Privacidade
Este texto de proteção de dados explica como a Contrima processa dados pessoais em contas de fotógrafos, processos de participantes e de acesso, galerias, comunicação, documentação, bem como em processos de presentes, trocas, vendas e licenças, incluindo os processos de pagamento e desembolso associados. Ele fornece uma visão geral das finalidades, processos, medidas de proteção e direitos dos titulares dos dados. A versão em inglês é oficial; as traduções são fornecidas apenas para facilitar a compreensão.
f00fe99c5db7Privacidade
1. Idioma e traduções
Esta política de privacidade é fornecida em vários idiomas. A versão em inglês é a versão oficial. As traduções são fornecidas exclusivamente para fins de clareza. Os direitos obrigatórios previstos na legislação do local de residência habitual do titular dos dados permanecem inalterados.
2. Controlador de dados
O controlador de dados, nos termos do Regulamento Geral de Proteção de Dados (RGPD), é:
Mark Reinhardt (empresário individual)
. “Contrima” é um serviço prestado por Mark Reinhardt
E-mail: info@contrima.com
3. Visão geral: Quais dados processamos e por quê
Processamos dados pessoais com o objetivo de disponibilizar o Contrima do ponto de vista técnico, para garantir a segurança e o desenvolvimento do serviço, e para realizar e documentar processos relacionados a fotógrafos, galerias, aprovações, presentes, trocas, vendas, licenciamento, compras, assinaturas, vendedores e pagamentos.
Isso inclui, em particular, dados provenientes da operação do site, de contas de usuário e perfis de fotógrafos, de sistemas de QR e acesso, processos de reivindicação e galeria, de procedimentos de visualização, publicação, aprovação, consentimento, licenciamento e compra, de comunicação, bem como de faturamento, processamento de pagamentos, integração de vendedores, verificação, pagamentos, arquivamento e manutenção de registros.
Processamos dados pessoais, em particular, com base nos seguintes fundamentos jurídicos:
- Art. 6(1)(b) do RGPD (contrato / medidas pré-contratuais),
- Art. 6(1)(c) do RGPD (obrigação legal),
- Art. 6(1)(f) do RGPD (interesses legítimos, por exemplo, prestação segura e estável, detecção de uso indevido e fraude, rastreabilidade, defesa jurídica, arquivamento e processamento confiável de pagamentos),
- Art. 6(1)(a) do RGPD (consentimento, quando exigido em casos individuais).
Quando processamos dados com base no consentimento, você pode revogar seu consentimento a qualquer momento, com efeito para o futuro.
A Contrima processa determinados dados na qualidade de controladora de dados por direito próprio, em particular para operação da plataforma, segurança, comunicação, faturamento, processos de vendedor/pagamento, documentação, verificação e arquivamento. Quando a Contrima desempenha funções individuais em nome do respectivo fotógrafo, o processamento ocorre dentro do quadro previsto pela lei em cada caso.
4. Infraestrutura de hospedagem e armazenamento (AWS, região da Irlanda)
A Contrima é operada na região da AWS Irlanda (UE). Os dados gerados ao acessar o site ou ao utilizar a plataforma são processados nos sistemas do nosso provedor de hospedagem.
Provedor de serviços de hospedagem (processador de dados):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburgo (“AWS”)
Para o armazenamento de dados de imagem, arquivos de pré-visualização, conteúdo de galeria, arquivos de prova e acervos de arquivo, podem ser utilizadas várias classes de armazenamento e arquivamento dentro da infraestrutura da AWS, incluindo classes de armazenamento de arquivo não públicas, como o AWS S3 Glacier Deep Archive.
5. Dados de acesso / arquivos de log do servidor
Sempre que o site ou a plataforma é acessado, o servidor web processa automaticamente informações nos chamados arquivos de log do servidor. Isso pode incluir, em particular:
- endereço IP (ou um identificador tecnicamente equivalente),
- data e hora da solicitação,
- página/arquivo acessado (URL/caminho),
- URL de referência,
- tipo/versão do navegador e sistema operacional,
- códigos de status/mensagens de erro,
- quantidade de dados transferidos.
A finalidade do tratamento é a disponibilização técnica, a estabilidade e a segurança do site e da plataforma (por exemplo, análise de erros, defesa contra ataques, detecção de uso indevido e auditoria de acessos relacionados à segurança). A base jurídica é o Artigo 6.º, n.º 1, alínea f) do RGPD.
Os arquivos de log são armazenados apenas pelo tempo necessário para os fins declarados, e são posteriormente excluídos ou anonimizados, desde que não seja necessária uma retenção adicional para fins de prova (por exemplo, em caso de incidentes de segurança).
6. Criptografia (TLS/SSL)
Por motivos de segurança, utilizamos criptografia de transporte (TLS/SSL) para garantir a melhor proteção possível do conteúdo transmitido. Observe, no entanto, que a transmissão de dados pela Internet ainda pode estar sujeita a vulnerabilidades de segurança.
7. Cookies e tecnologias semelhantes
Nosso site e nossa plataforma podem utilizar cookies ou tecnologias semelhantes. Distinguimos entre:
- Cookies tecnicamente necessários ou mecanismos semelhantes (por exemplo, cookies de sessão para login, idioma, navegação, segurança e contextos de token),
- Cookies/ferramentas opcionais, que só são utilizados com o seu consentimento, quando necessário.
Os cookies tecnicamente necessários são exigidos para disponibilizar o site e a plataforma. A base jurídica para o armazenamento/leitura destes em dispositivos finais é o Art. 25, n.º 2, alínea 2 da TDDDG; o tratamento subsequente de dados pessoais ocorre com base no Art. 6, n.º 1, alínea f) do RGPD ou no Art. 6, n.º 1, alínea b) do RGPD, se a função for necessária para a execução de um contrato ou de um fluxo de trabalho específico.
Na medida em que, no futuro, forem utilizadas ferramentas de análise, marketing ou outras que exijam consentimento, alteraremos esta política de privacidade e – quando necessário – obteremos o consentimento antecipadamente.
8. Conta de usuário, perfil de fotógrafo e conta de vendedor
Quando oferecemos a opção de criar uma conta de usuário ou fazer login, processamos os dados necessários para esse fim (por exemplo, endereço de e-mail, detalhes de login, dados técnicos da sessão, configurações de idioma, fuso horário, dados de perfil e informações de segurança), a fim de fornecer a conta de usuário, permitir o login, gerenciar o perfil e garantir a segurança do sistema.
Para perfis de fotógrafo, dados adicionais de perfil, portfólio, vitrine, faturamento, vendedor, impostos, assinatura, armazenamento e preços também podem ser processados, na medida em que essas funções sejam oferecidas ou ativadas.
A base jurídica é, em geral, o Artigo 6(1)(b) do RGPD e o Artigo 6(1)(f) do RGPD (interesses de segurança, prevenção de uso indevido, estabilidade do sistema).
Observação: as senhas não são armazenadas em texto simples, mas geralmente são armazenadas como um valor hash (procedimento técnico de segurança).
9. Dados relativos a pessoas fotografadas, destinatários e outros titulares de dados
A Contrima também processa dados pessoais de pessoas fotografadas, pessoas que aceitam, compradores e outros titulares de dados em conexão com uploads, atribuições de galeria, processos de acesso, visualizações, publicações, aprovações, consentimentos, licenciamento, compras e a documentação de casos específicos.
Esses dados podem ter origem diretamente no titular dos dados; (por exemplo, quando este abre um ponto de acesso, fornece um endereço de e-mail, seleciona um idioma, faz uma declaração ou realiza uma compra) ou chegar até nós indiretamente por meio do fotógrafo ou de outras partes envolvidas; (por exemplo, através do upload de arquivos de imagem, dados de atribuição, detalhes de contato, cartões QR, referências de galeria ou informações de caso).
Dependendo do caso, são processados, em particular, os seguintes dados: arquivos de imagem, informações sobre atribuições e casos, detalhes de contato, contextos de idioma e dispositivo, dados de status, dados de declaração e contrato, bem como informações de verificação e auditoria.
Em casos envolvendo menores e representantes, detalhes de funções, confirmações de autorização e representação, acordos entre o menor e o adulto autorizador, registros de data e hora, dados de comunicação, dados de verificação e informações de status relativas à compra, pagamento, ativação ou entrega também podem ser processados, na medida em que isso seja necessário para o respectivo fluxo de trabalho.
Quando os dados pessoais não são coletados diretamente do titular dos dados, cumprimos as obrigações de informação previstas no Artigo 14 do RGPD na medida exigida por lei. A admissibilidade legal de tirar uma fotografia e do upload inicial depende do caso específico e da responsabilidade do fotógrafo.
10. Códigos QR, sistema de acesso, reivindicação e links de acesso pessoal
A Contrima pode fornecer códigos QR, códigos de acesso público, links de acesso pessoal, tokens de acesso, contextos de idioma e sistemas de acesso semelhantes, para permitir que pessoas fotografadas, destinatários, compradores ou outras partes envolvidas tenham acesso a páginas de participantes, galerias, visualizações prévias, processos de aprovação, consentimento ou compra.
Ao fazê-lo, processamos, em particular, códigos públicos ou pessoais, valores de tokens, idioma preferido, carimbos de data/hora, status de reivindicação, eventos de reenvio, marcadores de sessão ou navegador, informações de segurança e o endereço de e-mail fornecido no respectivo fluxo.
Quando menores utilizam o acesso pessoal ou um processo de reivindicação, autorização, licenciamento ou compra, o envolvimento do próprio menor e a autorização necessária de um dos pais ou responsável legal ou outro adulto autorizado podem ser documentados separadamente.
Este tratamento serve para fornecer acesso de forma segura, para atribuir um caso específico, para prevenir o uso indevido, para fornecer links personalizados, para garantir a exibição no idioma apropriado, e para executar os aspectos técnicos e organizacionais do respectivo fluxo de trabalho. A base jurídica é o Artigo 6.º, n.º 1, alínea b) do RGPD e o Artigo 6.º, n.º 1, alínea f) do RGPD.
Em visualizações repetidas neutras, podemos exibir detalhes de contato de forma mascarada e, por motivos de segurança, não podemos divulgar o acesso direto novamente.
11. Galerias, visualizações, publicações e acordos
No contexto de galerias e licenças, processamos, em particular, informações relativas a: casos, galerias, atribuições de participantes, variantes de imagem, visualizações prévias, marcas d'água, níveis de publicação, ativações, status de compra, aprovação, autorização e consentimento, bem como os pacotes ou ofertas selecionados para o caso específico.
Para fins de documentação e verificação, também podemos registrar: a versão do pacote aplicável, a versão de texto exibida, o idioma, o carimbo de data/hora, o endereço de e-mail utilizado, o contexto do portal ou do token de acesso e outros dados de auditoria tecnicamente necessários. Podem ser gerados, armazenados e disponibilizados às partes envolvidos documentos em PDF ou equivalentes de contrato e verificação.
Este tratamento serve para processar o caso em questão, exibir pré-visualizações, ativar o acesso após o consentimento ou pagamento, documentar declarações e contratos, verificar o âmbito dos direitos e para defesa jurídica. A base jurídica, dependendo do caso, é o Artigo 6(1)(b) do RGPD, o Artigo 6(1)(f) do RGPD, o Artigo 6(1)(c) do RGPD e, quando necessário em casos individuais, o Artigo 6(1)(a) do RGPD.
12. Como entrar em contato conosco
Se você entrar em contato conosco por e-mail, processamos os dados que você fornecer; (por exemplo, nome, endereço de e-mail, conteúdo da mensagem),; para tratar da sua solicitação.
A base jurídica é o Artigo 6(1)(b) do RGPD; (na medida em que se trate de comunicação (pré-)contratual) ou o Artigo 6(1)(f) do RGPD; (consultas gerais; interesse legítimo em uma comunicação eficiente).
Formulário de contato: Quando um formulário de contato é disponibilizado, processamos os dados coletados nele exclusivamente com a finalidade de atender à solicitação. Esta política de privacidade será atualizada conforme necessário, por exemplo, se serviços adicionais, como proteção contra spam, forem implementados.
13. Boletim informativo
Caso venhamos a oferecer uma newsletter no futuro, alteraremos esta política de privacidade e, em particular, divulgaremos de forma transparente o provedor de serviços de mailing, o procedimento de double opt-in, quaisquer métricas de desempenho, e as opções de cancelamento.
14. Envio de e-mails via AWS SES
Utilizamos o Amazon Simple Email Service (AWS SES) para enviar e-mails de sistema e transacionais; (por exemplo, confirmações, links de acesso pessoal, reenvio de mensagens, notificações de galeria ou agendamento, informações de compra ou pagamento, notificações de fatura ou de vendedor/pagamento); utilizamos o Amazon Simple Email Service (AWS SES).
Em particular, o endereço de e-mail, quando aplicável, o nome, o contexto de idioma e os metadados técnicos do e-mail (por exemplo, informações de entrega) são processados.
A base jurídica é o Artigo 6(1)(b) do RGPD, o Artigo 6(1)(c) do RGPD, e/ou o Artigo 6(1)(f) do RGPD.
15. Pagamentos, assinaturas, Stripe e Stripe Connect
Quando são utilizados serviços pagos, assinaturas, pacotes de armazenamento, compras de imagens ou licenças, contas de vendedor ou funções de pagamento, processamos os dados de faturamento, transação e verificação necessários para esse fim.
Isso pode incluir, em particular:
- nome, endereço, endereço de e-mail e detalhes de cobrança,
- serviços adquiridos ou reservados, valores, moedas e status do pagamento,
- dados de faturamento, reembolso, contestação, estorno e pagamento,
- e, no caso de funções de vendedor ou de pagamento, dados adicionais sobre a empresa, forma jurídica, impostos, banco e verificação, bem como detalhes de representantes autorizados ou beneficiários efetivos, quando necessário.
Para o processamento de pagamentos, assinaturas, integração de vendedores e funções de pagamento, utilizamos o Stripe e o Stripe Connect em particular. Se você fornecer dados pessoais em conexão com serviços de pagamento, o Stripe recebe esses dados e os processa de acordo com a Política de Privacidade do Stripe.
Esse processamento visa o processamento de pagamentos, o cumprimento de contratos, a faturação, o cumprimento de obrigações legais, a prevenção de fraudes e uso indevido, a verificação de vendedores e a execução de pagamentos. A base jurídica é o Artigo 6(1)(b) do RGPD, o Artigo 6(1)(c) do RGPD, o Artigo 6(1)(f) do RGPD e, quando necessário, o Artigo 6(1)(a) do RGPD.
No caso de compras ou processos de pagamento iniciados por menores ou envolvendo menores, também podem ser processadas informações adicionais relativas ao adulto pagador, aprovador ou autorizado, bem como dados de status e verificação relacionados à aprovação, autorização, reembolsos ou estornos.
No caso do fornecimento imediato de imagens digitais ou direitos de uso digital, também podem ser processadas confirmações relativas ao início imediato do fornecimento, ao vencimento do direito de desistência, à aprovação por representante, bem como aos horários associados, versões de texto, versões linguísticas, evidências técnicas e informações de auditoria.
16. Destinatários / Subcontratantes / Responsáveis pelo tratamento independentes
Contratamos prestadores de serviços que tratam dados em nosso nome (tratamento de dados nos termos do Artigo 28.º do RGPD), e também transferimos dados para organismos que podem atuar como responsáveis pelo tratamento independentes no contexto relevante.
Estes incluem, em particular:
- Amazon Web Services EMEA SARL – serviços de hospedagem, armazenamento e infraestrutura,
- Amazon Web Services (AWS SES) – envio de e-mails,
- Stripe / Stripe Connect – processamento de pagamentos, integração de vendedores, verificação e pagamentos,
- Fotógrafos, compradores, pessoas fotografadas, pessoas que recebem mercadorias ou outras partes envolvidas, na medida em que tal seja necessário para a execução de um caso específico, uma galeria, uma compra, um contrato ou a apresentação de provas,
- Consultores fiscais, consultores jurídicos, bancos, autoridades públicas ou outros órgãos, na medida em que tal seja necessário para a execução de um contrato, a aplicação de direitos legais ou o cumprimento de obrigações legais.
17. Transferência para países terceiros
Na medida em que, no contexto da utilização da AWS, AWS SES, Stripe ou outros serviços utilizados, os dados pessoais sejam transferidos para países fora do Espaço Económico Europeu (EEE), tal é feito apenas em conformidade com os requisitos dos artigos 44.º e seguintes do RGPD, por exemplo, com base em salvaguardas adequadas, tais como cláusulas contratuais-tipo e/ou outros mecanismos de proteção reconhecidos.
18. Período de retenção e arquivamento
Processamos e armazenamos dados pessoais apenas enquanto, for necessário para as respectivas finalidades, ou enquanto se aplicarem obrigações legais de retenção. Posteriormente, os dados são excluídos, anonimizados, ou transferidos para um estado de arquivamento adequado ao seu status e finalidade.
O seguinte aplica-se em particular à Contrima:
- Em geral, armazenamos logs de servidor e de segurança apenas pelo tempo necessário para fins de segurança, análise de erros e prevenção de uso indevido.
- Em geral, armazenamos dados de conta, perfis de fotógrafos, faturas e dados de vendedores durante a vigência da relação contratual e além dela, na medida em que isso seja necessário para cumprir obrigações legais de retenção, defesa jurídica ou para fins de apresentação de provas.
- Armazenamos dados de reclamações, acesso, galeria, consentimento, licença e compra pelo tempo necessário para o tratamento do caso, documentação, verificabilidade, defesa jurídica e cumprimento de obrigações legais.
- As imagens originais enviadas são geralmente mantidas em armazenamento ativo para casos ativos finais por até 90 dias a partir da última atividade significativa e, posteriormente, transferidas para um arquivo não público.
- Rascunhos, casos de teste ou outros casos não finalizados que não tenham sido concluídos podem ser excluídos de acordo com o respectivo status do produto ou tarifa.
- Os dados originais arquivados podem ser armazenados indefinidamente em classes de armazenamento de arquivo não público dentro da infraestrutura da AWS, incluindo o AWS S3 Glacier Deep Archive, desde que não haja motivos legais ou contratuais para a exclusão.
- Dados de verificação, acordo, auditoria, miniatura, impressão digital, hash, faturamento e outros dados de documentação podem permanecer armazenados por períodos mais longos ou separadamente, independentemente da disponibilidade ativa das imagens originais.
Os objetos arquivados nas classes de armazenamento do Deep Archive não são acessíveis ao público; e geralmente não são acessíveis em tempo real; um processo de restauração separado pode ser necessário para o reacesso.
19. Seus direitos
No âmbito dos requisitos legais, você tem, em particular, os seguintes direitos:
- Direito de acesso (Art. 15 do RGPD),
- Direito de retificação (Art. 16.º do RGPD),
- Direito ao apagamento (Art. 17.º do RGPD),
- Direito à limitação do tratamento (Art. 18.º do RGPD),
- Direito à portabilidade dos dados (Art. 20.º do RGPD),
- Direito de se opor ao tratamento com base no Artigo 6.º, n.º 1, alínea f) do RGPD (Artigo 21.º do RGPD),
- Direito de retirar o consentimento a qualquer momento, com efeito para o futuro.
20. Direito de apresentar uma reclamação a uma autoridade de controlo
Você tem o direito de apresentar uma reclamação junto a uma autoridade de supervisão de proteção de dados, em particular no Estado-Membro da sua residência habitual, no seu local de trabalho ou no local da suposta violação. A autoridade competente para a nossa sede social é:
O Comissário Estadual para a Proteção de Dados e Liberdade de Informação em Baden-Württemberg (LfDI BW)
Caixa Postal 10 29 32
70025 Stuttgart
E-mail: poststelle@lfdi.bwl.de
Site: baden-wuerttemberg.datenschutz.de
21. Alterações a esta Política de Privacidade
Podemos alterar esta política de privacidade, caso haja mudanças na situação jurídica, nos serviços, nos serviços de pagamento, nos procedimentos de armazenamento e arquivamento ou nas práticas de tratamento de dados. A versão publicada nesta página em um determinado momento será a aplicável.
22. Obrigação de fornecer dados
Em geral, você não é obrigado a fornecer dados pessoais simplesmente por visitar o site para fins informativos. No entanto, ao utilizar um ponto de acesso ou uma galeria, enviar uma declaração, realizar uma compra ou ativar funções de vendedor/pagamento, certas informações são necessárias para prestar o serviço relevante, processar a transação, lidar com pagamentos, efetuar pagamentos ou cumprir obrigações legais.
23. Ausência de tomada de decisão totalmente automatizada
Atualmente, não ocorre tomada de decisão totalmente automatizada, incluindo a criação de perfis na acepção do Artigo 22 do RGPD. No entanto, mecanismos de segurança, fraude, risco ou conformidade podem resultar na restrição temporária de acessos, uploads, publicações, pagamentos ou saques, que serão posteriormente verificados manualmente.
f00fe99c5db7Privacy
1. Language and translations
This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.
2. Data Controller
The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com
3. Overview: What data we process and why
We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.
This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.
We process personal data in particular on the following legal bases:
- Art. 6(1)(b) GDPR (contract / pre-contractual measures),
- Art. 6(1)(c) GDPR (legal obligation),
- Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
- Art. 6(1)(a) GDPR (consent, where required in individual cases).
Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.
Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.
4. Hosting and storage infrastructure (AWS, Ireland region)
Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.
Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)
For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.
5. Access data / server log files
Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:
- IP address (or a technically equivalent identifier),
- date and time of the request,
- page/file accessed (URL/path),
- referrer URL,
- browser type/version and operating system,
- status codes/error messages,
- amount of data transferred.
The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.
The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).
6. Encryption (TLS/SSL)
For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.
7. Cookies and similar technologies
Our website and platform may use cookies or similar technologies. We distinguish between:
- Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
- Optional cookies/tools, which are only used with your consent, where necessary.
Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.
Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.
8. User account, photographer profile and seller account
Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.
For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.
The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).
Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).
9. Data relating to photographed persons, accepting persons and other data subjects
Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.
Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).
Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.
In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.
Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.
10. QR codes, access system, claiming and personal access links
Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.
In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.
Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.
This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.
In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.
11. Galleries, previews, publications and agreements
In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.
For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.
This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.
12. Contacting us
If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.
The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).
Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.
13. Newsletter
Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.
14. Sending emails via AWS SES
For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).
In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.
The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.
15. Payments, subscriptions, Stripe and Stripe Connect
When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.
This may include, in particular:
- name, address, email address and billing details,
- services purchased or booked, amounts, currencies and payment status,
- invoicing, refund, dispute, chargeback and payout data,
- and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.
For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.
This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.
In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.
In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.
16. Recipients / Data processors / Independent controllers
We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.
These include, in particular:
- Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
- Amazon Web Services (AWS SES) – sending of emails,
- Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
- Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
- Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.
17. Transfer to third countries
Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.
18. Retention period and archiving
We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.
The following applies in particular to Contrima:
- We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
- We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
- We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
- Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
- Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
- Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
- Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.
Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.
19. Your rights
Within the framework of the legal requirements, you have the following rights in particular:
- Right of access (Art. 15 GDPR),
- Right to rectification (Art. 16 GDPR),
- Right to erasure (Art. 17 GDPR),
- Right to restriction of processing (Art. 18 GDPR),
- Right to data portability (Art. 20 GDPR),
- Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
- Right to withdraw consent at any time with effect for the future.
20. Right to lodge a complaint with a supervisory authority
You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:
The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de
21. Changes to this Privacy Policy
We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.
22. Obligation to provide data
You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.
23. No fully automated decision-making
Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.