Bárkivel előfordulhat, hogy telefonját, tabletét, számítógépét szervizbe kell vinnie vagy garanciális cserét kell kérnie. Szintén gyakori eset, hogy munkahelyváltáskor az alkalmazottnak vissza kell adnia a munkáltatótól kapott digitális eszközöket. Mivel ezeken az eszközökről nagy valószínűséggel érzékeny személyes adatok is lehetnek, melyek kezelése a GDPR hatálya alá esik, felmerül a kérdés: mi garantálja az eszközökön lévő adatok biztonságát?

Kézenfekvő lenne persze, hogy mindenki törölje az adatait, mielőtt az adott eszközt átadja. Csakhogy visszaállíthatatlanul kevesen tudnak törölni adatokat az eszközükről, másrészt sokszor épp az a probléma, hogy a felhasználó nem is fér hozzá az adataihoz, mert az eszköz nem működik, vagy – vállalati eszköz esetén – csak korlátozott hozzáférése van.

Bár a 2011-től hatályban lévő Infotörvényt a törvényhozók már tavaly nyáron összhangba hozták GDPR-rel, számos olyan korábban született szektorális jogszabályt is módosítani kellett, amely tartalmaz adatvédelemre vonatkozó rendelkezéseket. Az országgyűlés áprilisban fogadta el azt a módosítót (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról), amely 85 különböző rendelkezést tett GDPR-kompatibilissé. (Az Infortörvény tavalyi módosításait itt foglaltuk össze.)

Módosítani kell a vállalati eszközök kezelését

Az áprilisi módosítás kapcsán az adattörléssel foglalkozó Blancco magyarországi képviselete állásfoglalást kért a Nemzeti Adatvédelmi és Információszabadság Hatóságtól (NAIH), hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat.

A NAIH jogértelmezése szerint egyértelmű, hogy a számítástechnikai eszközök adatoktól történő megtisztítását széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba. Azaz ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles arról bizonyíthatóan visszaállíthatatlanul törölni a személyes adatokat. A törlésről a munkavállaló jegyzőkönyvet kérhet, amelynek tartalmaznia kell a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.

A NAIH elnöke, Péterfalvi Attila álláspontja szerint a törlési kötelezettség nem ruházható át a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.

"Az Infotv. 3. § 13. pontja alapján »adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges«. A fenti jogszabályhely alapján az adatkezelőnek olyan módon kell törölnie az érintett személyes adatát, hogy annak helyreállítása a továbbiakban ne legyen lehetséges. A fentiekre tekintettel nem elegendő a merevlemezek, illetve más informatikai adathordozók »egyszerű formázása«. A beadványban említett ingyenes szoftver (DBAN) vagy bármely más »HDD wipe« jellegű szoftver is megfelelhet ennek a célnak" – írja Péterfalvi.

A szervizeknek is így kell eljárniuk

Az adattörlési kötelezettség a mobilszolgáltatókat és a szervizeket is terheli, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania. Péterfalvi álláspontja szerint az adatkezelés szempontjából nincs különbség aközött, hogy az érintett (azaz az eszköz használója vagy tulajdonosa) az adatkezelő munkavállalója vagy az ügyfele.
 

Péterfalvi Attila, a NAIH elnöke (MTI Fotó: Marjai János)

Az adatvédelmi biztos külön kitér az adathordozók megsemmisítésére. Mint írja, a piacon többen is foglalkoznak adathordozók szakszerű megsemmisítésével. Ugyanakkor a szakszerűség garantálása szempontjából fontos lehet, hogy a cég rendelkezzen olyan tanúsítvánnyal, ami ilyen jellegű profillal kapcsolatos. Szintén fontos, hogy a folyamat végén készüljön egy olyan hivatalos megsemmisítési jegyzőkönyv, amivel bármikor tudja igazolni a hatóságoknak és az érintetteknek, hogy az adathordozó, illetve a rajta tárolt adatok megsemmisítésre kerültek.

A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonok, számítógépek nem kerülhetnek úgy leselejtezésre, adományozásra vagy értékesítésre, hogy ne történjen meg a törlésük – véli a compliance-tanácsadással foglalkozó L Tender-Consulting ügyvezetője, Molnár Gábor.

A törlendő adatok köre ráadásul meglehetősen széles. Életszerű például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is felkeres különböző weboldalakat, így a böngészési előzményekből, esetleg a metaadatokból következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira. Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy menedzser előléptetésének elbírálása során.

A folyamatok kialakításánál érdemes figyelembe venni, hogy a 2020 januárjában életbe lépő e-Privacy rendelet a GDPR-nél szélesebben értelmezi a személyes adatok körét. A rendelet értelmében például különleges személyes adatként kell kezelni a metaadatokat is.