Tech

Csak kevesen tudják ezt a leselejtezett mobilokról és laptopokról

Nem elég a gyári visszaállítás, adattörlő szoftverekkel lehet csak garantálni azt, hogy valaki nem állítja vissza az adatainkat a használt mobilunkról. Személyes adataink akár céges laptopon, telefonon keresztül is eljuthatnak a munkáltatónkhoz, vagy egy GSM bolt tulajához, de a GDPR előírásainak köszönhetően mi is kérhetjük ezek törlését.
Korábban a témában:

Már többször is írtunk arról az új törvényről munkahelyi facebookozás kapcsán, ami az európai uniós adatvédelmi rendelettel (GDPR) való összhang megteremtése érdekében lépett hatályba április 26-án a módosított Munka Törvénykönyvben. Az új szabályozás szerint a cégek alkalmazottai alapesetben csak munkára használhatják azokat a számítástechnikai eszközöket és rendszereket, amelyeket a munkaadóik rendelkezésükre bocsátanak a feladatok elvégzéséhez, hacsak erről külön nem állapodnak meg másként.

Korábban jogi szakértővel beszélgettünk arról, mit jelent majd ez a gyakorlatban, és milyen változásokat hoz a korábbi helyzethez képest:

Az új törvény is azt mondja majd: munkaidőben nem facebookozni kell
Pár héten belül ezek a változások jöhetnek a munkahelyi netezésben.

Életszerű kérdések azonban még mindig maradtak a személyes adatokkal kapcsolatban, főleg azok törlése kapcsán, ilyen téren ugyanis a GDPR még tovább szigorított. Egyrészt a személyes adatok tárolása minden esetben arra az időtartamra van korlátozva, amíg valamilyen okból elengedhetetlen a meglétük, továbbá az adatkezelőnek köteles tájékoztatást adnia arról, milyen személyes adatokat tárol.

Igaz, hogy a munkahelyi eszköz elsősorban a munkavégzéssel kapcsolatos feladatokra való, de feltételezhető, hogy személyes adatot is tartalmaznak – már a böngészési előzmény alapján is profilt lehet felállítani egy felhasználó vallási, politikai irányultságáról.

Eladja a mobilját? Erre figyeljen oda!
Egyre többen cserélik le használt mobiljukat, de vajon mindenre odafigyelnek?

Szintén hétköznapi példa, hogy mi van például mi van akkor, ha vásároltunk egy mobilt, majd miután az meghibásodott, a szolgáltató kicseréli nekünk, de érzékeny adatok maradtak rajta? Mi történik, ha felmondunk a munkahelyünkön, és a visszaadott gépen feltételezhetően vannak személyes adatok is?

Az adattörlési szoftvereket gyártó Blancco termékeit Magyarországon forgalmazó V-Detect Antivírus Kft. kikérte a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalását a fenti kérdésekkel kapcsolatban, amit az L-Tender Consulting szakembere segített értelmezni nekünk egy sajtóbeszélgetésen.

Huncut képek maradtak a gépen, most mi lesz?

Mint elhangzott: az átlagfelhasználót túlságosan nem érdekli az adatai védelme, csak akkor, ha már megtörtént a baj, mondjuk erotikus fotók, videók szivárogtak ki róla. A kompromittáló felvételek akár karriereket tehetnek tönkre. A felejtés joga a neten nem működik: ami felkerült az internetre, az ott marad. De ugyanígy a használt eszközeinken is ott maradnak használható adatok.

A KPMG International 2010-es jelentése szerint az incidensek 10%-át okozzák a nem megfelelően eltávolított IT eszközökön maradt adatok. A saját vagy mások hírnevének rontása mellett az adott cégnek jelentős büntetéssel is szembe kell néznie, amit ez egyre szigorodó adatvédelmi szabályok miatt kell kifizetnie.

A Kessler International 2009-es tanulmánya szerint a merevlemezek kb. 40 százaléka, amely a használtcikk-piacra kerül, még mindig tartalmaz szenzitív adatokat. 

Az informatikai eszközöket kezelő vállalkozások (így például mobiltelefonok forgalmazásával foglalkozó szervezetek, használt GSM boltok), illetve számítógépek javításával és kereskedelmével foglalkozó vállalkozások alapvetően kétféle módon juthatnak személyes adatokhoz az eszközeink által: garanciális ügyintézés, valamint felvásárlás során. Az adatok pedig nem csak azért maradhatnak rajta a kütyün, mert a tulajdonos nem volt elég körültekintő, hanem mert például nem is lehetséges őket törölni a készülék hibája miatt (például eltört a képernyő, nem kapcsol be a mobil.)

Fotó: iStock

De tipikus forgatókönyv, hogy a cégnél használt eszközöket leselejtezik, továbbadják más munkatársaknak, vagy a dolgozó mond fel és visszaadja a gépet. A cégek esetében az is gyakori, hogy az új alkalmazott a régebbi, cégtől már eltávozott kolléga készülékét kapja használatra. Ez az átadás viszont biztonsági kockázattal jár, ha nem megfelelően készítjük elő a készüléket, vagyis nem megfelelően töröljük az adatokat. Például a marketingosztályon használt mobil a beszerzési osztályon dolgozó kollégához kerülhet, így hozzáférhet az ügyféladatokhoz.

Továbbá egy általunk használt eszközökön, legyen az céges mobil, vagy laptop tartalmazhatja a családtagok, ismerősök nevét és telefonszámát, jelszavainkat is, a mindennapok során használt céges mobilokkal pedig feltételezhetően fotókat is készítünk.

Kevesen vannak tisztában azzal, hogy a szolgáltató/adatkezelő köteles törölni az eszközön hagyott fájljainkat, ha kérjük, és arról igazolást is adni.

A V-Detect Antivírus Kft. által kikért állásfoglalásában az NAIH azt a tájékoztatást adta, hogy az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelőnek pedig kötelessége ennek eleget tenni. Ez igaz a munkahelyi eszközökre, és az informatikai eszközöket kezelő vállalkozásokra (így mobil operátorokra, használt GSM boltokra) is.

Mi számít törlésnek?

A V-Detect arról is érdeklődött továbbá, hogy elég-e az egyszerű formázás, illetve az internetről ingyen tölthető szoftverek használata. Az adattörlés fogalma a NAIH szerint:

Az adat felismerhetetlenné tétele olyan módon, hogy a helyreállítása többé nem lehetséges.

Így nem elegendő a merevlemezek egyszerű formázása, de az olyan ingyenes szoftverek, mint a DBAN, vagy más „HDD wipe” jellegű szoftver megfelelhetnek a célra. Ahogy a Blancco is írja honlapján: a biztonságos adattörlés sok esetben nem egyenlő a gyári állapot visszaállításával, szoftveres megoldással lehet tanúsítottan tökéletes adattörlést megvalósítani.

Ahogy a NAIH állásfoglalásában is felhívja rá a figyelmet: az adathordozók szakszerű megsemmisítésével többen foglalkoznak a piaci szektorban. A szakszerűség garantálása szempontjából fontos lehet, hogy a cég a folyamat végén ki tudjon állítani egy hivatalos megsemmisítési jegyzőkönyvet. Ezzel bármikor tudja igazolni a hatóságok és érintettek felé, hogy az adathordozó és a rajta tárolt adatok megsemmisítésre kerültek, ezzel pedig büntetések is megelőzhetők.

A vállalatok az elbocsátott munkatárs személyes adatait is kötelesek védeni. Így ha a munkatárs a mobiltelefonnal személyes fotókat készített, majd ezek a fotók a flottakezelőtől vagy egy GSM-szervizből kikerülnek egy bulvármagazinhoz, akkor a korábbi munkatárs kártérítési igénnyel léphet fel a vállalattal szemben.

Az adatkezelőnek kötelezettsége a személyes adatok törlésének bizonyítása, amit célszerű írásban, bizonyító erővel dokumentálni, és olyan azonosítókat is fel kell tüntetni, amelyek egyértelművé teszik az adathordozó beazonosítását (pl. IMEI-szám, sorozatszám), illetve hogy mi a törlésre használt metódus. Többek közt erre is képesek a Blancco mobildiagnosztikai és biztonsági adattörlési szoftverei, amelyekkel évente több millió merevlemezt, mobiltelefont, memóriakártyát és más adathordozót törölnek, erről részletes és hamisítás ellen védett jegyzőkönyv kerül kiállításra.

(Kiemelt kép: iStock)

Ajánlott videó mutasd mind

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

A cikkhez ide kattintva szólhatsz hozzá.
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.