Adatmegsemmisítés és adattörlés ára: mitől függ a szolgáltatás költsége?
Az adatmegsemmisítés és az adattörlés árára nincs fix listaár: minden megbízás egyedi kalkuláció, mert a végösszeget több tényező együtt alakítja — az eszközök mennyisége és típusa, a választott eljárás (fizikai megsemmisítés vágással vagy szoftveres törlés), a biztonsági szint és a helyszín. A két eljárás eltérő logikát követ, ezért nem a darabár, hanem a nettó eredmény a mérvadó: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. A szoftveres törlés egyik fő előnye éppen ez — az eszköz fizikailag ép és továbbértékesíthető marad, így a visszanyert érték mérsékelheti a projekt költségét. Minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár, amely a GDPR szerinti elszámoltathatóságot bizonyítja. A datad.hu (Data Destroy Kft.) szakértői a megrendelő helyzetéhez igazítva keresik meg a legoptimálisabb — nem a legdrágább — megoldást.
Mitől függ az adatmegsemmisítés és adattörlés ára?
Az adatmegsemmisítés és az adattörlés ára nem olvasható le egyetlen táblázatból. Ez nem rejtett árazás, hanem a szolgáltatás természetéből fakad: minden megbízás más eszközparkot, más biztonsági igényt és más logisztikát jelent, ezért a tisztességes ár mindig az adott projekt paramétereiből áll össze.
A Data Destroy kétféle eljárással dolgozik, és már a kettő közötti választás is az ár egyik kulcskérdése:
Fizikai megsemmisítés (vágás): az adathordozót speciális, nagy biztonságú daraboló berendezéssel — a datad által alkalmazott MAXXeGUARD shredder-technológiával — néhány vágással fizikailag használhatatlanná tesszük. A MAXXeGUARD szerepel a NATO Information Assurance Product Catalogue-ban (NIAPC).
Szoftveres törlés: minősített szoftverrel (Blancco) úgy töröljük az adatokat, hogy az eszköz fizikailag ép és újrahasználható marad.
Az alábbiakban végigvesszük, mely tényezők alakítják a végösszeget — vezetői szemmel, a felesleges szakmai részletek nélkül.
Eszközmennyiség és a minimáldíj logikája
A darabszám az egyik legerősebb áralakító tényező — de nem lineárisan. Egy megbízásnak vannak fix költségei (a szakemberek kiszállása, a berendezés mozgatása, az adminisztráció), amelyek néhány eszköznél ugyanúgy felmerülnek, mint több száznál. Ezért van minimáldíj, és ezért szerepel az ajánlatban külön kiszállási költség.
Egy szélsőséges példa világossá teszi: öt darab adathordozóért nem gazdaságos ugyanazt az infrastruktúrát és személyzetet kivonultatni, mint ötszázért. Kis tételnél éppen ezért gyakran a beszállításos megoldás az optimális — erről a logisztikai szakaszban lesz szó. Nagyobb mennyiségnél viszont a fix költségek elaprózódnak, így az egy eszközre jutó díj jellemzően csökken.
Vágás vagy törlés? — és miért nem a darabár dönt
Gyakori kérdés, hogy „melyik olcsóbb, a megsemmisítés vagy a törlés?”. Erre nincs egyetemes válasz, mert a kettő mást nyújt, és a végeredményt nettóban érdemes nézni: a szolgáltatás díja mínusz az, ami az eszközből visszajön.
A négy tipikus eset:
Értéktelen vagy kiszerelt adathordozó: ha a meghajtónak önmagában nincs piaci értéke, nincs mit megőrizni rajta — a nettó eredmény itt a vágás felé billen.
Értékes, működő eszköz: a szoftveres törlés a minősített törlőszoftver (Blancco) licencét és a háttérrendszer fenntartását igényli, cserébe viszont az eszköz fizikailag ép marad és továbbértékesíthető. A megmaradó érték miatt itt a nettó eredmény a törlés javára billenhet — a visszanyert eszközérték mérsékli a projekt költségét.
Komplett, piaci értékkel bíró gép: ilyenkor gyakran az a leggazdaságosabb, ha a meghajtót a gépben hagyjuk és töröljük — mert ez megőrzi, sőt növelheti a teljes gép eladási értékét.
Vegyes park: a legtöbb nagyobb projekt vegyes. Amit érdemes megőrizni, azt töröljük; amit nem, azt vágással semmisítjük meg. Ez gyakran a legjobb összesített eredmény.
Egy kivezetési projekt sokszor sokféle adathordozót tartalmaz egyszerre — HDD, SSD, szerver, laptop, DAT kazetta, mobiltelefon, memóriakártya, USB pendrive. Eszközönként más a kérdés: lehet-e az adatot a gépben hagyva törölni, vagy ki kell szerelni a meghajtót, és egy erre dedikált törlőállomáson törölni. Van, amit egyszerűen nem éri meg törölni: a DAT kazetta szoftveres törlése például rendkívül körülményes, és a használt szalagnak nincs érdemi másodpiaci értéke — ilyenkor a vágással történő megsemmisítés a logikus út.
A lényeg: a darabár önmagában félrevezető. A szakértő azt nézi, hogy az adott eszközparkból mi a legkedvezőbb nettó kimenet.
A vágás biztonsági szintje és a felülírás mint ártényező
A megsemmisítésnél nem mindegy, milyen apró darabokra vágjuk az adathordozót. Minél kisebb darabokra, annál magasabb a biztonsági szint — de annál több a gépidő is, ami emeli az árat. Egy magasabb biztonsági besorolású megsemmisítés tehát jogosan kerül többe, mint néhány gyors vágás.
A szoftveres törlésnél hasonló a logika a felülírással: az egyszeri és a többszörös felülírás eltérő időt vesz igénybe — több menet több gépidőt és így magasabb költséget jelent. Hogy melyik szint indokolt, az az adat érzékenységétől függ; ezt a megrendelővel közösen határozzuk meg.
Azt, hogy hány vágás vagy felülírás indokolt, alapvetően két dolog dönti el: a megrendelő belső adatkezelési szabályzata (policy), és a szakmailag alátámasztható, logikus biztonsági igény. Ha egy szabályzat előír egy adott darabolási szintet, annak meg kell felelni — a belső előírás tiszteletben tartása a kiindulópont. A tapasztalat ugyanakkor az, hogy a szabályzatok sokszor a legszigorúbb szintet rögzítik, ami nem minden esetben technikailag indokolt; ilyenkor érdemes közösen átgondolni, mi a valós kockázattal arányos megoldás. Ahol nincs ilyen kötöttség, ott a megfelelően megválasztott vágási mód a gyakorlatban visszaállíthatatlanná teszi az adatot — a szükséges darabolási szintet pedig az adathordozó típusa és a kockázat szabja meg.
> A teljesség kedvéért: a demagnetizálás (degausszolás) szintén egy ismert megsemmisítési mód, a Data Destroy azonban ezt nem alkalmazza — az ügyfelek (jogos) bizalmatlansága miatt, hiszen az eredménye szabad szemmel nem ellenőrizhető. Mi a vizuálisan is ellenőrizhető vágást, illetve a tanúsítvánnyal igazolt szoftveres törlést kínáljuk.
Helyszín és logisztika: hol és hogyan történik a munka?
Az ár egyik kevésbé látható, de fontos összetevője, hogy hol végezzük el a munkát, és ki szállítja az eszközöket.
Helyszíni vagy beszállításos elvégzés
Beszállításos megoldásnál az eszközök a Data Destroy telephelyére kerülnek, ahol a feldolgozás saját, optimalizált kapacitáson zajlik. Ez jellemzően kedvezőbb egységköltséget tesz lehetővé, és kis tételnél szinte mindig ez az ésszerű választás.
Helyszíni elvégzés akkor indokolt, ha a belső szabályzat vagy a körülmények nem teszik lehetővé az eszközök elszállítását. Itt fontos különbség van a két eljárás között:
Helyszíni megsemmisítés (vágás) esetén a nagy értékű ipari berendezést és a megfelelő jogosultságú, tapasztalt szakembereket a helyszínre visszük. Ez nem egyszerű „kiszállási felár”, hanem egy komplett mobil szolgáltatás kivonultatása, ami jelentős többletköltséggel jár.
Helyszíni törlésnél a megfelelő kezelőkörnyezetet mi hozzuk létre és telepítjük a törlés idejére; a megrendelő oldaláról elég a hely, az áram és az alaphálózat biztosítása. Itt egy gyakran alábecsült tényező a rendelkezésre álló helyiség mérete: nem mindegy, hogy egyszerre tíz vagy ötven gépet tudunk feldolgozni, mert ez közvetlenül befolyásolja a projekt időtartamát és így a költségét.
Szállítás és földrajzi távolság
Az is számít, hogy ki és hogyan szállítja az eszközöket. Ha a Data Destroy zárt, nyomon követett láncban gyűjti be az adathordozókat, az nagyobb biztonságot ad, de logisztikai költséggel jár. Ha a megrendelő maga szállít, az olcsóbbnak tűnhet — de érdemes mérlegelni, hogy a saját szállítás során ki viseli a kockázatot egy esetleges eltűnésért. A földrajzi távolság szintén tényező: egy budapesti és egy debreceni helyszín kiszállási költsége értelemszerűen eltér.
Iparági megfelelés és dokumentáció
Vegyes adathordozók egy helyen: merevlemez, SSD, M.2, USB és memóriakártya
Bizonyos ágazatokban — pénzügy, egészségügy, állami szektor, illetve TISAX vagy ISO 27001 szerint auditált környezetben — magasabb kontrolligény szokott megjelenni. Ez nem azt jelenti, hogy a szolgáltatás önmagában „megfelelést ad”, hanem azt, hogy ezekben a környezetekben jellemzően szigorúbb folyamatra, szorosabb kontrollra és nagyobb körültekintésre van szükség, ami az árban is megjelenhet.
A háttérben a GDPR elszámoltathatósági elve (5. cikk (2) bekezdés) áll: a szervezetnek bizonyítania kell, hogy az adatkezelési — így az adattörlési — kötelezettségeit teljesítette. Az adathordozók biztonságos kivezetése a tágabb kiberbiztonsági kontrollkörnyezetnek (például a NIS2 irányelv kockázatkezelési elvárásainak) is része lehet. Mindez közvetve azt jelenti: a megfelelő dokumentáció nem formalitás, hanem maga a bizonyíték.
Tanúsítvány és nyomonkövetés — minden megbízás része
Fontos tisztázni: minden elvégzett törléshez és megsemmisítéshez hiteles tanúsítvány jár. Ez nem opcionális felár, hanem a szolgáltatás alapvető eleme. Egy auditbiztos megbízás dokumentációja jellemzően tartalmazza:
A tételes eszközjegyzéket — minden kezelt adathordozó sorozatszáma, típusa és a rajta elvégzett eljárás.
A tételes, visszakereshető tanúsítványt — a projekt dátumával, az érintett eszközök listájával, az alkalmazott eljárással és a felelős aláírásával.
Az átvételi-átadási nyomonkövetést (chain of custody) — annak igazolása, hogy az eszközök a begyűjtéstől a feldolgozás befejezéséig végig felügyelet alatt voltak.
Bizonyos megbízásoknál — jellemzően szigorúbb iparági vagy ügyfél-elvárás esetén — videós dokumentáció is kérhető a folyamatról. Ez projektfüggő, és mivel többletmunkát jelent, az árban is megjelenhet.
Költség vagy bevétel? Az értékes eszközök más képlet
Érdemes a projektre nem pusztán kiadásként tekinteni. Értékes, működő eszközöknél a felvásárlás-beszámítás csökkentheti, sőt kedvező esetben akár meg is fordíthatja a projekt költségét — ez azonban lehetőség, nem garancia, és előzetes állapot- és értékfelmérést igényel.
A logika egyszerű: ha egy gép vagy meghajtó még piacképes, akkor a tanúsított törlés után értékesíthető vagy beszámítható. A Data Destroy felvásárlási és IT-újrahasznosítási szolgáltatása így összekapcsolható az adattörléssel — a megrendelő nemcsak a megfelelőséget teljesíti, hanem a kivezetett eszközparkból visszanyert értékkel a projekt nettó költségét is mérsékelheti. Ez akkor is előny, ha a cég véglegesen kivezeti a gépet: ha a meghajtót benne hagyják és tanúsítottan törlik, a gép jellemzően magasabb áron értékesíthető, mint adathordozó nélkül — így a felvásárlási beszámítás közvetlenül csökkenti a törlési projekt nettó költségét. Hogy ez konkrétan mennyit jelent, mindig az eszközök korától, típusától és állapotától függ.
Hogyan kérj pontos ajánlatot?
A pontos, összehasonlítható ajánlathoz érdemes előre összeállítani néhány alapinformációt. Minél pontosabb a kép, annál pontosabb az ár:
Eszközök: típus (HDD, SSD, szerver, laptop, DAT kazetta, mobileszköz), becsült darabszám, hozzávetőleges kor és állapot (működő vagy hibás), illetve hogy a meghajtók kiszerelve vannak-e vagy a gépben.
Eljárás és biztonsági szint: vágás, törlés vagy vegyes — ha nem eldöntött, javaslunk; valamint hogy van-e elvárt biztonsági szint.
Helyszín: helyszíni vagy beszállításos; helyszíni törlésnél áll-e rendelkezésre megfelelő méretű helyiség; ki szállítja az eszközöket.
Határidő: van-e sürgős vagy audithoz kötött határidő.
Megfelelés és extra dokumentáció: van-e iparági (pénzügy, egészségügy, TISAX, ISO) elvárás; kell-e a tanúsítványon felül videós dokumentáció a folyamatról.
Érték: van-e a parkban értékesíthető, beszámítható eszköz.
Az ajánlat összehasonlítása: ne csak a darabárat nézzük
Ha több szolgáltatótól kér ajánlatot, az összehasonlítás félrevezető lehet, ha kizárólag az egységárakra figyel. Két azonos darabárú ajánlat mögött is eltérő minőség állhat: egy komoly szolgáltatónál a részletes, sorozatszámos, tételes tanúsítvány alapelvárás — máshol viszont csak egy összesített igazolás jár. Egy audit vagy hatósági vizsgálat esetén ez a különbség döntő. Ezért érdemes a teljes csomagot összehasonlítani: a tanúsítvány megbízhatóságát és tételességét, a megmaradó eszközértéket és a szakmai hátteret, nem csak a forintos egységdíjat.
A Data Destroy szakértői éppen ebben segítenek: az adat érzékenysége, az eszközök állapota és értéke, a helyszín, a határidő és a megfelelési elvárás alapján a legoptimálisabb megoldást keresik meg — gyakran épp a vegyes modellt —, nem automatikusan a legdrágábbat.
Legfontosabb megállapítások:
Az adatmegsemmisítés árára nincs fix listaár: a mennyiség, az eljárás (vágás vagy törlés), a helyszín és az eszközök típusa együtt határozza meg az egyedi kalkulációt.
Nem általánosítható, hogy melyik eljárás olcsóbb: a végeredményt nettóban érdemes nézni — a szolgáltatás díja mínusz az eszköz megmaradó értéke. Értékes, működő gépeknél a törlés akár csökkentheti is a teljes költséget.
Minden törléshez és megsemmisítéshez hiteles, tételes tanúsítvány jár — ez nem külön felár, hanem a szolgáltatás alapvető része.
Gyakori kérdések
Miért nincs kiírva fix adatmegsemmisítési árlista?
Mert a tisztességes ár mindig a konkrét projekt paramétereiből áll össze: a mennyiség, az eljárás (vágás vagy törlés), a biztonsági szint, a helyszín és a logisztika együtt határozza meg. Egy fix listaár vagy túlárazna egy egyszerű megbízást, vagy alulárazna egy összetettet — ezért adunk minden esetben egyedi kalkulációt.
A törlés vagy a megsemmisítés az olcsóbb?
Nem általánosítható. A két eljárás más logikát követ: a vágás után az adathordozó megsemmisül, a szoftveres törlés után az eszköz ép és értékesíthető marad. Ezért nem a darabárat, hanem a nettó eredményt érdemes nézni: a szolgáltatás díja csökkentve az eszköz megmaradó értékével. Értékes, működő gépnél a megmaradó érték miatt a törlés adhat kedvezőbb összképet.
Kapok-e tanúsítványt a munkáról?
Igen, minden esetben. Hiteles, tételes tanúsítvány minden törléshez és megsemmisítéshez jár — ez nem külön felár, hanem a szolgáltatás alapvető része, és ez bizonyítja a GDPR szerinti megfelelőséget egy esetleges vizsgálatkor.
Mennyibe kerül, ha csak néhány eszközöm van?
Kis mennyiségnél a fix költségek (kiszállás, személyzet, adminisztráció) miatt minimáldíj és kiszállási költség merül fel. Ilyenkor gyakran a beszállításos megoldás a legésszerűbb — a szakértőnk segít megtalálni a kis tételhez illő, költséghatékony módot.
Helyszínen is el tudják végezni a munkát?
Igen. Helyszíni megsemmisítésnél a berendezést és a szakembereket a telephelyére visszük; helyszíni törlésnél a kezelőkörnyezetet mi telepítjük a törlés idejére. Utóbbinál a rendelkezésre álló helyiség mérete is befolyásolja, hány gépet tudunk egyszerre feldolgozni, és így a projekt időtartamát.
Visszakaphatom-e az eszközeim értékét?
Értékes, működő eszközöknél igen: a tanúsított törlés után az eszköz értékesíthető vagy beszámítható, ami csökkentheti a projekt nettó költségét. Ez előzetes érték- és állapotfelmérés kérdése — nem minden eszköznél működik, de ahol igen, ott érdemi megtakarítást jelenthet.
GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?
A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:
A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.
Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?
A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.
A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:
Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
Az adatokat jogellenesen kezelték.
Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.
A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.
Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek
A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.
Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.
Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.
A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.
A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.
A törlés technikai valósága: miért nem elég a fájl törlése?
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.
A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.
A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.
SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.
A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.
Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?
A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.
Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:
Az érintett eszközök azonosítóit (sorozatszám, típus)
Az alkalmazott törlési módszer megnevezését és szabványát
A törlés elvégzésének dátumát és körülményeit
Az elvégző személy vagy szervezet adatait
Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.
Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.
Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.
Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:
Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.
Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.
Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?
A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.
Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.
Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.
Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.
Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.
Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.
Gyakori kérdések
Mit jelent pontosan a GDPR törléshez való jog?
A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.
Hogyan kell GDPR szerint törölni a személyes adatokat?
A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.
Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?
Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.
Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?
Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.
Hogyan kell dokumentálni a GDPR adatok törlését?
Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.
Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?
Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.
Adattörlési tanúsítvány és selejtezési jegyzőkönyv: milyen igazolást kérjen be a cég a szolgáltatótól?
Az adattörlési tanúsítvány és a selejtezési jegyzőkönyv az adatkezelő GDPR-elszámoltathatóságának (5. cikk (2)) írásos bizonyítéka egy IT-eszköz selejtezésekor. A szolgáltatótól négy dokumentum kérhető be: szolgáltatói minőségi tanúsítványok, chain of custody (őrzési lánc), eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv, és sorozatszámos eszközlista. Hatósági ellenőrzés vagy biztosítási kárrendezés esetén ezek nélkül jelentősen gyengül és nehezen védhető a cég igazolási pozíciója.
Legfontosabb megállapítások:
A GDPR 5. cikk (2) bekezdése az adatkezelő cég felelősségévé teszi a megfelelőség írásos igazolását — még akkor is, ha a fizikai munkát szolgáltató végezte.
Négy dokumentum bekérése audit-ready állapotot ad: szolgáltatói minősítések, chain of custody, eszközszintű tanúsítvány vagy jegyzőkönyv, sorozatszámos eszközlista.
Az eszközszintű tanúsítványnak tartalmaznia kell a sorozatszámot, az alkalmazott módszer szabványhivatkozását (pl. NIST SP 800-88), az eredményt, a végrehajtó technikus azonosítóját és a dátumot — generikus „törölve” megjegyzés nem elég.
Az írásos igazolások nélkül egy IT-eszköz selejtezésekor az „elvégeztük” állítás bizonyíthatatlan — a cég pedig nem szabadul meg az adatkezelői felelősségtől azzal, hogy átadja a notebookot vagy szervert egy szolgáltatónak. A GDPR 5. cikk (2) bekezdése szerint az adatkezelő köteles igazolni a rendelet betartását, és ez a kötelezettség a teljes életciklusra — beleértve a törlést és megsemmisítést is — vonatkozik. Egy beszerző jellemzően csak akkor szembesül ezzel, amikor az auditor a jegyzőkönyveket kéri, vagy egy adatvédelmi incidens kapcsán a NAIH visszafelé rekonstruálja az eszköz útját.
Az alábbiakban azt foglaljuk össze, melyik négy dokumentum-típust érdemes a beszerzőnek a szolgáltatótól rendre bekérnie, és mit célszerű tartalmaznia mindegyiknek ahhoz, hogy a cég GDPR-audit, ISO 27001 belső ellenőrzés vagy biztosítási kárrendezés esetén lefedett legyen.
Miért szükséges a dokumentált bizonyíték?
A GDPR több ponton is megalapozza az írásos bizonyíték iránti igényt:
5. cikk (2) — elszámoltathatóság: az adatkezelő nemcsak betartani köteles a rendeletet, hanem képesnek kell lennie e megfelelés igazolására is.
24. cikk — az adatkezelő felelőssége: olyan technikai és szervezési intézkedéseket kell foganatosítani, amelyek a kockázat szintjéhez igazítva bizonyíthatóvá teszik a megfelelőséget.
30. cikk — nyilvántartási kötelezettség: az adatkezelési tevékenységek nyilvántartásába a tervezett törlési határidők is beletartoznak — a kapcsolódó eszközszintű bizonyíték a tanúsítvány vagy jegyzőkönyv.
Ehhez társul a 32. cikk (adatbiztonság) és incidens esetén a 33. cikk (72 órás bejelentés), ahol a hatóság kérheti az eseményt megelőző védelmi intézkedések dokumentációját. Az adatfeldolgozóra (28. cikk) is csak akkor lehet hivatkozni felelősség-megosztáskor, ha a szolgáltató teljesítését írásos termékkel (jegyzőkönyv, tanúsítvány) lehet alátámasztani.
A magyar gyakorlatban a felügyeleti megközelítés szerint az adatkezelő nem hivatkozhat egyoldalúan a szolgáltatóra felelősség-mentesítésként, ha nem rendelkezik a szolgáltató teljesítését dokumentáló bizonyítékokkal. Az IT-eszközök életciklus végén történő adatkezelése tipikusan incidens-bejelentés vagy munkavállalói panasz nyomán kerül vizsgálat alá — ilyenkor a hatóságnak rendelkezésre kell tudni bocsátani a tanúsítványt, a jegyzőkönyvet vagy ezekkel egyenértékű, visszakövethető bizonyítékokat.
A párhuzamos szabályozói rétegek tovább erősítik az írásos evidencia igényét. A NIS2 21. cikk (2) bekezdése a hatálya alá eső szervezetektől supply chain security, asset management és üzletmenet-folytonosság (business continuity / disaster recovery) területén is konkrét intézkedéseket vár — a vendor adattörlési dokumentáció ennek a beszállítói kontroll-rétegnek a része. Az ISO 27001:2022 Annex A kontrolloknál a leginkább érintett pontok: A.5.20 (szállítói megállapodások információbiztonsági követelményei), A.7.14 (eszközök biztonságos újrahasználata vagy ártalmatlanítása) és A.8.10 (információ-törlés).
A négy dokumentum-típus, amit érdemes bekérni
1. Szolgáltatói minőségi és kompetencia-tanúsítványok
Az első réteg a szolgáltató általános alkalmasságát igazolja. Bekérendő — még szerződéskötés előtt:
ISO 27001 tanúsítvány (információbiztonsági irányítási rendszer) — érvényességi dátummal, scope-pal.
ISO 9001 tanúsítvány (minőségirányítás) — ha az adott szolgáltató rendelkezik vele.
Adattörlési szoftver gyártói tanúsítvány vagy partneri minősítés (pl. minősített, partneri viszonnyal igazolt használat). A Blanccohoz hasonló szoftvergyártók partneri státusza önmagában is iparági jelzés.
EN 15713 szabvány szerinti auditált eljárás — papír- és adathordozó-megsemmisítés európai standardja.
A felelősségbiztosítási kötvény másolata.
Ezek a dokumentumok nem cikkenként, hanem a szolgáltatóhoz egyszer kerülnek bekérésre, és érvényességi dátumukig hatályosak. A beszerző audit-trail mappájában együtt kell tárolni az alábbi három, eseti dokumentumtípussal.
2. Chain of custody (őrzési lánc) jegyzőkönyv
A chain of custody a szolgáltató fizikai és birtoklási láncát dokumentálja az átvételtől a megsemmisítés vagy törlés befejezéséig. Egy auditálható chain of custody jegyzőkönyv tartalmazza:
Az átvétel pontos időpontját, helyszínét és felelős személyét mindkét oldalról (átadó és átvevő aláírása).
A szállítójármű azonosítóját és a szállító technikus nevét.
Az átvett eszközök tételes listáját sorozatszám szerint (nem csak darabszámmal).
Az ideiglenes tárolás helyét és időtartamát, valamint a tároló biztonsági besorolását (zárt rakodótér, kamerás raktár stb.).
Az átadás-átvétel minden közbenső állomását, ha az eszköz több ponton áthalad.
A megsemmisítés vagy törlés helyszínén történő dokumentált beérkezést.
A chain of custody megszakítatlansága az audit során kulcskérdés: ha a sorozatszám szerinti lista nem azonos az átvételi és a megsemmisítési ponton, az értelmezhetetlenné teszi a tanúsítványt.
3. Eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv
Ez az a dokumentum, amit a hatósági kérdésre — „bizonyítsa, hogy a 2024-ben selejtezett laptopon megfelelően eljártunk az adattal” — a beszerző az iratokból ki tud húzni. A választást kockázatalapon érdemes meghozni: a NIST SP 800-88 r2 Clear / Purge / Destroy kategóriái közül az adatbesorolás és az adathordozó-típus dönt. Általánosító tájékozódásul: alacsony bizalmasságú adat + HDD esetén a Clear (felülírás) is elegendő lehet; bizalmas adat + SSD vagy NVMe esetén a wear-leveling és overprovisioning miatt a sima felülírás nem megbízható — Purge szinten ATA Sanitize, ATA Secure Erase, NVMe Sanitize / Format NVM secure erase setting vagy igazolt cryptographic erase alkalmazása indokolt, a gyártói implementáció és a parancs sikeres lefutásának dokumentálásával; titkos / különleges kategóriájú adatnál (GDPR 9. cikk) jellemzően Destroy szintű fizikai megsemmisítés ajánlott. A két dokumentumtípus különbözik az eljárás függvényében:
Szoftveres adattörlés esetén (működőképes adathordozó): eszközszintű adattörlési tanúsítvány. Tartalmi minimumai:
Az eszköz gyártója, modellje és sorozatszáma (nem batch-szintű, hanem darabra megnevezve).
Az adathordozó típusa (HDD/SSD/NVMe) és kapacitása.
Az alkalmazott törlési módszer szabványhivatkozással — pl. NIST SP 800-88 r2 Clear / Purge / Destroy kategória, vagy a használt szoftver belső szabványa.
Az eljárás eredménye (sikeres / hibás), és sikertelen szektor esetén a kezelési mód (újra-kísérlet, fizikai megsemmisítés).
A végrehajtó technikus azonosítója (név vagy egyértelmű azonosító).
Időpecsét és sorszám.
A használt szoftver és verziószám.
Digitális aláírás vagy manipuláció-védett pdf — papír esetén legalább cégszerű aláírás.
Fizikai megsemmisítés esetén: megsemmisítési jegyzőkönyv. Tartalmi minimumai:
Sorozatszám szerinti eszközlista.
Az alkalmazott eljárás (darálás, perforálás, demagnetizálás) és a végeredmény mérete (pl. EN 15713 szerinti H-szint, vagy DIN 66399 szerinti biztonsági szint).
A megsemmisítő berendezés azonosítója — célszerű minősített ipari adathordozó-megsemmisítőt használni, amely a megsemmisítés paramétereit (eljárás, eredmény, időpecsét) beépített logba rögzíti.
A megsemmisítés helyszíne és dátuma.
A felelős technikus aláírása vagy azonosítója.
Lehetőleg fotódokumentáció a megsemmisítés előtti és utáni állapotról.
Egy generikus „a felsorolt eszközök adattartalmát töröltük” megfogalmazás GDPR-szempontból nem ad megfelelő bizonyítékot — sem az eljárás, sem az eredmény nem visszakövethető belőle.
4. Sorozatszámos eszközlista
A negyedik dokumentum gyakran fizikailag a chain of custody melléklete, mégis külön érdemes megnevezni, mert az auditok alapja. Egy korrekt eszközlista:
Tételenként tartalmazza a gyártót, modellt, sorozatszámot (S/N) és — ahol értelmezhető — az asset tag-et.
A leltárból (CMDB vagy ITAM) generált export legyen, ne kézi újrakulcs.
Egy az egyhez egyeztethető a chain of custody átvételi és a tanúsítványok listájával.
Adattörlés és/vagy megsemmisítés mellett tartalmazza az eszköz további sorsát (újra-felhasználás, hulladékkezelés, refurbished értékesítés).
Az ITAM rendszerben a leltárból az eszközt csak akkor lehet selejt státuszra állítani, ha a tanúsítvány meg is érkezett. Ennek folyamatszintű kikényszerítése (pl. workflow szabály) jelentősen csökkenti az audit-kockázatot.
Beszerzői ellenőrzőlista a tanúsítványhoz
Mielőtt egy adattörlési tanúsítványt vagy megsemmisítési jegyzőkönyvet elfogadható minőségűnek minősít a beszerző vagy a compliance officer, érdemes az alábbi tizenkét ellenőrző pontot evidence intake checklist-ként átfutni:
Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
Szerepel-e a tanúsítványon a szolgáltató cégszerű azonosítója (név, cégjegyzékszám, székhely)?
Eszközszintű a tanúsítvány (egy eszköz = egy sorozatszám), vagy ha batch-szintű, mellékelve van sorozatszámos lista módszerrel és eredménymezőkkel?
Az eszköz gyártó-modell-sorozatszám hármasa egyezik a leltárban szereplővel?
A módszer megnevezve egy hivatkozható szabvánnyal (NIST SP 800-88 r2 Clear/Purge/Destroy, EN 15713, DIN 66399)?
A módszer választása összhangban van az adat-klasszifikációs szinttel és az adathordozó-típussal (HDD vs SSD/NVMe)?
Az eredmény státusza explicit — sikeres / hibás / részleges? Sikertelen eset esetén dokumentált a deviation handling (újra-kísérlet, fizikai megsemmisítés, eltérő sorozatszám kezelése)?
A technikus azonosítója szerepel (nemcsak „a csapat”)?
Időpecsét és sorszám beazonosíthatóan jelen van?
A dokumentum manipuláció-védett (digitális aláírás, PDF/A, vagy cégszerű papír-aláírás)?
Csatolva van-e a chain of custody ezzel egyező tartalommal?
A tanúsítványhoz tartozó felelősségbiztosítás lefedi-e az esetleges eljárási hibákat?
A beszerző oldalán van-e mintavételes másodlagos kontroll — pl. évente N% eszköz visszaellenőrzése (visszamért adatmaradvány-teszt vagy onsite audit) a szolgáltató teljesítményéről?
A pontok inkább audit-ready evidence intake szempontok, mint univerzális jogi minimumkövetelmények — a hiányzó pontoknál a beszerző és a szolgáltató közösen állapodjon meg a kockázatarányos pótlás módjáról.
Szerepkör-felelősség modell (RACI minimum a folyamat zökkenőmentes lebonyolításához): IT Asset Manager → ITAM-CMDB sorozatszám-export, fizikai átadás; Procurement → szerződéses kontroll, felelősségbiztosítás-ellenőrzés; DPO → adatkezelési nyilvántartás frissítése; CISO / belső auditor → mintavételes másodlagos kontroll, deviation review; Legal → DPA (adatfeldolgozói szerződés), alvállalkozói lánc. Kisebb szervezetnél ezek a szerepek összevonhatók, de a felelősségeknek akkor is elkülöníthetően meg kell jelenniük.
Mi történik, ha hiányos vagy hibás az igazolás?
Az írásos bizonyíték hiányának három tipikus következménye van:
GDPR-hatósági eljárás: a NAIH vizsgálatakor az adatkezelő nem tudja igazolni a 32. cikk szerinti megfelelő technikai intézkedéseket. A pénzbüntetés mértéke a rendelet 83. cikke alapján a kockázat súlyához igazodik — a felső határ 20 millió euró, vagy az előző üzleti év teljes globális éves árbevételének 4%-a, attól függően, melyik a magasabb. A gyakorlatban az arányos bírság is jelentős üzletviteli kockázat.
Belső audit hibajegy (nonconformity): ISO 27001 vagy TISAX éves audit során a megfelelőség objektív bizonyítékának hiánya minősített megállapítás. A javítási intézkedési terv és a következő audit időpontja ilyenkor szoros nyomás alá kerül.
Biztosítási kárrendezés elutasítása vagy szűkítése: kiberbiztosítások és felelősségbiztosítások kötvényfüggő módon korlátozhatják vagy kizárhatják a megfelelőség dokumentációjának hiányából eredő károkat. Egy adatvédelmi incidens utáni költségtérítés (értesítési, forenzikus és jogi költség) ilyenkor jellemzően a cég saját zsebéből megy. Konkrét határt mindig a kötvény és a brokeri ajánlás határoz meg.
A negyedik, kevésbé nyilvánvaló kockázat az üzletvitel-folytatás akadálya: ügyfél vagy partner auditok — különösen autóipari TISAX, banki / pénzügyi vendor due diligence és szabályozott egészségügyi beszállítói környezetben — elvárják az IT-selejtezés dokumentált rendjét. Egy szállítás közbeni eszközelvesztés ráadásul önmagában is GDPR 33. cikk szerinti bejelentési kötelezettséget válthat ki, ha a személyes adatok sérülése kockázatot jelent az érintettek jogaira és szabadságaira nézve — a chain of custody és a kétoldalú átvételi aláírás pontosan ezt a forgatókönyvet kezeli, mert pontosan azonosíthatóvá teszi az érintett adatkört és a felelősséget.
Mit jelent ez a beszerzői munkafolyamatra?
A gyakorlatban ez nem nagy adminisztratív teher, ha a folyamat a kezdetektől tisztán épül fel:
Szerződéskötéskor a szolgáltatótól bekért dokumentumok (ISO 27001, ADISA, felelősségbiztosítás) bekerülnek a beszerzői aktába.
Minden átadáskor a chain of custody mindkét fél részéről aláírva keletkezik — papíron vagy ellenjegyzett digitális dokumentumban.
Megsemmisítés vagy törlés után a szolgáltató szerződéses SLA szerint — célszerű 10–30 napban rögzítve — átadja az eszközszintű tanúsítványokat és a sorozatszámos eszközlistát.
Az ITAM rendszerben a tanúsítvány hivatkozási száma a leltár-rekordhoz kerül, és csak ezután állítható selejt státuszra az eszköz. Eltérés (ITAM-lista vs. szolgáltatói visszaigazolás) esetén dokumentált deviation handling folyamat indul.
A teljes csomag (szolgáltatói tanúsítvány + chain of custody + eszközszintű tanúsítvány + lista) a belső retention policy alapján együtt tárolva, a jogi, ágazati és elévülési követelményekhez igazítva — jellemzően 5–10 év, de a konkrét időtartamot a cég adatkezelési nyilvántartása rögzíti.
Hogyan kérje be ezt a négy dokumentumot a gyakorlatban?
Egy egyszerű módszer audit-ready beszerzésre: a fenti tíz pontos beszerzői ellenőrzőlistát mellékelje az ajánlatkéréshez, és kérje a szolgáltatókat, hogy mintatanúsítványon mutassák be, hogyan teljesítik az egyes pontokat. Ez még szerződéskötés előtt láthatóvá teszi, melyik szolgáltató állít elő ténylegesen audit-szintű dokumentációt, és melyik dolgozik csak generikus jegyzőkönyvvel. A datad.hu szakmai csapata audit-ready tanúsítvány-mintát, chain of custody sablont és sorozatszámos átadás-átvételi formanyomtatványt biztosít ajánlatkérés mellé — a négy dokumentum-típus tartalmi minimumait egységes csomagban lefedve.
Gyakori kérdések
Mi a különbség az adattörlési tanúsítvány és a selejtezési jegyzőkönyv között?
Az adattörlési tanúsítvány a működőképes adathordozó szoftveres törlését dokumentálja, a selejtezési vagy megsemmisítési jegyzőkönyv pedig az eszköz fizikai megsemmisítését (darálás, perforálás, demagnetizálás). Egy cég jellemzően mindkettőt használja az eszközpark állapotától függően.
Elegendő-e egy batch-szintű tanúsítvány több eszközre?
Nem ajánlott. GDPR-audit során az adatkezelőnek eszközenként kell tudnia igazolnia az elvégzett intézkedést — egy „X db SSD törlésre került” tanúsítvány a sorozatszámok hiányában nem visszakövethető. A jó gyakorlat: eszközszintű tanúsítvány, sorozatszámos lista mellékletként.
Meddig kell megőrizni az adattörlési tanúsítványt?
A megőrzési idő a kapcsolódó adatkezelési tevékenység GDPR szerinti megőrzési idejéhez igazodik, jellemzően minimum 5 évig, de bankszektorban, autóiparban vagy egészségügyben gyakran 8–10 év vagy hosszabb. Belső adatkezelési szabályzatban célszerű rögzíteni.
A felhőszolgáltató is ad adattörlési tanúsítványt a virtuális gépekről?
Néhány hyperscaler ad tanúsítvány-szerű ügyfélnyilatkozatot, de jellemzően megosztott felelősségi modellel és nem eszközszintű részletességgel. Saját adathordozó esetén (fizikai szerver, edge eszköz) a jelen cikk dokumentációs követelményei közvetlenül érvényesek.
Mit tegyek, ha a meglévő szolgáltatóm csak generikus tanúsítványt ad?
Először írásban kérje a hiányzó tartalmak pótlását (sorozatszám, módszer, technikus azonosító). Ha a szolgáltató ezt nem tudja teljesíteni, GDPR-audit szempontból kockázatos a folytatás — érdemes mérlegelni a szolgáltatóváltást, mert az adatkezelői felelősség a cégnél marad.
Milyen szabványra hivatkozhat egy minősített adattörlési tanúsítvány?
A nemzetközi gyakorlatban a NIST SP 800-88 r2 (Guidelines for Media Sanitization) a referencia, az európai megsemmisítéseknél az EN 15713 és a DIN 66399. Egy minősített eszközre épülő eljárás (pl. egy ipari adathordozó-megsemmisítő dokumentált logja) szintén elfogadható bizonyítéknak számít, amennyiben a használt módszer szabvány-mappingje a tanúsítványban szerepel.
Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?
A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:
A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.
Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.
A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.
A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.
Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.
Mi a különbség a három fogalom között?
A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.
Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.
Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.
Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.
Miért nem törlés a formázás?
A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.
A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.
A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.
Gyári visszaállítás: mikor működik, mikor nem
A „factory reset” hatása az eszköz típusától és életkorától függ.
Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.
SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.
Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.
Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.
A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.
Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás
A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.
A folyamat lényege négy lépés:
Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.
Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.
Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.
Gyári visszaállítás vs adattörlés: mikor melyik elég?
A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.
Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.
Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.
Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.
Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.
A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e adattörlési tanúsítvány vagy selejtezési jegyzőkönyv„. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.
Compliance kontextus: GDPR, NIS2, ISO 27001
Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.
GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.
NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.
ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.
Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.
A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.
Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.
Vezetői cselekvési pontok
A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:
Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?
Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.
Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.
A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.
Gyakori kérdések
Vissza lehet állítani egy formázott merevlemezről az adatokat?
Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.
A gyári visszaállítás SSD-n elég biztonságos?
Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.
Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?
A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.
Kell-e jegyzőkönyv a vállalati eszközök törléséről?
Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.
Mit ad többletként a tanúsított szoftveres adattörlés?
Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.
IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?
Az IT eszköz selejtezési szabályzat egy belső szabályozó dokumentum, amely az informatikai eszközök és adathordozók életciklusának végén a biztonságos kivonást, adatmegsemmisítést és dokumentált lezárást írja le. 2026-ban a szabályzat tartalmát három forrás határozza meg: a GDPR (5., 32. cikk) adatbiztonsági alapelvei, a NIS2 (EU 2022/2555) irányelv ISMS-elvárásai (Magyarországon nemzeti átültetéssel), valamint az ISO/IEC 27001:2022 A.7.14 kontroll, amely a Physical controls témakörében az eszközök biztonságos selejtezését szabályozza. A szabályzat nélkül a megfelelőségi audit során az adathordozó-kezelés rendre az első hibatípusok közé kerül.
Legfontosabb megállapítások:
2026-ban egy IT eszköz selejtezési szabályzatnak ki kell terjednie minden adathordozóra, beleértve a mobiltelefonokat, hálózati eszközök perzisztens memóriáját és a leszerelt szerverek SSD-it is.
A szabályzat akkor működik, ha minden selejtezett tételhez chain of custody dokumentáció és megsemmisítési jegyzőkönyv tartozik, beszállító esetén pedig az alvállalkozói lánc is leírt.
Az auditok döntő többsége nem a megsemmisítés módszerét, hanem a dokumentáció hiányát és a hatály alól kicsúszó eszközöket (BYOD, lízingelt gép, raktározott tartalék) kifogásolja.
A magyar adatvédelmi hatósági gyakorlatban és a NAIH éves beszámolóiban visszatérő tanulság, hogy a nem aktív, leselejtezett, raktározott vagy elhagyott IT eszközök adatvédelmi kockázatot jelentenek — a kapcsolódó incidensek nem rendszerüzemeltetési, hanem életciklus-záró folyamati hiányosságokból fakadnak. Ezzel párhuzamosan az ISO 27001 2022-es revíziója önálló kontrollt rendelt a témához (A.7.14), a NIS2 pedig olyan kockázatkezelési intézkedéseket vár el, amelyekbe az eszközök életciklusa szervesen beletartozik. Ezek után 2026-ban egy szervezet — különösen, ha NIS2 hatálya alá tartozik vagy ISO 27001-tanúsított — nem támaszkodhat egy 4–5 éves selejtezési „eljárásrendre”. Konkrét tartalmi minimum kell.
Miért nem elég egy 2020-as szabályzat 2026-ban?
A legtöbb hatályos belső selejtezési szabályzat a 2017–2020 közötti GDPR-felkészülés idején született. Ezek jellemzően három pontot kezeltek: az adathordozó típusát, a megsemmisítés módját és a beszállító kijelölését. Az azóta eltelt időben három dolog változott:
Az eszközpark szerkezete átalakult. A vállalati flotta jelentős részében már SSD és NVMe meghajtók találhatók, a hagyományos winchesterek aránya csökken. Az SSD-knél az „alacsony szintű formázás” nem törlés — a wear leveling és a tartalék blokkok miatt csak kriptografikus törlés vagy fizikai megsemmisítés ad megfelelő bizonyosságot. A 2020-as szabályzatok többsége erre nincs felkészítve.
Az ISO/IEC 27001 megújult. A 2022-es verzió önálló kontrollként emeli ki az „eszközök biztonságos selejtezését vagy újrahasznosítását” (A.7.14), ami a 4 témaköri csoportból (organizational, people, physical, technological) a Physical controls (7-es csoport) része. Tartalmilag a 2013-as A.11.2.7 követelményével lényegében azonos, de a Statement of Applicability-ben (SoA) önálló kontrollként jelenik meg, ami az audit gyakorlatban explicit dokumentálási és bizonyítási kötelezettséget jelent.
A NIS2 keretében a felső vezetés személyes felelősségi köre kiterjed az ISMS-szintű kontrollok meglétére. Ha a kockázatértékelésben az adathordozó-megsemmisítés szerepel kontrollként, akkor azt dokumentált eljárással kell alátámasztani.
Egy 2020-as szabályzat ezeket a változásokat ritkán tudja követni egyszerű foltozással. Egy-két új bekezdés beillesztése formailag dokumentmódosításnak minősül, de tartalmi szinten ritkán fedi le az új kontroll-elvárásokat — auditori kérdésre a hatásvizsgálat és a verziókövetett struktúra hiánya jellemzően kiderül.
A kötelező tartalmi minimum: hét auditálható blokk
Az alábbi hét tartalmi blokkot egy 2026-os IT eszköz selejtezési szabályzatnak mind érdemes lefednie. Hiányzó blokk tipikusan auditori kérdést vagy megállapítást eredményez — a kontroll alkalmazhatóságát és bizonyíthatóságát az auditor a meglévő tartalom alapján méri, ezért a struktúra önmagában is bizonyíték.
1. Hatály és tárgyi kör. A szabályzat pontosan jelölje meg, milyen eszközökre vonatkozik: asztali és hordozható számítógépek, szerverek, mobiltelefonok, tabletek, hálózati eszközök (router, switch, tűzfal), nyomtatók (perzisztens memóriával), külső adathordozók, biztonsági mentés szalagok és optikai média. Külön ki kell térni a lízingelt eszközökre, a BYOD-konstrukcióra és a tartalékra raktározott gépekre. A három legtöbbet mulasztott terület audit-szempontból ez a három.
2. Felelősségi rend. A szerepköröket az auditori logika szerint érdemes szétbontani: policy owner (a szabályzat fenntartója, jellemzően az IT vezető vagy a CISO), process owner (a végrehajtási folyamat felelőse, tipikusan az IT operations vezetője), asset owner (az érintett eszköz nyilvántartási tulajdonosa), rendszergazda (azonosítás, fizikai kivonás), adatvédelmi tisztviselő vagy compliance officer (jogszabályi megfelelés ellenőrzése), belső auditor (a folyamat független ellenőrzése — ISO 27001 9.2 elvárás), pénzügy (állományi nyilvántartás), beszerzés (beszállítói szerződés). NIS2 hatálya alatt a felső vezetést is nevesítse a szabályzat az éves felülvizsgálati pontban. A compliance és a belső audit szerepkör tudatosan elkülönítendő — a belső audit függetlensége az ISMS tanúsítás alapelve.
3. Eszköz életciklus és kiváltó események. A szabályzat sorolja fel azokat az eseményeket, amelyek selejtezési folyamatot indítanak: amortizációs lejárat, meghibásodás, szoftveres elavulás (vendor support vége), lízing visszaadás, csere program, biztonsági incidens utáni karantén. Minden eseményhez tartozzon egy konkrét folyamatlépés-sor.
4. Adatmegsemmisítési módszerek és minősítésük. Itt érdemes a NIST SP 800-88 Rev.1 kategorizálását követni: Clear (validált logikai felülírás vagy gyártói reset úgy, hogy a felhasználó által címezhető adatterület szabványos eszközökkel ne legyen helyreállítható — egyszerű fájltörlés vagy gyorsformázás nem elég), Purge (gyártói sanitize parancs, kriptografikus törlés vagy mágneses média degausser), Destroy (fizikai megsemmisítés). A szabályzat eszköztípusonként és kockázati szintenként rendelje hozzá a megfelelő módszert. Egy minimális döntési mátrix:
HDD, alacsony kockázatú adat → Clear vagy Purge
HDD, magas kockázatú adat → Purge (degausser) vagy Destroy
SSD/NVMe, általános üzleti adat → gyártói sanitize parancs vagy hitelesített kriptografikus adattörlés
SSD/NVMe, különleges kategóriájú adat (GDPR 9. cikk) → kriptografikus törlés független validációval, vagy Destroy
Hibás, nem olvasható, vagy nem érvényesített SSD → Destroy
Mobiltelefon, tablet → gyártói factory reset titkosítás után (Purge), magas kockázatnál Destroy
A degausser kifejezetten mágneses adathordozóra (HDD, szalag) érvényes — SSD-nél hatástalan. A „különleges adat = Destroy” összerendelés kockázatkerülő alapértelmezés, nem szabványkényszer; a maradványkockázat megítélése szervezeti döntés.
5. Chain of custody és dokumentáció. Ez az audit-tapasztalat szerint a legtöbbet bukott pont. Minden selejtezett tételhez tartozzon: leltári azonosító, sorozatszám, eszköztípus, kivonás dátuma és felelőse, közbenső raktározás helye és időtartama, szállítási fázis felelőse és bizonylata (átadás-átvétel pillanata, lezárt szállítóeszköz, kísérőlevél), megsemmisítési bizonylat (jegyzőkönyv és tanúsítvány), végső megsemmisítés dátuma. A papíralapú átvételi elismervény önmagában nem elég — vissza kell vezethető legyen az állományi nyilvántartással és az ISMS eszköznyilvántartásával. A szállítási fázis felelősségi átadása a leggyakrabban kifelejtett dokumentációs lépés. A chain of custody dokumentumok megőrzési ideje a szervezet általános dokumentummegőrzési szabályzatához igazodjon — az ISO 27001 audit-ciklus (3 év) és a polgári elévülési idő (jellemzően 5 év) közül az erősebb keret a mértékadó.
6. Beszállító és alvállalkozói lánc. Ha a szervezet külső szolgáltatóval semmisítteti meg az adathordozókat, a szabályzat különítse el az alábbi szerződéses és minősítési elemeket: beszállító-minősítés kritériumai (tanúsítványok, bizonylati gyakorlat, telephelyi audit lehetőség), adatfeldolgozói szerződés (DPA, GDPR 28. cikk szerint, ha a beszállító személyes adatot tartalmazó eszközt kezel), alvállalkozó előzetes engedélyezése vagy értesítése, incidensértesítési határidő, auditjog (helyszíni vagy dokumentumalapú), bizonyítékformátum (jegyzőkönyv és tanúsítvány minimumadatai), valamint a láncolt felelősség kezelése. A NIS2 általános supply chain és incidensértesítési elvárásai erős érveket adnak ezen elemek mellé, a konkrét szerződéses tartalom azonban szervezet- és beszállító-specifikus.
7. Felülvizsgálat, képzés, kivételkezelés. A szabályzat évente egyszer kötelezően felülvizsgálandó. Tartalmazzon képzési előírást (kit, milyen gyakran, milyen tartalommal), incidenskezelési kapcsolódást (mikor lép át a folyamat az IBIR-be), valamint kivételkezelési eljárást (ki és milyen feltételek mellett engedélyezhet eltérést, hogyan dokumentálódik).
Jogszabályi és szabványalapok 2026-ban
A selejtezési folyamat kritikus pillanata: az adathordozó fizikai kivezetése a rendszerből, ahonnan a chain of custody dokumentáció indul.
A szabályzat hivatkozási alapját négy forrás adja:
GDPR 5. cikk (1) f) és 32. cikk — az integritás és bizalmas jelleg alapelve, valamint a biztonsági intézkedések általános elvárása (megfelelő technikai és szervezési intézkedések). A 25. cikk (beépített és alapértelmezett adatvédelem) is releváns, ha az eszközök biztonságos törlése a tervezésbe építetten történik. Megjegyzés: a GDPR 17. cikk (érintetti törléshez való jog) önmagában nem általános selejtezési kötelezettség, hanem érintett-kezdeményezett jog — ezért a selejtezési szabályzat alapját az 5. és 32. cikk adja.
NIS2 (EU 2022/2555) irányelv 21. cikk — kockázatkezelési intézkedések ISMS-keretben. Az adathordozó-kezelés explicit nincs nevesítve, de a (2) bekezdés a) pontja („kockázatelemzési és információs rendszerek biztonságára vonatkozó szabályzatok”) és h) pontja („kriptográfia és adott esetben titkosítás alapszabályai és eljárásai”) gyakorlatilag lefedi. A NIS2 magyar átültetése külön nemzeti jogszabályban él, az operatív elvárásokat ehhez kell igazítani.
ISO/IEC 27001:2022 A.7.14 — „Secure disposal or re-use of equipment”. A kontrollhoz a Statement of Applicability-ben dokumentált eljárás és bizonyíték kell.
NIST SP 800-88 Rev.1 — Guidelines for Media Sanitization. Nem kötelező Magyarországon, de a beszállítói jegyzőkönyvek és a belső módszertan referenciaként ezt használják.
A szabályzat szövegében ezekre kifejezetten hivatkozzunk, ne csak általánosan a „vonatkozó jogszabályokra”. Audit során a hivatkozás konkrétsága az első kérdés. A tipikus auditori kérdezési logika négy szintű: kockázatértékelés → kontroll alkalmazhatósága a Statement of Applicability-ben → dokumentált eljárás → végrehajtási bizonyíték. A szabályzat ennek a négyszintű nyomvonalnak a harmadik eleme — bizonyíték nélkül önmagában kevés, kockázatértékelési lehorgonyzás nélkül lebeg.
Érdemes a selejtezési szabályzatot a business continuity tervezéssel is összehangolni. Az ISO 27001:2022 két szomszédos kontrollja kapcsolódik: az A.5.29 az „information security during disruption” (információbiztonság zavarhelyzetben), az A.5.30 pedig az „ICT readiness for business continuity” (ICT-felkészültség az üzletmenet-folytonosságra). Ezek keretében a tartalékként megőrzött eszköz és a selejtezésre váró eszköz tudatos megkülönböztetése elvárás. Egy DR-teszt során kivett tartalék gép, amely utána a selejtezési sorba kerül, dokumentált átminősítést igényel.
Audit szempontból gyakran bukó pontok
Tapasztalati alapon — belső auditok és tanúsítási megújítások visszatérő megállapításai alapján — három területen bukik el leggyakrabban a szabályzat:
Hatály alól kicsúszó eszközök. A leggyakoribb: BYOD telefonok, lízing visszaadás előtti adattörlés dokumentálatlansága, illetve a 6–18 hónapja raktározott tartalék gépek („majd lesz vele valami”) kategóriája. A szabályzatban ezeknek külön bekezdés jár.
Hiányos chain of custody. A megsemmisítési tanúsítvány önmagában nem elég, ha az átadás és a végső megsemmisítés között eltelt napokat senki nem dokumentálta. Az auditor jellemzően egy random kiválasztott eszköznél kéri végigkövetni a folyamatot az állományi nyilvántartástól a tanúsítványig.
Beszállítói szerződés gyengeségei. Ha a szabályzat előírja az alvállalkozói lánc dokumentálását, de a szerződésben erre vonatkozó audit jog vagy értesítési kötelezettség nincs, az ellentmondást az auditor jelzi.
Egy belső önaudit, amely ezt a három területet külön ellenőrzi, jellemzően több hibát talál, mint a fő selejtezési folyamat technikai részletei.
Mikor érdemes átírni a szabályzatot?
Konkrét triggerek 2026-ban:
ISO 27001 átállás 2013 → 2022 verzióra. Ha a szervezet tanúsítványa még a 2013-as kontroll-rendszerre épül, a megújításnál az A.7.14 új struktúrája kötelezi az átírást.
NIS2 hatálya alá kerülés. Ha a szervezet 2024–2025-ben került hatály alá (új ágazati besorolás vagy méretváltozás miatt), a meglévő szabályzat valószínűleg nem fedi a vezetői felelősség és a beszállító-felügyelet új elvárásait.
Nagyobb eszközcsere program. Egy laptop- vagy szerverpark cseréje előtt a szabályzat felülvizsgálata olcsóbb, mint utólag rekonstruálni a chain of custody-t.
Incidens vagy közeli incidens. Ha az elmúlt 12 hónapban előfordult olyan eset, amikor egy raktározott vagy átadott eszközön talált adat miatt belső vizsgálat indult, a szabályzat ráadásul teszteltség-bizonyítékként is kell.
A szabályzat átírása önmagában 2–4 hét munkája a folyamatok komplexitásától függően. Ennek többszörösét teszi ki a hozzá tartozó eszközleltár-tisztítás és a beszállítói szerződések felülvizsgálata, amely a tényleges átfutási idő gerincét adja. Ha külső szakértői támogatást keresel a megsemmisítési folyamat és a kapcsolódó dokumentáció kialakításához, kérj ajánlatot egy átvilágítási és tanúsítható megsemmisítési csomagra.
Gyakori kérdések
Kötelező-e külön IT eszköz selejtezési szabályzat 2026-ban?
Magyar jogszabály nem nevesíti külön kötelezőként, de az ISO/IEC 27001:2022 A.7.14 kontroll dokumentált eljárást vár el, és NIS2 hatály alatt a kockázatkezelési intézkedések alátámasztása is dokumentált belső szabályozást igényel. A gyakorlatban audit szinten kötelező.
Mi a különbség az adatkezelési szabályzat és az IT eszköz selejtezési szabályzat között?
Az adatkezelési szabályzat az adatok jogalapját, kezelési céljait és érintetti jogokat szabályozza. Az IT eszköz selejtezési szabályzat az eszközök életciklusának végén a fizikai és logikai folyamatot, a felelősöket és a dokumentációt írja le. A kettő egymásra hivatkozik, de nem helyettesíti egymást.
Ki a felelős a selejtezési szabályzat betartásáért NIS2 alatt?
A NIS2 irányelv (EU 2022/2555) és annak magyar átültetése keretében a felső vezetés személyes felelőssége a kockázatkezelési intézkedések megléte és érvényesülése. Az operatív végrehajtás jellemzően az IT vezető, a független ellenőrzés a belső auditor, a folyamatos megfelelőség-figyelés a compliance vagy adatvédelmi tisztviselő hatáskörébe esik.
Milyen jegyzőkönyv kötelező egy adathordozó megsemmisítéséről?
Általános szabványkövetelmény nincs a jegyzőkönyv pontos formájára, de az audit-elvárt minimumtartalom: a tétel egyedi azonosítói (sorozatszám, leltári szám), a megsemmisítés módja és minősítése (Clear/Purge/Destroy), dátum, helyszín, a végrehajtó megnevezése, valamint — ha a belső szabályzat vagy a beszállítói szerződés előírja — kísérő/ellenőrző fél vagy tanú megjelölése. Beszállítónál az alvállalkozói lánc visszakövethetőségét is biztosítani kell.
Hogyan kezeli a szabályzat a BYOD-eszközöket?
A szabályzatnak rendelkeznie kell az olyan eszközök adattörlési és kivonási folyamatáról, amelyek munkavállalói tulajdonban vannak, de céges adatot tárolnak. Tipikus megoldás: MDM-alapú remote wipe a munkaviszony megszűnésekor, dokumentált igazolás a folyamat lefutásáról, és érintetti tájékoztatás. A szabályzat térjen ki arra is, mi a teendő, ha a remote wipe nem érvényesíthető (eszköz offline, elveszett, vagy a felhasználó nem működik együtt) — ilyenkor incidenskezelési és adatvédelmi kockázatértékelési folyamat indul; NAIH és érintetti bejelentés akkor szükséges, ha a GDPR szerinti kockázati küszöb teljesül.
Évente hányszor kell felülvizsgálni a szabályzatot?
Minimum évente egyszer, valamint minden olyan eseménynél, amely érdemben befolyásolja a folyamatot: jogszabályváltozás, ISMS audit megállapítás, jelentős eszközcsere, beszállítóváltás, vagy adathordozóval kapcsolatos biztonsági incidens.
Külső források
ISO/IEC 27001:2022 — Az információbiztonsági irányítási rendszer szabványa, az A.7.14 kontroll explicit eljárást vár el az eszközök biztonságos selejtezésére.
Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — Az 5. cikk (1) f) (integritás és bizalmas jelleg), a 25. cikk (beépített és alapértelmezett adatvédelem), a 32. cikk (az adatkezelés biztonsága) és a 28. cikk (adatfeldolgozóra vonatkozó követelmények) közvetlenül kapcsolódik a selejtezési folyamat jogalapjához.
