Mobil app GDPR compliance 2026: amit minden fejlesztőnek tudnia kell

A GDPR 2018-ban lépett életbe, és 2026-ra a magyar piacon is alap-elvárás minden mobil app-tól. A büntetések éves árbevétel 4%-áig terjedhetnek — egy KKV-nak ez akár tönkremenetel-szintű. Ez a cikk a leggyakoribb compliance-hiányokat fedi le, kód-szintű példákkal, és a 2024-2026-os privacy-update-eket (Apple ATT, Google Privacy Sandbox) is feldolgozza.

A guide nem helyettesíti a jogi tanácsadást — egy DPIA (Data Protection Impact Assessment) vagy DPO (Data Protection Officer) konzultáció minden komplex projekt-ben kötelező. De a fejlesztői best practice-ek itt összegezve vannak.

GDPR alapok mobil kontextusban

A GDPR a személyes adatra vonatkozik — bármi, ami azonosíthat egy egyént. Mobilon ez kiterjedhet:

• Email, telefonszám, név
• Lokáció (akár GPS, akár cellatorony, akár Wi-Fi triangulation)
• Device ID (IDFA, GAID, Android ID, IMEI, MAC address)
• IP cím (igen, az IP is személyes adat a GDPR szerint)
• App-használati analytics (lehet anonimizált, de gyakran nem az)
• Push token (közvetlenül azonosíthat eszközt, és vele user-t)
• Browser fingerprint
• Biometrikus adat (Face ID, Touch ID — még akkor is, ha csak helyi, nem szerver-side)

A 6 alapelv

A GDPR Article 5 hat alapelvet ír elő. Mindegyiket explicitly meg kell tartani:

1. Lawful basis — minden adatkezelésnek jogi alapja kell, hogy legyen (consent, contract, legal obligation, vital interest, public task, legitimate interest)
2. Purpose limitation — adatot csak deklarált célra használhatsz
3. Data minimization — csak annyi adatot gyűjts, amennyi szükséges
4. Accuracy — pontos adat
5. Storage limitation — csak addig tárold, amíg szükséges
6. Integrity and confidentiality — biztonságos tárolás, encryption

A 8 user-jog

Article 12-22 alapján a user-nek joga van:

1. Tájékoztatáshoz (Article 13-14)
2. Hozzáféréshez (Article 15 — Subject Access Request, SAR)
3. Helyesbítéshez (Article 16)
4. Törléshez (Article 17 — „right to be forgotten")
5. Adatkezelés korlátozásához (Article 18)
6. Adathordozhatósághoz (Article 20)
7. Tiltakozáshoz (Article 21)
8. Automatizált döntéshozatal alóli mentesüléshez (Article 22)

Mindegyik app-ban implementálható kell, hogy legyen. A „törlés joga" nem azt jelenti, hogy emailben kérheti — az app-ben gomb kell rá.

Consent management részletesen

A consent négy követelmény: freely given, specific, informed, unambiguous. Egy „I agree to terms" checkbox nem GDPR-compliant — minden specifikus adatkezelési célhoz külön consent kell.

A 2024-2026-os update — granular consent

A 2024-es EDPB (European Data Protection Board) iránymutatás kifejezetten szigorította a „bundled consent" tilalmat. Egy single „elfogadom" gomb mindenre már nem elegendő.

NEM GDPR-compliant:
☐ Elfogadom a felhasználási feltételeket, az adatvédelmi nyilatkozatot,
   az analytics-tracking-et, a marketing-emaileket és a push-notification-okat.

GDPR-compliant:
☐ Elfogadom a felhasználási feltételeket (kötelező)
☐ Elfogadom az adatvédelmi nyilatkozatot (kötelező)
☐ Engedélyezem az analytics-tracking-et (opcionális)
☐ Marketing-email kommunikáció (opcionális)
☐ Push-notification (opcionális)

iOS App Tracking Transparency (ATT)

A 2024-es Google + Apple frissítés szigorította a tracking consent-et. iOS 14.5+ óta minden tracking-data-ra ATT-prompt szükséges:

import AppTrackingTransparency
import AdSupport

func requestTrackingPermission(completion: @escaping (Bool) -> Void) {
    if #available(iOS 14, *) {
        ATTrackingManager.requestTrackingAuthorization { status in
            switch status {
            case .authorized:
                // Tracking allowed, IDFA accessible
                let idfa = ASIdentifierManager.shared().advertisingIdentifier
                completion(true)
            case .denied, .restricted, .notDetermined:
                // No tracking, IDFA = 00000000-0000-0000-0000-000000000000
                completion(false)
            @unknown default:
                completion(false)
            }
        }
    } else {
        completion(true) // iOS < 14 — no ATT
    }
}

A „purpose-blocking" UI (a user nem haladhat tovább, amíg el nem fogadja) NEM GDPR-compliant — fellebbezhető. A consent-nek opcionálisnak kell lennie a core funkcionalitás-okhoz.

Android Privacy Sandbox

Az Android 14+ óta a Privacy Sandbox initiative az IDFA-szerű tracking limitálását vezeti be. A GAID (Google Advertising ID) 2026-ban deprecated, helyébe Topics API és Attribution Reporting API kerül.

// 2026-ra ez deprecated, csak fallback-re
val client = AdvertisingIdClient.getAdvertisingIdInfo(context)
if (client.isLimitAdTrackingEnabled) {
    // GAID nem elérhető — user opt-out
}

A Privacy Sandbox API-k (Topics, Attribution Reporting) GDPR-szempontból egyértelműbbek — az aggregated data-t cégeken keresztül anonimizáltan közvetítik.

Multi-step consent flow

A 2026-ban legjobb gyakorlat: lépcsős consent, ahol minden adatkezelési cél külön döntés.

type ConsentChoice = {
  essential: boolean;        // Always true, no choice
  analytics: boolean;
  marketing: boolean;
  third_party: boolean;
};

async function showConsentFlow(): Promise<ConsentChoice> {
  // Step 1: Privacy policy intro screen
  await showPrivacyPolicySummary();
  
  // Step 2: Granular consent
  const choices = await showGranularConsentScreen();
  
  // Step 3: Store consent
  await db.consents.upsert({
    user_id: getUserId(),
    timestamp: new Date(),
    choices,
    ip: getClientIp(),  // for audit
    user_agent: getUserAgent(),
  });
  
  return choices;
}

Tipp: A consent-storage maga is személyes adat — biztonságosan tárold, és audit-trail-lel. A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) audit-ja során ezt explicit kérdezi.

IDFA, GAID és alternatívák

IDFA (iOS)

• Csak ATT-consent után elérhető
• 2024+ átlagos opt-in rate ~25%
• Ha „No": IDFA = 00000000-0000-0000-0000-000000000000

GAID (Android)

• Még elérhető 2026-ban, de deprecated
• A user kikapcsolhatja Settings → Privacy → Ads
• 2027-re várhatóan teljesen eltűnik

Alternative attribution

Ha advertising attribution kell, használj alternatív megoldásokat:

iOS:

• SKAdNetwork (SKAN) — Apple aggregated attribution framework. Nincs IDFA, de aggregated conversion-data jön.
• Apple Search Ads attribution API — Apple-specifikus paid acquisition.

Android:

• Privacy Sandbox Attribution Reporting API — Google equivalent.
• App Set ID — install-szintű ID egy publisher app-csoportjához.

Provider-szintű compliance

Provider	GDPR-friendly default	Action
Firebase Analytics	Nem	IP collection off, anonymize ID
Mixpanel	Részben	EU residency opt-in, data retention 30d
Amplitude	Részben	EU residency, anonymize tracking
Segment	Részben	Data residency US default
PostHog (self-hosted)	Igen	Saját szerveren teljes kontroll
Plausible	Igen	Cookieless, EU-host

Analytics tools — privacy-first stack

Default analytics provider-ek (Firebase Analytics, Mixpanel) alapból nem GDPR-compliant — IP-t logolnak, device-ID-t collectolnak, US-szerveren tárolnak.

GDPR-friendly alternatívák

Web analytics:

• Plausible — cookieless web analytics, EU-server (Frankfurt), $9-69/hó
• Fathom — hasonló, EU-szerverekkel
• Umami — open-source, self-hostable

Mobile + web event tracking:

• PostHog (self-hosted) — event-tracking saját szerveren, ingyenes
• Matomo Cloud (EU) — Google Analytics-szerű, EU-host
• Mixpanel EU residency — opt-in, drágább

Firebase setup GDPR-szerűen

Ha Firebase Analytics-et használsz (mert már bent van a stackben):

// Android Firebase Analytics — only after consent
class FirebaseAnalyticsManager(private val context: Context) {
    
    fun configure(consent: Boolean) {
        FirebaseAnalytics.getInstance(context).setAnalyticsCollectionEnabled(consent)
        
        // IP anonymization (default-off, must enable)
        // Note: Firebase doesn't expose this directly, must configure via console
        
        // Data retention: 2 months (minimum) in console
    }
    
    fun userOptOut() {
        // Reset analytics ID
        FirebaseAnalytics.getInstance(context).resetAnalyticsData()
        FirebaseAnalytics.getInstance(context).setAnalyticsCollectionEnabled(false)
    }
}

// iOS Firebase Analytics
import FirebaseAnalytics

class FirebaseAnalyticsManager {
    
    func configure(consent: Bool) {
        Analytics.setAnalyticsCollectionEnabled(consent)
        // Consent must come BEFORE FirebaseApp.configure() in some cases
    }
    
    func userOptOut() {
        Analytics.resetAnalyticsData()
        Analytics.setAnalyticsCollectionEnabled(false)
    }
}

Data storage és retention

GDPR-elv: csak addig tárold, amíg szükséges.

Konkrét retention-szabályok

Adat-típus	Maximum retention	Indok
Active user account	Amíg aktív	Service delivery
Inactive user account	2-3 év	Reactivation potential
Analytics events	14 hónap (GA4 default)	Long-tail analysis
Crash logs	90 nap	Bug-fix kontextus
Push tokens	Amíg fiók aktív	Service delivery
Marketing email opt-ins	Amíg opt-in aktív	Consent
Audit logs (security)	1-3 év	Legal obligation
Financial transactions	8 év (HU regulation)	Tax law

Cascading delete

-- User-soft-delete: GDPR Article 17
UPDATE users 
SET 
    email = 'deleted-' || id || '@anon.local',
    name = 'Deleted User',
    phone = NULL,
    address = NULL,
    deleted_at = NOW()
WHERE id = $1;

-- Cascade
DELETE FROM push_tokens WHERE user_id = $1;
DELETE FROM analytics_events WHERE user_id = $1 AND event_type != 'aggregated';
DELETE FROM session_logs WHERE user_id = $1;

-- Audit log of deletion (kept for legal)
INSERT INTO gdpr_audit_log (user_id, action, timestamp, ip, reason)
VALUES ($1, 'erasure_request', NOW(), $2, 'user_initiated');

Backup-szempont

A törölt user-adat ne maradjon meg backup-ban éveken át. A backup-retention is GDPR-scope-ban van.

Best practice:

• Daily backups: 30 nap retention
• Weekly backups: 90 nap retention
• Monthly backups: 1 év retention

Backup-szintén a deletion-t tükrözze — egy „forgotten user" 30-90 napon belül a backup-ban is el legyen tüntetve.

Privacy policy és impresszum

Privacy policy — kötelező tartalom

A privacy policy nem boilerplate. Minimum tartalmaznia kell:

1. Adatkezelő azonosítása — cégnév, székhely, adószám, DPO elérhetőség (ha van)
2. Gyűjtött adattípusok — pontosan, kategorizálva
3. Adatkezelés célja — minden célhoz külön lawful basis
4. Adatmegőrzési idők — adattípusonként
5. 3rd party-k — Firebase, Sentry, Mixpanel, OneSignal stb. — pontos lista
6. Adattovábbítás EU-n kívülre (ha van) — Standard Contractual Clauses (SCC)
7. User-jogok — 8 jog részletezve, „hogyan érvényesítheted" útmutatóval
8. Cookie / tracker policy (ha web is van)
9. Frissítés-történet — mikor változott
10. Kapcsolat — email a privacy-related kérdésekhez

Magyar specifika — impresszum

Magyar webhely-szabályozás kötelezővé teszi az impresszumot:

• Cégnév
• Székhely (teljes cím)
• Cégjegyzékszám
• Adószám
• E-mail
• (Telefon — opcionális, de ajánlott)

URL-kérdés

A privacy policy és impresszum URL-t az App Store Connect-be és Google Play Console-ba is be kell írni. Élesítsd a launch előtt — sokszor a review-on bukik el, mert a privacy URL nem működik.

Az audit checklist

Mielőtt store-submission-t adsz be, ellenőrizd:

Privacy & legal

• Privacy policy URL működik, magyar és angol nyelven
• Impresszum elérhető az app-on belül (Settings → About)
• Consent prompt minden tracking-feature előtt (ATT iOS, Firebase Android)
• Granular consent (bundle-mentes)
• Default analytics off állapotban indul, consent után turn on
• EU-server / EU-region adat-tárolás minden 3rd party szolgáltatónál
• DPA (Data Processing Agreement) aláírva minden 3rd party-val (Firebase, OneSignal, Sentry, AWS, etc.)

User rights

• User account törlési funkció működik (account deletion in-app, < 5 click)
• Data export funkció (GDPR Article 15 — Right to Access)
• Consent-revoke gomb a settings-ben
• Marketing email unsubscribe link minden emailben

Backend

• Backend logok PII-mentesek vagy 90 napon belül törlésre kerülnek
• Database encryption at rest
• Backup-encryption + retention policy
• Audit log a sensitive művelet-ekre

Store submission

• App Store Privacy Nutrition Label kitöltve
• Google Play Data Safety form kitöltve, pontosan
• Cookie banner web-portálon (ha van companion website)
• Children's privacy (COPPA) — ha 13 év alatt is használhatja az app

Figyelem: Az App Store Privacy Nutrition Label és a Google Play Data Safety form nem azonos a privacy policy-val. Ezek külön kell, hogy tükrözzék az adatkezelést — gyakran inkonzisztencia miatt rejection.

Account deletion implementation

Az Apple 2022 óta megköveteli az „account deletion in-app" funkciót. A 2026-os state-of-art:

UX-flow

Settings → Account → Delete Account
  ↓
Confirmation screen:
  "Biztos? Ezt nem lehet visszavonni.
   Az adataid 30 napon belül törlésre kerülnek."
  ↓
Re-authenticate (password / Face ID)
  ↓
Confirmation email sent
  ↓
Account marked for deletion
  (queued for hard-delete in 30 days)

Backend implementation

async function requestAccountDeletion(userId: string) {
  // Step 1: Mark for deletion
  await db.users.update(userId, {
    deletion_requested_at: new Date(),
    deletion_scheduled_at: new Date(Date.now() + 30 * 24 * 60 * 60 * 1000),
  });
  
  // Step 2: Send confirmation email
  await emailService.send(userId, 'account_deletion_requested');
  
  // Step 3: Log in audit
  await db.gdprAuditLog.create({
    user_id: userId,
    action: 'erasure_requested',
    timestamp: new Date(),
  });
  
  // Step 4: Schedule hard-delete (cron job)
  // (separate process, runs daily, executes 30-day-old requests)
}

async function executeScheduledDeletion() {
  const due = await db.users.findMany({
    deletion_scheduled_at: { lte: new Date() },
    deletion_completed_at: null,
  });
  
  for (const user of due) {
    await performHardDelete(user.id);
  }
}

A 30-napos „grace period" érdemes — a user meggondolhatja magát, és a backend-ben a delete biztonságos végrehajtás.

Data export — Article 15 implementation

async function exportUserData(userId: string): Promise<UserDataExport> {
  const user = await db.users.findById(userId);
  const sessions = await db.sessions.findByUserId(userId);
  const events = await db.analyticsEvents.findByUserId(userId);
  const consents = await db.consents.findByUserId(userId);
  
  return {
    exported_at: new Date(),
    user_profile: user,
    sessions: sessions,
    analytics_events: events,
    consents_history: consents,
  };
}

Az export-formátum JSON vagy CSV. ZIP-be tömöritve, email-link-en keresztül elküldve. Ne in-app letöltés — security risk.

NAIH és Magyar specifikák

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a magyar GDPR-felügyeleti szerv. A 2024-es bírság-trend felfelé megy — egy átlagos NAIH-bírság KKV-szegmensben 1-5M Ft-ról 5-20M Ft-ra emelkedett.

Gyakori NAIH-fókuszok 2024-2026

1. Marketing emaileken consent-nélküli küldés — direkt jelzés
2. Adathordozhatóság megtagadása — Article 20 elmulasztása
3. Túl hosszú retention — Excel-export user-adatokról 5+ év
4. EU-n kívüli adat-továbbítás — SCC nélkül
5. Adatkezelői és adatfeldolgozói szerepkör keverése — ki ki a contract-ban

DPO kötelezettség

Egy KKV-nak akkor kötelező DPO-t kineveznie, ha:

• Közhatóság vagy közfeladatot lát el
• Fő tevékenysége nagy mértékben rendszeres és szisztematikus megfigyelés
• Fő tevékenysége nagy mértékben különleges kategóriájú adatok kezelése

A legtöbb KKV-app NEM esik ide — de érdemes egy GDPR-tanácsadóval konzultálni a discovery-ben.

Hivatalos doc-ok és további olvasmányok

• GDPR teljes szöveg (Eur-Lex) — az alapdokumentum
• EDPB iránymutatások — európai szintű útmutató
• NAIH magyar nyelvű útmutatók — hazai értelmezés
• Apple App Privacy — official guide
• Google Play Data Safety — official guide
• Mozilla Privacy by Design — practical primer

Témához kapcsolódó saját cikkeink: App Store & Play Store deployment 2026 — store-submission-szintű GDPR-checklistek. Push értesítések helyes implementálása — consent és push permission-flow. React Native vs Native 2026 — privacy-flow két platformra.

Lezárás

A GDPR mobilon nem egyszeri compliance-feladat, hanem folyamatos process. Új feature → új consent + új privacy policy frissítés. A jó UX-szel a consent rate is jobb (35-45% ATT iOS-en a 25% baseline helyett).

Az audit-checklist 20+ pontja kötelező a launch előtt. Egy NAIH-bírság elkerülése egyszerűen több, mint amennyit a setup-tevékenység időbe kerül.

Ha mobil app projektet tervezel, a discovery-ben mindig térünk a GDPR-checklistre — a legtöbb release-csúszás itt történik a launch előtt. Beszéljük át a részleteket egy 30 perces hívásban. Az első hét audit-jában gyakran ki tudjuk emelni a 2-3 legfontosabb gap-et, amit a launch előtt fixelnek.