Staré počítače skončí v kumbálu „na náhradní díly”, odložené notebooky čekají na výkup a vyřazené mobily zůstanou ležet v šuplíku. Většina firem řeší likvidaci firemní IT techniky až ve chvíli, kdy dojde místo – a přitom právě na těchto zařízeních zůstávají faktury, smlouvy, hesla i osobní údaje klientů. Stačí jeden prodaný disk s neúplně smazanými daty a z úspory pár stovek je únik dat s pokutou podle GDPR.

V tomto průvodci si projdeme, proč je vyřazení techniky bezpečnostní téma, jak data smazat opravdu nevratně a jaký postup dodržet, abyste byli v souladu s předpisy. Na konci najdete checklist i odpovědi na nejčastější otázky.

Proč je likvidace firemní IT techniky bezpečnostní riziko

Vyřazené zařízení není prázdná krabice – je to nosič dat. Na firemním notebooku bývá uložená e-mailová schránka, přihlašovací údaje k internetovému bankovnictví, dokumenty klientů i přístupy do interních systémů. Pokud zařízení opustí firmu bez řádného smazání, tyto informace odcházejí s ním.

Opakované výzkumy trhu s použitou elektronikou ukazují totéž: na značné části bazarových disků a počítačů lze stále obnovit data předchozích majitelů – od fotografií přes faktury až po citlivé firemní dokumenty. Důvod je prostý – původní majitel data buď nesmazal vůbec, nebo je jen „přesunul do koše”.

Riziko navíc neroste jen při prodeji. Týká se i zařízení předaných do servisu, vrácených z leasingu, darovaných nebo odvezených do sběrného dvora bez evidence. Proto by měla mít každá firma jasný proces pro vyřazení IT techniky – stejně jako má proces pro nákup nových počítačů či offboarding odcházejícího zaměstnance.

Co o likvidaci nosičů dat říká GDPR

Obecné nařízení o ochraně osobních údajů (GDPR, nařízení EU 2016/679) firmě ukládá chránit osobní údaje po celou dobu jejich zpracování – a to zahrnuje i okamžik, kdy je přestáváte potřebovat. Článek 5 hovoří o zásadě „omezení uložení” a integrity a důvěrnosti dat, článek 32 pak požaduje přiměřená technická opatření k jejich zabezpečení.

V praxi to znamená, že likvidace dat na vyřazeném zařízení je součástí vašich povinností správce údajů. Pokud z firmy odejde disk s osobními údaji klientů a data z něj lze obnovit, jde o porušení zabezpečení – se vší ohlašovací povinností vůči Úřadu pro ochranu osobních údajů a rizikem sankce.

Klíčový pojem je odpovědnost (accountability): nestačí data smazat, musíte umět doložit, že se tak stalo. Proto je certifikát o smazání dat – ke kterému se dostaneme níže – stejně důležitý jako mazání samotné. Více o povinnostech malých firem najdete v našem článku GDPR a IT bezpečnost.

Smazání ≠ vymazání: proč Koš a formátování nestačí

Nejčastější chyba je domněnka, že přetažením souborů do Koše nebo rychlým naformátováním disku jsou data pryč. Ve skutečnosti se odstraní jen odkaz na soubor v souborové tabulce – samotná data zůstávají fyzicky zapsaná, dokud je systém nepřepíše. Běžně dostupnými nástroji pro obnovu dat je proto lze z velké části vrátit zpět.

Pro skutečně bezpečné mazání firemních dat se používají postupy definované mezinárodní normou NIST SP 800-88 (Guidelines for Media Sanitization). Ta rozlišuje tři úrovně:

• Clear – přepsání dat tak, aby je nešlo obnovit běžnými softwarovými nástroji. Vhodné pro většinu interního přesunu techniky.
• Purge – odolnější metody (kryptografické mazání, vícenásobné přepsání, degaussing) odolávající i laboratorní obnově. Standard při vyřazení mimo firmu.
• Destroy – fyzická destrukce nosiče (skartace, drcení), po níž je médium nepoužitelné. Volba pro nejcitlivější data nebo vadné disky.

Metody bezpečného mazání dat: SSD vs. HDD

Způsob mazání závisí na typu disku. Klasické plotnové disky (HDD) a moderní SSD se chovají jinak, a proto vyžadují jiný přístup.

Metoda	Vhodné pro	Poznámka
Softwarové přepsání	HDD	Spolehlivé, časově náročnější u velkých disků.
Kryptografické mazání	SSD, šifrované disky	Zničí šifrovací klíč – data jsou okamžitě nečitelná.
Secure Erase (ATA)	SSD	Vestavěný příkaz disku pro úplné vymazání paměťových buněk.
Degaussing	HDD, pásky	Silné magnetické pole; na SSD nefunguje.
Fyzická skartace	Vše (i vadné disky)	Nejjistější, ale nevratné – nelze recyklovat na další použití.

U SSD je důležité vědět, že kvůli technologii rovnoměrného opotřebení (wear leveling) nemusí prosté přepsání zasáhnout všechny paměťové buňky. Proto u nich preferujeme kryptografické mazání nebo vestavěný Secure Erase. Pokud máte disky šifrované předem (například přes BitLocker), je následné mazání mnohem jednodušší a rychlejší – další důvod, proč zavést šifrování firemních dat plošně.

Krok za krokem: jak bezpečně vyřadit firemní zařízení

Spolehlivý proces likvidace firemní IT techniky má pět kroků, které na sebe navazují:

1. Evidence a záloha. Zaznamenejte zařízení do inventáře (sériové číslo, uživatel, typ disku) a zazálohujte data, která ještě potřebujete. Bez aktuální evidence nevíte, co všechno odchází.
2. Odhlášení a odpojení účtů. Odpojte zařízení z domény či MDM, odhlaste Microsoft 365, Apple ID, prohlížeče i licencovaný software. Tím uvolníte licence a zabráníte tomu, aby zařízení dál „viselo” ve firemních systémech.
3. Bezpečné smazání dat. Podle typu disku použijte přepsání, Secure Erase nebo kryptografické mazání dle normy NIST 800-88. U vadných nebo nejcitlivějších disků volte fyzickou destrukci.
4. Certifikát o smazání. Pořiďte písemný doklad o tom, kdy a jakou metodou byla data smazána. Slouží jako důkaz souladu s GDPR i jako interní evidence.
5. Ekologická likvidace. Předejte techniku autorizovanému zpracovateli elektroodpadu nebo využijte zpětný odběr.

Tento postup se vyplatí propojit s plánem obnovy hardwaru – kdy stará zařízení odcházejí, přicházejí nová. Jak naplánovat výměnu firemních počítačů jsme popsali v samostatném článku.

Ekologická likvidace a zpětný odběr elektroodpadu

Vyřazená IT technika je elektroodpad a v Česku se na ni vztahuje zákon o výrobcích s ukončenou životností. Vyhazovat počítače či monitory do běžného odpadu není dovoleno – patří k autorizovanému zpracovateli nebo do zpětného odběru.

V praxi máte několik možností: odevzdat techniku ve sběrném dvoře, využít zpětný odběr u prodejce při nákupu nového vybavení, nebo si nechat odvoz zajistit specializovanou firmou. Ať zvolíte cokoli, platí jedno pravidlo – data smažte ještě před tím, než zařízení opustí firmu, nikdy ne až „někde u zpracovatele”.

Certifikát o likvidaci dat – proč ho potřebujete

Certifikát (protokol) o smazání dat je dokument, který uvádí, jaké zařízení bylo zpracováno, kdy, jakou metodou a kdo za to odpovídal. Pro malou firmu může jít o jednoduchý interní záznam, u citlivých dat pak o protokol od poskytovatele služby.

Proč se vyplatí ho vést? Při kontrole, auditu nebo incidentu jím prokážete, že jste data zlikvidovali řádně. Bez něj máte jen tvrzení „smazali jsme to” – což v případě sporu nestačí. Certifikát je zkrátka pojistka, která promění dobrý úmysl v doložitelný fakt.

Časté chyby firem při likvidaci IT techniky

• Spoléhání na Koš a formátování – data zůstávají obnovitelná.
• Zapomenuté nosiče – mobily, tablety, USB disky, tiskárny s pevným diskem či staré NAS.
• Žádná evidence – nikdo neví, kolik zařízení firma vyřadila a kde skončila.
• Mazání „až později” – zařízení leží měsíce v kanceláři jako bezpečnostní riziko.
• SSD smazané jako HDD – bez kryptografického mazání či Secure Erase zůstanou data v některých buňkách.

Likvidace techniky vlastními silami, nebo s IT partnerem?

Menší firma s několika počítači zvládne základní mazání sama – stačí ověřený nástroj na přepsání disku, šifrování od začátku a poctivá evidence. U HDD funguje softwarové přepsání, u SSD Secure Erase nebo zničení šifrovacího klíče. Důležité je nepodcenit dokumentaci a nenechávat zařízení „na potom”.

Jakmile ale řešíte více zařízení najednou, citlivá data (zdravotnictví, advokacie, účetnictví) nebo potřebujete prokazatelný certifikát, vyplatí se likvidaci svěřit IT partnerovi. Ten zajistí správnou metodu pro každý typ nosiče, vystaví protokol o smazání a postará se i o ekologickou likvidaci a zpětný odběr. Vy tak máte jistotu, že proces proběhl podle normy a že se nikde neztratí žádný disk.

Ideální je nemít likvidaci jako jednorázovou akci, ale jako stálou součást správy IT – propojenou s evidencí majetku, plánem obnovy hardwaru a offboardingem zaměstnanců. Pak se vyřazené zařízení nikdy nestane bezpečnostní dírou.

Často kladené otázky

Stačí počítač naformátovat, než ho prodám?

Ne. Běžné rychlé formátování ani vysypání Koše data spolehlivě neodstraní – lze je obnovit nástroji pro záchranu dat. Použijte přepsání disku, Secure Erase nebo kryptografické mazání podle normy NIST 800-88.

Jak bezpečně smazat data z SSD disku?

U SSD doporučujeme kryptografické mazání (zničení šifrovacího klíče) nebo vestavěný příkaz Secure Erase. Prosté vícenásobné přepsání jako u HDD nemusí kvůli wear levelingu zasáhnout všechny buňky. Pokud byl disk šifrovaný od začátku, je mazání rychlé a jisté.

Musím při likvidaci techniky řešit GDPR?

Ano, pokud na zařízení byly osobní údaje. GDPR vyžaduje jejich ochranu i při vyřazení nosiče a umět doložit, že byly zlikvidovány. Proto veďte evidenci a certifikát o smazání dat.

Co dělat s vadným diskem, který nejde smazat?

Disk, který se nespustí, nelze softwarově přepsat – proto se volí fyzická destrukce (skartace nebo drcení), případně degaussing u plotnových HDD. Vždy s protokolem o zničení.

Kam vyhodit staré firemní počítače?

Vyřazená IT technika je elektroodpad – patří do zpětného odběru nebo k autorizovanému zpracovateli, ne do běžného odpadu. Data ale smažte ještě před předáním, nikdy ne až u zpracovatele.

Závěr

Likvidace firemní IT techniky není jen úklid skladu – je to poslední, často podceňovaný krok v životním cyklu dat. Když ho zvládnete, ochráníte citlivé informace, splníte povinnosti podle GDPR a vyhnete se zbytečnému riziku úniku. Stačí přitom dodržet jednoduchý proces: evidovat, zálohovat, odhlásit účty, bezpečně smazat, doložit a ekologicky zlikvidovat.

Pokud si nejste jistí, zda vaše firma vyřazuje zařízení správně, nechte si to zkontrolovat. V IT Doma nastavíme bezpečný proces likvidace i celou správu firemního IT tak, aby data nikdy neopustila firmu nechráněná. Ozvěte se nám a domluvte si bezplatný IT audit.