Pasul 1: Înțelegeți ce solicită GDPR pentru procesarea fotografiilor
Când un cumpărător încarcă o fotografie cu sine, procesați date cu caracter personal — în special date de imagine care pot fi clasificate ca date biometrice conform Articolului 9 din GDPR, dacă sunt utilizate pentru „identificarea unică a unei persoane fizice”. Instanțele și autoritățile de reglementare din UE au oferit îndrumări mixte cu privire la faptul dacă fotografiile pentru proba virtuală depășesc pragul biometric al Articolului 9. Interpretarea conservatoare și cea mai sigură este de a trata fotografiile cumpărătorilor ca date biometrice de categorie specială și de a obține consimțământul explicit înainte de procesare.
Arhitectura Photta nu extrage șabloane biometrice (amprente faciale, măsurători corporale sau amprente digitale). AI-ul utilizează fotografia exclusiv pentru compoziția imaginii — nu stochează și nu analizează identitatea. Cu toate acestea, definiția GDPR se bazează pe proces, nu pe rezultat: dacă procesați o fotografie din care datele biometrice ar putea fi derivate tehnic, vă aflați în zona de risc. Consilierul dvs. juridic ar trebui să confirme clasificarea. Îndrumările din acest document sunt informative, nu reprezintă consultanță juridică.
Pasul 2: Cunoașteți ferestrele de ștergere a datelor ale Photta
Photta utilizează două temporizatoare de ștergere prin design. Fotografiile încărcate de cumpărători (selfie-ul original sau fotografia corpului) sunt șterse de pe serverele Photta în termen de 1 oră de la încărcare, indiferent dacă proba a fost finalizată. Imaginile rezultate generate (rezultatul compozit) sunt șterse în termen de 24 de ore. Nici încărcarea, nici rezultatul nu sunt vreodată partajate cu terțe părți sau utilizate pentru antrenarea modelelor AI. Aceste ferestre scurte sunt o caracteristică de conformitate deliberată, nu doar o decizie privind costurile de stocare.
Comercianții nu au acces la fotografiile cumpărătorilor prin Panoul de Control Business — prin design. Puteți vedea analize agregate (numărul de probe, ratele de conversie, ratele de eroare), dar nu și imaginile propriu-zise. Aceasta înseamnă că nu trebuie să construiți un flux de lucru separat pentru ștergerea datelor în cazul cererilor de drept la ștergere conform GDPR legate de fotografiile de probă; ștergerea automată a Photta le acoperă în 24 de ore.
Pasul 3: Implementați un UX de consimțământ înainte de probă
Înainte ca cumpărătorul să își încarce fotografia, afișați un pas clar pentru consimțământ. Ecranul de consimțământ încorporat al widget-ului (activat prin adăugarea data-consent="true" la eticheta de script) afișează o scurtă explicație: „Fotografia dvs. este utilizată numai pentru a genera o imagine de probă și va fi ștearsă în termen de 1 oră”. Cumpărătorul trebuie să bifeze o casetă etichetată „Sunt de acord cu prelucrarea fotografiei mele pentru proba virtuală” înainte de a putea continua. Acest consimțământ este înregistrat cu o marcă temporală în sistemul Photta.
Dacă preferați să construiți propria interfață de consimțământ, dezactivați ecranul încorporat al widget-ului cu data-consent="custom" și prezentați propriul modal înainte de a apela photta.open() din JavaScript-ul dvs. Asigurați-vă că interfața de consimțământ personalizată înregistrează marca temporală și scopul consimțământului în propria bază de date. GDPR solicită ca consimțământul să fie acordat liber, specific, informat și neechivoc — o casetă bifată în prealabil nu este valabilă.
Pasul 4: Semnați un Addendum privind Prelucrarea Datelor cu Photta
Conform Articolului 28 din GDPR, atunci când apelați la un procesator terț (Photta) pentru a prelucra date cu caracter personal în numele dvs., trebuie să aveți un Addendum privind Prelucrarea Datelor (DPA) în scris. Autentificați-vă în Panoul de Control Photta Business, navigați la Setări → Juridic și faceți clic pe „Semnează DPA”. DPA este un document standard conform clauzelor contractuale standard ale UE, care specifică categoriile de date prelucrate, scopurile prelucrării, sub-procesatorii Photta și obligațiile de ștergere.
DPA este disponibil în limba engleză. Semnarea este un proces printr-un singur clic folosind DocuSign. Odată semnat, o copie PDF este trimisă prin e-mail la adresa dvs. înregistrată și stocată în Setări → Juridic pentru evidența dvs. Dacă DPA-ul dvs. trebuie să specifice sub-procesatorii utilizați de Photta (AWS S3 pentru stocare, KieAI pentru generare), aceștia sunt enumerați în anexa DPA. Actualizați propriul document de Evidență a Activităților de Prelucrare (RoPA) după semnare pentru a reflecta Photta ca procesator de date.
Pasul 5: Actualizați politica de confidențialitate
Politica de confidențialitate a magazinului dvs. trebuie să dezvăluie activitatea de prelucrare pentru proba virtuală. Adăugați o secțiune intitulată „Funcția de probă virtuală” care să includă: (1) ce date sunt colectate (fotografii încărcate de utilizator), (2) scopul (generarea unei imagini de probă virtuală), (3) baza legală (consimțământ explicit, Art. 6(1)(a) GDPR), (4) cine prelucrează datele (Photta, un serviciu AI terț), (5) perioada de retenție (fotografii șterse în 1 oră, rezultate în 24 de ore) și (6) drepturile persoanei vizate (dreptul de a retrage consimțământul în orice moment).
O clauză model sugerată: „Când utilizați funcția noastră de Probă Virtuală, fotografia pe care o încărcați este transmisă către Photta (photta.app) în scopul exclusiv de a genera o imagine de probă virtuală. Photta vă șterge fotografia în termen de 1 oră și imaginea generată în termen de 24 de ore. Nu sunt stocate șabloane biometrice. Vă puteți retrage consimțământul în orice moment prin neutilizarea funcției; fotografiile deja încărcate nu pot fi recuperate după finalizarea procesării. Pentru întrebări, contactați privacy@[magazinuldvs].com”. Adaptați textul la entitatea juridică și jurisdicția magazinului dvs.