Adattörlés GDPR kompatibilisan

Négy éve, 2018. május 25-én lépett életbe a General Data Protection Regulation, vagyis leánynevén GDPR. Az évforduló apropóján megnézzük, hogyan kell az adatokat törölni GDPR kompatibilisan.

A GDPR életbe lépése előtt a magyar adatvédelmi törvények és rendelkezések európai szinten is szigorúak voltak. Az Európai Unió Általános Adatvédelmi Rendelete után mindenki számára nyilvánvalóvá vált, hogy az adattörlés folyamatos és állandó feladatokat ad a vállalatoknak.

Miért kell az adatokat törölni?

Röviden azért, mert a törvény ezt előírja.

A GDPR egyik alapeleme, hogy egy bizonyos időszakra korlátozza a személyes adatok tárolását. Az adatokat csak addig lehet tárolni, amíg az információra szüksége van a szervezetnek. Persze, ezt nem azt jelenti, hogy például a vásárlói adatokat az érintett hozzájárulása nélkül marketing célokra is felhasználja a vállalat. Az adatok gyűjtésének okát meg kell adni, jelölni. Amint ez az ok megszűnik, az adatokat törölni kell. A vállalatoknak törlési és rendszeres felülvizsgálati határidőket is meg kell állapítani, ezen eseményekről nyilvántartást kell vezetniük.

Mikor kell törölni az adatokat?

A GDPR és a 2011-es Infotörvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) pontosan leírja azokat az eseteket, amikor az adatokat a cégnek törölnie kell:

  1. Ha az adatok kezelése jogellene
  2. Ha az érintett (az adat tulajdonosa) kéri
  3. Ha az adat hiányos vagy téves, és ez a helyzet csak adattörléssel orvosolható (feltéve, hogy a törlést a törvény nem zárja ki)
  4. Az adatkezelés célja megszűnt vagy az adatok tárolásának ideje lejárt
  5. Az adattörlést valamely bíróság vagy hatóság elrendelte

A rendelkezések szerint az adattörlést a magyar vállalatoknak a rendelkezésre álló legbiztonságosabb technológiával kell végrehajtani, minősítetten.

Hogyan töröljük az adatokat?

A vállalatok számára a minősített adattörlés a járható út, amikor egy szoftver használatával egy zárt láncba bekerült adathordozót többszörösen felülírják véletlenszerű 0-val és 1-sel. Ezzel garantáljuk, hogy a rajta lévő információt senki, semmilyen szoftverrel vagy egyéb megoldással nem tudja visszanyerni. A törlésnél használt algoritmusok katonai szintűek, így az adatok megsemmisítése garantált.

Például a Blancco által is használt DoD 5220.22-M szabvány olyan eljárást határoz meg, amely az adathordozók felülírását egyesek és nullák mintáival végzi el, három felülírási ciklusban, melyeket az eljárás végén egy visszaellenőrzés követ. Ennek során minden elérhető terület felülírásnak először (bináris) nullákkal, aztán egyesekkel, végül pedig véletlenszerű mintával. Ezt követően az utolsó felülírási ciklus visszaellenőrzése következik.

Az adathordozók kivezetése

Szintén fontos GDPR szempontból az adathordozók dokumentált kivezetése. Ezeket nem lehet például egyszerűen kiszerelni a használt eszközből, majd eladni. A rajtuk lévő adatokat jegyzőkönyvezetten, minősítetten törölni kell. Ehhez külső vállalattól – például a Data Clear-tól – is igénybe vehetünk adattörlési szolgáltatást.

A minősített adattörlés nagy előnye, hogy az adathordozók nem semmisülnek meg, azokat el lehet adni vagy oda lehet adományozni másoknak.

Vannak esetek, amikor az adatokat csak az adathordozó fizikai megsemmisítésével lehet minősítetten törölni: amikor például az adathordozó fizikailag sérült és az adatokat nem tudjuk elolvasni róluk. A fizikai megsemmisítéskor a keletkezett hulladék megterheli a környezetet, így csakis indokolt esetben vegyük igénybe.

A minősített adattörlés vagy a fizikai megsemmisítés is garantálja, hogy az adatok megsemmisülnek, így azok nem kerülhetnek illetéktelenek kezébe. Hiszen GDPR kompatibilisan töröltük őket.

Published by Vass Enikő

Adatok, környezetvédelem és újrahasznosítás - kell ennél több?

Leave a comment

Your email address will not be published.