Irodaköltözés és telephelybezárás: a rejtett adatbiztonsági kockázat a régi eszközpark
Az irodaköltözés és telephelybezárás során a régi IT eszközpark rejtett adatbiztonsági kockázatot jelent: a használaton kívüli hardver leltárról való „lecsúszása” ellenőrizetlen adatkijuttatási csatornát nyithat, miközben az érintett eszközök ügyfél-, dolgozói és üzleti adatokat tárolhatnak. A GDPR 32. cikkének kockázatarányos technikai és szervezési intézkedési kötelezettsége, a NIS2-irányelv 21. cikk (2) bekezdése (az irányelv hatálya alá tartozó szervezeteknél) és az ISO 27001:2022 vonatkozó kontrolljai (A.5.9, A.5.11, A.7.9, A.7.10, A.8.10) együttesen olyan keretet adnak, amelyből a gyakorlatban védhető kontrollként következik a dokumentált eszköznyomonkövetés és a bizonyítható adattörlés vagy megsemmisítés.
Legfontosabb megállapítások:
Az irodaköltözés és telephelybezárás kritikus pontja a régi eszközpark: a leltárról „lecsúszott” hardver dokumentálatlan csatornán távozhat a szervezetből, és ezzel az adatok feletti kontroll is megszűnik.
A GDPR 32. cikke kockázatarányos biztonsági intézkedéseket vár el az átmeneti időszakokra is; a NIS2 21. cikk (2) bekezdése — a hatálya alá tartozó szervezetekre — kockázatkezelési intézkedéseket követel meg. Mindkét keretből az ISO 27001:2022 A.7.9 (off-premises eszközök) és A.7.10 (adathordozó-kezelés) kontrolljain keresztül vezethetők le védhető operatív intézkedések.
A megoldás chain-of-custody dokumentáció és tanúsított adattörlés vagy fizikai megsemmisítés, amelyet a költöztetési projektterv részeként, nem utólag, hanem ütemezett részfeladatként végeznek el.
Az irodaköltözés és a telephelybezárás a szervezet életének két olyan eseménye, amikor a normál IT eszköz-életciklus folyamatok ideiglenesen szétesnek. A leltár stabil „ki, hol, milyen eszközt használ” képe egy néhány hetes időablakra felborul: dobozolt hardver halmozódik a folyosón, régi gépek kerülnek elő a tárolóhelyiségből, és a „majd később foglalkozunk vele” kategória néhány nap alatt naggyá duzzad. Pontosan ebben az időablakban válnak láthatatlanná azok a régi eszközök, amelyek tartalmazhatnak ügyféladatot, dolgozói adatot, üzleti titkot vagy szabályozott adatot — és pontosan ezekben a hetekben fordul elő a legtöbb dokumentálatlan adatkijuttatás.
A jelenség nem egy elszigetelt kockázat. Az európai adatvédelmi és kiberbiztonsági szabályozás kifejezetten erre az időszakra is alkalmaz követelményeket: a GDPR 32. cikke, a NIS2-irányelv 21. cikk (2) bekezdése és az ISO 27001:2022 vonatkozó kontrolljai egyértelművé teszik, hogy egy szervezet adatvédelmi felelőssége nem szünetel attól, hogy éppen átköltözik egy másik címre, vagy bezár egy telephelyet.
Miért különösen kockázatos az irodaköltözés és a telephelybezárás?
A normál IT eszköz-életciklus során minden hardvernek van gazdája, helye és státusza a leltárban. A használatból kikerült eszközöket a szervezet selejtezésre adja, és ott egy dokumentált, tanúsított folyamat végzi a tényleges adatmegsemmisítést. Egy költözés ezt a folyamatot ideiglenesen szétfeszíti négy ok miatt.
Először, a változás strukturális: az asset management napi folyamatai (átvétel, kiadás, javítás, selejtezés) egy időre háttérbe szorulnak, mert a fő figyelem a fizikai mozgáson van. Másodszor, az eszközmozgás tömeges és koncentrált — ami egy hónap alatt 5-10 eszközmozgás lenne, az most egy hét alatt akár több száz. Harmadszor, a folyamatban több, eltérő érdekű és felkészültségű szereplő vesz részt: a költöztető cég, a facility menedzsment, az IT részleg és HR. Negyedszer, a régi, már nem használt eszközök — amelyek pontosan azok, amelyek a leselejtezési csatornán kellene, hogy átmenjenek — könnyen kerülnek a „később foglalkozunk vele” zsákutcába, és onnan végül egy nyomtatott rendszerező doboz aljából bukkannak fel hónapokkal később, esetleg már a régi telephely épületgépészeti felújítása közben.
Mely eszközök kerülnek tipikusan a szürke zónába?
Egy költöztetés vagy telephelybezárás során minden hardver — minden tárolásra alkalmas hardver — kockázati elem. A gyakorlatban azonban néhány eszköztípus szisztematikusan a szürke zónába esik:
Régi laptopok és asztali gépek, amelyek már nem aktív használatban vannak, de a tárolóhelyiségben „tartalékban” pihennek
Tartalék merevlemezek és SSD-k, amelyeket meghibásodás vagy bővítés miatt cseréltek le
Hálózati eszközök (router, switch, tűzfal) konfigurációs adatokkal, amelyek a hálózati topológiát és hozzáférési mintázatokat is tárolják
Külső adathordozók (USB drive, optikai média, archiváló merevlemez), amelyeket egyszeri feladatra használtak, majd elraktak
Nyomtatók és multifunkciós eszközök, amelyek beépített háttértárolóval rendelkeznek és gyakran évek nyomtatási, szkennelési és faxálási tartalmát megőrzik
Mobil eszközök (céges telefon, tablet) BYOD vagy közös eszközből visszavett darabok
A kérdés ezeknél az eszközöknél nem az, hogy „tartalmaznak-e adatot” — hanem az, hogy a szervezet tudja-e dokumentáltan igazolni, hogy a rajtuk levő adat már nem visszaállítható, és az eszköz a felelős kezekben végzi.
GDPR 32. cikk, NIS2 21. cikk és az eszközmozgatás
A GDPR 32. cikke — „Az adatkezelés biztonsága” — előírja, hogy az adatkezelő és az adatfeldolgozó köteles a kockázat mértékének megfelelő technikai és szervezési intézkedéseket biztosítani a személyes adatok védelmére. A cikk nem ismer „költözési mentességet”: a kockázatarányos kötelezettség az átmeneti időszakokra is vonatkozik. Ha egy szervezet a költözési stresszben elveszít egy laptopot, amelyen HR-adatok vannak, az adatvédelmi incidens-helyzet — a bejelentési kötelezettséget azonban a GDPR 33. cikke szerinti kockázatértékelés alapján kell meghatározni. Egy nyílt, jelszó nélküli laptop más kockázatot képvisel, mint egy teljeskörűen titkosított, MDM-mel távolról törölhető eszköz.
A GDPR 17. cikke (a „törléshez való jog”) egy másik irányból érinti a régi eszközparkot. Ha egy érintett a költözést megelőzően kérte adatai törlését — és nem áll fenn a 17. cikk (3) bekezdés szerinti kivétel (pl. jogi kötelezettség teljesítése, közérdekű archiválási, tudományos vagy történelmi kutatási cél, vagy jogi igények előterjesztése, érvényesítése, illetve védelme) —, a szervezet a releváns aktív példányokat köteles eltávolítani. A backup retention és a jogi megőrzési kötelezettség kezelése külön, dokumentált kivételkezelési logikát igényel: egy régi laptopra mentett offline másolat, amely egy költöztetési dobozban felejtődik, ennek a kivételkezelésnek a hatókörén kívül esik — és a megőrzési helye miatt jogi értelemben problémás lehet.
A NIS2-irányelv (Európai Parlament és Tanács (EU) 2022/2555 irányelve) 21. cikk (2) bekezdése sorolja fel azokat a kockázatkezelési intézkedéseket, amelyeket az irányelv hatálya alá tartozó szervezeteknek alkalmazniuk kell. Ezek között szerepel a kockázatkezelés, az asset management és a supply chain security; a fizikai biztonsági szempontok az általános kockázatkezelési intézkedések részeként, levezetett követelményként következnek — mindhárom terület közvetlenül érintett egy költöztetés során. A NIS2 nem ír elő külön költöztetési szabályrendszert, de a folyamatos megfelelés a szervezeti változások idején is elvárás.
Fontos azonban tisztázni, hogy a NIS2 hatálya nem általános: kizárólag az úgynevezett essential entities (alapvető entitások) és important entities (fontos entitások) körébe tartozó szervezetekre vonatkozik közvetlenül, az irányelv mellékletében meghatározott szektorok és méretküszöbök szerint. A magyar átültetés a mindenkor hatályos hazai kiberbiztonsági szabályozási keretben szerepel; a szervezet pontos besorolása (essential vagy important entity) és a konkrét kötelezettségek a szektor-specifikus felügyeleti útmutatás és a hatályos jogszabály alapján határozhatók meg. A NIS2-hatály alá nem tartozó szervezeteknél a GDPR és az ISO 27001 marad az elsődleges jogi és módszertani keret — a cikkben tárgyalt eszközmozgatási követelmények azonban a GDPR 32. cikke alapján rájuk is vonatkoznak.
Az átköltöztetés vagy bezárás során bekövetkező adatvesztési esemény — például egy személyes adatot tartalmazó eszköz elveszése vagy ismeretlen kezekbe kerülése — a GDPR 33. cikke szerinti incidens-helyzet, ami 72 órán belüli bejelentési kötelezettséget keletkeztethet a felügyeleti hatóság (Magyarországon a NAIH) felé. A bejelentési kötelezettség dokumentált kockázatértékelés eredménye: titkosított és MDM-mel távolról törölhető eszköznél a kockázat — és ezzel a bejelentési kötelezettség is — más lehet, mint egy nyílt, hozzáférést nem korlátozó hardvernél. Az időablak azonban nem alkudható meg a költözési zűrzavarral, ezért is kritikus a folyamat előre megtervezett dokumentációja.
ISO 27001:2022 kontrollok a költöztetés és telephelybezárás idejére
Az ISO 27001:2022 Annex A hét kontrollja foglalkozik közvetlenül azzal a helyzettel, amikor egy IT eszköz nem a normál működési környezetében van vagy a használatból kikerül:
Pakolás közbeni pillanat: minden eszköz a maga helyén, várva a dokumentált átadásra — a chain-of-custody itt kezdődik.
A.5.9 — Inventory of information and other associated assets. A teljes selejtezési és költöztetési folyamat alapja a naprakész eszközleltár. A pre-move adatvagyon-felmérés ennek a kontrollnak a koncentrált megvalósítása: nincs olyan eszköz, amely „nincs a leltárban”, és nincs olyan leltárelem, amelynek a fizikai helye ismeretlen.
A.5.11 — Return of assets. Telephelybezárás vagy munkavállalói leválás esetén kifejezetten releváns kontroll. Minden, korábban kiadott eszköz visszavételét, állapotának dokumentálását és további sorsának (újraosztás / selejtezés) eldöntését írja elő — pontosan az a folyamat, amit egy bezárási projektnek nagy léptékben kell végrehajtania.
A.7.9 — Security of assets off-premises. Ez a kontroll pontosan a költöztetés és telephelybezárás helyzetére illik. Az „off-premises” nem csak a hazavitt notebookot fedi le, hanem a költöztető kamionba pakolt szervert is. A kontroll megköveteli, hogy az ilyen helyzetekre kifejezett védelmi intézkedéseket alkalmazzon a szervezet — fizikai őrzés, sérülésvédelem, megfelelő szállítási mód.
A.7.10 — Storage media handling. Az adathordozók kezelése a teljes életcikluson át — beleértve a megsemmisítést is — dokumentált eljárásrend szerint kell, hogy történjen. Egy költöztetés vagy bezárás ennek a kontrollnak a stressz-tesztje: kiderül, hogy a szervezet eljárásrendje skálázódik-e tömeges, koncentrált eszközmozgásra is.
A.8.10 — Information deletion. Az információ törlésére vonatkozó kontroll explicit módon kimondja, hogy a már nem szükséges adatot dokumentált módon kell törölni vagy megsemmisíteni. A „már nem szükséges” pont az a kategória, ahova az irodaköltözés során sok adat hirtelen átkerül.
A.5.29 és A.5.30 (BCM/ICT kontinuitás). Telephelybezárás esetén további szempont az üzletmenetfolytonosság: ha a bezárandó telephely a szervezet katasztrófa-helyreállítási (DR) szerepét töltötte be, vagy backup-infrastruktúrát hostolt, az A.5.29 (Information security during disruption) és A.5.30 (ICT readiness for business continuity) kontrollok megkövetelik a tervek párhuzamos átdolgozását az eszközmozgatással egy időben.
A tanúsított adattörlés és fizikai megsemmisítés szerepe
A költöztetési és bezárási folyamat kulcs kontrollpontja a tanúsított adattörlés vagy fizikai megsemmisítés időbeni elvégzése. Az amerikai NIST SP 800-88 (Guidelines for Media Sanitization) szabvány — amelyet az európai szervezetek (köztük az ENISA és a német BSI iránymutatások) is széles körben referenciaként használnak — három szintet definiál: Clear (alaptörlés, alkalmi újrahasználathoz), Purge (logikai biztonsággal nem visszaállítható, ide tartozik a kriptográfiai törlés is) és Destroy (fizikai megsemmisítés). A választás az eszközre került adat klasszifikációjától, a média típusától és a titkosítási státusztól függ.
Egy költöztetési projektben ez a választás konkrét döntést követel meg: minden leselejtezésre szánt eszközre el kell dönteni, hogy *újrahasználható* (Clear vagy Purge szintű szoftveres adattörlés után újraosztható vagy értékesíthető), vagy *megsemmisítendő* (Destroy szintű fizikai megsemmisítés, jellemzően shredding, demagnetizáció vagy zúzás). A döntés alapja az eszközön szereplő adat érzékenysége, a média típusa, a titkosítási státusz és a tervezett újrahasználati cél: egy jogi részleg magas érzékenységű laptopja jellemzően Destroy szintet indokol — ugyanakkor egy ellenőrzötten titkosított, megfelelő kulcskezeléssel rendelkező SSD esetén a Purge vagy a kriptográfiai törlés (Cryptographic Erase) is védhető döntés lehet, ha az ellenőrizhetőség dokumentált.
A folyamat végén minden eszközhöz tanúsítvány (certificate of destruction vagy certificate of data sanitization) tartozik, amely sorozatszám szerinti azonosítóval rögzíti a tényt. Ez a tanúsítvány az audit nyomvonal kulcseleme: egy későbbi GDPR-vizsgálat, NIS2-felügyeleti ellenőrzés vagy ISO 27001 belső audit során ez bizonyítja, hogy a szervezet a kötelezettségét teljesítette.
Operatív lépéssor: hogyan építsd be a folyamatba?
A költöztetés vagy telephelybezárás adatbiztonsági komponensét nem lehet utólag a folyamatra „ráragasztani”. A leghatékonyabb megközelítés ötlépcsős, és a projektterv részeként ütemezett:
Pre-move adatvagyon-felmérés. A költöztetés előtt 4-6 héttel listázzon minden IT eszközt: aktív használatban lévő, tartalék, leselejtezésre szánt. A lista minden tételhez tartalmazza az eszközazonosítót, a klasszifikációs szintet (publikus / belső / bizalmas / szigorúan bizalmas) és a tervezett sorsát (költöztetés / újraosztás / selejtezés). Egyúttal ellenőrzendő, hogy van-e olyan eszközön adat, amelyre korábban a GDPR 17. cikke szerinti törlési kérelmet logikai szinten teljesítettek (pl. CRM-ből kitörölve): az offline másolat (régi laptop, tartalék merevlemez) létezését igazolni kell, és a fizikai törlés ezeknél az eszközöknél kötelező.
Klasszifikáció és döntés. A felmérési lista alapján döntés minden tételre: költöztetjük, vagy a költözés alkalma a selejtezési pont. A leselejtezésre szánt tételeknél döntés a NIST 800-88 szint szerint: Clear / Purge / Destroy.
Chain-of-custody bevezetése. Fontos elhatárolás: minden eszközmozgatáshoz nyomonkövetés szükséges (átadás-átvétel), de tanúsított adattörlés vagy fizikai megsemmisítés csak a selejtezésre, újraosztásra vagy értékesítésre szánt eszközöknél indokolt — a normál működéshez áthelyezett, aktív hardver nem igényel sanitization-t, csak nyomonkövetést. Az átadás-átvételi jegyzőkönyv minimális tartalmi elemei: eszközazonosító (leltárszám és sorozatszám), állapot átadáskor (sérülésvizsgálat), átadó és átvevő neve és szerepköre, időpont és helyszín, az eszköz tervezett sorsa (költöztetés / selejtezés / raktározás), záró felelős személy. A jegyzőkönyv kerüljön be a szervezet adatvédelmi nyilvántartásába. Ez az ISO 27001 A.7.9 (off-premises) követelményének operatív megfelelője.
Tanúsított adattörlés vagy megsemmisítés a selejtezési listára. A költöztetés ütemezésébe építsen be egy konkrét időablakot, amikor a selejtezésre szánt eszközök tanúsított törlésen vagy megsemmisítésen mennek át — szakszolgáltató bevonásával, on-site vagy off-site, de mindenképpen sorozatszám szerinti tanúsítvánnyal.
Záró dokumentáció és leltárfrissítés. A folyamat végén a tanúsítványok bekerülnek a szervezet adatvédelmi nyilvántartásába, a leltár frissül (eszköz lezárt státusszal), és a GDPR megőrzési kötelezettsége is teljesül. A leltárfrissítés egyben az ISO 27001:2022 A.5.9 (Inventory) kontroll folyamatos naprakészségének teljesítéseként is dokumentálandó. A tanúsítványok megőrzési idejét érdemes a belső retention policy és az elévülési / követelésérvényesítési szempontok alapján meghatározni — gyakorlatban jellemzően 5-7 év (a GDPR 5. cikk (2) elszámoltathatósági elvének folyamatos bizonyíthatóságához igazítva).
A projektterv első verziójában érdemes egy rövid felelősségi mátrixot (RACI) is rögzíteni: ki az asset owner, ki dönt a Clear/Purge/Destroy szintről (jellemzően a DPO/adatvédelmi felelős és az adatgazda közös döntése a CISO bevonásával), ki hagyja jóvá a selejtezési listát, és ki zárja le a leltárt a folyamat végén.
A telephelybezárás esetén ugyanezt a logikát kell követni, néhány árnyalattal. Egy bezáráskor jellemzően magasabb a *selejtezés* aránya (mivel a cél nem új helyre vinni az eszközöket, hanem felszámolni a teljes telephely IT-állományát), és a *határidő* gyakran rugalmatlanabb (épület átadás, bérleti szerződés vége). Ez fokozza a „majd később foglalkozunk vele” csapdájának kockázatát — ezért a tanúsított törlési és megsemmisítési kapacitás biztosítását még korábban érdemes lekötni.
Gyakori kérdések
Mi a különbség leselejtezés és költöztetés között adatvédelmi szempontból?
A költöztetés egy meglévő, használatban lévő eszköz fizikai áthelyezése egy másik helyszínre, a tárolt adatokkal együtt — itt a kockázat a szállítás közbeni elvesztés vagy sérülés. A leselejtezés egy eszköz végleges kivonása a használatból, ami GDPR és ISO 27001 értelmében dokumentált adattörlési vagy megsemmisítési kötelezettséget keletkeztet. A költöztetés alkalmával gyakran derül ki, hogy egy „tartalék” eszköz valójában leselejtezésre vár — ezt a pillanatot érdemes formálissá tenni.
Kell-e jegyzőkönyvet vezetni a költöztetett IT eszközökről?
Igen. Az ISO 27001:2022 A.7.9 (off-premises eszközök biztonsága) és A.7.10 (adathordozó-kezelés) kontrolljai dokumentált eljárásrendet írnak elő. A GDPR 32. cikke (megfelelő technikai és szervezési intézkedések kötelezettsége) és az 5. cikk (2) bekezdése (elszámoltathatósági elv) egyaránt megköveteli, hogy a szervezet tudja igazolni az intézkedéseit. A gyakorlatban ez chain-of-custody jegyzőkönyvet jelent: minden eszközmozgáshoz aláírt átadás-átvétel.
Mit tegyek a telephelybezárás után fennmaradó régi eszközökkel?
A bezárási projekt utolsó fázisaként minden, használatban már nem lévő IT eszközt formálisan selejtezésre kell venni, klasszifikálni az adattartalom alapján, és a NIST SP 800-88 szerinti megfelelő szintet (Clear / Purge / Destroy) alkalmazni rá. Ezt szakszolgáltató tudja sorozatszám szerinti tanúsítvánnyal igazolni, ami a későbbi audit nyomvonal alapja lesz. Időablakot a bezárás előtti utolsó 2-4 hétre érdemes tervezni.
Bízhatom a költöztető cégre az adatvédelmet?
A költöztető cég a fizikai szállítás biztonságáért felel, de az adatvédelmi felelősség az adatkezelőnél marad (GDPR 24. cikk). A GDPR 28. cikke szerinti adatfeldolgozói szerződés (DPA) akkor szükséges, ha a szolgáltató ténylegesen személyesadat-kezelési műveletet végez — például hozzáfér a hardveren tárolt adathoz. Tisztán zárt, lezárt, hozzáférés nélküli eszközszállítás esetén a védhetőbb keret jellemzően a biztonsági szerződéses melléklet: NDA, plombázott szállítóeszköz, chain-of-custody kötelezettségek, kétszereplős átadás-átvétel. A minősítés a tényleges adatkezelési művelet alapján történik, nem önmagában a szállítás ténye alapján. A költöztetéskor használt eszközöket — különösen a tárolásra alkalmasakat — érdemes a költöztető csomagolása ELŐTT klasszifikálni, és a magas érzékenységű elemeket vagy elkülönítetten szállítani, vagy még a költözés előtt tanúsított adattörlésen átvinni.
Hogyan kapcsolódik a GDPR 17. cikke az irodaköltözéshez?
A GDPR 17. cikke (törléshez való jog) értelmében ha egy érintett kérte az adatai törlését, a szervezet a releváns aktív példányokat — a 17. cikk (3) bekezdés szerinti kivételek (pl. jogi megőrzési kötelezettség, közérdekű archiválási cél, jogi igények előterjesztése vagy érvényesítése) figyelembevételével — köteles eltávolítani. A backup retention és a litigation hold külön, dokumentált kivételkezelési logikát igényel. Ha a logikai törlést elvégezték (CRM, központi rendszerek), de egy régi laptop offline másolata egy költöztetési dobozban felejtődik — és a fájlra nem vonatkozik dokumentált kivétel —, a kötelezettség jogi értelemben nem teljesült. Az irodaköltözés egy alkalom, amikor érdemes a pre-move adatvagyon-felmérés részeként ellenőrizni: van-e olyan régi eszközön adat, amelynek logikai szinten már törölve kellene lennie.
Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?
A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:
A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.
Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.
A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.
A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.
Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.
Mi a különbség a három fogalom között?
A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.
Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.
Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.
Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.
Miért nem törlés a formázás?
A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.
A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.
A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.
Gyári visszaállítás: mikor működik, mikor nem
A „factory reset” hatása az eszköz típusától és életkorától függ.
Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.
SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.
Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.
Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.
A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.
Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás
A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.
A folyamat lényege négy lépés:
Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.
Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.
Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.
Gyári visszaállítás vs adattörlés: mikor melyik elég?
A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.
Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.
Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.
Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.
Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.
A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e adattörlési tanúsítvány vagy selejtezési jegyzőkönyv„. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.
Compliance kontextus: GDPR, NIS2, ISO 27001
Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.
GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.
NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.
ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.
Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.
A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.
Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.
Vezetői cselekvési pontok
A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:
Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?
Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.
Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.
A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.
Gyakori kérdések
Vissza lehet állítani egy formázott merevlemezről az adatokat?
Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.
A gyári visszaállítás SSD-n elég biztonságos?
Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.
Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?
A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.
Kell-e jegyzőkönyv a vállalati eszközök törléséről?
Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.
Mit ad többletként a tanúsított szoftveres adattörlés?
Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.
IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?
Az IT eszköz selejtezési szabályzat egy belső szabályozó dokumentum, amely az informatikai eszközök és adathordozók életciklusának végén a biztonságos kivonást, adatmegsemmisítést és dokumentált lezárást írja le. 2026-ban a szabályzat tartalmát három forrás határozza meg: a GDPR (5., 32. cikk) adatbiztonsági alapelvei, a NIS2 (EU 2022/2555) irányelv ISMS-elvárásai (Magyarországon nemzeti átültetéssel), valamint az ISO/IEC 27001:2022 A.7.14 kontroll, amely a Physical controls témakörében az eszközök biztonságos selejtezését szabályozza. A szabályzat nélkül a megfelelőségi audit során az adathordozó-kezelés rendre az első hibatípusok közé kerül.
Legfontosabb megállapítások:
2026-ban egy IT eszköz selejtezési szabályzatnak ki kell terjednie minden adathordozóra, beleértve a mobiltelefonokat, hálózati eszközök perzisztens memóriáját és a leszerelt szerverek SSD-it is.
A szabályzat akkor működik, ha minden selejtezett tételhez chain of custody dokumentáció és megsemmisítési jegyzőkönyv tartozik, beszállító esetén pedig az alvállalkozói lánc is leírt.
Az auditok döntő többsége nem a megsemmisítés módszerét, hanem a dokumentáció hiányát és a hatály alól kicsúszó eszközöket (BYOD, lízingelt gép, raktározott tartalék) kifogásolja.
A magyar adatvédelmi hatósági gyakorlatban és a NAIH éves beszámolóiban visszatérő tanulság, hogy a nem aktív, leselejtezett, raktározott vagy elhagyott IT eszközök adatvédelmi kockázatot jelentenek — a kapcsolódó incidensek nem rendszerüzemeltetési, hanem életciklus-záró folyamati hiányosságokból fakadnak. Ezzel párhuzamosan az ISO 27001 2022-es revíziója önálló kontrollt rendelt a témához (A.7.14), a NIS2 pedig olyan kockázatkezelési intézkedéseket vár el, amelyekbe az eszközök életciklusa szervesen beletartozik. Ezek után 2026-ban egy szervezet — különösen, ha NIS2 hatálya alá tartozik vagy ISO 27001-tanúsított — nem támaszkodhat egy 4–5 éves selejtezési „eljárásrendre”. Konkrét tartalmi minimum kell.
Miért nem elég egy 2020-as szabályzat 2026-ban?
A legtöbb hatályos belső selejtezési szabályzat a 2017–2020 közötti GDPR-felkészülés idején született. Ezek jellemzően három pontot kezeltek: az adathordozó típusát, a megsemmisítés módját és a beszállító kijelölését. Az azóta eltelt időben három dolog változott:
Az eszközpark szerkezete átalakult. A vállalati flotta jelentős részében már SSD és NVMe meghajtók találhatók, a hagyományos winchesterek aránya csökken. Az SSD-knél az „alacsony szintű formázás” nem törlés — a wear leveling és a tartalék blokkok miatt csak kriptografikus törlés vagy fizikai megsemmisítés ad megfelelő bizonyosságot. A 2020-as szabályzatok többsége erre nincs felkészítve.
Az ISO/IEC 27001 megújult. A 2022-es verzió önálló kontrollként emeli ki az „eszközök biztonságos selejtezését vagy újrahasznosítását” (A.7.14), ami a 4 témaköri csoportból (organizational, people, physical, technological) a Physical controls (7-es csoport) része. Tartalmilag a 2013-as A.11.2.7 követelményével lényegében azonos, de a Statement of Applicability-ben (SoA) önálló kontrollként jelenik meg, ami az audit gyakorlatban explicit dokumentálási és bizonyítási kötelezettséget jelent.
A NIS2 keretében a felső vezetés személyes felelősségi köre kiterjed az ISMS-szintű kontrollok meglétére. Ha a kockázatértékelésben az adathordozó-megsemmisítés szerepel kontrollként, akkor azt dokumentált eljárással kell alátámasztani.
Egy 2020-as szabályzat ezeket a változásokat ritkán tudja követni egyszerű foltozással. Egy-két új bekezdés beillesztése formailag dokumentmódosításnak minősül, de tartalmi szinten ritkán fedi le az új kontroll-elvárásokat — auditori kérdésre a hatásvizsgálat és a verziókövetett struktúra hiánya jellemzően kiderül.
A kötelező tartalmi minimum: hét auditálható blokk
Az alábbi hét tartalmi blokkot egy 2026-os IT eszköz selejtezési szabályzatnak mind érdemes lefednie. Hiányzó blokk tipikusan auditori kérdést vagy megállapítást eredményez — a kontroll alkalmazhatóságát és bizonyíthatóságát az auditor a meglévő tartalom alapján méri, ezért a struktúra önmagában is bizonyíték.
1. Hatály és tárgyi kör. A szabályzat pontosan jelölje meg, milyen eszközökre vonatkozik: asztali és hordozható számítógépek, szerverek, mobiltelefonok, tabletek, hálózati eszközök (router, switch, tűzfal), nyomtatók (perzisztens memóriával), külső adathordozók, biztonsági mentés szalagok és optikai média. Külön ki kell térni a lízingelt eszközökre, a BYOD-konstrukcióra és a tartalékra raktározott gépekre. A három legtöbbet mulasztott terület audit-szempontból ez a három.
2. Felelősségi rend. A szerepköröket az auditori logika szerint érdemes szétbontani: policy owner (a szabályzat fenntartója, jellemzően az IT vezető vagy a CISO), process owner (a végrehajtási folyamat felelőse, tipikusan az IT operations vezetője), asset owner (az érintett eszköz nyilvántartási tulajdonosa), rendszergazda (azonosítás, fizikai kivonás), adatvédelmi tisztviselő vagy compliance officer (jogszabályi megfelelés ellenőrzése), belső auditor (a folyamat független ellenőrzése — ISO 27001 9.2 elvárás), pénzügy (állományi nyilvántartás), beszerzés (beszállítói szerződés). NIS2 hatálya alatt a felső vezetést is nevesítse a szabályzat az éves felülvizsgálati pontban. A compliance és a belső audit szerepkör tudatosan elkülönítendő — a belső audit függetlensége az ISMS tanúsítás alapelve.
3. Eszköz életciklus és kiváltó események. A szabályzat sorolja fel azokat az eseményeket, amelyek selejtezési folyamatot indítanak: amortizációs lejárat, meghibásodás, szoftveres elavulás (vendor support vége), lízing visszaadás, csere program, biztonsági incidens utáni karantén. Minden eseményhez tartozzon egy konkrét folyamatlépés-sor.
4. Adatmegsemmisítési módszerek és minősítésük. Itt érdemes a NIST SP 800-88 Rev.1 kategorizálását követni: Clear (validált logikai felülírás vagy gyártói reset úgy, hogy a felhasználó által címezhető adatterület szabványos eszközökkel ne legyen helyreállítható — egyszerű fájltörlés vagy gyorsformázás nem elég), Purge (gyártói sanitize parancs, kriptografikus törlés vagy mágneses média degausser), Destroy (fizikai megsemmisítés). A szabályzat eszköztípusonként és kockázati szintenként rendelje hozzá a megfelelő módszert. Egy minimális döntési mátrix:
HDD, alacsony kockázatú adat → Clear vagy Purge
HDD, magas kockázatú adat → Purge (degausser) vagy Destroy
SSD/NVMe, általános üzleti adat → gyártói sanitize parancs vagy hitelesített kriptografikus adattörlés
SSD/NVMe, különleges kategóriájú adat (GDPR 9. cikk) → kriptografikus törlés független validációval, vagy Destroy
Hibás, nem olvasható, vagy nem érvényesített SSD → Destroy
Mobiltelefon, tablet → gyártói factory reset titkosítás után (Purge), magas kockázatnál Destroy
A degausser kifejezetten mágneses adathordozóra (HDD, szalag) érvényes — SSD-nél hatástalan. A „különleges adat = Destroy” összerendelés kockázatkerülő alapértelmezés, nem szabványkényszer; a maradványkockázat megítélése szervezeti döntés.
5. Chain of custody és dokumentáció. Ez az audit-tapasztalat szerint a legtöbbet bukott pont. Minden selejtezett tételhez tartozzon: leltári azonosító, sorozatszám, eszköztípus, kivonás dátuma és felelőse, közbenső raktározás helye és időtartama, szállítási fázis felelőse és bizonylata (átadás-átvétel pillanata, lezárt szállítóeszköz, kísérőlevél), megsemmisítési bizonylat (jegyzőkönyv és tanúsítvány), végső megsemmisítés dátuma. A papíralapú átvételi elismervény önmagában nem elég — vissza kell vezethető legyen az állományi nyilvántartással és az ISMS eszköznyilvántartásával. A szállítási fázis felelősségi átadása a leggyakrabban kifelejtett dokumentációs lépés. A chain of custody dokumentumok megőrzési ideje a szervezet általános dokumentummegőrzési szabályzatához igazodjon — az ISO 27001 audit-ciklus (3 év) és a polgári elévülési idő (jellemzően 5 év) közül az erősebb keret a mértékadó.
6. Beszállító és alvállalkozói lánc. Ha a szervezet külső szolgáltatóval semmisítteti meg az adathordozókat, a szabályzat különítse el az alábbi szerződéses és minősítési elemeket: beszállító-minősítés kritériumai (tanúsítványok, bizonylati gyakorlat, telephelyi audit lehetőség), adatfeldolgozói szerződés (DPA, GDPR 28. cikk szerint, ha a beszállító személyes adatot tartalmazó eszközt kezel), alvállalkozó előzetes engedélyezése vagy értesítése, incidensértesítési határidő, auditjog (helyszíni vagy dokumentumalapú), bizonyítékformátum (jegyzőkönyv és tanúsítvány minimumadatai), valamint a láncolt felelősség kezelése. A NIS2 általános supply chain és incidensértesítési elvárásai erős érveket adnak ezen elemek mellé, a konkrét szerződéses tartalom azonban szervezet- és beszállító-specifikus.
7. Felülvizsgálat, képzés, kivételkezelés. A szabályzat évente egyszer kötelezően felülvizsgálandó. Tartalmazzon képzési előírást (kit, milyen gyakran, milyen tartalommal), incidenskezelési kapcsolódást (mikor lép át a folyamat az IBIR-be), valamint kivételkezelési eljárást (ki és milyen feltételek mellett engedélyezhet eltérést, hogyan dokumentálódik).
Jogszabályi és szabványalapok 2026-ban
A selejtezési folyamat kritikus pillanata: az adathordozó fizikai kivezetése a rendszerből, ahonnan a chain of custody dokumentáció indul.
A szabályzat hivatkozási alapját négy forrás adja:
GDPR 5. cikk (1) f) és 32. cikk — az integritás és bizalmas jelleg alapelve, valamint a biztonsági intézkedések általános elvárása (megfelelő technikai és szervezési intézkedések). A 25. cikk (beépített és alapértelmezett adatvédelem) is releváns, ha az eszközök biztonságos törlése a tervezésbe építetten történik. Megjegyzés: a GDPR 17. cikk (érintetti törléshez való jog) önmagában nem általános selejtezési kötelezettség, hanem érintett-kezdeményezett jog — ezért a selejtezési szabályzat alapját az 5. és 32. cikk adja.
NIS2 (EU 2022/2555) irányelv 21. cikk — kockázatkezelési intézkedések ISMS-keretben. Az adathordozó-kezelés explicit nincs nevesítve, de a (2) bekezdés a) pontja („kockázatelemzési és információs rendszerek biztonságára vonatkozó szabályzatok”) és h) pontja („kriptográfia és adott esetben titkosítás alapszabályai és eljárásai”) gyakorlatilag lefedi. A NIS2 magyar átültetése külön nemzeti jogszabályban él, az operatív elvárásokat ehhez kell igazítani.
ISO/IEC 27001:2022 A.7.14 — „Secure disposal or re-use of equipment”. A kontrollhoz a Statement of Applicability-ben dokumentált eljárás és bizonyíték kell.
NIST SP 800-88 Rev.1 — Guidelines for Media Sanitization. Nem kötelező Magyarországon, de a beszállítói jegyzőkönyvek és a belső módszertan referenciaként ezt használják.
A szabályzat szövegében ezekre kifejezetten hivatkozzunk, ne csak általánosan a „vonatkozó jogszabályokra”. Audit során a hivatkozás konkrétsága az első kérdés. A tipikus auditori kérdezési logika négy szintű: kockázatértékelés → kontroll alkalmazhatósága a Statement of Applicability-ben → dokumentált eljárás → végrehajtási bizonyíték. A szabályzat ennek a négyszintű nyomvonalnak a harmadik eleme — bizonyíték nélkül önmagában kevés, kockázatértékelési lehorgonyzás nélkül lebeg.
Érdemes a selejtezési szabályzatot a business continuity tervezéssel is összehangolni. Az ISO 27001:2022 két szomszédos kontrollja kapcsolódik: az A.5.29 az „information security during disruption” (információbiztonság zavarhelyzetben), az A.5.30 pedig az „ICT readiness for business continuity” (ICT-felkészültség az üzletmenet-folytonosságra). Ezek keretében a tartalékként megőrzött eszköz és a selejtezésre váró eszköz tudatos megkülönböztetése elvárás. Egy DR-teszt során kivett tartalék gép, amely utána a selejtezési sorba kerül, dokumentált átminősítést igényel.
Audit szempontból gyakran bukó pontok
Tapasztalati alapon — belső auditok és tanúsítási megújítások visszatérő megállapításai alapján — három területen bukik el leggyakrabban a szabályzat:
Hatály alól kicsúszó eszközök. A leggyakoribb: BYOD telefonok, lízing visszaadás előtti adattörlés dokumentálatlansága, illetve a 6–18 hónapja raktározott tartalék gépek („majd lesz vele valami”) kategóriája. A szabályzatban ezeknek külön bekezdés jár.
Hiányos chain of custody. A megsemmisítési tanúsítvány önmagában nem elég, ha az átadás és a végső megsemmisítés között eltelt napokat senki nem dokumentálta. Az auditor jellemzően egy random kiválasztott eszköznél kéri végigkövetni a folyamatot az állományi nyilvántartástól a tanúsítványig.
Beszállítói szerződés gyengeségei. Ha a szabályzat előírja az alvállalkozói lánc dokumentálását, de a szerződésben erre vonatkozó audit jog vagy értesítési kötelezettség nincs, az ellentmondást az auditor jelzi.
Egy belső önaudit, amely ezt a három területet külön ellenőrzi, jellemzően több hibát talál, mint a fő selejtezési folyamat technikai részletei.
Mikor érdemes átírni a szabályzatot?
Konkrét triggerek 2026-ban:
ISO 27001 átállás 2013 → 2022 verzióra. Ha a szervezet tanúsítványa még a 2013-as kontroll-rendszerre épül, a megújításnál az A.7.14 új struktúrája kötelezi az átírást.
NIS2 hatálya alá kerülés. Ha a szervezet 2024–2025-ben került hatály alá (új ágazati besorolás vagy méretváltozás miatt), a meglévő szabályzat valószínűleg nem fedi a vezetői felelősség és a beszállító-felügyelet új elvárásait.
Nagyobb eszközcsere program. Egy laptop- vagy szerverpark cseréje előtt a szabályzat felülvizsgálata olcsóbb, mint utólag rekonstruálni a chain of custody-t.
Incidens vagy közeli incidens. Ha az elmúlt 12 hónapban előfordult olyan eset, amikor egy raktározott vagy átadott eszközön talált adat miatt belső vizsgálat indult, a szabályzat ráadásul teszteltség-bizonyítékként is kell.
A szabályzat átírása önmagában 2–4 hét munkája a folyamatok komplexitásától függően. Ennek többszörösét teszi ki a hozzá tartozó eszközleltár-tisztítás és a beszállítói szerződések felülvizsgálata, amely a tényleges átfutási idő gerincét adja. Ha külső szakértői támogatást keresel a megsemmisítési folyamat és a kapcsolódó dokumentáció kialakításához, kérj ajánlatot egy átvilágítási és tanúsítható megsemmisítési csomagra.
Gyakori kérdések
Kötelező-e külön IT eszköz selejtezési szabályzat 2026-ban?
Magyar jogszabály nem nevesíti külön kötelezőként, de az ISO/IEC 27001:2022 A.7.14 kontroll dokumentált eljárást vár el, és NIS2 hatály alatt a kockázatkezelési intézkedések alátámasztása is dokumentált belső szabályozást igényel. A gyakorlatban audit szinten kötelező.
Mi a különbség az adatkezelési szabályzat és az IT eszköz selejtezési szabályzat között?
Az adatkezelési szabályzat az adatok jogalapját, kezelési céljait és érintetti jogokat szabályozza. Az IT eszköz selejtezési szabályzat az eszközök életciklusának végén a fizikai és logikai folyamatot, a felelősöket és a dokumentációt írja le. A kettő egymásra hivatkozik, de nem helyettesíti egymást.
Ki a felelős a selejtezési szabályzat betartásáért NIS2 alatt?
A NIS2 irányelv (EU 2022/2555) és annak magyar átültetése keretében a felső vezetés személyes felelőssége a kockázatkezelési intézkedések megléte és érvényesülése. Az operatív végrehajtás jellemzően az IT vezető, a független ellenőrzés a belső auditor, a folyamatos megfelelőség-figyelés a compliance vagy adatvédelmi tisztviselő hatáskörébe esik.
Milyen jegyzőkönyv kötelező egy adathordozó megsemmisítéséről?
Általános szabványkövetelmény nincs a jegyzőkönyv pontos formájára, de az audit-elvárt minimumtartalom: a tétel egyedi azonosítói (sorozatszám, leltári szám), a megsemmisítés módja és minősítése (Clear/Purge/Destroy), dátum, helyszín, a végrehajtó megnevezése, valamint — ha a belső szabályzat vagy a beszállítói szerződés előírja — kísérő/ellenőrző fél vagy tanú megjelölése. Beszállítónál az alvállalkozói lánc visszakövethetőségét is biztosítani kell.
Hogyan kezeli a szabályzat a BYOD-eszközöket?
A szabályzatnak rendelkeznie kell az olyan eszközök adattörlési és kivonási folyamatáról, amelyek munkavállalói tulajdonban vannak, de céges adatot tárolnak. Tipikus megoldás: MDM-alapú remote wipe a munkaviszony megszűnésekor, dokumentált igazolás a folyamat lefutásáról, és érintetti tájékoztatás. A szabályzat térjen ki arra is, mi a teendő, ha a remote wipe nem érvényesíthető (eszköz offline, elveszett, vagy a felhasználó nem működik együtt) — ilyenkor incidenskezelési és adatvédelmi kockázatértékelési folyamat indul; NAIH és érintetti bejelentés akkor szükséges, ha a GDPR szerinti kockázati küszöb teljesül.
Évente hányszor kell felülvizsgálni a szabályzatot?
Minimum évente egyszer, valamint minden olyan eseménynél, amely érdemben befolyásolja a folyamatot: jogszabályváltozás, ISMS audit megállapítás, jelentős eszközcsere, beszállítóváltás, vagy adathordozóval kapcsolatos biztonsági incidens.
Külső források
ISO/IEC 27001:2022 — Az információbiztonsági irányítási rendszer szabványa, az A.7.14 kontroll explicit eljárást vár el az eszközök biztonságos selejtezésére.
Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — Az 5. cikk (1) f) (integritás és bizalmas jelleg), a 25. cikk (beépített és alapértelmezett adatvédelem), a 32. cikk (az adatkezelés biztonsága) és a 28. cikk (adatfeldolgozóra vonatkozó követelmények) közvetlenül kapcsolódik a selejtezési folyamat jogalapjához.
Blancco tanúsított adattörlés: az iparági standard, amelyre a vállalati auditok épülnek
A Blancco a tanúsított szoftveres adattörlési megoldások globálisan elismert iparági standardja, amelyet szoftver-alapú adatmegsemmisítési folyamatok auditálható dokumentálására alkalmaznak vállalatok, kormányzati szervezetek és IT-eszközkezelő szolgáltatók. A szoftver NIST SP 800-88 Rev. 1 és más nemzetközi adatmegsemmisítési szabványok szerint végzi a törlést, és minden befejezett folyamathoz digitálisan aláírt, hamisítás ellen védett tanúsítványt állít ki. A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként közép- és nagyvállalati ügyfelek számára nyújtja ezt a tanúsított szolgáltatást.
Legfontosabb megállapítások:
A Blancco által kiállított digitálisan aláírt, kriptográfiailag hitelesített tanúsítvány széles körben elfogadott szoftveres törlési dokumentum, amelyet ISO 27001, GDPR és NIS2 auditokon egyaránt alkalmaznak.
A Blancco egyetlen egységes audit trail-lel kezeli a HDD, SSD (SATA, NVMe), mobil eszköz és szerver típusú adathordozókat is.
A Data Destroy Kft. mint magyarországi hivatalos Blancco-partner helyszíni törlési szolgáltatást kínál, ahol az eszközök nem hagyják el az ügyfél telephelyét a törlés és a tanúsítvány kiállítása előtt.
Egy vállalati IT-selejtezési folyamat a legtöbb szervezetnél informálisan zárul le: az eszközt kiadják a raktárból, valaki “formázza”, majd átkerül a hulladékkezelőhöz, az eszközkezelő partnerhez vagy a másodlagos piacra. A felelős vezető fejében kész a kép — az adat törlve lett. Az auditor fejében azonban egészen más kérdés merül fel: hogyan igazolható ez visszamenőleg, tételesen, eszközazonosítóra lebontva?
A tanúsítottan elvégzett adattörlés nem csupán technikai lépés. Compliance-szempontból azt jelenti, hogy egy szervezet képes utólag, dokumentáltan igazolni, hogy az adott eszközökön tárolt adatok mikor, milyen módszerrel, milyen ellenőrzött folyamatban lettek véglegesen és visszaállíthatatlanul megsemmisítve. Ezt a bizonyíthatósági funkciót számos nagyvállalati adatbiztonsági auditban a Blancco szoftver kimenete tölti be.
Miért nem elegendő a formázás — és mit kérdez az auditor?
A legelterjedtebb félreértés az adattörléssel kapcsolatban az, hogy egy operációs rendszer szintű törlés, egy gyári visszaállítás vagy egy egyszerű formázás elegendő védelmet nyújt. HDD esetén ez évtizedekkel ezelőtt még elfogadható közelítés lehetett, SSD-knél azonban alapvetően hibás feltételezés. A NAND flash memória wear-levelling mechanizmusa miatt a hagyományos felülírási módszerek a tároló teljes fizikailag létező területére nem hatnak ki garantáltan — a maradék adat a megfelelő szoftvereszközökkel visszaállítható maradhat.
Az auditor által feltett kérdés nem az, hogy “ki mondja, hogy törölted” — hanem az, hogy van-e rá dokumentált, harmadik féltől is ellenőrizhető bizonyíték. A kizárólag belső dokumentációra támaszkodó törlési folyamat — naplózás, négyszemközti felülvizsgálat és jóváhagyási lánc nélkül — erős auditkövetelményeket nehezen elégít ki, mivel nem biztosít harmadik fél által is ellenőrizhető igazolást. Egy tanúsított szoftver által automatikusan generált, digitálisan aláírt, integritásvédett riport igen.
Ez az a pont, ahol a Blancco az elmúlt két évtizedben de facto iparági standarddá vált.
A Blancco mint iparági standard: mi teszi elfogadottá az auditokban?
A Blancco nem csupán egy adattörlő szoftver — egy igazolható törlési folyamat dokumentálási rendszere. A szoftver minden befejezett törlési művelethez automatikusan generál egy digitálisan aláírt, audit trail-lel ellátott tanúsítványt, amelyen szerepel az eszköz sorozatszáma és azonosítója, az alkalmazott törlési módszer neve és verziója, a lefutott folyamat pontos időbélyege, a követett szabvány (pl. NIST SP 800-88 Rev. 1, HMG IS5) és a törlés sikerességének visszaigazolása.
Ez az adattörlési tanúsítvány az, amit egy GDPR-audit, egy ISO 27001-megfelelési vizsgálat, egy belső compliance-review vagy egy ügyfél által kért igazolás során be lehet mutatni. Nem támaszkodik emberi memóriára, nem módosítható utólag, és nem igényli a törlést végző személy jelenlétét az elszámoltathatóság biztosításához.
Az ADISA (Asset Disposal and Information Security Alliance) az adatmegsemmisítési folyamatokra kialakított, európai és globális auditokban elismert tanúsítási szervezet. Az ADISA tanúsítási kerete olyan átfogó adatmegsemmisítési folyamatokat minősít, amelyek auditálhatók, szoftveresen dokumentáltak és harmadik fél által ellenőrizhetők. Egy Blancco-ra épülő eljárás kulcsfontosságú eleme lehet egy ilyen folyamat felépítésének.
Mire képes a Blancco: eszköztípusok és törlési módszerek
Az egyik legjelentősebb előny, amelyet a Blancco nyújt, hogy egyetlen szoftverkörnyezetből kezeli a különböző adathordozó-típusokat — egységes audit trail-lel, ami nagyobb selejtezési projekteknél kritikus szervező tényező.
IT eszközök selejtezési folyamata: Blancco szoftverrel elvégzett, auditálható és tételesen dokumentált törlési folyamat.
Merevlemezek (HDD)
Hagyományos felülírásos módszerek, a NIST SP 800-88 Rev. 1 által definiált “Clear” és “Purge” szinteken. HDD-kre tervezett multi-pass felülírási módszerek (pl. régebbi szabályozói keretek által hivatkozott eljárások) szintén elérhetők — az iparági ajánlás azonban HDD-nél is az NIST SP 800-88 Rev. 1 szerinti módszerek alkalmazása.
SSD-k (SATA és NVMe)
A Blancco SSD-specifikus törlési módszert alkalmaz — nem hagyományos felülírással, hanem az egyes meghajtók natív sanitize parancsaival. Az ATA Secure Erase és az NVMe Sanitize parancsok a meghajtó teljes fizikailag elérhető területére kiterjedő törlést hajtanak végre, a NIST SP 800-88 Rev. 1 “Purge” kategóriájának megfelelően. A Crypto Erase módszer szintén Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől fogva Full Disk Encryption volt aktív (self-encrypting drive esetén). Az SSD-törlési módszer megválasztása tehát az adott meghajtó típusától és korábbi titkosítási konfigurációjától függ.
Mobil eszközök
Okostelefonok és táblagépek esetén a Blancco a gyártói szintű törlési parancsok és szoftver által vezérelt folyamatok kombinációját alkalmazza iOS és Android platformokon egyaránt. A BYOD-programok, eszközflotta-rotációk és szervezeti átszervezések során a telefonok törlése az egyik leggyakrabban figyelmen kívül hagyott kockázatforrás.
Szerverek és tárolórendszerek
Blade szervereknél, NAS- és SAN-eszközöknél a Blancco képes tömegesen kezelni a meghajtókat, akár hálózaton keresztül futtatva boot image-ből, ami nagyobb infrastruktúrák selejtezésekor jelentősen csökkenti az üzemeltetési terhet és az átadási időt.
Mindegyik kategória esetén az eredmény ugyanolyan formátumú és hitelességű Blancco-tanúsítvány, ami lehetővé teszi, hogy vegyes eszközállomány selejtezésekor egyetlen egységes dokumentációs csomag keletkezzen.
Blancco és a megfelelési keretrendszerek
A tanúsított adattörlés nem önálló biztonsági intézkedés — hanem azonosítható kapocs a szabályozói elvárások és a tényleges folyamatok dokumentálható bizonyítéka között.
GDPR (5. cikk (1)(e) és 5. cikk (2) — tároláskorlátozás és elszámoltathatóság): A GDPR 5. cikk (1)(e) alapján a személyes adatokat csak a szükséges ideig szabad megőrizni. A 5. cikk (2) elszámoltathatósági elve ezt azzal egészíti ki, hogy az adatkezelőnek képesnek kell lennie igazolni a megfelelés tényét. A selejtezési folyamat dokumentált lezárása — amit a Blancco-tanúsítvány biztosít — az adatvédelmi felelős számára az adatkezelési nyilvántartás fontos bizonyítékeleme. Ha a Data Destroy Kft. végzi a törlést, a konkrét szerződéses és tényleges szerepkörtől függően jellemzően adatfeldolgozói minőségben jár el (GDPR 28. cikk), és a kiállított Blancco-tanúsítvány az adatkezelő felé az elvégzett törlési folyamat igazolásának egyik dokumentált elemeként szolgál.
NIS2 (21. cikk — kockázatkezelési intézkedések): A NIS2 irányelv 21. cikke kiberbiztonsági kockázatkezelési intézkedéseket ír elő, köztük az eszközkezelés és az infrastruktúra biztonságának területén. A selejtezési folyamat igazolható dokumentálása a 21. cikk szerinti eszközkezelési és kockázatkezelési kötelezettségek teljesítésének dokumentálható bizonyítéka — az adattörlési naplózás nem szerepel explicit módon az irányelvben, de a kockázatkezelési elvárások keretében elvárható kontrollnak minősül.
ISO 27001:2022 (A.7.10 és A.8.10 — adathordozók kezelése és adatok törlése): Az ISO 27001:2022 két kontrollban is érinti az adathordozók selejtezését. Az A.7.10 (“Storage media”) az adathordozók fizikai kezeléséről és biztonságos selejtezéséről rendelkezik. Az A.8.10 (“Information deletion”) önálló kontrollként rögzíti a szoftveres adattörlési módszerek alkalmazását és az igazolhatóság követelményét — ez a Blancco-alapú folyamat legdirektebb ISO 27001 kapcsolódási pontja. A Blancco-tanúsítvány mindkét kontroll teljesítésének egyik dokumentált bizonyítékeleme — a teljes megfelelés az eszköznyilvántartással, a selejtezési folyamat dokumentációjával és a jóváhagyási lánccal együttesen igazolható.
Ezek a megfelelési pontok nem új elvárások — az auditok azonban egyre inkább nem a szándékot, hanem a bizonyíthatóságot ellenőrzik. Egy belső auditor vagy egy akkreditált tanúsítási szervezet nem veszi át a szóbeli nyilatkozatot, hogy “mi töröltük”. Kéri a dokumentumot.
Mit jelent a Data Destroy Blancco-partnerség a gyakorlatban?
A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként végez tanúsított szoftveres adattörlést közép- és nagyvállalati ügyfelek számára. Ez a partnerség konkrét tartalmat jelent, amelyet érdemes pontosan érteni.
A szoftvert a Data Destroy nem saját fejlesztésű megoldással, hanem az eredeti Blancco-szoftverrel futtatja, amely automatikusan a Blancco globális tanúsítási rendszerében regisztrált tanúsítványt állít ki minden törlésnél. Ezek a tanúsítványok ugyanolyan formátumban és hitelességi szinten érkeznek, mint bármely más Blancco-partner által kiállítottak — érthetők és elfogadottak minden olyan auditor vagy ügyfél számára, aki korábban már találkozott Blancco-dokumentációval.
A Data Destroy helyszíni törlési szolgáltatást kínál: a szoftver az ügyfél telephelyén fut, az eszközök nem hagyják el a szervezet területét mindaddig, amíg a törlés és a tanúsítvány kiállítása meg nem történt. Ez a modell különösen fontos azokban az esetekben, ahol az eszközöket szabályozói, adatvédelmi vagy biztosítói megfontolásból nem lehet elszállítani a törlés elvégzéséhez.
Az elvégzett törlésekről kiállított tanúsítványok tételesen, eszközazonosítóra (sorozatszámra) lebontva tartalmazzák a dokumentációt. Ez alkalmassá teszi az ügyfél compliance-csapatát, belső auditorait vagy külső vizsgálóit arra, hogy egyértelműen visszakövessék, melyik eszközön mikor, milyen módszerrel végezték el a törlést.
Ha szervezete közelgő IT-selejtezési projektet, auditot vagy eszközflotta-cserét tervez, a Data Destroy Kft. eszközlistára épülő megfelelési javaslattal és előzetes törlési dokumentációs tervvel tud segíteni — kérjen árajánlatot. Az igény az eszközök típusának és mennyiségének megadásával indul — az eredmény tételesen átadható Blancco-tanúsítványcsomag, amely a compliance-folyamat lezárásához szükséges dokumentáció egyik kulcsfontosságú, bizonyító erejű elemét képezi.
Gyakori kérdések
Mi a különbség a Blancco és egy egyszerű adattörlő szoftver között?
A Blancco elsődleges előnye nem a törlési sebesség, hanem a törlési folyamat digitálisan aláírt, automatizált dokumentálása: minden befejezett törléshez tanúsítvány generálódik, amelynek tartalma visszakövethetően azonosítja az eszközt, az alkalmazott módszert, a követett szabványt és az időpontot — auditorok és compliance-szervezetek által elfogadott formátumban.
Milyen eszköztípusokra alkalmazható a Blancco?
A Blancco kezeli a hagyományos merevlemezeket (HDD), SSD-ket (SATA, NVMe), mobil eszközöket (iOS, Android), szervereket és tárolórendszereket (NAS/SAN) — egyetlen egységes audit trail-lel, ami nagyobb, vegyes eszközállomány selejtezésekor különösen előnyös.
Elfogadják-e a Blancco-tanúsítványt a GDPR- és ISO 27001-auditokon?
A Blancco-tanúsítványokat az európai adatvédelmi és információbiztonsági auditok széles körben elfogadják mint a törlési folyamat igazolását, mivel a tanúsítvány tartalmazza az alkalmazott szabványt (pl. NIST SP 800-88 Rev. 1), a törlés időpontját, az eszköz sorozatszámát és az eredmény kriptográfiai visszaigazolását.
SSD törlésénél miért nem elég a hagyományos formázás?
Az SSD-k NAND flash memóriája wear-levelling mechanizmust alkalmaz, amelynek következtében a hagyományos felülírási módszerek nem érik el a tároló teljes fizikailag létező területét. A Blancco SSD-specifikus natív sanitize parancsokat alkalmaz (ATA Secure Erase, NVMe Sanitize), amelyek a NIST SP 800-88 Rev. 1 Purge szintjének felelnek meg. A Crypto Erase módszer Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől Full Disk Encryption volt aktív.
Hogyan történik a helyszíni törlés a Data Destroy Blancco-partnerségén keresztül?
A Data Destroy helyszíni Blancco-törlési szolgáltatása során a szoftver az ügyfél telephelyén fut, az eszközök szállítás nélkül kerülnek törlésre. A folyamat végén tételesen, eszközsorozatszámra lebontva kerülnek kiállításra a Blancco-tanúsítványok, amelyek közvetlenül átadhatók az ügyfél compliance- vagy audit-csapatának.
Mikor indokolt a Blancco-törlés helyett a fizikai megsemmisítés?
A Blancco-alapú szoftveres törlés akkor elegendő, ha az eszköz még működőképes és a tárolófelület épségéről meggyőződtek. Fizikailag sérült vagy meghibásodott meghajtó esetén, ahol a szoftver nem tud kapcsolódni a tároló összes területéhez, a fizikai megsemmisítés marad az egyetlen megbízható módszer — ezt a Data Destroy szintén kínálja.
NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
