GDPR adatok törlése a gyakorlatban: mit jelent ez a szervezetek számára?
A GDPR adatok törlése kötelezettség – más elnevezéssel a törléshez való jog (más nevén az „elfeledtetéshez való jog”) – a 2016/679 számú EU rendelet 17. cikke alapján kötelezi az adatkezelőket arra, hogy az érintett kérésére vagy meghatározott feltételek bekövetkeztekor a személyes adatokat visszafordíthatatlanul töröljék. A kötelezettség teljesítése nem pusztán jogi, hanem technikai kérdés is: egy hagyományos fájltörlés nem megsemmisíti az adatot, csupán a hivatkozást törli, az adat fizikailag visszaállítható marad. A GDPR szerint a személyes adatok törlése akkor igazolható auditbiztosan, ha visszafordíthatatlan és dokumentált eljárással történik – jellemzően minősített szoftveres adattörléssel vagy fizikai megsemmisítéssel. A datad.hu szolgáltatása lehetővé teszi, hogy a szervezetek a törléshez való jogot és a GDPR adatok törlésére vonatkozó kötelezettségét tanúsítvánnyal alátámasztott eljárásrend szerint teljesítsék.
Legfontosabb megállapítások:
A GDPR adatok törlésére vonatkozó kötelezettség nem teljesíthető operációs rendszer szintű fájltörléssel – a személyes adatok fizikailag visszaállíthatók maradnak.
A törlés tényét és módszerét dokumentálni kell: a bizonyíthatóság (pl. selejtezési tanúsítvány) az adatkezelő felelőssége, és hatósági vizsgálat esetén is elvárható.
Szoftveres minősített adattörlés és fizikai megsemmisítés egyaránt megfelel a GDPR elvárásainak, ha az eljárás a NIST SP 800-88 Rev. 2 szabványnak megfelelő és auditálható.
Mit jelent a GDPR adatok törlése kötelezettség a szabályozásban?
A GDPR adatok törlése – más szóhasználattal a törléshez való jog vagy az elfeledtetéshez való jog – az érintett személy egyik alapvető joga a 2016/679 számú Általános Adatvédelmi Rendelet keretei között. A GDPR 17. cikke alapján az érintett bizonyos feltételek fennállása esetén kérheti személyes adatainak törlését, az adatkezelő pedig köteles ezt indokolatlan késedelem nélkül végrehajtani.
A leggyakoribb helyzetek, amikor az érintetti törlési kérés jogszerű:
Az adatokat az eredeti adatkezelési célhoz már nem szükséges tárolni.
Az érintett visszavonja a hozzájárulását, és nincs más jogalapja az adatkezelésnek.
Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek.
Az adatokat jogellenesen kezelték.
Fontos hangsúlyozni, hogy a törlési jog nem korlátlan: a GDPR 17. cikke maga is felsorol kivételeket, amelyek fennállása esetén az adatkezelő megtagadhatja vagy elhalaszthatja a személyes adatok törlését. Ilyen eset például a jogi kötelezettség teljesítése, a közérdekű feladat ellátása vagy jogi igények előterjesztése és védelme.
A szabályozás az adatminimalizálás elvét is rögzíti: az adatokat csak annyi ideig szabad tárolni, amennyire a kezelés célja indokolja. A GDPR 5. cikke (tárolás korlátozásának elve) szoros kapcsolatban áll az adatok törlésére vonatkozó kötelezettséggel – a megőrzési idők lejártakor az adatkezelőnek proaktívan kell gondoskodnia a törlésről, nem csupán érintetti kérésre.
Mikor kell ténylegesen törölni a személyes adatokat? Megőrzési idők és kötelező esetek
A szervezetek adatkezelési gyakorlatában két alapvető törlési kötelezettség-típus különíthető el.
Érintetti kérés alapján: Az érintett explicit törlési kérelmet nyújt be. Az adatkezelőnek rövid, jogszabályban meghatározott határidőn belül választ kell adnia, és – ha a kérelem jogos – a GDPR adatok törlését végre kell hajtania.
Automatikus törlés, megőrzési idők lejártakor: Számos jogszabály írja elő, hogy adott kategóriájú személyes adatot meghatározott ideig meg kell őrizni – például munkaügyi iratok, bérszámfejtési adatok, egészségügyi nyilvántartások esetén. Az előírt megőrzési idő elteltével az adatkezelő köteles a személyes adatok törlését elvégezni, különben jogellenesen kezeli azokat.
A szervezeteknek tehát nem elegendő reaktívan – csak érintetti kérés esetén – törölni. A proaktív adatkezelési rendnek részét kell képeznie egy belső törlési menetrendnek, amely nyomon követi az egyes adatkategóriák megőrzési idejét, és automatikusan jelzi a törlési kötelezettség beálltát.
A GDPR adatok törlése kötelezettség az összes érintett rendszerre vonatkozik: elsődleges adatbázisok, biztonsági mentések, archiválási rendszerek, e-mail szerverek, felhőszolgáltatások, munkatársak végponti eszközei – beleértve a lecserélt, selejtezésre váró hardvereszközöket is. A biztonsági mentések és archívumok esetében a törlés nem mindig jelent azonnali fizikai felülírást: ahol ez technikailag nem arányos, jogszerű megoldás lehet az adat izolálása és a mentési rotáció során történő kivezetése, azzal a feltétellel, hogy egy esetleges visszaállításkor (restore) az érintett adat ismételten törlésre kerül. A lényeg, hogy a folyamat dokumentált és visszakövethető legyen.
A törlés technikai valósága: miért nem elég a fájl törlése?
Merevlemez fizikai megsemmisítése ipari présben — a bizonyíthatóan visszahozhatatlan adatmegsemmisítés
Ez az a pont, ahol a jogi és a technikai valóság leggyakrabban ütközik. Sok szervezet tévesen azonosítja a GDPR törléshez való jog kötelezettségének teljesítését azzal, hogy az adatokat a Lomtárba helyezi, majd kiüríti, vagy újraformázza a merevlemezt.
A hagyományos fájltörlés működési mechanizmusa: Az operációs rendszer törlés esetén nem írja felül a tárolóeszközön lévő adatblokkokat. Mindössze a fájlrendszer-bejegyzést – a hivatkozást – szünteti meg, és az érintett területeket szabadként jelöli meg. Az adatok fizikailag változatlanul az eszközön maradnak mindaddig, amíg az operációs rendszer véletlenszerűen felül nem írja azokat. Ingyenesen elérhető adat-visszaállító szoftverekkel ezek az adatok percek alatt visszanyerhetők.
A formázás sem jelent megoldást: Gyors formázás esetén az operációs rendszer hasonló megközelítést alkalmaz: a fájlrendszer-táblázatot törli, de az adatokat nem írja felül. Teljes formázásnál valóban sor kerül felülírásra, de ez sem feltétlenül elégséges minden tároló típusnál – és nem eredményez auditálható, dokumentált eljárást.
SSD és flash alapú tárolók sajátossága: A szilárdtestalapú tárolóknál (SSD, NVMe, flash memória) az adattörlés technikailag összetettebb kérdés. A wear-leveling (kopáskiegyenlítő) algoritmusok és az over-provisioning területek miatt az egyes adatblokkok közvetlen fizikai felülírása nem lehetséges az operációs rendszer szintjén. Az ATA Secure Erase parancs vagy a gyártói törlési eszközök adekvát megoldást kínálhatnak bizonyos esetekben, de hatékonyságuk a firmware-implementációtól függ.
A visszaállíthatóság kockázata: Ha a szervezet fizikailag selejtez egy végponti eszközt (laptop, asztali számítógép, szerver), és az eszközön személyes adatok találhatók, a nem megfelelő törlés adatvédelmi incidenst okozhat. A GDPR 33. cikke alapján az adatvédelmi incidenseket a felügyeleti hatóságnak 72 órán belül be kell jelenteni – és ez az adatkezelő bizonyítási kötelezettségével jár.
Auditbiztos törlés és a bizonyíthatóság: hogyan kell GDPR szerint törölni?
A GDPR egyik sarokköve az elszámoltathatóság elve: az adatkezelő nemcsak köteles betartani a szabályokat, hanem be is kell tudnia bizonyítani, hogy betartja azokat. Ez a GDPR adatok törlése vonatkozásában azt jelenti, hogy a szervezetnek dokumentálnia kell: mikor, milyen adatokat, milyen módszerrel törölt.
Selejtezési tanúsítvány és törlési dokumentáció: Minősített adattörlési szolgáltatók minden elvégzett törlési feladathoz dokumentációt állítanak ki, amely tartalmazza:
Az érintett eszközök azonosítóit (sorozatszám, típus)
Az alkalmazott törlési módszer megnevezését és szabványát
A törlés elvégzésének dátumát és körülményeit
Az elvégző személy vagy szervezet adatait
Ez a dokumentáció az adatkezelő bizonyítási kötelezettségét teljesíti. Adatvédelmi hatósági vizsgálat esetén a tanúsítvány igazolja, hogy a szervezet megfelelő intézkedéseket hozott a személyes adatok törlése terén.
Minősített szoftveres adattörlés: A nemzetközi szabványoknak megfelelő szoftveres törlési módszer – a NIST SP 800-88 Rev. 2 (a hatályos verzió, amely 2025 szeptemberében jelent meg és felváltotta a Rev. 1-et) Clear/Purge/Destroy szintrendszere alapján – felülírja a tárolóterületet, így a személyes adatok visszaállíthatatlanná válnak. A folyamatot automatikusan naplózza, eszközönként ellenőrző adat keletkezik, és tanúsítvány állítható ki.
Fizikai megsemmisítés: Ha az eszköz meghibásodott, vagy a szoftveres törlés nem kivitelezhető (pl. sérült firmware, nem olvasható tároló), a fizikai megsemmisítés az egyetlen visszafordíthatatlan megoldás. Az ipari aprítók (shredderek) a tárolóeszközöket mechanikusan aprítják olyan mértékben, hogy az adatok fizikailag nem állíthatók vissza. A folyamathoz szintén tanúsítvány kapcsolódik.
Melyik módszer mikor alkalmas a GDPR adatok törlésére? A döntés nem kizárólag technikai, hanem kockázatalapú szempontokat is figyelembe vesz:
Működőképes, fizikailag ép eszközök esetén a minősített szoftveres törlés hatékony és gazdaságos.
Meghibásodott, olvashatatlan vagy fizikailag sérült eszközök esetén csak a fizikai megsemmisítés garantálja a visszafordíthatatlan személyes adatok törlését.
Különleges biztonsági besorolású adatok (pl. egészségügyi, pénzügyi) esetén egyes szabályzatok a fizikai megsemmisítést írják elő.
Ha szervezete rendszeresen cserél hardvert, az adatmegsemmisítéssel kapcsolatos kérdések megválaszolásához érdemes tanúsított szolgáltatóhoz fordulni.
Vállalati folyamat: hogyan teljesíthető a GDPR törlési kötelezettség rendszerszinten?
A GDPR adatok törlésére vonatkozó kötelezettség teljesítése nem egyszeri feladat, hanem folyamat, amelyet a szervezet adatkezelési rendjébe kell integrálni.
Adatkataszter és megőrzési mátrix kialakítása: Az első lépés annak feltérképezése, hogy a szervezet milyen személyes adatokat kezel, hol tárolja azokat, és mi a jogalapja, illetve megőrzési ideje az egyes adatkategóriáknak. E nélkül a GDPR törlési kötelezettség teljesítése esetleges és nem dokumentálható.
Törlési folyamat kialakítása az érintetti kérelmekre: Az adatkezelőnek belső eljárást kell kidolgoznia arra az esetre, ha érintetti törlési kérelmet kap: ki a felelős az elbírálásért, milyen rendszerekből kell a személyes adatokat törölni, hogyan dokumentálják a folyamatot, és hogyan értesítik az érintettet.
Hardver selejtezési eljárásrend: Minden szervezetnek rendelkeznie kell egy eszköz-selejtezési eljárással, amely meghatározza, hogyan kell kezelni a kivont eszközöket. Az eljárásnak részét képezi: ki jogosult selejtezni, milyen dokumentáció szükséges, és ki végzi el a minősített törlést vagy megsemmisítést. A törlési tanúsítvány és a törlési jegyzőkönyv az adatkezelő adatvédelmi dokumentációjának részévé válik.
Alvállalkozók és adatfeldolgozók kezelése: Ha a szervezet külső adatfeldolgozókat alkalmaz (pl. felhőszolgáltatókat), gondoskodnia kell arról, hogy a GDPR adatok törlése kötelezettség rájuk is kiterjedjen. Az adatfeldolgozói szerződésnek egyértelműen kell rendelkeznie a törlési eljárásokról.
Rendszeres felülvizsgálat: Az adatkezelési menetrend nem statikus dokumentum. A szervezeteknek rendszeresen felül kell vizsgálniuk az adatkatasztert, a megőrzési mátrixot és a selejtezési eljárásokat – különösen szervezeti változások, rendszerváltások vagy jogszabálymódosítások esetén.
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) gyakorlatában a törlési kötelezettség tényleges teljesítése és a kapcsolódó dokumentáció megléte egyaránt fontos szempont — a megfelelő bizonyíthatóság ezért nem formalitás, hanem érdemi compliance-kérdés.
Gyakori kérdések
Mit jelent pontosan a GDPR törléshez való jog?
A GDPR 17. cikke szerinti törléshez való jog – más nevén az elfeledtetéshez való jog – lehetővé teszi az érintett személyek számára, hogy kérjék személyes adataik törlését, ha az adatkezelés jogalapja megszűnt, az adatokat az eredeti célhoz már nem szükséges tárolni, vagy az adatkezelés jogellenes volt. Az adatkezelőnek indokolatlan késedelem nélkül kell teljesítenie a kérelmet, kivéve ha a szabályozásban foglalt kivételek állnak fenn.
Hogyan kell GDPR szerint törölni a személyes adatokat?
A GDPR szerint a személyes adatok törlése visszafordíthatatlan folyamatot jelent: az operációs rendszer szintű fájltörlés vagy formázás nem elegendő, mert az adatok fizikailag visszaállíthatók maradnak. Auditbiztos, jól dokumentálható GDPR-megfelelő törléshez jellemzően minősített szoftveres adattörlés (pl. NIST SP 800-88 Rev. 2 alapján) vagy fizikai megsemmisítés alkalmazható, amelyről selejtezési tanúsítvány keletkezik. A tanúsítvány igazolja a törlés tényét hatósági vizsgálat esetén is.
Elegendő-e a fájl kukába helyezése és a Lomtár kiürítése a GDPR törlési kötelezettség teljesítéséhez?
Nem. A hagyományos fájltörlés csak a fájlrendszer-hivatkozást szünteti meg, a személyes adatok fizikailag az eszközön maradnak és ingyenes szoftverekkel visszaállíthatók. A GDPR adatok törlésére vonatkozó elvárás visszafordíthatatlan adatmegsemmisítést jelent, amelyhez jellemzően minősített szoftveres felülírás vagy fizikai megsemmisítés alkalmazható.
Mikor kötelező proaktívan törölni a személyes adatokat, érintetti kérelem nélkül is?
Amikor a megőrzési idő lejár: ha egy adatkategóriához jogszabály vagy belső szabályzat megőrzési határidőt rendel, és az lejárt, az adatkezelő köteles a személyes adatokat törölni. Szintén kötelező a törlés, ha az adatkezelés jogalapja – például hozzájárulás – megszűnt, és más jogalap nem támasztja alá a további tárolást.
Hogyan kell dokumentálni a GDPR adatok törlését?
Az adatkezelő számára a bizonyíthatóság törvényi kötelezettség. Minősített adattörlés esetén az elvégző szervezet selejtezési tanúsítványt állít ki, amely tartalmazza az eszközök azonosítóit, az alkalmazott törlési módszert és a törlés dátumát. Ezt törlési tanúsítvány és törlési dokumentáció formájában kell megőrizni – ez az adatvédelmi hatósági vizsgálat esetén is bizonyítékként szolgál.
Mi a különbség a szoftveres adattörlés és a fizikai megsemmisítés között a GDPR szempontjából?
Mindkét módszer megfelelhet a GDPR adatok törlésére vonatkozó elvárásainak, ha az eljárás visszafordíthatatlan és dokumentált. Szoftveres törlés működőképes eszközöknél alkalmazható; fizikai megsemmisítés meghibásodott eszközöknél vagy különösen érzékeny adatoknál indokolt. Fontos, hogy a kötelezettség az összes tárolási helyre kiterjed, ahol az érintett adatai megtalálhatók – beleértve a biztonsági mentéseket, archívumokat és felhőszolgáltatásokat is. A választást a kockázatelemzés és az adott eszköz állapota határozza meg.
Adattörlési tanúsítvány és selejtezési jegyzőkönyv: milyen igazolást kérjen be a cég a szolgáltatótól?
Az adattörlési tanúsítvány és a selejtezési jegyzőkönyv az adatkezelő GDPR-elszámoltathatóságának (5. cikk (2)) írásos bizonyítéka egy IT-eszköz selejtezésekor. A szolgáltatótól négy dokumentum kérhető be: szolgáltatói minőségi tanúsítványok, chain of custody (őrzési lánc), eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv, és sorozatszámos eszközlista. Hatósági ellenőrzés vagy biztosítási kárrendezés esetén ezek nélkül jelentősen gyengül és nehezen védhető a cég igazolási pozíciója.
Legfontosabb megállapítások:
A GDPR 5. cikk (2) bekezdése az adatkezelő cég felelősségévé teszi a megfelelőség írásos igazolását — még akkor is, ha a fizikai munkát szolgáltató végezte.
Négy dokumentum bekérése audit-ready állapotot ad: szolgáltatói minősítések, chain of custody, eszközszintű tanúsítvány vagy jegyzőkönyv, sorozatszámos eszközlista.
Az eszközszintű tanúsítványnak tartalmaznia kell a sorozatszámot, az alkalmazott módszer szabványhivatkozását (pl. NIST SP 800-88), az eredményt, a végrehajtó technikus azonosítóját és a dátumot — generikus „törölve” megjegyzés nem elég.
Az írásos igazolások nélkül egy IT-eszköz selejtezésekor az „elvégeztük” állítás bizonyíthatatlan — a cég pedig nem szabadul meg az adatkezelői felelősségtől azzal, hogy átadja a notebookot vagy szervert egy szolgáltatónak. A GDPR 5. cikk (2) bekezdése szerint az adatkezelő köteles igazolni a rendelet betartását, és ez a kötelezettség a teljes életciklusra — beleértve a törlést és megsemmisítést is — vonatkozik. Egy beszerző jellemzően csak akkor szembesül ezzel, amikor az auditor a jegyzőkönyveket kéri, vagy egy adatvédelmi incidens kapcsán a NAIH visszafelé rekonstruálja az eszköz útját.
Az alábbiakban azt foglaljuk össze, melyik négy dokumentum-típust érdemes a beszerzőnek a szolgáltatótól rendre bekérnie, és mit célszerű tartalmaznia mindegyiknek ahhoz, hogy a cég GDPR-audit, ISO 27001 belső ellenőrzés vagy biztosítási kárrendezés esetén lefedett legyen.
Miért szükséges a dokumentált bizonyíték?
A GDPR több ponton is megalapozza az írásos bizonyíték iránti igényt:
5. cikk (2) — elszámoltathatóság: az adatkezelő nemcsak betartani köteles a rendeletet, hanem képesnek kell lennie e megfelelés igazolására is.
24. cikk — az adatkezelő felelőssége: olyan technikai és szervezési intézkedéseket kell foganatosítani, amelyek a kockázat szintjéhez igazítva bizonyíthatóvá teszik a megfelelőséget.
30. cikk — nyilvántartási kötelezettség: az adatkezelési tevékenységek nyilvántartásába a tervezett törlési határidők is beletartoznak — a kapcsolódó eszközszintű bizonyíték a tanúsítvány vagy jegyzőkönyv.
Ehhez társul a 32. cikk (adatbiztonság) és incidens esetén a 33. cikk (72 órás bejelentés), ahol a hatóság kérheti az eseményt megelőző védelmi intézkedések dokumentációját. Az adatfeldolgozóra (28. cikk) is csak akkor lehet hivatkozni felelősség-megosztáskor, ha a szolgáltató teljesítését írásos termékkel (jegyzőkönyv, tanúsítvány) lehet alátámasztani.
A magyar gyakorlatban a felügyeleti megközelítés szerint az adatkezelő nem hivatkozhat egyoldalúan a szolgáltatóra felelősség-mentesítésként, ha nem rendelkezik a szolgáltató teljesítését dokumentáló bizonyítékokkal. Az IT-eszközök életciklus végén történő adatkezelése tipikusan incidens-bejelentés vagy munkavállalói panasz nyomán kerül vizsgálat alá — ilyenkor a hatóságnak rendelkezésre kell tudni bocsátani a tanúsítványt, a jegyzőkönyvet vagy ezekkel egyenértékű, visszakövethető bizonyítékokat.
A párhuzamos szabályozói rétegek tovább erősítik az írásos evidencia igényét. A NIS2 21. cikk (2) bekezdése a hatálya alá eső szervezetektől supply chain security, asset management és üzletmenet-folytonosság (business continuity / disaster recovery) területén is konkrét intézkedéseket vár — a vendor adattörlési dokumentáció ennek a beszállítói kontroll-rétegnek a része. Az ISO 27001:2022 Annex A kontrolloknál a leginkább érintett pontok: A.5.20 (szállítói megállapodások információbiztonsági követelményei), A.7.14 (eszközök biztonságos újrahasználata vagy ártalmatlanítása) és A.8.10 (információ-törlés).
A négy dokumentum-típus, amit érdemes bekérni
1. Szolgáltatói minőségi és kompetencia-tanúsítványok
Az első réteg a szolgáltató általános alkalmasságát igazolja. Bekérendő — még szerződéskötés előtt:
ISO 27001 tanúsítvány (információbiztonsági irányítási rendszer) — érvényességi dátummal, scope-pal.
ISO 9001 tanúsítvány (minőségirányítás) — ha az adott szolgáltató rendelkezik vele.
Adattörlési szoftver gyártói tanúsítvány vagy partneri minősítés (pl. minősített, partneri viszonnyal igazolt használat). A Blanccohoz hasonló szoftvergyártók partneri státusza önmagában is iparági jelzés.
EN 15713 szabvány szerinti auditált eljárás — papír- és adathordozó-megsemmisítés európai standardja.
A felelősségbiztosítási kötvény másolata.
Ezek a dokumentumok nem cikkenként, hanem a szolgáltatóhoz egyszer kerülnek bekérésre, és érvényességi dátumukig hatályosak. A beszerző audit-trail mappájában együtt kell tárolni az alábbi három, eseti dokumentumtípussal.
2. Chain of custody (őrzési lánc) jegyzőkönyv
A chain of custody a szolgáltató fizikai és birtoklási láncát dokumentálja az átvételtől a megsemmisítés vagy törlés befejezéséig. Egy auditálható chain of custody jegyzőkönyv tartalmazza:
Az átvétel pontos időpontját, helyszínét és felelős személyét mindkét oldalról (átadó és átvevő aláírása).
A szállítójármű azonosítóját és a szállító technikus nevét.
Az átvett eszközök tételes listáját sorozatszám szerint (nem csak darabszámmal).
Az ideiglenes tárolás helyét és időtartamát, valamint a tároló biztonsági besorolását (zárt rakodótér, kamerás raktár stb.).
Az átadás-átvétel minden közbenső állomását, ha az eszköz több ponton áthalad.
A megsemmisítés vagy törlés helyszínén történő dokumentált beérkezést.
A chain of custody megszakítatlansága az audit során kulcskérdés: ha a sorozatszám szerinti lista nem azonos az átvételi és a megsemmisítési ponton, az értelmezhetetlenné teszi a tanúsítványt.
3. Eszközszintű adattörlési tanúsítvány vagy megsemmisítési jegyzőkönyv
Ez az a dokumentum, amit a hatósági kérdésre — „bizonyítsa, hogy a 2024-ben selejtezett laptopon megfelelően eljártunk az adattal” — a beszerző az iratokból ki tud húzni. A választást kockázatalapon érdemes meghozni: a NIST SP 800-88 r2 Clear / Purge / Destroy kategóriái közül az adatbesorolás és az adathordozó-típus dönt. Általánosító tájékozódásul: alacsony bizalmasságú adat + HDD esetén a Clear (felülírás) is elegendő lehet; bizalmas adat + SSD vagy NVMe esetén a wear-leveling és overprovisioning miatt a sima felülírás nem megbízható — Purge szinten ATA Sanitize, ATA Secure Erase, NVMe Sanitize / Format NVM secure erase setting vagy igazolt cryptographic erase alkalmazása indokolt, a gyártói implementáció és a parancs sikeres lefutásának dokumentálásával; titkos / különleges kategóriájú adatnál (GDPR 9. cikk) jellemzően Destroy szintű fizikai megsemmisítés ajánlott. A két dokumentumtípus különbözik az eljárás függvényében:
Szoftveres adattörlés esetén (működőképes adathordozó): eszközszintű adattörlési tanúsítvány. Tartalmi minimumai:
Az eszköz gyártója, modellje és sorozatszáma (nem batch-szintű, hanem darabra megnevezve).
Az adathordozó típusa (HDD/SSD/NVMe) és kapacitása.
Az alkalmazott törlési módszer szabványhivatkozással — pl. NIST SP 800-88 r2 Clear / Purge / Destroy kategória, vagy a használt szoftver belső szabványa.
Az eljárás eredménye (sikeres / hibás), és sikertelen szektor esetén a kezelési mód (újra-kísérlet, fizikai megsemmisítés).
A végrehajtó technikus azonosítója (név vagy egyértelmű azonosító).
Időpecsét és sorszám.
A használt szoftver és verziószám.
Digitális aláírás vagy manipuláció-védett pdf — papír esetén legalább cégszerű aláírás.
Fizikai megsemmisítés esetén: megsemmisítési jegyzőkönyv. Tartalmi minimumai:
Sorozatszám szerinti eszközlista.
Az alkalmazott eljárás (darálás, perforálás, demagnetizálás) és a végeredmény mérete (pl. EN 15713 szerinti H-szint, vagy DIN 66399 szerinti biztonsági szint).
A megsemmisítő berendezés azonosítója — célszerű minősített ipari adathordozó-megsemmisítőt használni, amely a megsemmisítés paramétereit (eljárás, eredmény, időpecsét) beépített logba rögzíti.
A megsemmisítés helyszíne és dátuma.
A felelős technikus aláírása vagy azonosítója.
Lehetőleg fotódokumentáció a megsemmisítés előtti és utáni állapotról.
Egy generikus „a felsorolt eszközök adattartalmát töröltük” megfogalmazás GDPR-szempontból nem ad megfelelő bizonyítékot — sem az eljárás, sem az eredmény nem visszakövethető belőle.
4. Sorozatszámos eszközlista
A negyedik dokumentum gyakran fizikailag a chain of custody melléklete, mégis külön érdemes megnevezni, mert az auditok alapja. Egy korrekt eszközlista:
Tételenként tartalmazza a gyártót, modellt, sorozatszámot (S/N) és — ahol értelmezhető — az asset tag-et.
A leltárból (CMDB vagy ITAM) generált export legyen, ne kézi újrakulcs.
Egy az egyhez egyeztethető a chain of custody átvételi és a tanúsítványok listájával.
Adattörlés és/vagy megsemmisítés mellett tartalmazza az eszköz további sorsát (újra-felhasználás, hulladékkezelés, refurbished értékesítés).
Az ITAM rendszerben a leltárból az eszközt csak akkor lehet selejt státuszra állítani, ha a tanúsítvány meg is érkezett. Ennek folyamatszintű kikényszerítése (pl. workflow szabály) jelentősen csökkenti az audit-kockázatot.
Beszerzői ellenőrzőlista a tanúsítványhoz
Mielőtt egy adattörlési tanúsítványt vagy megsemmisítési jegyzőkönyvet elfogadható minőségűnek minősít a beszerző vagy a compliance officer, érdemes az alábbi tizenkét ellenőrző pontot evidence intake checklist-ként átfutni:
Sorozatszámos adathordozó-ellenőrzés egy ITAD audit-állomáson antisztatikus padon
Szerepel-e a tanúsítványon a szolgáltató cégszerű azonosítója (név, cégjegyzékszám, székhely)?
Eszközszintű a tanúsítvány (egy eszköz = egy sorozatszám), vagy ha batch-szintű, mellékelve van sorozatszámos lista módszerrel és eredménymezőkkel?
Az eszköz gyártó-modell-sorozatszám hármasa egyezik a leltárban szereplővel?
A módszer megnevezve egy hivatkozható szabvánnyal (NIST SP 800-88 r2 Clear/Purge/Destroy, EN 15713, DIN 66399)?
A módszer választása összhangban van az adat-klasszifikációs szinttel és az adathordozó-típussal (HDD vs SSD/NVMe)?
Az eredmény státusza explicit — sikeres / hibás / részleges? Sikertelen eset esetén dokumentált a deviation handling (újra-kísérlet, fizikai megsemmisítés, eltérő sorozatszám kezelése)?
A technikus azonosítója szerepel (nemcsak „a csapat”)?
Időpecsét és sorszám beazonosíthatóan jelen van?
A dokumentum manipuláció-védett (digitális aláírás, PDF/A, vagy cégszerű papír-aláírás)?
Csatolva van-e a chain of custody ezzel egyező tartalommal?
A tanúsítványhoz tartozó felelősségbiztosítás lefedi-e az esetleges eljárási hibákat?
A beszerző oldalán van-e mintavételes másodlagos kontroll — pl. évente N% eszköz visszaellenőrzése (visszamért adatmaradvány-teszt vagy onsite audit) a szolgáltató teljesítményéről?
A pontok inkább audit-ready evidence intake szempontok, mint univerzális jogi minimumkövetelmények — a hiányzó pontoknál a beszerző és a szolgáltató közösen állapodjon meg a kockázatarányos pótlás módjáról.
Szerepkör-felelősség modell (RACI minimum a folyamat zökkenőmentes lebonyolításához): IT Asset Manager → ITAM-CMDB sorozatszám-export, fizikai átadás; Procurement → szerződéses kontroll, felelősségbiztosítás-ellenőrzés; DPO → adatkezelési nyilvántartás frissítése; CISO / belső auditor → mintavételes másodlagos kontroll, deviation review; Legal → DPA (adatfeldolgozói szerződés), alvállalkozói lánc. Kisebb szervezetnél ezek a szerepek összevonhatók, de a felelősségeknek akkor is elkülöníthetően meg kell jelenniük.
Mi történik, ha hiányos vagy hibás az igazolás?
Az írásos bizonyíték hiányának három tipikus következménye van:
GDPR-hatósági eljárás: a NAIH vizsgálatakor az adatkezelő nem tudja igazolni a 32. cikk szerinti megfelelő technikai intézkedéseket. A pénzbüntetés mértéke a rendelet 83. cikke alapján a kockázat súlyához igazodik — a felső határ 20 millió euró, vagy az előző üzleti év teljes globális éves árbevételének 4%-a, attól függően, melyik a magasabb. A gyakorlatban az arányos bírság is jelentős üzletviteli kockázat.
Belső audit hibajegy (nonconformity): ISO 27001 vagy TISAX éves audit során a megfelelőség objektív bizonyítékának hiánya minősített megállapítás. A javítási intézkedési terv és a következő audit időpontja ilyenkor szoros nyomás alá kerül.
Biztosítási kárrendezés elutasítása vagy szűkítése: kiberbiztosítások és felelősségbiztosítások kötvényfüggő módon korlátozhatják vagy kizárhatják a megfelelőség dokumentációjának hiányából eredő károkat. Egy adatvédelmi incidens utáni költségtérítés (értesítési, forenzikus és jogi költség) ilyenkor jellemzően a cég saját zsebéből megy. Konkrét határt mindig a kötvény és a brokeri ajánlás határoz meg.
A negyedik, kevésbé nyilvánvaló kockázat az üzletvitel-folytatás akadálya: ügyfél vagy partner auditok — különösen autóipari TISAX, banki / pénzügyi vendor due diligence és szabályozott egészségügyi beszállítói környezetben — elvárják az IT-selejtezés dokumentált rendjét. Egy szállítás közbeni eszközelvesztés ráadásul önmagában is GDPR 33. cikk szerinti bejelentési kötelezettséget válthat ki, ha a személyes adatok sérülése kockázatot jelent az érintettek jogaira és szabadságaira nézve — a chain of custody és a kétoldalú átvételi aláírás pontosan ezt a forgatókönyvet kezeli, mert pontosan azonosíthatóvá teszi az érintett adatkört és a felelősséget.
Mit jelent ez a beszerzői munkafolyamatra?
A gyakorlatban ez nem nagy adminisztratív teher, ha a folyamat a kezdetektől tisztán épül fel:
Szerződéskötéskor a szolgáltatótól bekért dokumentumok (ISO 27001, ADISA, felelősségbiztosítás) bekerülnek a beszerzői aktába.
Minden átadáskor a chain of custody mindkét fél részéről aláírva keletkezik — papíron vagy ellenjegyzett digitális dokumentumban.
Megsemmisítés vagy törlés után a szolgáltató szerződéses SLA szerint — célszerű 10–30 napban rögzítve — átadja az eszközszintű tanúsítványokat és a sorozatszámos eszközlistát.
Az ITAM rendszerben a tanúsítvány hivatkozási száma a leltár-rekordhoz kerül, és csak ezután állítható selejt státuszra az eszköz. Eltérés (ITAM-lista vs. szolgáltatói visszaigazolás) esetén dokumentált deviation handling folyamat indul.
A teljes csomag (szolgáltatói tanúsítvány + chain of custody + eszközszintű tanúsítvány + lista) a belső retention policy alapján együtt tárolva, a jogi, ágazati és elévülési követelményekhez igazítva — jellemzően 5–10 év, de a konkrét időtartamot a cég adatkezelési nyilvántartása rögzíti.
Hogyan kérje be ezt a négy dokumentumot a gyakorlatban?
Egy egyszerű módszer audit-ready beszerzésre: a fenti tíz pontos beszerzői ellenőrzőlistát mellékelje az ajánlatkéréshez, és kérje a szolgáltatókat, hogy mintatanúsítványon mutassák be, hogyan teljesítik az egyes pontokat. Ez még szerződéskötés előtt láthatóvá teszi, melyik szolgáltató állít elő ténylegesen audit-szintű dokumentációt, és melyik dolgozik csak generikus jegyzőkönyvvel. A datad.hu szakmai csapata audit-ready tanúsítvány-mintát, chain of custody sablont és sorozatszámos átadás-átvételi formanyomtatványt biztosít ajánlatkérés mellé — a négy dokumentum-típus tartalmi minimumait egységes csomagban lefedve.
Gyakori kérdések
Mi a különbség az adattörlési tanúsítvány és a selejtezési jegyzőkönyv között?
Az adattörlési tanúsítvány a működőképes adathordozó szoftveres törlését dokumentálja, a selejtezési vagy megsemmisítési jegyzőkönyv pedig az eszköz fizikai megsemmisítését (darálás, perforálás, demagnetizálás). Egy cég jellemzően mindkettőt használja az eszközpark állapotától függően.
Elegendő-e egy batch-szintű tanúsítvány több eszközre?
Nem ajánlott. GDPR-audit során az adatkezelőnek eszközenként kell tudnia igazolnia az elvégzett intézkedést — egy „X db SSD törlésre került” tanúsítvány a sorozatszámok hiányában nem visszakövethető. A jó gyakorlat: eszközszintű tanúsítvány, sorozatszámos lista mellékletként.
Meddig kell megőrizni az adattörlési tanúsítványt?
A megőrzési idő a kapcsolódó adatkezelési tevékenység GDPR szerinti megőrzési idejéhez igazodik, jellemzően minimum 5 évig, de bankszektorban, autóiparban vagy egészségügyben gyakran 8–10 év vagy hosszabb. Belső adatkezelési szabályzatban célszerű rögzíteni.
A felhőszolgáltató is ad adattörlési tanúsítványt a virtuális gépekről?
Néhány hyperscaler ad tanúsítvány-szerű ügyfélnyilatkozatot, de jellemzően megosztott felelősségi modellel és nem eszközszintű részletességgel. Saját adathordozó esetén (fizikai szerver, edge eszköz) a jelen cikk dokumentációs követelményei közvetlenül érvényesek.
Mit tegyek, ha a meglévő szolgáltatóm csak generikus tanúsítványt ad?
Először írásban kérje a hiányzó tartalmak pótlását (sorozatszám, módszer, technikus azonosító). Ha a szolgáltató ezt nem tudja teljesíteni, GDPR-audit szempontból kockázatos a folytatás — érdemes mérlegelni a szolgáltatóváltást, mert az adatkezelői felelősség a cégnél marad.
Milyen szabványra hivatkozhat egy minősített adattörlési tanúsítvány?
A nemzetközi gyakorlatban a NIST SP 800-88 r2 (Guidelines for Media Sanitization) a referencia, az európai megsemmisítéseknél az EN 15713 és a DIN 66399. Egy minősített eszközre épülő eljárás (pl. egy ipari adathordozó-megsemmisítő dokumentált logja) szintén elfogadható bizonyítéknak számít, amennyiben a használt módszer szabvány-mappingje a tanúsítványban szerepel.
Irodaköltözés és telephelybezárás: a rejtett adatbiztonsági kockázat a régi eszközpark
Az irodaköltözés és telephelybezárás során a régi IT eszközpark rejtett adatbiztonsági kockázatot jelent: a használaton kívüli hardver leltárról való „lecsúszása” ellenőrizetlen adatkijuttatási csatornát nyithat, miközben az érintett eszközök ügyfél-, dolgozói és üzleti adatokat tárolhatnak. A GDPR 32. cikkének kockázatarányos technikai és szervezési intézkedési kötelezettsége, a NIS2-irányelv 21. cikk (2) bekezdése (az irányelv hatálya alá tartozó szervezeteknél) és az ISO 27001:2022 vonatkozó kontrolljai (A.5.9, A.5.11, A.7.9, A.7.10, A.8.10) együttesen olyan keretet adnak, amelyből a gyakorlatban védhető kontrollként következik a dokumentált eszköznyomonkövetés és a bizonyítható adattörlés vagy megsemmisítés.
Legfontosabb megállapítások:
Az irodaköltözés és telephelybezárás kritikus pontja a régi eszközpark: a leltárról „lecsúszott” hardver dokumentálatlan csatornán távozhat a szervezetből, és ezzel az adatok feletti kontroll is megszűnik.
A GDPR 32. cikke kockázatarányos biztonsági intézkedéseket vár el az átmeneti időszakokra is; a NIS2 21. cikk (2) bekezdése — a hatálya alá tartozó szervezetekre — kockázatkezelési intézkedéseket követel meg. Mindkét keretből az ISO 27001:2022 A.7.9 (off-premises eszközök) és A.7.10 (adathordozó-kezelés) kontrolljain keresztül vezethetők le védhető operatív intézkedések.
A megoldás chain-of-custody dokumentáció és tanúsított adattörlés vagy fizikai megsemmisítés, amelyet a költöztetési projektterv részeként, nem utólag, hanem ütemezett részfeladatként végeznek el.
Az irodaköltözés és a telephelybezárás a szervezet életének két olyan eseménye, amikor a normál IT eszköz-életciklus folyamatok ideiglenesen szétesnek. A leltár stabil „ki, hol, milyen eszközt használ” képe egy néhány hetes időablakra felborul: dobozolt hardver halmozódik a folyosón, régi gépek kerülnek elő a tárolóhelyiségből, és a „majd később foglalkozunk vele” kategória néhány nap alatt naggyá duzzad. Pontosan ebben az időablakban válnak láthatatlanná azok a régi eszközök, amelyek tartalmazhatnak ügyféladatot, dolgozói adatot, üzleti titkot vagy szabályozott adatot — és pontosan ezekben a hetekben fordul elő a legtöbb dokumentálatlan adatkijuttatás.
A jelenség nem egy elszigetelt kockázat. Az európai adatvédelmi és kiberbiztonsági szabályozás kifejezetten erre az időszakra is alkalmaz követelményeket: a GDPR 32. cikke, a NIS2-irányelv 21. cikk (2) bekezdése és az ISO 27001:2022 vonatkozó kontrolljai egyértelművé teszik, hogy egy szervezet adatvédelmi felelőssége nem szünetel attól, hogy éppen átköltözik egy másik címre, vagy bezár egy telephelyet.
Miért különösen kockázatos az irodaköltözés és a telephelybezárás?
A normál IT eszköz-életciklus során minden hardvernek van gazdája, helye és státusza a leltárban. A használatból kikerült eszközöket a szervezet selejtezésre adja, és ott egy dokumentált, tanúsított folyamat végzi a tényleges adatmegsemmisítést. Egy költözés ezt a folyamatot ideiglenesen szétfeszíti négy ok miatt.
Először, a változás strukturális: az asset management napi folyamatai (átvétel, kiadás, javítás, selejtezés) egy időre háttérbe szorulnak, mert a fő figyelem a fizikai mozgáson van. Másodszor, az eszközmozgás tömeges és koncentrált — ami egy hónap alatt 5-10 eszközmozgás lenne, az most egy hét alatt akár több száz. Harmadszor, a folyamatban több, eltérő érdekű és felkészültségű szereplő vesz részt: a költöztető cég, a facility menedzsment, az IT részleg és HR. Negyedszer, a régi, már nem használt eszközök — amelyek pontosan azok, amelyek a leselejtezési csatornán kellene, hogy átmenjenek — könnyen kerülnek a „később foglalkozunk vele” zsákutcába, és onnan végül egy nyomtatott rendszerező doboz aljából bukkannak fel hónapokkal később, esetleg már a régi telephely épületgépészeti felújítása közben.
Mely eszközök kerülnek tipikusan a szürke zónába?
Egy költöztetés vagy telephelybezárás során minden hardver — minden tárolásra alkalmas hardver — kockázati elem. A gyakorlatban azonban néhány eszköztípus szisztematikusan a szürke zónába esik:
Régi laptopok és asztali gépek, amelyek már nem aktív használatban vannak, de a tárolóhelyiségben „tartalékban” pihennek
Tartalék merevlemezek és SSD-k, amelyeket meghibásodás vagy bővítés miatt cseréltek le
Hálózati eszközök (router, switch, tűzfal) konfigurációs adatokkal, amelyek a hálózati topológiát és hozzáférési mintázatokat is tárolják
Külső adathordozók (USB drive, optikai média, archiváló merevlemez), amelyeket egyszeri feladatra használtak, majd elraktak
Nyomtatók és multifunkciós eszközök, amelyek beépített háttértárolóval rendelkeznek és gyakran évek nyomtatási, szkennelési és faxálási tartalmát megőrzik
Mobil eszközök (céges telefon, tablet) BYOD vagy közös eszközből visszavett darabok
A kérdés ezeknél az eszközöknél nem az, hogy „tartalmaznak-e adatot” — hanem az, hogy a szervezet tudja-e dokumentáltan igazolni, hogy a rajtuk levő adat már nem visszaállítható, és az eszköz a felelős kezekben végzi.
GDPR 32. cikk, NIS2 21. cikk és az eszközmozgatás
A GDPR 32. cikke — „Az adatkezelés biztonsága” — előírja, hogy az adatkezelő és az adatfeldolgozó köteles a kockázat mértékének megfelelő technikai és szervezési intézkedéseket biztosítani a személyes adatok védelmére. A cikk nem ismer „költözési mentességet”: a kockázatarányos kötelezettség az átmeneti időszakokra is vonatkozik. Ha egy szervezet a költözési stresszben elveszít egy laptopot, amelyen HR-adatok vannak, az adatvédelmi incidens-helyzet — a bejelentési kötelezettséget azonban a GDPR 33. cikke szerinti kockázatértékelés alapján kell meghatározni. Egy nyílt, jelszó nélküli laptop más kockázatot képvisel, mint egy teljeskörűen titkosított, MDM-mel távolról törölhető eszköz.
A GDPR 17. cikke (a „törléshez való jog”) egy másik irányból érinti a régi eszközparkot. Ha egy érintett a költözést megelőzően kérte adatai törlését — és nem áll fenn a 17. cikk (3) bekezdés szerinti kivétel (pl. jogi kötelezettség teljesítése, közérdekű archiválási, tudományos vagy történelmi kutatási cél, vagy jogi igények előterjesztése, érvényesítése, illetve védelme) —, a szervezet a releváns aktív példányokat köteles eltávolítani. A backup retention és a jogi megőrzési kötelezettség kezelése külön, dokumentált kivételkezelési logikát igényel: egy régi laptopra mentett offline másolat, amely egy költöztetési dobozban felejtődik, ennek a kivételkezelésnek a hatókörén kívül esik — és a megőrzési helye miatt jogi értelemben problémás lehet.
A NIS2-irányelv (Európai Parlament és Tanács (EU) 2022/2555 irányelve) 21. cikk (2) bekezdése sorolja fel azokat a kockázatkezelési intézkedéseket, amelyeket az irányelv hatálya alá tartozó szervezeteknek alkalmazniuk kell. Ezek között szerepel a kockázatkezelés, az asset management és a supply chain security; a fizikai biztonsági szempontok az általános kockázatkezelési intézkedések részeként, levezetett követelményként következnek — mindhárom terület közvetlenül érintett egy költöztetés során. A NIS2 nem ír elő külön költöztetési szabályrendszert, de a folyamatos megfelelés a szervezeti változások idején is elvárás.
Fontos azonban tisztázni, hogy a NIS2 hatálya nem általános: kizárólag az úgynevezett essential entities (alapvető entitások) és important entities (fontos entitások) körébe tartozó szervezetekre vonatkozik közvetlenül, az irányelv mellékletében meghatározott szektorok és méretküszöbök szerint. A magyar átültetés a mindenkor hatályos hazai kiberbiztonsági szabályozási keretben szerepel; a szervezet pontos besorolása (essential vagy important entity) és a konkrét kötelezettségek a szektor-specifikus felügyeleti útmutatás és a hatályos jogszabály alapján határozhatók meg. A NIS2-hatály alá nem tartozó szervezeteknél a GDPR és az ISO 27001 marad az elsődleges jogi és módszertani keret — a cikkben tárgyalt eszközmozgatási követelmények azonban a GDPR 32. cikke alapján rájuk is vonatkoznak.
Az átköltöztetés vagy bezárás során bekövetkező adatvesztési esemény — például egy személyes adatot tartalmazó eszköz elveszése vagy ismeretlen kezekbe kerülése — a GDPR 33. cikke szerinti incidens-helyzet, ami 72 órán belüli bejelentési kötelezettséget keletkeztethet a felügyeleti hatóság (Magyarországon a NAIH) felé. A bejelentési kötelezettség dokumentált kockázatértékelés eredménye: titkosított és MDM-mel távolról törölhető eszköznél a kockázat — és ezzel a bejelentési kötelezettség is — más lehet, mint egy nyílt, hozzáférést nem korlátozó hardvernél. Az időablak azonban nem alkudható meg a költözési zűrzavarral, ezért is kritikus a folyamat előre megtervezett dokumentációja.
ISO 27001:2022 kontrollok a költöztetés és telephelybezárás idejére
Az ISO 27001:2022 Annex A hét kontrollja foglalkozik közvetlenül azzal a helyzettel, amikor egy IT eszköz nem a normál működési környezetében van vagy a használatból kikerül:
Pakolás közbeni pillanat: minden eszköz a maga helyén, várva a dokumentált átadásra — a chain-of-custody itt kezdődik.
A.5.9 — Inventory of information and other associated assets. A teljes selejtezési és költöztetési folyamat alapja a naprakész eszközleltár. A pre-move adatvagyon-felmérés ennek a kontrollnak a koncentrált megvalósítása: nincs olyan eszköz, amely „nincs a leltárban”, és nincs olyan leltárelem, amelynek a fizikai helye ismeretlen.
A.5.11 — Return of assets. Telephelybezárás vagy munkavállalói leválás esetén kifejezetten releváns kontroll. Minden, korábban kiadott eszköz visszavételét, állapotának dokumentálását és további sorsának (újraosztás / selejtezés) eldöntését írja elő — pontosan az a folyamat, amit egy bezárási projektnek nagy léptékben kell végrehajtania.
A.7.9 — Security of assets off-premises. Ez a kontroll pontosan a költöztetés és telephelybezárás helyzetére illik. Az „off-premises” nem csak a hazavitt notebookot fedi le, hanem a költöztető kamionba pakolt szervert is. A kontroll megköveteli, hogy az ilyen helyzetekre kifejezett védelmi intézkedéseket alkalmazzon a szervezet — fizikai őrzés, sérülésvédelem, megfelelő szállítási mód.
A.7.10 — Storage media handling. Az adathordozók kezelése a teljes életcikluson át — beleértve a megsemmisítést is — dokumentált eljárásrend szerint kell, hogy történjen. Egy költöztetés vagy bezárás ennek a kontrollnak a stressz-tesztje: kiderül, hogy a szervezet eljárásrendje skálázódik-e tömeges, koncentrált eszközmozgásra is.
A.8.10 — Information deletion. Az információ törlésére vonatkozó kontroll explicit módon kimondja, hogy a már nem szükséges adatot dokumentált módon kell törölni vagy megsemmisíteni. A „már nem szükséges” pont az a kategória, ahova az irodaköltözés során sok adat hirtelen átkerül.
A.5.29 és A.5.30 (BCM/ICT kontinuitás). Telephelybezárás esetén további szempont az üzletmenetfolytonosság: ha a bezárandó telephely a szervezet katasztrófa-helyreállítási (DR) szerepét töltötte be, vagy backup-infrastruktúrát hostolt, az A.5.29 (Information security during disruption) és A.5.30 (ICT readiness for business continuity) kontrollok megkövetelik a tervek párhuzamos átdolgozását az eszközmozgatással egy időben.
A tanúsított adattörlés és fizikai megsemmisítés szerepe
A költöztetési és bezárási folyamat kulcs kontrollpontja a tanúsított adattörlés vagy fizikai megsemmisítés időbeni elvégzése. Az amerikai NIST SP 800-88 (Guidelines for Media Sanitization) szabvány — amelyet az európai szervezetek (köztük az ENISA és a német BSI iránymutatások) is széles körben referenciaként használnak — három szintet definiál: Clear (alaptörlés, alkalmi újrahasználathoz), Purge (logikai biztonsággal nem visszaállítható, ide tartozik a kriptográfiai törlés is) és Destroy (fizikai megsemmisítés). A választás az eszközre került adat klasszifikációjától, a média típusától és a titkosítási státusztól függ.
Egy költöztetési projektben ez a választás konkrét döntést követel meg: minden leselejtezésre szánt eszközre el kell dönteni, hogy *újrahasználható* (Clear vagy Purge szintű szoftveres adattörlés után újraosztható vagy értékesíthető), vagy *megsemmisítendő* (Destroy szintű fizikai megsemmisítés, jellemzően shredding, demagnetizáció vagy zúzás). A döntés alapja az eszközön szereplő adat érzékenysége, a média típusa, a titkosítási státusz és a tervezett újrahasználati cél: egy jogi részleg magas érzékenységű laptopja jellemzően Destroy szintet indokol — ugyanakkor egy ellenőrzötten titkosított, megfelelő kulcskezeléssel rendelkező SSD esetén a Purge vagy a kriptográfiai törlés (Cryptographic Erase) is védhető döntés lehet, ha az ellenőrizhetőség dokumentált.
A folyamat végén minden eszközhöz tanúsítvány (certificate of destruction vagy certificate of data sanitization) tartozik, amely sorozatszám szerinti azonosítóval rögzíti a tényt. Ez a tanúsítvány az audit nyomvonal kulcseleme: egy későbbi GDPR-vizsgálat, NIS2-felügyeleti ellenőrzés vagy ISO 27001 belső audit során ez bizonyítja, hogy a szervezet a kötelezettségét teljesítette.
Operatív lépéssor: hogyan építsd be a folyamatba?
A költöztetés vagy telephelybezárás adatbiztonsági komponensét nem lehet utólag a folyamatra „ráragasztani”. A leghatékonyabb megközelítés ötlépcsős, és a projektterv részeként ütemezett:
Pre-move adatvagyon-felmérés. A költöztetés előtt 4-6 héttel listázzon minden IT eszközt: aktív használatban lévő, tartalék, leselejtezésre szánt. A lista minden tételhez tartalmazza az eszközazonosítót, a klasszifikációs szintet (publikus / belső / bizalmas / szigorúan bizalmas) és a tervezett sorsát (költöztetés / újraosztás / selejtezés). Egyúttal ellenőrzendő, hogy van-e olyan eszközön adat, amelyre korábban a GDPR 17. cikke szerinti törlési kérelmet logikai szinten teljesítettek (pl. CRM-ből kitörölve): az offline másolat (régi laptop, tartalék merevlemez) létezését igazolni kell, és a fizikai törlés ezeknél az eszközöknél kötelező.
Klasszifikáció és döntés. A felmérési lista alapján döntés minden tételre: költöztetjük, vagy a költözés alkalma a selejtezési pont. A leselejtezésre szánt tételeknél döntés a NIST 800-88 szint szerint: Clear / Purge / Destroy.
Chain-of-custody bevezetése. Fontos elhatárolás: minden eszközmozgatáshoz nyomonkövetés szükséges (átadás-átvétel), de tanúsított adattörlés vagy fizikai megsemmisítés csak a selejtezésre, újraosztásra vagy értékesítésre szánt eszközöknél indokolt — a normál működéshez áthelyezett, aktív hardver nem igényel sanitization-t, csak nyomonkövetést. Az átadás-átvételi jegyzőkönyv minimális tartalmi elemei: eszközazonosító (leltárszám és sorozatszám), állapot átadáskor (sérülésvizsgálat), átadó és átvevő neve és szerepköre, időpont és helyszín, az eszköz tervezett sorsa (költöztetés / selejtezés / raktározás), záró felelős személy. A jegyzőkönyv kerüljön be a szervezet adatvédelmi nyilvántartásába. Ez az ISO 27001 A.7.9 (off-premises) követelményének operatív megfelelője.
Tanúsított adattörlés vagy megsemmisítés a selejtezési listára. A költöztetés ütemezésébe építsen be egy konkrét időablakot, amikor a selejtezésre szánt eszközök tanúsított törlésen vagy megsemmisítésen mennek át — szakszolgáltató bevonásával, on-site vagy off-site, de mindenképpen sorozatszám szerinti tanúsítvánnyal.
Záró dokumentáció és leltárfrissítés. A folyamat végén a tanúsítványok bekerülnek a szervezet adatvédelmi nyilvántartásába, a leltár frissül (eszköz lezárt státusszal), és a GDPR megőrzési kötelezettsége is teljesül. A leltárfrissítés egyben az ISO 27001:2022 A.5.9 (Inventory) kontroll folyamatos naprakészségének teljesítéseként is dokumentálandó. A tanúsítványok megőrzési idejét érdemes a belső retention policy és az elévülési / követelésérvényesítési szempontok alapján meghatározni — gyakorlatban jellemzően 5-7 év (a GDPR 5. cikk (2) elszámoltathatósági elvének folyamatos bizonyíthatóságához igazítva).
A projektterv első verziójában érdemes egy rövid felelősségi mátrixot (RACI) is rögzíteni: ki az asset owner, ki dönt a Clear/Purge/Destroy szintről (jellemzően a DPO/adatvédelmi felelős és az adatgazda közös döntése a CISO bevonásával), ki hagyja jóvá a selejtezési listát, és ki zárja le a leltárt a folyamat végén.
A telephelybezárás esetén ugyanezt a logikát kell követni, néhány árnyalattal. Egy bezáráskor jellemzően magasabb a *selejtezés* aránya (mivel a cél nem új helyre vinni az eszközöket, hanem felszámolni a teljes telephely IT-állományát), és a *határidő* gyakran rugalmatlanabb (épület átadás, bérleti szerződés vége). Ez fokozza a „majd később foglalkozunk vele” csapdájának kockázatát — ezért a tanúsított törlési és megsemmisítési kapacitás biztosítását még korábban érdemes lekötni.
Gyakori kérdések
Mi a különbség leselejtezés és költöztetés között adatvédelmi szempontból?
A költöztetés egy meglévő, használatban lévő eszköz fizikai áthelyezése egy másik helyszínre, a tárolt adatokkal együtt — itt a kockázat a szállítás közbeni elvesztés vagy sérülés. A leselejtezés egy eszköz végleges kivonása a használatból, ami GDPR és ISO 27001 értelmében dokumentált adattörlési vagy megsemmisítési kötelezettséget keletkeztet. A költöztetés alkalmával gyakran derül ki, hogy egy „tartalék” eszköz valójában leselejtezésre vár — ezt a pillanatot érdemes formálissá tenni.
Kell-e jegyzőkönyvet vezetni a költöztetett IT eszközökről?
Igen. Az ISO 27001:2022 A.7.9 (off-premises eszközök biztonsága) és A.7.10 (adathordozó-kezelés) kontrolljai dokumentált eljárásrendet írnak elő. A GDPR 32. cikke (megfelelő technikai és szervezési intézkedések kötelezettsége) és az 5. cikk (2) bekezdése (elszámoltathatósági elv) egyaránt megköveteli, hogy a szervezet tudja igazolni az intézkedéseit. A gyakorlatban ez chain-of-custody jegyzőkönyvet jelent: minden eszközmozgáshoz aláírt átadás-átvétel.
Mit tegyek a telephelybezárás után fennmaradó régi eszközökkel?
A bezárási projekt utolsó fázisaként minden, használatban már nem lévő IT eszközt formálisan selejtezésre kell venni, klasszifikálni az adattartalom alapján, és a NIST SP 800-88 szerinti megfelelő szintet (Clear / Purge / Destroy) alkalmazni rá. Ezt szakszolgáltató tudja sorozatszám szerinti tanúsítvánnyal igazolni, ami a későbbi audit nyomvonal alapja lesz. Időablakot a bezárás előtti utolsó 2-4 hétre érdemes tervezni.
Bízhatom a költöztető cégre az adatvédelmet?
A költöztető cég a fizikai szállítás biztonságáért felel, de az adatvédelmi felelősség az adatkezelőnél marad (GDPR 24. cikk). A GDPR 28. cikke szerinti adatfeldolgozói szerződés (DPA) akkor szükséges, ha a szolgáltató ténylegesen személyesadat-kezelési műveletet végez — például hozzáfér a hardveren tárolt adathoz. Tisztán zárt, lezárt, hozzáférés nélküli eszközszállítás esetén a védhetőbb keret jellemzően a biztonsági szerződéses melléklet: NDA, plombázott szállítóeszköz, chain-of-custody kötelezettségek, kétszereplős átadás-átvétel. A minősítés a tényleges adatkezelési művelet alapján történik, nem önmagában a szállítás ténye alapján. A költöztetéskor használt eszközöket — különösen a tárolásra alkalmasakat — érdemes a költöztető csomagolása ELŐTT klasszifikálni, és a magas érzékenységű elemeket vagy elkülönítetten szállítani, vagy még a költözés előtt tanúsított adattörlésen átvinni.
Hogyan kapcsolódik a GDPR 17. cikke az irodaköltözéshez?
A GDPR 17. cikke (törléshez való jog) értelmében ha egy érintett kérte az adatai törlését, a szervezet a releváns aktív példányokat — a 17. cikk (3) bekezdés szerinti kivételek (pl. jogi megőrzési kötelezettség, közérdekű archiválási cél, jogi igények előterjesztése vagy érvényesítése) figyelembevételével — köteles eltávolítani. A backup retention és a litigation hold külön, dokumentált kivételkezelési logikát igényel. Ha a logikai törlést elvégezték (CRM, központi rendszerek), de egy régi laptop offline másolata egy költöztetési dobozban felejtődik — és a fájlra nem vonatkozik dokumentált kivétel —, a kötelezettség jogi értelemben nem teljesült. Az irodaköltözés egy alkalom, amikor érdemes a pre-move adatvagyon-felmérés részeként ellenőrizni: van-e olyan régi eszközön adat, amelynek logikai szinten már törölve kellene lennie.
Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?
A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:
A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.
Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.
A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.
A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.
Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.
Mi a különbség a három fogalom között?
A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.
Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.
Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.
Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.
Miért nem törlés a formázás?
A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.
A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.
A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.
Gyári visszaállítás: mikor működik, mikor nem
A „factory reset” hatása az eszköz típusától és életkorától függ.
Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.
SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.
Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.
Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.
A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.
Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás
A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.
A folyamat lényege négy lépés:
Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.
Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.
Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.
Gyári visszaállítás vs adattörlés: mikor melyik elég?
A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.
Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.
Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.
Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.
Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.
A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e adattörlési tanúsítvány vagy selejtezési jegyzőkönyv„. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.
Compliance kontextus: GDPR, NIS2, ISO 27001
Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.
GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.
NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.
ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.
Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.
A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.
Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.
Vezetői cselekvési pontok
A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:
Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?
Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.
Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.
A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.
Gyakori kérdések
Vissza lehet állítani egy formázott merevlemezről az adatokat?
Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.
A gyári visszaállítás SSD-n elég biztonságos?
Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.
Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?
A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.
Kell-e jegyzőkönyv a vállalati eszközök törléséről?
Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.
Mit ad többletként a tanúsított szoftveres adattörlés?
Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.
IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?
Az IT eszköz selejtezési szabályzat egy belső szabályozó dokumentum, amely az informatikai eszközök és adathordozók életciklusának végén a biztonságos kivonást, adatmegsemmisítést és dokumentált lezárást írja le. 2026-ban a szabályzat tartalmát három forrás határozza meg: a GDPR (5., 32. cikk) adatbiztonsági alapelvei, a NIS2 (EU 2022/2555) irányelv ISMS-elvárásai (Magyarországon nemzeti átültetéssel), valamint az ISO/IEC 27001:2022 A.7.14 kontroll, amely a Physical controls témakörében az eszközök biztonságos selejtezését szabályozza. A szabályzat nélkül a megfelelőségi audit során az adathordozó-kezelés rendre az első hibatípusok közé kerül.
Legfontosabb megállapítások:
2026-ban egy IT eszköz selejtezési szabályzatnak ki kell terjednie minden adathordozóra, beleértve a mobiltelefonokat, hálózati eszközök perzisztens memóriáját és a leszerelt szerverek SSD-it is.
A szabályzat akkor működik, ha minden selejtezett tételhez chain of custody dokumentáció és megsemmisítési jegyzőkönyv tartozik, beszállító esetén pedig az alvállalkozói lánc is leírt.
Az auditok döntő többsége nem a megsemmisítés módszerét, hanem a dokumentáció hiányát és a hatály alól kicsúszó eszközöket (BYOD, lízingelt gép, raktározott tartalék) kifogásolja.
A magyar adatvédelmi hatósági gyakorlatban és a NAIH éves beszámolóiban visszatérő tanulság, hogy a nem aktív, leselejtezett, raktározott vagy elhagyott IT eszközök adatvédelmi kockázatot jelentenek — a kapcsolódó incidensek nem rendszerüzemeltetési, hanem életciklus-záró folyamati hiányosságokból fakadnak. Ezzel párhuzamosan az ISO 27001 2022-es revíziója önálló kontrollt rendelt a témához (A.7.14), a NIS2 pedig olyan kockázatkezelési intézkedéseket vár el, amelyekbe az eszközök életciklusa szervesen beletartozik. Ezek után 2026-ban egy szervezet — különösen, ha NIS2 hatálya alá tartozik vagy ISO 27001-tanúsított — nem támaszkodhat egy 4–5 éves selejtezési „eljárásrendre”. Konkrét tartalmi minimum kell.
Miért nem elég egy 2020-as szabályzat 2026-ban?
A legtöbb hatályos belső selejtezési szabályzat a 2017–2020 közötti GDPR-felkészülés idején született. Ezek jellemzően három pontot kezeltek: az adathordozó típusát, a megsemmisítés módját és a beszállító kijelölését. Az azóta eltelt időben három dolog változott:
Az eszközpark szerkezete átalakult. A vállalati flotta jelentős részében már SSD és NVMe meghajtók találhatók, a hagyományos winchesterek aránya csökken. Az SSD-knél az „alacsony szintű formázás” nem törlés — a wear leveling és a tartalék blokkok miatt csak kriptografikus törlés vagy fizikai megsemmisítés ad megfelelő bizonyosságot. A 2020-as szabályzatok többsége erre nincs felkészítve.
Az ISO/IEC 27001 megújult. A 2022-es verzió önálló kontrollként emeli ki az „eszközök biztonságos selejtezését vagy újrahasznosítását” (A.7.14), ami a 4 témaköri csoportból (organizational, people, physical, technological) a Physical controls (7-es csoport) része. Tartalmilag a 2013-as A.11.2.7 követelményével lényegében azonos, de a Statement of Applicability-ben (SoA) önálló kontrollként jelenik meg, ami az audit gyakorlatban explicit dokumentálási és bizonyítási kötelezettséget jelent.
A NIS2 keretében a felső vezetés személyes felelősségi köre kiterjed az ISMS-szintű kontrollok meglétére. Ha a kockázatértékelésben az adathordozó-megsemmisítés szerepel kontrollként, akkor azt dokumentált eljárással kell alátámasztani.
Egy 2020-as szabályzat ezeket a változásokat ritkán tudja követni egyszerű foltozással. Egy-két új bekezdés beillesztése formailag dokumentmódosításnak minősül, de tartalmi szinten ritkán fedi le az új kontroll-elvárásokat — auditori kérdésre a hatásvizsgálat és a verziókövetett struktúra hiánya jellemzően kiderül.
A kötelező tartalmi minimum: hét auditálható blokk
Az alábbi hét tartalmi blokkot egy 2026-os IT eszköz selejtezési szabályzatnak mind érdemes lefednie. Hiányzó blokk tipikusan auditori kérdést vagy megállapítást eredményez — a kontroll alkalmazhatóságát és bizonyíthatóságát az auditor a meglévő tartalom alapján méri, ezért a struktúra önmagában is bizonyíték.
1. Hatály és tárgyi kör. A szabályzat pontosan jelölje meg, milyen eszközökre vonatkozik: asztali és hordozható számítógépek, szerverek, mobiltelefonok, tabletek, hálózati eszközök (router, switch, tűzfal), nyomtatók (perzisztens memóriával), külső adathordozók, biztonsági mentés szalagok és optikai média. Külön ki kell térni a lízingelt eszközökre, a BYOD-konstrukcióra és a tartalékra raktározott gépekre. A három legtöbbet mulasztott terület audit-szempontból ez a három.
2. Felelősségi rend. A szerepköröket az auditori logika szerint érdemes szétbontani: policy owner (a szabályzat fenntartója, jellemzően az IT vezető vagy a CISO), process owner (a végrehajtási folyamat felelőse, tipikusan az IT operations vezetője), asset owner (az érintett eszköz nyilvántartási tulajdonosa), rendszergazda (azonosítás, fizikai kivonás), adatvédelmi tisztviselő vagy compliance officer (jogszabályi megfelelés ellenőrzése), belső auditor (a folyamat független ellenőrzése — ISO 27001 9.2 elvárás), pénzügy (állományi nyilvántartás), beszerzés (beszállítói szerződés). NIS2 hatálya alatt a felső vezetést is nevesítse a szabályzat az éves felülvizsgálati pontban. A compliance és a belső audit szerepkör tudatosan elkülönítendő — a belső audit függetlensége az ISMS tanúsítás alapelve.
3. Eszköz életciklus és kiváltó események. A szabályzat sorolja fel azokat az eseményeket, amelyek selejtezési folyamatot indítanak: amortizációs lejárat, meghibásodás, szoftveres elavulás (vendor support vége), lízing visszaadás, csere program, biztonsági incidens utáni karantén. Minden eseményhez tartozzon egy konkrét folyamatlépés-sor.
4. Adatmegsemmisítési módszerek és minősítésük. Itt érdemes a NIST SP 800-88 Rev.1 kategorizálását követni: Clear (validált logikai felülírás vagy gyártói reset úgy, hogy a felhasználó által címezhető adatterület szabványos eszközökkel ne legyen helyreállítható — egyszerű fájltörlés vagy gyorsformázás nem elég), Purge (gyártói sanitize parancs, kriptografikus törlés vagy mágneses média degausser), Destroy (fizikai megsemmisítés). A szabályzat eszköztípusonként és kockázati szintenként rendelje hozzá a megfelelő módszert. Egy minimális döntési mátrix:
HDD, alacsony kockázatú adat → Clear vagy Purge
HDD, magas kockázatú adat → Purge (degausser) vagy Destroy
SSD/NVMe, általános üzleti adat → gyártói sanitize parancs vagy hitelesített kriptografikus adattörlés
SSD/NVMe, különleges kategóriájú adat (GDPR 9. cikk) → kriptografikus törlés független validációval, vagy Destroy
Hibás, nem olvasható, vagy nem érvényesített SSD → Destroy
Mobiltelefon, tablet → gyártói factory reset titkosítás után (Purge), magas kockázatnál Destroy
A degausser kifejezetten mágneses adathordozóra (HDD, szalag) érvényes — SSD-nél hatástalan. A „különleges adat = Destroy” összerendelés kockázatkerülő alapértelmezés, nem szabványkényszer; a maradványkockázat megítélése szervezeti döntés.
5. Chain of custody és dokumentáció. Ez az audit-tapasztalat szerint a legtöbbet bukott pont. Minden selejtezett tételhez tartozzon: leltári azonosító, sorozatszám, eszköztípus, kivonás dátuma és felelőse, közbenső raktározás helye és időtartama, szállítási fázis felelőse és bizonylata (átadás-átvétel pillanata, lezárt szállítóeszköz, kísérőlevél), megsemmisítési bizonylat (jegyzőkönyv és tanúsítvány), végső megsemmisítés dátuma. A papíralapú átvételi elismervény önmagában nem elég — vissza kell vezethető legyen az állományi nyilvántartással és az ISMS eszköznyilvántartásával. A szállítási fázis felelősségi átadása a leggyakrabban kifelejtett dokumentációs lépés. A chain of custody dokumentumok megőrzési ideje a szervezet általános dokumentummegőrzési szabályzatához igazodjon — az ISO 27001 audit-ciklus (3 év) és a polgári elévülési idő (jellemzően 5 év) közül az erősebb keret a mértékadó.
6. Beszállító és alvállalkozói lánc. Ha a szervezet külső szolgáltatóval semmisítteti meg az adathordozókat, a szabályzat különítse el az alábbi szerződéses és minősítési elemeket: beszállító-minősítés kritériumai (tanúsítványok, bizonylati gyakorlat, telephelyi audit lehetőség), adatfeldolgozói szerződés (DPA, GDPR 28. cikk szerint, ha a beszállító személyes adatot tartalmazó eszközt kezel), alvállalkozó előzetes engedélyezése vagy értesítése, incidensértesítési határidő, auditjog (helyszíni vagy dokumentumalapú), bizonyítékformátum (jegyzőkönyv és tanúsítvány minimumadatai), valamint a láncolt felelősség kezelése. A NIS2 általános supply chain és incidensértesítési elvárásai erős érveket adnak ezen elemek mellé, a konkrét szerződéses tartalom azonban szervezet- és beszállító-specifikus.
7. Felülvizsgálat, képzés, kivételkezelés. A szabályzat évente egyszer kötelezően felülvizsgálandó. Tartalmazzon képzési előírást (kit, milyen gyakran, milyen tartalommal), incidenskezelési kapcsolódást (mikor lép át a folyamat az IBIR-be), valamint kivételkezelési eljárást (ki és milyen feltételek mellett engedélyezhet eltérést, hogyan dokumentálódik).
Jogszabályi és szabványalapok 2026-ban
A selejtezési folyamat kritikus pillanata: az adathordozó fizikai kivezetése a rendszerből, ahonnan a chain of custody dokumentáció indul.
A szabályzat hivatkozási alapját négy forrás adja:
GDPR 5. cikk (1) f) és 32. cikk — az integritás és bizalmas jelleg alapelve, valamint a biztonsági intézkedések általános elvárása (megfelelő technikai és szervezési intézkedések). A 25. cikk (beépített és alapértelmezett adatvédelem) is releváns, ha az eszközök biztonságos törlése a tervezésbe építetten történik. Megjegyzés: a GDPR 17. cikk (érintetti törléshez való jog) önmagában nem általános selejtezési kötelezettség, hanem érintett-kezdeményezett jog — ezért a selejtezési szabályzat alapját az 5. és 32. cikk adja.
NIS2 (EU 2022/2555) irányelv 21. cikk — kockázatkezelési intézkedések ISMS-keretben. Az adathordozó-kezelés explicit nincs nevesítve, de a (2) bekezdés a) pontja („kockázatelemzési és információs rendszerek biztonságára vonatkozó szabályzatok”) és h) pontja („kriptográfia és adott esetben titkosítás alapszabályai és eljárásai”) gyakorlatilag lefedi. A NIS2 magyar átültetése külön nemzeti jogszabályban él, az operatív elvárásokat ehhez kell igazítani.
ISO/IEC 27001:2022 A.7.14 — „Secure disposal or re-use of equipment”. A kontrollhoz a Statement of Applicability-ben dokumentált eljárás és bizonyíték kell.
NIST SP 800-88 Rev.1 — Guidelines for Media Sanitization. Nem kötelező Magyarországon, de a beszállítói jegyzőkönyvek és a belső módszertan referenciaként ezt használják.
A szabályzat szövegében ezekre kifejezetten hivatkozzunk, ne csak általánosan a „vonatkozó jogszabályokra”. Audit során a hivatkozás konkrétsága az első kérdés. A tipikus auditori kérdezési logika négy szintű: kockázatértékelés → kontroll alkalmazhatósága a Statement of Applicability-ben → dokumentált eljárás → végrehajtási bizonyíték. A szabályzat ennek a négyszintű nyomvonalnak a harmadik eleme — bizonyíték nélkül önmagában kevés, kockázatértékelési lehorgonyzás nélkül lebeg.
Érdemes a selejtezési szabályzatot a business continuity tervezéssel is összehangolni. Az ISO 27001:2022 két szomszédos kontrollja kapcsolódik: az A.5.29 az „information security during disruption” (információbiztonság zavarhelyzetben), az A.5.30 pedig az „ICT readiness for business continuity” (ICT-felkészültség az üzletmenet-folytonosságra). Ezek keretében a tartalékként megőrzött eszköz és a selejtezésre váró eszköz tudatos megkülönböztetése elvárás. Egy DR-teszt során kivett tartalék gép, amely utána a selejtezési sorba kerül, dokumentált átminősítést igényel.
Audit szempontból gyakran bukó pontok
Tapasztalati alapon — belső auditok és tanúsítási megújítások visszatérő megállapításai alapján — három területen bukik el leggyakrabban a szabályzat:
Hatály alól kicsúszó eszközök. A leggyakoribb: BYOD telefonok, lízing visszaadás előtti adattörlés dokumentálatlansága, illetve a 6–18 hónapja raktározott tartalék gépek („majd lesz vele valami”) kategóriája. A szabályzatban ezeknek külön bekezdés jár.
Hiányos chain of custody. A megsemmisítési tanúsítvány önmagában nem elég, ha az átadás és a végső megsemmisítés között eltelt napokat senki nem dokumentálta. Az auditor jellemzően egy random kiválasztott eszköznél kéri végigkövetni a folyamatot az állományi nyilvántartástól a tanúsítványig.
Beszállítói szerződés gyengeségei. Ha a szabályzat előírja az alvállalkozói lánc dokumentálását, de a szerződésben erre vonatkozó audit jog vagy értesítési kötelezettség nincs, az ellentmondást az auditor jelzi.
Egy belső önaudit, amely ezt a három területet külön ellenőrzi, jellemzően több hibát talál, mint a fő selejtezési folyamat technikai részletei.
Mikor érdemes átírni a szabályzatot?
Konkrét triggerek 2026-ban:
ISO 27001 átállás 2013 → 2022 verzióra. Ha a szervezet tanúsítványa még a 2013-as kontroll-rendszerre épül, a megújításnál az A.7.14 új struktúrája kötelezi az átírást.
NIS2 hatálya alá kerülés. Ha a szervezet 2024–2025-ben került hatály alá (új ágazati besorolás vagy méretváltozás miatt), a meglévő szabályzat valószínűleg nem fedi a vezetői felelősség és a beszállító-felügyelet új elvárásait.
Nagyobb eszközcsere program. Egy laptop- vagy szerverpark cseréje előtt a szabályzat felülvizsgálata olcsóbb, mint utólag rekonstruálni a chain of custody-t.
Incidens vagy közeli incidens. Ha az elmúlt 12 hónapban előfordult olyan eset, amikor egy raktározott vagy átadott eszközön talált adat miatt belső vizsgálat indult, a szabályzat ráadásul teszteltség-bizonyítékként is kell.
A szabályzat átírása önmagában 2–4 hét munkája a folyamatok komplexitásától függően. Ennek többszörösét teszi ki a hozzá tartozó eszközleltár-tisztítás és a beszállítói szerződések felülvizsgálata, amely a tényleges átfutási idő gerincét adja. Ha külső szakértői támogatást keresel a megsemmisítési folyamat és a kapcsolódó dokumentáció kialakításához, kérj ajánlatot egy átvilágítási és tanúsítható megsemmisítési csomagra.
Gyakori kérdések
Kötelező-e külön IT eszköz selejtezési szabályzat 2026-ban?
Magyar jogszabály nem nevesíti külön kötelezőként, de az ISO/IEC 27001:2022 A.7.14 kontroll dokumentált eljárást vár el, és NIS2 hatály alatt a kockázatkezelési intézkedések alátámasztása is dokumentált belső szabályozást igényel. A gyakorlatban audit szinten kötelező.
Mi a különbség az adatkezelési szabályzat és az IT eszköz selejtezési szabályzat között?
Az adatkezelési szabályzat az adatok jogalapját, kezelési céljait és érintetti jogokat szabályozza. Az IT eszköz selejtezési szabályzat az eszközök életciklusának végén a fizikai és logikai folyamatot, a felelősöket és a dokumentációt írja le. A kettő egymásra hivatkozik, de nem helyettesíti egymást.
Ki a felelős a selejtezési szabályzat betartásáért NIS2 alatt?
A NIS2 irányelv (EU 2022/2555) és annak magyar átültetése keretében a felső vezetés személyes felelőssége a kockázatkezelési intézkedések megléte és érvényesülése. Az operatív végrehajtás jellemzően az IT vezető, a független ellenőrzés a belső auditor, a folyamatos megfelelőség-figyelés a compliance vagy adatvédelmi tisztviselő hatáskörébe esik.
Milyen jegyzőkönyv kötelező egy adathordozó megsemmisítéséről?
Általános szabványkövetelmény nincs a jegyzőkönyv pontos formájára, de az audit-elvárt minimumtartalom: a tétel egyedi azonosítói (sorozatszám, leltári szám), a megsemmisítés módja és minősítése (Clear/Purge/Destroy), dátum, helyszín, a végrehajtó megnevezése, valamint — ha a belső szabályzat vagy a beszállítói szerződés előírja — kísérő/ellenőrző fél vagy tanú megjelölése. Beszállítónál az alvállalkozói lánc visszakövethetőségét is biztosítani kell.
Hogyan kezeli a szabályzat a BYOD-eszközöket?
A szabályzatnak rendelkeznie kell az olyan eszközök adattörlési és kivonási folyamatáról, amelyek munkavállalói tulajdonban vannak, de céges adatot tárolnak. Tipikus megoldás: MDM-alapú remote wipe a munkaviszony megszűnésekor, dokumentált igazolás a folyamat lefutásáról, és érintetti tájékoztatás. A szabályzat térjen ki arra is, mi a teendő, ha a remote wipe nem érvényesíthető (eszköz offline, elveszett, vagy a felhasználó nem működik együtt) — ilyenkor incidenskezelési és adatvédelmi kockázatértékelési folyamat indul; NAIH és érintetti bejelentés akkor szükséges, ha a GDPR szerinti kockázati küszöb teljesül.
Évente hányszor kell felülvizsgálni a szabályzatot?
Minimum évente egyszer, valamint minden olyan eseménynél, amely érdemben befolyásolja a folyamatot: jogszabályváltozás, ISMS audit megállapítás, jelentős eszközcsere, beszállítóváltás, vagy adathordozóval kapcsolatos biztonsági incidens.
Külső források
ISO/IEC 27001:2022 — Az információbiztonsági irányítási rendszer szabványa, az A.7.14 kontroll explicit eljárást vár el az eszközök biztonságos selejtezésére.
Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — Az 5. cikk (1) f) (integritás és bizalmas jelleg), a 25. cikk (beépített és alapértelmezett adatvédelem), a 32. cikk (az adatkezelés biztonsága) és a 28. cikk (adatfeldolgozóra vonatkozó követelmények) közvetlenül kapcsolódik a selejtezési folyamat jogalapjához.
