Adım 1: Fotoğraf işleme için GDPR'nin ne gerektirdiğini anlayın
Bir müşteri kendi fotoğrafını yüklediğinde, kişisel verileri işliyorsunuz demektir; özellikle de 'gerçek bir kişiyi benzersiz şekilde tanımlamak' için kullanılıyorsa, GDPR Madde 9 kapsamında biyometrik veri olarak sınıflandırılabilecek görüntü verileri. AB genelindeki mahkemeler ve düzenleyiciler, sanal deneme fotoğraflarının Madde 9 biyometrik eşiğini geçip geçmediği konusunda karışık rehberlik sunmuştur. En ihtiyatlı ve güvenli yorum, müşteri fotoğraflarını özel nitelikli biyometrik veri olarak ele almak ve işlemeden önce açık rıza almaktır.
Photta mimarisi biyometrik şablonlar (yüz eşleştirmeleri, vücut ölçüleri veya parmak izleri) çıkarmaz. Yapay zeka, fotoğrafı tamamen görüntü kompozisyonu için kullanır; kimlik bilgisi saklamaz veya analiz etmez. Ancak GDPR tanımı sonuç odaklı değil, süreç odaklıdır: Teknik olarak biyometrik verilerin türetilebileceği bir fotoğrafı işliyorsanız, risk bölgesindesiniz demektir. Hukuk danışmanınız sınıflandırmanızı onaylamalıdır. Bu belgedeki rehberlik bilgilendirme amaçlıdır, hukuki tavsiye değildir.
Adım 2: Photta'nin veri silme pencerelerini bilin
Photta tasarımı gereği iki silme zamanlayıcısı çalıştırır. Müşterinin yüklediği fotoğraflar (orijinal selfie veya vücut fotoğrafı), denemenin tamamlanıp tamamlanmadığına bakılmaksızm yüklendikten sonra 1 saat içinde Photta sunucularından silinir. Oluşturulan deneme sonuç görüntüleri (birleştirilmiş çıktı) ise 24 saat içinde silinir. Ne yükleme ne de sonuç görüntüsü asla üçüncü taraflarla paylaşılmaz veya yapay zeka model eğitimi için kullanılmaz. Bu kısa pencereler sadece bir depolama maliyeti kararı değil, bilinçli bir uyumluluk özelliğidir.
Satıcılar, İşletme Paneli üzerinden müşteri fotoğraflarına erişemezler — bu tasarım gereğidir. Toplu analitikleri (deneme sayıları, dönüşüm oranları, hata oranları) görebilirsiniz ancak gerçek görüntüleri göremezsiniz. Bu, deneme fotoğraflarıyla ilgili GDPR silme hakkı talepleri için ayrı bir veri silme iş akışı oluşturmanıza gerek olmadığı anlamına gelir; Photta'nin otomatik silme işlemi bunları 24 saat içinde kapsar.
Adım 3: Denemeden önce bir onay kullanıcı deneyimi uygulayın
Müşteri fotoğrafını yüklemeden önce net bir onay adımı gösterin. Widget'ın yerleşik onay ekranı (script etiketinize data-consent="true" ekleyerek etkinleştirilir) kısa bir açıklama sunar: 'Fotoğrafınız yalnızca bir deneme görüntüsü oluşturmak için kullanılır ve 1 saat içinde silinir.' Müşteri, devam edebilmek için 'Fotoğrafımın sanal deneme için işlenmesine onay veriyorum' etiketli bir onay kutusunu işaretlemelidir. Bu onay, Photta sisteminde bir zaman damgasıyla kaydedilir.
Kendi onay arayüzünüzü oluşturmayı tercih ederseniz, data-consent="custom" ile widget'ın yerleşik ekranını devre dışı bırakın ve JavaScript'inizden photta.open() işlevini çağırmadan önce kendi modal pencerenizi sunun. Özel onay arayüzünüzün onay zaman damgasını ve amacını kendi veritabanınıza kaydettiğinden emin olun. GDPR, onayın özgürce verilmiş, spesifik, bilgilendirilmiş ve açık olmasını gerektirir; önceden işaretlenmiş bir onay kutusu geçerli sayılmaz.
Adım 4: Photta ile bir Veri İşleme Eki imzalayın
GDPR Madde 28 uyarınca, sizin adınıza kişisel verileri işlemesi için üçüncü taraf bir veri işleyiciyi (Photta) görevlendirdiğinizde, yazılı bir Veri İşleme Eki (DPA) imzalamış olmanız gerekir. Photta Business Paneline giriş yapın, Ayarlar → Yasal bölümüne gidin ve 'DPA İmzala' seçeneğine tıklayın. DPA, işlenen veri kategorilerini, işleme amaçlarını, Photta'nin alt işleyicilerini ve silme yükümlülüklerini belirten standart AB Standart Sözleşme Maddeleri uyumlu bir belgedir.
DPA İngilizce olarak mevcuttur. İmzalama işlemi DocuSign kullanılarak tek tıkla gerçekleştirilir. İmzalandıktan sonra, bir PDF kopyası kayıtlı adresinize e-postayla gönderilir ve kayıtlarınız için Ayarlar → Yasal bölümünde saklanır. DPA'nızın Photta tarafından kullanılan belirli alt işleyicileri (depolama için AWS S3, oluşturma için KieAI) adlandırması gerekiyorsa, bunlar DPA çizelgesinde listelenmiştir. İmzaladıktan sonra kendi Veri İşleme Faaliyetleri Kaydı (RoPA) belgenizi Photta'yi veri işleyicisi olarak yansıtacak şekilde güncelleyin.
Adım 5: Gizlilik politikanızı güncelleyin
Mağazanızın gizlilik politikası, sanal deneme işleme faaliyetini ifşa etmelidir. Şu bilgileri içeren 'Sanal Deneme Özelliği' başlıklı bir bölüm ekleyin: (1) hangi verilerin toplandığı (kullanıcı tarafından yüklenen fotoğraflar), (2) amaç (sanal deneme görüntüsü oluşturma), (3) yasal dayanak (açık rıza, Madde 6(1)(a) GDPR), (4) verileri kimin işlediği (Photta, bir üçüncü taraf yapay zeka hizmeti), (5) saklama süresi (fotoğraflar 1 saat içinde, sonuçlar 24 saat içinde silinir) ve (6) ilgili kişi hakları (onayı her an geri çekme hakkı).
Örnek bir şablon maddesi: 'Sanal Deneme özelliğimizi kullandığınızda, yüklediğiniz fotoğraf yalnızca bir sanal deneme görüntüsü oluşturulması amacıyla Photta (photta.app) adresine iletilir. Photta fotoğrafınızı 1 saat içinde, oluşturulan görüntüyü ise 24 saat içinde siler. Hiçbir biyometrik şablon saklanmaz. Özelliği kullanmayarak onayınızı istediğiniz zaman geri çekebilirsiniz; yüklenen fotoğraflar işleme tamamlandıktan sonra geri getirilemez. Sorularınız için privacy@[magazaniz].com adresiyle iletişime geçin.' Bu metni mağazanızın tüzel kişiliğine ve yetki alanına göre uyarlayın.