Nem mese az állami adattörlésről meg arról, hogyan lehet egy jó ötletet, gondolom nem kevés pénzből, végül elég furcsán megvalósítani.

Egészen friss hír - én itt olvastam -, hogy egy 2019-es törvényjavaslat szerint a Nemzeti Média- és Hírközlési Hatóság (NMHH) ingyenes adattörlési szolgáltatást biztosít a fogyasztók részére. A részletes szabályokat a 726/2020. (XII. 31.) Korm. rendelet tartalmazza. Eszerint az NMHH gondoskodik a fogyasztók számára értékesített adathordozók mellé adandó, egyszer felhasználható kódot tartalmazó, sorszámozott címkék előállításáról és azokat térítésmentesen adja át Budapest Főváros Kormányhivatala (BFKH) részére, amely a címkék további szétosztásáról gondoskodik. A kereskedők az illetékes járási (Budapesten kerületi) kormányhivatalban megkapják a címkéket, amelyeket az értékesített adathordozóról kiállított számviteli bizonylathoz, jótállási jegyhez, csomagoláshoz csatolnak. Az átvett címkéket az átvételtől számított max. 3 hónapon belül fel kell használni. A kereskedő nyilvántartást kell vezessen az eladott termékek mellé adott címkékről, minden hónap 15-ig adatot kell szolgáltatnia a BFKH részére a felhasznált címkékről, gondoskodnia kell a fel nem használt, sérült, visszavett címkék járási hivatal részére történő visszajuttatásáról. A nyilvántartás jelenleg manuális, elektronikus megoldás valamikor 2022-ben várható (közel két év nem volt elegendő a megfelelő ügyvitel kidolgozására és elektronizálására). Mire idáig jutottam, már zsongott a fejem a formálódó komplex folyamat és a rá épülő egyéb ellenőrzések, nyilvántartások és hasonlók felsorolásától.

Forrás: nmhh.hu/veglegestorles

A törlést végző szoftvert a német Certus Software szállítja. A honlapjuknak magyar változata is, de a CECE alkalmazás (Certus Erasure Consumer Edition - Certus Erasure Fogyasztói Változat) annyira új, hogy a cég honlapján a leírásnál valamennyi nyelven csak egy 'Hamarosan...' üzenet fogadja a látogatót. UPDATE 12.10.: az oldalon megjelent egy 'Programok' menüpont, miközben a 'Termékek' is megmaradt. A 'Programok/Certus Erasure Consumer Edition' almenüpont vezet a törlő alkalmazás oldalára, a 'Termékek/Certus Erasure Fogyasztói Változat' oldalon a meg(nem)jelenő információ változatlan.

Van tehát egy a feladat ellátására minden bizonnyal alkalmas termék, van egy meglehetősen bonyolult eljárásrend, ami azt célozza, hogy a szoftvert csak azok használhassák, akik egy adott időpont után vettek egy különálló adattárolót, vagy azt tartalmazó készüléket. Minden szép, mindenki jót akar, mi akkor a gond?

Kezdem ott, hogy az valóban nincs rendben, ha az adathordozókról azok el-, illetve továbbadása, selejtezése előtt nem törölnek megbízhatóan minden személyes adatot. Persze nem csak a magánszemélyek körében fordul elő ez, főként a kisebb (és olykor nagyobb) cégek esetében is megtörténik. De ez az állam által biztosított lehetőség nem most, hanem valamikor a jövőben hoz egyfajta megoldást szándéka szerint a magánszemélyek és a vevőként szintén fogyasztónak minősülő vállalkozások - (EU) 2018/302 rendelet 2. cikk 13.) - számára. Ami a GDPR megfelelést illeti, mint az egész folyamat kezdetét jelentő törvénymódosítást (a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 184. § (2) bekezdés d)), aminek értelmében az NMHH térítésmentesen "az adatok végleges hozzáférhetetlenné tételét lehetővé tevő alkalmazás biztosításával kapcsolatban térítésmentes szolgáltatást nyújt a fogyasztók részére", nem világos, hogy egy adathordozó végleges törlését bizonyító dokumentum pontosan mire alkalmas még a törlés tényének dokumentálásán túl?

Kérdés továbbá, hogy ha a magánszemélyek és vállalkozások körében ilyen komoly problémát jelent a személyes adatok kezelésével kapcsolatos kötelezettségek be nem tartása, akkor a választott módszer mellett/helyett talán célszerű lenne a kapcsolódó ismeretek hatékony terjesztése az érintettek körében.

Mire jó?

• Újonnan vásárolt PC-k (Windows, MacOS, Linux asztali gépek, laptopok) adattárolói (HDD, SSD), külső adattárolók (HDD, SSD), pendrive-ok, Android és iOS operációs rendszerű eszközök teljes adattörlésére.

Mire nem jó?

• Már meglévő és eladásra, átruházásra, selejtezésre kerülő adattárolók törlésére.
• A második tulajdonos által végrehajtandó törlésre (kivéve, ha a továbbadás előtt a tulajdonos nem használja fel a címkét és az eszközzel együtt azt is adja).
• Memóriakártyák adattörlésére.
• Részleges adattörlésre.

Hol van benne pénz?

• Címkék gyártása.
• Alkalmazás licencelése a gyártótól.
• Nem közvetlenül kimutatható: a rendszer működtetésére fordított munkaidő (kereskedők, államigazgatás)
• A lebonyolítást segítő állami cég (AH zRt. honlap) fejlesztése és üzemeltetése.
• Elektronikus ügyintézés fejlesztése. 

A veglegestorles.hu domain használója az Antenna Hungária zRt. A domain átirányítással a certus.ahrt.hu weboldalra vezet. 2021. december 6-án az oldalt nem védi biztonságos adatátviteli protokoll. Van ugyan tanúsítványa, de lejárt és a képernyőmentés időpontjában nem érvényes.

UPDATE 12.10.: a veglegestorles.hu most már érvényes tanúsítvánnyal rendelkezik, de a certus.ahrt.hu oldal is elérhető és a tanúsítványa továbbra is érvénytelen, a kapcsolat nem biztonságos.

Van tehát egyfajta megoldás, kérdés persze, hogy az érintettek tudják-e pontosan, mire és hogyan alkalmazható, mire jó és mire nem? Az adathordozók törléséről készült jegyzőkönyvet, amely személyes adatokat és a törölt eszköz egyedi azonosítását is lehetővé tévő adatokat tartalmaz, egy magáncég tárhelyére tölti fel a folyamat végén az alkalmazás. Erről a veglegestorles.hu (certus.ahrt.hu/#/license) oldalon olvasható Adatkezelési tájékoztatóban - amely valójában a Certus Software GmbH Adatkezelési Szabályzata pdf formátumban - nem esik szó.

Az adatok biztonságos kezelése magánszemélyek és vállalkozások esetében is nagyon fontos. Minden lépés jó, ami ennek a célnak az eléréséhez közelebb visz. Kérdés azonban, hogy ez a szolgáltatás ebben a formában mennyire segíti elő a személyes és más érzékeny adatok jobb kezelését. A GDPR-ral kapcsolatos ismeretek terjesztése ugyancsak fontos lenne, nem is beszélve az adatok biztonságos tárolásáról, amihez a mentések és az érzékeny adatok titkosított tárolása, megfelelően biztonságos továbbítása szintén hozzátartozik.

Ezekkel kapcsolatban már most is olvashatók cikkek itt az oldalon, a közeli jövőben újabbak is érkeznek.

Mindennapi adatvédelem

Csak semmi titkolózás!

Amikor a winchester nem felejt... Pedig jó lenne!

Próba később

Szerettem volna ki is próbálni a szolgáltatást, de a december 8-án vásárolt pendrive-hoz nem kaptam címkét. A gyakorlati tapasztalatszerzés emiatt későbbi időpontra tolódott, de természetesen nem adom fel. Ha címkéhez jutok, megosztom a felhasználása során szerzett tapasztalataimat.

UPDATE 12.23.: úgy adódott, hogy még a karácsony előtti roham legvégén két merevlemezt vettem. Mivel az átvétel és fizetés során a címkéknek híre-hamva sem volt, rákérdeztem. A kereskedő tőlem hallott először erről az egész történetről. Első reakcióként azt mondta, hogy Magyarországon ezt még biztos nem vezették be, vagyis EU szabályozásnak gondolta. Mindenesetre megköszönte az információt és ígérte, hogy utána néz.