GDPR a uchování telefonního čísla

Potřeboval bych radu od někoho, kdo se v GDPR orientuje.
Mám projekt, kde se registrace váže na tlf. číslo. Něco jako inzertní portál. Každý má možnost vložit si 1 inzerát na jedno číslo zdarma. Další jsou pak zpoplatněné.

K tomu potřebuji, abych v databázi uchoval tlf.číslo a údaj o počtu vložených inzerátů.

1) musí uživatel při vkládání zaškrtnout nějaký souhlas - že ukládám jeho číslo pro tento účel?
2) co když uživatel požádá o výmaz údajů a obratem si vloží nový inzerát? Dá se to nějak řešit třeba odsouhlasením při tom vložení, že to tlf.číslo budu uchovávat třeba po dobu dvou let právě z toho důvodu?

Díky!

2) Identifikaci "1 inzerát na 1 číslo" můžete provádět podle hashe telefonního čísla.

Takže namísto, abyste kontroloval "číslo +420777123456 už vložilo inzerát", budete kontrolovat "hash aae3e1f0854c3fd5b59e8545fecbc3eb už vložil inzerát"

Kód:

md5('+420777123456') == 'aae3e1f0854c3fd5b59e8545fecbc3eb'

Ve chvíli, kdy uživatel požádá o anonymizaci, vymažete další údaje a zmínky o jeho telefonním čísle, hash u inzerátu necháte.
Když se bude snažit zadat nový inzerát, aplikace zkontroluje, že daný hash čísla už vložil inzerát a nepovolí mu takovou akci, aniž byste měl jeho číslo někde uložené.

To je úplně výborné! Děkuji.
A pokud by tedy to číslo nebylo nikde uloženo, jen by sloužilo k ověření kolik už vložil inzerátů, nemusím od něj mít ani souhlas se zpracováním? I když zpracováním už asi je i to, že mu na to číslo SMS brána pošle ověřovací kód, zda je skutečně jeho, že?
Asi si nebudu kompikovat život a prostě před vložením nechám zaškrtnout, že souhlasí se zpracováním pro účel ověření počtu vložených inzerátů. Je to jeden řádek.

Původně odeslal helivrt ↪

To je úplně výborné! Děkuji.
A pokud by tedy to číslo nebylo nikde uloženo, jen by sloužilo k ověření kolik už vložil inzerátů, nemusím od něj mít ani souhlas se zpracováním? I když zpracováním už asi je i to, že mu na to číslo SMS brána pošle ověřovací kód, zda je skutečně jeho, že?
Asi si nebudu kompikovat život a prostě před vložením nechám zaškrtnout, že souhlasí se zpracováním pro účel ověření počtu vložených inzerátů. Je to jeden řádek.

Není to jeden řádek - souhlas znamená celou řadu povinností a práv, která uživatel má.

V tomto případě bych číslo neukládal, ale použil jenom hash. Z hlediska GDPR by to pak byl nejspíše oprávněný zájem.

Nebo místo vyžadování (zbytečného) souhlasu mu napsal, co se s jeho údajem děje při plnění smlouvy (zveřejnění inzerátu).

A jak je to v případě, že tomu klientovi na ten mobil pošlu SMS s ověřovacím kódem? Pošlu kód, ověřím, uložím hash a nic jiného. Musím někde zmiňovat GDPR, když si to číslo neuložím? Třeba proto, že ho předávám provozovateli GSM brány?

Oprávněný zájem nebo ne, minimálně je nutné splnit všechny GDPR povinnosti, které se týkají zejména informování a způsobu uchovávání dat a nakládání s nimi. S některými musí uživatel vysloveně souhlasit, s jinými ne, protože jde o oprávněný zájem, ale to vás nezbavuje povinnosti s nimi nakládat podle GDPR a informovat uživatele o tom, jak s nimi nakládáte, kde a jak je uchováváte, komu je předáváte, mít smlouvu se všemi, kterým data předáváte a jaké práva a povinnosti uživatel má.

Bez prostudování GDPR tohle dělat nejde. I když máte na nějaké věci oprávněný zájem, GDPR je plný povinností, jak s daty nakládat, o čem musíte minimálně informovat atd atd.

Původně odeslal Affilak.cz ↪

Oprávněný zájem nebo ne, minimálně je nutné splnit všechny GDPR povinnosti, které se týkají zejména informování a způsobu uchovávání dat a nakládání s nimi. S některými musí uživatel vysloveně souhlasit, s jinými ne, protože jde o oprávněný zájem, ale to vás nezbavuje povinnosti s nimi nakládat podle GDPR a informovat uživatele o tom, jak s nimi nakládáte, kde a jak je uchováváte, komu je předáváte, mít smlouvu se všemi, kterým data předáváte a jaké práva a povinnosti uživatel má.

Bez prostudování GDPR tohle dělat nejde. I když máte na nějaké věci oprávněný zájem, GDPR je plný povinností, jak s daty nakládat, o čem musíte minimálně informovat atd atd.

Tak to je samozřejmost. Jde o to, že explicitní souhlas znamená k tomu všemu další věci :-).