A francia adatvédelmi hatóság (CNIL) mobilalkalmazások fejlesztésére vonatkozó útmutatót tett közzé azzal a céllal, hogy elősegítse az adatvédelmi szabályoknak megfelelő alkalmazásfejlesztést (a teljes útmutató egyelőre francia nyelven érhető el).

A téma fontosságát nehéz túlbecsülni, hiszen a mobilalkalmazások az egyik legfontosabb eszközei a digitális tartalmak és szolgáltatások elérésének. Ráadásul a mobilalkalmazások fejlesztését és felhasználók számára elérhetővé tételét biztosító ökoszisztéma egyre összetettebb és így könnyen átláthatatlanná válhat a felhasználók számára, hogy az adataikat milyen folyamatok szerint, milyen célból, kik és hogyan kezelik. Fontos tisztázni tehát, hogy az egyes szereplőknek milyen minimális követelményeknek kell megfelelniük, illetve ezen túlmenően is, milyen jó gyakorlatok állnak rendelkezésre, amelyek a megfelelést teljesebbé tehetik. 

Fontos kielemni, hogy az útmutató a GDPR-nak és az elektronikus hírközlési adatvédelmi irányelvnek (adatvédelmi követelményeknek) való megfelelésre fókuszál és nem érinti az egyéb jogszabályi követelményeknek (pl. fogyasztóvédelem, digitális piacokról szóló rendelet, stb.) való megfelelés kérdéseit. (Ugyanakkor a CNIL az útmutató kapcsán egyeztetett a francia versenyhatósággal, az ADLC-vel is, mivel az elmúlt években egyre inkább világossá vált az adatvédelem és a versenyjog közötti kölcsönhatás, jelentős mértékben éppen az online térben zajló folyamatokra és megjelenő üzleti modellekre tekintettel.)

1. Mi az a mobilalkalmazás?

A "mobilalkalmazás" kifejezés olyan szoftverekre (alkalmazásokra) utal, amelyeket elsősorban okostelefonokon és táblagépeken, azaz olyan egyedi és hordozható eszközökön futnak, amelyek lehetővé teszik az internethez és leggyakrabban a telefonhálózathoz való hozzáférést, és lehetővé tehetik harmadik féltől származó alkalmazások telepítését és használatát. (Az okostelefonokon és táblagépeken túl egyre több olyan környezet van, ahol alkalmazások futnak, pl. IoT eszközök, "okos járművek", stb. Természetesen az ezeken futó alkalmazások tekintetében is jól alkalmazható az útmutató.)

A CNIL útmutatója minden alkalmazástípusra kiterjed, amelyek a következők lehetnek:

• "Natív", azaz az operációs rendszerre jellemző programozási nyelven kifejlesztett alkalmazások (a gyakorlatban Kotlin vagy Java Androidra és Swift vagy Objective-C iOS-re);
• "Hibrid", azaz webes programozási nyelvekkel és technológiákkal fejlesztették ki, majd speciális eszközökkel (például React-Native vagy Flutter) átalakították alkalmazássá, hogy idővel egységes kódbázist tartsanak fenn az alkalmazás minden verziójában;
• "Progresszív webalkalmazások" (PWA), azaz dinamikus weboldalak, amelyeket alkalmazások formájában mutatnak be a felhasználónak.

2. Kiknek szól az útmutató?

Az útmutató több célcsoportot is igyekszik megszólítani: 

• mobilalkalmazás-kiadók (akik mobilalkalmazásokat tesznek elérhetővé a felhasználók számára),
• mobilalkalmazás-fejlesztők (akik a tényleges fejlesztést vézik, azaz a kódokat írják),
• szoftverfejlesztő készlet (SDK) szolgáltatók (akik "használatra kész" funkciókat fejlesztenek, amelyeket a fejlesztők közvetlenül integrálhatnak mobilalkalmazásokba),
• operációsrendszer-szolgáltatók (akik biztosítják azokat az operációs rendszereket, pl. iOS vagy Android, amelyeken a mobilalkalmazások futnak),
• alkalmazásbolt-szolgáltatók (akik platformokat kínálnak új alkalmazások letöltéséhez).

3. Az egyes szereplők felé az iránymutatásban megfogalmazott főbb ajánlások 

3.1. Alkalmazáskiadók számára:

• adatkezelési folyamatok azonosítása és dokumentálása
• partnerek megfelelő kiválasztása és tevékenységének nyomon követése
• érintetti (felhasználói) hozzájárulások kezelése, jogok biztosítása
• az adatvédelmi megfelelés biztosítása az alkalmazás teljes életciklusa alatt
• beépített és alapértelmezett adatvédelem elveinek érvényre juttatása 

3.2. Alkalmazásfejlesztők számára:

• az (adatvédelmi) szerepek tisztázása az alkalmazáskiadóval, a jogviszony megfelelő dokumentálása (szükséges megállapodások megkötése a GDPR-nak is megfelelően)
• SDK-k (szoftverfejlesztő készletek) megfelelő alkalmazása 
• az alkalmazás biztonságos működésének biztosítása

3.3. SDK-szolgáltatók számára:

• részletes dokumentációs készítése 
• érintetti (felhasználói) hozzájárulások kezelése, jogok biztosítása
• az adatvédelmi megfelelést elősegítő megoldások alkalmazása
• biztonsági intézkedések 

3.4. Operációs rendszer szolgáltatók számára:

• az operációs rendszer által végzett adatkezelési folyamatokat azonosítása és dokumentálása 
• megfelelő információk biztosítása a partnerek számára
• eszközök biztosítása, amely elősegíti az alkalmazások adatvédelmi követelményeknek megfelelő működését
• az operációs rendszer biztonságának biztosítása 

3.5. Alkalmazásboltok üzemeltetői számára:

• az alkalmazáskiadók által közzétételre szánt alkalmazások elemzése 
• transzparens alkalmazásfelülvizsgálati eljárás bevezetése, amely az alkalmazások adatvédelmi megfelelőségének ellenőrzését is szolgálja
• felhasználói információk biztosítása, lehetővé téve az incidensek és panaszok jelzését

A fentiek persze csak egy nagyon vázlatos kivonatát jelentik az útmutatóban megjelenő főbb témáknak. Az egyes kategóriába eső szereplőknek érdemes részletesebben is tájékozódniuk a rájuk vonatkozó kötelezettségekről és arról, hogy azoknak miként tehetnek eleget (ehhez különösen hasznosak az egyes szereplőkre vonatkozó fejezetek végén szereplő ellenőrző listák).