GDPR-megfelelő adattörlés: biztos, ami biztos
A GDPR-megfelelés során számos hétköznapi nehézségbe botlanak az adatkezelők; ezek közül is talán a legnagyobb és leggyakoribb kihívás a tökéletes megfelelés az adattárolási, főként -törlési előírásoknak. Nem csoda, ha a legtöbb hiányosságra is itt bukkan az ellenőrző hatóság – amit a bírságok is pontosan visszaigazolnak. Az alábbiakban a törlés szabályos és szakszerű menetével kapcsolatos kötelezettségeket, teendőket járjuk körbe bővebben is.
Saját négyéves GDPR-tanácsadási tapasztalatunk is megerősíti a bevezetőben foglaltakat, míg a napokban egy adatvédelemmel foglalkozó online-csoportban került terítékre az adat megsemmisítés kérdése. És mert a témában egyébként nem is teljesen járatlan fórumozók álláspontja is rendkívül megoszlott, az alábbiakban megválaszoljuk a leggyakoribb kérdéseket – amelyekből ötöt gyűjtöttünk egy csokorba:
Miként lehetséges az „azonnali” adattörlés (a meghatározás szerint: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges), miközben tárhelyszolgáltatónk biztonsági mentésként minden adatot egy hónapig megőriz?
- Elegendő és kell-e a tájékoztatóban leírni az adattörlés folyamatát, időtartamát, és hogy esetleges visszaállítás esetén ismét törlöm?
- A saját operációs rendszeremből történő törlés után nincs is vele több dolgom, hiszen a visszaállíthatatlan törlés és az adatmegsemmisítés a tárhelyszolgáltatóm feladata?
- Csak adattörlő szoftver (pld. Blancco) használatával oldható meg szabályosan?
- Kell igazolnom, és hogyan az érintett számára, hogy töröltem az adatait?
Kérték, de mikor kötelező és mikor nem kell mégsem törölni?
Nézzük előbb az általános, közös szabályokat! Az tiszta sor, hogy a GDPR adatminimalizálási és korlátozott tárolhatósági elveiből következően az adatkezelőnek képesnek kell lennie a törlésre az érintett kérelme – törléshez és elfeledtetéshez való joga – alapján is. Illetve, hogy már ugyan e sor elején indokolt hosszúságú tárolási időt kell meghatároznia, amelyhez megfelelő adattörlési mechanizmusokat, kategorizált és naprakész, rendszeresen felülvizsgált nyilvántartásokat társít. E belső eljárásrendben – szabályzatokban, dokumentumokban – kell meghatározni, hogy az egyes személyes adatokat, illetve adathordozókat milyen elvek mentén és milyen gyakorlattal tartja az aktív vagy a közbenső archiválási életciklusban, illetve hogyan lehet ezeket törölni, selejtezni, megsemmisíteni.
De álljunk is meg egy pillanatra, és vegyük sorra, pár példával legalább, mikor is szükséges valóban törölnünk; és mikor mondhatunk nemet a kérésre.
A törléshez való jog tipikus esetei:
- ha már nem szükséges az adatkezelés,
- ha nincs már jogalap (például hozzájárulás visszavonása),
- tiltakozáshoz való jog gyakorlásakor,
- jogellenes adatkezelés
- és az adatkezelőre vonatkozó jogi kötelezettség teljesítése esetén.
Nem vagyunk kötelesek még kérésre sem törölni, ha az adatok
- megőrzése jogszabályi kötelezettség;
- ha közérdekű (például közegészségügyi, tudományos, statisztikai) célból,
- vagy a szólásszabadság jogának gyakorlása érdekében kezeljük.
A hordozó és a módszer mindegy, a megsemmisítés a lényeg
A GDPR-megfelelő adattörlés kötelezettsége minden formátumú adatkezelésre kiterjed, legyen az papír alapú; manuális vagy gépi, automatizált adatkezelés. A papíré talán a leglátványosabb, hiszen belecsúsztathatjuk egy iratmegsemmisítőbe, elégethetjük, bezúzhatjuk – a GDPR nem részletezi a megoldásokat, csupán a szakszerű, biztonságos megsemmisítést írja elő. Az iratmegsemmisítők különféle biztonsági szabványokkal rendelkeznek, célszerű olyat választani, amely garantálni tudja a szükséges biztonsági szintet.
A külső fizikai adathordozók (pendrive, cd stb) esetén is „rombolhatunk”, a legkézenfekvőbb megsemmisítés itt a bezúzás lehet. A számítógépes, akár felhőbeli adattárolás bonyolultabb eset, hiszen laptopot már nyilván nem törünk, így az ezeken lévő adatok végleges törléséhez az adattörlő szoftverek jöhetnek szóba.
(Egy talán egyelőre széles körben nem elterjedt, de érdekes, ingyenes hatósági megoldás ITT!)
A biztonsági mentést sem őrizhetjük az idők végezetéig
Tovább bonyolíthatja a helyzetet, hogy online adatkezeléseknél (weboldal, tárhely, biztonsági mentés) a biztonsági mentésekből is törölni kell a tartalmat – kanyarodhatunk vissza a bevezető utáni első kérdésre. Ez viszont csak fájl szinten és pontos időpont megadásával végezhető el, legtöbbször csak az adatfeldolgozó (tárhely- vagy szerverszolgáltató) közreműködésével. Sőt, előfordulhat, hogy technológiai korlátok miatt az adat megsemmisítés így nem megvalósítható (például egy teljes, kötegelt biztonsági mentésből nem igazán működik a rekordok válogatott törlése).
Ha valamilyen okból helyre kell állítani a biztonsági mentést, az adattörlési jegyzőkönyvnek vagy nyilvántartásnak megfelelően az is ellenőrzendő, hogy fennáll-e a kockázata korábban törölt személyes adat visszaállításának is, és ha igen, azt újra törölni kell. Ennek menetét érdemes már az adatfeldolgozói szerződésben rögzíteni. Mindezekről – benne a biztonsági mentés végleges törlésének idejéről – az adatkezelési tájékoztatóban kell informálni az érintetteket.
A végleges törlést ráadásul igazolnunk is kell tudni – első pillantásra ez a lehetetlen kategória, hiszen az, hogy „nem látszik”, ugye, még nem bizonyíték… Ehhez érdemes egy anonimizált törlési nyilvántartást vezetni, amelynek segítségével kialakítható olyan folyamat, hogy az adattörlés tényéről anélkül tudjunk nyilatkozni, hogy személyes adatot kezelnénk. (Az anonimizált adatkezelésnek hamarosan önálló blogcikket szánunk.) És természetesen a folyamat lezárásaként magát az érintettet is tájékoztatnunk kell a törlés tényéről – amennyiben az a kérelme alapján történt.
Bár szokásunkhoz híven igyekeztünk a valós életből vett példákkal illusztrálni a szabályokat, egy cikkben nem járhattuk teljes körűen körbe a témát. Ha Önnek is maradt még nyitott kérdése, vagy bizonytalan a GDPR akár egyik-másik részterületén, kérje szakértő tanácsadóink közvetlen segítségét.