Поверителност

Този текст за защита на данните обяснява как Contrima обработва лични данни в акаунтите на фотографите, процесите на участие и достъп, галериите, комуникацията, документацията, както и в процесите на подарък, размяна, продажба и лиценз, включително свързаните с тях процеси на плащане и изплащане. Той съдържа преглед на целите, процесите, мерките за защита и правата на субектите на данни. Английската версия е авторитетна; преводите са предоставени единствено за улеснение на разбирането.

Версия v3 · Публикувано 04.05.2026, 09:12 · Хеш f00fe99c5db7

Поверителност

1. Език и преводи

Настоящата политика за поверителност се предоставя на няколко езика. Автентична е английската версия. Преводите се предоставят единствено с цел яснота. Задължителните права съгласно законодателството на обичайното място на пребиваване на субекта на данните остават незасегнати.

2. Администратор на лични данни

Администраторът на данни по смисъла на Общия регламент за защита на данните (GDPR) е:
Марк Райнхард (едноличен търговец)
„Contrima“ е услуга, предоставяна от Марк Райнхард
Имейл: info@contrima.com

3. Общ преглед: Какви данни обработваме и защо

Ние обработваме лични данни, за да предоставим Contrima от техническа гледна точка, да осигурим и развиваме услугата, както и да изпълняваме и документираме процеси, свързани с фотографи, галерии, одобрения, подаръци, обмен, продажби, лицензиране, покупки, абонаменти, продавачи и плащания.

Това включва, по-специално, данни от функционирането на уебсайта, от потребителски акаунти и профили на фотографи, от QR и системи за достъп, процеси по заявки и галерии, от процедури за преглед, публикуване, одобрение, съгласие, лицензиране и покупка, от комуникация, както и от фактуриране, обработка на плащания, регистрация на продавачи, проверка, изплащания, архивиране и водене на отчети.

Ние обработваме лични данни по-специално на следните правни основания:

чл. 6, ал. 1, буква б) от ОРЗД (договор / преддоговорни мерки),
чл. 6, ал. 1, буква в) от ОРЗД (законово задължение),
чл. 6, ал. 1, буква е) от ОРЗД (легитимни интереси, например сигурно и стабилно предоставяне, откриване на злоупотреби и измами, проследимост, правна защита, архивиране и надеждна обработка на плащания),
чл. 6, ал. 1, буква а) от ОРЗД (съгласие, когато се изисква в отделни случаи).

Когато обработваме данни въз основа на съгласие, можете да оттеглите съгласието си по всяко време с действие за в бъдеще.

Contrima обработва определени данни като администратор на данни по право, по-специално за работата на платформата, сигурността, комуникацията, фактурирането, процесите на продажба/изплащане, документацията, проверката и архивирането. Когато Contrima изпълнява отделни функции от името на съответния фотограф, обработката се извършва в рамките, предвидени от закона във всеки отделен случай.

4. Инфраструктура за хостинг и съхранение (AWS, регион Ирландия)

Contrima се управлява в региона на AWS Ирландия (ЕС). Данните, генерирани при достъп до уебсайта или при използване на платформата, се обработват в системите на нашия хостинг доставчик.

Доставчик на хостинг услуги (обработващ лични данни):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Люксембург („AWS“)

За съхранение на изображения, файлове за преглед, съдържание на галерии, файлове за проверка и архивни фондове, в рамките на инфраструктурата на AWS могат да се използват различни класове за съхранение и архивно съхранение, включително непублични класове за архивно съхранение, като AWS S3 Glacier Deep Archive.

5. Данни за достъп / файлове с логове на сървъра

При всеки достъп до уебсайта или платформата уеб сървърът автоматично обработва информация в т.нар. лог файлове на сървъра. Това може да включва, по-специално:

IP адрес (или технически еквивалентен идентификатор),
дата и час на заявката,
страница/файл, до който е осъществен достъп (URL/път),
URL на препращащия сайт,
тип/версия на браузъра и операционна система,
статусни кодове/съобщения за грешки,
обем на прехвърлените данни.

Целта на обработката е техническото осигуряване, стабилността и сигурността на уебсайта и платформата (например анализ на грешки, защита срещу атаки, откриване на злоупотреби и одит на достъпа, свързан със сигурността). Правната основа е член 6, параграф 1, буква е) от ОРЗД.

Лог файловете се съхраняват само толкова дълго, колкото е необходимо за посочените цели, и впоследствие се изтриват или анонимизират, при условие че не се изисква по-нататъшно съхранение за целите на доказателствения процес (например в случай на инциденти, свързани със сигурността).

6. Криптиране (TLS/SSL)

По съображения за сигурност използваме транспортно криптиране (TLS/SSL), за да гарантираме възможно най-добрата защита на предаваното съдържание. Моля, имайте предвид обаче, че предаването на данни по интернет все пак може да бъде изложено на рискове за сигурността.

7. Бисквитки и подобни технологии

Нашият уебсайт и платформа могат да използват бисквитки или подобни технологии. Ние правим разграничение между:

Технически необходими бисквитки или подобни механизми (например сесийни бисквитки за вход, език, навигация, сигурност и токени),
Незадължителни бисквитки/инструменти, които се използват само с вашето съгласие, когато е необходимо.

Технически необходимите бисквитки са задължителни за предоставянето на уебсайта и платформата. Правната основа за съхранение/четене на тези бисквитки на крайните устройства е § 25, ал. 2, т. 2 от TDDDG; последващата обработка на лични данни се извършва на основание чл. 6, ал. 1, буква „е“ от ОРЗД или чл. 6, ал. 1, буква „б“ от ОРЗД, ако функцията е необходима за изпълнението на договор или за осъществяването на конкретен работен процес.

Доколкото в бъдеще се използват инструменти за анализ, маркетинг или други инструменти, изискващи съгласие, ние ще изменим настоящата политика за поверителност и – при необходимост – ще получим съгласие предварително.

8. Потребителски акаунт, профил на фотограф и акаунт на продавач

Когато предлагаме възможност за създаване на потребителски акаунт или влизане в системата, ние обработваме данните, необходими за тази цел (например имейл адрес, данни за влизане, технически данни за сесията, езикови настройки, часова зона, данни за профила и информация за сигурността), за да предоставим потребителския акаунт, да позволим влизане в системата, да управляваме профила и да гарантираме сигурността на системата.

За профилите на фотографите могат да се обработват и допълнителни данни за профила, портфолиото, витрината, фактурирането, продавача, данъците, абонамента, съхранението и ценообразуването, доколкото тези функции се предлагат или са активирани.

Правната основа обикновено е член 6, параграф 1, буква б) от ОРЗД и член 6, параграф 1, буква е) от ОРЗД (интереси, свързани със сигурността, предотвратяване на злоупотреби, стабилност на системата).

Забележка: Паролите не се съхраняват в обикновен текст, а обикновено се съхраняват като хеш стойност (техническа процедура за сигурност).

9. Данни, отнасящи се до фотографирани лица, получатели и други субекти на данни

Contrima обработва също лични данни на снимани лица, приемащи лица, купувачи и други субекти на данни във връзка с качване на файлове, задания в галерията, процеси на достъп, прегледи, публикации, одобрения, съгласия, лицензиране, покупки и документиране на конкретни случаи.

Такива данни могат да произхождат директно от субекта на данните (например когато той отваря точка за достъп, предоставя имейл адрес, избира език, прави декларация или извършва покупка) или да достигнат до нас индиректно чрез фотографа или други участващи страни; (например чрез качване на файлове с изображения, данни за задания, данни за контакт, QR карти, препратки към галерии или информация за случая).

В зависимост от случая се обработват по-специално следните данни: файлове с изображения, информация за задания и случаи, данни за контакт, езиков и устройствен контекст, данни за състоянието, данни за декларации и договори, както и информация за проверка и одит.

В случаи, свързани с непълнолетни лица и представители, могат да се обработват също подробности за ролята, потвърждения за упълномощаване и представителство, възложения между непълнолетното лице и упълномощаващия възрастен, времеви отметки, данни за комуникация, данни за проверка и информация за състоянието относно покупка, плащане, активиране или доставка, доколкото това е необходимо за съответния работен процес.

Когато личните данни не се събират директно от субекта на данните, ние изпълняваме задълженията за информиране съгласно член 14 от ОРЗД в степента, изисквана от закона. Правната допустимост на заснемането на снимка и първоначалното качване зависи от конкретния индивидуален случай и от отговорността на фотографа.

10. QR кодове, система за достъп, заявки и лични линкове за достъп

Contrima може да предоставя QR кодове, кодове за публичен достъп, лични линкове за достъп, токен за достъп, езикови контексти и подобни системи за достъп, за да позволи на сниманите лица, получатели, купувачи или други участващи страни да имат достъп до страници на участници, галерии, прегледи, процеси на одобрение, съгласие или покупка.

При това ние обработваме по-специално публични или лични кодове, стойности на токени, предпочитан език, времеви отметки, статус на заявката, събития за повторно изпращане, маркери за сесия или браузър, информация за сигурност и имейл адреса, предоставен в съответния поток.

Когато непълнолетни лица използват личен достъп или процес на заявка, оторизация, лицензиране или покупка, участието на непълнолетното лице и необходимата оторизация от родител, настойник или друг упълномощен възрастен могат да бъдат документирани отделно.

Това обработване служи за осигуряване на сигурен достъп, за присвояване на конкретен случай, за предотвратяване на злоупотреби, за предоставяне на персонализирани връзки, за осигуряване на подходящо за езика представяне, и за изпълнение на техническите и организационните аспекти на съответния работен поток. Правната основа е член 6, параграф 1, буква б) от ОРЗД и член 6, параграф 1, буква е) от ОРЗД.

При неутрални повторно прегледи може да показваме контактни данни в маскирана форма и, по съображения за сигурност, не можем да разкриваме отново директния достъп.

11. Галерии, прегледи, публикации и споразумения

В контекста на галериите и лицензите ние обработваме, по-специално, информация относно: случаи, галерии, задачи на участниците, варианти на изображения, прегледи, водни знаци, нива на публикуване, активирания, покупки, статуси на одобрение, упълномощаване и съгласие, както и пакетите или офертите, избрани за конкретния случай.

За целите на документирането и проверката може да регистрираме също: приложимата версия на пакета, показаната текстова версия, езика, времевата марка, използвания имейл адрес, контекста на портала или токена за достъп, както и други технически необходими данни за одит. Могат да бъдат генерирани, съхранявани и предоставяни на заинтересованите страни PDF или подобни документи за споразумения и проверка.

Това обработване служи за обработка на съответния случай, показване на прегледи, активиране на достъп след даване на съгласие или плащане, документиране на декларации и договори, проверка на обхвата на правата и за правна защита. Правната основа, в зависимост от случая, е член 6, параграф 1, буква б) от ОРЗД, член 6, параграф 1, буква е) от ОРЗД, член 6, параграф 1, буква в) от ОРЗД и, когато е необходимо в отделни случаи, член 6, параграф 1, буква а) от ОРЗД.

12. Свързване с нас

Ако се свържете с нас по електронна поща, ние обработваме предоставените от Вас данни (например име, имейл адрес, съдържание на съобщението), за да обработим Вашето запитване.

Правната основа е член 6, параграф 1, буква б) от ОРЗД; (доколкото това се отнася до (пред)договорна комуникация) или член 6, параграф 1, буква е) от ОРЗД; (общи запитвания; законен интерес от ефективна комуникация).

Формуляр за контакт: Когато е предоставен формуляр за контакт, ние обработваме събраните там данни изключително с цел обработка на запитването. Настоящата политика за поверителност ще бъде актуализирана при необходимост, например ако бъдат въведени допълнителни услуги като защита срещу спам.

13. Бюлетин

Ако в бъдеще предлагаме бюлетин, ще изменим настоящата политика за поверителност и, по-специално, ще оповестим по прозрачен начин доставчика на пощенски услуги, процедурата за двойно потвърждение, всички показатели за ефективност и възможностите за отказ.

14. Изпращане на имейли чрез AWS SES

Ние използваме Amazon Simple Email Service (AWS SES) за изпращане на системни и транзакционни имейли; (например потвърждения, лични линкове за достъп, повторно изпращане на съобщения, уведомления за галерия или срещи, информация за покупки или плащания, фактури или уведомления за продавачи/изплащания); ние използваме Amazon Simple Email Service (AWS SES).

По-конкретно се обработват имейл адресът, когато е приложимо, името, езиковият контекст и техническите метаданни на имейла (напр. информация за доставката).

Правната основа е член 6, параграф 1, буква б) от ОРЗД, член 6, параграф 1, буква в) от ОРЗД, и/или член 6, параграф 1, буква е) от ОРЗД.

15. Плащания, абонаменти, Stripe и Stripe Connect

Когато се използват платени услуги, абонаменти, пакети за съхранение, покупки на изображения или лицензи, продавачески акаунти или функции за изплащане, ние обработваме данните за фактуриране, транзакции и проверка, необходими за тази цел.

Това може да включва, по-специално:

име, адрес, имейл адрес и данни за фактуриране,
закупени или резервирани услуги, суми, валути и статус на плащането,
данни за фактуриране, възстановяване на суми, спорове, възстановяване на плащания и изплащане,
а в случай на функции за продавачи или изплащания – допълнителни данни за компанията, правната форма, данъците, банката и проверката, както и данни за упълномощени представители или действителни собственици, когато е необходимо.

За обработка на плащания, абонаменти, регистрация на продавачи и функции за изплащане, ние използваме по-специално Stripe и Stripe Connect. Ако предоставите лични данни във връзка с платежни услуги, Stripe получава тези данни и ги обработва в съответствие с Политиката за поверителност на Stripe.

Това обработване служи за целите на обработката на плащания, изпълнението на договори, фактурирането, спазването на законовите задължения, предотвратяването на измами и злоупотреби, проверката на продавачите и извършването на изплащания. Правната основа е член 6, параграф 1, буква б) от ОРЗД, член 6, параграф 1, буква в) от ОРЗД, член 6, параграф 1, буква е) от ОРЗД и, когато е необходимо, член 6, параграф 1, буква а) от ОРЗД.

В случай на покупки или платежни процеси, инициирани от или включващи непълнолетни лица, може да се обработва и допълнителна информация относно възрастното лице, което извършва плащането, одобрява или упълномощава, както и данни за статуса и проверката, свързани с одобрението, упълномощаването, възстановяването на суми или обратните плащания.

В случай на незабавно предоставяне на цифрови изображения или права за цифрово ползване, могат да бъдат обработвани и потвърждения относно незабавното начало на предоставянето, изтичането на правото на отказ, одобрението от представител, както и свързаните с това времена, текстови версии, езикови версии, технически доказателства и информация за одит.

16. Получатели / Обработващи лични данни / Независими администратори

Ние ангажираме доставчици на услуги, които обработват данни от наше име (обработка на данни съгласно член 28 от ОРЗД), а също така предаваме данни на органи, които могат да действат като независими администратори в съответния контекст.

Те включват, по-специално:

Amazon Web Services EMEA SARL – хостинг, съхранение и инфраструктурни услуги,
Amazon Web Services (AWS SES) – изпращане на имейли,
Stripe / Stripe Connect – обработка на плащания, регистрация на продавачи, проверка и изплащания,
Фотографи, купувачи, фотографирани лица, лица, приемащи стоки, или други участващи страни, доколкото това е необходимо за изпълнението на конкретен случай, галерия, покупка, споразумение или предоставяне на доказателства,
Данъчни консултанти, правни консултанти, банки, публични органи или други институции, доколкото това е необходимо за изпълнението на договор, за защита на законни права или за изпълнение на правни задължения.

17. Предаване на данни към трети държави

Доколкото в контекста на използването на AWS, AWS SES, Stripe или други използвани услуги лични данни се прехвърлят към държави извън Европейското икономическо пространство (ЕИП), това се извършва единствено в съответствие с изискванията на членове 44 и следващите от ОРЗД, например въз основа на подходящи гаранции, като стандартни договорни клаузи и/или други признати механизми за защита.

18. Срок на съхранение и архивиране

Ние обработваме и съхраняваме лични данни само толкова дълго, колкото е необходимо за съответните цели или се прилагат законови задължения за съхранение. След това данните се изтриват, анонимизират или прехвърлят в архив, съответстващ на техния статус и цел.

Следното се отнася по-специално за Contrima:

По принцип съхраняваме сървърни и сигурностни логове само толкова дълго, колкото е необходимо за сигурност, анализ на грешки и предотвратяване на злоупотреби.
Обикновено съхраняваме данни за акаунти, профили на фотографи, фактури и данни за продавачи за срока на договорните отношения и след това, доколкото това е необходимо за законовите задължения за съхранение, правна защита или за целите на предоставяне на доказателства.
Ние съхраняваме данни за рекламации, достъп, галерия, съгласие, лиценз и покупки толкова дълго, колкото е необходимо за обработката на случая, документацията, проверката, правната защита и изпълнението на законовите задължения.
Качените оригинални изображения обикновено се съхраняват в активно хранилище за окончателно приключени случаи до 90 дни от последната значима дейност и след това се прехвърлят в непубличен архив.
Чернови, тестови случаи или други незавършени случаи, които не са били приключени, могат да бъдат изтрити в съответствие със съответния статус на продукта или тарифата.
Архивираните оригинални данни могат да се съхраняват за неопределен период от време в непублични класове за съхранение в архиви в рамките на инфраструктурата на AWS, включително AWS S3 Glacier Deep Archive, при условие че няма правни или договорни основания за изтриване.
Данните за верификация, съгласие, одит, миниатюри, отпечатъци, хеш, фактуриране и друга документация могат да останат съхранени за по-дълги периоди или отделно, независимо от активната наличност на оригиналните изображения.

Архивираните обекти в класовете за съхранение Deep Archive не са публично достъпни; и обикновено не са достъпни в реално време; за повторен достъп може да е необходим отделен процес на възстановяване.

19. Вашите права

В рамките на законовите изисквания имате по-специално следните права:

Право на достъп (чл. 15 от ОРЗД),
Право на коригиране (чл. 16 от ОРЗД),
Право на изтриване (чл. 17 от ОРЗД),
Право на ограничаване на обработката (чл. 18 от ОРЗД),
Право на преносимост на данните (чл. 20 от ОРЗД),
Право на възражение срещу обработката на данни въз основа на член 6, параграф 1, буква е) от ОРЗД (член 21 от ОРЗД),
Право на оттегляне на съгласието по всяко време с действие за в бъдеще.

20. Право на подаване на жалба пред надзорен орган

Имате право да подадете жалба пред надзорен орган за защита на данните, по-специално в държавата-членка, в която имате обичайно местожителство, мястото на работа или мястото на предполагаемото нарушение. Компетентният орган за седалището ни е:

Държавният комисар по защита на данните и свобода на информацията в Баден-Вюртемберг (LfDI BW)
Пощенска кутия 10 29 32
70025 Щутгарт
Е-mail: poststelle@lfdi.bwl.de
Уебсайт: baden-wuerttemberg.datenschutz.de

21. Промени в настоящата Политика за поверителност

Ние може да променяме настоящата Политика за поверителност, ако се променят правната ситуация, услугите, платежните услуги, процедурите за съхранение и архивиране или практиките за обработка на данни. Прилага се версията, публикувана на тази страница към даден момент.

22. Задължение за предоставяне на данни

По принцип не сте длъжни да предоставяте лични данни само за да посетите уебсайта с информационна цел. Въпреки това, ако използвате точка за достъп или галерия, подадете декларация, направите покупка или активирате функции за продажба/изплащане, се изискват определени данни, за да се предостави съответната услуга, да се обработи транзакцията, да се обработят плащанията, да се извършат изплащания или да се изпълнят правни задължения.

23. Липса на напълно автоматизирано вземане на решения

Пълно автоматизирано вземане на решения, включително профилиране по смисъла на член 22 от ОРЗД, понастоящем не се извършва. Въпреки това механизмите за сигурност, измама, риск или съответствие могат да доведат до временно ограничаване на достъпа, качването, публикуването, плащанията или тегленията, които впоследствие се проверяват ръчно.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.