IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások
A pénzügyi intézmények IT eszközeinek selejtezése Magyarországon egyidejűleg három szabályozói keretrendszer — az MNB 1/2025. ajánlása, a DORA (EU 2022/2554) rendelet és a GDPR — elvárásainak kell megfeleljen. A nem megfelelően kezelt adattörlés közvetlen felügyeleti, jogi és reputációs kockázatot jelent, amellyel a szektorbeli szervezetek compliance és IT kockázatkezelési felelősei egyre intenzívebben szembesülnek. A tanúsított adattörlés és az auditálható selejtezési folyamat ebben a kontextusban nem csupán legjobb gyakorlat, hanem igazolható szabályozói elvárás.
Legfontosabb megállapítások:
A DORA (EU 2022/2554) 9. cikkéből levezethető megfelelőségi elvárás, hogy az ICT-védelmi politika az eszközök teljes életciklusára — ideértve a kivonást és a biztonságos selejtezést — is kiterjedjen; ez rendszertani és kockázatkezelési értelmezés, nem szó szerinti normaszöveg.
A GDPR korlátozott tárolhatóság elve (5. cikk (1) e) pont), az integritás és bizalmasság elve (5. cikk (1) f) pont), valamint a törlési jog (17. cikk) és az adatkezelői felelősség (24. és 32. cikk) együttesen kötelezettséget teremt a pénzügyi intézmény által kezelt személyes adatok hordozóinak dokumentált és biztonságos megsemmisítésére.
Az MNB 1/2025. ajánlás IT biztonságra vonatkozó elvárásrendszere — beleértve az eszközök életciklus-kezelését — az SREP IT-kockázati pillérének értékelési területén jelenik meg; az auditálható selejtezési folyamat és a rendezett tanúsítványkezelés ezért az intézményi felkészültség dokumentálható részévé kell váljon.
A pénzügyi intézmény IT selejtezés és adatvédelem kérdése ma már nem pusztán üzemeltetési szempont: egy leselejtezett, nem megfelelően törölt szerver vagy laptop háromféle párhuzamos kockázatot hordoz egyszerre. Felügyeleti kockázatot, ha az MNB-vizsgálat hiányos selejtezési dokumentációt talál; adatvédelmi incidens-kockázatot, ha az eszközön maradó személyes adatok illetéktelen kezekbe kerülnek; és auditkockázatot, ha a DORA szerinti ICT kockázatkezelési keretrendszer nem fed le minden eszköz-életciklus fázist. Az MNB, a DORA és a GDPR együttes elvárásrendszere ezt a területet ma már egyértelműen a compliance-kérdések közé sorolja — miközben a gyakorlatban sokhelyütt még mindig operatív IT-feladatként kezelik.
Pénzügyi intézmény IT selejtezés: miért kritikus az adatvédelem és a compliance?
A bankok, biztosítók, befektetési vállalkozások és pénzforgalmi szolgáltatók IT eszközparkja életciklusának végén adathordozókat tartalmaz, amelyeken ügyfél-azonosítási adatok, tranzakciós naplók, belső kommunikáció, kockázatkezelési dokumentumok és hitelesítési információk egyaránt megtalálhatók lehetnek. Egy nem megfelelően megsemmisített merevlemez vagy SSD-meghajtó ebből a szempontból összemérhető súlyú kockázatot hordozhat, mint egy rosszindulatú szoftver által kompromittált szerver — azzal a lényeges különbséggel, hogy a fizikai eszköz kivonásakor az incidens nem generál riasztást, nem jelenik meg a biztonsági monitoringban, és az érintettség esetenként csak hónapokkal vagy évekkel később derül fény.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosan elérhető határozatai jelzik, hogy a hatósági figyelem Magyarországon is kiterjedt erre a területre. Ezzel párhuzamosan a DORA 2025. januári alkalmazhatóvá válása a pénzügyi szektort az ICT kockázatkezelési elvárások szempontjából tovább szigorította — és a rendelet logikájából levezetett megfelelőségi értelmezés az eszközök selejtezési folyamatát is ebbe a keretrendszerbe helyezi.
Az MNB informatikai biztonsági elvárásai és az eszközök életciklusa
A Magyar Nemzeti Bank 1/2025. számú ajánlása az informatikai rendszer védelméről az IT biztonságot átfogóan, az eszközök teljes életciklusára kiterjedő megközelítésben tárgyalja. Az ajánlás kitér az adathordozók és IT eszközök megsemmisítésének, visszaszolgáltatásának és selejtezésének rendjére, és elvárja, hogy a pénzügyi intézmények belső szabályzataikban rögzítsék az ezzel kapcsolatos eljárásokat.
Az ajánlás szellemében az adathordozók kivonásakor alkalmazott eljárásrendnek ki kell terjednie legalább a következőkre: az érintett eszközök körének meghatározása eszköztípusonként, az alkalmazott megsemmisítési módszer rögzítése, a végrehajtás felelősi rendje, és a folyamat dokumentálásának módja. A puszta belső szabályzat önmagában nem elegendő: az MNB helyszíni vizsgálatakor a végrehajtás dokumentáltsága, a megsemmisítési tanúsítványok kezelése és a harmadik féltől igénybe vett selejtezési szolgáltatások auditálhatósága is az értékelés tárgyává válhat.
A pénzügyi intézmények belső compliance tevékenysége során ezért célszerű különválasztani az IT eszközök selejtezési folyamatát a fizikai infrastruktúra általános felváltásától: az előbbi önálló szabályozói relevanciával bíró terület, amelynek kezelése koordinációt kíván az IT üzemeltetés, az adatvédelmi tisztviselő és a kockázatkezelési funkció között.
DORA: az ICT kockázatkezelés az eszközök teljes életciklusában
A Digitális Operatív Rugalmassági Rendelet — DORA (EU 2022/2554) — 2025. január 17-től kötelező érvénnyel alkalmazandó valamennyi, az Unió pénzügyi szektor szabályozása alá eső szervezetre, beleértve a bankokat, biztosítókat, befektetési vállalkozásokat, elektronikuspénz-intézményeket és pénzforgalmi szolgáltatókat. A rendelet 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amely kiterjed az ICT-vagyonelemek — így az adathordozók — osztályozására és kezelésére. Ebből a rendszertani megközelítésből levezetett megfelelőségi értelmezés, hogy a védelem és a megelőzési intézkedések nem érhetnek véget az eszköz aktív üzemeltetési fázisával: a biztonságos kivonás és a dokumentált megsemmisítés ennek a politikának logikus és elvárható eleme.
A DORA logikája az ICT kockázatot az eszközök teljes életciklusában értelmezi: a beszerzéstől, a konfiguráción és üzemeltetésen át a kivonásig. Egy eszköz kivezetése — legyen szó laptopról, szerverről, mobileszközről, hálózati berendezésről vagy adattároló meghajtóról — ezért az intézmény ICT kockázatkezelési keretrendszerébe illeszkedő, dokumentálható folyamattá kell váljon.
Külső selejtezési partner bevonása esetén az intézménynek háromszintű minősítési kérdést kell megválaszolni. Első szint: egyáltalán ICT-szolgáltatónak minősül-e a partner (azaz technológiai jellegű adatkezelési vagy adattörlési szolgáltatást nyújt-e, nem csupán fizikai logisztikát)? Második szint: az általa érintett tevékenység kritikus vagy fontos funkciót támogat-e az intézmény működésében? Harmadik szint: fennállhat-e koncentrációs kockázat, amely a DORA szerinti kritikus ICT-harmadik fél besorolást vonja maga után? Egy alkalmi, könnyen helyettesíthető törlési partner jellemzően nem minősül kritikus ICT third-party-nak — de a minősítési döntést, az elvégzett due diligence-t és az indoklást dokumentálni kell. Ha a partner mégis ICT third-party-nak minősül, a DORA 28. cikke szerinti szerződéses minimumelvárások (kötelező záradékok, auditjog, kilépési terv, adatlokáció, alvállalkozói lánc) is alkalmazandók.
Minden esetben — függetlenül a partnerminősítéstől — az elvégzett selejtezési munkának auditálható dokumentációval és megsemmisítési tanúsítvánnyal kell zárulnia.
A GDPR korlátozott tárolhatóság elvének hatása az IT selejtezési folyamatokra
A GDPR személyes adatok kezelésére vonatkozó elvei közül a korlátozott tárolhatóság elve (5. cikk (1) bekezdés e) pont) és a törléshez való jog (17. cikk) szorosan kapcsolódik az IT eszközök selejtezésének kérdéséhez. A korlátozott tárolhatóság elve értelmében a személyes adatokat csak addig szabad megőrizni, amíg az adatkezelési célhoz szükséges. Ez az elv az adathordozók fizikai megszűnésekor is érvényesítendő: ha egy eszközön személyes adatok maradnak, az adatkezelési cél megszűnése nem szűnteti meg automatikusan az adatvédelmi felelősséget. A GDPR 5. cikk (1) f) pontja (integritás és bizalmasság elve), a 24. cikk (az adatkezelő felelőssége) és a 32. cikk (az adatbiztonság technikai-szervezési intézkedései) szintén kötelezettséget teremt arra, hogy az adatkezelés teljes életciklusában — a selejtezést is beleértve — megfelelő biztonsági intézkedések legyenek érvényben.
A pénzügyi szektorban ez a kötelezettség összetett képet mutat. A banki megőrzési kötelezettségek — jellemzően 5–10 éves időszakokra — korlátozhatják a törlési jog közvetlen érvényesíthetőségét az aktív adatkezelési időszak alatt. Azonban a megőrzési kötelezettség lejártát követően a biztonságos megsemmisítés már nem ajánlott legjobb gyakorlat, hanem jogi kötelezettség. Ennek elmulasztása nemcsak GDPR-jogsértés alapját képezheti — amelyért a NAIH akár érzékeny mértékű bírságot is kiszabhat —, de adatvédelmi incidensként is bejelentendővé válhat, ha az adatok illetéktelen kezekbe kerülnek.
A pénzügyi intézmények adatvédelmi tisztviselőinek (DPO) ezért célszerű az IT eszközök selejtezési tervét az adatkezelési nyilvántartással összevetni, és gondoskodni arról, hogy a kivont eszközökön tárolt adatok törlése az adatkezelési nyilvántartásban rögzített megőrzési idővel összhangban történjen.
Tanúsított adattörlés és fizikai megsemmisítés: mikor melyik a megfelelő megközelítés?
A pénzügyi szektorbeli eszközök körében a két alapvető megsemmisítési módszer — szoftveres adattörlés és fizikai megsemmisítés — közötti választást több tényező együttesen határozza meg.
A tanúsított szoftveres adattörlés HDD meghajtók esetén elismert és auditálható megközelítés, amennyiben széles körben hivatkozott útmutató — például a NIST SP 800-88 Rev. 1 (Guidelines for Media Sanitization) — szerint kerül elvégzésre, és az eljárás tanúsítvánnyal zárul. Ez lehetővé teszi az eszközök fizikai újrahasznosítását vagy értékesítését, miközben a megsemmisítés szabályozói szempontból igazolható.
SSD meghajtók, flash-alapú tárolóeszközök, Hardware Security Module-ok (HSM) és kriptográfiai adatokat hordozó eszközök esetén a helyzet összetettebb. Az SSD-technológia sajátosságai — különösen a wear leveling és az over-provisioning mechanizmusok — következtében a szoftveres felülírás nem garantálja, hogy minden adatblokk elérhetővé válik az eljárás számára. A NIST SP 800-88 Rev. 1 SSD esetén két elfogadható utat nevez meg: a kriptográfiai törlést (Cryptographic Erase), amely akkor érvényes, ha a tárolás teljes időtartama alatt hardveres titkosítás volt érvényes; illetve a validált eszközspecifikus sanitize eljárást, ha az gyártói tanúsítással igazolható. Ahol sem a kriptográfiai törlés, sem az eszközspecifikus sanitize nem alkalmazható megbízhatóan, pénzügyi intézményi környezetben — ahol az adatok érzékenysége és az incidens következménye magasabb az átlagosnál — a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést.
A belső szabályzatnak az eszköztípusonkénti megközelítést rögzítenie kell: laptop (HDD vs. SSD típus szerint), szerver, mobileszköz, hálózati berendezés, HSM — mindegyik esetén meghatározva az alkalmazott módszert és az elvárt dokumentációs szintet.
A selejtezési folyamat felelősségi rendje: az 1-2-3 védelmi vonal modell
Banki kontextusban a selejtezési folyamat nemcsak IT-üzemeltetési feladat, hanem a három védelmi vonal mindegyikén megjelenő kontrollterület. Az első vonal (IT operations) felelős az eljárásrend tényleges végrehajtásáért: az eszközök azonosításáért, a megfelelő törlési vagy megsemmisítési módszer alkalmazásáért, és a megsemmisítési tanúsítványok begyűjtéséért. A második vonal (IT Risk / Compliance funkció) feladata az eljárásrend megfelelőségének ellenőrzése, a DORA- és MNB-elvárásokhoz való illeszkedés értékelése, a tanúsítványok dokumentált kezelése, és a DORA 28. cikke szerinti partnerminősítési döntések fenntartása. A harmadik vonal (belső audit) kockázatalapú audit terv szerint, rendszeresen végez mintavételes ellenőrzést: visszaellenőrzi, hogy az elvégzett megsemmisítések tanúsítványai konzisztensek-e az eszköznyilvántartással (CMDB), és hogy a külső partnernél végzett audit-jog ténylegesen érvényesíthető. A vezető testület (igazgatóság / felügyelő bizottság) szintjén az ICT kockázatkezelési keretrendszer részeként a selejtezési folyamat megfelelőségéről rendszeres jelentés szükséges.
A védelmi vonal struktúra expliciten szerepeltetése a selejtezési eljárásrendben és az ICT kockázatkezelési dokumentációban elvárható egy SREP-értékelés során.
A selejtezési dokumentáció és a szabályozói felkészültség
A megfelelőség szempontjából a tényleges megsemmisítés módszere mellett annak dokumentáltsága legalább olyan súlyú kérdés. Az MNB helyszíni vizsgálatai, illetve a DORA szerinti belső ICT kockázatkezelési ellenőrzések során felkészültséget jelent, ha az intézmény rendelkezik a következőkkel:
a selejtezési eljárásrendet rögzítő, hatályos és jóváhagyott belső szabályzat,
az elvégzett selejtezésekről kiállított tanúsítványok, amelyek tartalmazzák a megsemmisítés módszerét, az érintett eszközök azonosítóit, az elvégzés dátumát és a felelős aláírását,
a harmadik feles selejtezési partnerek minősítésére, szerződéses elvárásaira és teljesítményük dokumentálására vonatkozó eljárásrend,
a DORA szerinti ICT kockázatkezelési keretrendszerbe illeszkedő eszköz-életciklus kezelési dokumentáció,
a DORA 28. cikk szerinti partnerminősítési értékelés és annak indoklása (kritikalitás, helyettesíthetőség, koncentrációs kockázat).
A megsemmisítési tanúsítványok megőrzési idejét az intézmény iratmegőrzési szabályzatának, a Számviteli törvény (2000. évi C. törvény 169. §) szerinti bizonylati megőrzési kötelezettségnek (jellemzően 8 év), szerződéses kötelezettségeinek és jogérvényesítési szempontoknak megfelelően — jellemzően a jogi és compliance funkció koordinálásával — kell meghatározni. A konkrét megőrzési idő intézményi szinten a fenti szempontok alapján, az alkalmazandó jogszabályi keret figyelembevételével határozható meg.
Azok az intézmények, amelyek az IT eszközök selejtezését eddig kizárólag IT üzemeltetési feladatként kezelték, most indokolt mérlegelniük, hogy ez a terület illeszkedik-e a jelenlegi compliance és kockázatkezelési keretrendszerbe. Ha a megsemmisítési dokumentáció hiányos, a partnerminősítési döntés nincs rögzítve, vagy az eljárásrend nincs összhangban a DORA és az MNB 1/2025. ajánlás elvárásaival, a szükséges intézkedések köre meghatározható — és egy átfogó, auditálható folyamat kialakítható.
Ha szeretné felmérni, hogy intézménye selejtezési dokumentációja megfelel-e az aktuális MNB és DORA elvárásoknak, kérjen auditálható adattörlési folyamatértékelést: Ajánlatkérés
Gyakori kérdések
Mit takar pontosan a DORA ICT védelmi politikákra vonatkozó elvárása az eszközök selejtezése kapcsán?
A DORA (EU 2022/2554) 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amelybe az ICT-vagyonelemek osztályozása és kezelése is beletartozik. A rendszer logikájából levezetett megfelelőségi értelmezés szerint a védelmi intézkedéseknek ki kell terjedniük az eszközök teljes életciklusára — beleértve a kivonást és a dokumentált megsemmisítést is.
Milyen eszköztípusoknál indokolt a fizikai megsemmisítés?
SSD meghajtók, flash-alapú tárolók, Hardware Security Module-ok (HSM) és kriptográfiai kulcsokat hordozó eszközök esetén a szoftveres törlés technológiai sajátosságai miatt nem mindig garantálja az összes adatblokk elérhetőségét. Ahol az eszközspecifikus validált sanitize eljárás nem igazolható, a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést pénzügyi intézményi környezetben.
Hogyan kapcsolódik a GDPR a pénzügyi intézményi IT selejtezési folyamathoz?
A GDPR korlátozott tárolhatóság elvének (5. cikk (1) e) pont) és a törlési jognak (17. cikk) az együttes olvasata szerint a személyes adatokat az adatkezelési cél megszűnését vagy a megőrzési kötelezettség lejártát követően biztonságosan meg kell semmisíteni. Az integritás és bizalmasság elvéből (5. cikk (1) f) pont) és az adatkezelői felelősség szabályaiból (24. és 32. cikk) levezetett elvárás, hogy a selejtezési folyamat dokumentált, ellenőrizhető és arányos biztonsági intézkedésekkel kivitelezett legyen.
Mit ellenőrizhet az MNB az informatikai biztonsági helyszíni vizsgálat során az IT selejtezés kapcsán?
Az MNB 1/2025. ajánlása alapján a vizsgálat kiterjedhet a selejtezési eljárásrendek meglétére és naprakészségére, az elvégzett megsemmisítések tanúsítványaira, a harmadik feles selejtezési szolgáltatók minősítésére és a szerződéses elvárásokra, valamint az IT eszközök életciklus-kezelési dokumentációjára.
Elfogad-e a szabályozó szoftveres adattörlést fizikai megsemmisítés helyett?
Igen, HDD meghajtók esetén, amennyiben az alkalmazott eljárás elismert szabványon — például NIST SP 800-88 Rev. 1 — alapul, és a végrehajtás auditálható tanúsítvánnyal igazolt. SSD-k és flash-alapú tárolók esetén pénzügyi intézményi környezetben sok esetben a fizikai megsemmisítés a legkisebb kockázatú és legkönnyebben auditálható megoldás, különösen ott, ahol az eszközspecifikus validált sanitize eljárás nem igazolható.
Milyen dokumentumokat érdemes előkészíteni egy MNB-vizsgálatra az IT selejtezés kapcsán?
Az intézménynek rendelkezésre kell bocsátania a selejtezési eljárásrendet rögzítő belső szabályzatot, az elvégzett megsemmisítések tanúsítványait (eszközazonosítóval, módszerrel, dátummal, aláírással), a harmadik feles partnerekkel kötött szerződések releváns részeit, valamint az ICT kockázatkezelési keretrendszer eszközök életciklusára vonatkozó fejezetét.
GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról
A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:
A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.
Mi az a GDPR és miért érint minden céget?
A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.
A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:
munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.
A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.
Az adatvédelem hét alapelve — cégvezetői olvasatban
A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:
Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.
Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.
Ki az adatkezelő és ki az adatfeldolgozó?
A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.
Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.
Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.
Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.
Mire adhat jogalapot az adatkezelés?
A GDPR hat jogalapot ismer:
Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.
A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.
Az érintett személyek jogai — amit a cégnek biztosítania kell
A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:
Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
Hozzáférési jog — az érintett kérheti az adatai másolatát.
Helyesbítési jog — kérheti a pontatlan adatok javítását.
Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.
Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.
Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít
Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.
Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.
Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.
Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”
A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.
A bizonyítás eszközei lehetnek:
adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.
Szankciók: mennyibe kerülhet a meg nem felelés?
A GDPR kétfokozatú bírságrendszert vezet be:
Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.
A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.
Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.
Hogyan érdemes hozzáfogni?
A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:
Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?
Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.
Gyakori kérdések
Ki köteles betartani a GDPR-t?
Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.
Mi számít „személyes adatnak” a GDPR szerint?
Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.
Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?
Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.
Mennyi ideig lehet személyes adatokat tárolni?
Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.
Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?
Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.
Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?
Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.
Videós útmutatók a kényszerítő képküldésről: Aggasztó trendek a közösségi médiában
A közösségi média platformjain, mint a TikTok és a YouTube, egyre több a tartalom, amely részletes útmutatást ad arra, hogyan lehet meztelen képeket kicsikarni fiataloktól. Ezek a videók már pár ezer forintért hozzáférhetők, és a benyomást keltik, hogy a bűnözők között egyfajta „oktatási anyag” cserél gazdát.
Sextortion: A modern kor zsarolási módszere
A sextortion, vagyis a szexuális zsarolás, egy olyan bűncselekmény, amely során az elkövetők fenyegetéssel próbálják meg kicsikarni az áldozatoktól az intim képeket, különben nyilvánosságra hozzák azokat. Ezt a taktikát gyakran alkalmazzák email-ekben, ahol a címzetteket azzal ijesztgetik, hogy webkamerán keresztül rögzítették őket intim helyzetben.
Sokkoló tanácsok a sextortionról szóló internetes útmutatókban
A The Guardian riportja szerint több online platformon, beleértve a Telegramot is, fellelhetők olyan útmutatók, amelyek lépésről lépésre mutatják be, hogyan lehet hatékonyan zsarolni valakit meztelen képekkel. Ezek az útmutatók gyakran nagyon részletesek, és a kriminális tevékenység működési mechanizmusát is bemutatják.
Zsarolás tanácsadásáért cserébe: Szolgáltatások a bűnözők között
Adam Priestley, a brit Nemzeti Bűnüldözési Ügynökség szakértője szerint az interneten terjedő kézikönyvek mellett személyes tanácsadás is kapható. Az egyik ismert zsaroló például 50 dollárért kínál hozzáférést a zsaroláshoz használt szkripthez, míg 250 dollárért három hónapos személyes tanácsadást vállal.
Középiskolások célkeresztben: A zsarolók módszerei és nyelvezete
Az útmutatókból kiderül, hogy a bűnözők kifejezetten fiatalokra, különösen középiskolásokra összpontosítanak. Az áldozatok becserkészéséhez különböző technikákat alkalmaznak, lassú és gyors megközelítéseket egyaránt, annak érdekében, hogy növeljék az esélyeiket az eredményes zsarolásra.
Az érintett platformok és a biztonsági intézkedések
A jelentések szerint az érintett platformok, mint például az Instagram, komolyan veszik ezeket a fenyegetéseket és aktívan törekednek a hasonló bűncselekmények megelőzésére és a tanácsadó jellegű tartalmak eltávolítására, hogy csökkentsék a káros hatásokat.
Ezek a leírások bemutatják, hogy mennyire elterjedt és szervezett módon működik ez a bűnözői tevékenység, és milyen hatékonyak lehetnek a közösségi média platformok a bűncselekmények megelőzésében.
Sok szervezetnél a technológiai és biztonsági csapatok közötti megosztottság jelentősen akadályozza az hatékony incidenskezelést.
Hagyományosan a technológiai és biztonsági csapatok különálló egységekként működtek, mindegyikük más-más szervezeti védelmi aspektusokra összpontosítva. A technológiai csapatok a rendszerfüggetlenség fenntartására és a felhasználói hibák, alkalmazások meghibásodása és katasztrófák utáni helyreállításra koncentrálnak, míg a biztonsági csapatok a határvédelemre és termelésbiztonságra fókuszálnak.
Egy kibertámadás során ez a koordináció hiánya kaotikus versenyfutáshoz vezethet az események megértése érdekében, ami meghosszabbíthatja az incidens idejét és súlyosbíthatja annak hatásait.
Az egységes megközelítés szükségessége
Az egységes incidenskezelési megközelítés racionalizálhatja a tevékenységeket, minimalizálhatja a károkat és javíthatja az átfogó biztonsági helyzetet. A csapatok közötti együttműködés elősegítése és az adatok betekintésének integrálása áthidalhatja ezt az operatív szakadékot. Egy hatékony incidenskezelés közös terminológiát és megértést igényel az adatkörnyezetről, lehetővé téve a technológiai és biztonsági csapatok zökkenőmentes együttműködését.
A Druva nemrég bejelentett egy új fenyegetésfelderítő funkciót, amely felgyorsítja az incidenskezelést az adatbiztonsági képességek növelésével.
Stephen Manley, a Druva CTO-ja egyetértett azzal, hogy a technológiai és biztonsági csapatok közötti hatékonyabb együttműködés elengedhetetlen, de hangsúlyozta az adatközpontú stratégiák fontosságát is, mondván: „Olyan jeleket látunk, amelyek segítenek jobban azonosítani a támadásokat és gyorsabban elhárítani a problémákat. Így a helyreállítás is könnyebbé válik, mert kevesebbet kell helyreállítani.”
Adatközpontú biztonsági stratégiák
A hagyományos határterület évekkel ezelőtt homályba merült, de a szervezetek által alkalmazott alapvető védelmi megoldások még mindig ezt a „vár és árok” filozófiát követik. Ezek a megoldások egyre kevésbé elegendőek a mai fenyegetési tájban.
Manley szerint a szervezeteknek prioritást kell adniuk az adatközpontú biztonsági stratégiáknak, amelyek az adatok teljes életciklusa során védelmezik és szabályozzák azokat. Ez a váltás lehetővé teszi az adatmozgások jobb láthatóságát, a fenyegetések hatékonyabb észlelését és az incidenskezelés javítását.
Az adatok egyedülálló perspektívát kínálnak, mintegy „kanári a szénbányában” korai figyelmeztető rendszert. „Az adatokra vonatkozó egyedi nézőpontunk lehetővé teszi, hogy értékes információkat adjunk vissza a biztonsági eszközöknek és az incidenskezelő csapatoknak,” jelentette ki Manely. „Ez segít nekik megérteni a támadások terjedését és pontosan feltérképezni azokat, ami végül hatékonyabb helyreállításhoz vezet.”
Automatizálás és mesterséges intelligencia kiaknázása a kiber védelemben
A fenyegetésfelderítés és az incidenskezelés jövője az automatizálás és a mesterséges intelligencia integrációjában rejlik. Ezek a technológiák forradalmasíthatják, hogy a szervezetek hogyan észlelik és kezelik a kiberfenyegetéseket, rejtett fenyegetéseket tárnak fel és lehetővé teszik a gyors válaszokat.
Az MI szerepe az IT-ban és a kiberbiztonságban gyorsan fejlődik. A rosszindulatú szereplők generatív MI-t használnak a társadalmi manipulációhoz és a környezetek jobb megértéséhez. A szervezeteknek az MI-t kell alkalmazniuk a valós idejű válaszadás érdekében.
Bár az emberi szereplők jelentős szerepet játszanak, az MI egyre inkább irányítja az észlelést és az elsődleges válaszadást.
Gyakorlati megvalósítás és előnyök
Egy egységes, adatközpontú megközelítés megvalósítása gyakorlati lépéseket és stratégiai beruházásokat igényel. A szervezeteknek a folyamatos monitorozásra, az MI integrálására a gyors válasz érdekében és az IT és biztonsági csapatok közötti együttműködés elősegítésére kell összpontosítaniuk.
Manley kiemeli ennek a megközelítésnek a gyakorlati előnyeit: „Ezt úgy látjuk, mint egy lehetőséget az ügyfelek számára, hogy elkezdjék használni a generatív MI-t anélkül, hogy jelentős infrastrukturális beruházásokra lenne szükségük. Bízzanak meg minket az adataik és biztonsági monitorozásukkal, és segíthetünk nekik gyorsabban és hatékonyabban válaszolni az incidensekre.”
Az incidenskezelés jövője
Az IT és biztonsági csapatok közötti szakadék áthidalása elengedhetetlen az hatékony incidenskezeléshez.
Ez a proaktív stratégia nemcsak racionalizálja az incidenskezelést, hanem biztosítja az adatgazdálkodás és védelem robustus voltát egy egyre összetettebb fenyegetési tájban.
Ahogy Manley tömören fogalmazza, „Nem elég riasztásokat generálni; a megfelelő információkat és az azonnali cselekvést kell biztosítanunk a fenyegetések megállításához.
Forrás: forbes.com (a hivatkozott cikk már nem elérhető)
A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.
Lazarus Chakwera, Malawi elnöke, egy sajtóközleményben hozta nyilvánosságra, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány határozottan ellenzi a zsarolási kísérletet. Az elnök egyértelműen kijelentette, hogy az állam nem kívánja „kényeztetni a bűnözőket” és elutasítja a párbeszédet „azon személyekkel vagy csoportokkal, akik fenyegetést jelentenek Malawi szuverenitására és biztonságára”. Ezzel az állásponttal egy erőteljes üzenetet küldenek a kiberbűnözők felé, hangsúlyozva, hogy Malawi állhatatosan szembeszáll a jogellenes tevékenységekkel és minden szükséges lépést megtesz a kiberfenyegetések elleni védekezés érdekében.
A kibertámadással kapcsolatos részletek továbbra is homályban maradnak. A kormány eddig nem hozott nyilvánosságra információkat arról, hogy kik lehetnek a felelősek a támadásért, vagy hogy az érintett adatok közül bármelyik ellopásra került-e. Ez további aggodalmakat kelt az állampolgárok körében, sokan közülük aggódnak amiatt, hogy személyes és érzékeny adataik illetéktelen kezekbe kerülhettek.
Chakwera elnök azonban bizakodóan nyilatkozott a helyzet megoldásával kapcsolatban. Beszédében említést tett arról, hogy a bevándorlási hivatal jelenleg egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadási szolgáltatások hamarosan történő újraindítását, egy konkrétan meghatározott háromhetes határidőn belül. Ezenkívül az elnök aláhúzta, hogy a kormány egy átfogó, hosszú távú stratégiát dolgoz ki a bevándorlási rendszer biztonságának megerősítésére, amely számos új biztonsági intézkedés bevezetését foglalja magában. Ez a lépés nélkülözhetetlen a jövőbeli kiberfenyegetésekkel szembeni hatékony védelem szempontjából, és biztosítja, hogy a bevándorlási és útlevélkiadási szolgáltatások folyamatosan és zavartalanul működjenek.
Ez az incidens nem tekinthető precedens nélkülinek Malawi történetében, mivel korábban is előfordultak hasonló fennakadások az útlevélkiadás terén. Azonban a jelenlegi felfüggesztés különösen kedvezőtlen időpontban történt, amikor az útlevelek iránti igény kiemelkedően magas. Sok állampolgár a jobb életkörülmények és munkalehetőségek felkutatása céljából tervezi, hogy elhagyja az országot, így az útlevélkiadás szünetelése közvetlenül és negatív módon érinti őket.
A következő hetek és hónapok során a Malawi kormány és a Bevándorlási Hivatal tevékenységei középpontba kerülnek, ahogy a nyilvánosság figyelmesen követi, hogy sikerül-e megfelelően kezelniük ezt a válságos helyzetet és visszaállítaniuk az állampolgárok bizalmát az útlevélkiadási rendszer megbízhatóságában. A digitális korban a kiberbiztonság és az adatvédelem egyre fontosabbá válik a globális üzleti és technológiai szektorokban, és Malawi jelenlegi kihívása rávilágít arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan alkalmazkodniuk kell védelmi stratégiáikat, hogy megfeleljenek a gyorsan változó kiberfenyegetéseknek és biztosítsák a digitális infrastruktúra integritását.
Videós útmutatók a kényszerítő képküldésről: Aggasztó trendek a közösségi médiában
Sok szervezetnél a technológiai és biztonsági csapatok közötti megosztottság jelentősen akadályozza az hatékony incidenskezelést.
A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.