GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?
A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:
A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.
Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?
A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.
A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:
Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
Az adatokat jogellenesen kezelték.
Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.
A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.
Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek
A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.
Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.
Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.
A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.
A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.
A törlés technikai valósága: miért nem elég a fájl törlése?
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.
A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.
A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.
SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.
A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.
Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?
A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.
Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:
Az érintett eszközök azonosítóit (sorozatszám, típus)
Az alkalmazott törlési módszer megnevezését és szabványát
A törlés elvégzésének dátumát és körülményeit
Az elvégző személy vagy szervezet adatait
Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.
Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.
Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.
Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:
Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.
Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.
Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?
A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.
Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.
Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.
Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.
Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.
Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.
Gyakori kérdések
Mit jelent pontosan a GDPR törléshez való jog?
A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.
Hogyan kell GDPR szerint törölni a személyes adatokat?
A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.
Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?
Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.
Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?
Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.
Hogyan kell dokumentálni a GDPR adatok törlését?
Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.
Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?
Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.
Irodaköltözés és telephelybezárás: a rejtett adatbiztonsági kockázat a régi eszközpark
Az irodaköltözés és telephelybezárás során a régi IT eszközpark rejtett adatbiztonsági kockázatot jelent: a használaton kívüli hardver leltárról való „lecsúszása” ellenőrizetlen adatkijuttatási csatornát nyithat, miközben az érintett eszközök ügyfél-, dolgozói és üzleti adatokat tárolhatnak. A GDPR 32. cikkének kockázatarányos technikai és szervezési intézkedési kötelezettsége, a NIS2-irányelv 21. cikk (2) bekezdése (az irányelv hatálya alá tartozó szervezeteknél) és az ISO 27001:2022 vonatkozó kontrolljai (A.5.9, A.5.11, A.7.9, A.7.10, A.8.10) együttesen olyan keretet adnak, amelyből a gyakorlatban védhető kontrollként következik a dokumentált eszköznyomonkövetés és a bizonyítható adattörlés vagy megsemmisítés.
Legfontosabb megállapítások:
Az irodaköltözés és telephelybezárás kritikus pontja a régi eszközpark: a leltárról „lecsúszott” hardver dokumentálatlan csatornán távozhat a szervezetből, és ezzel az adatok feletti kontroll is megszűnik.
A GDPR 32. cikke kockázatarányos biztonsági intézkedéseket vár el az átmeneti időszakokra is; a NIS2 21. cikk (2) bekezdése — a hatálya alá tartozó szervezetekre — kockázatkezelési intézkedéseket követel meg. Mindkét keretből az ISO 27001:2022 A.7.9 (off-premises eszközök) és A.7.10 (adathordozó-kezelés) kontrolljain keresztül vezethetők le védhető operatív intézkedések.
A megoldás chain-of-custody dokumentáció és tanúsított adattörlés vagy fizikai megsemmisítés, amelyet a költöztetési projektterv részeként, nem utólag, hanem ütemezett részfeladatként végeznek el.
Az irodaköltözés és a telephelybezárás a szervezet életének két olyan eseménye, amikor a normál IT eszköz-életciklus folyamatok ideiglenesen szétesnek. A leltár stabil „ki, hol, milyen eszközt használ” képe egy néhány hetes időablakra felborul: dobozolt hardver halmozódik a folyosón, régi gépek kerülnek elő a tárolóhelyiségből, és a „majd később foglalkozunk vele” kategória néhány nap alatt naggyá duzzad. Pontosan ebben az időablakban válnak láthatatlanná azok a régi eszközök, amelyek tartalmazhatnak ügyféladatot, dolgozói adatot, üzleti titkot vagy szabályozott adatot — és pontosan ezekben a hetekben fordul elő a legtöbb dokumentálatlan adatkijuttatás.
A jelenség nem egy elszigetelt kockázat. Az európai adatvédelmi és kiberbiztonsági szabályozás kifejezetten erre az időszakra is alkalmaz követelményeket: a GDPR 32. cikke, a NIS2-irányelv 21. cikk (2) bekezdése és az ISO 27001:2022 vonatkozó kontrolljai egyértelművé teszik, hogy egy szervezet adatvédelmi felelőssége nem szünetel attól, hogy éppen átköltözik egy másik címre, vagy bezár egy telephelyet.
Miért különösen kockázatos az irodaköltözés és a telephelybezárás?
A normál IT eszköz-életciklus során minden hardvernek van gazdája, helye és státusza a leltárban. A használatból kikerült eszközöket a szervezet selejtezésre adja, és ott egy dokumentált, tanúsított folyamat végzi a tényleges adatmegsemmisítést. Egy költözés ezt a folyamatot ideiglenesen szétfeszíti négy ok miatt.
Először, a változás strukturális: az asset management napi folyamatai (átvétel, kiadás, javítás, selejtezés) egy időre háttérbe szorulnak, mert a fő figyelem a fizikai mozgáson van. Másodszor, az eszközmozgás tömeges és koncentrált — ami egy hónap alatt 5-10 eszközmozgás lenne, az most egy hét alatt akár több száz. Harmadszor, a folyamatban több, eltérő érdekű és felkészültségű szereplő vesz részt: a költöztető cég, a facility menedzsment, az IT részleg és HR. Negyedszer, a régi, már nem használt eszközök — amelyek pontosan azok, amelyek a leselejtezési csatornán kellene, hogy átmenjenek — könnyen kerülnek a „később foglalkozunk vele” zsákutcába, és onnan végül egy nyomtatott rendszerező doboz aljából bukkannak fel hónapokkal később, esetleg már a régi telephely épületgépészeti felújítása közben.
Mely eszközök kerülnek tipikusan a szürke zónába?
Egy költöztetés vagy telephelybezárás során minden hardver — minden tárolásra alkalmas hardver — kockázati elem. A gyakorlatban azonban néhány eszköztípus szisztematikusan a szürke zónába esik:
Régi laptopok és asztali gépek, amelyek már nem aktív használatban vannak, de a tárolóhelyiségben „tartalékban” pihennek
Tartalék merevlemezek és SSD-k, amelyeket meghibásodás vagy bővítés miatt cseréltek le
Hálózati eszközök (router, switch, tűzfal) konfigurációs adatokkal, amelyek a hálózati topológiát és hozzáférési mintázatokat is tárolják
Külső adathordozók (USB drive, optikai média, archiváló merevlemez), amelyeket egyszeri feladatra használtak, majd elraktak
Nyomtatók és multifunkciós eszközök, amelyek beépített háttértárolóval rendelkeznek és gyakran évek nyomtatási, szkennelési és faxálási tartalmát megőrzik
Mobil eszközök (céges telefon, tablet) BYOD vagy közös eszközből visszavett darabok
A kérdés ezeknél az eszközöknél nem az, hogy „tartalmaznak-e adatot” — hanem az, hogy a szervezet tudja-e dokumentáltan igazolni, hogy a rajtuk levő adat már nem visszaállítható, és az eszköz a felelős kezekben végzi.
GDPR 32. cikk, NIS2 21. cikk és az eszközmozgatás
A GDPR 32. cikke — „Az adatkezelés biztonsága” — előírja, hogy az adatkezelő és az adatfeldolgozó köteles a kockázat mértékének megfelelő technikai és szervezési intézkedéseket biztosítani a személyes adatok védelmére. A cikk nem ismer „költözési mentességet”: a kockázatarányos kötelezettség az átmeneti időszakokra is vonatkozik. Ha egy szervezet a költözési stresszben elveszít egy laptopot, amelyen HR-adatok vannak, az adatvédelmi incidens-helyzet — a bejelentési kötelezettséget azonban a GDPR 33. cikke szerinti kockázatértékelés alapján kell meghatározni. Egy nyílt, jelszó nélküli laptop más kockázatot képvisel, mint egy teljeskörűen titkosított, MDM-mel távolról törölhető eszköz.
A GDPR 17. cikke (a „törléshez való jog”) egy másik irányból érinti a régi eszközparkot. Ha egy érintett a költözést megelőzően kérte adatai törlését — és nem áll fenn a 17. cikk (3) bekezdés szerinti kivétel (pl. jogi kötelezettség teljesítése, közérdekű archiválási, tudományos vagy történelmi kutatási cél, vagy jogi igények előterjesztése, érvényesítése, illetve védelme) —, a szervezet a releváns aktív példányokat köteles eltávolítani. A backup retention és a jogi megőrzési kötelezettség kezelése külön, dokumentált kivételkezelési logikát igényel: egy régi laptopra mentett offline másolat, amely egy költöztetési dobozban felejtődik, ennek a kivételkezelésnek a hatókörén kívül esik — és a megőrzési helye miatt jogi értelemben problémás lehet.
A NIS2-irányelv (Európai Parlament és Tanács (EU) 2022/2555 irányelve) 21. cikk (2) bekezdése sorolja fel azokat a kockázatkezelési intézkedéseket, amelyeket az irányelv hatálya alá tartozó szervezeteknek alkalmazniuk kell. Ezek között szerepel a kockázatkezelés, az asset management és a supply chain security; a fizikai biztonsági szempontok az általános kockázatkezelési intézkedések részeként, levezetett követelményként következnek — mindhárom terület közvetlenül érintett egy költöztetés során. A NIS2 nem ír elő külön költöztetési szabályrendszert, de a folyamatos megfelelés a szervezeti változások idején is elvárás.
Fontos azonban tisztázni, hogy a NIS2 hatálya nem általános: kizárólag az úgynevezett essential entities (alapvető entitások) és important entities (fontos entitások) körébe tartozó szervezetekre vonatkozik közvetlenül, az irányelv mellékletében meghatározott szektorok és méretküszöbök szerint. A magyar átültetés a mindenkor hatályos hazai kiberbiztonsági szabályozási keretben szerepel; a szervezet pontos besorolása (essential vagy important entity) és a konkrét kötelezettségek a szektor-specifikus felügyeleti útmutatás és a hatályos jogszabály alapján határozhatók meg. A NIS2-hatály alá nem tartozó szervezeteknél a GDPR és az ISO 27001 marad az elsődleges jogi és módszertani keret — a cikkben tárgyalt eszközmozgatási követelmények azonban a GDPR 32. cikke alapján rájuk is vonatkoznak.
Az átköltöztetés vagy bezárás során bekövetkező adatvesztési esemény — például egy személyes adatot tartalmazó eszköz elveszése vagy ismeretlen kezekbe kerülése — a GDPR 33. cikke szerinti incidens-helyzet, ami 72 órán belüli bejelentési kötelezettséget keletkeztethet a felügyeleti hatóság (Magyarországon a NAIH) felé. A bejelentési kötelezettség dokumentált kockázatértékelés eredménye: titkosított és MDM-mel távolról törölhető eszköznél a kockázat — és ezzel a bejelentési kötelezettség is — más lehet, mint egy nyílt, hozzáférést nem korlátozó hardvernél. Az időablak azonban nem alkudható meg a költözési zűrzavarral, ezért is kritikus a folyamat előre megtervezett dokumentációja.
ISO 27001:2022 kontrollok a költöztetés és telephelybezárás idejére
Az ISO 27001:2022 Annex A hét kontrollja foglalkozik közvetlenül azzal a helyzettel, amikor egy IT eszköz nem a normál működési környezetében van vagy a használatból kikerül:
Pakolás közbeni pillanat: minden eszköz a maga helyén, várva a dokumentált átadásra — a chain-of-custody itt kezdődik.
A.5.9 — Inventory of information and other associated assets. A teljes selejtezési és költöztetési folyamat alapja a naprakész eszközleltár. A pre-move adatvagyon-felmérés ennek a kontrollnak a koncentrált megvalósítása: nincs olyan eszköz, amely „nincs a leltárban”, és nincs olyan leltárelem, amelynek a fizikai helye ismeretlen.
A.5.11 — Return of assets. Telephelybezárás vagy munkavállalói leválás esetén kifejezetten releváns kontroll. Minden, korábban kiadott eszköz visszavételét, állapotának dokumentálását és további sorsának (újraosztás / selejtezés) eldöntését írja elő — pontosan az a folyamat, amit egy bezárási projektnek nagy léptékben kell végrehajtania.
A.7.9 — Security of assets off-premises. Ez a kontroll pontosan a költöztetés és telephelybezárás helyzetére illik. Az „off-premises” nem csak a hazavitt notebookot fedi le, hanem a költöztető kamionba pakolt szervert is. A kontroll megköveteli, hogy az ilyen helyzetekre kifejezett védelmi intézkedéseket alkalmazzon a szervezet — fizikai őrzés, sérülésvédelem, megfelelő szállítási mód.
A.7.10 — Storage media handling. Az adathordozók kezelése a teljes életcikluson át — beleértve a megsemmisítést is — dokumentált eljárásrend szerint kell, hogy történjen. Egy költöztetés vagy bezárás ennek a kontrollnak a stressz-tesztje: kiderül, hogy a szervezet eljárásrendje skálázódik-e tömeges, koncentrált eszközmozgásra is.
A.8.10 — Information deletion. Az információ törlésére vonatkozó kontroll explicit módon kimondja, hogy a már nem szükséges adatot dokumentált módon kell törölni vagy megsemmisíteni. A „már nem szükséges” pont az a kategória, ahova az irodaköltözés során sok adat hirtelen átkerül.
A.5.29 és A.5.30 (BCM/ICT kontinuitás). Telephelybezárás esetén további szempont az üzletmenetfolytonosság: ha a bezárandó telephely a szervezet katasztrófa-helyreállítási (DR) szerepét töltötte be, vagy backup-infrastruktúrát hostolt, az A.5.29 (Information security during disruption) és A.5.30 (ICT readiness for business continuity) kontrollok megkövetelik a tervek párhuzamos átdolgozását az eszközmozgatással egy időben.
A tanúsított adattörlés és fizikai megsemmisítés szerepe
A költöztetési és bezárási folyamat kulcs kontrollpontja a tanúsított adattörlés vagy fizikai megsemmisítés időbeni elvégzése. Az amerikai NIST SP 800-88 (Guidelines for Media Sanitization) szabvány — amelyet az európai szervezetek (köztük az ENISA és a német BSI iránymutatások) is széles körben referenciaként használnak — három szintet definiál: Clear (alaptörlés, alkalmi újrahasználathoz), Purge (logikai biztonsággal nem visszaállítható, ide tartozik a kriptográfiai törlés is) és Destroy (fizikai megsemmisítés). A választás az eszközre került adat klasszifikációjától, a média típusától és a titkosítási státusztól függ.
Egy költöztetési projektben ez a választás konkrét döntést követel meg: minden leselejtezésre szánt eszközre el kell dönteni, hogy *újrahasználható* (Clear vagy Purge szintű szoftveres adattörlés után újraosztható vagy értékesíthető), vagy *megsemmisítendő* (Destroy szintű fizikai megsemmisítés, jellemzően shredding, demagnetizáció vagy zúzás). A döntés alapja az eszközön szereplő adat érzékenysége, a média típusa, a titkosítási státusz és a tervezett újrahasználati cél: egy jogi részleg magas érzékenységű laptopja jellemzően Destroy szintet indokol — ugyanakkor egy ellenőrzötten titkosított, megfelelő kulcskezeléssel rendelkező SSD esetén a Purge vagy a kriptográfiai törlés (Cryptographic Erase) is védhető döntés lehet, ha az ellenőrizhetőség dokumentált.
A folyamat végén minden eszközhöz tanúsítvány (certificate of destruction vagy certificate of data sanitization) tartozik, amely sorozatszám szerinti azonosítóval rögzíti a tényt. Ez a tanúsítvány az audit nyomvonal kulcseleme: egy későbbi GDPR-vizsgálat, NIS2-felügyeleti ellenőrzés vagy ISO 27001 belső audit során ez bizonyítja, hogy a szervezet a kötelezettségét teljesítette.
Operatív lépéssor: hogyan építsd be a folyamatba?
A költöztetés vagy telephelybezárás adatbiztonsági komponensét nem lehet utólag a folyamatra „ráragasztani”. A leghatékonyabb megközelítés ötlépcsős, és a projektterv részeként ütemezett:
Pre-move adatvagyon-felmérés. A költöztetés előtt 4-6 héttel listázzon minden IT eszközt: aktív használatban lévő, tartalék, leselejtezésre szánt. A lista minden tételhez tartalmazza az eszközazonosítót, a klasszifikációs szintet (publikus / belső / bizalmas / szigorúan bizalmas) és a tervezett sorsát (költöztetés / újraosztás / selejtezés). Egyúttal ellenőrzendő, hogy van-e olyan eszközön adat, amelyre korábban a GDPR 17. cikke szerinti törlési kérelmet logikai szinten teljesítettek (pl. CRM-ből kitörölve): az offline másolat (régi laptop, tartalék merevlemez) létezését igazolni kell, és a fizikai törlés ezeknél az eszközöknél kötelező.
Klasszifikáció és döntés. A felmérési lista alapján döntés minden tételre: költöztetjük, vagy a költözés alkalma a selejtezési pont. A leselejtezésre szánt tételeknél döntés a NIST 800-88 szint szerint: Clear / Purge / Destroy.
Chain-of-custody bevezetése. Fontos elhatárolás: minden eszközmozgatáshoz nyomonkövetés szükséges (átadás-átvétel), de tanúsított adattörlés vagy fizikai megsemmisítés csak a selejtezésre, újraosztásra vagy értékesítésre szánt eszközöknél indokolt — a normál működéshez áthelyezett, aktív hardver nem igényel sanitization-t, csak nyomonkövetést. Az átadás-átvételi jegyzőkönyv minimális tartalmi elemei: eszközazonosító (leltárszám és sorozatszám), állapot átadáskor (sérülésvizsgálat), átadó és átvevő neve és szerepköre, időpont és helyszín, az eszköz tervezett sorsa (költöztetés / selejtezés / raktározás), záró felelős személy. A jegyzőkönyv kerüljön be a szervezet adatvédelmi nyilvántartásába. Ez az ISO 27001 A.7.9 (off-premises) követelményének operatív megfelelője.
Tanúsított adattörlés vagy megsemmisítés a selejtezési listára. A költöztetés ütemezésébe építsen be egy konkrét időablakot, amikor a selejtezésre szánt eszközök tanúsított törlésen vagy megsemmisítésen mennek át — szakszolgáltató bevonásával, on-site vagy off-site, de mindenképpen sorozatszám szerinti tanúsítvánnyal.
Záró dokumentáció és leltárfrissítés. A folyamat végén a tanúsítványok bekerülnek a szervezet adatvédelmi nyilvántartásába, a leltár frissül (eszköz lezárt státusszal), és a GDPR megőrzési kötelezettsége is teljesül. A leltárfrissítés egyben az ISO 27001:2022 A.5.9 (Inventory) kontroll folyamatos naprakészségének teljesítéseként is dokumentálandó. A tanúsítványok megőrzési idejét érdemes a belső retention policy és az elévülési / követelésérvényesítési szempontok alapján meghatározni — gyakorlatban jellemzően 5-7 év (a GDPR 5. cikk (2) elszámoltathatósági elvének folyamatos bizonyíthatóságához igazítva).
A projektterv első verziójában érdemes egy rövid felelősségi mátrixot (RACI) is rögzíteni: ki az asset owner, ki dönt a Clear/Purge/Destroy szintről (jellemzően a DPO/adatvédelmi felelős és az adatgazda közös döntése a CISO bevonásával), ki hagyja jóvá a selejtezési listát, és ki zárja le a leltárt a folyamat végén.
A telephelybezárás esetén ugyanezt a logikát kell követni, néhány árnyalattal. Egy bezáráskor jellemzően magasabb a *selejtezés* aránya (mivel a cél nem új helyre vinni az eszközöket, hanem felszámolni a teljes telephely IT-állományát), és a *határidő* gyakran rugalmatlanabb (épület átadás, bérleti szerződés vége). Ez fokozza a „majd később foglalkozunk vele” csapdájának kockázatát — ezért a tanúsított törlési és megsemmisítési kapacitás biztosítását még korábban érdemes lekötni.
Gyakori kérdések
Mi a különbség leselejtezés és költöztetés között adatvédelmi szempontból?
A költöztetés egy meglévő, használatban lévő eszköz fizikai áthelyezése egy másik helyszínre, a tárolt adatokkal együtt — itt a kockázat a szállítás közbeni elvesztés vagy sérülés. A leselejtezés egy eszköz végleges kivonása a használatból, ami GDPR és ISO 27001 értelmében dokumentált adattörlési vagy megsemmisítési kötelezettséget keletkeztet. A költöztetés alkalmával gyakran derül ki, hogy egy „tartalék” eszköz valójában leselejtezésre vár — ezt a pillanatot érdemes formálissá tenni.
Kell-e jegyzőkönyvet vezetni a költöztetett IT eszközökről?
Igen. Az ISO 27001:2022 A.7.9 (off-premises eszközök biztonsága) és A.7.10 (adathordozó-kezelés) kontrolljai dokumentált eljárásrendet írnak elő. A GDPR 32. cikke (megfelelő technikai és szervezési intézkedések kötelezettsége) és az 5. cikk (2) bekezdése (elszámoltathatósági elv) egyaránt megköveteli, hogy a szervezet tudja igazolni az intézkedéseit. A gyakorlatban ez chain-of-custody jegyzőkönyvet jelent: minden eszközmozgáshoz aláírt átadás-átvétel.
Mit tegyek a telephelybezárás után fennmaradó régi eszközökkel?
A bezárási projekt utolsó fázisaként minden, használatban már nem lévő IT eszközt formálisan selejtezésre kell venni, klasszifikálni az adattartalom alapján, és a NIST SP 800-88 szerinti megfelelő szintet (Clear / Purge / Destroy) alkalmazni rá. Ezt szakszolgáltató tudja sorozatszám szerinti tanúsítvánnyal igazolni, ami a későbbi audit nyomvonal alapja lesz. Időablakot a bezárás előtti utolsó 2-4 hétre érdemes tervezni.
Bízhatom a költöztető cégre az adatvédelmet?
A költöztető cég a fizikai szállítás biztonságáért felel, de az adatvédelmi felelősség az adatkezelőnél marad (GDPR 24. cikk). A GDPR 28. cikke szerinti adatfeldolgozói szerződés (DPA) akkor szükséges, ha a szolgáltató ténylegesen személyesadat-kezelési műveletet végez — például hozzáfér a hardveren tárolt adathoz. Tisztán zárt, lezárt, hozzáférés nélküli eszközszállítás esetén a védhetőbb keret jellemzően a biztonsági szerződéses melléklet: NDA, plombázott szállítóeszköz, chain-of-custody kötelezettségek, kétszereplős átadás-átvétel. A minősítés a tényleges adatkezelési művelet alapján történik, nem önmagában a szállítás ténye alapján. A költöztetéskor használt eszközöket — különösen a tárolásra alkalmasakat — érdemes a költöztető csomagolása ELŐTT klasszifikálni, és a magas érzékenységű elemeket vagy elkülönítetten szállítani, vagy még a költözés előtt tanúsított adattörlésen átvinni.
Hogyan kapcsolódik a GDPR 17. cikke az irodaköltözéshez?
A GDPR 17. cikke (törléshez való jog) értelmében ha egy érintett kérte az adatai törlését, a szervezet a releváns aktív példányokat — a 17. cikk (3) bekezdés szerinti kivételek (pl. jogi megőrzési kötelezettség, közérdekű archiválási cél, jogi igények előterjesztése vagy érvényesítése) figyelembevételével — köteles eltávolítani. A backup retention és a litigation hold külön, dokumentált kivételkezelési logikát igényel. Ha a logikai törlést elvégezték (CRM, központi rendszerek), de egy régi laptop offline másolata egy költöztetési dobozban felejtődik — és a fájlra nem vonatkozik dokumentált kivétel —, a kötelezettség jogi értelemben nem teljesült. Az irodaköltözés egy alkalom, amikor érdemes a pre-move adatvagyon-felmérés részeként ellenőrizni: van-e olyan régi eszközön adat, amelynek logikai szinten már törölve kellene lennie.
Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?
A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:
A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.
Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.
A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.
A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.
Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.
Mi a különbség a három fogalom között?
A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.
Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.
Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.
Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.
Miért nem törlés a formázás?
A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.
A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.
A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.
Gyári visszaállítás: mikor működik, mikor nem
A „factory reset” hatása az eszköz típusától és életkorától függ.
Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.
SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.
Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.
Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.
A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.
Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás
A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.
A folyamat lényege négy lépés:
Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.
Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.
Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.
Gyári visszaállítás vs adattörlés: mikor melyik elég?
A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.
Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.
Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.
Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.
Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.
A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e adattörlési tanúsítvány vagy selejtezési jegyzőkönyv„. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.
Compliance kontextus: GDPR, NIS2, ISO 27001
Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.
GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.
NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.
ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.
Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.
A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.
Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.
Vezetői cselekvési pontok
A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:
Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?
Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.
Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.
A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.
Gyakori kérdések
Vissza lehet állítani egy formázott merevlemezről az adatokat?
Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.
A gyári visszaállítás SSD-n elég biztonságos?
Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.
Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?
A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.
Kell-e jegyzőkönyv a vállalati eszközök törléséről?
Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.
Mit ad többletként a tanúsított szoftveres adattörlés?
Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.
TISAX audit IT eszközök: selejtezés és beszállítói felelősség
A TISAX audit során az autóipari beszállítónak bizonyítania kell, hogy az IT eszközök és adathordozók selejtezése kontrollált, dokumentált és a VDA ISA 6.0 követelményrendszeréhez illeszkedik. A VDA ISA 6.0 supporting assets és supplier relationships kontrolljai, az ISO/IEC 27001:2022 A.7.10 és A.8.10 kontrolljai, valamint a NIST SP 800-88 Rev. 2 (2025-09) együtt adják az auditban releváns bizonyíték- és kontrollterületet. A folyamat eszközszintű sanitization vagy destruction record nélkül nem védhető — egy TISAX assessor jellemzően ezt a bizonyítékot keresi.
Legfontosabb megállapítások:
A TISAX assessor az IT eszközök selejtezésénél nemcsak a szabályzatot, hanem az eszközleltárt, a védelmi igény szerinti döntést és a végrehajtási bizonyítékokat is vizsgálja.
A VDA ISA 6.0 beszállítói kontrolljai alapján az alvállalkozó adatmegsemmisítési szolgáltató információbiztonsági szintjét kockázatalapon kell értékelni és szerződésben rögzíteni.
A tanúsított törlési vagy megsemmisítési igazolás akkor használható auditbizonyítékként, ha az eszközazonosító, módszer, dátum, felelős fél és őrzési lánc visszakövethető.
Egy TISAX assessment során gyakori helyzet, hogy a beszállító részletesen bemutatja az ISMS szabályzatait, a hozzáférés-kezelést és az incidenskezelési folyamatot, majd az assessor rákérdez egy kevésbé látványos pontra: mi történik a fejlesztői notebookkal, a tesztlaborból kivont SSD-vel, a prototípusprojekthez használt mobiltelefonnal vagy a régi fájlszerver lemezeivel, amikor kikerülnek a használatból. Ilyenkor az IT eszköz életciklusának végjelenete kerül az audit fókuszába.
TISAX auditnál az IT eszközök kezelése nem áll meg az üzemeltetésnél. A selejtezés, a felújításra küldés, a visszavétel, a szoftveres törlés, a lemágnesezés és a fizikai megsemmisítés mind olyan pont, ahol autóipari információ, prototípusadat, személyes adat vagy OEM-szintű bizalmas dokumentáció kerülhet ki ellenőrizetlenül a szervezetből. Egy TISAX assessor jellemzően nem várja el, hogy minden adathordozót automatikusan meg kelljen semmisíteni — a döntésnek viszont kockázatalapúnak, dokumentáltnak és eszközszinten bizonyíthatónak kell lennie.
Miért auditkérdés az IT eszközök életciklusának vége?
Az autóipari beszállítói környezetben egy leselejtezett eszköz ritkán csak technikai hulladék. Tartalmazhat rajzokat, beszállítói árakat, mérési eredményeket, gyártási paramétereket, hibaanalíziseket, prototípusfotókat, vevői kapcsolattartók adatait, VPN-konfigurációkat vagy mentési maradványokat. A kockázat nem az eszköz könyv szerinti értékéhez, hanem a rajta tárolt információ védelmi igényéhez kapcsolódik.
A VDA ISA 6.0 logikája szerint az információs vagyon és az azt feldolgozó támogató eszközök összekapcsolódnak. A notebook, SSD, mobiltelefon, USB-adathordozó, szerverlemez vagy papíralapú dokumentáció nem önmagában érdekes, hanem azért, mert információt hordoz, és az információ védelmi igénye átszáll az adathordozóra is. Ez a gyakorlatban azt jelenti, hogy az eszközselejtezési folyamatnak kapcsolódnia kell az információosztályozáshoz, az eszközleltárhoz, a hozzáférés-kezeléshez és a beszállítói kockázatkezeléshez.
Az assessor általában nem elégedik meg egy általános „selejtezési szabályzat létezik” válasszal. A kérdés inkább az, hogy egy konkrét eszköz útja visszakövethető-e: ki minősítette, milyen adat volt rajta, milyen törlési vagy megsemmisítési módszer mellett döntöttek, ki vitte el, hol tárolták átmenetileg, ki végezte el a műveletet, és milyen igazolás maradt róla.
TISAX scope, label és assessment szintek
A TISAX assessment-rendszerben a beszállító nem általában „TISAX-tanúsítást” szerez, hanem konkrét assessment objective-okra vonatkozó label-ek érhetők el. A leggyakoribbak: Confidential és Strictly Confidential (információosztályozás szerint), High availability és Very high availability (rendelkezésre állás szerint), Proto Parts / Proto Vehicles / Test Vehicles / Proto Events (prototípusvédelem négy különböző scope-ja), valamint Data és Special Data (személyes és különleges adatkezelés). Az adott label határozza meg, hogy a VDA ISA 6.0 katalógusból melyik kontrollok érintettek és milyen mélységben vizsgálandók — ezért az IT eszköz selejtezésével kapcsolatos elvárás is a label-től függ.
Az assessment szintek (AL) a vizsgálati módszertant adják meg, nem minőségi címkék.
Assessment Level 1 alapvetően belső önértékelésre épül; az audit provider legfeljebb az önértékelés meglétét ellenőrzi, a tartalmat érdemben nem vizsgálja. Az ENX TISAX Participant Handbook szerint az AL1 eredmény alacsony bizalmi szintű, ezért TISAX label kiadásra ritkán használják.
Assessment Level 2 dokumentum-alapú plauzibilitás-vizsgálat: az audit provider a kitöltött VDA ISA önértékelés mellé bizonyítékokat (eszközlista, selejtezési jegyzőkönyv, törlési riport, megsemmisítési igazolás, beszállítói szerződés, kockázatértékelés) kér, és kiegészítő interjút készít az információbiztonságért felelős személlyel. Az interjú tipikusan távoli formában zajlik, de a hangsúly a benyújtott bizonyítékok érvényességén van. Ha bizonyos bizonyítékokat a beszállító nem tud távoli formában megosztani (eyes-only evidence), AL2-n belül helyszíni betekintés is kérhető. Létezik AL2.5 opció is, amely teljes körű remote assessment AL3-kompatibilis módszertannal, helyszíni aktivitások nélkül.
Assessment Level 3 a teljes körű audit: dokumentumellenőrzés, folyamatgazdákkal készített interjúk, helyszíni szemrevételezés és a folyamat tényleges végrehajtásának vizsgálata. Az auditor mintát vehet (jellemzően n=10-30 eszköz), és kérheti, hogy a beszállító az eszközleltártól a megsemmisítési igazolásig végigkövesse a kiválasztott tételeket. Az AL3 alatt ezért nem elméleti kérdés, hogy van-e zárt gyűjtő, elkülönített selejtezési terület, átadás-átvételi rend vagy látogatói kontroll.
A TISAX eredményeket a beszállító az ENX exchange portálon keresztül osztja meg az OEM-mel vagy más tier-1 partnerrel. Az exchange a már elvégzett TISAX assessmentek megosztására szolgál — nem helyettesíti a beszállító saját kockázatkezelését, szerződéses kontrolljait vagy a saját alvállalkozói felé támasztott elvárásait.
VDA ISA 6.0 kontrollok: hol jelenik meg az adathordozó-megsemmisítés?
A VDA ISA 6.0 három fő assessment-katalógusa az Information Security, a Prototype Protection és a Data Protection. A beszállítói kapcsolatok kezelése (Supplier Relationships) az Information Security katalóguson belül kapott önálló kontrollkört — a régi VDA ISA 5.x „Connection to Third Parties” terminust felváltotta. IT eszközök selejtezésénél ezek a katalógusok egyszerre érintettek.
Selejtezésre előkészített adathordozók munkapadon — VDA ISA 6.0 szerinti eszközleltár alapja.
Az Information Security katalógusból az eszközéletciklus végéhez közvetlenül kapcsolódó kontrollok: 1.3.1 information assets és supporting assets azonosítása és felelős hozzárendelése; 1.3.2 handling specifications a supporting assets-re (transport, storage, return, deletion/disposal); 3.1.3 handling of supporting assets a teljes életcikluson keresztül — high protection needs esetén a relevant standards (pl. ISO/IEC 21964 Security Level 4 vagy magasabb) szerinti megsemmisítés elvárás; 3.1.4 mobile IT devices és mobil adathordozók kontrolljai (encryption, access protection, marking, registration); 5.3.3 information assets visszavétele és secure removal külső IT szolgáltatásból; 6.1.1 Supplier Relationships — alvállalkozói kockázatértékelés, szerződéses kötelezettségek, verifikáció.
A Prototype Protection katalógus a customer-provided vehicles, components és parts védelmére fókuszál, és kiegészül a digitális prototípusadat-kezelési kontrollokkal. Releváns kontrollok az IT eszköz életciklusra: 8.2.2 subcontractor commissioning customer approval és NDA mellett; 8.2.6 image material (prototípusfotók, videók) secure deletion és disposal; 8.2.7 mobile photo és video devices kezelése security areas-ban. Fontos megjegyezni, hogy a Proto Parts / Proto Vehicles / Test Vehicles / Proto Events scope nem azonos a prototípusadatot tartalmazó IT-adathordozók kezelésével — utóbbi az Information Security katalógus mobile devices kontrolljai alá esik, de OEM-specifikus elvárás (BMW Group Standard, VW 80101/80102, Audi/Porsche prototípusvédelem) párhuzamosan érvényesülhet.
A Data Protection katalógus akkor válik assessment objective-ként relevánssá, ha a beszállító GDPR 28. cikk szerinti adatfeldolgozói pozícióban kezel ügyféladatot, vagy különleges kategóriájú adatot érint. A 9.5.2 kontroll itt az alvállalkozói és kooperációs partneri szerződéses kötelezettségeket és compliance review-t várja el. Önmagában a HR-adat vagy beléptető rendszer napló jelenléte a beszállítónál nem aktiválja automatikusan a Data label-t TISAX scope-ban.
ISO/IEC 27001:2022 A.7.10 és A.8.10 kapcsolata a TISAX kontrollokkal
Az ISO/IEC 27001:2022 Annex A kontrolljai jó hivatkozási pontot adnak a TISAX-felkészítéshez, de nem helyettesítik a VDA ISA 6.0 szerinti önértékelést. A kontrollok gyakorlati tartalmát az ISO/IEC 27002:2022 implementation guidance fejti ki, amely a TISAX-bizonyítékok kialakításához is referenciaként használható.
Az A.7.10 Storage media kontroll a tárolóeszközök védelméről szól a teljes életciklus alatt: használat, tárolás, szállítás, újrahasználat és selejtezés kontrollált kezelése. TISAX-környezetben ez közvetlenül megfeleltethető a VDA ISA 6.0 1.3.2 (handling specifications) és 3.1.3 (handling of supporting assets) kontrolljainak.
Az A.8.10 Information deletion kontroll azt várja el, hogy a már nem szükséges információt töröljék az információs rendszerekből, eszközökről és egyéb tárolókról. Ez nem azonos a felhasználói fájltörléssel. A compliance szempontból védhető eljárásnak ki kell térnie arra, hogy milyen típusú adathordozón milyen módszer elfogadható, ki hagyja jóvá a végrehajtást, és hogyan igazolják, hogy a törlés vagy megsemmisítés megtörtént.
A két ISO kontroll együtt adja az alapot a TISAX-ban elvárt működéshez: a tárolóeszköz kontrollált kezelése és az információ visszaállíthatatlanná tétele nem külön folyamat, hanem ugyanannak az életciklusnak két oldala. Ha a szervezet ISO/IEC 27001:2022 szerinti ISMS-t működtet, a TISAX felkészítésnél célszerű a storage media és information deletion bizonyítékokat közvetlenül összekötni a VDA ISA kontrollkérdéseivel — különösen az 1.3.1, 1.3.2, 3.1.3, 3.1.4, 5.3.3 és 6.1.1 kontroll-azonosítókkal.
NIST SP 800-88 Rev. 2: Clear, Purge, Destroy és a döntés bizonyíthatósága
A NIST SP 800-88 Rev. 2 2025-09-26-án jelent meg végleges formában, és leváltotta (superseded) a Rev. 1-et (2014-12-17). A kiadvány médiatisztítási programok kialakításához ad iránymutatást — a módszer kiválasztását az adatok érzékenységéhez, az adathordozó típusához és a további felhasználási célhoz köti, és Verification (4.5.1) + Validation (4.5.2) lépést is elvár.
Őrzési lánc dokumentálása zárt szállítóládával — TISAX-ban auditálható átadás-átvételi pont.
A NIST szemléletében három fő kategória használható: Clear (3.1.1), Purge (3.1.2) és Destroy (3.1.3). A Clear logikai törlési vagy felülírási eljárás, amely normál hozzáférési módszerekkel megakadályozza az adatok visszanyerését. A Purge fejlettebb helyreállítási kísérletekkel szemben is védelmet céloz — például cryptographic erase, megfelelő coercivity-illesztésű degausser mágneses média esetén, vagy hardver-támogatott sanitize parancs. A Destroy a fizikai megsemmisítés (mechanikai szeletelés, darabolás, aprítás, incineration). A Rev. 2 a degaussingot kizárólag mágneses adathordozóra (HDD, mágnesszalag) ismeri el, és nem általános Destroy technika — SSD-re és flash-alapú médiára nem alkalmazható.
TISAX szempontból a Destroy nem „jobb” minden esetben, hanem akkor megfelelő döntés, ha a kockázat és a további eszközsors ezt támasztja alá. SSD és NVMe esetén az egyszerű overwrite-alapú Clear nem elégséges általános állításként — a wear leveling és overprovisioning miatt az overwrite parancs nem éri el a teljes flash-kapacitást, ezért a NIST Rev. 2 ezeket az adathordozó-osztályokat további szabványokra (IEEE 2883, NSA/CSS előírások, gyártói specifikációk) tereli. A megfelelő útvonalra példák: validált hardver-támogatott sanitize parancs (mint az NVMe Format with Secure Erase vagy ATA Secure Erase Enhanced), cryptographic erase ahol a kulcskezelés ellenőrizhető, vagy fizikai megsemmisítés — minden esetben az adott eszköz és firmware támogatásának konkrét validációja mellett.
A NIST kiadvány Appendix C mintát ad a Certificate of Sanitization tartalmára (eszközazonosító, módszer, validáció eredménye, felelős aláíró). A TISAX assessor jellemzően nem TISAX-formalizált sablont, hanem az Appendix C logikájával megfeleltethető, eszközszintű sanitization vagy destruction record-ot keres. A beszállítónak tudnia kell megmutatni a döntési logikát: mikor választ Clear-t, mikor Purge-t (cryptographic erase, secure erase, degausser mágneses médiára), mikor fizikai Destroy-t — és hogyan kezeli azt az esetet, amikor a Clear/Purge technikailag nem validálható.
Mit vár el az assessor az eszközszintű sanitization record-tól?
A TISAX nem ír elő formális TISAX-certificate-of-sanitization sablont — az assessor jellemzően olyan eszközszintű sanitization vagy destruction record-ot vár, amely tartalmában megfeleltethető a NIST 800-88 Rev. 2 Appendix C logikájának. A „tanúsított igazolás” magyar gyakorlatban lehet a szolgáltató saját jegyzőkönyve, ISO/IEC 21964 (a DIN 66399 nemzetközi megfelelője) szerinti megsemmisítési tanúsítvány vagy ezek kombinációja — a tartalom a döntő, nem a fejléc.
Egy auditban használható record tartalmazza legalább az eszköz vagy adathordozó azonosítóját (gyári szám, eszközleltári szám, vonalkód), az alkalmazott módszert (Clear/Purge/Destroy kategória + konkrét eljárás: szoftveres törlés, cryptographic erase, secure erase parancs, lemágnesezés mágneses médiánál, mechanikai szeletelés vagy aprítás), a dátumot, helyszínt, végrehajtó szervezetet, felelős személyt vagy gépi azonosítót, a végrehajtás eredményét (Verification + Validation a NIST szerint) és az esetleges kivételeket. Ha egy adathordozó nem törölhető, ezt nem szabad elrejteni — külön státuszt és kockázatalapú további intézkedést kell kapnia.
Az őrzési lánc (chain of custody) dokumentálása párhuzamos elvárás. Az assessor azt vizsgálja, hogy az eszköz nem tűnt-e el a folyamat közben, nem került-e ellenőrizetlen szállításba, és nem volt-e olyan átmeneti tárolás, ahol jogosulatlan hozzáférés történhetett. Az őrzési lánc minimális tartalma: átadó és átvevő neve, időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy zárt tartály azonosító, mennyiségi egyeztetés és eltéréskezelés módja.
AL3 audit alatt az assessor kockázatalapú mintát vehet, és kérheti, hogy a beszállító az eszközleltártól a sanitization record-ig végigkövesse a kiválasztott tételeket. Belső felkészülésnél érdemes egy 10-30 eszközből álló minta végigkövethetőségére készülni, de a tényleges mintaszám az audit provider mérlegelésén múlik. Hiánykezelési eljárás (eltérésjegyzőkönyv 24-48 órán belül, corrective action plan a Major non-conformity-knél jellemzően 90 napon belül) megléte ezért kulcs eleme a felkészülésnek.
Beszállítói lánc: az alvállalkozói IT biztonsági szint felelőssége
A TISAX nem zárul le a vállalat kapujánál. A VDA ISA 6.0 6.1.1 Supplier Relationships kontrollja elvárja, hogy a szervezet kockázatalapon értékelje a vállalkozókat és együttműködő partnereket, szerződésben rögzítse az információbiztonsági elvárásokat, és verifikálja azok teljesülését. Ez közvetlenül érinti az IT eszközök selejtezésébe bevont külső szolgáltatókat.
A beszállítói kockázat mértéke attól függ, ténylegesen mihez fér hozzá az alvállalkozó: csak már zárt vagy előkezelt elektronikai hulladékhoz, vagy magas védelmi igényű információhoz, prototípushoz, illetve személyes adathoz tartalmazó működő adathordozóhoz. Ha az alvállalkozó az utóbbi kategóriába esik, akkor nem elegendő egy általános megrendelés — a szerződésnek kezelnie kell a titoktartást, az adatkezelési szerepeket (GDPR 28. cikk szerinti adatfeldolgozói pozíció, ha releváns), az alvállalkozói lánc továbbadását, az eszközök átadásának rendjét, a sanitization módszereket, a dokumentációs elvárásokat és az auditjogot vagy bizonyítékbekérési jogot. A VDA ISA 6.0 9.5.2 Data Protection kontroll külön elvárja a personal data feldolgozásával kapcsolatos szerződéses kötelezettségeket.
Az assessor itt gyakran keres mintát: hogyan választották ki az adatmegsemmisítési szolgáltatót (kockázatértékelés bizonyítéka), milyen igazolás vagy tanúsítás támasztja alá a szolgáltató alkalmasságát (ISO/IEC 27001 tanúsítvány, ISO/IEC 21964 megsemmisítési minősítés, TISAX label, vagy ezek hiányában explicit kontrollteszt), és hogyan ellenőrzi a beszállító a szolgáltatási riportokat. Ha a szervezet csak a számlát és egy darabszámot tud felmutatni, az gyenge bizonyíték. Eszközszintű lista, átadási dokumentáció, sanitization record és eltéréskezelés együtt már auditálhatóbb alap.
Fontos korlát: a TISAX nem mondja ki automatikusan, hogy minden saját beszállítónak ugyanazt a TISAX label-t kell megszereznie. A beszállítónak viszont bizonyítania kell, hogy a külső szolgáltatás igénybevétele nem vezet be kezeletlen információbiztonsági kockázatot — magasabb védelmi igényű scope (Strictly Confidential vagy Proto Vehicles) esetén az ENX exchange portálon megosztott TISAX label vagy tanúsított ekvivalens szerződéses elvárás lehet.
Gyakorlati felkészülési lista TISAX előtt
Az első lépés az eszközleltár és az információosztályozás összekötése. A selejtezésre kerülő IT eszköznél legyen megállapítható, hogy milyen információs vagyonhoz kapcsolódott, milyen védelmi igény vonatkozott rá, és ki a felelős tulajdonos. Enélkül a törlési vagy megsemmisítési döntés utólag nehezen védhető.
Második lépésként legyen jóváhagyott módszerválasztási mátrix. Ez határozza meg, hogy HDD, SSD, mobiltelefon, memóriakártya, szerverlemez, mentési adathordozó vagy papíralapú dokumentáció esetén milyen módszer alkalmazható normál, magas vagy nagyon magas védelmi igénynél. A mátrix térjen ki a sérült, nem olvasható vagy titkosított eszközökre is.
Harmadik lépés a bizonyítékcsomag előkészítése. Egy assessor számára célszerű előre összeállítani egy mintacsomagot: selejtezési szabályzat, eszközlista, jóváhagyási rekord, átadás-átvételi jegyzőkönyv, őrzési lánc dokumentáció, tanúsított törlési vagy megsemmisítési igazolás, szolgáltatói kockázatértékelés és szerződéses kivonat. Nem a dokumentum mennyisége számít, hanem az, hogy egy konkrét eszköz végigkövethető legyen a döntéstől a végrehajtásig.
Negyedik lépésként kezelni kell az eltéréseket. Ha egy adathordozó hiányzik, nem azonosítható, nem törölhető vagy a darabszám eltér, annak legyen incidens- vagy eltéréskezelési útja. Az autóipari compliance gyakorlatban a kontrollált eltérés jobb, mint az utólag nem magyarázható csend.
Végül érdemes a TISAX felkészítés során próbainterjút tartani az IT, compliance, beszerzés, létesítményüzemeltetés és adatvédelmi felelős bevonásával. Az eszközselejtezés tipikusan több szervezeti egységet érint, és az assessor gyorsan látja, ha a folyamat csak az egyik területen ismert.
A külső szolgáltató kiválasztásakor a beszállító kérjen eszközszintű sanitization vagy destruction record-ot, dokumentált őrzési láncot és eltéréskezelési eljárást — a TISAX assessment oldaláról ezek a bizonyítékok illeszthetők a VDA ISA 6.0 ellenőrzéseihez. TISAX felkészítéshez használható selejtezési és adathordozó-kezelési ajánlatkérés.
Gyakori kérdések
Kötelező minden leselejtezett IT eszközt fizikailag megsemmisíteni TISAX alatt?
Nem. A módszert a védelmi igény, az adathordozó típusa, az eszköz további sorsa és a vevői követelmények alapján kell kiválasztani és dokumentálni.
Mit jelent az őrzési lánc az adathordozó-megsemmisítésnél?
Az őrzési lánc azt dokumentálja, hogy az eszköz mikor, kitől, kinek, milyen azonosítóval és milyen kontrollált körülmények között került átadásra, tárolásra, szállításra és megsemmisítésre.
Elfogadható auditbizonyíték egy darabszámos megsemmisítési igazolás?
Önmagában gyenge bizonyíték, ha nem köthető konkrét eszközazonosítókhoz. TISAX felkészítésnél eszközszintű vagy adathordozó-szintű visszakövethetőségre van szükség.
Hogyan kapcsolódik a NIST SP 800-88 Rev. 2 a TISAX audithoz?
A NIST SP 800-88 Rev. 2 nem TISAX szabvány, de elismert módszertani referencia a Clear, Purge és Destroy kategóriákhoz, ezért segít a törlési és megsemmisítési döntések indoklásában.
Mit kell ellenőrizni egy külső adatmegsemmisítési szolgáltatónál?
Kockázatalapon vizsgálni kell a szerződéses kötelezettségeket, titoktartást, alvállalkozók kezelését, őrzési láncot, tanúsított jegyzőkönyvezést és a szolgáltatási riportok ellenőrizhetőségét.
IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások
A pénzügyi intézmények IT eszközeinek selejtezése Magyarországon egyidejűleg három szabályozói keretrendszer — az MNB 1/2025. ajánlása, a DORA (EU 2022/2554) rendelet és a GDPR — elvárásainak kell megfeleljen. A nem megfelelően kezelt adattörlés közvetlen felügyeleti, jogi és reputációs kockázatot jelent, amellyel a szektorbeli szervezetek compliance és IT kockázatkezelési felelősei egyre intenzívebben szembesülnek. A tanúsított adattörlés és az auditálható selejtezési folyamat ebben a kontextusban nem csupán legjobb gyakorlat, hanem igazolható szabályozói elvárás.
Legfontosabb megállapítások:
A DORA (EU 2022/2554) 9. cikkéből levezethető megfelelőségi elvárás, hogy az ICT-védelmi politika az eszközök teljes életciklusára — ideértve a kivonást és a biztonságos selejtezést — is kiterjedjen; ez rendszertani és kockázatkezelési értelmezés, nem szó szerinti normaszöveg.
A GDPR korlátozott tárolhatóság elve (5. cikk (1) e) pont), az integritás és bizalmasság elve (5. cikk (1) f) pont), valamint a törlési jog (17. cikk) és az adatkezelői felelősség (24. és 32. cikk) együttesen kötelezettséget teremt a pénzügyi intézmény által kezelt személyes adatok hordozóinak dokumentált és biztonságos megsemmisítésére.
Az MNB 1/2025. ajánlás IT biztonságra vonatkozó elvárásrendszere — beleértve az eszközök életciklus-kezelését — az SREP IT-kockázati pillérének értékelési területén jelenik meg; az auditálható selejtezési folyamat és a rendezett tanúsítványkezelés ezért az intézményi felkészültség dokumentálható részévé kell váljon.
A pénzügyi intézmény IT selejtezés és adatvédelem kérdése ma már nem pusztán üzemeltetési szempont: egy leselejtezett, nem megfelelően törölt szerver vagy laptop háromféle párhuzamos kockázatot hordoz egyszerre. Felügyeleti kockázatot, ha az MNB-vizsgálat hiányos selejtezési dokumentációt talál; adatvédelmi incidens-kockázatot, ha az eszközön maradó személyes adatok illetéktelen kezekbe kerülnek; és auditkockázatot, ha a DORA szerinti ICT kockázatkezelési keretrendszer nem fed le minden eszköz-életciklus fázist. Az MNB, a DORA és a GDPR együttes elvárásrendszere ezt a területet ma már egyértelműen a compliance-kérdések közé sorolja — miközben a gyakorlatban sokhelyütt még mindig operatív IT-feladatként kezelik.
Pénzügyi intézmény IT selejtezés: miért kritikus az adatvédelem és a compliance?
A bankok, biztosítók, befektetési vállalkozások és pénzforgalmi szolgáltatók IT eszközparkja életciklusának végén adathordozókat tartalmaz, amelyeken ügyfél-azonosítási adatok, tranzakciós naplók, belső kommunikáció, kockázatkezelési dokumentumok és hitelesítési információk egyaránt megtalálhatók lehetnek. Egy nem megfelelően megsemmisített merevlemez vagy SSD-meghajtó ebből a szempontból összemérhető súlyú kockázatot hordozhat, mint egy rosszindulatú szoftver által kompromittált szerver — azzal a lényeges különbséggel, hogy a fizikai eszköz kivonásakor az incidens nem generál riasztást, nem jelenik meg a biztonsági monitoringban, és az érintettség esetenként csak hónapokkal vagy évekkel később derül fény.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosan elérhető határozatai jelzik, hogy a hatósági figyelem Magyarországon is kiterjedt erre a területre. Ezzel párhuzamosan a DORA 2025. januári alkalmazhatóvá válása a pénzügyi szektort az ICT kockázatkezelési elvárások szempontjából tovább szigorította — és a rendelet logikájából levezetett megfelelőségi értelmezés az eszközök selejtezési folyamatát is ebbe a keretrendszerbe helyezi.
Az MNB informatikai biztonsági elvárásai és az eszközök életciklusa
A Magyar Nemzeti Bank 1/2025. számú ajánlása az informatikai rendszer védelméről az IT biztonságot átfogóan, az eszközök teljes életciklusára kiterjedő megközelítésben tárgyalja. Az ajánlás kitér az adathordozók és IT eszközök megsemmisítésének, visszaszolgáltatásának és selejtezésének rendjére, és elvárja, hogy a pénzügyi intézmények belső szabályzataikban rögzítsék az ezzel kapcsolatos eljárásokat.
Az ajánlás szellemében az adathordozók kivonásakor alkalmazott eljárásrendnek ki kell terjednie legalább a következőkre: az érintett eszközök körének meghatározása eszköztípusonként, az alkalmazott megsemmisítési módszer rögzítése, a végrehajtás felelősi rendje, és a folyamat dokumentálásának módja. A puszta belső szabályzat önmagában nem elegendő: az MNB helyszíni vizsgálatakor a végrehajtás dokumentáltsága, a megsemmisítési tanúsítványok kezelése és a harmadik féltől igénybe vett selejtezési szolgáltatások auditálhatósága is az értékelés tárgyává válhat.
A pénzügyi intézmények belső compliance tevékenysége során ezért célszerű különválasztani az IT eszközök selejtezési folyamatát a fizikai infrastruktúra általános felváltásától: az előbbi önálló szabályozói relevanciával bíró terület, amelynek kezelése koordinációt kíván az IT üzemeltetés, az adatvédelmi tisztviselő és a kockázatkezelési funkció között.
DORA: az ICT kockázatkezelés az eszközök teljes életciklusában
A Digitális Operatív Rugalmassági Rendelet — DORA (EU 2022/2554) — 2025. január 17-től kötelező érvénnyel alkalmazandó valamennyi, az Unió pénzügyi szektor szabályozása alá eső szervezetre, beleértve a bankokat, biztosítókat, befektetési vállalkozásokat, elektronikuspénz-intézményeket és pénzforgalmi szolgáltatókat. A rendelet 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amely kiterjed az ICT-vagyonelemek — így az adathordozók — osztályozására és kezelésére. Ebből a rendszertani megközelítésből levezetett megfelelőségi értelmezés, hogy a védelem és a megelőzési intézkedések nem érhetnek véget az eszköz aktív üzemeltetési fázisával: a biztonságos kivonás és a dokumentált megsemmisítés ennek a politikának logikus és elvárható eleme.
A DORA logikája az ICT kockázatot az eszközök teljes életciklusában értelmezi: a beszerzéstől, a konfiguráción és üzemeltetésen át a kivonásig. Egy eszköz kivezetése — legyen szó laptopról, szerverről, mobileszközről, hálózati berendezésről vagy adattároló meghajtóról — ezért az intézmény ICT kockázatkezelési keretrendszerébe illeszkedő, dokumentálható folyamattá kell váljon.
Külső selejtezési partner bevonása esetén az intézménynek háromszintű minősítési kérdést kell megválaszolni. Első szint: egyáltalán ICT-szolgáltatónak minősül-e a partner (azaz technológiai jellegű adatkezelési vagy adattörlési szolgáltatást nyújt-e, nem csupán fizikai logisztikát)? Második szint: az általa érintett tevékenység kritikus vagy fontos funkciót támogat-e az intézmény működésében? Harmadik szint: fennállhat-e koncentrációs kockázat, amely a DORA szerinti kritikus ICT-harmadik fél besorolást vonja maga után? Egy alkalmi, könnyen helyettesíthető törlési partner jellemzően nem minősül kritikus ICT third-party-nak — de a minősítési döntést, az elvégzett due diligence-t és az indoklást dokumentálni kell. Ha a partner mégis ICT third-party-nak minősül, a DORA 28. cikke szerinti szerződéses minimumelvárások (kötelező záradékok, auditjog, kilépési terv, adatlokáció, alvállalkozói lánc) is alkalmazandók.
Minden esetben — függetlenül a partnerminősítéstől — az elvégzett selejtezési munkának auditálható dokumentációval és megsemmisítési tanúsítvánnyal kell zárulnia.
A GDPR korlátozott tárolhatóság elvének hatása az IT selejtezési folyamatokra
A GDPR személyes adatok kezelésére vonatkozó elvei közül a korlátozott tárolhatóság elve (5. cikk (1) bekezdés e) pont) és a törléshez való jog (17. cikk) szorosan kapcsolódik az IT eszközök selejtezésének kérdéséhez. A korlátozott tárolhatóság elve értelmében a személyes adatokat csak addig szabad megőrizni, amíg az adatkezelési célhoz szükséges. Ez az elv az adathordozók fizikai megszűnésekor is érvényesítendő: ha egy eszközön személyes adatok maradnak, az adatkezelési cél megszűnése nem szűnteti meg automatikusan az adatvédelmi felelősséget. A GDPR 5. cikk (1) f) pontja (integritás és bizalmasság elve), a 24. cikk (az adatkezelő felelőssége) és a 32. cikk (az adatbiztonság technikai-szervezési intézkedései) szintén kötelezettséget teremt arra, hogy az adatkezelés teljes életciklusában — a selejtezést is beleértve — megfelelő biztonsági intézkedések legyenek érvényben.
A pénzügyi szektorban ez a kötelezettség összetett képet mutat. A banki megőrzési kötelezettségek — jellemzően 5–10 éves időszakokra — korlátozhatják a törlési jog közvetlen érvényesíthetőségét az aktív adatkezelési időszak alatt. Azonban a megőrzési kötelezettség lejártát követően a biztonságos megsemmisítés már nem ajánlott legjobb gyakorlat, hanem jogi kötelezettség. Ennek elmulasztása nemcsak GDPR-jogsértés alapját képezheti — amelyért a NAIH akár érzékeny mértékű bírságot is kiszabhat —, de adatvédelmi incidensként is bejelentendővé válhat, ha az adatok illetéktelen kezekbe kerülnek.
A pénzügyi intézmények adatvédelmi tisztviselőinek (DPO) ezért célszerű az IT eszközök selejtezési tervét az adatkezelési nyilvántartással összevetni, és gondoskodni arról, hogy a kivont eszközökön tárolt adatok törlése az adatkezelési nyilvántartásban rögzített megőrzési idővel összhangban történjen.
Tanúsított adattörlés és fizikai megsemmisítés: mikor melyik a megfelelő megközelítés?
A pénzügyi szektorbeli eszközök körében a két alapvető megsemmisítési módszer — szoftveres adattörlés és fizikai megsemmisítés — közötti választást több tényező együttesen határozza meg.
A tanúsított szoftveres adattörlés HDD meghajtók esetén elismert és auditálható megközelítés, amennyiben széles körben hivatkozott útmutató — például a NIST SP 800-88 Rev. 1 (Guidelines for Media Sanitization) — szerint kerül elvégzésre, és az eljárás tanúsítvánnyal zárul. Ez lehetővé teszi az eszközök fizikai újrahasznosítását vagy értékesítését, miközben a megsemmisítés szabályozói szempontból igazolható.
SSD meghajtók, flash-alapú tárolóeszközök, Hardware Security Module-ok (HSM) és kriptográfiai adatokat hordozó eszközök esetén a helyzet összetettebb. Az SSD-technológia sajátosságai — különösen a wear leveling és az over-provisioning mechanizmusok — következtében a szoftveres felülírás nem garantálja, hogy minden adatblokk elérhetővé válik az eljárás számára. A NIST SP 800-88 Rev. 1 SSD esetén két elfogadható utat nevez meg: a kriptográfiai törlést (Cryptographic Erase), amely akkor érvényes, ha a tárolás teljes időtartama alatt hardveres titkosítás volt érvényes; illetve a validált eszközspecifikus sanitize eljárást, ha az gyártói tanúsítással igazolható. Ahol sem a kriptográfiai törlés, sem az eszközspecifikus sanitize nem alkalmazható megbízhatóan, pénzügyi intézményi környezetben — ahol az adatok érzékenysége és az incidens következménye magasabb az átlagosnál — a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést.
A belső szabályzatnak az eszköztípusonkénti megközelítést rögzítenie kell: laptop (HDD vs. SSD típus szerint), szerver, mobileszköz, hálózati berendezés, HSM — mindegyik esetén meghatározva az alkalmazott módszert és az elvárt dokumentációs szintet.
A selejtezési folyamat felelősségi rendje: az 1-2-3 védelmi vonal modell
Banki kontextusban a selejtezési folyamat nemcsak IT-üzemeltetési feladat, hanem a három védelmi vonal mindegyikén megjelenő kontrollterület. Az első vonal (IT operations) felelős az eljárásrend tényleges végrehajtásáért: az eszközök azonosításáért, a megfelelő törlési vagy megsemmisítési módszer alkalmazásáért, és a megsemmisítési tanúsítványok begyűjtéséért. A második vonal (IT Risk / Compliance funkció) feladata az eljárásrend megfelelőségének ellenőrzése, a DORA- és MNB-elvárásokhoz való illeszkedés értékelése, a tanúsítványok dokumentált kezelése, és a DORA 28. cikke szerinti partnerminősítési döntések fenntartása. A harmadik vonal (belső audit) kockázatalapú audit terv szerint, rendszeresen végez mintavételes ellenőrzést: visszaellenőrzi, hogy az elvégzett megsemmisítések tanúsítványai konzisztensek-e az eszköznyilvántartással (CMDB), és hogy a külső partnernél végzett audit-jog ténylegesen érvényesíthető. A vezető testület (igazgatóság / felügyelő bizottság) szintjén az ICT kockázatkezelési keretrendszer részeként a selejtezési folyamat megfelelőségéről rendszeres jelentés szükséges.
A védelmi vonal struktúra expliciten szerepeltetése a selejtezési eljárásrendben és az ICT kockázatkezelési dokumentációban elvárható egy SREP-értékelés során.
A selejtezési dokumentáció és a szabályozói felkészültség
A megfelelőség szempontjából a tényleges megsemmisítés módszere mellett annak dokumentáltsága legalább olyan súlyú kérdés. Az MNB helyszíni vizsgálatai, illetve a DORA szerinti belső ICT kockázatkezelési ellenőrzések során felkészültséget jelent, ha az intézmény rendelkezik a következőkkel:
a selejtezési eljárásrendet rögzítő, hatályos és jóváhagyott belső szabályzat,
az elvégzett selejtezésekről kiállított tanúsítványok, amelyek tartalmazzák a megsemmisítés módszerét, az érintett eszközök azonosítóit, az elvégzés dátumát és a felelős aláírását,
a harmadik feles selejtezési partnerek minősítésére, szerződéses elvárásaira és teljesítményük dokumentálására vonatkozó eljárásrend,
a DORA szerinti ICT kockázatkezelési keretrendszerbe illeszkedő eszköz-életciklus kezelési dokumentáció,
a DORA 28. cikk szerinti partnerminősítési értékelés és annak indoklása (kritikalitás, helyettesíthetőség, koncentrációs kockázat).
A megsemmisítési tanúsítványok megőrzési idejét az intézmény iratmegőrzési szabályzatának, a Számviteli törvény (2000. évi C. törvény 169. §) szerinti bizonylati megőrzési kötelezettségnek (jellemzően 8 év), szerződéses kötelezettségeinek és jogérvényesítési szempontoknak megfelelően — jellemzően a jogi és compliance funkció koordinálásával — kell meghatározni. A konkrét megőrzési idő intézményi szinten a fenti szempontok alapján, az alkalmazandó jogszabályi keret figyelembevételével határozható meg.
Azok az intézmények, amelyek az IT eszközök selejtezését eddig kizárólag IT üzemeltetési feladatként kezelték, most indokolt mérlegelniük, hogy ez a terület illeszkedik-e a jelenlegi compliance és kockázatkezelési keretrendszerbe. Ha a megsemmisítési dokumentáció hiányos, a partnerminősítési döntés nincs rögzítve, vagy az eljárásrend nincs összhangban a DORA és az MNB 1/2025. ajánlás elvárásaival, a szükséges intézkedések köre meghatározható — és egy átfogó, auditálható folyamat kialakítható.
Ha szeretné felmérni, hogy intézménye selejtezési dokumentációja megfelel-e az aktuális MNB és DORA elvárásoknak, kérjen auditálható adattörlési folyamatértékelést: Ajánlatkérés
Gyakori kérdések
Mit takar pontosan a DORA ICT védelmi politikákra vonatkozó elvárása az eszközök selejtezése kapcsán?
A DORA (EU 2022/2554) 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amelybe az ICT-vagyonelemek osztályozása és kezelése is beletartozik. A rendszer logikájából levezetett megfelelőségi értelmezés szerint a védelmi intézkedéseknek ki kell terjedniük az eszközök teljes életciklusára — beleértve a kivonást és a dokumentált megsemmisítést is.
Milyen eszköztípusoknál indokolt a fizikai megsemmisítés?
SSD meghajtók, flash-alapú tárolók, Hardware Security Module-ok (HSM) és kriptográfiai kulcsokat hordozó eszközök esetén a szoftveres törlés technológiai sajátosságai miatt nem mindig garantálja az összes adatblokk elérhetőségét. Ahol az eszközspecifikus validált sanitize eljárás nem igazolható, a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést pénzügyi intézményi környezetben.
Hogyan kapcsolódik a GDPR a pénzügyi intézményi IT selejtezési folyamathoz?
A GDPR korlátozott tárolhatóság elvének (5. cikk (1) e) pont) és a törlési jognak (17. cikk) az együttes olvasata szerint a személyes adatokat az adatkezelési cél megszűnését vagy a megőrzési kötelezettség lejártát követően biztonságosan meg kell semmisíteni. Az integritás és bizalmasság elvéből (5. cikk (1) f) pont) és az adatkezelői felelősség szabályaiból (24. és 32. cikk) levezetett elvárás, hogy a selejtezési folyamat dokumentált, ellenőrizhető és arányos biztonsági intézkedésekkel kivitelezett legyen.
Mit ellenőrizhet az MNB az informatikai biztonsági helyszíni vizsgálat során az IT selejtezés kapcsán?
Az MNB 1/2025. ajánlása alapján a vizsgálat kiterjedhet a selejtezési eljárásrendek meglétére és naprakészségére, az elvégzett megsemmisítések tanúsítványaira, a harmadik feles selejtezési szolgáltatók minősítésére és a szerződéses elvárásokra, valamint az IT eszközök életciklus-kezelési dokumentációjára.
Elfogad-e a szabályozó szoftveres adattörlést fizikai megsemmisítés helyett?
Igen, HDD meghajtók esetén, amennyiben az alkalmazott eljárás elismert szabványon — például NIST SP 800-88 Rev. 1 — alapul, és a végrehajtás auditálható tanúsítvánnyal igazolt. SSD-k és flash-alapú tárolók esetén pénzügyi intézményi környezetben sok esetben a fizikai megsemmisítés a legkisebb kockázatú és legkönnyebben auditálható megoldás, különösen ott, ahol az eszközspecifikus validált sanitize eljárás nem igazolható.
Milyen dokumentumokat érdemes előkészíteni egy MNB-vizsgálatra az IT selejtezés kapcsán?
Az intézménynek rendelkezésre kell bocsátania a selejtezési eljárásrendet rögzítő belső szabályzatot, az elvégzett megsemmisítések tanúsítványait (eszközazonosítóval, módszerrel, dátummal, aláírással), a harmadik feles partnerekkel kötött szerződések releváns részeit, valamint az ICT kockázatkezelési keretrendszer eszközök életciklusára vonatkozó fejezetét.
