A személyes adatok munkahelyi kezelésekor a célhoz kötöttség és az adattakarékosság elvének kell teljesülnie, ha a munkáltató nem rendelkezik megfelelő jogalappal az adatok kezeléséhez, azokat köteles törölni – áll a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalásában, melyet a német Blancco cég magyarországi képviselőjének, Petrányi-Széll Andrásnak a kérdéseire válaszul fogalmazott meg a hatóság.
A GDPR-salátatörvénynek becézett jogszabály áprilisi elfogadásával 85 előírást tett GDPR-kompatibilissá a Magyar Állam. A rengeteg módosított törvény között a Munka Törvénykönyvének egy előírását is módosították: eltérő rendelkezés hiányában a jogszabály tiltja a munkahelyi gépek magáncélú használatát. Az eltérő rendelkezés lehet például egy belső munkahelyi szabályzat, mely megengedheti az eszköz korlátozott magánhasználatát, vagyis szabályozott környezetet teremt.
A napi gyakorlatban a munkáltatók számára az a legjobb, ha a tiltáshoz nem fűznek szankciót, mert a gyakorlatban még akaratunk ellenére sem lehet ezt a törvényt emtgartani – véli Molnár Gábor, az L. Tender Consulting Kft. tanácsadó cég ügyvezető igazgatója.
Még ha aktívan teszünk is ellene, és például tudatosan sem keresünk ki munkahelyi számítógépünkön egy magáncélból meglátogatandó egészségügy intézmény címét (a böngészési előzmény is magánjellegű adat), a vállalati email címünkre érkezhet magán tartalmú levél, amelyet mások véletlenül küldtek. A mindennapi gyakorlat azt mutatja magáncélú adatok is keletkeznek a munkahelyi eszközön, ezt pedig időszakosan törölni kell, lehetőleg dokumentáltan – tanácsolja az ügyvezető.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalása szerint a személyes adatok kezelésekor a célhoz kötöttség és az adattakarékosság elvének kell teljesülnie. Ez a gyakorlatban azt jelenti, hogy például a munkahelyi gépen keletkezett személyes adatokat rendszeresen törölnie kell a munkáltatónak, lehetőleg még az adatok teljes körű archiválása előtt., hiszen semmi sem jogosítja fel a munkáltatót e személyes adatok tárolására.
Ugyancsak a NAIH állásfoglalása szerint a munkáltató, illetve az informatikai eszközt kezelő vállalkozások kötelezettsége annak bizonyítása, hogy a személyes adatok törlése megtörtént. Ezért célszerű írásban, bizonyító erővel rendelkező módon dokumentálni a személyes adatok törlését. Ennek megfelelő módja lehet például, ha az adatok törléséről jegyzőkönyvet készítenek. A dokumentumban olyan adatokat lehet rögzíteni (például sorozatszám, IMEI-szám), amelyek lehetővé teszik az adathordozó egyértelmű azonosítását, valamint a törlésre használt módszert.
A kiválasztott törlési módszer tekintetében a NAIH állásfoglalása szerint az adatkezelőnek olyan módon kell törölnie a személyes adatokat, hogy azok helyreállítása a továbbiakban ne legyen lehetséges. Vagyis nem elegendő a merevlemez vagy más adathordozó egyszerű formázása, hanem olyan szoftver kell – legyen az ingyenes vagy fizetős – mely felülírja az adatokat, teljesen lehetetlenné téve azok újra állítását.
– Ahogy rengeteg hagyományos iparágban már jól bejáratott szabványok vannak, az adatvédelem területén most alakulnak ki azok a jó gyakorlatok, sztenderdek, melyek az adatipar jövőjét meghatározzák. Nem könnyű feladat – ismerte el Petrányi-Széll András, a Blancco magyarországi képviselője –, hiszen ez még egy dolog, amire a cégeknek figyelniük kell. A jogszabályok betartása, az adatok életciklusának tervezése egy olyan biztonságos jogi környezetet teremt, amely mind a vállalatoknak, mind a fogyasztónak előnyt jelent. Az ügyvezető igazgató szerint az adatipar gondolkodásának is fejlődnie kell. A vállalatoknak sem érdemes minden adatot menteni, válogatás nélkül, ehelyett csak a szükséges adatokat érdemes tárolni. Arról nem is beszélve, hogy az adatok egyszeri, szakszerű és dokumentált megsemmisítése sokkal olcsóbb, mint a rengeteg adat több éveken át történő tárolása.
– Már az adatok keletkezése előtt tervezzük meg az életciklusukat, figyelve az adatok keletkezésére, tárolására, archiválására és törlésére egyaránt – figyelmeztet Tanja Kühnl, a Blancco Németország ügyvezető igazgatója. A Blancco automatizált megoldásaival még az adatok megszületése előtt meghatározható, mikor, mi történjék az adatokkal, a vállalati adatkezelési szabályzat megtartását pedig egységesített, központi felületről tudjuk kezelni. A vállalati adat életciklusának végén a Blancco megoldása az adatokat dokumentáltan, többszörösen felülírva töröli.