GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról
A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:
A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.
Mi az a GDPR és miért érint minden céget?
A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.
A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:
munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.
A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.
Az adatvédelem hét alapelve — cégvezetői olvasatban
A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:
Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.
Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.
Ki az adatkezelő és ki az adatfeldolgozó?
A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.
Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.
Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.
Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.
Mire adhat jogalapot az adatkezelés?
A GDPR hat jogalapot ismer:
Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.
A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.
Az érintett személyek jogai — amit a cégnek biztosítania kell
A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:
Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
Hozzáférési jog — az érintett kérheti az adatai másolatát.
Helyesbítési jog — kérheti a pontatlan adatok javítását.
Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.
Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.
Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít
Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.
Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.
Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.
Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”
A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.
A bizonyítás eszközei lehetnek:
adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.
Szankciók: mennyibe kerülhet a meg nem felelés?
A GDPR kétfokozatú bírságrendszert vezet be:
Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.
A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.
Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.
Hogyan érdemes hozzáfogni?
A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:
Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?
Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.
Gyakori kérdések
Ki köteles betartani a GDPR-t?
Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.
Mi számít „személyes adatnak” a GDPR szerint?
Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.
Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?
Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.
Mennyi ideig lehet személyes adatokat tárolni?
Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.
Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?
Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.
Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?
Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.
Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?
A leselejtezett vagy újrahasználatra átadott vállalati eszközök esetében a döntés nem az, hogy „töröljünk vagy sem”, hanem az, hogy milyen adattisztítási módszer arányos az üzleti, adatvédelmi és auditkockázattal. A GDPR biztonsági és elszámoltathatósági logikája, valamint a NIST jelenlegi adathordozó-szanitizálási iránymutatása alapján sok működőképes eszköznél elegendő lehet a tanúsított adattörlés, míg sérült, nem ellenőrizhető vagy különösen érzékeny adathordozóknál a fizikai megsemmisítés indokolt. Ez a kérdés a datad.hu témakörében elsősorban vezetői döntési, nem pusztán informatikai végrehajtási probléma.
Legfontosabb megállapítások:
A tanúsított adattörlés akkor üzletileg és szakmailag erős megoldás, ha a teljes törlés igazolható, ellenőrizhető és dokumentált.
Fizikai megsemmisítés akkor indokolt, ha az adathordozó állapota, az információ érzékenysége vagy a szerződéses megfelelési környezet miatt a szoftveres bizonyítás már nem elég.
A jó döntés alapja nem az eszköz piaci értéke, hanem a kockázati szint, a bizonyíthatóság és az elszámoltatható folyamat.
A vállalati gyakorlatban a „biztonságos törlés” körül még mindig két hibás reflex működik. Az egyik szerint ami egyszer adatot tárolt, azt csak fizikailag megsemmisíteni szabad. A másik szerint egy újratelepítés, gyári visszaállítás vagy sima fájltörlés már megoldja a kockázatot.
A valóság ennél árnyaltabb. A döntés arról, hogy fizikai megsemmisítésre vagy tanúsított szoftveres adattörlésre van szükség, vezetői kockázati döntés. A GDPR hivatalos szövege kockázattal arányos technikai és szervezési intézkedéseket vár el, nem egyetlen kötelező módszert. Ugyanebbe az irányba mutat a NIST SP 800-88 Rev. 2 útmutatója, amely a médiatisztításnál az érzékenységet, a validálást és a szervezeti folyamatot helyezi középpontba.
Ez azért fontos, mert a rossz döntés kétféleképpen drága. Ha indokolatlanul megsemmisítünk mindent, fölöslegesen veszítjük el az eszközök maradványértékét. Ha viszont ott is újrahasználatban gondolkodunk, ahol a törlés nem bizonyítható, akkor adatvédelmi, reputációs és szerződéses kockázatot vállalunk.
Először ne az eszközt nézzük, hanem a kockázatot
A jó kérdés nem az, hogy „SSD vagy HDD”, hanem az, hogy mekkora kárt okozna, ha az adott adathordozóról mégis visszanyerhető lenne információ.
Másként kell kezelni egy működő irodai laptopot, amely tanúsított törlés után újraértékesíthető, és máshogyan egy hibás meghajtót, amely ügyfél-, HR-, pénzügyi vagy egyéb érzékeny adatot hordozhatott. A ICO útmutatója külön figyelmeztet rá, hogy attól még, hogy egy eszköz nem indul el, az adat nem feltétlenül vált hozzáférhetetlenné.
A döntéshez három dolgot kell együtt nézni:
az információ érzékenységét,
az adathordozó műszaki állapotát,
a törlés igazolhatóságát.
Mikor elég a tanúsított szoftveres adattörlés?
A tanúsított szoftveres adattörlés sok vállalati helyzetben teljesen megfelelő, de csak akkor, ha valóban tanúsított és ellenőrizhető folyamatról beszélünk. Nem ugyanaz, mint a formázás vagy a gyári reset.
Ha az adathordozó működőképes és teljesen verifikálható
A szoftveres törlés alapfeltétele, hogy az eszköz elérhető legyen, a folyamat végigfuthasson, és az eredmény ellenőrizhető legyen. Ha a teljes törlésről gépszintű riport készül, és az eszköz egyedileg azonosítható, akkor sok üzleti környezetben nincs szakmai indok a fizikai megsemmisítésre.
Ha az eszköz újrahasználata üzletileg érték
Itt a tanúsított adattörlés különösen erős. Megőrzi az eszköz újrahasználhatóságát, miközben lezárhatja az adatbiztonsági kockázatot is. Ez nem puhább megoldás, hanem sok esetben a legjobb egyensúly a biztonság, a dokumentálhatóság és az eszközgazdálkodás között.
Ha a bizonyítás fontosabb, mint a látvány
Sok szervezet automatikusan „biztonságosabbnak” érzi a fizikai megsemmisítést. Pedig egy dokumentálatlan megsemmisítés könnyen gyengébb kontroll lehet, mint egy tanúsított, naplózott, eszközszintű adattörlés. A GDPR logikája szerint nem az a legerősebb válasz, hogy „megsemmisítettük”, hanem az, hogy mi történt, melyik eszközzel, mikor, milyen módszerrel és erről mi a bizonyíték.
Ha a szabályzat vagy a szerződés ezt megengedi
Nem minden szervezetnek ugyanaz az elvárt kontrollszintje. Sok környezetben a működőképes adattárolók tanúsított szoftveres törlése teljesen megfelelő. Ha a belső politika és az ügyfélszerződések ezt nem zárják ki, nincs ok reflexből a legdrasztikusabb megoldást választani.
Mikor kell inkább fizikai megsemmisítés?
A fizikai megsemmisítés ott indokolt, ahol a szoftveres út már nem ad elég bizonyosságot.
Ha az adathordozó hibás, sérült vagy részben olvashatatlan
Ez a legtipikusabb eset. Ha a meghajtó instabil, vezérlőhibás, rossz szektoros vagy a teljes címezhetőség nem igazolható, akkor a szoftveres adattörlés megbízhatósága elesik. Ilyenkor nem az a kérdés, hogy „talán lefutott-e valami”, hanem az, hogy a szervezet vállalja-e a maradék bizonytalanságot. Általában nem érdemes.
Ha az adatok érzékenysége rendkívül magas
Kiemelt pénzügyi, egészségügyi, védelmi, kutatás-fejlesztési vagy stratégiai ügyféladatoknál a szervezet dönthet úgy, hogy a kockázattűrése gyakorlatilag nulla. Ilyenkor még működőképes adathordozónál is indokolt lehet a fizikai megsemmisítés, főleg ha ezt belső politika vagy szerződés is alátámasztja.
Ha a törlés nem vagy csak nehezen validálható
A NIST 2025-ös frissített iránymutatása már hangsúlyosan a validálásra és a szervezeti szintű médiatisztítási programra épít. Vezetői nyelvre lefordítva ez azt jelenti: ha a módszer nem védhető auditban, akkor valójában nem elég erős.
Ha nincs egyértelmű riport, nincs hiteles eszközazonosítás, nincs átadási lánc vagy nincs megfelelő szolgáltatói bizonyíték, a fizikai megsemmisítés gyakran tisztább döntés.
Ha a megfelelési környezet előírja
Bizonyos ügyfelek vagy szabályozott projektek nem mérlegelést, hanem konkrét megsemmisítési eljárást várnak el. Ilyenkor a tanúsított adattörlés hiába lenne technikailag megfelelő, üzletileg nem lesz elfogadható.
Működő meghajtó tanúsított törlésre előkészítve és sérült SSD fizikai megsemmisítés előtt
A leggyakoribb vezetői tévedések
„A fizikai megsemmisítés mindig biztonságosabb”
Nem feltétlenül. Egy rosszul dokumentált megsemmisítés könnyen gyengébb kontroll, mint egy megfelelően tanúsított adattörlés. A fizikai megsemmisítés akkor erős, ha maga a folyamat is kontrollált és igazolható.
„A szoftveres törlés csak kompromisszum”
Ez sem igaz. Megfelelő eszközön, megfelelő módszerrel, tanúsítással és riportálással a szoftveres adattörlés sok esetben elsőrangú megoldás.
„A nem működő meghajtó már nem veszélyes”
Ez veszélyes feltételezés. Attól, hogy egy laptop vagy SSD nem használható normál üzemben, az adathordozó egy része még lehet hozzáférhető.
Egy egyszerű vezetői döntési keret
Öt kérdés általában elég ahhoz, hogy a szervezet ne rutinból, hanem védhetően döntsön:
1. Működik és teljesen ellenőrizhető az adathordozó?
Ha igen, a tanúsított adattörlés valós opció. Ha nem, a fizikai megsemmisítés felé billen a mérleg.
2. Milyen érzékeny adat lehetett rajta?
Minél súlyosabb a lehetséges üzleti vagy adatvédelmi kár, annál kisebb helye van a bizonytalanságnak.
3. Szükség van az eszköz újrahasználatára vagy értékesítésére?
Ha igen, a tanúsított törlés sokszor a legésszerűbb út. Ha nem, és a kockázat magas, a megsemmisítés lehet tisztább döntés.
4. Bizonyítható a folyamat?
Riport, eszközazonosítás és auditnyom nélkül egyik módszer sem elég erős.
5. Van-e olyan szerződéses vagy belső előírás, amely kizárja a mérlegelést?
Ha van, azt kell követni. Ha nincs, akkor valódi vezetői döntésről beszélünk.
Nem egyetlen módszer kell, hanem védhető folyamat
Az érett gyakorlat nem arra épül, hogy a szervezet „mindig megsemmisít” vagy „mindig töröl”. Hanem arra, hogy külön kezeli a működőképes, újrahasználható és a sérült, nem verifikálható adathordozókat; tudja, mikor elég a tanúsított adattörlés; és tudja, mikor kell fizikai megsemmisítésre váltani.
Itt válik a szolgáltatóválasztás is stratégiai kérdéssé. Nem az a legjobb partner, aki mindenre ugyanazt mondja, hanem az, aki kockázati alapon, auditálhatóan tud különbséget tenni. A Data Destroy típusú megközelítés ebből a szempontból azért erős, mert nem pusztán „törlést” vagy „megsemmisítést” ad, hanem az eszköz állapotához, a kitettséghez és az igazolhatósági igényhez illesztett lezárást.
A jó vezetői álláspont tehát nem az, hogy a fizikai megsemmisítés vagy a szoftveres adattörlés közül melyik a „jobb”. Hanem az, hogy melyik módszer zárja le bizonyíthatóan a konkrét kockázatot a konkrét eszköznél.
Nem biztos benne, melyik módszer a megfelelő?
Segítünk eldönteni: kockázati alapon, az eszközök állapota és az adatok érzékenysége szerint javasoljuk a tanúsított adattörlést vagy a fizikai megsemmisítést. Kérjen egyedi értékelést.
Elég a gyári visszaállítás a leselejtezett laptopoknál?
Nem. A gyári visszaállítás vagy újratelepítés önmagában nem azonos a tanúsított adattörléssel, mert nem ad megfelelő bizonyítékot a teljes adattisztításról.
Mikor indokolt SSD-nél a fizikai megsemmisítés?
Akkor, ha az SSD hibás, nem verifikálható teljes körűen, vagy az adatérzékenység és a megfelelési környezet nem engedi meg a maradék bizonytalanságot.
A tanúsított adattörlés megfelelhet GDPR-szempontból?
Igen, sok esetben igen, ha a választott módszer a kockázattal arányos, ellenőrizhető, dokumentált és a szervezet bizonyítani tudja a végrehajtást.
Miért nem jó ötlet mindent automatikusan fizikailag megsemmisíteni?
Mert így a szervezet fölöslegesen elveszítheti a működőképes eszközök maradványértékét, miközben sok esetben a tanúsított adattörlés is megfelelő védelmet és jobb auditálhatóságot adhat.
Mi a legfontosabb különbség a két módszer között?
A tanúsított adattörlés megőrzi az eszköz újrahasználhatóságát, míg a fizikai megsemmisítés végleg kizárja azt. A döntést ezért mindig a kockázat, a bizonyíthatóság és a szabályozási környezet alapján érdemes meghozni.
Informatikai eszközök, laptopok selejtezése előtt 7 kérdés, amit minden IT-vezetőnek fel kell tennie
Az IT-eszközök selejtezése a magyar kis-, közép- és nagyvállalatoknál egyszerre adatvédelmi, információbiztonsági és irányítási kérdés. A GDPR elszámoltathatósági, korlátozott tárolhatósági és biztonsági elvei alapján nem elég törölni az adatokat: a szervezetnek azt is igazolnia kell, hogy a kivezetés folyamata kontrollált, dokumentált és a kockázattal arányos volt. A téma a datad.hu szakmai fókuszához azért kapcsolódik szorosan, mert a gyakorlatban a tanúsított adattörlés és a bizonyítható átadási lánc csökkenti leginkább a selejtezésből eredő vezetői kitettséget.
Legfontosabb megállapítások:
Az eszközselejtezés nem raktári feladat, hanem adat- és kockázatkezelési döntés.
A tényleges törlés önmagában kevés, ha a szervezet nem tudja hitelesen igazolni, hogy mikor, min és milyen eljárással történt meg.
A jó selejtezési folyamat végpontja nem egy kipipált adminisztratív lépés, hanem a dokumentált, auditálható és felelősségileg lezárt adattörlés.
Az IT-ben a selejtezés sok szervezetnél még mindig az életciklus legkevésbé stratégiai része. Új eszköz beszerzésére van folyamat, üzembe állításra van folyamat, jogosultságkezelésre is többnyire van folyamat. Amikor viszont egy notebook, szerver, SSD vagy mobiltelefon eléri a kivezetés pontját, a szervezet hajlamos ezt egyszerű logisztikai feladatként kezelni.
Ez hiba.
A leselejtezett eszköz ugyanis nem attól válik alacsony kockázatúvá, hogy már nem használják. Sokszor éppen ekkor a legnagyobb a kitettség: gazdátlanná válik a felelősség, fellazul az átadási lánc, és a döntéshozó utólag már csak azt látja, hogy egy hordozó eltűnt, egy adattartalom visszaállítható volt, vagy egy audit során nincs meg a bizonyíték arra, hogy a törlés valóban megtörtént.
A GDPR 5. cikke a korlátozott tárolhatóságot és az integritás-bizalmasság elvét is rögzíti, míg a 32. cikk megfelelő technikai és szervezési intézkedéseket vár el a kockázattal arányos védelemhez. A gyakorlatban ez azt jelenti: a selejtezés nem lehet vakfolt.
Az alábbi hét kérdés jó vezetői minimum. Nem technikai mélyfúrás, hanem olyan checklist, amely segít eldönteni, hogy a szervezet valóban lezár egy kockázatot, vagy csak arrébb tolja.
1. Pontosan tudjuk, milyen eszközöket vezetünk ki, és ki a felelős értük?
A selejtezési hibák jelentős része nem a törlési módszernél kezdődik, hanem sokkal korábban: az eszköznyilvántartás és a felelősségi lánc hiányánál. Ha nincs egyértelműen megmondva, hogy melyik eszköz melyik üzleti területhez, felhasználóhoz, telephelyhez vagy rendszerhez tartozik, akkor a kivezetés sem lesz kontrollált.
Az ICO eszközkezelési útmutatója külön is kiemeli az eszközök azonosítását, osztályozását, tulajdonosi kijelölését és a biztonságos megsemmisítés bizonyítékainak megőrzését. Ez nem brit sajátosság, hanem józan irányítási minimum.
Vezetői szempontból az első kérdés ezért nem az, hogy „hogyan törlünk”, hanem az, hogy van-e pontos listánk arról, mit vezetünk ki, és ki írja alá, hogy az adott eszköz valóban lezárható.
Mire figyeljen az IT-vezető?
szerepel-e az eszköz az aktuális nyilvántartásban;
ismert-e a tulajdonos, felhasználó vagy rendszergazda oldali felelős;
megvan-e az üzleti jóváhagyás a kivezetésre;
azonosítható-e az eszköz típusa, sorozatszáma, adattárolója és állapota.
Ha már ezen a ponton hiányos a kép, a selejtezés később sem lesz bizonyítható.
2. Tudjuk, milyen adat lehet még az adott eszközön?
Nem minden eszköz jelent azonos kockázatot. Egy vékonykliens, egy irodai monitor és egy vezetői notebook selejtezése nem ugyanaz a kategória. Ugyanígy más megítélés alá esik egy olyan mobiltelefon, amely többfaktoros hitelesítésre is használt alkalmazásokat futtatott, mint egy olyan laptop, amelyben helyi gyorsítótárak, e-mail-adatok, böngésző-tokenek vagy offline exportok maradhattak.
Az eszközkivezetés előtt tehát nem pusztán eszközt kell látni, hanem adathordozót és lehetséges adattartalmat. Ez különösen fontos a magyar KKV-knál, ahol az informatikai környezet sokszor hibrid: részben felhős, részben helyi, részben felhasználói szokásokra épülő működéssel. Ilyenkor könnyű azt feltételezni, hogy „úgyis minden a felhőben van”, miközben az eszközön továbbra is maradhatnak helyi másolatok, exportok vagy szinkronizált állományok.
A NIST SP 800-88 Rev. 2 abból indul ki, hogy az adathordozó törlési vagy megsemmisítési döntését a bizalmassági szinthez és a kockázathoz kell igazítani. Ez vezetői nyelvre lefordítva annyit jelent: nem minden eszközt ugyanazzal a rutinlépéssel szabad kezelni.
Mire figyeljen az IT-vezető?
milyen típusú adatok lehetnek az eszközön;
volt-e rajta személyes adat, ügyféladat, pénzügyi adat vagy belső bizalmas tartalom;
maradhattak-e lokális mentések, ideiglenes fájlok, gyorsítótárak, kulcsok vagy naplók;
az eszköz belső tárhelye mellett van-e másodlagos adathordozó is.
A rossz selejtezési döntések gyakran abból születnek, hogy a szervezet csak az eszköz értékét nézi, nem az adat értékét.
3. Biztosan a megfelelő törlési vagy megsemmisítési módszert választjuk?
A selejtezés egyik legveszélyesebb tévhite, hogy az adattörlés egységes művelet. Nem az.
Más kockázati profil tartozik a szoftveres törléshez, más a kriptográfiai törléshez, más a fizikai megsemmisítéshez. Az is számít, hogy HDD-ről, SSD-ről, mobil eszközről, szervermeghajtóról vagy hibás adathordozóról van szó. A NIST iránymutatása kifejezetten azért fontos, mert nem egyetlen „varázsmódszert” ajánl, hanem a hordozó típusa és a kockázat alapján választ módszert.
Vezetői szempontból itt nem az a kérdés, hogy az IT-csapat ismer-e törlőszoftvert. Az a kérdés, hogy a kiválasztott eljárás arányos-e azzal a kockázattal, amelyet az adott adathordozó jelent.
Tipikus vezetői hibák
az SSD-ket ugyanazzal a logikával kezelik, mint a hagyományos merevlemezeket;
a hibás vagy nem bootoló eszközökre nincs külön forgatókönyv;
a visszaértékesíthető és a fizikailag megsemmisítendő eszközök nincsenek szétválasztva;
a döntés kizárólag költségalapon születik, nem kockázatalapon.
A selejtezés itt válik valódi vezetői kérdéssé: a túl gyenge eljárás kitettséget termel, a túlzó eljárás pedig felesleges költséget.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol az operatív működés véget ér.
4. Bizonyítani is tudjuk majd, hogy a törlés megtörtént?
Ez az a pont, ahol a legtöbb szervezetnél elválik egymástól a „remélhetően megtörtént” és a „bizonyíthatóan megtörtént” kategória.
A GDPR nem csupán megfelelést, hanem elszámoltathatóságot is elvár. A rendelet szerint az adatkezelőnek képesnek kell lennie igazolni a megfelelést. Ez selejtezésnél azt jelenti, hogy nem elég egy belső állítás vagy szóbeli megerősítés. Kell valamilyen nyom, napló, azonosító, jegyzőkönyv, jóváhagyás vagy tanúsítvány, amelyből visszakereshető, hogy melyik eszközzel mi történt.
Az ICO selejtezési és törlési útmutatója egyértelműen arra mutat rá, hogy az elektronikus és fizikai nyilvántartásokat úgy kell megsemmisíteni, hogy az adatok ne legyenek helyreállíthatók, és a szervezetnek checklist-, illetve retentionlogikával kell tudnia követni a lezárást.
Mit érdemes minimumként keresni?
eszközazonosítóhoz kötött törlési nyom;
időbélyegzett végrehajtás;
kezelő vagy szolgáltató azonosíthatósága;
vezetői vagy folyamatgazdai jóváhagyás;
visszakereshető dokumentum a lezárásról.
Ahol ez nincs meg, ott az adattörlés jogi és auditértelemben gyakran nem lezárt, csak feltételezett.
5. Kontroll alatt van az átadási lánc a kivonástól a végső lezárásig?
Sok adatvédelmi és biztonsági incidens nem a törlés technikai pillanatában történik, hanem az előtte lévő átmeneti zónában. Az eszköz kikerül a felhasználótól, bekerül egy dobozba, átmegy egy raktárba, vár a bevizsgálásra, majd hetekkel később kerül sor a tényleges adattörlésre vagy megsemmisítésre.
Ez az időszak sok cégnél adminisztratív szürkezóna. Pedig itt dől el, hogy az eszköz valóban kontrollált státuszban van-e. Az ICO útmutatása erre is kitér: a megsemmisítésre váró hardvereket korlátozott hozzáférésű, zárt területen kell tárolni, a folyamatot dokumentálni kell, és harmadik fél esetén due diligence vagy audit is indokolt lehet.
A vezetői checklist itt így hangzik
ki veszi át az eszközt a felhasználótól;
hol tárolják a törlésig vagy megsemmisítésig;
ki férhet hozzá közben;
van-e tételes átadás-átvételi nyom;
harmadik fél bevonásánál tisztázott-e a felelősség és az ellenőrizhetőség.
A gyenge átadási lánc azért veszélyes, mert ilyenkor hiába jó a végső törlési eljárás, a szervezet közben elveszítheti az eszköz feletti bizonyítható kontrollt.
6. Külön kezeljük a kivételeket és a problémás eseteket?
A selejtezési folyamatok sokszor a „normál” eszközökre vannak optimalizálva. A valós kockázat viszont általában a kivételekben rejtőzik.
Ilyen kivétel például:
a sérült vagy nem olvasható meghajtó;
a titkosított, de nem dokumentált állapotú eszköz;
a hiányos azonosítóval visszaérkező notebook;
a nem szabványos adattárolót tartalmazó ipari vagy speciális berendezés;
a vezetői vagy érzékeny üzleti környezetből származó eszköz.
A jó folyamat itt nem gyorsítani akar, hanem megállni egy pillanatra. A vezetői kérdés az, hogy van-e külön döntési út a kivételekre, vagy minden ugyanabba a dobozba kerül.
Ha nincs kivételkezelés, akkor a szervezet valójában nem kockázatot menedzsel, hanem átlagot. Az átlag viszont nem védi meg attól az egyetlen esettől, amelyből incidens, vizsgálat vagy reputációs probléma lesz.
7. A selejtezés végén valóban lezárjuk a kockázatot, vagy csak túl vagyunk rajta?
Ez a legfontosabb vezetői kérdés, mert ez különbözteti meg az adminisztratív kipipálást a valódi kontrolltól.
Egy jó selejtezési folyamat végén a szervezet nemcsak azt tudja, hogy az eszköz már nincs használatban, hanem azt is, hogy:
az adattartalom kockázata lezárult;
a módszer arányos volt a kockázattal;
az átadási lánc dokumentált volt;
a végrehajtás visszakereshető;
az ellenőrzéshez szükséges bizonyíték rendelkezésre áll.
Itt válik érthetővé, miért jut el sok érett szervezet a tanúsított adattörlésig. Nem azért, mert ez „szebben hangzik”, hanem azért, mert a vezetői elvárás ma már nem pusztán a törlés ténye, hanem annak igazolhatósága. A GDPR 32. cikke szerint a biztonsági intézkedéseknek a kockázathoz kell igazodniuk, és a jóváhagyott tanúsítási mechanizmusok a megfelelés egyik bizonyítási elemeként is szolgálhatnak. Ezt a logikát erősíti az auditálható eszközkezelés és adattörlés gyakorlata is.
Mire jó ez a 7 kérdés a gyakorlatban?
Ez a checklist nem arra való, hogy az IT-vezető technikai műveleteket végezzen. Arra való, hogy gyorsan megítélje, mennyire érett a szervezet selejtezési folyamata.
Ha a hét kérdésből többnél bizonytalan a válasz, az jellemzően három problémát jelez:
nincs teljes kontroll az eszközéletciklus végpontján;
az adattörlés nincs összekötve az igazolhatósággal;
a selejtezés operatív rutinként fut, miközben valójában compliance- és reputációs kockázatot hordoz.
A magyar kis- és középvállalatoknál ez gyakran kapacitásprobléma, a nagyvállalatoknál pedig koordinációs probléma. Az ok különbözhet, a kitettség logikája viszont ugyanaz: amikor az eszköz kikerül a napi használatból, attól az adat még nem kerül ki automatikusan a szervezeti kockázati térből.
Rövid vezetői összegzés
Selejtezés előtt nem azt kell elsőként megkérdezni, hogy „hova tesszük a régi gépeket”, hanem azt, hogy a szervezet hogyan bizonyítja a kockázat lezárását. Aki ezt a kérdést időben felteszi, az nemcsak adatvesztést vagy auditvitát előz meg, hanem irányítási fegyelmet is épít.
A tanúsított adattörlés felé vezető út valójában nem technológiai divat, hanem vezetői következetesség: annak belátása, hogy a selejtezés akkor zárul le, amikor a törlés nemcsak megtörtént, hanem hitelesen igazolható is.
Gyakori kérdések
Miért nem elég egyszerűen gyári visszaállítást végezni a leselejtezett eszközön?
A gyári visszaállítás sok esetben nem ad elégséges bizonyosságot arra, hogy az adatok ne legyenek helyreállíthatók. Vezetői szempontból különösen az a kérdés, hogy a módszer arányos-e az adott eszköz és adattartalom kockázatával.
Mely eszközök jelentenek a legnagyobb kockázatot selejtezéskor?
Jellemzően azok, amelyek helyi tárolón személyes, pénzügyi vagy üzletileg érzékeny adatot hordozhattak, illetve amelyeknél a hozzáférési tokenek, gyorsítótárak vagy mentések is megmaradhattak. A mobil eszközök, notebookok, szervermeghajtók és SSD-k ezért kiemelt figyelmet igényelnek.
Miért fontos a dokumentált átadási lánc?
Mert a kockázat nemcsak a törlés pillanatában, hanem az azt megelőző tárolás, szállítás és átadás során is fennáll. Ha nincs visszakereshető lánc, a szervezet nehezebben tudja igazolni, hogy végig kontroll alatt tartotta az eszközt.
Mikor indokolt a tanúsított adattörlés?
Akkor, amikor az eszközön kezelt adatok érzékenysége, az auditelvárás vagy a szervezeti kitettség miatt már nem elég egy informális belső igazolás. Ilyenkor a bizonyíthatóság legalább olyan fontos, mint maga a törlési művelet.
Kisvállalatoknál is szükség van formális selejtezési folyamatra?
Igen, csak az arányosság más lehet. A kisebb szervezeteknél is szükség van egyértelmű nyilvántartásra, felelősre, döntési logikára és igazolható lezárásra, még ha a folyamat egyszerűbb is, mint egy nagyvállalatnál.
NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
Dél-Korea ideiglenesen betiltotta a DeepSeek AI alkalmazást adatvédelmi aggályok miatt
DeepSeek AI betiltása Dél-Koreában: adatvédelmi aggályok és vállalati kockázatok
A DeepSeek AI betiltása rávilágít a harmadik-feles AI-szolgáltatások adatvédelmi kockázataira. Mit tehetnek a vállalatok a hasonló incidensek megelőzéséért?
A DeepSeek AI betiltása Dél-Koreában újabb figyelmeztetés arra, hogy a mesterséges intelligenciát használó szervezeteknek
nem csupán a funkcionalitásra, hanem a szigorú adatvédelmi megfelelésre is összpontosítaniuk kell. A koreai Personal Information Protection Commission (PIPC) februári döntése nyomán a kínai fejlesztésű alkalmazás
mobilverzióját törölték az Apple és a Google helyi piacteréről, miután kiderült, hogy jogosulatlanul továbbította
a felhasználói adatokat külföldi szerverekre. A DeepSeek AI betiltása nemcsak az ázsiai technológiai
piacot rázta meg, hanem globális vitát is generált az AI-megoldások transzparenciájáról. A következőkben bemutatjuk
a döntés hátterét, a nemzetközi reakciókat, valamint azt, milyen gyakorlati lépésekkel csökkenthetik a döntéshozók
a hasonló incidensekből fakadó adatbiztonsági kockázatokat.
A dél-koreai döntés háttere és a PIPA szigorú szabályrendszere
Dél-Korea adatvédelmi keretrendszerét a 2020-ban kibővített PIPA (Personal Information Protection Act) határozza meg,
amely – a GDPR-hoz hasonlóan – szigorú előírásokat tartalmaz a felhasználói hozzájárulás, a célhoz kötöttség és
a minimális adatkezelés elveire. A PIPC állásfoglalása szerint a DeepSeek AI rendszere:
felhasználói hozzájárulás nélkül továbbított személyes adatokat Kínába és az Egyesült Államokba;
túlzott mennyiségű metaadatot (például billentyűleütés-mintákat és IP-címet) gyűjtött;
a felhasználói prompteket is elemzési céllal exportálta külföldre.
A hatóság 30 napos határidőt szabott a hibák kijavítására, kötelezővé tette a korábban továbbított adatok törlését
(„végleges törlés”) és részletes törlési jegyzőkönyv benyújtását írta elő. Ez jól illeszkedik a DataD-n
gyakran tárgyalt minősített törlés és végleges adattörlés gyakorlatához, amelyet a vállalatoknak
informatikai eszközeik leselejtezésekor is követniük kell.
Mit tárt fel a PIPC vizsgálata?
Jogosulatlan adattovábbítás külföldre
A vizsgálat kimutatta, hogy a DeepSeek AI háttérben futó modulja minden egyes felhasználói kérdést – beleértve az
esetleges bizalmas üzleti információkat – továbbított egy pekingi felhőszerverre, ahonnan a kínai joghatóság alatt
álló partnerek is hozzáférhettek. A PIPA szerint bármilyen határon átnyúló adatáramláshoz előzetes,
tájékoztatáson alapuló hozzájárulás szükséges, amelyet a vállalat nem teljesített.
Metaadat-gyűjtés és profilalkotás
A PIPC külön kifogásolta, hogy az alkalmazás az eszközmodell, az operációs rendszer verziója, a hálózati konfiguráció,
sőt a billentyűleütések időzítéséből származó biometrikus információk alapján részletes felhasználói profilt
állíthatott össze. Ezek az adatok – összevetve a GDPR 35. cikkelye szerinti kötelező kockázatelemzéssel –
már magas kockázatú adatkezelésnek minősülnek, ami további Data Protection Impact Assessment (DPIA)
lefolytatását indokolta volna.
Nemzetközi reakciók és párhuzamos tiltások
A DeepSeek AI betiltása nem elszigetelt jelenség. Tajvan, Ausztrália és Olaszország korábban már blokkolta az
alkalmazást a kormányzati eszközökön, míg Németországban a szövetségi kiberbiztonsági hatóság indított előzetes
vizsgálatot az adatkezelési gyakorlat miatt. Az Egyesült Államokban New York állam kormányzója végrehajtási utasítást adott
ki, amely megtiltja a DeepSeek használatát minden állami hálózaton, a kongresszus előtt pedig olyan törvényjavaslat fekszik,
amely országos szintű tiltást írna elő kormányzati szerveknél.
USA: állami eszközök védelme a technológiai kémkedéstől
A döntést az a félelem motiválta, hogy a szenzitív kormányzati dokumentumok prompt formájában a kínai szerverekre
kerülhetnek, ahol – a nemzetbiztonsági törvények értelmében – a helyi hatóságok is hozzáférhetnek. A tiltás egyben precedenst
teremt más generatív AI-szolgáltatások állami alkalmazásának szabályozására.
Európai Unió: a GDPR és az EU–USA adatvédelmi keretrendszer szerepe
Bár az EU-s hatóságok még nem rendeltek el teljes tiltást, több tagállam vizsgálja, hogy a DeepSeek adatkezelése megfelel-e
az EU–USA Adatvédelmi Keretre, illetve a kínai jogrenddel fennálló összeütközések miként oldhatók fel.
A szóban forgó transzfer nem sorolható a szükséges „megfelelő garanciák” közé, ezért a szolgáltatás európai terjeszkedése
komoly akadályokba ütközhet.
Tanulságok és ajánlások döntéshozóknak
A történet nemcsak egyetlen alkalmazásról szól, hanem a third-party AI-szolgáltatásokkal járó általános kockázatokról.
Az alábbi ellenőrzőlista segíthet a CIO-knak és CISO-knak megelőzni a kellemetlen meglepetéseket:
Adattérkép készítése: pontosan rögzítsük, milyen adat hagyja el a szervezetet, és hová kerül.
Szerződéses garanciák: minden AI-beszállítóval kössünk Data Processing Agreementet,
amely tartalmazza a törlési határidőket és a törlési jegyzőkönyvvel igazolt fizikai vagy logikai törlést.
DPIA lefolytatása: nagy volumenű vagy különleges kategóriájú adat esetén kötelező kockázatelemzést végezni.
Zero trust elv: blokkoljuk a beépített kamera- és mikrofonhozzáférést, vezessünk be application sandboxingot.
Mentési stratégia: tiltsuk az érzékeny információk AI-modellbe írását; jelöljük meg technológiával
(DLP) a bizalmas adatokat.
Esemény-naplózás: auditáljuk a felhasználók promptjait és a hálózati forgalmat, hogy kimutatható legyen,
ha adatszivárgás történik.
Fizikai megsemmisítés: mobil- vagy edge eszközöknél szükség esetén merevlemez megsemmisítés
vagy SSD törlés is indokolt.
Összefoglalás
A DeepSeek AI betiltása ismét rávilágított arra, hogy az AI-alapú szolgáltatások értéke csak addig tart, amíg
képesek megfelelni a szigorú helyi és nemzetközi adatvédelmi előírásoknak. A döntéshozóknak most kell lépniük: vizsgálják
felül AI-partnereik szerződéseit, implementáljanak átlátható adattörlési folyamatokat, és gondoskodjanak arról, hogy
a végleges törlés – legyen az minősített szoftveres törlés vagy adathordozó fizikai
megsemmisítése – a vállalat teljes életciklus-menedzsmentjének részévé váljon. Amennyiben szakértői
támogatásra van szüksége, lépjen kapcsolatba a DataD csapatával, és kérjen ingyenes kockázatfelmérést még ma!
