Aktuális pályázat: Most állami támogatás keretében digitalizálhatod a cégedet! Tudj meg többet →
Vissza a bloghoz Biztonság

GDPR a gyakorlatban: fejlesztői checklist

Kiss Dávid·2025. dec. 18.·5 perc olvasás
GDPR a gyakorlatban: fejlesztői checklist

Miért fontos a GDPR fejlesztőknek?

A GDPR (General Data Protection Regulation) betartása nem csupán a jogi osztály feladata. Függetlenül attól, hogy milyen alkalmazást fejlesztesz, ha európai felhasználók adatait kezeled, a megfelelés közvetlenül a te felelősséged is. A bírságok nem viccből valók: akár 20 millió euró, vagy a vállalat éves globális forgalmának 4%-a – amelyik magasabb.

A probléma nem az, hogy a GDPR túl szigorú lenne, hanem hogy sok fejlesztő úgy gondolja, ez "majd valaki más dolga". Téves feltételezés. A cookie banner, az adattörlési funkció, a titkosítás – mindez kód, amit meg kell írni. És ha rosszul írod meg, vagy egyáltalán nem írod meg, az komoly következményekkel járhat.

Adatgyűjtés és hozzájárulás

Az első alapelv: csak azt gyűjtsd, amire ténylegesen szükséged van, és csak akkor, ha a felhasználó ehhez kifejezetten hozzájárult.

Cookie consent: A cookie banner nem opcionális. Ha bármilyen sütit használsz (analytics, marketing, funkcionális), világos, előzetes hozzájárulást kell kérned. Az "Elfogadom" gomb előtt nem tölthetsz be harmadik fél szkripteket. A hozzájárulást vissza kell tudni vonni ugyanolyan egyszerűen, ahogy megadták.

Privacy policy: A felhasználóknak egyértelműen tudniuk kell, milyen adatokat gyűjtesz, miért, meddig tárolod őket, és kivel osztod meg. Ez nem lehet jogi zsargonban írt 50 oldalas dokumentum – érthetőnek kell lennie.

Explicit opt-in: Az előre bepipált checkboxok GDPR-szempontból érvénytelenek. A felhasználónak aktívan kell beleegyeznie az adatkezelésbe. Az "Elfogadom a feltételeket" checkbox a regisztrációnál kötelező lehet, de a marketing emailekhez külön, opcionális checkboxot kell használnod.

Adattárolás és biztonság

A biztonság nem utólagos javítás – az architektúra része kell legyen.

Titkosítás: Az adatokat mind nyugalmi állapotban (at rest), mind átvitel közben (in transit) titkosítani kell. HTTPS kötelező, az adatbázisban tárolt érzékeny adatokat (jelszavak, személyes adatok) titkosítva kell tárolni. Bcrypt, Argon2 – használd őket.

Hozzáférés-kezelés: Nem mindenki fér hozzá mindenhez. Role-based access control (RBAC) implementálása alapkövetelmény. A fejlesztői környezetben használt teszt adatok nem tartalmazhatnak valódi felhasználói információkat.

Adatminimalizáció: Ne tárolj olyan adatot, amire nincs szükséged. Ha csak egy név kell, ne kérd el a telefonszámot is. Ha egy funkció már nem használt, töröld a hozzá kapcsolódó adatokat.

Adatmegőrzési szabályok: Határozd meg, hogy egyes adatokat mennyi ideig tárolsz, és automatizáld a törlésüket. Egy 5 éve inaktív felhasználói fiók adatait valószínűleg nem kell megtartanod.

Felhasználói jogok implementálása

A GDPR négy alapvető felhasználói jogot definiál, amiket kódban kell megvalósítanod.

Hozzáférési jog: A felhasználók bármikor kérhetik az általad róluk tárolt adatok listáját. Készíts egy funkciót, ahol letölthetik az összes adatukat strukturált formában (JSON, CSV).

Törléshez való jog: A "jobbfelejtetéshez való jog" lehetővé teszi, hogy a felhasználók kérjék adataik törlését. Ez nem jelent egyszerű soft delete-et – valódi, végleges törlésnek kell lennie (kivéve, ha jogszabály kötelez a megőrzésre).

Adathordozhatóság: A felhasználóknak joguk van az adataikat géppel olvasható formátumban exportálni és másik szolgáltatóhoz vinni. A "Download my data" funkció nem opcionális.

Helyesbítéshez való jog: Ha hibás adat szerepel a rendszerben, a felhasználónak egyszerűen javíthatónak kell lennie. Általában ez egy szerkeszthető profil form, de gondolj bele az összes adat típusba.

Harmadik fél szolgáltatások

Minden külső szolgáltatás, amit integrálsz, potenciális adatvédelmi kockázat.

Analytics: A Google Analytics alapértelmezett beállításokkal nem GDPR-kompatibilis. Fontold meg alternatívák használatát (Plausible, Fathom, Matomo), amelyek privacy-first megközelítést alkalmaznak, vagy állítsd be a GA-t IP anonimizációval és cookie nélküli tracking módban.

Email szolgáltatók: Ha hírleveleket küldesz, az email szolgáltatód (Mailchimp, SendGrid) adatfeldolgozó. Kell egy Data Processing Agreement (DPA), ami definiálja a felelősségeket.

Payment processorok: A Stripe, PayPal és társaik szintén adatfeldolgozók. Soha ne tárolj kártyaadatokat saját szervereden – használd a szolgáltató tokenizációs megoldását.

Minden harmadik fél szolgáltatónál ellenőrizd: hol tárolják az adatokat (EU-n belül/kívül), van-e DPA, hogyan kezelik a biztonsági incidenseket.

Fejlesztői checklist

Mielőtt élesbe raknál bármilyen alkalmazást, fuss végig ezen a listán:

  • Cookie consent banner implementálva és működik (szkriptek csak hozzájárulás után töltődnek)
  • Privacy policy elérhető, naprakész és érthető nyelven írt
  • Minden adatgyűjtéshez explicit opt-in van (előre nem bepipált checkboxok)
  • HTTPS mindenhol (éles és staging környezetben is)
  • Jelszavak biztonságosan hashelve (bcrypt, Argon2)
  • Érzékeny adatok titkosítva az adatbázisban
  • Role-based hozzáférés-kezelés implementálva
  • Automatikus adattörlési policy beállítva (inaktív fiókok, régi logok)
  • "Download my data" funkció működik (JSON/CSV export)
  • "Delete my account" funkció valódi törlést végez
  • Harmadik fél szolgáltatókkal DPA megkötve
  • Adatfeldolgozási nyilvántartás naprakész (milyen adatot, miért, hol tárolsz)

Ez a checklist nem teljes, de egy szilárd alapot ad. A GDPR megfelelés folyamatos munka, nem egyszeri feladat. Minden új feature, minden új integráció esetén kérdezd meg: milyen adatot kezelünk, szükséges-e, és biztonságos-e?

A felhasználók adatainak védelme nem teher – bizalom kérdése. És a bizalom az, ami hosszú távon sikeres termékeket épít.

Segíthetünk a projektedben?

Vedd fel velünk a kapcsolatot, és beszéljük meg, hogyan valósíthatjuk meg az elképzeléseidet.

Kapcsolatfelvétel