Korántsem légből kapott példa - magyar közszereplővel is megtörtént az utóbbi eset. A szervizben kíváncsi volt valaki, ennek eredményét pedig gondosan őrzi az internet, gondosabban az illető nemes cselekedeteinek írásos nyomainál. Mobiltelefonnál a gyári beállítások visszaállítása sem elegendő, mert némi igyekezettel és gyakorlattal a banki tranzakcióknál használt sms-visszaigazolásokat is elő lehet túrni, sorolta a példákat egy májusi sajtóbeszélgetésen Molnár Gábor, az L-Tender-Consulting ügyvezetője. Teljes biztonságot csak a többszörös felülírás adhat - tette hozzá Tanja Kühnl, a Blancco vezérigazgatója.
Egyetértettek abban, hogy a reputációs kockázat sokkal drágább, mint az adatok maradéktalan törlése. Amennyiben valamilyen adatszivárgás miatt hatósági eljárás indul, a szolgáltatónak kell igazolnia, hogy mindent megtett az adatbiztonság érdekében. A munkáltatóknak is tisztában kell lenniük azzal, hogy a céges hardvereken tárolódhatnak személyes dokumentumok és fotók, a munkavállaló közösségi oldalakhoz vagy pénzügyi szolgáltatásokhoz használt jelszavai és olyan internetes böngészési előzmények, amelyekből az illető egészségügyi státuszára, vallási vagy szexuális beállítottságára lehet következtetni. A Munka törvénykönyve ezért diszkréten közelít a problémához, amikor úgy fogalmaz, hogy ellenkező rendelkezés hiányában céges eszközöket magáncélra használni tilos.
Archiválunk, archiválunk?
Életszerűbb azonban, hogy az alkalmazottak igenis használják magáncélra a céges laptopot vagy telefont, ha már éppen az van a kezük ügyében. A GDPR viszont a személyiségi jogokat részesíti előnyben, a szolgáltatókra, illetve a vállalatokra hárítva az adattörlés kötelezettségét, ami semmilyen körülmények között nem terhelhető az ügyfélre vagy dolgozóra. Ez vonatkozik a magánlevelezésre is, amelyet a céges levelezőszerver akár az idők végezetéig tárolhat, hiába pucolták fényesre a kliens eszközök adattárolóit.
Korábban a vállalatok arra törekedtek, hogy az adatvagyont minél több módon és helyen archiválják, a GDPR életbe lépése óta azonban el kell gondolkodniuk azon, valóban érdemes-e minden adatot több példányban megőrizniük, figyelembe véve az adattárolás és -megsemmisítés költségét, munkaigényét. Németországban törvény kötelezi a munkaadókat arra, hogy a felvételüket követő harmadik hónap után minden dolgozó CV-jét töröljék a rendszerekből, hogy azok később se kerülhessenek illetéktelen kezekbe, emlékeztettek a Blancco szakemberei.
Jogunk van töröltetni
A GDPR salátatörvénynek becézett magyar jogszabály, a 2019. évi XXXIV. törvény nem megy ennyire messzire, áprilisi elfogadásával mégis nyolcvanöt különböző más rendelkezést tett GDPR-kompatibilissé a magyar állam. A Blancco magyarországi képviselete ennek kapcsán azt vizsgálta meg, hogy az adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat, és ezzel kapcsolatban kikérte a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) véleményét is.
A NAIH állásfoglalása szerint az adatkezelés kizárólag akkor és annyiban jogszerű, amennyiben a GDPR 6. cikkének első bekezdésében foglaltak közül legalább egy teljesül. Személyes adatok kezelése során az adatkezelőnek meg kell felelnie többek között a célhoz kötöttség és az adattakarékosság elvének is, emelte ki állásfoglalásában a NAIH elnöke.
A jogszabályok és a hatósággal folytatott konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő fertőtlenítését be kell iktatni a különböző munkahelyi és üzleti folyamatokba, hangsúlyozta a NAIH véleményét értelmező Molnár Gábor. Például, ha egy munkavállaló visszaadja a munkáltatójának céges mobiltelefonját vagy notebookját, a munkáltató köteles ezt az eszközt megtisztítani a személyes adatoktól. Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását biztosító sorozatszámot vagy IMEI-számot. Ráadásul a személyes adatok törlésének kötelezettsége akkor is terheli a munkáltatót, ha az eszköz személyes célokra használatát a munkaszerződésben nem engedélyezte.
Szintén adattörlési kötelezettsége van a mobilszolgáltatónak vagy PC-szerviznek olyankor, ha mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania. Molnár Gábor egyértelművé tette, hogy a törlés módszereként nem fogadható el egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely az adathordozó teljes felületén megfelelő algoritmussal felülírja a korábbi adatokat, s így azokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.
Mobilok milliói érintettek
A gyakorlatban mindez azt jelenti, hogy évente sokmillió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonokat, számítógépeket nem lehet úgy leselejtezni, továbbadományozni vagy -értékesíteni, hogy előbb ne gondoskodnának a törlésükről. Tanja Kühnl hangsúlyozta, hogy a kérdést a GDPR ugyan a személyek szintjén kezeli, ugyanakkor az ország szintjén is értelmezhető. A Magyarországon leselejtezett mobiltelefonok és számítógépek jelentős része a selejtezés után másik országba vándorol, de ez nem jelentheti azt, hogy sok százezer állampolgár személyes adatai is az eszközökkel együtt utazzanak.
A Blancco képviselője szerint az élet más területeit már jól bejáratott szabványok szabályozzák, az adatvédelem területén pedig most alakulnak ki a jó gyakorlatok és sztenderdek. Informatikai szempontból ez legelőször azt jelenti, hogy nem csupán az eszközök, de a rajtuk tárolt adatok életciklusát is meg kell majd tervezniük a vállalkozásoknak, ügyelve arra, hogy a megfogalmazott stratégiában ne csupán az adatok rögzítése, tárolása és mentése, de azok törlése is szerepeljen. Hozzátette: léteznek ugyan ingyenes segédprogramok, de azok nem készítenek dokumentációt az adattörlésről, míg a Blancco megoldásai előre telepíthetők és a kívánt időpontban távolról elindíthatók, a jelentés pedig a felügyeleti konzolra érkezik.
