A GDPR salátatörvénynek becézett jogszabály (azaz a 2019. évi XXXIV. törvény) áprilisi elfogadásával 85 különböző más rendelkezést tett GDPR-kompatibilissé a magyar állam. A Blancco magyarországi képviselete ennek kapcsán azt vizsgálta meg, hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat, és ezzel kapcsolatban a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) állásfoglalását is kikérte.

A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba – idézi Molnár Gábort, a NAIH véleményének értelmezését elvégző L-Tender Consulting ügyvezetőjét a Blancco közleménye. Például, ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor

a munkáltató köteles ezt az eszközt "fertőtleníteni" a személyes adatoktól.

Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.

A személyes adatok törlésének kötelezettsége ráadásul nem átruházható a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.

Nem elég az egyszerű törlés

Szintén adattörlési kötelezettsége van egy mobilszolgáltatónak vagy PC-szerviznek olyankor, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania.

Az adatvédelmi szakember azt is kiemeli, hogy a törlés módszereként nem fogadható el az egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely a korábbi adatokat az adathordozó teljes felületén felülírja egy megfelelő algoritmussal, és így az adatokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.

Több millió mobil érintett

A Blancco közlése szerint a gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonok, számítógépek nem kerülhetnek úgy leselejtezésre, adományozásra vagy értékesítésre, hogy ne történjen meg a törlésük. Molnár Gábor szerint könnyen meg lehet érteni, hogy mindez miért fontos. Életszerű feltételezni például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is fel fog keresni különböző weboldalakat.

A böngészési előzményekből így következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira.

Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy munkavállaló előléptetésének elbírálása során.

A Blancco régióért felelős menedzsere, Tanja Kühnl pedig azt hangsúlyozza, hogy a kérdést a GDPR ugyan a személyek szintjén kezeli, ugyanakkor az ország szintjén is értelmezhető. A Magyarországon leselejtezett mobiltelefonok és számítógépek jelentős része a selejtezés után egy másik országba vándorol, de ez nem jelentheti azt, hogy sok százezer állampolgár személyes adatai is az eszközökkel együtt utaznak.

Az adattörléssel foglalkozó cégnél úgy látják, hogy az élet más, régóta jól szabályzott területeit után az adatvédelem területén most alakulnak ki a jó gyakorlatok és sztenderdek. Informatikai szempontból ez legelőször azt jelenti, hogy nem csupán az eszközök, de a rajtuk tárolt adatok életciklusát is meg kell majd tervezniük a vállalkozásoknak, ügyelve arra, hogy a megfogalmazott stratégiában ne csupán az adatok rögzítése, tárolása és mentése, de azok törlése is szerepeljen.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.