Kesztyűs kéz adathordozó-tálcát ad át egy ipari adatmegsemmisítő gép adagolónyílásánál

Adattörlési tanúsítvány és selejtezési jegyzőkönyv: milyen igazolást kérjen be a cég a szolgáltatótól?

Az adattörlési tanúsítvány és a selejtezési jegyzőkönyv az adatkezelő GDPR-elszámoltathatóságának (5. cikk (2)) írásos bizonyítéka egy IT-eszköz selejtezésekor. A szolgáltatótól négy dokumentum kérhető be: szolgáltatói minőségi tanúsítványok, chain of custody (őrzési lánc), eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv, és sorozatszámos eszközlista. Hatósági ellenőrzés vagy biztosítási kárrendezés esetén ezek nélkül jelentősen gyengül és nehezen védhető a cég igazolási pozíciója.
Legfontosabb megállapítások:

  • A GDPR 5. cikk (2) bekezdése az adatkezelő cég felelősségévé teszi a megfelelőség írásos igazolását — még akkor is, ha a fizikai munkát szolgáltató végezte.
  • Négy dokumentum bekérése audit-ready állapotot ad: szolgáltatói minősítések, chain of custody, eszközszintű tanúsítvány vagy jegyzőkönyv, sorozatszámos eszközlista.
  • Az eszközszintű tanúsítványnak tartalmaznia kell a sorozatszámot, az alkalmazott módszer szabványhivatkozását (pl. NIST SP 800-88), az eredményt, a végrehajtó technikus azonosítóját és a dátumot — generikus „törölve” megjegyzés nem elég.

Az írásos igazolások nélkül egy IT-eszköz selejtezésekor az „elvégeztük” állítás bizonyíthatatlan — a cég pedig nem szabadul meg az adatkezelői felelősségtől azzal, hogy átadja a notebookot vagy szervert egy szolgáltatónak. A GDPR 5. cikk (2) bekezdése szerint az adatkezelő köteles igazolni a rendelet betartását, és ez a kötelezettség a teljes életciklusra — beleértve a törlést és megsemmisítést is — vonatkozik. Egy beszerző jellemzően csak akkor szembesül ezzel, amikor az auditor a jegyzőkönyveket kéri, vagy egy adatvédelmi incidens kapcsán a NAIH visszafelé rekonstruálja az eszköz útját.

Az alábbiakban azt foglaljuk össze, melyik négy dokumentum-típust érdemes a beszerzőnek a szolgáltatótól rendre bekérnie, és mit célszerű tartalmaznia mindegyiknek ahhoz, hogy a cég GDPR-audit, ISO 27001 belső ellenőrzés vagy biztosítási kárrendezés esetén lefedett legyen.

Miért szükséges a dokumentált bizonyíték?

A GDPR több ponton is megalapozza az írásos bizonyíték iránti igényt:

  • 5. cikk (2) — elszámoltathatóság: az adatkezelő nemcsak betartani köteles a rendeletet, hanem képesnek kell lennie e megfelelés igazolására is.
  • 24. cikk — az adatkezelő felelőssége: olyan technikai és szervezési intézkedéseket kell foganatosítani, amelyek a kockázat szintjéhez igazítva bizonyíthatóvá teszik a megfelelőséget.
  • 30. cikk — nyilvántartási kötelezettség: az adatkezelési tevékenységek nyilvántartásába a tervezett törlési határidők is beletartoznak — a kapcsolódó eszközszintű bizonyíték a tanúsítvány vagy jegyzőkönyv.

Ehhez társul a 32. cikk (adatbiztonság) és incidens esetén a 33. cikk (72 órás bejelentés), ahol a hatóság kérheti az eseményt megelőző védelmi intézkedések dokumentációját. Az adatfeldolgozóra (28. cikk) is csak akkor lehet hivatkozni felelősség-megosztáskor, ha a szolgáltató teljesítését írásos termékkel (jegyzőkönyv, tanúsítvány) lehet alátámasztani.

A magyar gyakorlatban a felügyeleti megközelítés szerint az adatkezelő nem hivatkozhat egyoldalúan a szolgáltatóra felelősség-mentesítésként, ha nem rendelkezik a szolgáltató teljesítését dokumentáló bizonyítékokkal. Az IT-eszközök életciklus végén történő adatkezelése tipikusan incidens-bejelentés vagy munkavállalói panasz nyomán kerül vizsgálat alá — ilyenkor a hatóságnak rendelkezésre kell tudni bocsátani a tanúsítványt, a jegyzőkönyvet vagy ezekkel egyenértékű, visszakövethető bizonyítékokat.

A párhuzamos szabályozói rétegek tovább erősítik az írásos evidencia igényét. A NIS2 21. cikk (2) bekezdése a hatálya alá eső szervezetektől supply chain security, asset management és üzletmenet-folytonosság (business continuity / disaster recovery) területén is konkrét intézkedéseket vár — a vendor adattörlési dokumentáció ennek a beszállítói kontroll-rétegnek a része. Az ISO 27001:2022 Annex A kontrolloknál a leginkább érintett pontok: A.5.20 (szállítói megállapodások információbiztonsági követelményei), A.7.14 (eszközök biztonságos újrahasználata vagy ártalmatlanítása) és A.8.10 (információ-törlés).

A négy dokumentum-típus, amit érdemes bekérni

1. Szolgáltatói minőségi és kompetencia-tanúsítványok

Az első réteg a szolgáltató általános alkalmasságát igazolja. Bekérendő — még szerződéskötés előtt:

  • ISO 27001 tanúsítvány (információbiztonsági irányítási rendszer) — érvényességi dátummal, scope-pal.
  • ISO 9001 tanúsítvány (minőségirányítás) — ha az adott szolgáltató rendelkezik vele.
  • Adattörlési szoftver gyártói tanúsítvány vagy partneri minősítés (pl. minősített, partneri viszonnyal igazolt használat). A Blanccohoz hasonló szoftvergyártók partneri státusza önmagában is iparági jelzés.
  • ADISA (Asset Disposal & Information Security Alliance) tanúsítás — IT-asset disposal-specifikus minősítés.
  • EN 15713 szabvány szerinti auditált eljárás — papír- és adathordozó-megsemmisítés európai standardja.
  • A felelősségbiztosítási kötvény másolata.

Ezek a dokumentumok nem cikkenként, hanem a szolgáltatóhoz egyszer kerülnek bekérésre, és érvényességi dátumukig hatályosak. A beszerző audit-trail mappájában együtt kell tárolni az alábbi három, eseti dokumentumtípussal.

2. Chain of custody (őrzési lánc) jegyzőkönyv

A chain of custody a szolgáltató fizikai és birtoklási láncát dokumentálja az átvételtől a megsemmisítés vagy törlés befejezéséig. Egy auditálható chain of custody jegyzőkönyv tartalmazza:

  • Az átvétel pontos időpontját, helyszínét és felelős személyét mindkét oldalról (átadó és átvevő aláírása).
  • A szállítójármű azonosítóját és a szállító technikus nevét.
  • Az átvett eszközök tételes listáját sorozatszám szerint (nem csak darabszámmal).
  • Az ideiglenes tárolás helyét és időtartamát, valamint a tároló biztonsági besorolását (zárt rakodótér, kamerás raktár stb.).
  • Az átadás-átvétel minden közbenső állomását, ha az eszköz több ponton áthalad.
  • A megsemmisítés vagy törlés helyszínén történő dokumentált beérkezést.

A chain of custody megszakítatlansága az audit során kulcskérdés: ha a sorozatszám szerinti lista nem azonos az átvételi és a megsemmisítési ponton, az értelmezhetetlenné teszi a tanúsítványt.

3. Eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv

Ez az a dokumentum, amit a hatósági kérdésre — „bizonyítsa, hogy a 2024-ben selejtezett laptopon megfelelően eljártunk az adattal” — a beszerző az iratokból ki tud húzni. A választást kockázatalapon érdemes meghozni: a NIST SP 800-88 r2 Clear / Purge / Destroy kategóriái közül az adatbesorolás és az adathordozó-típus dönt. Általánosító tájékozódásul: alacsony bizalmasságú adat + HDD esetén a Clear (felülírás) is elegendő lehet; bizalmas adat + SSD vagy NVMe esetén a wear-leveling és overprovisioning miatt a sima felülírás nem megbízható — Purge szinten ATA Sanitize, ATA Secure Erase, NVMe Sanitize / Format NVM secure erase setting vagy igazolt cryptographic erase alkalmazása indokolt, a gyártói implementáció és a parancs sikeres lefutásának dokumentálásával; titkos / különleges kategóriájú adatnál (GDPR 9. cikk) jellemzően Destroy szintű fizikai megsemmisítés ajánlott. A két dokumentumtípus különbözik az eljárás függvényében:

Szoftveres adattörlés esetén (működőképes adathordozó): eszközszintű adattörlési tanúsítvány. Tartalmi minimumai:

  • Az eszköz gyártója, modellje és sorozatszáma (nem batch-szintű, hanem darabra megnevezve).
  • Az adathordozó típusa (HDD/SSD/NVMe) és kapacitása.
  • Az alkalmazott törlési módszer szabványhivatkozással — pl. NIST SP 800-88 r2 Clear / Purge / Destroy kategória, vagy a használt szoftver belső szabványa.
  • Az eljárás eredménye (sikeres / hibás), és sikertelen szektor esetén a kezelési mód (újra-kísérlet, fizikai megsemmisítés).
  • A végrehajtó technikus azonosítója (név vagy egyértelmű azonosító).
  • Időpecsét és sorszám.
  • A használt szoftver és verziószám.
  • Digitális aláírás vagy manipuláció-védett pdf — papír esetén legalább cégszerű aláírás.

Fizikai megsemmisítés esetén: megsemmisítési jegyzőkönyv. Tartalmi minimumai:

  • Sorozatszám szerinti eszközlista.
  • Az alkalmazott eljárás (darálás, perforálás, demagnetizálás) és a végeredmény mérete (pl. EN 15713 szerinti H-szint, vagy DIN 66399 szerinti biztonsági szint).
  • A megsemmisítő berendezés azonosítója — célszerű minősített ipari adathordozó-megsemmisítőt használni, amely a megsemmisítés paramétereit (eljárás, eredmény, időpecsét) beépített logba rögzíti.
  • A megsemmisítés helyszíne és dátuma.
  • A felelős technikus aláírása vagy azonosítója.
  • Lehetőleg fotódokumentáció a megsemmisítés előtti és utáni állapotról.

Egy generikus „a felsorolt eszközök adattartalmát töröltük” megfogalmazás GDPR-szempontból nem ad megfelelő bizonyítékot — sem az eljárás, sem az eredmény nem visszakövethető belőle.

4. Sorozatszámos eszközlista

A negyedik dokumentum gyakran fizikailag a chain of custody melléklete, mégis külön érdemes megnevezni, mert az auditok alapja. Egy korrekt eszközlista:

  • Tételenként tartalmazza a gyártót, modellt, sorozatszámot (S/N) és — ahol értelmezhető — az asset tag-et.
  • A leltárból (CMDB vagy ITAM) generált export legyen, ne kézi újrakulcs.
  • Egy az egyhez egyeztethető a chain of custody átvételi és a tanúsítványok listájával.
  • Adattörlés és/vagy megsemmisítés mellett tartalmazza az eszköz további sorsát (újra-felhasználás, hulladékkezelés, refurbished értékesítés).

Az ITAM rendszerben a leltárból az eszközt csak akkor lehet selejt státuszra állítani, ha a tanúsítvány meg is érkezett. Ennek folyamatszintű kikényszerítése (pl. workflow szabály) jelentősen csökkenti az audit-kockázatot.

Beszerzői ellenőrzőlista a tanúsítványhoz

Mielőtt egy adattörlési tanúsítványt vagy megsemmisítési jegyzőkönyvet elfogadható minőségűnek minősít a beszerző vagy a compliance officer, érdemes az alábbi tizenkét ellenőrző pontot evidence intake checklist-ként átfutni:

Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
  1. Szerepel-e a tanúsítványon a szolgáltató cégszerű azonosítója (név, cégjegyzékszám, székhely)?
  2. Eszközszintű a tanúsítvány (egy eszköz = egy sorozatszám), vagy ha batch-szintű, mellékelve van sorozatszámos lista módszerrel és eredménymezőkkel?
  3. Az eszköz gyártó-modell-sorozatszám hármasa egyezik a leltárban szereplővel?
  4. A módszer megnevezve egy hivatkozható szabvánnyal (NIST SP 800-88 r2 Clear/Purge/Destroy, EN 15713, DIN 66399)?
  5. A módszer választása összhangban van az adat-klasszifikációs szinttel és az adathordozó-típussal (HDD vs SSD/NVMe)?
  6. Az eredmény státusza explicit — sikeres / hibás / részleges? Sikertelen eset esetén dokumentált a deviation handling (újra-kísérlet, fizikai megsemmisítés, eltérő sorozatszám kezelése)?
  7. A technikus azonosítója szerepel (nemcsak „a csapat”)?
  8. Időpecsét és sorszám beazonosíthatóan jelen van?
  9. A dokumentum manipuláció-védett (digitális aláírás, PDF/A, vagy cégszerű papír-aláírás)?
  10. Csatolva van-e a chain of custody ezzel egyező tartalommal?
  11. A tanúsítványhoz tartozó felelősségbiztosítás lefedi-e az esetleges eljárási hibákat?
  12. A beszerző oldalán van-e mintavételes másodlagos kontroll — pl. évente N% eszköz visszaellenőrzése (visszamért adatmaradvány-teszt vagy onsite audit) a szolgáltató teljesítményéről?

A pontok inkább audit-ready evidence intake szempontok, mint univerzális jogi minimumkövetelmények — a hiányzó pontoknál a beszerző és a szolgáltató közösen állapodjon meg a kockázatarányos pótlás módjáról.

Szerepkör-felelősség modell (RACI minimum a folyamat zökkenőmentes lebonyolításához): IT Asset Manager → ITAM-CMDB sorozatszám-export, fizikai átadás; Procurement → szerződéses kontroll, felelősségbiztosítás-ellenőrzés; DPO → adatkezelési nyilvántartás frissítése; CISO / belső auditor → mintavételes másodlagos kontroll, deviation review; Legal → DPA (adatfeldolgozói szerződés), alvállalkozói lánc. Kisebb szervezetnél ezek a szerepek összevonhatók, de a felelősségeknek akkor is elkülöníthetően meg kell jelenniük.

Mi történik, ha hiányos vagy hibás az igazolás?

Az írásos bizonyíték hiányának három tipikus következménye van:

  • GDPR-hatósági eljárás: a NAIH vizsgálatakor az adatkezelő nem tudja igazolni a 32. cikk szerinti megfelelő technikai intézkedéseket. A pénzbüntetés mértéke a rendelet 83. cikke alapján a kockázat súlyához igazodik — a felső határ 20 millió euró, vagy az előző üzleti év teljes globális éves árbevételének 4%-a, attól függően, melyik a magasabb. A gyakorlatban az arányos bírság is jelentős üzletviteli kockázat.
  • Belső audit hibajegy (nonconformity): ISO 27001 vagy TISAX éves audit során a megfelelőség objektív bizonyítékának hiánya minősített megállapítás. A javítási intézkedési terv és a következő audit időpontja ilyenkor szoros nyomás alá kerül.
  • Biztosítási kárrendezés elutasítása vagy szűkítése: kiberbiztosítások és felelősségbiztosítások kötvényfüggő módon korlátozhatják vagy kizárhatják a megfelelőség dokumentációjának hiányából eredő károkat. Egy adatvédelmi incidens utáni költségtérítés (értesítési, forenzikus és jogi költség) ilyenkor jellemzően a cég saját zsebéből megy. Konkrét határt mindig a kötvény és a brokeri ajánlás határoz meg.

A negyedik, kevésbé nyilvánvaló kockázat az üzletvitel-folytatás akadálya: ügyfél vagy partner auditok — különösen autóipari TISAX, banki / pénzügyi vendor due diligence és szabályozott egészségügyi beszállítói környezetben — elvárják az IT-selejtezés dokumentált rendjét. Egy szállítás közbeni eszközelvesztés ráadásul önmagában is GDPR 33. cikk szerinti bejelentési kötelezettséget válthat ki, ha a személyes adatok sérülése kockázatot jelent az érintettek jogaira és szabadságaira nézve — a chain of custody és a kétoldalú átvételi aláírás pontosan ezt a forgatókönyvet kezeli, mert pontosan azonosíthatóvá teszi az érintett adatkört és a felelősséget.

Mit jelent ez a beszerzői munkafolyamatra?

A gyakorlatban ez nem nagy adminisztratív teher, ha a folyamat a kezdetektől tisztán épül fel:

  1. Szerződéskötéskor a szolgáltatótól bekért dokumentumok (ISO 27001, ADISA, felelősségbiztosítás) bekerülnek a beszerzői aktába.
  2. Minden átadáskor a chain of custody mindkét fél részéről aláírva keletkezik — papíron vagy ellenjegyzett digitális dokumentumban.
  3. Megsemmisítés vagy törlés után a szolgáltató szerződéses SLA szerint — célszerű 10–30 napban rögzítve — átadja az eszközszintű tanúsítványokat és a sorozatszámos eszközlistát.
  4. Az ITAM rendszerben a tanúsítvány hivatkozási száma a leltár-rekordhoz kerül, és csak ezután állítható selejt státuszra az eszköz. Eltérés (ITAM-lista vs. szolgáltatói visszaigazolás) esetén dokumentált deviation handling folyamat indul.
  5. A teljes csomag (szolgáltatói tanúsítvány + chain of custody + eszközszintű tanúsítvány + lista) a belső retention policy alapján együtt tárolva, a jogi, ágazati és elévülési követelményekhez igazítva — jellemzően 5–10 év, de a konkrét időtartamot a cég adatkezelési nyilvántartása rögzíti.

Hogyan kérje be ezt a négy dokumentumot a gyakorlatban?

Egy egyszerű módszer audit-ready beszerzésre: a fenti tíz pontos beszerzői ellenőrzőlistát mellékelje az ajánlatkéréshez, és kérje a szolgáltatókat, hogy mintatanúsítványon mutassák be, hogyan teljesítik az egyes pontokat. Ez még szerződéskötés előtt láthatóvá teszi, melyik szolgáltató állít elő ténylegesen audit-szintű dokumentációt, és melyik dolgozik csak generikus jegyzőkönyvvel. A datad.hu szakmai csapata audit-ready tanúsítvány-mintát, chain of custody sablont és sorozatszámos átadás-átvételi formanyomtatványt biztosít ajánlatkérés mellé — a négy dokumentum-típus tartalmi minimumait egységes csomagban lefedve.

Gyakori kérdések

Mi a különbség az adattörlési tanúsítvány és a selejtezési jegyzőkönyv között?

Az adattörlési tanúsítvány a működőképes adathordozó szoftveres törlését dokumentálja, a selejtezési vagy megsemmisítési jegyzőkönyv pedig az eszköz fizikai megsemmisítését (darálás, perforálás, demagnetizálás). Egy cég jellemzően mindkettőt használja az eszközpark állapotától függően.

Elegendő-e egy batch-szintű tanúsítvány több eszközre?

Nem ajánlott. GDPR-audit során az adatkezelőnek eszközenként kell tudnia igazolnia az elvégzett intézkedést — egy „X db SSD törlésre került” tanúsítvány a sorozatszámok hiányában nem visszakövethető. A jó gyakorlat: eszközszintű tanúsítvány, sorozatszámos lista mellékletként.

Meddig kell megőrizni az adattörlési tanúsítványt?

A megőrzési idő a kapcsolódó adatkezelési tevékenység GDPR szerinti megőrzési idejéhez igazodik, jellemzően minimum 5 évig, de bankszektorban, autóiparban vagy egészségügyben gyakran 8–10 év vagy hosszabb. Belső adatkezelési szabályzatban célszerű rögzíteni.

A felhőszolgáltató is ad adattörlési tanúsítványt a virtuális gépekről?

Néhány hyperscaler ad tanúsítvány-szerű ügyfélnyilatkozatot, de jellemzően megosztott felelősségi modellel és nem eszközszintű részletességgel. Saját adathordozó esetén (fizikai szerver, edge eszköz) a jelen cikk dokumentációs követelményei közvetlenül érvényesek.

Mit tegyek, ha a meglévő szolgáltatóm csak generikus tanúsítványt ad?

Először írásban kérje a hiányzó tartalmak pótlását (sorozatszám, módszer, technikus azonosító). Ha a szolgáltató ezt nem tudja teljesíteni, GDPR-audit szempontból kockázatos a folytatás — érdemes mérlegelni a szolgáltatóváltást, mert az adatkezelői felelősség a cégnél marad.

Milyen szabványra hivatkozhat egy minősített adattörlési tanúsítvány?

A nemzetközi gyakorlatban a NIST SP 800-88 r2 (Guidelines for Media Sanitization) a referencia, az európai megsemmisítéseknél az EN 15713 és a DIN 66399. Egy minősített eszközre épülő eljárás (pl. egy ipari adathordozó-megsemmisítő dokumentált logja) szintén elfogadható bizonyítéknak számít, amennyiben a használt módszer szabvány-mappingje a tanúsítványban szerepel.