GDPR - как сохранить согласие пользователя при отсутствии учетной записи пользователя?

Прежде всего, извините за длинный текст. Во-вторых, я решил спросить это о переполнении стека, а не где-нибудь, как Law Stack Exchange, потому что причиной этого вопроса является GDPR, но сам вопрос касается архитектуры программного обеспечения.

Я пытался обратить внимание на то, что нужно делать в отношении GDPR, и все, что я нахожу, всегда предполагает, что кто-то работает с учетными записями пользователей, то есть, что пользователи регистрируются на вашем сайте и что все или почти все, что вам нужно, заботится о GDPR. с точки зрения защиты данных ваших пользователей начинается здесь. Я также понимаю, что нужно быть в состоянии доказать, что их пользователи дали свое согласие на использование вами ваших данных в соответствии с политикой конфиденциальности и даже на какую версию политики конфиденциальности они дали согласие (поскольку они иногда обновляются). Это обязательно означает, что данные, касающиеся этого подтверждения согласия, должны храниться на стороне сервера. Это легко сделать, если у вас есть учетная запись пользователя, к которой нужно привязать эти данные, но что делать, когда вы работаете с незарегистрированными или гостевыми пользователями?

Позвольте мне дать вам небольшую справку по моему актуальному вопросу: в качестве личного проекта я сейчас создаю небольшой веб-сайт, который позволит пользователям добавлять комментарии к определенным страницам и даже отправлять фотографии. Дело в том, что это единственное взаимодействие, которое пользователи могут делать вообще, поэтому я не хочу и не нуждаюсь в том, чтобы у них была учетная запись, что делает его еще одной вещью, о которой меньше беспокоиться, и облегчает взаимодействие с сайтом. Для комментариев единственное, что действительно необходимо, - это сам текст комментария и имя пользователя (которое может быть любым, от реального имени до псевдонима, это не имеет значения). Я также добавлю необязательное поле, чтобы пользователи могли указать, откуда они, например, "Париж, Франция", если они захотят поделиться этим.

Как бы то ни было, все это требует от меня появления спама, поэтому я подумывал об интеграции Akismet и Google reCAPTCHA, так как в прошлом это работало очень хорошо для меня. Проблема в том, что Akismet требует, чтобы ему также был передан адрес электронной почты, чтобы он мог проверить, является ли комментарий спамом, поэтому мне также нужно было бы попросить пользователей указать их адрес электронной почты в форме комментариев. Поскольку в буквальном смысле мне нужна только их электронная почта при проверке на спам, и я никогда не сделаю ее публичной, я сохраню ее в базе данных и избавлюсь от нее через несколько дней или около того и сообщу об этом в политике конфиденциальности сайта.

Итак, возникает вопрос. Я думаю, что адреса электронной почты вместе с другой информацией, указанной выше, считаются PII, и, поскольку я храню адрес электронной почты и делюсь им с третьей стороной, мне кажется, что я должен попросить пользователей дать на это свое согласие, а не разрешить для их комментария, если они не дают свое согласие, конечно. Но здесь нет реальных учетных записей пользователей, поэтому нет централизованного места для хранения такого согласия в качестве доказательства. Так как же это сделать? Единственное, о чем я могу думать, это иметь флажок в форме комментария и сохранять его значение вместе с комментарием. Конечно, при правильной валидации сохраненное значение всегда будет равно 1, но, тем не менее, оно должно быть явно сохранено, чтобы оно соответствовало GDPR. Мне не нравится идея, что пользователь должен ставить флажок, соглашаясь с политикой конфиденциальности каждый раз, когда он хочет что-то прокомментировать, но я не думаю, что вижу другой способ обойти это. Вы?

Большое спасибо заранее и, опять же, извините за длинный текст.