Krok 1: Zrozum wymagania GDPR dotyczące przetwarzania zdjęć
Gdy kupujący przesyła swoje zdjęcie, przetwarzasz dane osobowe — w szczególności dane obrazu, które mogą zostać sklasyfikowane jako dane biometryczne zgodnie z Art. 9 GDPR, jeśli są używane do „jednoznacznej identyfikacji osoby fizycznej”. Sądy i organy regulacyjne w całej UE wydają niejednoznaczne wytyczne dotyczące tego, czy zdjęcia z wirtualnych przymierzalni przekraczają próg biometryczny Artykułu 9. Konserwatywna i najbezpieczniejsza interpretacja to traktowanie zdjęć klientów jako danych biometrycznych szczególnej kategorii i uzyskanie wyraźnej zgody przed przetwarzaniem.
Architektura Photta nie wyodrębnia szablonów biometrycznych (mapowania twarzy, pomiarów ciała ani odcisków palców). AI wykorzystuje zdjęcie wyłącznie do kompozycji obrazu — nie przechowuje ani nie analizuje tożsamości. Jednak definicja w GDPR opiera się na procesie, a nie na wyniku: jeśli przetwarzasz zdjęcie, z którego technicznie można by wyodrębnić dane biometryczne, znajdujesz się w strefie ryzyka. Twój doradca prawny powinien potwierdzić tę klasyfikację. Informacje w tym dokumencie mają charakter informacyjny, a nie stanowią porady prawnej.
Krok 2: Poznaj okna usuwania danych Photta
Photta korzysta z dwóch zaprojektowanych liczników czasu usuwania danych. Zdjęcia przesłane przez klienta (oryginalne selfie lub zdjęcie sylwetki) są usuwane z serwerów Photta w ciągu 1 godziny od przesłania, niezależnie od tego, czy przymiarka została ukończona. Wygenerowane obrazy wynikowe (skompilowany wynik) są usuwane w ciągu 24 godzin. Ani przesłane zdjęcie, ani wynik nie są nigdy udostępniane stronom trzecim ani wykorzystywane do trenowania modeli AI. Te krótkie okna czasowe są celową funkcją zapewniającą zgodność, a nie tylko decyzją o kosztach przechowywania.
Sprzedawcy nie mają dostępu do zdjęć kupujących poprzez Panel Biznesowy — zgodnie z projektem systemu. Możesz zobaczyć zagregowaną analitykę (liczbę przymiarek, współczynniki konwersji, wskaźniki błędów), ale nie same obrazy. Oznacza to, że nie musisz budować osobnego przepływu usuwania danych dla żądań prawa do bycia zapomnianym GDPR w odniesieniu do zdjęć z przymierzalni; automatyczne usuwanie Photta obejmuje je w ciągu 24 godzin.
Krok 3: Wdróż interfejs zgody przed przymiarką
Zanim klient prześle zdjęcie, wyświetl jasny krok uzyskania zgody. Wbudowany ekran zgody widżetu (aktywowany przez dodanie data-consent="true" do tagu skryptu) wyświetla krótkie wyjaśnienie: „Twoje zdjęcie zostanie użyte wyłącznie do wygenerowania obrazu przymiarki i zostanie usunięte w ciągu 1 godziny”. Klient musi zaznaczyć pole wyboru „Wyrażam zgodę na przetwarzanie mojego zdjęcia w celu wirtualnej przymierzalni”, zanim przejdzie dalej. Zgoda ta jest rejestrowana ze znacznikiem czasu w systemie Photta.
Jeśli wolisz zbudować własny interfejs zgody, wyłącz wbudowany ekran widżetu za pomocą data-consent="custom" i zaprezentuj własny modal przed wywołaniem photta.open() z poziomu JavaScriptu. Upewnij się, że Twój niestandardowy interfejs rejestruje znacznik czasu i cel zgody we własnej bazie danych. GDPR wymaga, aby zgoda była dobrowolna, konkretna, świadoma i jednoznaczna — domyślnie zaznaczone pole wyboru nie spełnia tych wymogów.
Krok 4: Podpisz umowę powierzenia przetwarzania danych z Photta
Zgodnie z Artykułem 28 GDPR, gdy korzystasz z usług zewnętrznego podmiotu przetwarzającego (Photta) do przetwarzania danych osobowych w Twoim imieniu, musisz posiadać pisemną umowę powierzenia przetwarzania danych (DPA). Zaloguj się do panelu Photta Business, przejdź do Ustawienia → Prawo i kliknij „Podpisz DPA”. DPA to standardowy dokument zgodny z unijnymi Standardowymi Klauzulami Umownymi, który określa kategorie przetwarzanych danych, cele przetwarzania, podwykonawców Photta oraz obowiązki w zakresie usuwania danych.
DPA jest dostępna w języku angielskim. Podpisanie to proces jednego kliknięcia za pomocą DocuSign. Po podpisaniu kopia PDF jest wysyłana na Twój zarejestrowany adres e-mail i przechowywana w Ustawieniach → Prawo. Jeśli Twoja umowa DPA musi wymieniać konkretnych podwykonawców używanych przez Photta (AWS S3 do przechowywania, KieAI do generowania), są oni wymienieni w załączniku do DPA. Po podpisaniu zaktualizuj swój własny Rejestr Czynności Przetwarzania (RCP), aby uwzględnić Photta jako podmiot przetwarzający.
Krok 5: Zaktualizuj politykę prywatności
Polityka prywatności Twojego sklepu musi ujawniać czynność przetwarzania w ramach wirtualnej przymierzalni. Dodaj sekcję zatytułowaną „Funkcja wirtualnej przymierzalni”, która zawiera: (1) jakie dane są gromadzone (zdjęcia przesłane przez użytkownika), (2) cel (wygenerowanie obrazu wirtualnej przymiarki), (3) podstawę prawną (wyraźna zgoda, Art. 6(1)(a) GDPR), (4) kto przetwarza dane (Photta, zewnętrzna usługa AI), (5) okres przechowywania (zdjęcia usuwane w ciągu 1 godziny, wyniki w ciągu 24 godzin) oraz (6) prawa osoby, której dane dotyczą (prawo do wycofania zgody w dowolnym momencie).
Sugerowana klauzula szablonu: „Podczas korzystania z funkcji Wirtualnej Przymierzalni przesyłane przez Ciebie zdjęcie jest przekazywane do Photta (photta.app) wyłącznie w celu wygenerowania obrazu wirtualnej przymiarki. Photta usuwa Twoje zdjęcie w ciągu 1 godziny, a wygenerowany obraz w ciągu 24 godzin. Nie są przechowywane żadne szablony biometryczne. Możesz wycofać zgodę w dowolnym momencie, rezygnując z korzystania z tej funkcji; zdjęcia już przesłane nie mogą zostać odzyskane po zakończeniu przetwarzania. W razie pytań prosimy o kontakt pod adresem privacy@[twojsklep].pl”. Dostosuj to do formy prawnej i jurysdykcji swojego sklepu.