Egészségügyi adatok és IT-selejtezés: a különleges kategória kötelezettségei
Az egészségügyi adatok megsemmisítése az IT-eszközök életciklusának végén szigorúbb elvárás alá esik, mint az általános üzleti adaté, mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. Az egészségügyi intézmények betegadatot nemcsak munkaállomásokon és szervereken tárolnak, hanem a képalkotó rendszerek, laboratóriumi analizátorok és más orvostechnikai eszközök beépített adathordozóin is, amelyek a selejtezéskor gyakran kimaradnak a nyilvántartásból. A megfelelő eljárás ezért az adathordozók teljes körű felmérésével kezdődik, eszközönként dokumentált törléssel vagy fizikai megsemmisítéssel folytatódik, és minden tételhez tartozó tanúsítvánnyal zárul.
Az egészségügyi adat különleges kategóriájú személyes adat, ezért a selejtezéskori maradványkockázatot alacsonyabb szinten kell tartani, mint az általános üzleti adatnál.
A legnagyobb rejtett kockázat nem a szerver, hanem az orvostechnikai eszközök és a raktározott, leselejtezett gépek beépített adathordozója, amely rendre kicsúszik a leltárból.
Minden selejtezett adathordozóhoz tanúsítvány és visszakövethető átadási lánc tartozzon, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt.
Egy egészségügyi intézményben a betegadat nem ott van, ahol elsőre keresnénk. A háziorvosi vagy kórházi informatikus fejében a betegadat a központi rendszerben és a szervereken él, gondosan mentve és titkosítva. A valóságban ugyanaz az adat szétszóródik a szervezeten: a recepciós munkaállomás merevlemezén, a leselejtezett és a raktár sarkába tolt régi gépeken, a laptopon, amit egy főorvos évek óta hazavisz, és ami sokakat meglep, a képalkotó és laboratóriumi eszközök beépített tárolóin. Amikor ezek az eszközök életciklusuk végére érnek, a rajtuk maradt egészségügyi adat kezelése nem rutinszerű IT-selejtezés, hanem különleges kategóriájú személyes adat megsemmisítése, magasabb bizonyítási elvárással.
Miért szigorúbb az egészségügyi adat?
Az általános adatvédelmi rendelet az egészségügyi adatot a személyes adatok különleges kategóriájába sorolja, a faji vagy etnikai származásra, politikai véleményre és néhány más adattípusra vonatkozó adattal együtt.
Ennek a besorolásnak közvetlen következménye van a selejtezésre. A GDPR az adatkezelés biztonságáról szóló rendelkezése (32. cikk) a kockázattal arányos technikai és szervezési intézkedéseket ír elő, az adatkezelési alapelvek pedig (5. cikk) az integritás és bizalmas jelleg elvét rögzítik. A kockázatarányosság elvéből következik, hogy a betegadatot tartalmazó adathordozót jellemzően magasabb kockázatúként kell értékelni, mint egy általános üzleti dokumentumot. Védhető, auditálható gyakorlatként ilyenkor a hitelesített törlés vagy a fizikai megsemmisítés javasolt, és a folyamat bizonyíthatóságára is nagyobb súly esik.
A jogszabályi keretet erősíti, hogy az egészségügyi ellátás a kiberbiztonsági szabályozás által kiemelten kezelt ágazatok közé tartozik. A NIS2 a kiberbiztonsági kockázatkezelési intézkedéseket írja elő (21. cikk), a vezető testületek jóváhagyási és felügyeleti felelősségét pedig külön rögzíti. Az informatikai eszközök teljes életciklusa, beleértve a selejtezést, része a kezelendő kockázatoknak. Egy egészségügyi intézménynél tehát a selejtezési folyamat nem csupán adatvédelmi, hanem intézményvezetői felelősségi kérdés.
A rejtett adathordozók: ahol a betegadat tényleg van
Az egészségügyi szektor selejtezési kockázatának súlypontja eltér a többi ágazattól. Egy pénzügyi cégnél vagy egy gyártónál az adathordozók viszonylag jól ismert eszközkategóriákban élnek. Az egészségügyben ezzel szemben az adat gyakran ott van, ahová az IT-leltár ritkán néz be:
Képalkotó rendszerek. A CT, MR, ultrahang és röntgen berendezéseknél a vizsgálati képek és a hozzájuk tartozó betegazonosítók gyakran a beépített vezérlőszámítógépen vagy a hozzá kapcsolt munkaállomáson maradnak, a rendszer felépítésétől függően. Ezek az eszközök 10-15 évig is szolgálatban vannak, és a cseréjükkor a helyi tároló sorsa gyakran tisztázatlan.
Laboratóriumi analizátorok. Egyes laboratóriumi analizátorok és a hozzájuk kapcsolt vezérlőgépek vagy middleware rendszerek eredményeket, betegazonosítókat és mintaadatokat tárolhatnak. Ahol ez így van, az eszköz selejtezéskor éppúgy adathordozó, mint egy merevlemez.
PACS és archiváló rendszerek szerverei. A képarchiváló rendszerek nagy tömegű, hosszú megőrzési idejű betegadatot tárolnak; ezek leselejtezésekor a szerverben lévő minden meghajtó érintett.
Munkaállomások és raktározott tartalék. A recepciós, orvosi és adminisztratív munkaállomások, valamint a „majd lesz vele valami” alapon raktárba került régi gépek gyakran évekig őriznek elérhető betegadatot.
Hordozható és magántulajdonú eszközök. Az orvosok által használt laptopok, tabletek és a betegadathoz hozzáférő magáneszközök a szervezet látóterén kívül eshetnek.
A selejtezés első lépése ezért nem a megsemmisítés, hanem a felmérés: melyik eszközön van vagy lehet betegadat. Amit a szervezet nem tart nyilván, azt nem is tudja bizonyíthatóan megsemmisíteni, és a nyilvántartásból kicsúszó eszköz az egyik legnehezebben bizonyítható kockázati pont.
Törlés vagy megsemmisítés: melyik mikor?
Az adathordozó életciklusának végén két megbízható eljárás létezik. A szoftveres törlés hitelesített felülírással teszi visszaállíthatatlanná az adatot úgy, hogy az eszköz fizikailag ép és tovább használható marad. A fizikai megsemmisítés néhány célzott vágással teszi az adathordozót olvashatatlanná. Az egészségügyi kontextusban a választást nem egy általános szabály, hanem az adott eszköz állapota és a benne rejlő érték dönti el:
Egy értékes, működőképes munkaállomás vagy szerver esetében a hitelesített törlés rendszerint jobb választás, mert az eszköz megtartja az értékét, sőt továbbadható vagy beszámítható.
Egy hibás, nem olvasható vagy kiszerelt adathordozónál a fizikai megsemmisítés az egyszerűbb és biztos út.
A beépített tárolójú orvostechnikai eszközöknél gyakran a beszállítóval egyeztetett módszer kell, mert a garancia, a validáció és a gyártói támogatás is szerepet játszik.
Fontos tisztázni egy elterjedt tévhitet: a gyári visszaállítás vagy a formázás önmagában nem törlés. A modern adathordozók, különösen az SSD-k működése miatt a felszínesen „letöröltnek” tűnő adat helyreállítható maradhat. Betegadatnál ez a különbség nem elméleti kérdés.
Az sem igaz, hogy a két eljárás közül az egyik mindig olcsóbb. Az összköltséget a mennyiség, a helyszín, az eszközök állapota és a maradványérték együtt határozza meg. Éppen ezért egy egészségügyi intézménynél a selejtezés nem feltétlenül tiszta kiadás: a még értékes gépeknél a hitelesített törlés és a felvásárlásba beszámítás akár csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és mindig előzetes értékfelmérést igényel, de érdemes a döntésnél számolni vele.
Helyszínen vagy beszállítással?
Az egészségügyi környezet egy további döntést is felvet, amely más ágazatokban ritkábban éles: a selejtezés a helyszínen történjen, vagy az eszközök beszállításával. Mindkettőnek van létjogosultsága, és a választás itt sem árkérdés önmagában.
A helyszíni selejtezés előnye, hogy az adathordozó ki sem lép az intézmény falai közül, így a külső szállítás kockázata kiesik (a belső mozgatás és hozzáférés láncát természetesen ilyenkor is dokumentálni kell). Ez különösen érzékeny betegadatnál vagy nehezen mozgatható berendezéseknél lehet indokolt, például egy beépített tárolójú képalkotó rendszernél, amelyet nem egyszerű elszállítani. A helyszíni megoldás ára jellemzően magasabb, mert a vágáshoz szükséges eszközöket és az ellenőrzött személyzetet ki kell vonultatni; helyszíni törlésnél a helyiség mérete és az egyszerre kezelhető gépszám is befolyásolja a ráfordítást. A pontos költséget mindig az eszközszám, a helyszín és a logisztika együtt adja.
A beszállításos selejtezés logisztikailag egyszerűbb és nagyobb tételnél gazdaságosabb lehet, cserébe a szállítási szakasz dokumentált, lezárt láncot kíván: ki, mikor, milyen lezárt szállítóeszközben vette át az adathordozókat, és mikor történt a tényleges megsemmisítés. Egy egészségügyi intézménynél a döntést az adat érzékenysége, az eszközök mozgathatósága, a mennyiség és a földrajzi távolság együtt határozza meg. A gyakorlatban egy vegyes megoldás is elképzelhető: a nehezen mozgatható vagy legérzékenyebb eszközök helyben, a többi beszállítással.
A bizonyíték: tanúsítvány és átadási lánc
Egy adatvédelmi audit vagy egy incidenskivizsgálás során nem az számít, hogy a szervezet elvben megsemmisítette az adatot, hanem hogy ezt bizonyítani tudja. Az egészségügyi adat magas kockázati besorolása miatt a bizonyíthatóság itt még fontosabb, mint máshol.
Minden selejtezett adathordozóhoz tartozzon hiteles tanúsítvány, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt. A tanúsítvány alapja a nyomon követhetőség: az eszköz egyedi azonosítója (sorozatszám, leltári szám), a selejtezés módja, dátuma és felelőse, valamint a köztes időszak, amíg az eszköz átadástól a megsemmisítésig eljut. Ez az átadási lánc a leggyakrabban kifelejtett elem. Egy megsemmisítési tanúsítvány önmagában keveset ér, ha az átvétel és a tényleges megsemmisítés közötti napokat senki nem dokumentálta, hiszen éppen ebben az ablakban a legmagasabb a kockázat.
Ha az intézmény külső szolgáltatóval végezteti a selejtezést, és a szolgáltató személyes adatot tartalmazó eszközhöz hozzáférhet vagy azt kezelheti, adatfeldolgozói konstrukciót kell vizsgálni: a GDPR 28. cikke szerinti adatfeldolgozói szerződést és a világos felelősségi határokat előre rendezni kell. Az intézménynek joga van megismerni, ki, hol és milyen módszerrel fér hozzá az adathordozóihoz, és milyen bizonylat igazolja a folyamat lezárását.
Mit tegyen egy egészségügyi intézmény?
A gyakorlati sorrend négy lépés. Először teljes körű adathordozó-felmérés, amely kiterjed az orvostechnikai eszközök beépített tárolóira és a raktározott tartalékra is. Másodszor eszközönkénti döntés a megfelelő eljárásról, az adat érzékenységének és az eszköz értékének figyelembevételével. Harmadszor a selejtezés dokumentált végrehajtása, minden tételhez tanúsítvánnyal és lezárt átadási lánccal. Negyedszer a folyamat visszavezetése az eszköznyilvántartásba, hogy az audit bármely eszközt végig tudjon követni.
A cél nem a legdrágább, hanem a legoptimálisabb megoldás: az az eljárás, amely az adott adathordozónál a szükséges biztonsági szintet a lehető legkisebb ráfordítással, bizonyíthatóan éri el. Ha bizonytalan, mely eszközein maradhat betegadat, érdemes előzetes eszköz- és értékfelméréssel eldönteni, melyik gépnél a hitelesített törlés és a beszámítás, melyiknél a vágás az optimális; a datad szakértői ehhez adnak előzetes felmérést és ajánlatot.
Gyakori kérdések
Miért szigorúbb az egészségügyi adat megsemmisítése, mint az általános üzleti adaté?
Mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. A magasabb kockázati besorolás miatt a selejtezéskor a maradványkockázatot alacsonyabb szinten kell tartani, és a folyamat bizonyíthatóságára is nagyobb hangsúly esik.
Mely eszközökön maradhat betegadat egy intézményben?
Nem csak a szervereken és munkaállomásokon: a képalkotó rendszerek (CT, MR, ultrahang), a laboratóriumi analizátorok, a PACS archiváló szerverek, a raktározott régi gépek és az orvosok hordozható eszközei mind tárolhatnak betegadatot a beépített adathordozóikon. Ezek gyakran kimaradnak az IT-leltárból.
Elég-e a gyári visszaállítás vagy a formázás betegadat törléséhez?
Nem. A gyári visszaállítás és a formázás önmagában nem teszi visszaállíthatatlanná az adatot, különösen SSD-knél. Betegadatnál hitelesített szoftveres törlés vagy fizikai megsemmisítés az elvárt szint, dokumentált bizonyítékkal.
Kell-e tanúsítvány a szoftveres törlésről is, vagy csak a fizikai megsemmisítésről?
Mindkét eljáráshoz hiteles tanúsítvány jár. A tanúsítvány igazolja az eszköz azonosítóját, a selejtezés módját és dátumát, valamint a nyomon követhető átadási láncot, ami audit és incidenskivizsgálás során a bizonyíték alapja.
Adatfeldolgozó-e a selejtezést végző külső szolgáltató?
Ha a szolgáltató betegadatot tartalmazó eszközt kezel, akkor a folyamat során adatfeldolgozónak minősülhet, ezért a GDPR 28. cikke szerinti adatfeldolgozói szerződés és a felelősségi határok tisztázása szükséges. Az intézménynek joga van megismerni, ki és milyen módszerrel fér hozzá az adathordozóihoz.
Mindig kiadás a selejtezés, vagy lehet belőle bevétel?
Nem mindig tiszta kiadás. A még értékes, működőképes gépeknél a hitelesített törlés megőrzi az eszköz értékét, és a felvásárlásba beszámítás csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és előzetes értékfelmérést igényel.
Források
Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — A 9. cikk az egészségügyi adatot különleges kategóriájú személyes adatként kezeli, az 5. és 32. cikk pedig az adatbiztonsági alapelveket és a kockázattal arányos intézkedéseket rögzíti.
Európai Parlament és Tanács (EU) 2022/2555 irányelve (NIS2) — Az egészségügyi szolgáltatók a hatálya alá tartozó ágazatok között szerepelnek; a 21. cikk a kiberbiztonsági kockázatkezelési intézkedéseket rögzíti, a 20. cikk a vezető testületek jóváhagyási és felügyeleti felelősségét.
SSD adattörlés: miért nem elég a formázás, és hogyan működik a kriptográfiai törlés?
Az SSD-k felhasználói formázása és gyári visszaállítása nem számít megbízható adattörlésnek: a flash tároló vezérlője az adatokat a felhasználó elől rejtett cellákba is szétteríti, így a felülírás sikere nem bizonyítható teljeskörűen. SSD-nél a nemzetközi médiatisztítási iránymutatás szoftveres útként jellemzően a kriptográfiai törlést emeli ki: a meghajtó titkosító kulcsának dokumentált megsemmisítését tanúsított folyamatban, amitől a tárolt tartalom — igazolhatóan titkosított meghajtón a rejtett cellákra is kiterjedően — visszafejthetetlenné válik. A módszer feltétele az igazolhatóan működő titkosítás és a dokumentált, tanúsított folyamat; ha ez nem áll fenn, SSD-nél a tanúsított fizikai megsemmisítés marad a védhető lezárás.
Legfontosabb megállapítások:
Az SSD formázása, gyári visszaállítása vagy egyszerű felülírása a kiegyenlítés (wear leveling) és a rejtett tartalékterület miatt nem ad bizonyítható, teljes adattörlést.
A kriptográfiai törlés nem a cellákat írja felül, hanem a titkosító kulcsot semmisíti meg — igazolhatóan titkosított meghajtón így a hatása a rejtett és tartalék cellákra is kiterjed, de csak tanúsított, dokumentált folyamatban ér valamit.
Ha a titkosítás nem verifikálható, a meghajtó sérült, vagy a folyamat nem dokumentálható, SSD-nél a tanúsított fizikai megsemmisítés a védhető út.
Egy leselejtezett SSD önmagában olcsó eszköz, a rajta maradt adat kockázata viszont akár egy egész adatvédelmi incidensé. A szervezetek mégis gyakran ugyanazzal a reflexszel kezelik a flash meghajtókat, mint a régi merevlemezeket: formáznak, gyári visszaállítást futtatnak, majd az eszközt továbbadják vagy raktárba teszik. Ami merevlemeznél nagyjából működött, az SSD-nél hamis biztonságérzet.
Az NIST SP 800-88 Rev. 2 médiatisztítási iránymutatása éppen ezért kezeli külön az SSD-ket: flash alapú tárolónál a felülíráson alapuló törlés nem ad ugyanolyan bizonyosságot, mint mágneses lemeznél, ezért szoftveres útként jellemzően a kriptográfiai törlést emeli ki. Hogy adott meghajtónál ez vagy a fizikai megsemmisítés a megfelelő, az az adat bizalmassági szintjén és az eszköz állapotán múlik.
Az általános, minden adathordozó-típusra érvényes döntési keretet — mikor törlés, mikor megsemmisítés — a fizikai megsemmisítés vagy tanúsított adattörlés írásunk tárgyalja. Ez a cikk a technika mélyére megy: miért nem törölhető hagyományos módon a flash tároló, pontosan hogyan működik a kriptográfiai törlés, és mik a feltételei, amelyek nélkül a módszer csak egy jól hangzó szó.
Miért nem számít adattörlésnek a formázás egy SSD-n?
A hagyományos merevlemez egy adott logikai szektort ugyanarra a fizikai helyre ír. Ha felülírják, az eredeti adat helyére ténylegesen új adat kerül. Az SSD egészen máshogy működik, és pontosan ez a különbség teszi félrevezetővé a megszokott törlési módszereket.
A flash memóriának korlátozott az írási ciklusszáma, ezért a vezérlő folyamatosan szétteríti az írásokat a cellák között. Ezt hívják kiegyenlítésnek (wear leveling), és emellett az SSD egy rejtett tartalékkapacitást is fenntart (over-provisioning). Amikor a felhasználó „felülír” egy fájlt, a régi adat fizikailag gyakran egy másik, kívülről közvetlenül nem címezhető cellában marad.
A gyakorlatban ez azt jelenti, hogy a felhasználói formázás, az operációs rendszerből indított gyári visszaállítás és a fájlszintű törlés egyike sem ad megbízható bizonyítékot arról, hogy minden adat végleg elérhetetlenné vált. A meghajtó kifelé üresnek látszik, miközben a rejtett cellákban ott maradhatnak az eredeti adattöredékek. A szoftveres felülírás sikere ráadásul nem is ellenőrizhető ugyanolyan egyértelműen, mint mágneses lemeznél: a vezérlő dönti el, mely cellákba ír valójában.
Fontos árnyalat: léteznek gyártói, eszközszintű secure erase és sanitize műveletek, amelyek valódi kriptográfiai törlést hajthatnak végre. A különbség nem a gomb nevében van, hanem a bizonyítékban: az operációs rendszerből indított visszaállítás vagy felhasználói formázás önmagában azért nem tekinthető tanúsított SSD adattörlésnek, mert az eredménye nem igazolt és nem dokumentált.
Hogyan működik a kriptográfiai törlés?
Egyes vállalati SSD-k, illetve az önmagukat titkosító meghajtók (self-encrypting drive, SED) alapból titkosítva tárolják az adatot: minden, ami a meghajtóra kerül, egy belső kulccsal titkosítva íródik le. Ilyenkor magának a felhasználói adatnak a törlése helyett elég a titkosító kulcsot megsemmisíteni. Kulcs nélkül a meghajtón maradt teljes tartalom — a rejtett és tartalék cellákban lévő töredékekkel együtt — értelmezhetetlen adathalmazzá válik.
Ezt nevezi a szakma kriptográfiai törlésnek, és két tulajdonsága miatt ez az SSD-k természetes törlési módszere. Az egyik a sebesség: nem kell a teljes kapacitást órákon át felülírni, a kulcs megsemmisítése rövid, gépi művelet. A másik a lefedettség: mivel nem a cellákat írja felül, hanem az értelmezésükhöz szükséges kulcsot szünteti meg, a hatása azokra a területekre is kiterjed, amelyeket a felülírás soha nem érne el — feltéve, hogy a meghajtó valóban minden adatot titkosítva tárolt.
A módszer ereje ugyanakkor teljes egészében a feltételein múlik. A kriptográfiai törlés nem egy gomb, amit bármely SSD-n meg lehet nyomni, hanem eljárás, amelynek minden lépése igazolható kell legyen.
A kriptográfiai törlés három feltétele
SSD adathordozó selejtezés előtt: a kriptográfiai törlés csak igazolható feltételekkel ér valamit
Első feltétel: a titkosításnak igazolhatóan, a meghajtó teljes élettartama alatt működnie kellett. Ha nem bizonyítható, hogy az adat végig titkosítva íródott a cellákba, a kulcs megsemmisítése csak a titkosított részt teszi olvashatatlanná — a korábbi, titkosítatlan töredékeket nem. Az, hogy egy SSD tud titkosítani, nem azonos azzal, hogy ez a funkció aktív és megbízható is volt.
Második feltétel: a kulcs megsemmisítésének eszközszintű, gyártói parancson keresztül, ellenőrzötten kell történnie. A jelszó átállítása vagy a partíció törlése nem kulcs-megsemmisítés. A szakszerű folyamat a meghajtó vezérlőjének dedikált parancsával dolgozik, és a végrehajtást gépszinten naplózza. Ide tartozik az is, hogy a kulcsnak ne létezzen külső másolata — mentés, kulcsletét vagy olyan gyártói hozzáférés, amely a későbbi visszanyerést lehetővé tenné.
Harmadik feltétel: a folyamatról tanúsítható, eszközre azonosított riport készül. A GDPR elszámoltathatósági elve nem a technológia nevét kéri számon, hanem a bizonyíthatóságot: dokumentálni kell tudni, melyik meghajtóval, mikor, mi történt. A tanúsított szoftveres adattörlés pontosan ettől több, mint egy házilag futtatott segédprogram — a folyamat végén hiteles tanúsítvány áll, ami a selejtezési audit alapdokumentuma.
Ha a három feltétel bármelyike nem teljesül — a meghajtó sérült, a vezérlő nem elérhető, a titkosítás múltja nem igazolható, vagy az adat érzékenysége miatt a szervezet nem vállal maradék-kockázatot —, akkor SSD-nél a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal. A kettő közötti mérlegelés szempontjait a fent hivatkozott döntési útmutató részletezi.
Mit jelent ez a költségek oldalán?
A kriptográfiai törlés üzleti vonzereje, hogy az eszköz működőképes és újrahasznosítható marad: egy értékes laptopnál vagy szervernél a meghajtó bent maradhat, a gép pedig a törlés után megőrizheti, sőt növelheti az eladási értékét. A tanúsított törlés közvetlen díja jellemzően magasabb, mint néhány vágásé — szoftverlicencet és felügyelt folyamatot igényel —, de értékes eszköznél a visszanyert érték ezt ellensúlyozhatja. Ez lehetőség, nem garancia: mindig előzetes értékfelmérés dönti el. Értéktelen vagy kiszerelt, önálló SSD-nél viszont gyakran a vágásos megsemmisítés az arányosabb megoldás.
Mi a védhető SSD adattörlési gyakorlat?
Az érett szervezeti gyakorlat SSD-nél nem módszert választ előre, hanem feltételeket ellenőriz: működik-e a meghajtó, igazolható-e a titkosítás, dokumentálható-e a folyamat. Ahol a három feltétel teljesül, a kriptográfiai törlés gyors, a rejtett területekre is kiterjedő és az eszköz értékét megőrző lezárást ad. Ahol nem, ott a tanúsított fizikai megsemmisítés zárja le bizonyíthatóan a kockázatot. Mindkét út végén ugyanannak kell állnia: hiteles tanúsítványnak.
Ha szervezete előtt SSD-selejtezés áll, érdemes előzetes értékfelméréssel kezdeni: ez mutatja meg eszközlistára szabottan, hogy hol elég a tanúsított kriptográfiai törlés, és hol indokolt a fizikai megsemmisítés. Egyedi ajánlatkérés alapján a Data Destroy szakértői a legoptimálisabb — és bizonyíthatóan lezárt — megoldásra tesznek javaslatot.
Gyakori kérdések
Elég a formázás vagy a gyári visszaállítás egy SSD-nél?
Nem. A flash tároló vezérlője az adatokat rejtett és tartalék cellákba is szétteríti, ezért a formázás és a gyári visszaállítás nem ad bizonyítható, teljes adattörlést — a meghajtó csak üresnek látszik.
Mit jelent a kriptográfiai törlés SSD-nél?
A titkosítva tároló meghajtón nem az adatot írják felül, hanem a titkosító kulcsot semmisítik meg eszközszintű paranccsal, amitől a teljes tárolt tartalom — a rejtett cellákban is — visszafejthetetlenné válik.
Minden SSD alkalmas kriptográfiai törlésre?
Nem. Feltétele, hogy a meghajtó igazolhatóan, a teljes élettartama alatt titkosítva tárolt, a kulcs-megsemmisítés gyártói parancson át, naplózva történjen, és a folyamatról tanúsított riport készüljön. Ez eszközfüggő, ezért előzetes felmérést igényel.
Mi történik, ha az SSD sérült, vagy a titkosítás nem igazolható?
Ilyenkor a kriptográfiai törlés alapfeltétele hiányzik, ezért a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal.
Drágább a kriptográfiai törlés, mint a fizikai megsemmisítés?
Nem általánosítható. A tanúsított törlés közvetlen díja jellemzően magasabb, cserébe az eszköz újrahasznosítható marad, és megőrizheti az értékét; értéktelen, önálló SSD-nél a vágásos megsemmisítés lehet az arányosabb. A döntést az adat érzékenysége, az eszköz állapota és a bizonyíthatóság vezérli, nem önmagában az ár.
Adatmegsemmisítés és adattörlés ára: mitől függ a szolgáltatás költsége?
Az adatmegsemmisítés és az adattörlés árára nincs fix listaár: minden megbízás egyedi kalkuláció, mert a végösszeget több tényező együtt alakítja — az eszközök mennyisége és típusa, a választott eljárás (fizikai megsemmisítés vágással vagy szoftveres törlés), a biztonsági szint és a helyszín. A két eljárás eltérő logikát követ, ezért nem a darabár, hanem a nettó eredmény a mérvadó: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. A szoftveres törlés egyik fő előnye éppen ez — az eszköz fizikailag ép és továbbértékesíthető marad, így a visszanyert érték mérsékelheti a projekt költségét. Minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár, amely a GDPR szerinti elszámoltathatóságot bizonyítja. A datad.hu (Data Destroy Kft.) szakértői a megrendelő helyzetéhez igazítva keresik meg a legoptimálisabb — nem a legdrágább — megoldást.
Mitől függ az adatmegsemmisítés és adattörlés ára?
Az adatmegsemmisítés és az adattörlés ára nem olvasható le egyetlen táblázatból. Ez nem rejtett árazás, hanem a szolgáltatás természetéből fakad: minden megbízás más eszközparkot, más biztonsági igényt és más logisztikát jelent, ezért a tisztességes ár mindig az adott projekt paramétereiből áll össze.
A Data Destroy kétféle eljárással dolgozik, és már a kettő közötti választás is az ár egyik kulcskérdése:
Fizikai megsemmisítés (vágás): az adathordozót speciális, nagy biztonságú daraboló berendezéssel — a datad által alkalmazott MAXXeGUARD shredder-technológiával — néhány vágással fizikailag használhatatlanná tesszük. A MAXXeGUARD szerepel a NATO Information Assurance Product Catalogue-ban (NIAPC).
Szoftveres törlés: minősített szoftverrel (Blancco) úgy töröljük az adatokat, hogy az eszköz fizikailag ép és újrahasználható marad.
Az alábbiakban végigvesszük, mely tényezők alakítják a végösszeget — vezetői szemmel, a felesleges szakmai részletek nélkül.
Eszközmennyiség és a minimáldíj logikája
A darabszám az egyik legerősebb áralakító tényező — de nem lineárisan. Egy megbízásnak vannak fix költségei (a szakemberek kiszállása, a berendezés mozgatása, az adminisztráció), amelyek néhány eszköznél ugyanúgy felmerülnek, mint több száznál. Ezért van minimáldíj, és ezért szerepel az ajánlatban külön kiszállási költség.
Egy szélsőséges példa világossá teszi: öt darab adathordozóért nem gazdaságos ugyanazt az infrastruktúrát és személyzetet kivonultatni, mint ötszázért. Kis tételnél éppen ezért gyakran a beszállításos megoldás az optimális — erről a logisztikai szakaszban lesz szó. Nagyobb mennyiségnél viszont a fix költségek elaprózódnak, így az egy eszközre jutó díj jellemzően csökken.
Vágás vagy törlés? — és miért nem a darabár dönt
Gyakori kérdés, hogy „melyik olcsóbb, a megsemmisítés vagy a törlés?”. Erre nincs egyetemes válasz, mert a kettő mást nyújt, és a végeredményt nettóban érdemes nézni: a szolgáltatás díja mínusz az, ami az eszközből visszajön.
A négy tipikus eset:
Értéktelen vagy kiszerelt adathordozó: ha a meghajtónak önmagában nincs piaci értéke, nincs mit megőrizni rajta — a nettó eredmény itt a vágás felé billen.
Értékes, működő eszköz: a szoftveres törlés a minősített törlőszoftver (Blancco) licencét és a háttérrendszer fenntartását igényli, cserébe viszont az eszköz fizikailag ép marad és továbbértékesíthető. A megmaradó érték miatt itt a nettó eredmény a törlés javára billenhet — a visszanyert eszközérték mérsékli a projekt költségét.
Komplett, piaci értékkel bíró gép: ilyenkor gyakran az a leggazdaságosabb, ha a meghajtót a gépben hagyjuk és töröljük — mert ez megőrzi, sőt növelheti a teljes gép eladási értékét.
Vegyes park: a legtöbb nagyobb projekt vegyes. Amit érdemes megőrizni, azt töröljük; amit nem, azt vágással semmisítjük meg. Ez gyakran a legjobb összesített eredmény.
Egy kivezetési projekt sokszor sokféle adathordozót tartalmaz egyszerre — HDD, SSD, szerver, laptop, DAT kazetta, mobiltelefon, memóriakártya, USB pendrive. Eszközönként más a kérdés: lehet-e az adatot a gépben hagyva törölni, vagy ki kell szerelni a meghajtót, és egy erre dedikált törlőállomáson törölni. Van, amit egyszerűen nem éri meg törölni: a DAT kazetta szoftveres törlése például rendkívül körülményes, és a használt szalagnak nincs érdemi másodpiaci értéke — ilyenkor a vágással történő megsemmisítés a logikus út.
A lényeg: a darabár önmagában félrevezető. A szakértő azt nézi, hogy az adott eszközparkból mi a legkedvezőbb nettó kimenet.
A vágás biztonsági szintje és a felülírás mint ártényező
A megsemmisítésnél nem mindegy, milyen apró darabokra vágjuk az adathordozót. Minél kisebb darabokra, annál magasabb a biztonsági szint — de annál több a gépidő is, ami emeli az árat. Egy magasabb biztonsági besorolású megsemmisítés tehát jogosan kerül többe, mint néhány gyors vágás.
A szoftveres törlésnél hasonló a logika a felülírással: az egyszeri és a többszörös felülírás eltérő időt vesz igénybe — több menet több gépidőt és így magasabb költséget jelent. Hogy melyik szint indokolt, az az adat érzékenységétől függ; ezt a megrendelővel közösen határozzuk meg.
Azt, hogy hány vágás vagy felülírás indokolt, alapvetően két dolog dönti el: a megrendelő belső adatkezelési szabályzata (policy), és a szakmailag alátámasztható, logikus biztonsági igény. Ha egy szabályzat előír egy adott darabolási szintet, annak meg kell felelni — a belső előírás tiszteletben tartása a kiindulópont. A tapasztalat ugyanakkor az, hogy a szabályzatok sokszor a legszigorúbb szintet rögzítik, ami nem minden esetben technikailag indokolt; ilyenkor érdemes közösen átgondolni, mi a valós kockázattal arányos megoldás. Ahol nincs ilyen kötöttség, ott a megfelelően megválasztott vágási mód a gyakorlatban visszaállíthatatlanná teszi az adatot — a szükséges darabolási szintet pedig az adathordozó típusa és a kockázat szabja meg.
> A teljesség kedvéért: a demagnetizálás (degausszolás) szintén egy ismert megsemmisítési mód, a Data Destroy azonban ezt nem alkalmazza — az ügyfelek (jogos) bizalmatlansága miatt, hiszen az eredménye szabad szemmel nem ellenőrizhető. Mi a vizuálisan is ellenőrizhető vágást, illetve a tanúsítvánnyal igazolt szoftveres törlést kínáljuk.
Helyszín és logisztika: hol és hogyan történik a munka?
Az ár egyik kevésbé látható, de fontos összetevője, hogy hol végezzük el a munkát, és ki szállítja az eszközöket.
Helyszíni vagy beszállításos elvégzés
Beszállításos megoldásnál az eszközök a Data Destroy telephelyére kerülnek, ahol a feldolgozás saját, optimalizált kapacitáson zajlik. Ez jellemzően kedvezőbb egységköltséget tesz lehetővé, és kis tételnél szinte mindig ez az ésszerű választás.
Helyszíni elvégzés akkor indokolt, ha a belső szabályzat vagy a körülmények nem teszik lehetővé az eszközök elszállítását. Itt fontos különbség van a két eljárás között:
Helyszíni megsemmisítés (vágás) esetén a nagy értékű ipari berendezést és a megfelelő jogosultságú, tapasztalt szakembereket a helyszínre visszük. Ez nem egyszerű „kiszállási felár”, hanem egy komplett mobil szolgáltatás kivonultatása, ami jelentős többletköltséggel jár.
Helyszíni törlésnél a megfelelő kezelőkörnyezetet mi hozzuk létre és telepítjük a törlés idejére; a megrendelő oldaláról elég a hely, az áram és az alaphálózat biztosítása. Itt egy gyakran alábecsült tényező a rendelkezésre álló helyiség mérete: nem mindegy, hogy egyszerre tíz vagy ötven gépet tudunk feldolgozni, mert ez közvetlenül befolyásolja a projekt időtartamát és így a költségét.
Szállítás és földrajzi távolság
Az is számít, hogy ki és hogyan szállítja az eszközöket. Ha a Data Destroy zárt, nyomon követett láncban gyűjti be az adathordozókat, az nagyobb biztonságot ad, de logisztikai költséggel jár. Ha a megrendelő maga szállít, az olcsóbbnak tűnhet — de érdemes mérlegelni, hogy a saját szállítás során ki viseli a kockázatot egy esetleges eltűnésért. A földrajzi távolság szintén tényező: egy budapesti és egy debreceni helyszín kiszállási költsége értelemszerűen eltér.
Iparági megfelelés és dokumentáció
Vegyes adathordozók egy helyen: merevlemez, SSD, M.2, USB és memóriakártya
Bizonyos ágazatokban — pénzügy, egészségügy, állami szektor, illetve TISAX vagy ISO 27001 szerint auditált környezetben — magasabb kontrolligény szokott megjelenni. Ez nem azt jelenti, hogy a szolgáltatás önmagában „megfelelést ad”, hanem azt, hogy ezekben a környezetekben jellemzően szigorúbb folyamatra, szorosabb kontrollra és nagyobb körültekintésre van szükség, ami az árban is megjelenhet.
A háttérben a GDPR elszámoltathatósági elve (5. cikk (2) bekezdés) áll: a szervezetnek bizonyítania kell, hogy az adatkezelési — így az adattörlési — kötelezettségeit teljesítette. Az adathordozók biztonságos kivezetése a tágabb kiberbiztonsági kontrollkörnyezetnek (például a NIS2 irányelv kockázatkezelési elvárásainak) is része lehet. Mindez közvetve azt jelenti: a megfelelő dokumentáció nem formalitás, hanem maga a bizonyíték.
Tanúsítvány és nyomonkövetés — minden megbízás része
Fontos tisztázni: minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár. Ez nem opcionális felár, hanem a szolgáltatás alapvető eleme. Egy auditbiztos megbízás dokumentációja jellemzően tartalmazza:
A tételes eszközjegyzéket — minden kezelt adathordozó sorozatszáma, típusa és a rajta elvégzett eljárás.
A tételes, visszakereshető tanúsítványt — a projekt dátumával, az érintett eszközök listájával, az alkalmazott eljárással és a felelős aláírásával.
Az átvételi-átadási nyomonkövetést (chain of custody) — annak igazolása, hogy az eszközök a begyűjtéstől a feldolgozás befejezéséig végig felügyelet alatt voltak.
Bizonyos megbízásoknál — jellemzően szigorúbb iparági vagy ügyfél-elvárás esetén — videós dokumentáció is kérhető a folyamatról. Ez projektfüggő, és mivel többletmunkát jelent, az árban is megjelenhet.
Költség vagy bevétel? Az értékes eszközök más képlet
Érdemes a projektre nem pusztán kiadásként tekinteni. Értékes, működő eszközöknél a felvásárlás-beszámítás csökkentheti, sőt kedvező esetben akár meg is fordíthatja a projekt költségét — ez azonban lehetőség, nem garancia, és előzetes állapot- és értékfelmérést igényel.
A logika egyszerű: ha egy gép vagy meghajtó még piacképes, akkor a tanúsított törlés után értékesíthető vagy beszámítható. A Data Destroy felvásárlási és IT-újrahasznosítási szolgáltatása így összekapcsolható az adattörléssel — a megrendelő nemcsak a megfelelőséget teljesíti, hanem a kivezetett eszközparkból visszanyert értékkel a projekt nettó költségét is mérsékelheti. Ez akkor is előny, ha a cég véglegesen kivezeti a gépet: ha a meghajtót benne hagyják és tanúsítottan törlik, a gép jellemzően magasabb áron értékesíthető, mint adathordozó nélkül — így a felvásárlási beszámítás közvetlenül csökkenti a törlési projekt nettó költségét. Hogy ez konkrétan mennyit jelent, mindig az eszközök korától, típusától és állapotától függ.
Hogyan kérj pontos ajánlatot?
A pontos, összehasonlítható ajánlathoz érdemes előre összeállítani néhány alapinformációt. Minél pontosabb a kép, annál pontosabb az ár:
Eszközök: típus (HDD, SSD, szerver, laptop, DAT kazetta, mobileszköz), becsült darabszám, hozzávetőleges kor és állapot (működő vagy hibás), illetve hogy a meghajtók kiszerelve vannak-e vagy a gépben.
Eljárás és biztonsági szint: vágás, törlés vagy vegyes — ha nem eldöntött, javaslunk; valamint hogy van-e elvárt biztonsági szint.
Helyszín: helyszíni vagy beszállításos; helyszíni törlésnél áll-e rendelkezésre megfelelő méretű helyiség; ki szállítja az eszközöket.
Határidő: van-e sürgős vagy audithoz kötött határidő.
Megfelelés és extra dokumentáció: van-e iparági (pénzügy, egészségügy, TISAX, ISO) elvárás; kell-e a tanúsítványon felül videós dokumentáció a folyamatról.
Érték: van-e a parkban értékesíthető, beszámítható eszköz.
Az ajánlat összehasonlítása: ne csak a darabárat nézzük
Ha több szolgáltatótól kér ajánlatot, az összehasonlítás félrevezető lehet, ha kizárólag az egységárakra figyel. Két azonos darabárú ajánlat mögött is eltérő minőség állhat: egy komoly szolgáltatónál a részletes, sorozatszámos, tételes tanúsítvány alapelvárás — máshol viszont csak egy összesített igazolás jár. Egy audit vagy hatósági vizsgálat esetén ez a különbség döntő. Ezért érdemes a teljes csomagot összehasonlítani: a tanúsítvány megbízhatóságát és tételességét, a megmaradó eszközértéket és a szakmai hátteret, nem csak a forintos egységdíjat.
A Data Destroy szakértői éppen ebben segítenek: az adat érzékenysége, az eszközök állapota és értéke, a helyszín, a határidő és a megfelelési elvárás alapján a legoptimálisabb megoldást keresik meg — gyakran épp a vegyes modellt —, nem automatikusan a legdrágábbat.
Legfontosabb megállapítások:
Az adatmegsemmisítés árára nincs fix listaár: a mennyiség, az eljárás (vágás vagy törlés), a helyszín és az eszközök típusa együtt határozza meg az egyedi kalkulációt.
Nem általánosítható, hogy melyik eljárás olcsóbb: a végeredményt nettóban érdemes nézni — a szolgáltatás díja mínusz az eszköz megmaradó értéke. Értékes, működő gépeknél a törlés akár csökkentheti is a teljes költséget.
Minden törléshez és megsemmisítéshez hiteles, tételes tanúsítvány jár — ez nem külön felár, hanem a szolgáltatás alapvető része.
Gyakori kérdések
Miért nincs kiírva fix adatmegsemmisítési árlista?
Mert a tisztességes ár mindig a konkrét projekt paramétereiből áll össze: a mennyiség, az eljárás (vágás vagy törlés), a biztonsági szint, a helyszín és a logisztika együtt határozza meg. Egy fix listaár vagy túlárazna egy egyszerű megbízást, vagy alulárazna egy összetettet — ezért adunk minden esetben egyedi kalkulációt.
A törlés vagy a megsemmisítés az olcsóbb?
Nem általánosítható. A két eljárás más logikát követ: a vágás után az adathordozó megsemmisül, a szoftveres törlés után az eszköz ép és értékesíthető marad. Ezért nem a darabárat, hanem a nettó eredményt érdemes nézni: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. Értékes, működő gépnél a megmaradó érték miatt a törlés adhat kedvezőbb összképet.
Kapok-e tanúsítványt a munkáról?
Igen, minden esetben. Hiteles, tételes tanúsítvány minden törléshez és megsemmisítéshez jár — ez nem külön felár, hanem a szolgáltatás alapvető része, és ez bizonyítja a GDPR szerinti megfelelőséget egy esetleges vizsgálatkor.
Mennyibe kerül, ha csak néhány eszközöm van?
Kis mennyiségnél a fix költségek (kiszállás, személyzet, adminisztráció) miatt minimáldíj és kiszállási költség merül fel. Ilyenkor gyakran a beszállításos megoldás a legésszerűbb — a szakértőnk segít megtalálni a kis tételhez illő, költséghatékony módot.
Helyszínen is el tudják végezni a munkát?
Igen. Helyszíni megsemmisítésnél a berendezést és a szakembereket a telephelyére visszük; helyszíni törlésnél a kezelőkörnyezetet mi telepítjük a törlés idejére. Utóbbinál a rendelkezésre álló helyiség mérete is befolyásolja, hány gépet tudunk egyszerre feldolgozni, és így a projekt időtartamát.
Visszakaphatom-e az eszközeim értékét?
Értékes, működő eszközöknél igen: a tanúsított törlés után az eszköz értékesíthető vagy beszámítható, ami csökkentheti a projekt nettó költségét. Ez előzetes érték- és állapotfelmérés kérdése — nem minden eszköznél működik, de ahol igen, ott érdemi megtakarítást jelenthet.
Tömeges adattörlés: szerverpark és eszközflotta biztonságos mentesítése
A tömeges adattörlés olyan nagyvállalati vagy intézményi folyamat, amelynek során egyszerre több száz vagy több ezer adathordozóról (HDD, SSD, szalagos médiák) kell biztonságosan, visszavonhatatlanul és auditálható módon eltávolítani az adatokat — jellemzően telephelybezárás, hdd leselejtezés, IT-eszközflotta cseréje, adatközpont selejtezése vagy lízing-visszaadás kapcsán. A folyamat két fő módszere — a minősített szoftveres törlés és a fizikai megsemmisítés — tömegben eltérő logisztikai és tanúsítási feltételeket támaszt. A GDPR 5. cikk (2) bekezdése szerinti elszámoltathatósági elv azt várja el, hogy az adatkezelő bizonyítani tudja a törlés megtörténtét; ennek auditbiztos gyakorlata a tételnagyságtól függetlenül az eszközönkénti, sorozatszám-szintű dokumentáció és tanúsítvány.
Legfontosabb megállapítások:
Tömeges adattörlési és hdd leselejtezési igénynél a logisztika (helyszíni vs. beszállításos), a párhuzamos kapacitás és az eszközönkénti nyomonkövethetőség határozza meg a projekt sikerét.
A szoftveres törlés és a fizikai megsemmisítés tömegben is különböző feltételek mellett optimális: SSD-k esetén a fizikai megsemmisítés NIST SP 800-88 Rev. 2 alapján is az ajánlott alternatíva, ha a kriptográfiai törlés nem elvégezhető.
Az auditbiztos gyakorlat szerint a tételnagyságtól függetlenül eszközönkénti, sorozatszám-alapú törlési jegyzőkönyv és tanúsítvány támasztja alá a GDPR elszámoltathatósági elvét.
Mikor merül fel tömeges adattörlési és hdd leselejtezési igény?
A tömeges adattörlés fogalma nem kötött alsó határhoz, de jellemzően akkor merül fel szervezeti szinten, amikor az érintett adathordozók száma meghaladja azt a küszöböt, ahol az egyszeri, manuális folyamatok még reálisan menedzselhetők. A hdd leselejtezés, az ssd leselejtezés és a merevlemez leselejtezés iránti igény rendszerint a következő szervezeti eseményekhez kapcsolódik:
Telephelybezárás vagy irodaköltöztetés. Ha egy szervezet regionális irodát, fióktelepet vagy gyártóegységet zár be, az ott használt teljes IT-infrastruktúra mentesítéséről kell gondoskodni. Ez jellemzően munkaállomások, notebookok, nyomtatók és hálózati eszközök egyidejű kezelését jelenti.
IT-eszközflotta cseréje (refresh). Nagyvállalatoknál a hardver-flotta rendszeres cseréciklusa (általában 3–5 évente) egyszerre akár ezres nagyságrendű eszköz kivonásával járhat. A használt IT eszközök selejtezése és az adatvédelmi mentesítés kötelező feltétele a GDPR-konform kibocsátásnak. A régi eszközökön tárolt adatokat a kivonás előtt bizonyíthatóan el kell távolítani.
Adatközpont selejtezése vagy konszolidáció. Ha egy szervezet saját üzemeltetésű szervertermet számol fel, felhőbe migrálja infrastruktúráját, vagy két adatközpontot von össze, az adatközpont selejtezésével érintett szerverek, tárolók és szalagos mentési médiumok (DAT kazetták, LTO szalagok) kezelése komoly kapacitástervezési feladatot jelent. Az adathordozó megsemmisítés és a hdd megsemmisítés az adatközpont-leszerelésnél az egyik legnagyobb kockázatú mozzanat.
Lízing- és bérelt eszközök visszaadása. A pénzügyi lízingbe vagy operatív lízingbe vett IT-eszközök visszaadásakor a lízingbe adó csak üres, de bizonyíthatóan tiszta eszközt vehet vissza. A bizonyítékot — az adattörlési tanúsítványt — az eszköz visszaadásakor kell tudni felmutatni. Ez jogi szempontból különösen kritikus, mivel az adathordozón tárolt adatokkal kapcsolatos adatvédelmi felelősség mindaddig az adatkezelő szervezetnél marad, amíg az eszközt ténylegesen átadja és az adatmentesítés bizonyított.
Felvásárlás, átszervezés, fúzió. Vállalati felvásárlásoknál az integráció részeként az átvevő cég sokszor a korábbi cég teljes IT-flottáját átveszi és selejtezi — ezzel mind a korábbi, mind az új entitás adatvédelmi kitettségét kezeli. A laptop selejtezés és a számítógép selejtezés ebben a forgatókönyvben is ugyanolyan dokumentációs kötelezettséggel jár, mint a szerver-szintű eszközöknél.
Mindezekben a forgatókönyvekben közös, hogy az érintett eszközök száma és az időnyomás együttesen olyan projektmenedzsment-igényt teremt, amelyet az ad-hoc, reaktív törlési megközelítés nem tud kiszolgálni.
A skálázás kihívásai: logisztika, kapacitás és párhuzamos törlés
Az egyszeri adattörlés és a tömeges adattörlés között a legélesebb különbség nem technológiai, hanem logisztikai és szervezési természetű. Néhány száz eszköz egyidejű kezelése olyan kérdéseket vet fel, amelyekre kisebb tételeknél nem szükséges felkészülni.
Helyszíni törlés versus beszállításos megoldás. A két alapmodell eltérő kompromisszumokat kínál:
A helyszíni (on-site) törlés esetén a szolgáltató a szervezet telephelyére viszi a szükséges hardvert és szoftvert, és az eszközök nem hagyják el az épületet a törlés befejezéséig. Ez különösen előnyös, ha az eszközök fizikai mozgatása érzékenységi vagy biztosítási szempontból problémás, vagy ha az eszközök száma és súlya miatt a logisztika aránytalan kockázatot jelentene. A hátránya, hogy a helyszíni kapacitás (párhuzamosan futtatható törlési munkafolyamatok száma) korlátozott.
A beszállításos modellnél az eszközök biztonságos, ellenőrzött szállítmányként kerülnek a törlési létesítménybe (a szolgáltatótól függően akár nyomkövetett szállítással). Ez nagyobb párhuzamos kapacitást tesz lehetővé (egyszerre több száz eszköz törlése), de a szállítás alatt az adatvédelmi felelősség gondos láncolata szükséges — a chain of custody dokumentálásával.
Párhuzamos törlési kapacitás. A szoftveres adattörlés időigényes: egy HDD teljes felülírása az eszköz kapacitásától és az alkalmazott szabvány lépéseinek számától függően több órát vehet igénybe. Ötezer eszköz esetén ez szekvenciálisan kezelve hetek, párhuzamos kapacitással napok kérdése. A megfelelő eszközpark kiválasztása és a tételnagysághoz igazított kapacitástervezés ezért alapvetően befolyásolja a projekt ütemezhetőségét. A flotta adattörlés hatékonysága nagyrészt az alkalmazott párhuzamos kapacitáson múlik.
SSD-k tömeges kezelése. A szilárdtest-meghajtók (SSD-k) esetén a szoftveres törlés technikailag bonyolultabb, mint HDD-k esetén: a wear-leveling mechanizmus és a flash-tárolás sajátosságai miatt a hagyományos felülírás-alapú módszerek nem garantáltan érik el az összes adatblokkot. Az ssd leselejtezés és az ssd megsemmisítés szabványos keretét a NIST SP 800-88 Rev. 2 határozza meg (a korábbi Rev. 1 verzió 2025. szeptember 26-án visszavonásra került): SSD esetén a hagyományos felülírás helyett jellemzően kriptográfiai törlés (Cryptographic Erase), megfelelő gyártói sanitization/Purge eljárás vagy fizikai megsemmisítés (Destroy) jöhet szóba; ha a kriptográfiai vagy gyártói törlés nem igazolható, a fizikai megsemmisítés a konzervatív alternatíva. Nagy tételben — különösen érzékeny adatosztályok esetén — a fizikai megsemmisítés gyorsabb és megbízhatóbb alternatíva, ha a kriptográfiai törlés elvégezhetőségére nincs garancia. A döntés az adatosztálytól, a szabályozói környezettől és a jövőbeli hasznosíthatóság szempontjaitól függ.
Nyomonkövethetőség nagy tételben: eszközönkénti audit és sorozatszám-szintű dokumentáció
Ipari merevlemez-shredder működés közben — a tömeges fizikai adatmegsemmisítés végállapota
A tömeges adattörlés egyik legsúlyosabb kockázata nem technikai, hanem dokumentációs természetű: ha az egyes eszközökhöz tartozó törlési bizonyíték nem egyedileg azonosítható, a hatósági ellenőrzésnél vagy egy adatvédelmi incidens vizsgálatánál nem lehet igazolni, hogy egy adott eszköz valóban mentesítésre került.
A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelő nem csupán eleget köteles tenni a szabályozási kötelezettségeknek, hanem azt dokumentáltan be is kell tudnia bizonyítani. Tömeges hdd leselejtezési projektnél ez azt jelenti, hogy minden egyes adathordozóhoz egyedi, az eszköz sorozatszámát (serial number), gyártóját, típusát és a törlési folyamat eredményét tartalmazó dokumentumra van szükség.
Mit tartalmaz az auditbiztos nyomonkövetési lánc?
Az eszközönkénti dokumentáció általában az alábbi elemeket foglalja magában:
Az eszköz egyedi azonosítói (sorozatszám, gyártó, modell, kapacitás)
Az átvétel időpontja és a chain of custody átadás-átvételi igazolása (helyszíni törlés esetén is)
Az alkalmazott törlési módszer és szabvány megnevezése (pl. NIST SP 800-88 Rev. 2 Clear/Purge szint)
A törlési folyamat sikerességének gépi logja és digitális tanúsítványa
Az aláírt papíralapú vagy digitális törlési tanúsítvány, amely az előzőket összefoglalja
Aggregált és tételes tanúsítvány. Tömeges projekteknél praktikus megkülönböztetni az összesített (batch-szintű) és az egyedi (eszközszintű) tanúsítványokat. Az összesített dokumentum a projekt egészéről ad áttekintést, de ez nem helyettesíti az eszközönkénti bizonyítékot — különösen akkor nem, ha az eszközök egy része más sorsra jutott (pl. hibás eszköz fizikai megsemmisítésre ment, míg a többi szoftveres törlésre).
Átláthatóság a döntéshozónak. Nagyvállalati projekteknél az IT-vezető, a DPO (adatvédelmi tisztviselő) és a pénzügyi vezető más-más szempontból érdekelt a dokumentációban: az IT-vezető az eszközleltár lefedettségét ellenőrzi, a DPO a jogi megfelelőség bizonyítékait, a pénzügyi vezető az eszközértékkel és a lízingvisszaadási feltételekkel kapcsolatos dokumentumokat. Egy jól szervezett tömeges projekt mindhárom igényt egy koherens dokumentációs csomaggal kiszolgálja.
Szoftveres törlés versus fizikai megsemmisítés tömegben: mikor melyik?
A tömeges igénynél a szoftveres törlés és a fizikai megsemmisítés közötti döntés nem csupán biztonsági, hanem logisztikai és gazdasági kérdés is. A két módszer tömeges alkalmazásának jellemzőit az alábbi szempontok szerint érdemes mérlegelni.
Szoftveres adattörlés tömegben:
A szoftveres törlés — ha a szoftver megfelel a vonatkozó szabványoknak és az eszköz fizikailag rendben van — lehetővé teszi, hogy az eszköz törlés után újrahasznosítható, tovább értékesíthető legyen. Ez különösen releváns flottacsere esetén, ahol a kivont eszközök egy része piaci értékkel bír. A merevlemez biztonságos törlése HDD-knél bevett és jól szabványosított eljárással hajtható végre nagy tételben is, a NIST SP 800-88 Rev. 2 Clear vagy Purge szintjén. Az időigény és a törlési siker aránya (egyes meghajtók hibák miatt nem tölthetők végig) viszont előre tervezhető; a hibás eszközök fallback-ként fizikai megsemmisítésre kerülhetnek.
Fizikai megsemmisítés tömegben:
Ha az adatokra vonatkozó biztonsági osztályozás magas, az eszközök SSD-k, vagy a szervezet nem kívánja az eszközöket továbbeladni, a fizikai megsemmisítés bizonyosabb és sok esetben gyorsabb tömegben is. Az ipari aprítóval (shredder) végzett adathordozó megsemmisítés esetén az egyedi meghajtó felépítésétől és típusától függetlenül garantálható az adat-visszaállíthatatlanság. A másik oldalon: a megsemmisített eszközök értéke elvész, és a keletkező anyagok kezelése és újrahasznosítása is részét képezi a folyamatnak.
Vegyes flotta esetén. A valóságban a tömeges projektek ritkán állnak homogén eszközparkból. Egy tipikus adatközpont selejtezési projekt vagy flottacsere HDD-ket, SSD-ket (SATA, NVMe), szalagos médiákat (DAT, LTO) és egyéb adathordozókat egyaránt érinthet. A módszer-mix meghatározása az eszközleltár-felmérés alapján történik: az eszköztípus, az adatosztályozás és a jövőbeli hasznosíthatóság együttesen határozza meg, hogy melyik eszköz melyik úton kerül kezelésre.
DAT kazetták és szalagos médiák tömegben. A szalagos mentési médiáknál a szoftveres felülírás nehézkes és időigényes; ezért nagy tételben a fizikai megsemmisítés az általánosan ajánlott megközelítés. A demagnetizálás (degaussing) kiegészítőként alkalmazható, de a szalagtípustól és a vonatkozó szabályozási keretektől függően önmagában nem feltétlenül tekinthető elegendő bizonyítéknak — ezt eseti módszertani döntés alapján érdemes meghatározni.
Hogyan tervezz tömeges adattörlési projektet?
A tömeges adattörlési projekt tervezése a kivitelezés előtt több héttel elkezdődik. Az alábbi lépések segítenek elkerülni a leggyakoribb csapdákat.
1. Eszközleltár felmérése. A projekt alapja az érintett eszközök pontos számbavétele: típus, gyártó, sorozatszám, tárolókapacitás, adatosztályozás. Ez az adat szükséges a módszer-mix meghatározásához, a kapacitástervezéshez és az ajánlatkéréshez is. A használt IT eszközök selejtezésénél a leltár elvégzése a logisztikai tervezés alapfeltétele.
2. Adatosztályozás. Nem minden eszközön tárolt adat egyenlő érzékenységű. A különböző adatosztályokhoz (pl. bizalmas személyes adatok, üzleti titkok, általános vállalati adatok) eltérő törlési módszer vagy biztonsági szint lehet előírt. A besorolás segít a módszer-mix és a prioritási sorrend meghatározásában.
3. Helyszíni vagy beszállításos döntés. Az eszközök fizikai állapota, mozgathatósága, a telephelyek száma és az időkeret együttesen határozzák meg, hogy helyszíni szolgáltatást, beszállításos modellt vagy kombinációt érdemes alkalmazni. Több telephely esetén az ütemezés és a szállítási lánc tervezése külön figyelmet igényel.
4. Dokumentációs igények tisztázása. A megrendelőnek érdemes előre meghatározni, milyen formátumban és részletezettséggel szükséges a törlési tanúsítvány (pl. egyedi eszközszintű digitális log, összesített PDF tanúsítvány, vagy mindkettő). Ha a dokumentációt lízing-visszaadáshoz, könyvvizsgálathoz vagy hatósági ellenőrzéshez kell felhasználni, ezeket a követelményeket a kivitelezés előtt érdemes rögzíteni.
5. Ütemterv és kapacitástartalék. Nagy projekteknél mindig érdemes kapacitástartalékot tervezni: a törlési folyamat egyes eszközöknél meghiúsulhat (hibás meghajtó), egyes szállítmányok késhetnek. Az ütemterv tartalmazza az egyes tételek átvételének, törlésének és tanúsításának mérföldköveit.
Adatkövetési kötelezettség és GDPR-megfelelőség tömeges projekteknél
A GDPR nemcsak a személyes adatok törlési jogát szabályozza (17. cikk), hanem az adatkezelési elvek körében a tárolás korlátozásának elvét is (5. cikk): a személyes adatok tárolása kizárólag addig indokolt, ameddig az adatkezelési cél megvalósításához szükséges. Tömeges selejtezési projektnél ez azt jelenti, hogy a kivont eszközökön tárolt személyes adatok mielőbbi, dokumentált törlése nem opció, hanem jogi kötelezettség.
A GDPR 33. cikke értelmében adatvédelmi incidens esetén az adatkezelőnek indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órán belül be kell jelentenie az incidenst a felügyeleti hatóságnak – kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Ha egy kivont, de még nem törölt eszköz elvész vagy jogosulatlan kezekbe kerül, az jellemzően ilyen bejelentési kötelezettséget keletkeztet. A tömeges hdd leselejtezési projekt ezért nemcsak IT-üzemeltetési, hanem jogi kockázatkezelési feladat is.
Ajánlott gyakorlat: a törlési tanúsítványt ne csak belső irattárban, hanem a szervezet adatkezelési nyilvántartásában (adatkezelési tevékenységek nyilvántartása) is rögzíteni, hogy hatósági ellenőrzésnél azonnal rendelkezésre álljon.
Gyakori kérdések
Mikor kell tömeges adattörlésre gondolni hdd leselejtezésnél?
Nincs rögzített alsó határ; gyakorlati tervezési küszöbként sok szervezetnél néhány tíz eszköz felett már érdemes dedikált tömeges projekttervezéssel megközelíteni a hdd leselejtezést és az eszközflotta mentesítését, ahol a logisztika, a párhuzamos kapacitás és a dokumentáció külön figyelmet igényel.
Hogyan kell dokumentálni a használt IT eszközök selejtezését GDPR szerint?
Az auditbiztos gyakorlat szerint eszközönkénti, sorozatszám-alapú törlési log és tanúsítvány az ajánlott. A GDPR 5. cikk (2) bekezdése szerinti elszámoltathatósági elv azt várja el, hogy az adatkezelő bizonyítani tudja az adattörlés megtörténtét — ehhez az eszközönkénti igazolás ad erősebb bizonyítékot, mint az összesített projekt-dokumentum önmagában.
Helyszíni vagy beszállításos törlés biztonságosabb?
Mindkét modell auditbiztos lehet, ha megfelelően dokumentált chain of custody kíséri. Helyszíni törlés esetén az eszközök nem hagyják el az épületet; a beszállításos adatközpont selejtezési modellnél a szállítás közben érvényes chain of custody és a zárt szállítás adnak garanciát. A döntés jellemzően az eszközök számától, az adatosztályozástól és a logisztikai lehetőségektől függ.
SSD-k esetén miért javasolt inkább a fizikai megsemmisítés tömeges ssd leselejtezésnél?
A szilárdtest-meghajtók (SSD-k) belső wear-leveling mechanizmusa miatt a hagyományos felülírás-alapú szoftveres törlés nem garantáltan éri el az összes adatblokkot. A NIST SP 800-88 Rev. 2 SSD esetén jellemzően kriptográfiai törlést, megfelelő gyártói sanitization/Purge eljárást vagy fizikai megsemmisítést tart elfogadható módszernek. Nagy tételű ssd leselejtezésnél, ahol az egyenként ellenőrzött törlési siker-arány nehezebben kezelhető, a fizikai megsemmisítés egyértelműbb bizonyosságot nyújt.
Szalagos médiákra (DAT, LTO) is vonatkozik a tömeges adattörlési kötelezettség?
Igen. A szalagos mentési médiákon tárolt adatok szintén a GDPR és az iparági adatvédelmi előírások hatálya alá esnek. Tömegben ezek fizikai megsemmisítése (aprítás, vagy demagnetizálás és aprítás kombinációja) általában a leghatékonyabb megközelítés.
Mennyi idő alatt végezhető el egy nagy léptékű tömeges adattörlési projekt?
Az időtartam az eszközök számától, típusától, a választott módszertől és a rendelkezésre álló párhuzamos kapacitástól függ. Helyszíni törlés esetén a kapacitás korlátozott, míg a létesítményszintű törlés napok alatt képes több ezer eszközt kezelni. A konkrét ütemtervet az eszközleltár alapján érdemes felmérni.
Minősített szoftveres adattörlés cégeknek: mit jelent és hogyan zajlik?
A minősített szoftveres adattörlés egy dokumentált, szabványalapú folyamat, amelynek során az adathordozón tárolt információt visszaállíthatatlanná teszik – a hozzáférhető területek felülírásával, illetve kriptográfiai törléssel, sérült eszköznél pedig fizikai megsemmisítéssel –, a műveletet a törlést végző által kiállított, eszközszintű tanúsítvány dokumentálja. A biztonságos adattörlés az adatvédelmi jogszabályok (GDPR 17. és 5. cikk) és a vonatkozó iparági szabványok (NIST SP 800-88 Rev. 2, ADISA) követelményeire épül, és audit-bizonyítékként szolgál megfelelőségi vizsgálatok során. A tanúsított adattörlés a gyári visszaállítástól és a formázástól abban különbözik, hogy az eszközönkénti workflow (leltár → törlés → verifikáció → tanúsítvány) teljes audit trail-lel zárul; a fogalmi különbségekről részletesen a kapcsolódó cikkben olvashat.
Legfontosabb megállapítások:
A minősített törlés lényege a szabványnak megfelelő felülírás plusz az eszközönkénti audit-nyomvonal – sem a formázás, sem az operációs rendszer törlése nem éri el ezt a szintet.
A NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavont változata) meghatározza, hogy melyik adathordozó-típusnál (HDD, SSD, NVMe, telefon) milyen módszerrel érhető el biztonságos adattörlés.
A folyamat végén kiállított tanúsítvány eszközazonosítót (sorozatszám), alkalmazott szabványt, dátumot és felelős szervezetet tartalmaz – ez a megfelelőség igazolását támogató bizonyíték GDPR- vagy NIS2-megfelelőségi vizsgálaton.
Mi a minősített adattörlés, és miben különbözik a sima törléstől?
Működőképes adathordozóknál a minősített szoftveres adattörlés a leggazdaságosabb megoldás, mert az eszköz utána újrahasználható marad; sérült vagy nem írható adathordozóknál a fizikai megsemmisítés a szükséges eljárás. Mindkét útnak közös eleme a dokumentált, auditbiztos lezárás.
A köznapi értelemben vett törlés – legyen az Lomtárból való végleges törlés, partíció-formázás vagy gyári visszaállítás – nem távolítja el az adatokat fizikailag az adathordozóról. Az operációs rendszer csupán felszabadítja a területet és eltávolítja a fájlrendszer hivatkozásait; maga az adat visszaállítható marad mindaddig, amíg az érintett szektorokat felül nem írja új adat. A fogalmi különbségekről (Clear / Purge / Destroy szintek, SSD vs. HDD viselkedés, gyári visszaállítás korlátai) részletesen a gyári visszaállítás és formázás összehasonlításáról szóló cikkben olvashat.
A minősített vagy tanúsított adattörlés ezzel szemben három kötelező elemből áll:
Szabványos, az adathordozó típusához illesztett módszertan – HDD-nél a hozzáférhető logikai területek teljes felülírása, SSD/NVMe-nél viszont a wear-leveling és az over-provisioning miatt a host-oldali felülírás önmagában nem ér el minden fizikai cellát, ezért ott a kriptográfiai törlés vagy a gyártói sanitize/Secure Erase, illetve végső esetben a fizikai megsemmisítés az arányos megoldás.
Ellenőrzés (verification) – a felülírást követően a szoftver ellenőrzi a törlés eredményét, jellemzően a felülírt területek (teljes vagy mintavételes) visszaolvasásával, illetve az eszköz állapotának és anomáliáinak kiértékelésével; az eltérések rögzítésre kerülnek.
Dokumentálás (audit trail) – az egész folyamat naplózódik: az eszköz sorozatszáma, típusa, a törlés módszere, az operátor azonosítója, a dátum és az ellenőrzés eredménye mind rögzítve van.
Ez a hármas követelmény különbözteti meg a minősített adattörlést az egyszerű, dokumentálatlan eljárásoktól. Adattörlés cégeknek összefüggésében az utóbbi szempont – a dokumentálás – különösen kritikus: ez az egyik legerősebb bizonyíték arra, hogy a szervezet valóban gondoskodott az adat visszaállíthatatlan megsemmisítéséről.
Szabványháttér: NIST 800-88 Rev. 2, ADISA
A minősített adattörlés mögött álló legelterjedtebb referenciadokumentum a NIST SP 800-88 Rev. 2 (hatályos 2025. szeptember 26-a óta, a Rev. 1 ugyanekkor visszavonásra került; elérhető: csrc.nist.gov/pubs/sp/800/88/r2/final). A Rev. 2 három szintet határoz meg:
Clear – logikai felülírás, amely megvéd a szoftveres helyreállítástól (pl. szabványos egy-menetes felülírás HDD-n).
Purge – olyan módszer, amely a fejlettebb laborfelszereléssel végzett helyreállítás ellen is véd; SSD esetén jellemzően a kriptográfiai törlés (cryptographic erase), illetve a gyártó által támogatott, eszközszinten verifikált parancsok (pl. ATA Secure Erase, NVMe Sanitize) tartoznak ide – ezek Purge-szintű megbízhatósága azonban eszköz- és firmware-függő, ezért az eredmény verifikálása elengedhetetlen (a Rev. 2 a részletes technikai követelményeknél részben külön médiasanitizációs szabványokra – például az IEEE 2883-ra – támaszkodik).
Destroy – fizikai megsemmisítés (aprítás, olvasztás), amelyre akkor kerül sor, ha a szoftveres módszerek nem alkalmazhatók.
Az ADISA (Asset Disposal and Information Security Alliance) például olyan iparági termékminősítési sémát működtet, amely a szoftver- és szolgáltatói piacot hivatott függetlenül értékelni: az ilyen termékvizsgálatok célja annak igazolása, hogy egy adattörlő megoldás eléri a deklarált biztonsági szintet az adott adathordozó-típuson.
Az iparágban referenciának tekintett törlőszoftverek – például a Blancco – jellemzően független tesztelésen és/vagy értékelésen esnek át, amelyek célja a törlési logika megbízhatóságának igazolása. A „blancco törlés” fogalma az iparágban a dokumentált, verifikált és tanúsítványos szoftveres megközelítés egyik közismert szinonimájává vált.
SSD-k és NVMe-eszközök esetén különös figyelmet igényel a wear-leveling mechanizmus: az SSD firmware automatikusan egyenlíti az írások terhelését a cellák között, ami azt jelenti, hogy egy egyszerű szekvenciális felülírás nem feltétlenül ér el minden fizikai cellát. Ezért SSD-kre a Purge szintű módszerek ajánlottak – a Clear szint önmagában nem garantál teljes adatmegsemmisítést.
Telefon minősített törlése esetén az eszköz típusa döntő: a modern mobileszközöknél a gyári visszaállítás jellemzően kriptográfiai törlést (crypto-erase) hajt végre a titkosítási kulcs eltávolításával, ami megfelelő módszer lehet – de ez eszköztámogatástól függ, ezért üzleti környezetben az eredményt minden esetben verifikálni és dokumentálni kell.
A minősített törlési workflow lépései: leltártól a tanúsítványig
A törlés utáni ellenőrző olvasás (verifikáció): az adathordozó fizikai kapcsolaton keresztül, auditálható módon kerül igazolásra.
A biztonságos adattörlés folyamata az eszköz fizikai átvételével kezdődik. A chain of custody (ellenőrzési lánc) azt dokumentálja, hogy az adathordozó az eredeti helyétől a törlési helyszínig, majd az eszköz visszaadásáig vagy megsemmisítéséig minden átadási ponton azonosítva volt, és felelős személy kezelte. Ez a logisztikai lánc fontos kontrollelem az ISO 27001 és a NIS2 szerinti eszközkezelés szempontjából is.
Az eszközök sorozatszám, gyártó, modell, kapacitás és fizikai állapot alapján azonosítva kerülnek rögzítésre. A szerver-rack pozíció, eszközcímke és a szervezet belső leltárszáma is feljegyzésre kerül. Ez az előzetes leltár válik az összesített projekt-tanúsítvány alapjává, és az egyeztetés alapján visszaigazolja, hogy minden eszköz feldolgozásra került.
Az eszközleltár kialakításakor érdemes figyelembe venni a különböző adathordozó-típusokat:
HDD (magnetic hard drive): host-oldali szekvenciális felülírás + verifikáció a standard módszer.
SSD / NVMe: kriptográfiai törlés, ATA Sanitize vagy NVMe Sanitize parancs – wear-leveling miatt a host-oldali overwrite önmagában nem elegendő.
Mobileszközök / táblagépek: crypto-erase a gyártói visszaállítási mechanizmuson keresztül, verifikált eszköztámogatással.
Hibás vagy felismerhetetlenné vált eszközök: ezeket a leltárban külön jelölik; törlés helyett fizikai megsemmisítés következik.
2. lépés – Szállítás vagy helyszíni törlés
Az eszközök vagy biztonságos szállítással kerülnek a törlési helyszínre, vagy a szolgáltató a megrendelő telephelyén végzi a munkát (on-site törlés). Mindkét esetben az átvételi dokumentum aláírásra kerül, és rögzítésre kerül az átadás pontos időpontja, helyszíne és a felelős képviselők neve. Az on-site törlés különösen ajánlott, ha az adathordozók különleges személyes adatokat, üzleti titkokat vagy törvényi titoktartási kötelezettség alá eső információkat tároltak.
3. lépés – Törlés végrehajtása (eszközönként)
A minősített szoftver eszközönként futtatja a kiválasztott módszert (kriptográfiai törlés, overwrite-algoritmus, ATA Secure Erase vagy NVMe Sanitize). Minden eszköz eredménye önállóan rögzítve van; a párhuzamosan futó törlési folyamatok nem mosódnak össze – az audit trail mindig visszavezethető egy konkrét sorozatszámhoz.
4. lépés – Ellenőrző olvasás (verification pass)
A szoftver a szabványtól és a szervezeti előírástól függően ellenőrzi a törlés eredményét – a felülírt területek (teljes vagy mintavételes) visszaolvasásával és a várt mintával való összevetésével, illetve az eszköz státuszának és hibáinak kiértékelésével. Az eltérések – beleértve a sikertelen szektorokat is – rögzítve maradnak a naplóban. Ez a verification pass kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték áll rendelkezésre.
5. lépés – Tanúsítvány kiállítása
A törlési szoftver eszközönkénti tanúsítványt (certificate of erasure) állít ki automatikusan. Ez a lépés nem opcionális: dokumentáció nélkül a „minősített” jelző nehezen állja meg a helyét, mert a tanúsítvány teszi a törlést utólag igazolhatóvá.
A törlési tanúsítvány mezői és audit trail struktúrája
A törlési tanúsítvány az adattörlés cégeknek folyamat legfontosabb kimenetele. A tanúsítvány minimálisan tartalmazza:
az eszköz gyártóját, modelljét és sorozatszámát,
a törlési módszert és alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge),
a törlés dátumát és idejét,
a törlést elvégző operátor/szervezet azonosítóját,
az ellenőrző olvasás eredményét (sikeres/sikertelen szektorok),
az esetleges hibás szektorok listáját és a kezelési döntést (fizikai megsemmisítés / exception approval).
Egy jól dokumentált törlési projekt esetén a megrendelő megkapja:
Összesített projekt-tanúsítványt – projekt szintű összefoglaló, összes eszközszám, dátum, módszer, felelős szervezet neve és aláírása.
Eszközszintű egyedi tanúsítványokat – minden egyes sorozatszámhoz külön dokumentum, visszakereshető azonosítóval.
Törlési naplót (audit log) – részletes szoftveres log, exportálható auditcélokra; tartalmazza az összes sikeresen és sikertelenül törölt szektor adatát, az alkalmazott módszer pontos paramétereit és az időbélyegeket.
Ez a háromszintű dokumentáció támogatja, hogy a szervezet igazolni tudja megfelelőségét belső auditon, hatósági ellenőrzésen vagy ügyfél által megkövetelt due diligence folyamatban.
Mit kér egy auditor? ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során jellemzően a következőket kérik: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (melyik eszköz, mikor, ki által), eszközszintű törlési tanúsítványok, chain-of-custody dokumentumok, failed wipe log és a sikertelen esetekre vonatkozó kezelési döntések feljegyzései. Ha ezek bármelyike hiányzik, a kontroll bizonyítatlanná válik – akkor is, ha az eszközök technikailag rendben lettek törölve.
Megőrzési idő: az adatvédelmi és informatikai biztonsági dokumentumok megőrzési kötelezettségét a szervezet belső iratkezelési szabályzata, valamint az alkalmazandó jogszabályok határozzák meg. A digitálisan aláírt, időbélyegzett formában megőrzött tanúsítvány adja a legerősebb bizonyítékot.
Mikor szoftveres, mikor fizikai megsemmisítés?
A szoftveres és a fizikai megközelítés nem egymás helyettesítője – a választás az eszköz állapotától, a biztonsági követelménytől és a jövőbeli felhasználástól függ.
Szoftveres minősített törlés ajánlott, ha:
Az eszköz fizikailag működőképes és a törlőszoftver el tudja érni az adathordozó összes területét.
A szervezet az eszközt értékesíteni, újrahasznosítani vagy visszaadni kívánja (pl. lízingvisszaadás, viszonteladás, adományozás).
A biztonsági besorolás nem igényel fizikai megsemmisítést.
Fizikai megsemmisítés szükséges vagy indokolt, ha:
Az eszköz meghibásodott és a szoftver nem fér hozzá az adatterületekhez.
Az adatok besorolása (pl. különleges személyes adat, üzleti titok, kormányzati minősített adat) fizikai megsemmisítést ír elő.
Az SSD wear-leveling-ből eredő bizonytalanság nem fogadható el a szervezet belső kockázatvállalási szintje alapján.
A fizikai megsemmisítés részleteiről – aprítási kategóriák, tanúsítványkövetelmények – külön cikk szól; itt a folyamat mindkét ágát egyformán az adattörlési tanúsítvány köti össze.
A tanúsított adattörlés mint GDPR- és NIS2-megfelelőségi bizonyíték
A GDPR a személyes adatok kezelésének megszűnésekor az adatkezelőtől azt várja el, hogy a törlési kötelezettség teljesítéséről bizonyítékot tudjon felmutatni. A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét: az adatkezelőnek képesnek kell lennie igazolni, hogy az adatkezelési elveknek (köztük a tárolás korlátozásának, 5. cikk (1) e) pont) megfelelt. A GDPR 17. cikke alapján fennálló törlési kötelezettség teljesítésének bizonyítéka szintén ez az elvárás mentén vizsgálódik. Az adatvédelmi hatóság vizsgálata során a törlési tanúsítvány az, ami alátámasztja, hogy a szervezet gondoskodott az adat visszaállíthatatlan megsemmisítéséről – nem egyszerűen „törölte” azt.
A NIS2 irányelv (2022/2555, 21. cikk) az alapvető és fontos szervezetektől általános kiberbiztonsági kockázatkezelési intézkedéseket vár el – köztük az eszköz- és hozzáférés-kezelést –, amelyek kontrollkörnyezetében az adathordozók biztonságos kivonása is releváns. A megfelelőséget az adatkivonásnál is célszerű bizonyíthatóan dokumentálni.
Az ISO 27001:2022 kockázatalapú kontrollválasztásában – az alkalmazhatósági nyilatkozat (SoA) keretében – jellemzően szerepelnek az információ biztonságos törlésére és az eszközök biztonságos selejtezésére, illetve újrahasználatára vonatkozó kontrollok; ezek mentén a szervezet dokumentált eljárást és visszakereshető bizonyítékot tart fenn a kivont eszközökre.
Pénzügyi szektorban a DORA (2022/2554) az ICT harmadik felekhez kapcsolódó kockázatok kezelését is elvárja – fontos azonban, hogy egy külső adattörlési szolgáltató nem automatikusan minősül DORA-hatályú ICT harmadik félnek; ez eseti minősítés kérdése. Ahol releváns, ott a tanúsított, auditálható adattörlési folyamat a megfelelést támogató kontroll lehet.
Összefoglalva: a minősített törlés nem csupán technológiai megoldás, hanem megfelelőségi bizonyíték – a törlési tanúsítvány az a dokumentum, amely egy hatósági vizsgálaton vagy auditi eljárásban eszközszintű, mérésen alapuló, archivált bizonyítékot nyújt.
Összefoglaló: mire figyeljen a szervezet adattörlés cégeknek összefüggésében?
A vállalati adatkezelési életciklus utolsó lépése – az eszközök kivonása – pontosan olyan üzleti folyamat, mint bármely más biztonsági kontroll. Öt minimum-ellenőrzési pont:
Eszközszintű nyilvántartás – rögzítve van-e minden kivont eszköz sorozatszáma, a törlés időpontja és módszere?
Verifikáció – van-e mérésen alapuló bizonyíték (a szabvány vagy a belső szabályzat szerinti verifikáció, tanúsítvány) a törlés sikerességéről?
Hibás eszközök protokollja – definiált-e az út, ha egy eszköz nem írható (fizikai megsemmisítés következik)?
Audit trail visszakereshetősége – a belső iratkezelési szabályzat szerinti megőrzési időre visszamenőleg (például néhány évre) előállíthatók-e a tanúsítványok?
Ha az öt pontból akár egyre is „nem” a válasz, a folyamat felülvizsgálata indokolt – még mielőtt egy hatóság vagy egy ügyfél teszi meg.
Az adattörlési tanúsítvány megkéréséhez és a minősített törlési folyamat elindításához forduljon a Data Destroy Kft. szakértőihez: az ajánlatkérés az adott adathordozó-típus, eszközmennyiség és biztonsági besorolás alapján személyre szabható.
Gyakori kérdések
Mit jelent a minősített törlés, és miben különbözik a sima törléstől?
A minősített törlés (tanúsított adattörlés) szabványos felülírási módszert (NIST SP 800-88 Rev. 2 Clear vagy Purge szint), verifikációs lépést és eszközszintű törlési tanúsítványt jelent. A sima törlés (formázás, Lomtár kiürítése, gyári visszaállítás) csak a fájlrendszer hivatkozásait távolítja el; a tényleges adatterületek visszaállíthatók maradnak. A fogalmi és technikai különbségekről részletesen az összehasonlító cikkben olvashat.
Melyik szabvány alapján kell elvégezni a minősített törlést?
A legelterjedtebb hivatkozás a NIST SP 800-88 Rev. 2 (a Rev. 1 2025. szeptember 26-án visszavonásra került). HDD, SSD és flash-alapú adathordozókra eltérő módszereket (Clear, Purge) ír elő. Az ADISA termékminősítési séma a törlőszoftver megbízhatóságát hitelesíti. A konkrét szervezeti követelményt az adatbiztonsági szabályzat és az iparág-specifikus előírások is befolyásolhatják.
SSD-n és telefonon is elvégezhető minősített törlés?
Igen, de más módszertannal, mint HDD-n. SSD-n a wear-leveling miatt az egyszerű szekvenciális felülírás nem elegendő – a Purge szintű módszerek (ATA Secure Erase, NVMe Sanitize parancs, kriptográfiai törlés) alkalmazása szükséges. Telefon minősített törlése esetén a modern, alapból titkosított mobileszközöknél a gyártói visszaállítás jellemzően kriptográfiai törlést (crypto-erase) végezhet a titkosítási kulcs eltávolításával – ez azonban eszköz-, implementáció- és kulcskezelés-függő, ezért az eredményt verifikálni és dokumentálni kell. Ha a szoftveres módszer meghibásodott eszközön nem hajtható végre, a fizikai megsemmisítés az egyedüli megbízható megoldás.
Mit tartalmaz a törlési tanúsítvány?
Az eszközszintű tanúsítvány minimálisan tartalmazza az eszköz sorozatszámát, gyártóját és modelljét, a törlési módszert és az alkalmazott szabványt (pl. NIST 800-88 Rev. 2 Purge), a törlés dátumát és időpontját, az elvégző szervezet azonosítóját, valamint az ellenőrző olvasás eredményét. A tanúsítvány auditcélra felhasználható, és GDPR-, NIS2- vagy ISO 27001-megfelelőségi vizsgálatokon bizonyítékként bemutatható.
Hogyan kapcsolódik a biztonságos adattörlés a GDPR-hoz?
A GDPR 5. cikk (2) bekezdése alapján az adatkezelőnek igazolnia kell, hogy az adatkezelési elveknek – köztük a tárolás korlátozásának – megfelelt. A GDPR 17. cikke szerinti törlési kötelezettség teljesítését a törlési tanúsítvány támasztja alá, amelyet az adatvédelmi hatóság vizsgálata során be lehet mutatni. A „töröltük” önbevallásos állítás – formázással vagy gyári visszaállítással alátámasztva – erre a célra nem elégséges.
Mikor nem elegendő a szoftveres minősített törlés?
Ha az eszköz fizikailag meghibásodott és a szoftver nem fér hozzá minden adatterülethez, vagy ha a szervezet belső szabályzata, illetve az adatok minősítése fizikai megsemmisítést ír elő, a szoftveres módszer nem alkalmazható. Ilyen esetekben az aprítással (shredding) végrehajtott fizikai megsemmisítés az egyedüli elfogadható megoldás – szintén tanúsítvánnyal kísérve.
GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?
A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:
A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.
Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?
A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.
A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:
Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
Az adatokat jogellenesen kezelték.
Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.
A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.
Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek
A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.
Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.
Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.
A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.
A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.
A törlés technikai valósága: miért nem elég a fájl törlése?
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.
A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.
A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.
SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.
A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.
Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?
A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.
Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:
Az érintett eszközök azonosítóit (sorozatszám, típus)
Az alkalmazott törlési módszer megnevezését és szabványát
A törlés elvégzésének dátumát és körülményeit
Az elvégző személy vagy szervezet adatait
Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.
Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.
Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.
Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:
Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.
Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.
Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?
A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.
Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.
Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.
Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.
Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.
Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.
Gyakori kérdések
Mit jelent pontosan a GDPR törléshez való jog?
A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.
Hogyan kell GDPR szerint törölni a személyes adatokat?
A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.
Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?
Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.
Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?
Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.
Hogyan kell dokumentálni a GDPR adatok törlését?
Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.
Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?
Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.