Privacidad
Este texto de protección de datos explica cómo Contrima procesa los datos personales en las cuentas de fotógrafo, los procesos de participante y acceso, las galerías, la comunicación, la documentación, así como en los procesos de regalo, intercambio, venta y licencia, incluidos los procesos de pago y desembolso asociados. Ofrece una visión general de los fines, procesos, medidas de protección y derechos de los interesados. La versión inglesa es la autorizada; las traducciones se facilitan únicamente para facilitar la comprensión.
f00fe99c5db7Privacidad
1. Idioma y traducciones
Esta política de privacidad se ofrece en varios idiomas. La versión en inglés es la versión oficial. Las traducciones se proporcionan únicamente en aras de la claridad. Los derechos obligatorios en virtud de la legislación del lugar de residencia habitual del interesado no se ven afectados.
2. Responsable del tratamiento
El responsable del tratamiento en el sentido del Reglamento General de Protección de Datos (RGPD) es:
Mark Reinhardt (empresario individual)
. «Contrima» es un servicio prestado por Mark Reinhardt.
Correo electrónico: info@contrima.com
3. Resumen: Qué datos tratamos y por qué
Tratamos datos personales con el fin de proporcionar Contrima desde un punto de vista técnico, para garantizar y seguir desarrollando el servicio, y para llevar a cabo y documentar procesos relacionados con fotógrafos, galerías, aprobaciones, regalos, intercambios, ventas, licencias, compras, suscripciones, vendedores y pagos.
Esto incluye, en particular, datos del funcionamiento del sitio web, de las cuentas de usuario y los perfiles de los fotógrafos, de los sistemas de códigos QR y de acceso, de los procesos de reclamación y de las galerías, de los procedimientos de vista previa, publicación, aprobación, consentimiento, concesión de licencias y compra, de la comunicación, así como de la facturación, el procesamiento de pagos, la incorporación de vendedores, la verificación, los pagos, el archivo y el mantenimiento de registros.
Tratamos los datos personales, en particular, sobre la base de los siguientes fundamentos jurídicos:
- Art. 6, apartado 1, letra b) del RGPD (contrato / medidas precontractuales),
- Art. 6, apartado 1, letra c) del RGPD (obligación legal),
- Art. 6, apartado 1, letra f) del RGPD (intereses legítimos, p. ej., prestación segura y estable, detección de usos indebidos y fraudes, trazabilidad, defensa jurídica, archivo y procesamiento fiable de pagos),
- Art. 6, apartado 1, letra a) del RGPD (consentimiento, cuando sea necesario en casos concretos).
Cuando tratamos datos sobre la base del consentimiento, usted puede retirar su consentimiento en cualquier momento con efecto para el futuro.
Contrima trata determinados datos como responsable del tratamiento por derecho propio, en particular para el funcionamiento de la plataforma, la seguridad, la comunicación, la facturación, los procesos de venta/pago, la documentación, la verificación y el archivo. Cuando Contrima desempeña funciones individuales en nombre del fotógrafo correspondiente, el tratamiento se lleva a cabo dentro del marco previsto por la ley en cada caso.
4. Infraestructura de alojamiento y almacenamiento (AWS, región de Irlanda)
Contrima opera en la región de AWS Irlanda (UE). Los datos generados al acceder al sitio web o al utilizar la plataforma se tratan en los sistemas de nuestro proveedor de alojamiento.
Proveedor de servicios de alojamiento (encargado del tratamiento):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburgo («AWS»)
Para el almacenamiento de datos de imágenes, archivos de vista previa, contenido de galerías, archivos de pruebas y fondos de archivo, se pueden utilizar diversas clases de almacenamiento y archivo dentro de la infraestructura de AWS, incluidas clases de almacenamiento de archivo no públicas como AWS S3 Glacier Deep Archive.
5. Datos de acceso / archivos de registro del servidor
Cada vez que se accede al sitio web o a la plataforma, el servidor web procesa automáticamente la información contenida en los denominados archivos de registro del servidor. Esto puede incluir, en particular:
- dirección IP (o un identificador técnicamente equivalente),
- fecha y hora de la solicitud,
- página/archivo al que se ha accedido (URL/ruta),
- URL de referencia,
- tipo/versión del navegador y sistema operativo,
- códigos de estado/mensajes de error,
- cantidad de datos transferidos.
La finalidad del tratamiento es la provisión técnica, la estabilidad y la seguridad del sitio web y la plataforma (por ejemplo, análisis de errores, defensa contra ataques, detección de usos indebidos y auditoría de accesos relacionados con la seguridad). La base jurídica es el artículo 6, apartado 1, letra f), del RGPD.
Los archivos de registro solo se almacenan durante el tiempo necesario para los fines indicados, y posteriormente se eliminan o se anonimizan, siempre que no sea necesaria una conservación adicional con fines probatorios (por ejemplo, en caso de incidentes de seguridad).
6. Cifrado (TLS/SSL)
Por motivos de seguridad, utilizamos cifrado de transporte (TLS/SSL) para garantizar la mejor protección posible de los contenidos transmitidos. No obstante, tenga en cuenta que la transmisión de datos a través de Internet puede seguir estando sujeta a vulnerabilidades de seguridad.
7. Cookies y tecnologías similares
Nuestro sitio web y nuestra plataforma pueden utilizar cookies o tecnologías similares. Distinguimos entre:
- Cookies técnicamente necesarias o mecanismos similares (por ejemplo, cookies de sesión para el inicio de sesión, el idioma, la navegación, la seguridad y los contextos de tokens),
- Cookies/herramientas opcionales, que solo se utilizan con su consentimiento, cuando sea necesario.
Las cookies técnicamente necesarias son imprescindibles para el funcionamiento del sitio web y la plataforma. La base jurídica para su almacenamiento o lectura en los dispositivos finales es el artículo 25, apartado 2, punto 2, de la TDDDG; el tratamiento posterior de los datos personales se lleva a cabo sobre la base del artículo 6, apartado 1, letra f) del RGPD o del artículo 6, apartado 1, letra b) del RGPD, si la función es necesaria para la ejecución de un contrato o la realización de un flujo de trabajo específico.
En la medida en que en el futuro se utilicen herramientas de análisis, marketing u otras que requieran consentimiento, modificaremos esta política de privacidad y, en caso necesario, obtendremos el consentimiento por adelantado.
8. Cuenta de usuario, perfil de fotógrafo y cuenta de vendedor
Cuando ofrecemos la opción de crear una cuenta de usuario o iniciar sesión, tratamos los datos necesarios para este fin (por ejemplo, dirección de correo electrónico, datos de inicio de sesión, datos técnicos de la sesión, configuración de idioma, zona horaria, datos de perfil e información de seguridad), con el fin de proporcionar la cuenta de usuario, permitir el inicio de sesión, gestionar el perfil y garantizar la seguridad del sistema.
En el caso de los perfiles de fotógrafo, también pueden tratarse datos adicionales de perfil, portfolio, escaparate, facturación, vendedor, impuestos, suscripción, almacenamiento y precios, en la medida en que se ofrezcan o activen estas funciones.
La base jurídica es, por lo general, el artículo 6, apartado 1, letra b), del RGPD y el artículo 6, apartado 1, letra f), del RGPD (intereses de seguridad, prevención de usos indebidos, estabilidad del sistema).
Nota: Las contraseñas no se almacenan en texto plano, sino que, por lo general, se almacenan como un valor hash (procedimiento técnico de seguridad).
9. Datos relativos a personas fotografiadas, destinatarios y otros interesados
Contrima también trata datos personales de personas fotografiadas, personas que aceptan, compradores y otros interesados en relación con subidas, asignaciones de galerías, procesos de acceso, vistas previas, publicaciones, aprobaciones, consentimientos, concesión de licencias, compras y la documentación de casos específicos.
Dichos datos pueden proceder directamente del interesado (por ejemplo, cuando abre un punto de acceso, proporciona una dirección de correo electrónico, selecciona un idioma, realiza una declaración o efectúa una compra) o llegar a nosotros de forma indirecta a través del fotógrafo u otras partes implicadas; (por ejemplo, mediante la subida de archivos de imagen, datos de encargos, datos de contacto, tarjetas QR, referencias de galerías o información de casos).
Dependiendo del caso, se tratan en particular los siguientes datos: archivos de imagen, información sobre encargos y casos, datos de contacto, contextos de idioma y dispositivo, datos de estado, datos de declaración y contrato, así como información de verificación y auditoría.
En los casos que involucren a menores y representantes, también podrán tratarse los detalles de las funciones, las confirmaciones de autorización y representación, los encargos entre el menor y el adulto autorizador, las marcas de tiempo, los datos de comunicación, los datos de verificación y la información de estado relativa a la compra, el pago, la activación o la entrega, en la medida en que sea necesario para el flujo de trabajo correspondiente.
Cuando los datos personales no se recogen directamente del interesado, cumplimos con las obligaciones de información previstas en el artículo 14 del RGPD en la medida en que lo exija la ley. La licitud de tomar una fotografía y su carga inicial depende del caso concreto y es responsabilidad del fotógrafo.
10. Códigos QR, sistema de acceso, reclamaciones y enlaces de acceso personal
Contrima puede proporcionar códigos QR, códigos de acceso público, enlaces de acceso personal, tokens de acceso, contextos lingüísticos y sistemas de acceso similares, para permitir que las personas fotografiadas, los destinatarios, los compradores u otras partes implicadas accedan a páginas de participantes, galerías, vistas previas, procesos de aprobación, consentimiento o compra.
Al hacerlo, tratamos en particular códigos públicos o personales, valores de tokens, idioma preferido, marcas de tiempo, estado de la reclamación, eventos de reenvío, marcadores de sesión o del navegador, información de seguridad y la dirección de correo electrónico facilitada en el flujo correspondiente.
Cuando los menores utilizan el acceso personal o un proceso de reclamación, autorización, concesión de licencia o compra, la participación del propio menor y la autorización requerida por parte de un padre, tutor u otro adulto autorizado pueden documentarse por separado.
Este tratamiento sirve para proporcionar acceso de forma segura, asignar un caso específico, prevenir el uso indebido, proporcionar enlaces personalizados, garantizar una visualización adecuada al idioma, y llevar a cabo los aspectos técnicos y organizativos del flujo de trabajo correspondiente. La base jurídica es el artículo 6, apartado 1, letra b) del RGPD y el artículo 6, apartado 1, letra f) del RGPD.
En las vistas de repetición neutras, podemos mostrar los datos de contacto de forma enmascarada y, por motivos de seguridad, no podemos volver a revelar el acceso directo.
11. Galerías, vistas previas, publicaciones y acuerdos
En el contexto de las galerías y las licencias, tratamos, en particular, información relativa a: casos, galerías, asignaciones de participantes, variantes de imágenes, visturas previas, marcas de agua, niveles de publicación, activaciones, estados de compra, aprobación, autorización y consentimiento, así como los paquetes u ofertas seleccionados para el caso específico.
A efectos de documentación y verificación, también podemos registrar: la versión del paquete aplicable, la versión de texto mostrada, el idioma, la marca de tiempo, la dirección de correo electrónico utilizada, el contexto del portal o del token de acceso, y otros datos de auditoría técnicamente necesarios. Se pueden generar, almacenar y poner a disposición de las partes implicadas documentos PDF o similares de acuerdo y verificación.
Este tratamiento sirve para gestionar el caso correspondiente, mostrar vistas previas, activar el acceso tras el consentimiento o el pago, documentar declaraciones y contratos, verificar el alcance de los derechos y para la defensa jurídica. La base jurídica, según el caso, es el artículo 6, apartado 1, letra b) del RGPD, el artículo 6, apartado 1, letra f) del RGPD, el artículo 6, apartado 1, letra c) del RGPD y, cuando sea necesario en casos concretos, el artículo 6, apartado 1, letra a) del RGPD.
12. Cómo ponerse en contacto con nosotros
Si se pone en contacto con nosotros por correo electrónico, tratamos los datos que nos facilite (por ejemplo, nombre, dirección de correo electrónico, contenido del mensaje), con el fin de atender su consulta.
La base jurídica es el artículo 6, apartado 1, letra b) del RGPD; (en la medida en que se trate de comunicación (pre)contractual) o el artículo 6, apartado 1, letra f) del RGPD; (consultas generales; interés legítimo en una comunicación eficaz).
Formulario de contacto: cuando se proporciona un formulario de contacto, tratamos los datos recopilados en él exclusivamente con el fin de gestionar la consulta. Esta política de privacidad se actualizará según sea necesario, por ejemplo, si se implementan servicios adicionales como la protección contra el spam.
13. Boletín informativo
En caso de que ofrezcamos un boletín informativo en el futuro, modificaremos esta política de privacidad y, en particular, revelaremos de forma transparente el proveedor del servicio de correo, el procedimiento de doble confirmación, cualquier métrica de rendimiento, y las opciones de baja.
14. Envío de correos electrónicos a través de AWS SES
Utilizamos Amazon Simple Email Service (AWS SES) para enviar correos electrónicos del sistema y transaccionales; (por ejemplo, confirmaciones, enlaces de acceso personal, reenvíos de mensajes, notificaciones de galería o citas, información de compra o pago, facturas o notificaciones de vendedor/pago); utilizamos Amazon Simple Email Service (AWS SES).
En concreto, se tratan la dirección de correo electrónico, cuando proceda, el nombre, el contexto lingüístico y los metadatos técnicos del correo electrónico (por ejemplo, información de entrega).
La base jurídica es el artículo 6, apartado 1, letra b) del RGPD, el artículo 6, apartado 1, letra c) del RGPD, y/o el artículo 6, apartado 1, letra f) del RGPD.
15. Pagos, suscripciones, Stripe y Stripe Connect
Cuando se utilizan servicios de pago, suscripciones, paquetes de almacenamiento, compras de imágenes o licencias, cuentas de vendedor o funciones de pago, tratamos los datos de facturación, transacción y verificación necesarios para este fin.
Esto puede incluir, en particular:
- nombre, dirección, dirección de correo electrónico y datos de facturación,
- servicios adquiridos o reservados, importes, divisas y estado del pago,
- datos de facturación, reembolso, reclamación, devolución y pago,
- y, en el caso de las funciones de vendedor o de pago, datos adicionales de la empresa, forma jurídica, fiscales, bancarios y de verificación, así como datos de los representantes autorizados o beneficiarios finales, cuando sea necesario.
Para el procesamiento de pagos, las suscripciones, la incorporación de vendedores y las funciones de pago, utilizamos Stripe y Stripe Connect en particular. Si usted proporciona datos personales en relación con los servicios de pago, Stripe recibe estos datos y los procesa de conformidad con la Política de privacidad de Stripe.
Este tratamiento tiene por objeto el procesamiento de pagos, el cumplimiento del contrato, la facturación, el cumplimiento de obligaciones legales, la prevención del fraude y el uso indebido, la verificación de vendedores y la ejecución de pagos. La base jurídica es el artículo 6, apartado 1, letra b) del RGPD, el artículo 6, apartado 1, letra c) del RGPD, el artículo 6, apartado 1, letra f) del RGPD y, cuando sea necesario, el artículo 6, apartado 1, letra a) del RGPD.
En el caso de compras o procesos de pago iniciados por menores o en los que participen menores, también podrán tratarse datos adicionales relativos al adulto que realiza el pago, da su aprobación o está autorizado, así como datos de estado y verificación relacionados con la aprobación, la autorización, los reembolsos o las devoluciones.
En el caso de la prestación inmediata de imágenes digitales o derechos de uso digital, también podrán tratarse las confirmaciones relativas al inicio inmediato de la prestación, la expiración del derecho de desistimiento, la aprobación por parte de un representante, así como los tiempos asociados, las versiones de texto, las versiones lingüísticas, las pruebas técnicas y la información de auditoría.
16. Destinatarios / Encargados del tratamiento / Responsables independientes
Contratamos a proveedores de servicios que tratan datos en nuestro nombre (tratamiento de datos de conformidad con el artículo 28 del RGPD), y también transferimos datos a organismos que pueden actuar como responsables independientes en el contexto pertinente.
Entre ellos se incluyen, en particular:
- Amazon Web Services EMEA SARL: servicios de alojamiento, almacenamiento e infraestructura;
- Amazon Web Services (AWS SES): envío de correos electrónicos,
- Stripe / Stripe Connect: procesamiento de pagos, incorporación de vendedores, verificación y pagos,
- Fotógrafos, compradores, personas fotografiadas, personas que reciben mercancías u otras partes implicadas, en la medida en que sea necesario para la ejecución de un caso concreto, una galería, una compra, un acuerdo o la aportación de pruebas,
- Asesores fiscales, asesores jurídicos, bancos, autoridades públicas u otros organismos, en la medida en que sea necesario para la ejecución de un contrato, la defensa de derechos legales o el cumplimiento de obligaciones legales.
17. Transferencia a terceros países
En la medida en que, en el contexto del uso de AWS, AWS SES, Stripe u otros servicios empleados, se transfieran datos personales a países fuera del Espacio Económico Europeo (EEE), esto se hará únicamente de conformidad con los requisitos de los artículos 44 y siguientes del RGPD, por ejemplo, sobre la base de garantías adecuadas, como cláusulas contractuales tipo y/u otros mecanismos de protección reconocidos.
18. Plazo de conservación y archivo
Tratamos y almacenamos los datos personales únicamente durante el tiempo que sea necesario para los fines respectivos, o mientras se apliquen obligaciones legales de conservación. Posteriormente, los datos se eliminan, se anonimizan o se transfieren a un estado de archivo adecuado a su naturaleza y finalidad.
Lo siguiente se aplica en particular a Contrima:
- Por lo general, almacenamos los registros del servidor y de seguridad solo durante el tiempo que sea necesario para la seguridad, el análisis de errores y la prevención de usos indebidos.
- Por lo general, almacenamos los datos de las cuentas, los perfiles de los fotógrafos, las facturas y los datos de los vendedores durante la vigencia de la relación contractual y más allá de esta, en la medida en que sea necesario para cumplir con las obligaciones legales de conservación, la defensa jurídica o con fines probatorios.
- Almacenamos los datos de reclamaciones, acceso, galería, consentimiento, licencia y compra durante el tiempo que sea necesario para la tramitación del caso, la documentación, la verificabilidad, la defensa jurídica y el cumplimiento de las obligaciones legales.
- Las imágenes originales subidas se conservan, por lo general, en almacenamiento activo para los casos activos finales hasta 90 días desde la última actividad significativa y, posteriormente, se transfieren a un archivo no público.
- Los borradores, casos de prueba u otros casos no finalizados que no se hayan completado pueden eliminarse de acuerdo con el estado del producto o la tarifa correspondiente.
- Los datos originales archivados pueden almacenarse indefinidamente en clases de almacenamiento de archivo no público dentro de la infraestructura de AWS, incluido AWS S3 Glacier Deep Archive, siempre que no existan motivos legales o contractuales para su eliminación.
- Los datos de verificación, acuerdo, auditoría, miniaturas, huellas digitales, hash, facturación y otra documentación pueden permanecer almacenados durante períodos más largos o por separado, independientemente de la disponibilidad activa de las imágenes originales.
Los objetos archivados en clases de almacenamiento Deep Archive no son de acceso público; y, por lo general, no son accesibles en tiempo real; puede ser necesario un proceso de restauración independiente para volver a acceder a ellos.
19. Sus derechos
En el marco de los requisitos legales, usted tiene, en particular, los siguientes derechos:
- Derecho de acceso (art. 15 del RGPD),
- Derecho de rectificación (art. 16 del RGPD),
- Derecho de supresión (art. 17 del RGPD),
- Derecho a la limitación del tratamiento (art. 18 del RGPD),
- Derecho a la portabilidad de los datos (art. 20 del RGPD),
- Derecho a oponerse al tratamiento basado en el artículo 6, apartado 1, letra f), del RGPD (artículo 21 del RGPD),
- Derecho a retirar el consentimiento en cualquier momento con efecto para el futuro.
20. Derecho a presentar una reclamación ante una autoridad de control
Tiene derecho a presentar una reclamación ante una autoridad de control de protección de datos, en particular en el Estado miembro de su residencia habitual, su lugar de trabajo o el lugar de la supuesta infracción. La autoridad competente para nuestra sede social es:
El Comisionado Estatal de Protección de Datos y Libertad de Información de Baden-Württemberg (LfDI BW)
Apartado de correos 10 29 32
70025 Stuttgart
Correo electrónico: poststelle@lfdi.bwl.de
Sitio web: baden-wuerttemberg.datenschutz.de
21. Modificaciones de la presente Política de Privacidad
Podemos modificar esta política de privacidad si cambian la situación jurídica, los servicios, los servicios de pago, los procedimientos de almacenamiento y archivo o las prácticas de tratamiento de datos. Se aplicará la versión publicada en esta página en cada momento.
22. Obligación de facilitar datos
Por lo general, no está obligado a facilitar datos personales simplemente por visitar el sitio web con fines informativos. Sin embargo, si utiliza un punto de acceso o una galería, envía una declaración, realiza una compra o activa funciones de vendedor/pago, se requieren ciertos datos para prestar el servicio correspondiente, procesar la transacción, gestionar los pagos, efectuar pagos o cumplir con las obligaciones legales.
23. Ausencia de toma de decisiones totalmente automatizada
Actualmente no se lleva a cabo ninguna toma de decisiones totalmente automatizada, incluida la elaboración de perfiles en el sentido del artículo 22 del RGPD. No obstante, los mecanismos de seguridad, fraude, riesgo o cumplimiento pueden dar lugar a que el acceso, las subidas, las publicaciones, los pagos o los retiros se restrinjan temporalmente y se comprueben posteriormente de forma manual.
f00fe99c5db7Privacy
1. Language and translations
This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.
2. Data Controller
The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com
3. Overview: What data we process and why
We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.
This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.
We process personal data in particular on the following legal bases:
- Art. 6(1)(b) GDPR (contract / pre-contractual measures),
- Art. 6(1)(c) GDPR (legal obligation),
- Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
- Art. 6(1)(a) GDPR (consent, where required in individual cases).
Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.
Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.
4. Hosting and storage infrastructure (AWS, Ireland region)
Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.
Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)
For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.
5. Access data / server log files
Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:
- IP address (or a technically equivalent identifier),
- date and time of the request,
- page/file accessed (URL/path),
- referrer URL,
- browser type/version and operating system,
- status codes/error messages,
- amount of data transferred.
The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.
The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).
6. Encryption (TLS/SSL)
For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.
7. Cookies and similar technologies
Our website and platform may use cookies or similar technologies. We distinguish between:
- Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
- Optional cookies/tools, which are only used with your consent, where necessary.
Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.
Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.
8. User account, photographer profile and seller account
Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.
For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.
The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).
Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).
9. Data relating to photographed persons, accepting persons and other data subjects
Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.
Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).
Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.
In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.
Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.
10. QR codes, access system, claiming and personal access links
Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.
In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.
Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.
This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.
In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.
11. Galleries, previews, publications and agreements
In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.
For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.
This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.
12. Contacting us
If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.
The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).
Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.
13. Newsletter
Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.
14. Sending emails via AWS SES
For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).
In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.
The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.
15. Payments, subscriptions, Stripe and Stripe Connect
When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.
This may include, in particular:
- name, address, email address and billing details,
- services purchased or booked, amounts, currencies and payment status,
- invoicing, refund, dispute, chargeback and payout data,
- and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.
For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.
This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.
In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.
In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.
16. Recipients / Data processors / Independent controllers
We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.
These include, in particular:
- Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
- Amazon Web Services (AWS SES) – sending of emails,
- Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
- Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
- Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.
17. Transfer to third countries
Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.
18. Retention period and archiving
We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.
The following applies in particular to Contrima:
- We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
- We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
- We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
- Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
- Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
- Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
- Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.
Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.
19. Your rights
Within the framework of the legal requirements, you have the following rights in particular:
- Right of access (Art. 15 GDPR),
- Right to rectification (Art. 16 GDPR),
- Right to erasure (Art. 17 GDPR),
- Right to restriction of processing (Art. 18 GDPR),
- Right to data portability (Art. 20 GDPR),
- Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
- Right to withdraw consent at any time with effect for the future.
20. Right to lodge a complaint with a supervisory authority
You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:
The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de
21. Changes to this Privacy Policy
We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.
22. Obligation to provide data
You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.
23. No fully automated decision-making
Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.