell igazítani. Ez vezetői nyelvre lefordítva annyit jelent: nem minden eszközt ugyanazzal a rutinlépéssel szabad kezelni.

Mire figyeljen az IT-vezető?

  • milyen típusú adatok lehetnek az eszközön;
  • volt-e rajta személyes adat, ügyféladat, pénzügyi adat vagy belső bizalmas tartalom;
  • maradhattak-e lokális mentések, ideiglenes fájlok, gyorsítótárak, kulcsok vagy naplók;
  • az eszköz belső tárhelye mellett van-e másodlagos adathordozó is.

A rossz selejtezési döntések gyakran abból születnek, hogy a szervezet csak az eszköz értékét nézi, nem az adat értékét.

3. Biztosan a megfelelő törlési vagy megsemmisítési módszert választjuk?

A selejtezés egyik legveszélyesebb tévhite, hogy az adattörlés egységes művelet. Nem az.

Más kockázati profil tartozik a szoftveres törléshez, más a kriptográfiai törléshez, más a fizikai megsemmisítéshez. Az is számít, hogy HDD-ről, SSD-ről, mobil eszközről, szervermeghajtóról vagy hibás adathordozóról van szó. A NIST iránymutatása kifejezetten azért fontos, mert nem egyetlen „varázsmódszert” ajánl, hanem a hordozó típusa és a kockázat alapján választ módszert.

Vezetői szempontból itt nem az a kérdés, hogy az IT-csapat ismer-e törlőszoftvert. Az a kérdés, hogy a kiválasztott eljárás arányos-e azzal a kockázattal, amelyet az adott adathordozó jelent.

Tipikus vezetői hibák

  • az SSD-ket ugyanazzal a logikával kezelik, mint a hagyományos merevlemezeket;
  • a hibás vagy nem bootoló eszközökre nincs külön forgatókönyv;
  • a visszaértékesíthető és a fizikailag megsemmisítendő eszközök nincsenek szétválasztva;
  • a döntés kizárólag költségalapon születik, nem kockázatalapon.

A selejtezés itt válik valódi vezetői kérdéssé: a túl gyenge eljárás kitettséget termel, a túlzó eljárás pedig felesleges költséget.

dokumentált IT eszköz selejtezési és adattörlési folyamat vállalati környezetben
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol az operatív működés véget ér.

4. Bizonyítani is tudjuk majd, hogy a törlés megtörtént?

Ez az a pont, ahol a legtöbb szervezetnél elválik egymástól a „remélhetően megtörtént” és a „bizonyíthatóan megtörtént” kategória.

A GDPR nem csupán megfelelést, hanem elszámoltathatóságot is elvár. A rendelet szerint az adatkezelőnek képesnek kell lennie igazolni a megfelelést. Ez selejtezésnél azt jelenti, hogy nem elég egy belső állítás vagy szóbeli megerősítés. Kell valamilyen nyom, napló, azonosító, jegyzőkönyv, jóváhagyás vagy tanúsítvány, amelyből visszakereshető, hogy melyik eszközzel mi történt.

Az ICO selejtezési és törlési útmutatója egyértelműen arra mutat rá, hogy az elektronikus és fizikai nyilvántartásokat úgy kell megsemmisíteni, hogy az adatok ne legyenek helyreállíthatók, és a szervezetnek checklist-, illetve retentionlogikával kell tudnia követni a lezárást.

Mit érdemes minimumként keresni?

  • eszközazonosítóhoz kötött törlési nyom;
  • időbélyegzett végrehajtás;
  • kezelő vagy szolgáltató azonosíthatósága;
  • vezetői vagy folyamatgazdai jóváhagyás;
  • visszakereshető dokumentum a lezárásról.

Ahol ez nincs meg, ott az adattörlés jogi és auditértelemben gyakran nem lezárt, csak feltételezett.

5. Kontroll alatt van az átadási lánc a kivonástól a végső lezárásig?

Sok adatvédelmi és biztonsági incidens nem a törlés technikai pillanatában történik, hanem az előtte lévő átmeneti zónában. Az eszköz kikerül a felhasználótól, bekerül egy dobozba, átmegy egy raktárba, vár a bevizsgálásra, majd hetekkel később kerül sor a tényleges adattörlésre vagy megsemmisítésre.

Ez az időszak sok cégnél adminisztratív szürkezóna. Pedig itt dől el, hogy az eszköz valóban kontrollált státuszban van-e. Az ICO útmutatása erre is kitér: a megsemmisítésre váró hardvereket korlátozott hozzáférésű, zárt területen kell tárolni, a folyamatot dokumentálni kell, és harmadik fél esetén due diligence vagy audit is indokolt lehet.

A vezetői checklist itt így hangzik

  • ki veszi át az eszközt a felhasználótól;
  • hol tárolják a törlésig vagy megsemmisítésig;
  • ki férhet hozzá közben;
  • van-e tételes átadás-átvételi nyom;
  • harmadik fél bevonásánál tisztázott-e a felelősség és az ellenőrizhetőség.

A gyenge átadási lánc azért veszélyes, mert ilyenkor hiába jó a végső törlési eljárás, a szervezet közben elveszítheti az eszköz feletti bizonyítható kontrollt.

6. Külön kezeljük a kivételeket és a problémás eseteket?

A selejtezési folyamatok sokszor a „normál” eszközökre vannak optimalizálva. A valós kockázat viszont általában a kivételekben rejtőzik.

Ilyen kivétel például:

  • a sérült vagy nem olvasható meghajtó;
  • a titkosított, de nem dokumentált állapotú eszköz;
  • a hiányos azonosítóval visszaérkező notebook;
  • a nem szabványos adattárolót tartalmazó ipari vagy speciális berendezés;
  • a vezetői vagy érzékeny üzleti környezetből származó eszköz.

A jó folyamat itt nem gyorsítani akar, hanem megállni egy pillanatra. A vezetői kérdés az, hogy van-e külön döntési út a kivételekre, vagy minden ugyanabba a dobozba kerül.

Ha nincs kivételkezelés, akkor a szervezet valójában nem kockázatot menedzsel, hanem átlagot. Az átlag viszont nem védi meg attól az egyetlen esettől, amelyből incidens, vizsgálat vagy reputációs probléma lesz.

7. A selejtezés végén valóban lezárjuk a kockázatot, vagy csak túl vagyunk rajta?

Ez a legfontosabb vezetői kérdés, mert ez különbözteti meg az adminisztratív kipipálást a valódi kontrolltól.

Egy jó selejtezési folyamat végén a szervezet nemcsak azt tudja, hogy az eszköz már nincs használatban, hanem azt is, hogy:

  • az adattartalom kockázata lezárult;
  • a módszer arányos volt a kockázattal;
  • az átadási lánc dokumentált volt;
  • a végrehajtás visszakereshető;
  • az ellenőrzéshez szükséges bizonyíték rendelkezésre áll.

Itt válik érthetővé, miért jut el sok érett szervezet a tanúsított adattörlésig. Nem azért, mert ez „szebben hangzik”, hanem azért, mert a vezetői elvárás ma már nem pusztán a törlés ténye, hanem annak igazolhatósága. A GDPR 32. cikke szerint a biztonsági intézkedéseknek a kockázathoz kell igazodniuk, és a jóváhagyott tanúsítási mechanizmusok a megfelelés egyik bizonyítási elemeként is szolgálhatnak. Ezt a logikát erősíti az auditálható eszközkezelés és adattörlés gyakorlata is.

Mire jó ez a 7 kérdés a gyakorlatban?

Ez a checklist nem arra való, hogy az IT-vezető technikai műveleteket végezzen. Arra való, hogy gyorsan megítélje, mennyire érett a szervezet selejtezési folyamata.

Ha a hét kérdésből többnél bizonytalan a válasz, az jellemzően három problémát jelez:

  1. nincs teljes kontroll az eszközéletciklus végpontján;
  2. az adattörlés nincs összekötve az igazolhatósággal;
  3. a selejtezés operatív rutinként fut, miközben valójában compliance- és reputációs kockázatot hordoz.

A magyar kis- és középvállalatoknál ez gyakran kapacitásprobléma, a nagyvállalatoknál pedig koordinációs probléma. Az ok különbözhet, a kitettség logikája viszont ugyanaz: amikor az eszköz kikerül a napi használatból, attól az adat még nem kerül ki automatikusan a szervezeti kockázati térből.

Rövid vezetői összegzés

Selejtezés előtt nem azt kell elsőként megkérdezni, hogy „hova tesszük a régi gépeket”, hanem azt, hogy a szervezet hogyan bizonyítja a kockázat lezárását. Aki ezt a kérdést időben felteszi, az nemcsak adatvesztést vagy auditvitát előz meg, hanem irányítási fegyelmet is épít.

A tanúsított adattörlés felé vezető út valójában nem technológiai divat, hanem vezetői következetesség: annak belátása, hogy a selejtezés akkor zárul le, amikor a törlés nemcsak megtörtént, hanem hitelesen igazolható is.

Gyakori kérdések

Miért nem elég egyszerűen gyári visszaállítást végezni a leselejtezett eszközön?

A gyári visszaállítás sok esetben nem ad elégséges bizonyosságot arra, hogy az adatok ne legyenek helyreállíthatók. Vezetői szempontból különösen az a kérdés, hogy a módszer arányos-e az adott eszköz és adattartalom kockázatával.

Mely eszközök jelentenek a legnagyobb kockázatot selejtezéskor?

Jellemzően azok, amelyek helyi tárolón személyes, pénzügyi vagy üzletileg érzékeny adatot hordozhattak, illetve amelyeknél a hozzáférési tokenek, gyorsítótárak vagy mentések is megmaradhattak. A mobil eszközök, notebookok, szervermeghajtók és SSD-k ezért kiemelt figyelmet igényelnek.

Miért fontos a dokumentált átadási lánc?

Mert a kockázat nemcsak a törlés pillanatában, hanem az azt megelőző tárolás, szállítás és átadás során is fennáll. Ha nincs visszakereshető lánc, a szervezet nehezebben tudja igazolni, hogy végig kontroll alatt tartotta az eszközt.

Mikor indokolt a tanúsított adattörlés?

Akkor, amikor az eszközön kezelt adatok érzékenysége, az auditelvárás vagy a szervezeti kitettség miatt már nem elég egy informális belső igazolás. Ilyenkor a bizonyíthatóság legalább olyan fontos, mint maga a törlési művelet.

Kisvállalatoknál is szükség van formális selejtezési folyamatra?

Igen, csak az arányosság más lehet. A kisebb szervezeteknél is szükség van egyértelmű nyilvántartásra, felelősre, döntési logikára és igazolható lezárásra, még ha a folyamat egyszerűbb is, mint egy nagyvállalatnál.

NIS2 és eszközselejtezés: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága

Leselejtezett vállalati IT-eszközök adatbiztonsági kockázata vezetői nézőpontból

NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága

Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.

Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.

A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.

Miért lett ebből vezetői kérdés?

A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.

Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.

A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.

Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa

A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.

Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.

Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.

Mit mond erről a szabályozási környezet?

A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.

Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.

Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.

Európai példák: amikor a háttérfolyamatból incidens lett

A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.

Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.

A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.

Kontrollált IT-eszköz selejtezési és adattörlési folyamat dokumentálása vállalati raktárban
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.

Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?

A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.

Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.

Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.

Mi számít jó vezetői gyakorlatnak?

A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.

Ennek a gyakorlatnak legalább öt alapelve van.

1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.

2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.

3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.

4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.

5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.

Mit mutat a vállalati gyakorlat?

A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.

A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.

Vezetői összegzés

A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.

Gyakori kérdések

Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?

Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.

Elég a fájlokat törölni vagy a meghajtót formázni?

Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.

Mely eszközök jelenthetnek kockázatot selejtezéskor?

Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.

Mi a legnagyobb hiba a vállalati gyakorlatban?

Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.

Mit érdemes elsőként felülvizsgálni?

A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.

Windows 10 támogatás vége 2025-ben: veszélyek, adatbiztonság és megoldások felhasználóknak

Windows 10 támogatás vége 2025-ben: veszélyek, adatbiztonság és megoldások felhasználóknakA Windows 10 támogatásának 2025. október 14-imegszűnése komoly kockázatokat jelent.

Mit tehetnek a felhasználók a biztonság fenntartásáért?
2025. október 14-én hivatalosan véget ér a Windows 10 operációs rendszer támogatása. Ez azt jelenti, hogy a Microsoft többé nem biztosít biztonsági frissítéseket, hibajavításokat vagy technikai támogatást ehhez a verzióhoz. Bár a rendszer működőképes marad, a felhasználók és vállalatok számára komoly adatbiztonsági és működési kockázatok jelennek meg. A kérdés az, hogyan lehet felkészülni erre a változásra,
és mit érdemes tenni a zökkenőmentes átállás érdekében.

A támogatás megszűnésének folyamata

A Microsoft minden operációs rendszer esetében előre meghatározza a támogatási időszak végét. A Windows 10 esetében ez a dátum 2025. október 14., amelyet a gyártó évekkel ezelőtt nyilvánosságra hozott. A folyamat részeként a rendszer a megszűnésig folyamatosan kapja a havi biztonsági frissítéseket, de az időpont elérését követően ezek teljesen leállnak.

A támogatás vége után a Windows 10 ugyan továbbra is használható, de egyre inkább elavulttá válik. Az új hardverek és szoftverek már nem lesznek kompatibilisek, a rendszer pedig fokozatosan háttérbe szorul. A felhasználóknak ezért időben kell dönteniük arról, hogy frissítenek egy újabb operációs rendszerre, vagy alternatív megoldást keresnek.

Extended Security Updates program

Bizonyos vállalati ügyfelek számára a Microsoft úgynevezett Kiterjesztett Biztonsági Frissítéseket (Extended Security Updates – ESU) kínál. Ez ideiglenes védelmet nyújt, mivel a programon keresztül meghosszabbítható a biztonsági frissítések elérhetősége. Fontos azonban tudni, hogy ez csak átmeneti megoldás, és hosszú távon nem helyettesíti az újabb operációs rendszerre való áttérést.

Felhasználókra gyakorolt hatások

Biztonsági kockázatok

A legnagyobb veszélyt a biztonsági frissítések megszűnése jelenti. Minden nap új sebezhetőségeket fedeznek fel, amelyeket a támadók kihasználhatnak. Amíg a rendszer támogatott, ezekhez gyorsan érkeznek javítások, ám a támogatás megszűnése után a Windows 10 nyitott célponttá válik a kiberbűnözők számára. Ez adatvesztéshez, zsarolóvírusokhoz vagy jogosulatlan hozzáféréshez vezethet, különösen akkor, ha hiányzik a biztonságos adattörlés gyakorlata.

Kompatibilitási problémák

A szoftver- és hardvergyártók is követik a Microsoft iránymutatását. Amint a Windows 10 kikerül a támogatási időszakból, egyre kevesebb alkalmazás és eszköz lesz kompatibilis vele. Ez nemcsak otthoni felhasználóknak jelent gondot, hanem a vállalatoknak is, ahol az üzletmenet folytonosságát veszélyezteti egy elavuló rendszer.Windows10 end of support warning

Stabilitás és teljesítmény

A támogatás megszűnése után előfordulhat, hogy a Windows 10 bizonyos funkciói idővel kevésbé stabilan működnek. Új driverek hiányában egyes hardverelemek hibásan működhetnek, a kompatibilitási gondok pedig fokozatosan lassítják és bizonytalanná teszik a rendszert.

Lehetséges megoldások

Frissítés Windows 11-re

A legkézenfekvőbb megoldás a Windows 11-re való frissítés. Ez a rendszer hosszabb távú támogatást kínál, modernebb biztonsági mechanizmusokkal és fejlettebb funkciókkal rendelkezik. Amennyiben a számítógép hardvere megfelel a Windows 11 követelményeinek, érdemes időben megtenni a váltást, így a adatbiztonság is garantálható.

Új eszköz beszerzése

Sok régebbi számítógép nem alkalmas a Windows 11 futtatására. Ebben az esetben indokolt lehet új eszköz vásárlása. Bár ez nagyobb beruházást igényel, hosszú távon biztonságosabb és költséghatékonyabb megoldás, mint egy elavult rendszer használata. Az elavult gépek felelős kezelése, például informatikai hulladék szakszerű feldolgozása is fontos szempont.

Alternatív operációs rendszerek

Vannak, akik a Windows helyett más operációs rendszerekre, például Linux disztribúciókra váltanak. Ezek gyakran kevesebb erőforrást igényelnek, és hosszabb távon is stabil, biztonságos működést kínálnak. Bár a váltás tanulási görbével jár, bizonyos környezetekben hatékony alternatíva lehet.

Biztonsági mentések és óvintézkedések

Akár Windows 10 marad a gépen, akár más rendszerre történik az átállás, kiemelten fontos a rendszeres biztonsági mentés. Ez védi a felhasználói adatokat egy esetleges támadás vagy rendszerhiba esetén. Emellett ajánlott megbízható vírusirtó és tűzfal használata, valamint a tudatos internethasználat is.

Döntéshozói szempontok vállalati környezetben

A cégek számára a Windows 10 támogatásának megszűnése nem csupán technológiai, hanem üzleti kérdés is. Egy elavult rendszer fokozott kockázatot jelenthet az üzleti adatokra nézve, valamint megfelelőségi problémákat okozhat, például a GDPR követelmények kapcsán. Ezért a döntéshozóknak már most el kell kezdeniük a migrációs stratégiák kidolgozását, a költségvetés tervezését, és a munkatársak felkészítését. A biztonságos adattörlés és az eszközök megfelelő leselejtezése szintén kulcskérdés a vállalatok számára.

Összefoglalás

A Windows 10 támogatásának megszűnése 2025. október 14-én mérföldkő lesz az operációs rendszert használók életében. Bár a rendszer továbbra is működni fog, a frissítések hiánya miatt egyre nagyobb adatbiztonsági és működési kockázatokkal kell számolni. Az átállás Windows 11-re, új hardver beszerzése vagy alternatív rendszerek kipróbálása mind olyan lehetőségek, amelyekkel a felhasználók és vállalatok biztosíthatják adataik védelmét és az üzletmenet folytonosságát. A legfontosabb üzenet: nem szabad az utolsó pillanatra hagyni a döntést. Aki időben lép, az minimalizálhatja a kockázatokat és hosszú távon stabil, biztonságos környezetet teremthet.

Készüljön fel időben, és gondoskodjon arról, hogy az átállás ne veszélyeztesse sem a mindennapi munkát, sem az értékes adatokat.