Steg 1: Förstå vad GDPR kräver för fotobehandling
När en kund laddar upp ett foto av sig själv behandlar du personuppgifter — specifikt bilddata som kan klassificeras som biometriska data enligt GDPR Artikel 9 om de används för att 'entydigt identifiera en fysisk person.' Domstolar och tillsynsmyndigheter i EU har gett blandade vägledningar om huruvida foton för virtuell provning passerar tröskeln för Artikel 9. Den konservativa och säkraste tolkningen är att behandla kundfoton som känsliga biometriska data och inhämta uttryckligt samtycke före behandling.
Photta:s arkitektur extraherar inte biometriska mallar (ansiktsinbäddningar, kroppsmått eller fingeravtryck). AI:n använder fotot enbart för bildkomponering — den lagrar eller analyserar inte identitet. Dock är GDPR:s definition processbaserad, inte resultatbaserad: om du behandlar ett foto från vilket biometriska data tekniskt sett skulle kunna härledas, befinner du dig i riskzonen. Din juridiska rådgivare bör bekräfta din klassificering. Vägledningen i detta dokument är informativ, inte juridisk rådgivning.
Steg 2: Känn till Photta:s raderingsfönster
Photta har två inbyggda raderingstimer. Kundfoton (det ursprungliga selfien eller kroppsfotot) raderas från Photta:s servrar inom 1 timme efter uppladdning, oavsett om en provning slutfördes eller ej. Genererade provningsbilder (det sammansatta resultatet) raderas inom 24 timmar. Varken uppladdningen eller resultatet delas någonsin med tredje part eller används för AI-modellträning. Dessa korta fönster är en avsiktlig funktion för regelefterlevnad, inte bara ett beslut baserat på lagringskostnader.
Handlare har inte tillgång till kundfoton via Business Dashboard — enligt design. Du kan se aggregerad statistik (antal provningar, konverteringsgrader, felmarginaler) men inte de faktiska bilderna. Detta innebär att du inte behöver bygga ett separat arbetsflöde för radering av data för GDPR-förfrågningar om rätten att bli raderad relaterat till provningsfoton; Photta:s automatiska radering täcker dem inom 24 timmar.
Steg 3: Implementera ett samtyckes-UX före provningen
Innan kunden laddar upp sitt foto, visa ett tydligt samtyckessteg. Widgetens inbyggda samtyckesskärm (aktiveras genom att lägga till data-consent="true" i din script-tagg) visar en kort förklaring: 'Ditt foto används endast för att generera en provningsbild och kommer att raderas inom 1 timme.' Kunden måste klicka i en kryssruta märkt 'Jag samtycker till att mitt foto behandlas för virtuell provning' innan de kan fortsätta. Detta samtycke loggas med en tidsstämpel i Photta:s system.
Om du föredrar att bygga ditt eget samtyckesgränssnitt, inaktivera widgetens inbyggda skärm med data-consent="custom" och presentera din egen modal innan du anropar photta.open() från din JavaScript. Se till att ditt anpassade gränssnitt registrerar tidsstämpel och syfte för samtycket i din egen databas. GDPR kräver att samtycke ges frivilligt, är specifikt, informerat och otvetydigt — en förkryssad ruta räknas inte.
Steg 4: Signera ett personuppgiftsbiträdesavtal med Photta
Enligt GDPR Artikel 28 måste du ha ett skriftligt personuppgiftsbiträdesavtal (DPA) på plats när du anlitar ett tredjepartsbiträde (Photta) för att behandla personuppgifter för din räkning. Logga in på Photta Business Dashboard, navigera till Settings → Legal och klicka på 'Sign DPA'. DPA-avtalet är ett standarddokument som följer EU:s standardavtalsklausuler och specificerar vilka datakategorier som behandlas, syftet med behandlingen, Photta:s underbiträden och raderingsskyldigheter.
DPA-avtalet finns tillgängligt på engelska. Signering är en process med ett klick via DocuSign. När det är signerat skickas en PDF-kopia till din registrerade e-postadress och lagras i Settings → Legal för dina register. Om ditt DPA behöver namnge specifika underbiträden som används av Photta (AWS S3 för lagring, KieAI för generering), finns dessa listade i DPA-bilagan. Uppdatera ditt eget register över behandlingsaktiviteter (RoPA) efter signering för att återspegla Photta som personuppgiftsbiträde.
Steg 5: Uppdatera din integritetspolicy
Din butiks integritetspolicy måste upplysa om den virtuella provningsaktiviteten. Lägg till ett avsnitt med titeln 'Virtuell provningsfunktion' som inkluderar: (1) vilken data som samlas in (foton uppladdade av användaren), (2) syftet (generera en virtuell provningsbild), (3) den lagliga grunden (uttryckligt samtycke, Art. 6(1)(a) GDPR), (4) vem som behandlar datan (Photta, en tredjeparts AI-tjänst), (5) lagringsperiod (foton raderas inom 1 timme, resultat inom 24 timmar) och (6) den registrerades rättigheter (rätt att när som helst återkalla samtycke).
Ett förslag på mallklausul: 'När du använder vår virtuella provningsfunktion skickas fotot du laddar upp till Photta (photta.app) med det enda syftet att generera en virtuell provningsbild. Photta raderar ditt foto inom 1 timme och den genererade bilden inom 24 timmar. Inga biometriska mallar lagras. Du kan när som helst återkalla ditt samtycke genom att inte använda funktionen; foton som redan laddats upp kan inte återfås efter att behandlingen slutförts. För frågor, kontakta privacy@[dinbutik].com.' Anpassa efter din butiks juridiska enhet och jurisdiktion.