Szintén gyakori eset, hogy munkahelyváltáskor az alkalmazottnak vissza kell adnia a munkáltatótól kapott digitális eszközöket. Mivel ezeken az eszközökről nagy valószínűséggel érzékeny személyes adatok is lehetnek, melyek kezelése a GDPR hatálya alá esik, felmerül a kérdés: mi garantálja az eszközökön lévő adatok biztonságát?

Kézenfekvő lenne persze, hogy mindenki törölje az adatait, mielőtt az adott eszközt átadja. Csakhogy visszaállíthatatlanul kevesen tudnak törölni adatokat az eszközükről, másrészt sokszor épp az a probléma, hogy a felhasználó nem is fér hozzá az adataihoz, mert az eszköz nem működik, vagy – vállalati eszköz esetén – csak korlátozott hozzáférése van.

Bár a 2011-től hatályban lévő Infotörvényt a törvényhozók már tavaly nyáron összhangba hozták GDPR-rel, számos olyan korábban született szektorális jogszabályt is módosítani kellett, amely tartalmaz adatvédelemre vonatkozó rendelkezéseket. Az országgyűlés áprilisban fogadta el azt a módosítót (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról), amely 85 különböző rendelkezést tett GDPR-kompatibilissé. (Az Infortörvény tavalyi módosításait itt foglaltuk össze.)

Módosítani kell a vállalati eszközök kezelését

Az áprilisi módosítás kapcsán az adattörléssel foglalkozó Blancco magyarországi képviselete állásfoglalást kért a Nemzeti Adatvédelmi és Információszabadság Hatóságtól (NAIH), hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat.

A NAIH jogértelmezése szerint egyértelmű, hogy a számítástechnikai eszközök adatoktól történő megtisztítását széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba. Azaz ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles arról bizonyíthatóan visszaállíthatatlanul törölni a személyes adatokat. A törlésről a munkavállaló jegyzőkönyvet kérhet, amelynek tartalmaznia kell a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.

A NAIH elnöke, Péterfalvi Attila álláspontja szerint a törlési kötelezettség nem ruházható át a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.

"Az Infotv. 3. § 13. pontja alapján »adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges«. A fenti jogszabályhely alapján az adatkezelőnek olyan módon kell törölnie az érintett személyes adatát, hogy annak helyreállítása a továbbiakban ne legyen lehetséges. A fentiekre tekintettel nem elegendő a merevlemezek, illetve más informatikai adathordozók »egyszerű formázása«. A beadványban említett ingyenes szoftver (DBAN) vagy bármely más »HDD wipe« jellegű szoftver is megfelelhet ennek a célnak" – írja Péterfalvi.

A szervizeknek is így kell eljárniuk

Az adattörlési kötelezettség a mobilszolgáltatókat és a szervizeket is terheli, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania. Péterfalvi álláspontja szerint az adatkezelés szempontjából nincs különbség aközött, hogy az érintett (azaz az eszköz használója vagy tulajdonosa) az adatkezelő munkavállalója vagy az ügyfele.

Olvass tovább: Mi lesz a személyes adatainkkal, ha szervizbe visszük a mobilt?