Adakah foto cubaan maya dikelaskan sebagai data biometrik di bawah GDPR?

Pengawal selia belum mengeluarkan panduan muktamad, tetapi tafsiran yang konservatif dan paling selamat adalah ya — anggap ia sebagai data biometrik kategori khas dan dapatkan keizinan yang jelas sebelum memproses.

Apakah asas undang-undang yang harus saya gunakan untuk pemprosesan?

Keizinan jelas (Art. 6(1)(a) dan Art. 9(2)(a)) adalah asas undang-undang yang paling sesuai untuk pemprosesan foto cubaan maya, memandangkan pembeli secara aktif memilih untuk menggunakan ciri tersebut.

Adakah saya memerlukan DPA jika kedai saya berada di luar EU?

Jika mana-mana pembeli anda adalah penduduk EU, GDPR terpakai tanpa mengira lokasi kedai anda, jadi ya — DPA diperlukan. Di luar EU, undang-undang privasi tempatan anda mungkin mempunyai setara DPA sendiri.

Bagaimana jika pembeli meminta saya memadamkan foto cubaan mereka?

Pemadaman automatik Photta (1 jam untuk foto, 24 jam untuk hasil) bermakna data tersebut berkemungkinan besar sudah hilang apabila permintaan pemadaman tiba. Sahkan dengan pembeli bahawa pemprosesan telah selesai dan dokumentasikan pertukaran tersebut.

Adakah Photta mempunyai setara CCPA untuk kedai di AS?

Ya — amalan privasi Photta (tiada penjualan data peribadi, pengekalan singkat, tiada pemprofilan) sejajar dengan keperluan CCPA. DPA merangkumi kewajipan pemprosesan data CCPA untuk peniaga yang berpangkalan di AS.

Panduan · GDPR & Privasi

Cara menjalankan patuh GDPR

Panduan ini mengajar anda apa yang diperlukan oleh GDPR apabila kedai anda memproses foto pembeli untuk cubaan maya, dan bagaimana seni bina Photta meminimumkan beban pematuhan anda mengikut reka bentuk.

Cuba Photta percuma Baca dokumen privasi

Bacaan pantas

Photta memadamkan foto pembeli dalam masa 1 jam dan imej cubaan yang dihasilkan dalam masa 24 jam — tetingkap pengekalan yang singkat meminimumkan pendedahan GDPR anda.
Anda memerlukan Tambahan Pemprosesan Data (DPA) dengan Photta sebelum beroperasi dengan pembeli EU — tandatanganinya di Papan Pemuka Perniagaan di bawah Tetapan → Undang-undang.
Dasar privasi anda mesti mendedahkan bahawa foto diproses oleh AI pihak ketiga untuk tujuan menghasilkan imej cubaan maya.

Langkah 1: Fahami apa yang GDPR perlukan untuk pemprosesan foto

Apabila pembeli memuat naik foto diri mereka, anda sedang memproses data peribadi — khususnya data imej yang mungkin dikelaskan sebagai data biometrik di bawah GDPR Artikel 9 jika ia digunakan untuk 'mengenal pasti orang asli secara unik.' Mahkamah dan pengawal selia di seluruh EU telah memberikan panduan yang bercampur-campur tentang sama ada foto cubaan maya melintasi ambang biometrik Artikel 9. Tafsiran yang konservatif dan paling selamat adalah dengan menganggap foto pembeli sebagai data biometrik kategori khas dan dapatkan keizinan yang jelas sebelum memproses.

Seni bina Photta tidak mengekstrak templat biometrik (benaman muka, ukuran badan, atau cap jari). AI menggunakan foto itu semata-mata untuk pengkomposan imej — ia tidak menyimpan atau menganalisis identiti. Walau bagaimanapun, takrifan GDPR adalah berasaskan proses, bukan berasaskan hasil: jika anda memproses foto yang mana data biometrik secara teknikalnya boleh diterbitkan, anda berada dalam zon risiko. Penasihat undang-undang anda harus mengesahkan klasifikasi anda. Panduan dalam dokumen ini adalah untuk maklumat sahaja, bukan nasihat undang-undang.

Langkah 2: Ketahui tetingkap pemadaman data Photta

Photta mengendalikan dua pemasa pemadaman mengikut reka bentuk. Foto muat naik pembeli (swafoto asal atau foto badan) dipadamkan daripada pelayan Photta dalam masa 1 jam selepas dimuat naik, tidak kira sama ada cubaan telah selesai atau tidak. Imej hasil cubaan yang dihasilkan (output yang dikomposkan) dipadamkan dalam masa 24 jam. Foto muat naik mahupun hasil tidak akan dikongsi dengan pihak ketiga atau digunakan untuk latihan model AI. Tetingkap singkat ini adalah ciri pematuhan yang disengajakan, bukan sekadar keputusan kos penyimpanan.

Peniaga tidak mempunyai akses kepada foto pembeli melalui Papan Pemuka Perniagaan — mengikut reka bentuk. Anda boleh melihat analitik agregat (kiraan cubaan, kadar penukaran, kadar ralat) tetapi bukan imej sebenar. Ini bermakna anda tidak perlu membina aliran kerja pemadaman data berasingan untuk permintaan hak-untuk-pemadaman GDPR berkaitan foto cubaan; pemadaman automatik Photta merangkuminya dalam masa 24 jam.

Langkah 3: Laksanakan UX keizinan sebelum cubaan

Sebelum pembeli memuat naik foto mereka, paparkan langkah keizinan yang jelas. Skrin keizinan terbina dalam widget (diaktifkan dengan menambahkan data-consent="true" pada tag skrip anda) menunjukkan penjelasan ringkas: 'Foto anda digunakan hanya untuk menghasilkan imej cubaan dan akan dipadamkan dalam masa 1 jam.' Pembeli mesti menanda kotak berlabel 'Saya bersetuju foto saya diproses untuk cubaan maya' sebelum mereka boleh meneruskan. Keizinan ini direkodkan dengan tanda masa dalam sistem Photta.

Jika anda lebih suka membina UI keizinan anda sendiri, lumpuhkan skrin terbina dalam widget dengan data-consent="custom" dan paparkan modal anda sendiri sebelum memanggil photta.open() daripada JavaScript anda. Pastikan UI keizinan tersuai anda merekodkan tanda masa dan tujuan keizinan dalam pangkalan data anda sendiri. GDPR memerlukan keizinan diberikan secara bebas, khusus, bermaklumat, dan tidak mengelirukan — kotak yang sudah ditanda tidak memenuhi syarat.

Langkah 4: Tandatangani Tambahan Pemprosesan Data dengan Photta

Di bawah GDPR Artikel 28, apabila anda melantik pemproses pihak ketiga (Photta) untuk memproses data peribadi bagi pihak anda, anda mesti mempunyai Tambahan Pemprosesan Data (DPA) bertulis. Log masuk ke Papan Pemuka Photta Business, pergi ke Tetapan → Undang-undang, dan klik 'Tandatangani DPA.' DPA ialah dokumen patuh Klausa Kontrak Standard EU yang menentukan kategori data yang diproses, tujuan pemprosesan, sub-pemproses Photta, dan kewajipan pemadaman.

DPA tersedia dalam bahasa Inggeris. Menandatanganinya adalah proses satu klik menggunakan DocuSign. Setelah ditandatangani, salinan PDF akan diemelkan ke alamat berdaftar anda dan disimpan dalam Tetapan → Undang-undang untuk rekod anda. Jika DPA anda perlu menamakan sub-pemproses khusus yang digunakan oleh Photta (AWS S3 untuk penyimpanan, KieAI untuk penjanaan), ia disenaraikan dalam jadual DPA. Kemas kini dokumen Rekod Aktiviti Pemprosesan (RoPA) anda sendiri selepas menandatangani untuk mencerminkan Photta sebagai pemproses data.

Langkah 5: Kemas kini dasar privasi anda

Dasar privasi kedai anda mesti mendedahkan aktiviti pemprosesan cubaan maya. Tambahkan bahagian bertajuk 'Ciri Cubaan Maya' yang merangkumi: (1) data yang dikumpul (foto yang dimuat naik oleh pengguna), (2) tujuan (menghasilkan imej cubaan maya), (3) asas undang-undang (keizinan jelas, Art. 6(1)(a) GDPR), (4) siapa yang memproses data (Photta, perkhidmatan AI pihak ketiga), (5) tempoh pengekalan (foto dipadamkan dalam masa 1 jam, hasil dalam masa 24 jam), dan (6) hak subjek data (hak untuk menarik balik keizinan pada bila-bila masa).

Templat klausa yang dicadangkan: 'Apabila anda menggunakan ciri Cubaan Maya kami, foto yang anda muat naik dihantar ke Photta (photta.app) untuk tujuan tunggal menghasilkan imej cubaan maya. Photta memadamkan foto anda dalam masa 1 jam dan imej yang dihasilkan dalam masa 24 jam. Tiada templat biometrik disimpan. Anda boleh menarik balik keizinan pada bila-bila masa dengan tidak menggunakan ciri ini; foto yang telah dimuat naik tidak boleh didapatkan semula selepas pemprosesan selesai. Untuk sebarang soalan, hubungi privacy@[kedaianda].com.' Laraskan mengikut entiti undang-undang dan bidang kuasa kedai anda.

Bagaimana Photta dibina untuk pematuhan privasi

🕐

Pemadaman foto 1 jam

Foto muat naik pembeli dibersihkan secara automatik dalam masa 1 jam. Tiada aliran kerja pemadaman manual diperlukan untuk permintaan hak-untuk-pemadaman.

📋

DPA satu klik

Tambahan Pemprosesan Data GDPR Art. 28 tersedia dalam Papan Pemuka Perniagaan. Tandatangan dalam 60 saat, PDF disimpan dalam akaun anda.

✅

Skrin keizinan terbina dalam

Aktifkan data-consent="true" dan widget akan mengendalikan pintu keizinan untuk anda — bertanda masa dan direkodkan bagi setiap sesi.

🚫

Tiada penggunaan data latihan

Foto pembeli tidak pernah digunakan untuk melatih model AI atau dikongsi dengan mana-mana pihak ketiga. Pemprosesan adalah terhad kepada penggunaan tunggal.

Soalan Lazim

: Pengawal selia belum mengeluarkan panduan muktamad, tetapi tafsiran yang konservatif dan paling selamat adalah ya — anggap ia sebagai data biometrik kategori khas dan dapatkan keizinan yang jelas sebelum memproses.

Sedia-GDPR dari hari pertama

Semua pelan Photta termasuk DPA, skrin keizinan, dan pemadaman foto 1 jam. Tiada peringkat pematuhan tambahan.

Lihat pelan

Beroperasi dengan yakin — GDPR dikendalikan

Tandatangani DPA, aktifkan skrin keizinan, kemas kini dasar privasi anda. Tiga langkah dan anda sudah patuh.

Mulakan cubaan percuma