Крок 1: Розуміння вимог GDPR щодо обробки фотографій
Коли покупець завантажує свою фотографію, ви обробляєте персональні дані — зокрема дані зображень, які можуть бути класифіковані як біометричні дані згідно зі Статтею 9 GDPR, якщо вони використовуються для «унікальної ідентифікації фізичної особи». Суди та регулятори в ЄС дають неоднозначні вказівки щодо того, чи перетинають фотографії для віртуальної примірки поріг біометричних даних Статті 9. Консервативною та найбезпечнішою інтерпретацією є поводження з фотографіями покупців як із біометричними даними спеціальної категорії та отримання явної згоди перед обробкою.
Архітектура Photta не витягує біометричні шаблони (цифрові відбитки обличчя, виміри тіла або відбитки пальців). ШІ використовує фотографію суто для композиції зображення — він не зберігає і не аналізує особистість. Однак визначення GDPR базується на процесі, а не на результаті: якщо ви обробляєте фотографію, з якої технічно можна отримати біометричні дані, ви перебуваєте в зоні ризику. Ваш юрист має підтвердити вашу класифікацію. Рекомендації в цьому документі мають інформаційний характер і не є юридичною порадою.
Крок 2: Дізнайтеся про вікна видалення даних Photta
Photta використовує два таймери видалення за замовчуванням. Завантажені покупцем фотографії (оригінальне селфі або фото тіла) видаляються з серверів Photta протягом 1 години після завантаження, незалежно від того, чи була завершена примірка. Згенеровані зображення результату примірки (композитний вихідний файл) видаляються протягом 24 годин. Ні завантажені файли, ні результати ніколи не передаються третім особам і не використовуються для навчання моделей ШІ. Ці короткі вікна є свідомою функцією комплаєнсу, а не просто рішенням щодо вартості зберігання.
Мерчанти не мають доступу до фотографій покупців через Панель бізнес-управління — це передбачено архітектурою. Ви можете бачити агреговану аналітику (кількість примірок, коефіцієнт конверсії, рівень помилок), але не самі зображення. Це означає, що вам не потрібно створювати окремий робочий процес видалення даних для запитів GDPR щодо «права на забуття», пов'язаних із фотографіями примірок; автоматичне видалення Photta охоплює їх протягом 24 годин.
Крок 3: Впровадження інтерфейсу згоди перед приміркою
Перед тим як покупець завантажить своє фото, відобразіть чіткий крок отримання згоди. Вбудований екран згоди віджета (активується додаванням data-consent="true" до вашого тегу скрипта) показує коротке пояснення: «Ваше фото використовується лише для створення зображення примірки та буде видалено протягом 1 години». Покупець повинен поставити галочку біля напису «Я погоджуюся на обробку мого фото для віртуальної примірки», перш ніж зможе продовжити. Ця згода реєструється з міткою часу в системі Photta.
Якщо ви бажаєте створити власний інтерфейс згоди, вимкніть вбудований екран віджета за допомогою data-consent="custom" і показуйте власне модальне вікно перед викликом photta.open() з вашого JavaScript. Переконайтеся, що ваш власний інтерфейс згоди фіксує мітку часу та мету згоди у вашій базі даних. GDPR вимагає, щоб згода була вільною, конкретною, поінформованою та однозначною — заздалегідь проставлена галочка не вважається такою.
Крок 4: Підпишіть Додаток про обробку даних (DPA) з Photta
Згідно зі Статтею 28 GDPR, коли ви залучаєте стороннього обробника (Photta) для обробки персональних даних від вашого імені, ви повинні мати письмовий Додаток про обробку даних (DPA). Увійдіть у панель керування Photta Business, перейдіть до Налаштування → Юридичні питання та натисніть «Підписати DPA». DPA — це стандартний документ, що відповідає Стандартним договірним застереженням ЄС, у якому вказані категорії даних, що обробляються, цілі обробки, субобробники Photta та зобов'язання щодо видалення.
DPA доступний англійською мовою. Підписання відбувається в один клік через DocuSign. Після підписання копія у форматі PDF буде надіслана на вашу зареєстровану адресу та збережена в розділі Налаштування → Юридичні питання. Якщо у вашому DPA потрібно вказати конкретних субобробників, яких використовує Photta (AWS S3 для зберігання, KieAI для генерації), вони перелічені в додатку до DPA. Після підписання оновіть свій власний реєстр операцій з обробки (RoPA), вказавши Photta як обробника даних.
Крок 5: Оновіть вашу політику конфіденційності
Політика конфіденційності вашого магазину повинна розкривати діяльність з обробки даних для віртуальної примірки. Додайте розділ «Функція віртуальної примірки», який включає: (1) які дані збираються (фотографії, завантажені користувачем), (2) мету (створення зображення віртуальної примірки), (3) юридичну підставу (явна згода, ст. 6(1)(a) GDPR), (4) хто обробляє дані (Photta, сторонній сервіс ШІ), (5) термін зберігання (фото видаляються протягом 1 години, результати — протягом 24 годин) та (6) права суб'єкта даних (право відкликати згоду в будь-який час).
Пропонований шаблон застереження: «Коли ви використовуєте нашу функцію віртуальної примірки, завантажене вами фото передається до Photta (photta.app) виключно з метою створення зображення віртуальної примірки. Photta видаляє ваше фото протягом 1 години, а згенероване зображення — протягом 24 годин. Біометричні шаблони не зберігаються. Ви можете відкликати згоду в будь-який час, припинивши використання функції; завантажені фото не можуть бути повернуті після завершення обробки. З питаннями звертайтеся за адресою privacy@[вашмагазин].com». Адаптуйте це під юридичну особу вашого магазину та юрисдикцію.