Jogunk van töröltetni a mobilunkat

A mobilszolgáltatóktól, számítógépszervizektől, de még a munkáltatónktól is kérhetjük annak igazolását, hogy a részére átadott adathordozóról megfelelően törölte-e a személyes adatainkat.
 

Az adattörléssel foglalkozó Blancco magyarországi képviselete azt vizsgálta, hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat, és ezzel kapcsolatban a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) állásfoglalását is kikérte.
 
A jogszabályok és a hatósággal történő konzultáció alapján egyértelmű, hogy a számítástechnikai eszközök adatoktól történő "fertőtlenítését" széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba - emelti ki Molnár Gábor, a NAIH véleményének értelmezését elvégző L-Tender Consulting ügyvezetője. Például, ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles ezt az eszközt mentesíteni a személyes adatoktól. Erről pedig a munkavállaló olyan törlési jegyzőkönyvet kérhet, amely tartalmazza a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.
 
A személyes adatok törlésének kötelezettsége nem átruházható a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.
 
Szintén adattörlési kötelezettsége van egy mobilszolgáltatónak vagy PC-szerviznek olyankor, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania.
 
Az adatvédelmi szakember azt is kiemeli, hogy a törlés módszereként nem fogadható el az egyszerű formázás, ehelyett olyan eljárást kell alkalmazni, amely a korábbi adatokat az adathordozó teljes felületén felülírja egy megfelelő algoritmussal, és így az adatokat visszaállíthatatlanná teszi. A törlés megtörténtét pedig részletes jegyzőkönyvvel kell igazolni mind az ügyfél, mind az ellenőrző hatóságok felé.
 
Több millió mobil érintett
 
A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell mentesíteni a személyes adatoktól, és a mobiltelefonok, számítógépek nem kerülhetnek úgy leselejtezésre, adományozásra vagy értékesítésre, hogy ne történjen meg a törlésük. Molnár Gábor szerint könnyen meg lehet érteni, hogy mindez miért fontos. Életszerű feltételezni például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is fel fog keresni különböző weboldalakat. A böngészési előzményekből következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira.
 
A Blancco régióért felelős menedzsere, Tanja Kühnl azt hangsúlyozza, hogy a kérdést a GDPR ugyan a személyek szintjén kezeli, ugyanakkor az ország szintjén is értelmezhető. A Magyarországon leselejtezett mobiltelefonok és számítógépek jelentős része a selejtezés után egy másik országba vándorol.
 
A Blancco képviselője szerint ahogyan az élet más területeit már jól bejáratott szabványok szabályozzák, az adatvédelem területén most alakulnak ki a jó gyakorlatok és sztenderdek. Informatikai szempontból ez legelőször azt jelenti, hogy nem csupán az eszközök, de a rajtuk tárolt adatok életciklusát is meg kell majd tervezniük a vállalkozásoknak, ügyelve arra, hogy a megfogalmazott stratégiában ne csupán az adatok rögzítése, tárolása és mentése, de azok törlése is szerepeljen.