Βήμα 1: Κατανοήστε τι απαιτεί ο GDPR για την επεξεργασία φωτογραφιών
Όταν ένας αγοραστής ανεβάζει μια φωτογραφία του, επεξεργάζεστε προσωπικά δεδομένα — συγκεκριμένα δεδομένα εικόνας που μπορεί να ταξινομηθούν ως βιομετρικά δεδομένα βάσει του Άρθρου 9 του GDPR εάν χρησιμοποιούνται για την «μοναδική ταυτοποίηση φυσικού προσώπου». Τα δικαστήρια και οι ρυθμιστικές αρχές σε όλη την ΕΕ έχουν δώσει μικτές κατευθυντήριες γραμμές σχετικά με το εάν οι φωτογραφίες εικονικής δοκιμής ξεπερνούν το όριο των βιομετρικών δεδομένων του Άρθρου 9. Η συντηρητική και ασφαλέστερη ερμηνεία είναι να αντιμετωπίζετε τις φωτογραφίες των αγοραστών ως βιομετρικά δεδομένα ειδικής κατηγορίας και να λαμβάνετε ρητή συγκατάθεση πριν από την επεξεργασία.
Η αρχιτεκτονική του Photta δεν εξάγει βιομετρικά πρότυπα (ενσωματώσεις προσώπου, μετρήσεις σώματος ή δακτυλικά αποτυπώματα). Η τεχνητή νοημοσύνη χρησιμοποιεί τη φωτογραφία καθαρά για τη σύνθεση της εικόνας — δεν αποθηκεύει ούτε αναλύει την ταυτότητα. Ωστόσο, ο ορισμός του GDPR βασίζεται στη διαδικασία και όχι στο αποτέλεσμα: εάν επεξεργάζεστε μια φωτογραφία από την οποία θα μπορούσαν τεχνικά να προκύψουν βιομετρικά δεδομένα, βρίσκεστε στη ζώνη κινδύνου. Ο νομικός σας σύμβουλος θα πρέπει να επιβεβαιώσει την ταξινόμησή σας. Οι οδηγίες σε αυτό το έγγραφο είναι ενημερωτικές και δεν αποτελούν νομική συμβουλή.
Βήμα 2: Γνωρίστε τα παράθυρα διαγραφής δεδομένων του Photta
Το Photta λειτουργεί με δύο χρονόμετρα διαγραφής εκ σχεδιασμού. Οι φωτογραφίες που ανεβάζουν οι αγοραστές (η αρχική selfie ή φωτογραφία σώματος) διαγράφονται από τους διακομιστές του Photta εντός 1 ώρας από τη μεταφόρτωση, ανεξάρτητα από το αν ολοκληρώθηκε μια δοκιμή. Οι παραγόμενες εικόνες αποτελέσματος δοκιμής (το συνθετικό αποτέλεσμα) διαγράφονται εντός 24 ωρών. Ούτε η μεταφόρτωση ούτε το αποτέλεσμα κοινοποιούνται ποτέ σε τρίτους ή χρησιμοποιούνται για την εκπαίδευση μοντέλων AI. Αυτά τα σύντομα παράθυρα είναι ένα σκόπιμο χαρακτηριστικό συμμόρφωσης, όχι απλώς μια απόφαση για το κόστος αποθήκευσης.
Οι έμποροι δεν έχουν πρόσβαση στις φωτογραφίες των αγοραστών μέσω του Business Dashboard — εκ σχεδιασμού. Μπορείτε να δείτε συγκεντρωτικά αναλυτικά στοιχεία (αριθμό δοκιμών, ποσοστά μετατροπής, ποσοστά σφαλμάτων) αλλά όχι τις ίδιες τις εικόνες. Αυτό σημαίνει ότι δεν χρειάζεται να δημιουργήσετε μια ξεχωριστή ροή εργασίας διαγραφής δεδομένων για αιτήματα δικαιώματος διαγραφής του GDPR που σχετίζονται με φωτογραφίες δοκιμής. Η αυτόματη διαγραφή του Photta τα καλύπτει εντός 24 ωρών.
Βήμα 3: Εφαρμόστε ένα UX συναίνεσης πριν από τη δοκιμή
Πριν ο αγοραστής ανεβάσει τη φωτογραφία του, εμφανίστε ένα σαφές βήμα συγκατάθεσης. Η ενσωματωμένη οθόνη συγκατάθεσης του widget (ενεργοποιείται προσθέτοντας το data-consent="true" στην ετικέτα σεναρίου σας) δείχνει μια σύντομη επεξήγηση: «Η φωτογραφία σας χρησιμοποιείται μόνο για τη δημιουργία μιας εικόνας δοκιμής και θα διαγραφεί εντός 1 ώρας». Ο αγοραστής πρέπει να επιλέξει ένα πλαίσιο ελέγχου με την ένδειξη «Συναινώ στην επεξεργασία της φωτογραφίας μου για εικονική δοκιμή» πριν μπορέσει να προχωρήσει. Αυτή η συγκατάθεση καταγράφεται με χρονοσφραγίδα στο σύστημα του Photta.
Εάν προτιμάτε να δημιουργήσετε το δικό σας UI συναίνεσης, απενεργοποιήστε την ενσωματωμένη οθόνη του widget με το data-consent="custom" και παρουσιάστε το δικό σας παράθυρο πριν καλέσετε το photta.open() από τη JavaScript σας. Βεβαιωθείτε ότι το προσαρμοσμένο UI συναίνεσης καταγράφει τη χρονοσφραγίδα και τον σκοπό της συναίνεσης στη δική σας βάση δεδομένων. Ο GDPR απαιτεί η συγκατάθεση να δίνεται ελεύθερα, να είναι συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη — ένα προ-επιλεγμένο πλαίσιο ελέγχου δεν πληροί τις προϋποθέσεις.
Βήμα 4: Υπογράψτε μια Προσθήκη Επεξεργασίας Δεδομένων με το Photta
Σύμφωνα με το Άρθρο 28 του GDPR, όταν αναθέτετε σε έναν τρίτο εκτελούντα την επεξεργασία (Photta) την επεξεργασία προσωπικών δεδομένων για λογαριασμό σας, πρέπει να έχετε σε ισχύ μια γραπτή Προσθήκη Επεξεργασίας Δεδομένων (DPA). Συνδεθείτε στο Photta Business Dashboard, μεταβείτε στις Ρυθμίσεις → Νομικά και κάντε κλικ στο «Υπογραφή DPA». Το DPA είναι ένα έγγραφο συμβατό με τις Τυπικές Συμβατικές Ρήτρες της ΕΕ που καθορίζει τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία, τους σκοπούς επεξεργασίας, τους υπο-εκτελούντες την επεξεργασία του Photta και τις υποχρεώσεις διαγραφής.
Το DPA είναι διαθέσιμο στα Αγγλικά. Η υπογραφή είναι μια διαδικασία ενός κλικ μέσω του DocuSign. Μόλις υπογραφεί, ένα αντίγραφο PDF αποστέλλεται μέσω email στην καταχωρισμένη διεύθυνσή σας και αποθηκεύεται στις Ρυθμίσεις → Νομικά για το αρχείο σας. Εάν το DPA σας πρέπει να κατονομάζει συγκεκριμένους υπο-εκτελούντες που χρησιμοποιούνται από το Photta (AWS S3 για αποθήκευση, KieAI για δημιουργία), αυτοί αναφέρονται στο πρόγραμμα του DPA. Ενημερώστε το δικό σας έγγραφο Αρχείων Δραστηριοτήτων Επεξεργασίας (RoPA) μετά την υπογραφή για να αντικατοπτρίζει το Photta ως εκτελούντα την επεξεργασία δεδομένων.
Βήμα 5: Ενημερώστε την πολιτική απορρήτου σας
Η πολιτική απορρήτου του καταστήματός σας πρέπει να γνωστοποιεί τη δραστηριότητα επεξεργασίας της εικονικής δοκιμής. Προσθέστε μια ενότητα με τίτλο «Λειτουργία Εικονικής Δοκιμής» που περιλαμβάνει: (1) ποια δεδομένα συλλέγονται (φωτογραφίες που ανέβασε ο χρήστης), (2) τον σκοπό (δημιουργία εικόνας εικονικής δοκιμής), (3) τη νομική βάση (ρητή συγκατάθεση, Άρθ. 6(1)(α) GDPR), (4) ποιος επεξεργάζεται τα δεδομένα (Photta, μια υπηρεσία AI τρίτου μέρους), (5) περίοδο διατήρησης (διαγραφή φωτογραφιών εντός 1 ώρας, αποτελεσμάτων εντός 24 ωρών) και (6) δικαιώματα του υποκειμένου των δεδομένων (δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή).
Μια προτεινόμενη ρήτρα-πρότυπο: «Όταν χρησιμοποιείτε τη λειτουργία Εικονικής Δοκιμής, η φωτογραφία που ανεβάζετε διαβιβάζεται στο Photta (photta.app) με αποκλειστικό σκοπό τη δημιουργία μιας εικόνας εικονικής δοκιμής. Το Photta διαγράφει τη φωτογραφία σας εντός 1 ώρας και την παραγόμενη εικόνα εντός 24 ωρών. Δεν αποθηκεύονται βιομετρικά πρότυπα. Μπορείτε να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή μη χρησιμοποιώντας τη λειτουργία. Οι φωτογραφίες που έχουν ήδη ανεβεί δεν μπορούν να ανακτηθούν μετά την ολοκλήρωση της επεξεργασίας. Για ερωτήσεις, επικοινωνήστε στο privacy@[yourstore].com». Προσαρμόστε το στη νομική οντότητα και τη δικαιοδοσία του καταστήματός σας.