Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Mobil
Sulaki - 2019-06-05

A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését széles körben be kell iktatni...  

A mobilszolgáltatóktól, számítógépszervizektől, de még a munkáltatónktól is kérhetjük annak igazolását, hogy a részére átadott adathordozóról megfelelően törölte személyes adatainkat, és ezt a jogunkat széles körben tudjuk érvényesíteni.

 

A GDPR salátatörvénynek becézett jogszabály (azaz a 2019. évi XXXIV. törvény) áprilisi elfogadásával 85 különböző más rendelkezést tett GDPR-kompatibilissé a magyar állam. Az adattörléssel foglalkozó Blancco magyarországi képviselete ennek kapcsán azt vizsgálta meg, hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat, és ezzel kapcsolatban a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) állásfoglalását is kikérte.

 

A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba – emeli ki Molnár Gábor, a NAIH véleményének értelmezését elvégző L-Tender Consulting ügyvezetője. Például, ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles ezt az eszközt fertőtleníteni a személyes adatoktól. Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy
IMEI
számot.

 

A személyes adatok törlésének kötelezettsége ráadásul nem átruházható a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.

 

Szintén adattörlési kötelezettsége van egy mobilszolgáltatónak vagy
PC
-szerviznek olyankor, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania.

 

Az adatvédelmi szakember azt is kiemeli, hogy a törlés módszereként nem fogadható el az egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely a korábbi adatokat az adathordozó teljes felületén felülírja egy megfelelő algoritmussal, és így az adatokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.

 

Több millió mobil érintett

 

A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonok, számítógépek nem kerülhetnek úgy leselejtezésre, adományozásra vagy értékesítésre, hogy ne történjen meg a törlésük. Molnár Gábor szerint könnyen meg lehet érteni, hogy mindez miért fontos. Életszerű feltételezni például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is fel fog keresni különböző weboldalakat. A böngészési előzményekből így következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira. Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy menedzser előléptetésének elbírálása során.

 

A Blancco régióért felelős menedzsere, Tanja Kühnl pedig azt hangsúlyozza, hogy a kérdést a GDPR ugyan a személyek szintjén kezeli, ugyanakkor az ország szintjén is értelmezhető. A Magyarországon leselejtezett mobiltelefonok és számítógépek jelentős része a selejtezés után egy másik országba vándorol, de ez nem jelentheti azt, hogy sok százezer állampolgár személyes adatai is az eszközökkel együtt utaznak.

 

A Blancco képviselője szerint ahogyan az élet más területeit már jól bejáratott szabványok szabályozzák, az adatvédelem területén most alakulnak ki a jó gyakorlatok és sztenderdek. Informatikai szempontból ez legelőször azt jelenti, hogy nem csupán az eszközök, de a rajtuk tárolt adatok életciklusát is meg kell majd tervezniük a vállalkozásoknak, ügyelve arra, hogy a megfogalmazott stratégiában ne csupán az adatok rögzítése, tárolása és mentése, de azok törlése is szerepeljen.