Vie privée
Ce texte sur la protection des données explique comment Contrima traite les données personnelles dans les comptes des photographes, les processus de participation et d'accès, les galeries, la communication, la documentation ainsi que dans les processus de don, d'échange, de vente et de licence, y compris les processus de paiement et de décaissement associés. Il donne un aperçu des objectifs, des processus, des mesures de protection et des droits des personnes concernées. La version anglaise fait foi ; les traductions sont fournies uniquement pour faciliter la compréhension.
f00fe99c5db7Confidentialité
1. Langue et traductions
La présente politique de confidentialité est disponible en plusieurs langues. La version anglaise fait foi. Les traductions sont fournies uniquement à des fins de clarté. Les droits obligatoires en vertu de la législation du lieu de résidence habituel de la personne concernée restent inchangés.
2. Responsable du traitement
Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est :
Mark Reinhardt (entrepreneur individuel)
« Contrima » est un service fourni par Mark Reinhardt
E-mail : info@contrima.com
3. Aperçu : quelles données traitons-nous et pourquoi
Nous traitons des données à caractère personnel afin d’assurer le fonctionnement technique de Contrima, de sécuriser et de développer le service, ainsi que d’exécuter et de documenter les processus relatifs aux photographes, aux galeries, aux validations, aux cadeaux, aux échanges, aux ventes, aux licences, aux achats, aux abonnements, aux vendeurs et aux paiements.
Cela inclut notamment les données issues du fonctionnement du site web, des comptes utilisateurs et des profils de photographes, des systèmes QR et d'accès, des processus de réclamation et de gestion des galeries, des procédures de prévisualisation, de publication, d'approbation, de consentement, d'octroi de licence et d'achat, de la communication, ainsi que de la facturation, du traitement des paiements, de l'intégration des vendeurs, de la vérification, des versements, de l'archivage et de la tenue des registres.
Nous traitons les données à caractère personnel notamment sur la base des fondements juridiques suivants :
- Art. 6, par. 1, let. b) du RGPD (contrat / mesures précontractuelles),
- Art. 6, par. 1, let. c) du RGPD (obligation légale),
- Art. 6, par. 1, let. f) du RGPD (intérêts légitimes, par exemple fourniture sécurisée et stable, détection des abus et des fraudes, traçabilité, défense juridique, archivage et traitement fiable des paiements),
- Art. 6, al. 1, let. a) du RGPD (consentement, lorsque cela est requis dans des cas particuliers).
Lorsque nous traitons des données sur la base du consentement, vous pouvez retirer votre consentement à tout moment avec effet pour l'avenir.
Contrima traite certaines données en tant que responsable du traitement à part entière, notamment pour l'exploitation de la plateforme, la sécurité, la communication, la facturation, les processus liés aux vendeurs et aux paiements, la documentation, la vérification et l'archivage. Lorsque Contrima exerce des fonctions individuelles pour le compte du photographe concerné, le traitement s'effectue dans le cadre prévu par la loi dans chaque cas.
4. Infrastructure d'hébergement et de stockage (AWS, région Irlande)
Contrima est exploité dans la région AWS Irlande (UE). Les données générées lors de l'accès au site web ou de l'utilisation de la plateforme sont traitées sur les systèmes de notre hébergeur.
Fournisseur de services d'hébergement (sous-traitant) :
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (« AWS »)
Pour le stockage des données d'images, des fichiers d'aperçu, du contenu de la galerie, des fichiers d'épreuves et des fonds d'archives, différentes classes de stockage et d'archivage peuvent être utilisées au sein de l'infrastructure AWS, y compris des classes de stockage d'archives non publiques telles qu'AWS S3 Glacier Deep Archive.
5. Données d'accès / fichiers journaux du serveur
À chaque accès au site web ou à la plateforme, le serveur web traite automatiquement des informations contenues dans ce que l'on appelle des fichiers journaux de serveur. Cela peut notamment inclure :
- l'adresse IP (ou un identifiant techniquement équivalent),
- la date et l'heure de la requête,
- la page/le fichier consulté (URL/chemin d'accès),
- URL de référence,
- type/version du navigateur et système d'exploitation,
- codes d'état/messages d'erreur,
- volume de données transférées.
Le traitement a pour finalité la mise à disposition technique, la stabilité et la sécurité du site web et de la plateforme (par exemple, analyse des erreurs, défense contre les attaques, détection des abus et audit des accès liés à la sécurité). La base juridique est l'article 6, paragraphe 1, point f), du RGPD.
Les fichiers journaux ne sont conservés que pendant la durée nécessaire aux fins indiquées, puis sont supprimés ou anonymisés, à condition qu'aucune conservation supplémentaire ne soit requise à des fins de preuve (par exemple en cas d'incidents de sécurité).
6. Cryptage (TLS/SSL)
Pour des raisons de sécurité, nous utilisons un cryptage de transport (TLS/SSL) afin d'assurer la meilleure protection possible des contenus transmis. Veuillez toutefois noter que la transmission de données sur Internet peut toujours présenter des failles de sécurité.
7. Cookies et technologies similaires
Notre site web et notre plateforme peuvent utiliser des cookies ou des technologies similaires. Nous distinguons :
- les cookies ou mécanismes similaires techniquement nécessaires (par exemple, les cookies de session pour la connexion, la langue, la navigation, la sécurité et les contextes de jetons),
- les cookies/outils facultatifs, qui ne sont utilisés qu'avec votre consentement, lorsque cela est nécessaire.
Les cookies techniquement nécessaires sont indispensables au fonctionnement du site web et de la plateforme. La base juridique pour leur stockage/lecture sur les terminaux est l'article 25, paragraphe 2, point 2, de la TDDDG ; le traitement ultérieur des données à caractère personnel s'effectue sur la base de l'article 6, paragraphe 1, point f) du RGPD ou de l'article 6, paragraphe 1, point b) du RGPD, si la fonction est nécessaire à l'exécution d'un contrat ou à la mise en œuvre d'un processus spécifique.
Dans la mesure où des outils d'analyse, de marketing ou autres nécessitant un consentement seraient utilisés à l'avenir, nous modifierons la présente politique de confidentialité et – si nécessaire – obtiendrons le consentement au préalable.
8. Compte utilisateur, profil de photographe et compte vendeur
Lorsque nous proposons la possibilité de créer un compte utilisateur ou de se connecter, nous traitons les données nécessaires à cette fin (par exemple, adresse e-mail, identifiants de connexion, données techniques de session, paramètres linguistiques, fuseau horaire, données de profil et informations de sécurité), afin de fournir le compte utilisateur, de permettre la connexion, de gérer le profil et d’assurer la sécurité du système.
Pour les profils de photographes, des données supplémentaires relatives au profil, au portfolio, à la vitrine, à la facturation, au vendeur, à la fiscalité, à l'abonnement, au stockage et à la tarification peuvent également être traitées, dans la mesure où ces fonctions sont proposées ou activées.
La base juridique est généralement l'article 6, paragraphe 1, point b) du RGPD et l'article 6, paragraphe 1, point f) du RGPD (intérêts en matière de sécurité, prévention des abus, stabilité du système).
Remarque : les mots de passe ne sont pas stockés en clair, mais sont généralement stockés sous forme de valeur de hachage (procédure de sécurité technique).
9. Données relatives aux personnes photographiées, aux destinataires et à d'autres personnes concernées
Contrima traite également les données à caractère personnel des personnes photographiées, des personnes acceptantes, des acheteurs et d’autres personnes concernées dans le cadre des téléchargements, des attributions de galeries, des processus d’accès, des aperçus, des publications, des validations, des consentements, des octrois de licence, des achats et de la documentation de cas spécifiques.
Ces données peuvent provenir directement de la personne concernée (par exemple lorsqu’elle ouvre un point d’accès, fournit une adresse e-mail, sélectionne une langue, fait une déclaration ou effectue un achat) ou nous parvenir indirectement par l’intermédiaire du photographe ou d’autres parties impliquées ; (par exemple via le téléchargement de fichiers image, de données de mission, de coordonnées, de cartes QR, de références de galerie ou d’informations sur les cas).
Selon le cas, les données suivantes sont notamment traitées : fichiers image, informations relatives aux missions et aux dossiers, coordonnées, contextes linguistiques et liés aux appareils, données de statut, données de déclaration et de contrat, ainsi que des informations de vérification et d’audit.
Dans les cas impliquant des mineurs et des représentants, les détails relatifs aux rôles, les confirmations d’autorisation et de représentation, les mandats entre le mineur et l’adulte autorisé, les horodatages, les données de communication, les données de vérification et les informations de statut concernant l’achat, le paiement, l’activation ou la livraison peuvent également être traités, dans la mesure où cela est nécessaire pour le flux de travail concerné.
Lorsque les données à caractère personnel ne sont pas collectées directement auprès de la personne concernée, nous remplissons les obligations d’information prévues à l’article 14 du RGPD dans la mesure requise par la loi. La licéité de la prise d’une photographie et de son téléchargement initial dépend du cas particulier et relève de la responsabilité du photographe.
10. Codes QR, système d'accès, liens de réclamation et d'accès personnel
Contrima peut fournir des codes QR, des codes d'accès publics, des liens d'accès personnels, des jetons d'accès, des contextes linguistiques et des systèmes d'accès similaires, afin de permettre aux personnes photographiées, aux destinataires, aux acheteurs ou à d'autres parties concernées d'accéder aux pages des participants, aux galeries, aux aperçus, aux processus de validation, de consentement ou d'achat.
Ce faisant, nous traitons notamment les codes publics ou personnels, les valeurs des jetons, la langue préférée, les horodatages, le statut de réclamation, les événements de renvoi, les marqueurs de session ou de navigateur, les informations de sécurité et l'adresse e-mail fournie dans le flux correspondant.
Lorsque des mineurs utilisent un accès personnel ou un processus de réclamation, d'autorisation, d'octroi de licence ou d'achat, la participation du mineur lui-même et l'autorisation requise d'un parent, d'un tuteur ou d'un autre adulte autorisé peuvent être documentées séparément.
Ce traitement sert à fournir un accès sécurisé, à attribuer un dossier spécifique, à prévenir les abus, à fournir des liens personnalisés, à garantir un affichage adapté à la langue, et à mettre en œuvre les aspects techniques et organisationnels du flux de travail concerné. La base juridique est l’article 6, paragraphe 1, point b) du RGPD et l’article 6, paragraphe 1, point f) du RGPD.
Dans les vues de répétition neutres, nous pouvons afficher les coordonnées sous une forme masquée et, pour des raisons de sécurité, ne pouvons pas divulguer à nouveau l'accès direct.
11. Galeries, aperçus, publications et accords
Dans le cadre des galeries et des licences, nous traitons notamment les informations concernant : les dossiers, les galeries, les attributions aux participants, les variantes d’images, les aperçus, les filigranes, les niveaux de publication, les activations, les statuts d’achat, d’approbation, d’autorisation et de consentement, ainsi que les forfaits ou offres sélectionnés pour le dossier concerné.
À des fins de documentation et de vérification, nous pouvons également enregistrer : la version du forfait applicable, la version du texte affiché, la langue, l'horodatage, l'adresse e-mail utilisée, le contexte du portail ou du jeton d'accès, ainsi que d'autres données d'audit techniquement nécessaires. Des documents PDF ou des documents de contrat et de vérification comparables peuvent être générés, stockés et mis à la disposition des parties concernées.
Ce traitement sert à traiter le cas concerné, à afficher des aperçus, à activer l'accès après consentement ou paiement, à documenter les déclarations et les contrats, à vérifier l'étendue des droits et à assurer la défense juridique. La base juridique, selon le cas, est l'article 6, paragraphe 1, point b) du RGPD, l'article 6, paragraphe 1, point f) du RGPD, l'article 6, paragraphe 1, point c) du RGPD et, si nécessaire dans des cas particuliers, l'article 6, paragraphe 1, point a) du RGPD.
12. Nous contacter
Si vous nous contactez par e-mail, nous traitons les données que vous nous fournissez (par exemple, nom, adresse e-mail, contenu du message), afin de traiter votre demande.
La base juridique est l'article 6, paragraphe 1, point b) du RGPD ; (dans la mesure où il s'agit d'une communication (pré-)contractuelle) ou l'article 6, paragraphe 1, point f) du RGPD ; (demandes générales ; intérêt légitime à une communication efficace).
Formulaire de contact : lorsqu'un formulaire de contact est mis à disposition, nous traitons les données qui y sont collectées exclusivement dans le but de traiter la demande. La présente politique de confidentialité sera mise à jour si nécessaire, par exemple si des services supplémentaires tels que la protection contre le spam sont mis en place.
13. Newsletter
Si nous proposons une newsletter à l'avenir, nous modifierons la présente politique de confidentialité et, en particulier, nous indiquerons de manière transparente le prestataire de services de mailing, la procédure de double opt-in, les éventuels indicateurs de performance, ainsi que les options de désabonnement.
14. Envoi d'e-mails via AWS SES
Nous utilisons Amazon Simple Email Service (AWS SES) pour envoyer des e-mails système et transactionnels ; (par exemple, confirmations, liens d'accès personnels, renvois de messages, notifications de galerie ou de rendez-vous, informations d'achat ou de paiement, factures ou notifications de paiement au vendeur) ; nous utilisons Amazon Simple Email Service (AWS SES).
En particulier, l'adresse e-mail, le cas échéant, le nom, le contexte linguistique et les métadonnées techniques de l'e-mail (par exemple, les informations de livraison) sont traités.
La base juridique est l'article 6, paragraphe 1, point b) du RGPD, l'article 6, paragraphe 1, point c) du RGPD, et/ou l'article 6, paragraphe 1, point f) du RGPD.
15. Paiements, abonnements, Stripe et Stripe Connect
Lorsque des services payants, des abonnements, des forfaits de stockage, des achats d'images ou de licences, des comptes de vendeur ou des fonctions de paiement sont utilisés, nous traitons les données de facturation, de transaction et de vérification nécessaires à cette fin.
Cela peut notamment inclure :
- le nom, l'adresse, l'adresse e-mail et les coordonnées de facturation,
- les services achetés ou réservés, les montants, les devises et le statut du paiement,
- les données de facturation, de remboursement, de litige, de rejet de débit et de paiement,
- et, dans le cas des fonctions de vendeur ou de paiement, des données supplémentaires sur la société, la forme juridique, la fiscalité, les coordonnées bancaires et la vérification, ainsi que les coordonnées des représentants autorisés ou des bénéficiaires effectifs, le cas échéant.
Pour le traitement des paiements, les abonnements, l'intégration des vendeurs et les fonctions de paiement, nous utilisons notamment Stripe et Stripe Connect. Si vous fournissez des données à caractère personnel dans le cadre des services de paiement, Stripe reçoit ces données et les traite conformément à la Politique de confidentialité de Stripe.
Ce traitement sert aux fins du traitement des paiements, de l'exécution du contrat, de la facturation, du respect des obligations légales, de la prévention de la fraude et des abus, de la vérification des vendeurs et de l'exécution des paiements. La base juridique est l'article 6, paragraphe 1, point b) du RGPD, l'article 6, paragraphe 1, point c) du RGPD, l'article 6, paragraphe 1, point f) du RGPD et, si nécessaire, l'article 6, paragraphe 1, point a) du RGPD.
Dans le cas d'achats ou de processus de paiement initiés par ou impliquant des mineurs, des informations supplémentaires concernant l'adulte effectuant le paiement, donnant son accord ou autorisant la transaction, ainsi que des données relatives au statut et à la vérification concernant l'accord, l'autorisation, les remboursements ou les rétrofacturations, peuvent également être traitées.
En cas de fourniture immédiate d’images numériques ou de droits d’utilisation numériques, des confirmations concernant le début immédiat de la fourniture, l’expiration d’un droit de rétractation, l’approbation par un représentant, ainsi que les dates, versions textuelles, versions linguistiques, preuves techniques et informations d’audit associées peuvent également être traitées.
16. Destinataires / Sous-traitants / Responsables du traitement indépendants
Nous faisons appel à des prestataires de services qui traitent des données pour notre compte (traitement des données conformément à l'article 28 du RGPD), et transférons également des données à des organismes qui peuvent agir en tant que responsables du traitement indépendants dans le contexte concerné.
Il s'agit notamment de :
- Amazon Web Services EMEA SARL – services d'hébergement, de stockage et d'infrastructure,
- Amazon Web Services (AWS SES) – envoi d'e-mails,
- Stripe / Stripe Connect – traitement des paiements, intégration des vendeurs, vérification et versements,
- Photographes, acheteurs, personnes photographiées, personnes réceptionnant les marchandises ou autres parties concernées, dans la mesure où cela est nécessaire à l'exécution d'un cas spécifique, d'une galerie, d'un achat, d'un contrat ou à la fourniture de preuves,
- Conseillers fiscaux, conseillers juridiques, banques, autorités publiques ou autres organismes, dans la mesure où cela est nécessaire à l'exécution d'un contrat, à la défense de droits légaux ou au respect d'obligations légales.
17. Transfert vers des pays tiers
Dans la mesure où, dans le cadre de l'utilisation d'AWS, d'AWS SES, de Stripe ou d'autres services utilisés, des données à caractère personnel sont transférées vers des pays situés en dehors de l'Espace économique européen (EEE), cela se fait uniquement dans le respect des exigences des articles 44 et suivants du RGPD, par exemple sur la base de garanties appropriées telles que des clauses contractuelles types et/ou d'autres mécanismes de protection reconnus.
18. Durée de conservation et archivage
Nous traitons et conservons les données à caractère personnel uniquement aussi longtemps que, cela est nécessaire aux fins respectives, ou que des obligations légales de conservation s'appliquent. Par la suite, les données sont supprimées, anonymisées, ou transférées vers un statut d'archivage adapté à leur statut et à leur finalité.
Ce qui suit s'applique en particulier à Contrima :
- Nous conservons généralement les journaux de serveur et de sécurité uniquement aussi longtemps que cela est nécessaire pour la sécurité, l'analyse des erreurs et la prévention des abus.
- Nous conservons généralement les données de compte, les profils de photographes, les données de facturation et les données des vendeurs pendant toute la durée de la relation contractuelle et au-delà, dans la mesure où cela est nécessaire pour respecter les obligations légales de conservation, pour la défense juridique ou à des fins de preuve.
- Nous conservons les données relatives aux réclamations, aux accès, aux galeries, aux consentements, aux licences et aux achats aussi longtemps que nécessaire pour le traitement du dossier, la documentation, la vérifiabilité, la défense juridique et le respect des obligations légales.
- Les images originales téléchargées sont généralement conservées en stockage actif pour les dossiers actifs jusqu'à 90 jours après la dernière activité significative, puis transférées vers une archive non publique.
- Les brouillons, les cas tests ou autres dossiers non finalisés qui n'ont pas été menés à terme peuvent être supprimés conformément au statut du produit ou au tarif correspondant.
- Les données originales archivées peuvent être conservées indéfiniment dans des classes de stockage d'archives non publiques au sein de l'infrastructure AWS, y compris AWS S3 Glacier Deep Archive, à condition qu'il n'existe aucun motif légal ou contractuel justifiant leur suppression.
- Les données de vérification, d'accord, d'audit, de vignettes, d'empreintes digitales, de hachage, de facturation et autres données documentaires peuvent rester stockées pendant des périodes plus longues ou séparément, indépendamment de la disponibilité active des images originales.
Les objets archivés dans les classes de stockage Deep Archive ne sont pas accessibles au public ; et ne sont généralement pas accessibles en temps réel ; un processus de restauration distinct peut être nécessaire pour y accéder à nouveau.
19. Vos droits
Dans le cadre des exigences légales, vous disposez notamment des droits suivants :
- Droit d'accès (art. 15 du RGPD),
- Droit de rectification (art. 16 du RGPD),
- Droit à l'effacement (art. 17 du RGPD),
- Droit à la limitation du traitement (art. 18 du RGPD),
- Droit à la portabilité des données (art. 20 du RGPD),
- Droit d'opposition au traitement fondé sur l'article 6, paragraphe 1, point f), du RGPD (article 21 du RGPD),
- Droit de retirer son consentement à tout moment avec effet pour l'avenir.
20. Droit d'introduire une réclamation auprès d'une autorité de contrôle
Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle de la protection des données, en particulier dans l'État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation présumée. L'autorité compétente pour notre siège social est :
Le Commissaire d'État à la protection des données et à la liberté d'information du Bade-Wurtemberg (LfDI BW)
Boîte postale 10 29 32
70025 Stuttgart
E-mail : poststelle@lfdi.bwl.de
Site web : baden-wuerttemberg.datenschutz.de
21. Modifications de la présente politique de confidentialité
Nous pouvons modifier la présente politique de confidentialité si la situation juridique, les services, les services de paiement, les procédures de stockage et d'archivage ou les pratiques de traitement des données changent. La version publiée sur cette page à tout moment s'applique.
22. Obligation de fournir des données
En règle générale, vous n’êtes pas tenu de fournir des données à caractère personnel pour le simple fait de consulter le site web à des fins d’information. Toutefois, si vous utilisez un point d’accès ou une galerie, soumettez une déclaration, effectuez un achat ou activez des fonctions de vente/paiement, certaines informations sont requises pour fournir le service concerné, traiter la transaction, gérer les paiements, effectuer des versements ou respecter les obligations légales.
23. Absence de prise de décision entièrement automatisée
Aucune prise de décision entièrement automatisée, y compris le profilage au sens de l'article 22 du RGPD, n'a actuellement lieu. Toutefois, des mécanismes de sécurité, de lutte contre la fraude, de gestion des risques ou de conformité peuvent entraîner une restriction temporaire des accès, des téléchargements, des publications, des paiements ou des retraits, qui seront ensuite vérifiés manuellement.
f00fe99c5db7Privacy
1. Language and translations
This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.
2. Data Controller
The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com
3. Overview: What data we process and why
We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.
This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.
We process personal data in particular on the following legal bases:
- Art. 6(1)(b) GDPR (contract / pre-contractual measures),
- Art. 6(1)(c) GDPR (legal obligation),
- Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
- Art. 6(1)(a) GDPR (consent, where required in individual cases).
Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.
Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.
4. Hosting and storage infrastructure (AWS, Ireland region)
Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.
Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)
For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.
5. Access data / server log files
Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:
- IP address (or a technically equivalent identifier),
- date and time of the request,
- page/file accessed (URL/path),
- referrer URL,
- browser type/version and operating system,
- status codes/error messages,
- amount of data transferred.
The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.
The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).
6. Encryption (TLS/SSL)
For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.
7. Cookies and similar technologies
Our website and platform may use cookies or similar technologies. We distinguish between:
- Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
- Optional cookies/tools, which are only used with your consent, where necessary.
Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.
Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.
8. User account, photographer profile and seller account
Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.
For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.
The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).
Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).
9. Data relating to photographed persons, accepting persons and other data subjects
Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.
Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).
Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.
In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.
Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.
10. QR codes, access system, claiming and personal access links
Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.
In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.
Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.
This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.
In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.
11. Galleries, previews, publications and agreements
In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.
For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.
This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.
12. Contacting us
If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.
The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).
Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.
13. Newsletter
Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.
14. Sending emails via AWS SES
For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).
In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.
The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.
15. Payments, subscriptions, Stripe and Stripe Connect
When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.
This may include, in particular:
- name, address, email address and billing details,
- services purchased or booked, amounts, currencies and payment status,
- invoicing, refund, dispute, chargeback and payout data,
- and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.
For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.
This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.
In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.
In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.
16. Recipients / Data processors / Independent controllers
We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.
These include, in particular:
- Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
- Amazon Web Services (AWS SES) – sending of emails,
- Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
- Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
- Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.
17. Transfer to third countries
Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.
18. Retention period and archiving
We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.
The following applies in particular to Contrima:
- We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
- We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
- We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
- Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
- Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
- Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
- Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.
Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.
19. Your rights
Within the framework of the legal requirements, you have the following rights in particular:
- Right of access (Art. 15 GDPR),
- Right to rectification (Art. 16 GDPR),
- Right to erasure (Art. 17 GDPR),
- Right to restriction of processing (Art. 18 GDPR),
- Right to data portability (Art. 20 GDPR),
- Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
- Right to withdraw consent at any time with effect for the future.
20. Right to lodge a complaint with a supervisory authority
You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:
The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de
21. Changes to this Privacy Policy
We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.
22. Obligation to provide data
You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.
23. No fully automated decision-making
Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.