Minden, amit tudni kell az adathordozókra vonatkozó jogszabályi környzetről

Tartalom

Jogszabályi keret

Általános Adatvédelmi Rendelet (GDPR)

A GDPR a személyes adatok kezelésének uniós szintű „alaptörvénye”. A 17. cikk („törléshez való jog”) kimondja, hogy a szervezeteknek haladéktalanul, visszaállíthatatlanul és igazolható módon kell végrehajtaniuk az adattörlést, amikor az adatkezelés célja megszűnik vagy az érintett azt kéri. Ez a kötelezettség HDD törlésre, SSD törlésre és a felhő-snapshotok megsemmisítésére egyaránt kiterjed. A 32. cikk pedig előírja, hogy a vállalatnak „megfelelő technikai és szervezeti intézkedésekkel” – például titkosítással, tanúsított adathordozó törléssel és jegyzőkönyvezett adathordozó megsemmisítéssel – kell igazolnia a biztonságot. A 30. cikk az elszámoltathatóság jegyében részletes naplózást és törlési nyilvántartást követel, míg a 83. cikk drákói bírságokat helyez kilátásba a mulasztók számára.

 

 

Információs törvény (Infotv. – 2011. évi CXII.)

Magyarország speciális adatvédelmi keretét az Információs törvény, köznyelven Info törvény adja.
2014. március 15-től a jogszabály a következő, szigorított szabályokat tartalmazza:

  • 3. § (13) – Adattörlés: az adatok olyan felismerhetetlenné tétele, hogy a helyreállításuk technikailag sem lehetséges.
  • 3. § (16) – Adatmegsemmisítés: az adatokat tartalmazó adathordozó (pl. HDD, SSD, LTO, NVMe) teljes, fizikai megsemmisítése.
  • 7. § (2) – Az adatkezelő köteles írásban rögzíteni az adattörlési és HDD megsemmisítés / SSD megsemmisítés folyamatot, felelőst, határidőt, szemle- és auditciklusokat.
  • 15. § – Kötelező adattovábbítási és incidens-nyilvántartást kell vezetni. A törlési és megsemmisítési jegyzőkönyvek ennek részét képzik.
  • 23. § – A jogellenes adatkezelésből eredő károkért teljes körű kártérítési felelősség terheli az adatkezelőt; a bizonyítási teher is rajta van.

A törvény ezzel a világ egyik legszigorúbb felelősségi rezsimjét alkotja, ezért kulcselem a tanúsított adattörlés és az auditálható adathordozó megsemmisítés.Recycle

WEEE-irányelv és környezetvédelmi előírások

A 2012/19/EU WEEE-irányelv – a magyar 197/2014. (VII. 1.) Korm. rendelettel honosítva – az elektromos és elektronikai hulladékok (EEE) teljes életciklusát szabályozza. A jogszabály:

  • 6 külön kategóriába sorolja a leselejtezett IT-eszközöket (pl. szerverek, laptopok, adattárolók), és előírja a külön gyűjtést a kommunális hulladéktól.
  • Rögzíti a hozamcélokat: minimum 85 %-os anyag- és energia-visszanyerési arányt kell elérni az adathordozókban lévő fém, műanyag és ritkaföldfém összetevőkre.
  • Előírja a kockázatos komponensek (pl. lítium-ion cellák, higanykapcsolók) külön kezelési protokollját.
  • Megköveteli az átvételi jegy feltüntetését minden átadáskor, így bizonyítva, hogy a HDD megsemmisítés vagy SSD megsemmisítés után keletkezett hulladékot valóban engedélyezett újrahasznosító vette át.
  • Éves hatósági jelentést kér a kibocsátott, begyűjtött és feldolgozott mennyiségekről.

Ennek fényében a vállalat nem teheti meg, hogy pusztán áttörli a lemezeket, majd ismeretlen roncstelepre viszi őket: a jegyzőkönyvezett HDD törlés vagy SSD törlés után a fizikai adathordozó megsemmisítés – aprítás, darálás, olvasztás – és a WEEE-tanúsított logisztika egyaránt nélkülözhetetlen.

NIS2 – kibervédelmi megfelelés

A NIS2 irányelv 2024-től a digitális infrastruktúra, az energia, a közlekedés, az egészségügy és a pénzügyi szektor kulcsszereplőire is kiterjeszti a kiberbiztonsági követelményeket. A dokumentum:

  • 24 órás incidens-bejelentési határidőt ír elő, amelybe az elveszett vagy illetéktelenül visszaállított adathordozók is beleesnek.
  • Kötelezi a cégeket a kockázatalapú vagyon- és folyamatnyilvántartásra, amelynek része a HDD törlés, SSD törlés és a jegyzőkönyvezett megsemmisítés minden lépése.
  • Előírja a szállítói lánc (pl. IT-selejtezéssel foglalkozó partnerek) rendszeres auditját.
  • Maximum az éves árbevétel 2 %-áig terjedő felügyeleti bírságot tesz lehetővé a nem megfelelés esetén.

Nemzetközi szabványok és iránymutatások

A megfelelőség nem lehet teljes a nemzetközi szabványok nélkül:

  • ISO/IEC 27001: információbiztonsági irányítási rendszer; a 12.8 és 8.3 kontrollok konkrétan hivatkoznak az adathordozók végleges törlésére és a jegyzőkönyvezésre.
  • DIN 66399 / ISO/IEC 21964: hét biztonsági szintet (H-1–H-7) definiál a fizikai HDD megsemmisítés és SSD megsemmisítés részecskeméret-követelményeire.
  • NIST 800-88 Rev. 1 & IEEE 2883-2022: részletes módszertant ad a adattörlés (Clear, Purge, Destroy) validálására HDD-n és SSD-n.

Bírságok és felelősség

A nem megfelelően dokumentált HDD törlés, SSD törlés vagy adathordozó megsemmisítés súlyos pénzügyi következményekkel járhat:

  • GDPR: legfeljebb 20 millió € vagy a globális árbevétel 4 %-a.
  • Infotv.: 10 millió Ft-ig terjedő NAIH-bírság; peres úton kártérítés és sérelemdíj.
  • NIS2: az éves árbevétel 2 %-áig terjedő felügyeleti bírság, plusz kötelező felügyeleti intézkedések (pl. új audit, folyamat-újraírás).

Gyakorlati példák szerint a NAIH 2023-ban 12 ügyben szabott ki adatmegsemmisítéssel összefüggő bírságot; a legmagasabb tétel 35 millió Ft volt, mert a vállalat nem tudta bizonyítani, hogy a HDD megsemmisítés vagy SSD megsemmisítés ténylegesen megtörtént. A reputációromlás és az üzleti partnerek elvesztése ennél is jelentősebb kárt idézhet elő.

Megfelelés a gyakorlatban

Jegyzőkönyvezett szoftveres adattörlés (HDD és SSD)

A Blancco Drive Eraser képes a teljes lemez-, partíció- és fájdszintű HDD törlésre és SSD törlésre. A törlési folyamat végén a rendszer automatikusan generál egy digitálisan aláírt tanúsítványt, amely tartalmazza:

  • a törlést végző operátor nevét és azonosítóját,
  • az eszköz sorozatszámát és firmware-verzióját,
  • a használt törlési algoritmust (pl. NIST, DoD, Schneier-7-pass),
  • az ellenőrző hash-t (SHA-256),
  • a pontos időbélyeget (UTC és helyi idő).

E dokumentum bekerül a GDPR Art. 30 szerinti adatkezelési nyilvántartásba, és megfelel az Infotv. 15. § adattovábbítási naplójának is.

 

Blancco

Jegyzőkönyvezett fizikai adathordozó megsemmisítés

A MAXXeGUARD típusú berendezések DIN/ISO H-5–H-7 szemcseméretre darálják a tárolókat. Igény esetén a teljes folyamat rögzített videó felügyelettel is megrendelhet, majd a rendszer jegyzőkönyvet állít ki – fényképes bizonyítékkal, sorozatszámmal, szemcsemérettel és a megrendelő aláírásával. Így a HDD megsemmisítés és SSD megsemmisítés megfelel a GDPR, WEEE és NIS2 előírásainak.

Leselejtezett eszközök WEEE-kivezetése

A sikeres adattörlés vagy adathordozó megsemmisítés csak az első lépés. A hatályos WEEE-szabályok szerint:

  1. Vagyon-nyilvántartás frissítése: az ERP-ben inaktivált eszközök kapnak egy WEEE-azonosítót.
  2. Belső logisztika: zárt, plombált konténerben gyűjtik a darált hulladékot, amelyet mérlegelnek és dokumentálnak.
  3. Éves WEEE-jelentés: a vállalat az IT-hulladék mennyiségét, visszanyerési arányát és a partner licenceit a MOHU vagy a környezetvédelmi hatóság felé jelenti.
  4. Auditanyag archiválása: a selejtezési folyamat minden dokumentuma – a HDD törlés/SSD törlés tanúsítvány, a HDD megsemmisítés/SSD megsemmisítés jegyzőkönyv és az átvételi jegy – egyetlen, változtathatatlan PDF-csomagba kerül, amelyet legalább 10 évig meg kell őrizni.

E komplex lánc biztosítja, hogy a vállalat környezetvédelmi, adatvédelmi és pénzügyi szempontból is védett legyen.

 

Ajánlott lépések

  1. Adat-életciklus-térkép kidolgozása – rögzítse, hogy mely adattípus meddig tartható meg, mikor kell HDD törlés / SSD törlés, és mikor indokolt a fizikai HDD megsemmisítés vagy SSD megsemmisítés.
  2. Szabályzat és SOP frissítése – illessze be a NIS2 által
    elvárt kockázatelemzés-szakaszt, a WEEE-logisztikát és az Infotv. 7. §-ban előírt felelősségi mátrixot.
  3. Tanúsított szoftver és hardver beszerzése – válasszon Blancco szoftvert ésNATO minősített
  4. Jegyzőkönyv-sablon bevezetése – tartalmazza a sorozatszámot, firmware-verziót, operátor-ID-t, algoritmust, videó-/fotó- bizonyítékot és digitális aláírást.
  5. Rendszeres oktatás és tudatosság – a jogi, IT-, logisztikai és compliance csapat évente legalább egyszer vegyen részt adattörlés / adathordozó megsemmisítés tréningen.
  6. Belső és külső auditok – ISO 27001 vagy SOC 2 audit keretében független auditor ellenőrizze a törlési-megsemmisítési láncot.
  7. Incidenskezelési terv – definiálja, mi a teendő, ha egy adathordozó elveszik vagy sértetlenül kerül elő HDD megsemmisítés után; 24 órán belül NIS2-jelentés készítése.
  8. Éves WEEE-jelentés és hatósági bejelentés – tartalmazza a kibocsátott, begyűjtött, feldolgozott tömeget kategóriánként.
  9. Folyamatos nyomon követés és fejlesztés – használjon KPI-eket (pl. törlési idő/fő, darálási mennyiség, WEEE-hozam) a folyamatos optimalizáláshoz.

 

© 2025 Data Destroy Kft. – Minden jog fenntartva.