adatvédelem

GDPR törléshez való jog a gyakorlatban: mit jelent ez a szervezetek számára?

GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?

GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?

A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:

  • A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
  • A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
  • Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.

Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?

A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.

A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:

  • Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
  • Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
  • Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
  • Az adatokat jogellenesen kezelték.

Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.

A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.

Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek

A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.

Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.

Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.

A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.

A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.

A törlés technikai valósága: miért nem elég a fájl törlése?

Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés

Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.

A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.

A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.

SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.

A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.

Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?

A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.

Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:

  • Az érintett eszközök azonosítóit (sorozatszám, típus)
  • Az alkalmazott törlési módszer megnevezését és szabványát
  • A törlés elvégzésének dátumát és körülményeit
  • Az elvégző személy vagy szervezet adatait

Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.

Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.

Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.

Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:

  • Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
  • Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
  • Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.

Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.

Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?

A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.

Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.

Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.

Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.

Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.

Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.

Gyakori kérdések

Mit jelent pontosan a GDPR törléshez való jog?

A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.

Hogyan kell GDPR szerint törölni a személyes adatokat?

A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.

Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?

Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.

Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?

Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.

Hogyan kell dokumentálni a GDPR adatok törlését?

Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.

Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?

Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.

IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások

Pénzügyi intézmény IT selejtezési megfelelőség — vezető compliance dokumentációt tekint át modern irodai környezetben

IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások

A pénzügyi intézmények IT eszközeinek selejtezése Magyarországon egyidejűleg három szabályozói keretrendszer — az MNB 1/2025. ajánlása, a DORA (EU 2022/2554) rendelet és a GDPR — elvárásainak kell megfeleljen. A nem megfelelően kezelt adattörlés közvetlen felügyeleti, jogi és reputációs kockázatot jelent, amellyel a szektorbeli szervezetek compliance és IT kockázatkezelési felelősei egyre intenzívebben szembesülnek. A tanúsított adattörlés és az auditálható selejtezési folyamat ebben a kontextusban nem csupán legjobb gyakorlat, hanem igazolható szabályozói elvárás.
Legfontosabb megállapítások:

  • A DORA (EU 2022/2554) 9. cikkéből levezethető megfelelőségi elvárás, hogy az ICT-védelmi politika az eszközök teljes életciklusára — ideértve a kivonást és a biztonságos selejtezést — is kiterjedjen; ez rendszertani és kockázatkezelési értelmezés, nem szó szerinti normaszöveg.
  • A GDPR korlátozott tárolhatóság elve (5. cikk (1) e) pont), az integritás és bizalmasság elve (5. cikk (1) f) pont), valamint a törlési jog (17. cikk) és az adatkezelői felelősség (24. és 32. cikk) együttesen kötelezettséget teremt a pénzügyi intézmény által kezelt személyes adatok hordozóinak dokumentált és biztonságos megsemmisítésére.
  • Az MNB 1/2025. ajánlás IT biztonságra vonatkozó elvárásrendszere — beleértve az eszközök életciklus-kezelését — az SREP IT-kockázati pillérének értékelési területén jelenik meg; az auditálható selejtezési folyamat és a rendezett tanúsítványkezelés ezért az intézményi felkészültség dokumentálható részévé kell váljon.

A pénzügyi intézmény IT selejtezés és adatvédelem kérdése ma már nem pusztán üzemeltetési szempont: egy leselejtezett, nem megfelelően törölt szerver vagy laptop háromféle párhuzamos kockázatot hordoz egyszerre. Felügyeleti kockázatot, ha az MNB-vizsgálat hiányos selejtezési dokumentációt talál; adatvédelmi incidens-kockázatot, ha az eszközön maradó személyes adatok illetéktelen kezekbe kerülnek; és auditkockázatot, ha a DORA szerinti ICT kockázatkezelési keretrendszer nem fed le minden eszköz-életciklus fázist. Az MNB, a DORA és a GDPR együttes elvárásrendszere ezt a területet ma már egyértelműen a compliance-kérdések közé sorolja — miközben a gyakorlatban sokhelyütt még mindig operatív IT-feladatként kezelik.

Pénzügyi intézmény IT selejtezés: miért kritikus az adatvédelem és a compliance?

A bankok, biztosítók, befektetési vállalkozások és pénzforgalmi szolgáltatók IT eszközparkja életciklusának végén adathordozókat tartalmaz, amelyeken ügyfél-azonosítási adatok, tranzakciós naplók, belső kommunikáció, kockázatkezelési dokumentumok és hitelesítési információk egyaránt megtalálhatók lehetnek. Egy nem megfelelően megsemmisített merevlemez vagy SSD-meghajtó ebből a szempontból összemérhető súlyú kockázatot hordozhat, mint egy rosszindulatú szoftver által kompromittált szerver — azzal a lényeges különbséggel, hogy a fizikai eszköz kivonásakor az incidens nem generál riasztást, nem jelenik meg a biztonsági monitoringban, és az érintettség esetenként csak hónapokkal vagy évekkel később derül fény.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosan elérhető határozatai jelzik, hogy a hatósági figyelem Magyarországon is kiterjedt erre a területre. Ezzel párhuzamosan a DORA 2025. januári alkalmazhatóvá válása a pénzügyi szektort az ICT kockázatkezelési elvárások szempontjából tovább szigorította — és a rendelet logikájából levezetett megfelelőségi értelmezés az eszközök selejtezési folyamatát is ebbe a keretrendszerbe helyezi.

Az MNB informatikai biztonsági elvárásai és az eszközök életciklusa

A Magyar Nemzeti Bank 1/2025. számú ajánlása az informatikai rendszer védelméről az IT biztonságot átfogóan, az eszközök teljes életciklusára kiterjedő megközelítésben tárgyalja. Az ajánlás kitér az adathordozók és IT eszközök megsemmisítésének, visszaszolgáltatásának és selejtezésének rendjére, és elvárja, hogy a pénzügyi intézmények belső szabályzataikban rögzítsék az ezzel kapcsolatos eljárásokat.

Az ajánlás szellemében az adathordozók kivonásakor alkalmazott eljárásrendnek ki kell terjednie legalább a következőkre: az érintett eszközök körének meghatározása eszköztípusonként, az alkalmazott megsemmisítési módszer rögzítése, a végrehajtás felelősi rendje, és a folyamat dokumentálásának módja. A puszta belső szabályzat önmagában nem elegendő: az MNB helyszíni vizsgálatakor a végrehajtás dokumentáltsága, a megsemmisítési tanúsítványok kezelése és a harmadik féltől igénybe vett selejtezési szolgáltatások auditálhatósága is az értékelés tárgyává válhat.

A pénzügyi intézmények belső compliance tevékenysége során ezért célszerű különválasztani az IT eszközök selejtezési folyamatát a fizikai infrastruktúra általános felváltásától: az előbbi önálló szabályozói relevanciával bíró terület, amelynek kezelése koordinációt kíván az IT üzemeltetés, az adatvédelmi tisztviselő és a kockázatkezelési funkció között.

DORA: az ICT kockázatkezelés az eszközök teljes életciklusában

A Digitális Operatív Rugalmassági Rendelet — DORA (EU 2022/2554) — 2025. január 17-től kötelező érvénnyel alkalmazandó valamennyi, az Unió pénzügyi szektor szabályozása alá eső szervezetre, beleértve a bankokat, biztosítókat, befektetési vállalkozásokat, elektronikuspénz-intézményeket és pénzforgalmi szolgáltatókat. A rendelet 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amely kiterjed az ICT-vagyonelemek — így az adathordozók — osztályozására és kezelésére. Ebből a rendszertani megközelítésből levezetett megfelelőségi értelmezés, hogy a védelem és a megelőzési intézkedések nem érhetnek véget az eszköz aktív üzemeltetési fázisával: a biztonságos kivonás és a dokumentált megsemmisítés ennek a politikának logikus és elvárható eleme.

A DORA logikája az ICT kockázatot az eszközök teljes életciklusában értelmezi: a beszerzéstől, a konfiguráción és üzemeltetésen át a kivonásig. Egy eszköz kivezetése — legyen szó laptopról, szerverről, mobileszközről, hálózati berendezésről vagy adattároló meghajtóról — ezért az intézmény ICT kockázatkezelési keretrendszerébe illeszkedő, dokumentálható folyamattá kell váljon.

Külső selejtezési partner bevonása esetén az intézménynek háromszintű minősítési kérdést kell megválaszolni. Első szint: egyáltalán ICT-szolgáltatónak minősül-e a partner (azaz technológiai jellegű adatkezelési vagy adattörlési szolgáltatást nyújt-e, nem csupán fizikai logisztikát)? Második szint: az általa érintett tevékenység kritikus vagy fontos funkciót támogat-e az intézmény működésében? Harmadik szint: fennállhat-e koncentrációs kockázat, amely a DORA szerinti kritikus ICT-harmadik fél besorolást vonja maga után? Egy alkalmi, könnyen helyettesíthető törlési partner jellemzően nem minősül kritikus ICT third-party-nak — de a minősítési döntést, az elvégzett due diligence-t és az indoklást dokumentálni kell. Ha a partner mégis ICT third-party-nak minősül, a DORA 28. cikke szerinti szerződéses minimumelvárások (kötelező záradékok, auditjog, kilépési terv, adatlokáció, alvállalkozói lánc) is alkalmazandók.

Minden esetben — függetlenül a partnerminősítéstől — az elvégzett selejtezési munkának auditálható dokumentációval és megsemmisítési tanúsítvánnyal kell zárulnia.

A GDPR korlátozott tárolhatóság elvének hatása az IT selejtezési folyamatokra

Compliance megfelelőségi dokumentáció áttekintése pénzügyi intézményben

A GDPR személyes adatok kezelésére vonatkozó elvei közül a korlátozott tárolhatóság elve (5. cikk (1) bekezdés e) pont) és a törléshez való jog (17. cikk) szorosan kapcsolódik az IT eszközök selejtezésének kérdéséhez. A korlátozott tárolhatóság elve értelmében a személyes adatokat csak addig szabad megőrizni, amíg az adatkezelési célhoz szükséges. Ez az elv az adathordozók fizikai megszűnésekor is érvényesítendő: ha egy eszközön személyes adatok maradnak, az adatkezelési cél megszűnése nem szűnteti meg automatikusan az adatvédelmi felelősséget. A GDPR 5. cikk (1) f) pontja (integritás és bizalmasság elve), a 24. cikk (az adatkezelő felelőssége) és a 32. cikk (az adatbiztonság technikai-szervezési intézkedései) szintén kötelezettséget teremt arra, hogy az adatkezelés teljes életciklusában — a selejtezést is beleértve — megfelelő biztonsági intézkedések legyenek érvényben.

A pénzügyi szektorban ez a kötelezettség összetett képet mutat. A banki megőrzési kötelezettségek — jellemzően 5–10 éves időszakokra — korlátozhatják a törlési jog közvetlen érvényesíthetőségét az aktív adatkezelési időszak alatt. Azonban a megőrzési kötelezettség lejártát követően a biztonságos megsemmisítés már nem ajánlott legjobb gyakorlat, hanem jogi kötelezettség. Ennek elmulasztása nemcsak GDPR-jogsértés alapját képezheti — amelyért a NAIH akár érzékeny mértékű bírságot is kiszabhat —, de adatvédelmi incidensként is bejelentendővé válhat, ha az adatok illetéktelen kezekbe kerülnek.

A pénzügyi intézmények adatvédelmi tisztviselőinek (DPO) ezért célszerű az IT eszközök selejtezési tervét az adatkezelési nyilvántartással összevetni, és gondoskodni arról, hogy a kivont eszközökön tárolt adatok törlése az adatkezelési nyilvántartásban rögzített megőrzési idővel összhangban történjen.

Tanúsított adattörlés és fizikai megsemmisítés: mikor melyik a megfelelő megközelítés?

A pénzügyi szektorbeli eszközök körében a két alapvető megsemmisítési módszer — szoftveres adattörlés és fizikai megsemmisítés — közötti választást több tényező együttesen határozza meg.

A tanúsított szoftveres adattörlés HDD meghajtók esetén elismert és auditálható megközelítés, amennyiben széles körben hivatkozott útmutató — például a NIST SP 800-88 Rev. 1 (Guidelines for Media Sanitization) — szerint kerül elvégzésre, és az eljárás tanúsítvánnyal zárul. Ez lehetővé teszi az eszközök fizikai újrahasznosítását vagy értékesítését, miközben a megsemmisítés szabályozói szempontból igazolható.

SSD meghajtók, flash-alapú tárolóeszközök, Hardware Security Module-ok (HSM) és kriptográfiai adatokat hordozó eszközök esetén a helyzet összetettebb. Az SSD-technológia sajátosságai — különösen a wear leveling és az over-provisioning mechanizmusok — következtében a szoftveres felülírás nem garantálja, hogy minden adatblokk elérhetővé válik az eljárás számára. A NIST SP 800-88 Rev. 1 SSD esetén két elfogadható utat nevez meg: a kriptográfiai törlést (Cryptographic Erase), amely akkor érvényes, ha a tárolás teljes időtartama alatt hardveres titkosítás volt érvényes; illetve a validált eszközspecifikus sanitize eljárást, ha az gyártói tanúsítással igazolható. Ahol sem a kriptográfiai törlés, sem az eszközspecifikus sanitize nem alkalmazható megbízhatóan, pénzügyi intézményi környezetben — ahol az adatok érzékenysége és az incidens következménye magasabb az átlagosnál — a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést.

A belső szabályzatnak az eszköztípusonkénti megközelítést rögzítenie kell: laptop (HDD vs. SSD típus szerint), szerver, mobileszköz, hálózati berendezés, HSM — mindegyik esetén meghatározva az alkalmazott módszert és az elvárt dokumentációs szintet.

A selejtezési folyamat felelősségi rendje: az 1-2-3 védelmi vonal modell

Banki kontextusban a selejtezési folyamat nemcsak IT-üzemeltetési feladat, hanem a három védelmi vonal mindegyikén megjelenő kontrollterület. Az első vonal (IT operations) felelős az eljárásrend tényleges végrehajtásáért: az eszközök azonosításáért, a megfelelő törlési vagy megsemmisítési módszer alkalmazásáért, és a megsemmisítési tanúsítványok begyűjtéséért. A második vonal (IT Risk / Compliance funkció) feladata az eljárásrend megfelelőségének ellenőrzése, a DORA- és MNB-elvárásokhoz való illeszkedés értékelése, a tanúsítványok dokumentált kezelése, és a DORA 28. cikke szerinti partnerminősítési döntések fenntartása. A harmadik vonal (belső audit) kockázatalapú audit terv szerint, rendszeresen végez mintavételes ellenőrzést: visszaellenőrzi, hogy az elvégzett megsemmisítések tanúsítványai konzisztensek-e az eszköznyilvántartással (CMDB), és hogy a külső partnernél végzett audit-jog ténylegesen érvényesíthető. A vezető testület (igazgatóság / felügyelő bizottság) szintjén az ICT kockázatkezelési keretrendszer részeként a selejtezési folyamat megfelelőségéről rendszeres jelentés szükséges.

A védelmi vonal struktúra expliciten szerepeltetése a selejtezési eljárásrendben és az ICT kockázatkezelési dokumentációban elvárható egy SREP-értékelés során.

A selejtezési dokumentáció és a szabályozói felkészültség

A megfelelőség szempontjából a tényleges megsemmisítés módszere mellett annak dokumentáltsága legalább olyan súlyú kérdés. Az MNB helyszíni vizsgálatai, illetve a DORA szerinti belső ICT kockázatkezelési ellenőrzések során felkészültséget jelent, ha az intézmény rendelkezik a következőkkel:

  • a selejtezési eljárásrendet rögzítő, hatályos és jóváhagyott belső szabályzat,
  • az elvégzett selejtezésekről kiállított tanúsítványok, amelyek tartalmazzák a megsemmisítés módszerét, az érintett eszközök azonosítóit, az elvégzés dátumát és a felelős aláírását,
  • a harmadik feles selejtezési partnerek minősítésére, szerződéses elvárásaira és teljesítményük dokumentálására vonatkozó eljárásrend,
  • a DORA szerinti ICT kockázatkezelési keretrendszerbe illeszkedő eszköz-életciklus kezelési dokumentáció,
  • a DORA 28. cikk szerinti partnerminősítési értékelés és annak indoklása (kritikalitás, helyettesíthetőség, koncentrációs kockázat).

A megsemmisítési tanúsítványok megőrzési idejét az intézmény iratmegőrzési szabályzatának, a Számviteli törvény (2000. évi C. törvény 169. §) szerinti bizonylati megőrzési kötelezettségnek (jellemzően 8 év), szerződéses kötelezettségeinek és jogérvényesítési szempontoknak megfelelően — jellemzően a jogi és compliance funkció koordinálásával — kell meghatározni. A konkrét megőrzési idő intézményi szinten a fenti szempontok alapján, az alkalmazandó jogszabályi keret figyelembevételével határozható meg.

Azok az intézmények, amelyek az IT eszközök selejtezését eddig kizárólag IT üzemeltetési feladatként kezelték, most indokolt mérlegelniük, hogy ez a terület illeszkedik-e a jelenlegi compliance és kockázatkezelési keretrendszerbe. Ha a megsemmisítési dokumentáció hiányos, a partnerminősítési döntés nincs rögzítve, vagy az eljárásrend nincs összhangban a DORA és az MNB 1/2025. ajánlás elvárásaival, a szükséges intézkedések köre meghatározható — és egy átfogó, auditálható folyamat kialakítható.

Ha szeretné felmérni, hogy intézménye selejtezési dokumentációja megfelel-e az aktuális MNB és DORA elvárásoknak, kérjen auditálható adattörlési folyamatértékelést: Ajánlatkérés

Gyakori kérdések

Mit takar pontosan a DORA ICT védelmi politikákra vonatkozó elvárása az eszközök selejtezése kapcsán?

A DORA (EU 2022/2554) 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amelybe az ICT-vagyonelemek osztályozása és kezelése is beletartozik. A rendszer logikájából levezetett megfelelőségi értelmezés szerint a védelmi intézkedéseknek ki kell terjedniük az eszközök teljes életciklusára — beleértve a kivonást és a dokumentált megsemmisítést is.

Milyen eszköztípusoknál indokolt a fizikai megsemmisítés?

SSD meghajtók, flash-alapú tárolók, Hardware Security Module-ok (HSM) és kriptográfiai kulcsokat hordozó eszközök esetén a szoftveres törlés technológiai sajátosságai miatt nem mindig garantálja az összes adatblokk elérhetőségét. Ahol az eszközspecifikus validált sanitize eljárás nem igazolható, a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést pénzügyi intézményi környezetben.

Hogyan kapcsolódik a GDPR a pénzügyi intézményi IT selejtezési folyamathoz?

A GDPR korlátozott tárolhatóság elvének (5. cikk (1) e) pont) és a törlési jognak (17. cikk) az együttes olvasata szerint a személyes adatokat az adatkezelési cél megszűnését vagy a megőrzési kötelezettség lejártát követően biztonságosan meg kell semmisíteni. Az integritás és bizalmasság elvéből (5. cikk (1) f) pont) és az adatkezelői felelősség szabályaiból (24. és 32. cikk) levezetett elvárás, hogy a selejtezési folyamat dokumentált, ellenőrizhető és arányos biztonsági intézkedésekkel kivitelezett legyen.

Mit ellenőrizhet az MNB az informatikai biztonsági helyszíni vizsgálat során az IT selejtezés kapcsán?

Az MNB 1/2025. ajánlása alapján a vizsgálat kiterjedhet a selejtezési eljárásrendek meglétére és naprakészségére, az elvégzett megsemmisítések tanúsítványaira, a harmadik feles selejtezési szolgáltatók minősítésére és a szerződéses elvárásokra, valamint az IT eszközök életciklus-kezelési dokumentációjára.

Elfogad-e a szabályozó szoftveres adattörlést fizikai megsemmisítés helyett?

Igen, HDD meghajtók esetén, amennyiben az alkalmazott eljárás elismert szabványon — például NIST SP 800-88 Rev. 1 — alapul, és a végrehajtás auditálható tanúsítvánnyal igazolt. SSD-k és flash-alapú tárolók esetén pénzügyi intézményi környezetben sok esetben a fizikai megsemmisítés a legkisebb kockázatú és legkönnyebben auditálható megoldás, különösen ott, ahol az eszközspecifikus validált sanitize eljárás nem igazolható.

Milyen dokumentumokat érdemes előkészíteni egy MNB-vizsgálatra az IT selejtezés kapcsán?

Az intézménynek rendelkezésre kell bocsátania a selejtezési eljárásrendet rögzítő belső szabályzatot, az elvégzett megsemmisítések tanúsítványait (eszközazonosítóval, módszerrel, dátummal, aláírással), a harmadik feles partnerekkel kötött szerződések releváns részeit, valamint az ICT kockázatkezelési keretrendszer eszközök életciklusára vonatkozó fejezetét.

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

GDPR megfelelőség cégvezetőknek – adatvédelmi kötelezettségek üzleti szemmel

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:

  • A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
  • Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
  • A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.

Mi az a GDPR és miért érint minden céget?

A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.

A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:

  • munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
  • EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
  • bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.

A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.

Az adatvédelem hét alapelve — cégvezetői olvasatban

A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:

  1. Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
  2. Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
  3. Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
  4. Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
  5. Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
  6. Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
  7. Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.

Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.

Ki az adatkezelő és ki az adatfeldolgozó?

A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.

Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.

Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.

Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.

Mire adhat jogalapot az adatkezelés?

A GDPR hat jogalapot ismer:

  • Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
  • Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
  • Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
  • Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
  • Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
  • Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.

A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.

Az érintett személyek jogai — amit a cégnek biztosítania kell

A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:

  • Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
  • Hozzáférési jog — az érintett kérheti az adatai másolatát.
  • Helyesbítési jog — kérheti a pontatlan adatok javítását.
  • Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
  • Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
  • Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.

Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.

Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít

Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.

Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.

Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.

Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”

A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.

A bizonyítás eszközei lehetnek:

  • adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
  • adatvédelmi szabályzatok és eljárásrendek;
  • munkavállalók képzési dokumentációja;
  • adatfeldolgozói szerződések;
  • adatvédelmi hatásvizsgálatok (DPIA) kockázatos adatkezeléseknél;
  • adattörlési és megsemmisítési igazolások.

Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.

Szankciók: mennyibe kerülhet a meg nem felelés?

A GDPR kétfokozatú bírságrendszert vezet be:

  • Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
  • Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.

A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.

Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.

Hogyan érdemes hozzáfogni?

A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:

  1. Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
  2. Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
  3. GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
  4. Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
  5. Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
  6. IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?

Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.

Gyakori kérdések

Ki köteles betartani a GDPR-t?

Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.

Mi számít „személyes adatnak” a GDPR szerint?

Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.

Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?

Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.

Mennyi ideig lehet személyes adatokat tárolni?

Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.

Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?

Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.

Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?

Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.

Sextortion útmutatók és kézikönyvek a Telegramon és YouTube-on

Sextortion utmutatok es kezikonyvek a telegramon es youtube onVideós útmutatók a kényszerítő képküldésről: Aggasztó trendek a közösségi médiában

A közösségi média platformjain, mint a TikTok és a YouTube, egyre több a tartalom, amely részletes útmutatást ad arra, hogyan lehet meztelen képeket kicsikarni fiataloktól. Ezek a videók már pár ezer forintért hozzáférhetők, és a benyomást keltik, hogy a bűnözők között egyfajta „oktatási anyag” cserél gazdát.

Sextortion: A modern kor zsarolási módszere

A sextortion, vagyis a szexuális zsarolás, egy olyan bűncselekmény, amely során az elkövetők fenyegetéssel próbálják meg kicsikarni az áldozatoktól az intim képeket, különben nyilvánosságra hozzák azokat. Ezt a taktikát gyakran alkalmazzák email-ekben, ahol a címzetteket azzal ijesztgetik, hogy webkamerán keresztül rögzítették őket intim helyzetben.

Sokkoló tanácsok a sextortionról szóló internetes útmutatókban

A The Guardian riportja szerint több online platformon, beleértve a Telegramot is, fellelhetők olyan útmutatók, amelyek lépésről lépésre mutatják be, hogyan lehet hatékonyan zsarolni valakit meztelen képekkel. Ezek az útmutatók gyakran nagyon részletesek, és a kriminális tevékenység működési mechanizmusát is bemutatják.

Zsarolás tanácsadásáért cserébe: Szolgáltatások a bűnözők között

Adam Priestley, a brit Nemzeti Bűnüldözési Ügynökség szakértője szerint az interneten terjedő kézikönyvek mellett személyes tanácsadás is kapható. Az egyik ismert zsaroló például 50 dollárért kínál hozzáférést a zsaroláshoz használt szkripthez, míg 250 dollárért három hónapos személyes tanácsadást vállal.

Középiskolások célkeresztben: A zsarolók módszerei és nyelvezete

Az útmutatókból kiderül, hogy a bűnözők kifejezetten fiatalokra, különösen középiskolásokra összpontosítanak. Az áldozatok becserkészéséhez különböző technikákat alkalmaznak, lassú és gyors megközelítéseket egyaránt, annak érdekében, hogy növeljék az esélyeiket az eredményes zsarolásra.

Az érintett platformok és a biztonsági intézkedések

A jelentések szerint az érintett platformok, mint például az Instagram, komolyan veszik ezeket a fenyegetéseket és aktívan törekednek a hasonló bűncselekmények megelőzésére és a tanácsadó jellegű tartalmak eltávolítására, hogy csökkentsék a káros hatásokat.

Ezek a leírások bemutatják, hogy mennyire elterjedt és szervezett módon működik ez a bűnözői tevékenység, és milyen hatékonyak lehetnek a közösségi média platformok a bűncselekmények megelőzésében.

Forrás: www.theguardian.com

Az adatközpontú incidenskezelés új dimenziói

Az adatkozpontu incidenskezeles uj dimenzioiSok szervezetnél a technológiai és biztonsági csapatok közötti megosztottság jelentősen akadályozza az hatékony incidenskezelést.

Hagyományosan a technológiai és biztonsági csapatok különálló egységekként működtek, mindegyikük más-más szervezeti védelmi aspektusokra összpontosítva. A technológiai csapatok a rendszerfüggetlenség fenntartására és a felhasználói hibák, alkalmazások meghibásodása és katasztrófák utáni helyreállításra koncentrálnak, míg a biztonsági csapatok a határvédelemre és termelésbiztonságra fókuszálnak.

 

Egy kibertámadás során ez a koordináció hiánya kaotikus versenyfutáshoz vezethet az események megértése érdekében, ami meghosszabbíthatja az incidens idejét és súlyosbíthatja annak hatásait.

Az egységes megközelítés szükségessége

Az egységes incidenskezelési megközelítés racionalizálhatja a tevékenységeket, minimalizálhatja a károkat és javíthatja az átfogó biztonsági helyzetet. A csapatok közötti együttműködés elősegítése és az adatok betekintésének integrálása áthidalhatja ezt az operatív szakadékot. Egy hatékony incidenskezelés közös terminológiát és megértést igényel az adatkörnyezetről, lehetővé téve a technológiai és biztonsági csapatok zökkenőmentes együttműködését.

A Druva nemrég bejelentett egy új fenyegetésfelderítő funkciót, amely felgyorsítja az incidenskezelést az adatbiztonsági képességek növelésével.

Stephen Manley, a Druva CTO-ja egyetértett azzal, hogy a technológiai és biztonsági csapatok közötti hatékonyabb együttműködés elengedhetetlen, de hangsúlyozta az adatközpontú stratégiák fontosságát is, mondván: „Olyan jeleket látunk, amelyek segítenek jobban azonosítani a támadásokat és gyorsabban elhárítani a problémákat. Így a helyreállítás is könnyebbé válik, mert kevesebbet kell helyreállítani.”

Adatközpontú biztonsági stratégiák

A hagyományos határterület évekkel ezelőtt homályba merült, de a szervezetek által alkalmazott alapvető védelmi megoldások még mindig ezt a „vár és árok” filozófiát követik. Ezek a megoldások egyre kevésbé elegendőek a mai fenyegetési tájban.

Manley szerint a szervezeteknek prioritást kell adniuk az adatközpontú biztonsági stratégiáknak, amelyek az adatok teljes életciklusa során védelmezik és szabályozzák azokat. Ez a váltás lehetővé teszi az adatmozgások jobb láthatóságát, a fenyegetések hatékonyabb észlelését és az incidenskezelés javítását.

Az adatok egyedülálló perspektívát kínálnak, mintegy „kanári a szénbányában” korai figyelmeztető rendszert. „Az adatokra vonatkozó egyedi nézőpontunk lehetővé teszi, hogy értékes információkat adjunk vissza a biztonsági eszközöknek és az incidenskezelő csapatoknak,” jelentette ki Manely. „Ez segít nekik megérteni a támadások terjedését és pontosan feltérképezni azokat, ami végül hatékonyabb helyreállításhoz vezet.”

Automatizálás és mesterséges intelligencia kiaknázása a kiber védelemben

A fenyegetésfelderítés és az incidenskezelés jövője az automatizálás és a mesterséges intelligencia integrációjában rejlik. Ezek a technológiák forradalmasíthatják, hogy a szervezetek hogyan észlelik és kezelik a kiberfenyegetéseket, rejtett fenyegetéseket tárnak fel és lehetővé teszik a gyors válaszokat.

Az MI szerepe az IT-ban és a kiberbiztonságban gyorsan fejlődik. A rosszindulatú szereplők generatív MI-t használnak a társadalmi manipulációhoz és a környezetek jobb megértéséhez. A szervezeteknek az MI-t kell alkalmazniuk a valós idejű válaszadás érdekében.

Bár az emberi szereplők jelentős szerepet játszanak, az MI egyre inkább irányítja az észlelést és az elsődleges válaszadást.

Gyakorlati megvalósítás és előnyök

Egy egységes, adatközpontú megközelítés megvalósítása gyakorlati lépéseket és stratégiai beruházásokat igényel. A szervezeteknek a folyamatos monitorozásra, az MI integrálására a gyors válasz érdekében és az IT és biztonsági csapatok közötti együttműködés elősegítésére kell összpontosítaniuk.

Manley kiemeli ennek a megközelítésnek a gyakorlati előnyeit: „Ezt úgy látjuk, mint egy lehetőséget az ügyfelek számára, hogy elkezdjék használni a generatív MI-t anélkül, hogy jelentős infrastrukturális beruházásokra lenne szükségük. Bízzanak meg minket az adataik és biztonsági monitorozásukkal, és segíthetünk nekik gyorsabban és hatékonyabban válaszolni az incidensekre.”

Az incidenskezelés jövője

Az IT és biztonsági csapatok közötti szakadék áthidalása elengedhetetlen az hatékony incidenskezeléshez.

Ez a proaktív stratégia nemcsak racionalizálja az incidenskezelést, hanem biztosítja az adatgazdálkodás és védelem robustus voltát egy egyre összetettebb fenyegetési tájban.

Ahogy Manley tömören fogalmazza, „Nem elég riasztásokat generálni; a megfelelő információkat és az azonnali cselekvést kell biztosítanunk a fenyegetések megállításához.

Forrás: forbes.com (a hivatkozott cikk már nem elérhető)