가이드 · GDPR 및 개인정보 보호

운영 가이드: GDPR 준수

이 가이드는 스토어가 가상 피팅을 위해 쇼퍼의 사진을 처리할 때 GDPR가 요구하는 사항과, Photta의 아키텍처가 설계 단계부터 어떻게 규제 준수 부담을 최소화하는지 설명합니다.

Photta 무료 체험하기개인정보 보호 문서 읽기

핵심 요약

  • Photta는 쇼퍼의 사진을 1시간 이내에, 생성된 피팅 이미지를 24시간 이내에 삭제합니다. 짧은 보존 기간으로 GDPR 노출 위험을 최소화합니다.
  • EU 쇼퍼를 대상으로 서비스를 시작하기 전에 Photta와 데이터 처리 부속서(DPA)를 체결해야 합니다. 비즈니스 대시보드의 설정 → 법무 섹션에서 서명하세요.
  • 개인정보 처리방침에 가상 피팅 이미지 생성을 목적으로 제3자 AI가 사진을 처리한다는 사실을 명시해야 합니다.

1단계: 사진 처리에 대한 GDPR 요구 사항 이해

쇼퍼가 자신의 사진을 업로드하면 귀하는 개인 데이터를 처리하는 것입니다. 특히 해당 이미지가 '자연인을 고유하게 식별'하는 데 사용되는 경우 GDPR 제9조에 따라 생체 데이터로 분류될 수 있습니다. EU 전역의 법원과 규제 기관은 가상 피팅 사진이 제9조의 생체 데이터 기준을 넘는지에 대해 엇갈린 견해를 내놓고 있습니다. 가장 보수적이고 안전한 해석은 쇼퍼의 사진을 특수 범주의 생체 데이터로 취급하고 처리 전에 명시적 동의를 얻는 것입니다.

Photta의 아키텍처는 생체 인식 템플릿(얼굴 임베딩, 신체 측정치 또는 지문)을 추출하지 않습니다. AI는 사진을 순수하게 이미지 합성을 위해서만 사용하며, 신원을 저장하거나 분석하지 않습니다. 그러나 GDPR의 정의는 결과가 아닌 프로세스 중심입니다. 기술적으로 생체 데이터를 도출할 수 있는 사진을 처리한다면 위험 영역에 있는 것입니다. 법률 고문을 통해 분류를 확인해야 하며, 이 문서의 안내는 법적 조언이 아닌 정보 제공용입니다.

2단계: Photta의 데이터 삭제 주기 파악

Photta는 설계상 두 개의 삭제 타이머를 운영합니다. 쇼퍼가 업로드한 사진(원본 셀카 또는 전신 사진)은 피팅 완료 여부와 관계없이 업로드 후 1시간 이내에 Photta 서버에서 삭제됩니다. 생성된 피팅 결과 이미지(합성된 결과물)는 24시간 이내에 삭제됩니다. 업로드된 사진과 결과물 모두 제3자와 공유되거나 AI 모델 학습에 사용되지 않습니다. 이러한 짧은 주기는 단순한 저장 비용 절감이 아닌, 의도된 규제 준수 기능입니다.

판매자는 비즈니스 대시보드를 통해 쇼퍼의 사진에 접근할 수 없습니다. 이는 의도된 설계입니다. 합산된 분석 데이터(피팅 횟수, 전환율, 오류율)는 볼 수 있지만 실제 이미지는 볼 수 없습니다. 따라서 피팅 사진과 관련된 GDPR의 삭제권(잊힐 권리) 요청을 위해 별도의 데이터 삭제 워크플로우를 구축할 필요가 없습니다. Photta의 자동 삭제 기능이 24시간 이내에 이를 처리하기 때문입니다.

3단계: 피팅 전 동의 UX 구현

쇼퍼가 사진을 업로드하기 전에 명확한 동의 단계를 표시하십시오. 위젯의 내장 동의 화면(스크립트 태그에 data-consent="true" 추가 시 활성화)에는 '사진은 피팅 이미지 생성에만 사용되며 1시간 이내에 삭제됩니다'라는 간략한 설명이 표시됩니다. 쇼퍼는 '가상 피팅을 위한 사진 처리에 동의합니다'라는 체크박스에 체크해야 진행할 수 있습니다. 이 동의는 Photta 시스템에 타임스탬프와 함께 기록됩니다.

자체 동의 UI를 구축하려는 경우 data-consent="custom"으로 위젯의 내장 화면을 비활성화하고, JavaScript에서 photta.open()을 호출하기 전에 자체 모달을 제시하십시오. 맞춤형 동의 UI가 자체 데이터베이스에 동의 타임스탬프와 목적을 기록하는지 확인해야 합니다. GDPR는 동의가 자유롭게 제공되고, 구체적이며, 고지된 상태에서 명확하게 이루어질 것을 요구합니다. 미리 체크된 체크박스는 유효한 동의로 간주되지 않습니다.

4단계: Photta와 데이터 처리 부속서(DPA) 체결

GDPR 제28조에 따라 귀하를 대신하여 개인 데이터를 처리할 제3자 처리자(Photta)를 고용할 때는 서면 데이터 처리 부속서(DPA)를 갖추어야 합니다. Photta Business 대시보드에 로그인하여 설정 → 법무로 이동한 후 'DPA 서명'을 클릭하십시오. 이 DPA는 처리되는 데이터 카테고리, 처리 목적, Photta의 하위 처리자 및 삭제 의무를 명시하는 표준 EU 표준 계약 조항(SCC) 준수 문서입니다.

DPA는 영어로 제공됩니다. 서명은 DocuSign을 사용하여 한 번의 클릭으로 완료됩니다. 서명이 완료되면 PDF 사본이 등록된 이메일로 전송되며 기록 보관을 위해 설정 → 법무 섹션에 저장됩니다. DPA에 Photta가 사용하는 특정 하위 처리자(저장용 AWS S3, 생성용 KieAI 등)를 명시해야 하는 경우 DPA 부속서에 해당 목록이 포함되어 있습니다. 서명 후에는 Photta를 데이터 처리자로 반영하여 귀하의 처리 활동 기록(RoPA) 문서를 업데이트하십시오.

5단계: 개인정보 처리방침 업데이트

스토어의 개인정보 처리방침에는 가상 피팅 처리 활동이 공개되어야 합니다. '가상 피팅 기능'이라는 섹션을 추가하고 다음 내용을 포함하십시오: (1) 수집되는 데이터(사용자가 업로드한 사진), (2) 목적(가상 피팅 이미지 생성), (3) 법적 근거(명시적 동의, GDPR 제6(1)(a)조), (4) 데이터 처리 주체(제3자 AI 서비스인 Photta), (5) 보존 기간(사진은 1시간 이내 삭제, 결과물은 24시간 이내 삭제), (6) 정보 주체의 권리(언제든지 동의를 철회할 권리).

권장 템플릿 조항: '귀하가 당사의 가상 피팅 기능을 사용할 때, 업로드한 사진은 가상 피팅 이미지 생성을 목적으로 Photta(photta.app)에 전송됩니다. Photta는 귀하의 사진을 1시간 이내에, 생성된 이미지를 24시간 이내에 삭제합니다. 생체 인식 템플릿은 저장되지 않습니다. 귀하는 해당 기능을 사용하지 않음으로써 언제든지 동의를 철회할 수 있습니다. 이미 업로드가 완료된 사진은 처리가 끝난 후에는 회수할 수 없습니다. 문의 사항은 privacy@[yourstore].com으로 연락해 주십시오.' 이 내용을 귀하의 스토어 법인 및 관할권에 맞춰 조정하십시오.

개인정보 보호 준수를 위한 Photta의 설계

🕐

1시간 사진 삭제

쇼퍼가 업로드한 사진은 1시간 이내에 자동으로 영구 삭제됩니다. 삭제권 요청을 위한 수동 워크플로우가 필요 없습니다.

📋

원클릭 DPA

비즈니스 대시보드에서 GDPR 제28조 데이터 처리 부속서를 제공합니다. 60초 만에 서명하고 계정에 PDF로 보관하세요.

내장 동의 화면

data-consent="true"를 활성화하면 위젯이 동의 절차를 대신 처리합니다. 모든 동의는 세션별로 타임스탬프와 함께 기록됩니다.

🚫

학습 데이터 사용 안 함

쇼퍼의 사진은 절대 AI 모델 학습에 사용되지 않으며 제3자와 공유되지 않습니다. 처리는 오직 1회성 사용으로 엄격히 제한됩니다.

자주 묻는 질문

규제 기관이 확정적인 지침을 발표하지는 않았으나, 가장 보수적이고 안전한 해석은 '그렇다'입니다. 특수 범주의 생체 데이터로 취급하고 처리 전에 명시적인 동의를 얻으십시오.

첫날부터 시작하는 GDPR 준비

모든 Photta 플랜에는 DPA, 동의 화면 및 1시간 사진 삭제 기능이 포함되어 있습니다. 별도의 규제 준수 등급은 없습니다.

플랜 보기

자신 있게 시작하세요 — GDPR 이슈는 해결되었습니다

DPA 서명, 동의 화면 활성화, 개인정보 처리방침 업데이트. 세 단계만으로 규정을 준수할 수 있습니다.

무료 체험 시작하기
GDPR 준수 가상 피팅 — Photta | Photta