Dňa 13. mája 2025 zverejnil CNIL (Commission nationale de l'informatique et des libertés) finálnu verziu svojich odporúčaní zameraných na ochranu osobných údajov v mobilných aplikáciách. Dokument je určený pre všetkých aktérov digitálneho ekosystému a poskytuje podrobný rámec pre zabezpečenie súladu s nariadením GDPR.
1. Presné vymedzenie zodpovedností medzi aktérmi v ekosystéme mobilných aplikácií
CNIL reflektuje komplexný reťazec dodávateľov a partnerov zapojených do životného cyklu mobilnej aplikácie:
-
Vydavatelia aplikácií – právne zodpovední za spracovanie osobných údajov.
-
Vývojári aplikácií – technickí realizátori zodpovední za implementáciu funkcionalít a zabezpečenie.
-
Poskytovatelia SDK (Software Development Kits) – dodávatelia knižníc, často obsahujúcich analytické alebo reklamné moduly.
-
Prevádzkovatelia platforiem (iOS, Android) a obchodov s aplikáciami (Google Play, App Store) – zodpovední za distribúciu a prevádzku platforiem.
Každý z týchto subjektov má špecifické povinnosti, pričom CNIL zdôrazňuje potrebu zmluvného a technického zosúladenia zodpovedností.
2. Transparentnosť a informovanie používateľov podľa článkov 13 a 14 GDPR
Odporúčania vyžadujú:
-
Jasné, zrozumiteľné informácie o tom, aké údaje sa spracúvajú, na akom právnom základe a v akom rozsahu.
-
Poskytnutie informácií včas, teda pred samotným zhromažďovaním údajov, ideálne pri prvom spustení aplikácie.
-
Rozlíšenie nevyhnutných a voliteľných povolení (napríklad prístup k lokalizácii iba ak je nevyhnutný pre hlavnú funkcionalitu).
Implementácia by mala zahŕňať vrstvené informovanie, doplnené vizuálnymi prvkami pre lepšiu zrozumiteľnosť.
3. Platný a informovaný súhlas podľa GDPR
CNIL pripomína, že:
-
Udelenie technického povolenia (napríklad prístup k mikrofónu) nie je automaticky súhlasom na spracovanie údajov na iné účely, ako je napríklad cielená reklama.
-
Súhlas musí byť konkrétny, informovaný, dobrovoľný a odvolateľný.
-
Používateľ musí mať možnosť súhlas odmietnuť bez negatívnych dôsledkov na základnú funkcionalitu aplikácie.
Odporúča sa implementácia technicky správnych a auditovateľných systémov na správu súhlasov (Consent Management Platforms).
4. Privacy by Design a Privacy by Default: Minimalizmus a bezpečnosť
Aplikácie by mali byť navrhnuté tak, aby:
-
Zbierali iba nevyhnutné údaje podľa princípu minimalizácie (napríklad namiesto prístupu k presnej lokalizácii umožniť manuálne zadanie PSČ).
-
Obsahovali integrované bezpečnostné opatrenia ako end-to-end šifrovanie, tokenizáciu či sandboxing.
-
Používateľom poskytovali efektívnu kontrolu nad ich údajmi vrátane prístupu, opráv, vymazania a prenosu údajov.
5. Dohľad a vymáhanie
CNIL oznámila, že od jari 2025 plánuje spustiť cielenú inšpekčnú kampaň zameranú na mobilné aplikácie. Kontroly sa budú sústreďovať na:
-
Správnosť implementácie súhlasov,
-
Plnenie oznamovacích povinností podľa GDPR,
-
Kvalitu a platnosť zmlúv s poskytovateľmi SDK a inými partnermi,
-
Technické a organizačné bezpečnostné opatrenia.
Súčasťou kampane budú aj webináre a praktické návody na podporu dodržiavania odporúčaní.
Odporúčania pre prevádzkovateľov a vývojárov mobilných aplikácií
-
Vykonať audit všetkých spracovaní osobných údajov – identifikovať typy údajov, účely a právne základy.
-
Zabezpečiť platnosť získaných súhlasov a ich správne zdokumentovanie.
-
Uzavrieť zmluvy s partnermi (najmä poskytovateľmi SDK) podľa článku 28 GDPR.
-
Implementovať funkcionality na správu práv používateľov (prístup k údajom, opravy, vymazanie, prenos).
-
Zabezpečiť transparentnosť a včasné informovanie používateľov.
Pre viac informácií si môžete prečítať celý dokument odporúčaní CNIL: Recommendation on mobile applications - CNILcnil.fr+2cnil.fr+2cnil.fr+2
Ak máte záujem o ďalšie informácie alebo potrebujete pomoc s implementáciou týchto odporúčaní, neváhajte nás kontaktovať.
