logo
23.05.2019 11:16
1
Potřeboval bych radu od někoho, kdo se v GDPR orientuje.
Mám projekt, kde se registrace váže na tlf. číslo. Něco jako inzertní portál. Každý má možnost vložit si 1 inzerát na jedno číslo zdarma. Další jsou pak zpoplatněné.

K tomu potřebuji, abych v databázi uchoval tlf.číslo a údaj o počtu vložených inzerátů.

1) musí uživatel při vkládání zaškrtnout nějaký souhlas - že ukládám jeho číslo pro tento účel?
2) co když uživatel požádá o výmaz údajů a obratem si vloží nový inzerát? Dá se to nějak řešit třeba odsouhlasením při tom vložení, že to tlf.číslo budu uchovávat třeba po dobu dvou let právě z toho důvodu?

Díky!
23.05.2019 12:38
2
2) Identifikaci "1 inzerát na 1 číslo" můžete provádět podle hashe telefonního čísla.

Takže namísto, abyste kontroloval "číslo +420777123456 už vložilo inzerát", budete kontrolovat "hash aae3e1f0854c3fd5b59e8545fecbc3eb už vložil inzerát"
Kód:
md5('+420777123456') == 'aae3e1f0854c3fd5b59e8545fecbc3eb'
Ve chvíli, kdy uživatel požádá o anonymizaci, vymažete další údaje a zmínky o jeho telefonním čísle, hash u inzerátu necháte.
Když se bude snažit zadat nový inzerát, aplikace zkontroluje, že daný hash čísla už vložil inzerát a nepovolí mu takovou akci, aniž byste měl jeho číslo někde uložené.
23.05.2019 12:49
3
To je úplně výborné! Děkuji.
A pokud by tedy to číslo nebylo nikde uloženo, jen by sloužilo k ověření kolik už vložil inzerátů, nemusím od něj mít ani souhlas se zpracováním? I když zpracováním už asi je i to, že mu na to číslo SMS brána pošle ověřovací kód, zda je skutečně jeho, že?
Asi si nebudu kompikovat život a prostě před vložením nechám zaškrtnout, že souhlasí se zpracováním pro účel ověření počtu vložených inzerátů. Je to jeden řádek.
23.05.2019 14:02
4
Původně odeslal helivrt
To je úplně výborné! Děkuji.
A pokud by tedy to číslo nebylo nikde uloženo, jen by sloužilo k ověření kolik už vložil inzerátů, nemusím od něj mít ani souhlas se zpracováním? I když zpracováním už asi je i to, že mu na to číslo SMS brána pošle ověřovací kód, zda je skutečně jeho, že?
Asi si nebudu kompikovat život a prostě před vložením nechám zaškrtnout, že souhlasí se zpracováním pro účel ověření počtu vložených inzerátů. Je to jeden řádek.
Není to jeden řádek - souhlas znamená celou řadu povinností a práv, která uživatel má.

V tomto případě bych číslo neukládal, ale použil jenom hash. Z hlediska GDPR by to pak byl nejspíše oprávněný zájem.
23.05.2019 21:04
5
Nebo místo vyžadování (zbytečného) souhlasu mu napsal, co se s jeho údajem děje při plnění smlouvy (zveřejnění inzerátu).
24.05.2019 16:33
6
A jak je to v případě, že tomu klientovi na ten mobil pošlu SMS s ověřovacím kódem? Pošlu kód, ověřím, uložím hash a nic jiného. Musím někde zmiňovat GDPR, když si to číslo neuložím? Třeba proto, že ho předávám provozovateli GSM brány?
24.05.2019 17:42
7
Oprávněný zájem nebo ne, minimálně je nutné splnit všechny GDPR povinnosti, které se týkají zejména informování a způsobu uchovávání dat a nakládání s nimi. S některými musí uživatel vysloveně souhlasit, s jinými ne, protože jde o oprávněný zájem, ale to vás nezbavuje povinnosti s nimi nakládat podle GDPR a informovat uživatele o tom, jak s nimi nakládáte, kde a jak je uchováváte, komu je předáváte, mít smlouvu se všemi, kterým data předáváte a jaké práva a povinnosti uživatel má.

Bez prostudování GDPR tohle dělat nejde. I když máte na nějaké věci oprávněný zájem, GDPR je plný povinností, jak s daty nakládat, o čem musíte minimálně informovat atd atd.
25.05.2019 22:52
8
Původně odeslal Affilak.cz
Oprávněný zájem nebo ne, minimálně je nutné splnit všechny GDPR povinnosti, které se týkají zejména informování a způsobu uchovávání dat a nakládání s nimi. S některými musí uživatel vysloveně souhlasit, s jinými ne, protože jde o oprávněný zájem, ale to vás nezbavuje povinnosti s nimi nakládat podle GDPR a informovat uživatele o tom, jak s nimi nakládáte, kde a jak je uchováváte, komu je předáváte, mít smlouvu se všemi, kterým data předáváte a jaké práva a povinnosti uživatel má.

Bez prostudování GDPR tohle dělat nejde. I když máte na nějaké věci oprávněný zájem, GDPR je plný povinností, jak s daty nakládat, o čem musíte minimálně informovat atd atd.
Tak to je samozřejmost. Jde o to, že explicitní souhlas znamená k tomu všemu další věci :-).