Personvern

Denne personvernerklæringen forklarer hvordan Contrima behandler personopplysninger i fotografkontoer, deltaker- og tilgangsprosesser, gallerier, kommunikasjon, dokumentasjon samt i gave-, bytte-, salgs- og lisensprosesser, inkludert tilhørende betalings- og utbetalingsprosesser. Den gir en oversikt over formål, prosesser, beskyttelsestiltak og rettigheter for de registrerte. Den engelske versjonen er autoritativ; oversettelser er kun gitt for å lette forståelsen.

Versjon v3 · Publisert 04.05.2026, 09:12 · Hash f00fe99c5db7

Personvern

1. Språk og oversettelser

Denne personvernerklæringen er tilgjengelig på flere språk. Den engelske versjonen er den autoritative. Oversettelser er kun gitt for å gjøre teksten klarere. Obligatoriske rettigheter i henhold til lovgivningen i den registrertes vanlige bosted forblir uberørt.

2. Behandlingsansvarlig

Den behandlingsansvarlige i henhold til personvernforordningen (GDPR) er:
Mark Reinhardt (enkeltpersonforetak)
«Contrima» er en tjeneste som tilbys av Mark Reinhardt
E-post: info@contrima.com

3. Oversikt: Hvilke opplysninger vi behandler og hvorfor

Vi behandler personopplysninger for å kunne tilby Contrima fra et teknisk perspektiv, for å sikre og videreutvikle tjenesten, samt for å gjennomføre og dokumentere prosesser knyttet til fotografer, gallerier, godkjenninger, gaver, bytter, salg, lisensiering, kjøp, abonnementer, selgere og betalinger.

Dette omfatter særlig opplysninger fra driften av nettstedet, fra brukerkontoer og fotografprofiler, fra QR- og tilgangssystemer, innløsnings- og galleriprosesser, fra forhåndsvisning, publisering, godkjenning, samtykke, lisensiering og kjøpsprosedyrer, fra kommunikasjon, samt fra fakturering, betalingsbehandling, selgerregistrering, verifisering, utbetalinger, arkivering og journalføring.

Vi behandler personopplysninger særlig på følgende rettslige grunnlag:

Art. 6(1)(b) GDPR (kontrakt / forberedende tiltak),
Art. 6(1)(c) GDPR (rettslig forpliktelse),
Art. 6(1)(f) GDPR (berettigede interesser, f.eks. sikker og stabil levering, oppdagelse av misbruk og svindel, sporbarhet, rettslig forsvar, arkivering og pålitelig betalingsbehandling),
Art. 6(1)(a) GDPR (samtykke, der det kreves i enkelttilfeller).

Der vi behandler data på grunnlag av samtykke, kan du når som helst trekke tilbake samtykket ditt med virkning for fremtiden.

Contrima behandler visse opplysninger som egen behandlingsansvarlig, spesielt for drift av plattformen, sikkerhet, kommunikasjon, fakturering, selger-/utbetalingsprosesser, dokumentasjon, verifisering og arkivering. Der Contrima utfører enkelte funksjoner på vegne av den respektive fotografen, skjer behandlingen innenfor de rammene som loven fastsetter i hvert enkelt tilfelle.

4. Hosting- og lagringsinfrastruktur (AWS, Irland-regionen)

Contrima drives i AWS Irland (EU)-regionen. Data som genereres ved tilgang til nettstedet eller bruk av plattformen, behandles på systemene til vår hostingleverandør.

Hostingleverandør (databehandler):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg («AWS»)

For lagring av bildedata, forhåndsvisningsfiler, galleriinnhold, korrekturfiler og arkivbeholdninger kan ulike lagrings- og arkivlagringsklasser brukes innenfor AWS-infrastrukturen, inkludert ikke-offentlige arkivlagringsklasser som AWS S3 Glacier Deep Archive.

5. Tilgangsdata / serverloggfiler

Hver gang nettstedet eller plattformen besøkes, behandler webserveren automatisk informasjon i såkalte serverloggfiler. Dette kan særlig omfatte:

IP-adresse (eller en teknisk tilsvarende identifikator),
dato og klokkeslett for forespørselen,
side/fil som er åpnet (URL/sti),
henvisnings-URL,
nettlesertype/versjon og operativsystem,
statuskoder/feilmeldinger,
mengde overført data.

Formålet med behandlingen er teknisk drift, stabilitet og sikkerhet for nettstedet og plattformen (f.eks. feilanalyse, forsvar mot angrep, oppdagelse av misbruk og revisjon av sikkerhetsrelatert tilgang). Rettsgrunnlaget er artikkel 6(1)(f) i GDPR.

Loggfilene lagres kun så lenge det er nødvendig for de angitte formålene, og slettes eller anonymiseres deretter, forutsatt at det ikke er behov for videre oppbevaring av bevismessige årsaker (f.eks. i tilfelle sikkerhetshendelser).

6. Kryptering (TLS/SSL)

Av sikkerhetsmessige årsaker bruker vi transportkryptering (TLS/SSL) for å sikre best mulig beskyttelse av overført innhold. Vær imidlertid oppmerksom på at dataoverføring via internett fortsatt kan være utsatt for sikkerhetsrisikoer.

7. Informasjonskapsler og lignende teknologier

Vår nettside og plattform kan bruke informasjonskapsler eller lignende teknologier. Vi skiller mellom:

Teknisk nødvendige informasjonskapsler eller lignende mekanismer (f.eks. sesjonskapsler for pålogging, språk, navigering, sikkerhet og token-kontekster),
Valgfrie informasjonskapsler/verktøy, som kun brukes med ditt samtykke, der det er nødvendig.

Teknisk nødvendige informasjonskapsler er nødvendige for å kunne tilby nettstedet og plattformen. Det rettslige grunnlaget for lagring/avlesning av disse på sluttbrukerutstyr er § 25(2)(2) i TDDDG; den påfølgende behandlingen av personopplysninger skjer på grunnlag av art. 6(1)(f) i GDPR eller art. 6(1)(b) i GDPR, hvis funksjonen er nødvendig for oppfyllelse av en avtale eller gjennomføring av en bestemt arbeidsflyt.

I den grad analyse-, markedsførings- eller andre verktøy som krever samtykke brukes i fremtiden, vil vi endre denne personvernerklæringen og – der det er nødvendig – innhente samtykke på forhånd.

8. Brukerkonto, fotografprofil og selgerkonto

Der vi tilbyr muligheten til å opprette en brukerkonto eller logge inn, behandler vi dataene som er nødvendige for dette formålet (f.eks. e-postadresse, påloggingsopplysninger, tekniske sesjonsdata, språkinnstillinger, tidssone, profildata og sikkerhetsinformasjon), for å kunne tilby brukerkontoen, muliggjøre pålogging, administrere profilen og sikre systemets sikkerhet.

For fotografprofiler kan også ytterligere profil-, portefølje-, utstillings-, fakturerings-, selger-, skatte-, abonnements-, lagrings- og prisdata behandles, i den grad disse funksjonene tilbys eller er aktivert.

Rettsgrunnlaget er generelt artikkel 6(1)(b) i GDPR og artikkel 6(1)(f) i GDPR (sikkerhetsinteresser, forebygging av misbruk, systemstabilitet).

Merk: Passord lagres ikke i klartekst, men lagres generelt som en hashverdi (teknisk sikkerhetsprosedyre).

9. Data om fotograferte personer, mottakere og andre registrerte

Contrima behandler også personopplysninger om fotograferte personer,

Slike opplysninger kan stamme direkte fra den registrerte (f.eks. når vedkommende åpner et tilgangspunkt, oppgir en e-postadresse, velger et språk, avgir en erklæring eller foretar et kjøp) eller nå oss indirekte via fotografen eller andre involverte parter; (f.eks. gjennom opplasting av bildefiler, oppdragsdata, kontaktopplysninger, QR-kort, gallerireferanser eller saksinformasjon).

Avhengig av saken behandles særlig følgende data: bildefiler, oppdrag- og saksinformasjon, kontaktopplysninger, språk- og enhetskontekster, statusdata, erklærings- og kontraktsdata, samt verifiserings- og revisjonsinformasjon.

I saker som involverer mindreårige og representanter, kan også rolleopplysninger, bekreftelser på fullmakt og representasjon, oppdrag mellom den mindreårige og den fullmaktsgivende voksne, tidsstempler, kommunikasjonsdata, verifiseringsdata og statusinformasjon vedrørende kjøp, betaling, aktivering eller levering behandles, i den grad dette er nødvendig for den respektive arbeidsflyten.

Der personopplysninger ikke samles inn direkte fra den registrerte, oppfyller vi informasjonsplikten i henhold til artikkel 14 i GDPR i den utstrekning loven krever det. Den juridiske tillatelsen til å ta et fotografi og den første opplastingen avhenger av det konkrete enkelttilfellet og fotografens ansvar.

10. QR-koder, tilgangssystem, krav og personlige tilgangslinker

Contrima kan tilby QR-koder, offentlige tilgangskoder, personlige tilgangslinker, tilgangstokener, språkinnstillinger og lignende tilgangssystemer, for å gi fotograferte personer, mottakere, kjøpere eller andre involverte parter tilgang til deltakersider, gallerier, forhåndsvisninger, godkjennings-, samtykke- eller kjøpsprosesser.

I den forbindelse behandler vi særlig offentlige eller personlige koder, tokenverdier, foretrukket språk, tidsstempler, kravstatus, hendelser for nyutsendelse, økt- eller nettlesermarkører, sikkerhetsinformasjon og e-postadressen som er oppgitt i den respektive prosessen.

Når mindreårige bruker personlig tilgang eller en krav-, autorisasjons-, lisensierings- eller kjøpsprosess, kan den mindreåriges egen involvering og den nødvendige autorisasjonen fra en forelder eller verge eller annen autorisert voksen dokumenteres separat.

Denne behandlingen tjener til å gi sikker tilgang, til å tildele en spesifikk sak, til å forhindre misbruk, til å levere personlige lenker, til å sikre språktilpasset visning, og til å gjennomføre de tekniske og organisatoriske aspektene av den respektive arbeidsflyten. Det rettslige grunnlaget er artikkel 6(1)(b) i GDPR og artikkel 6(1)(f) i GDPR.

I nøytrale gjentatte visninger kan vi vise kontaktopplysninger i maskert form og kan av sikkerhetsmessige årsaker ikke gi direkte tilgang igjen.

11. Gallerier, forhåndsvisninger, publikasjoner og avtaler

I forbindelse med gallerier og lisenser behandler vi særlig informasjon om: saker, gallerier, deltakeroppdrag, bildevarianter, forhåndsvisninger, vannmerker, publiseringsnivåer, aktiveringer, kjøp, godkjennings-, autorisasjons- og samtykkestatus, samt pakkene eller tilbudene som er valgt for den spesifikke saken.

For dokumentasjons- og verifiseringsformål kan vi også loggføre: den gjeldende pakkeversjonen, den viste tekstversjonen, språket, tidsstemplet, den brukte e-postadressen, portalen eller tilgangstoken-konteksten, samt andre teknisk nødvendige revisjonsdata. PDF-filer eller tilsvarende avtale- og verifiseringsdokumenter kan genereres, lagres og gjøres tilgjengelige for de involverte partene.

Denne behandlingen tjener til å håndtere det respektive tilfellet, vise forhåndsvisninger, aktivere tilgang etter samtykke eller betaling, dokumentere erklæringer og kontrakter, verifisere rettighetsomfanget og for juridisk forsvar. Det rettslige grunnlaget er, avhengig av saken, artikkel 6(1)(b) i GDPR, artikkel 6(1)(f) i GDPR, artikkel 6(1)(c) i GDPR og, der det er nødvendig i enkeltsaker, artikkel 6(1)(a) i GDPR.

12. Kontakt

Hvis du kontakter oss via e-post, behandler vi opplysningene du oppgir; (f.eks. navn, e-postadresse, innholdet i meldingen), for å kunne behandle henvendelsen din.

Rettsgrunnlaget er artikkel 6(1)(b) i GDPR; (i den grad dette gjelder (for)kontraktsmessig kommunikasjon) eller artikkel 6(1)(f) i GDPR; (generelle henvendelser; berettiget interesse i effektiv kommunikasjon).

Kontaktformular: Der det finnes et kontaktformular, behandler vi opplysningene som samles inn der utelukkende for å behandle henvendelsen. Denne personvernerklæringen vil bli oppdatert etter behov, f.eks. hvis tilleggstjenester som spam-beskyttelse implementeres.

13. Nyhetsbrev

Dersom vi i fremtiden tilbyr et nyhetsbrev, vil vi endre denne personvernerklæringen og, spesielt, på en transparent måte opplyse om leverandøren av e-posttjenesten, dobbel opt-in-prosedyren, eventuelle ytelsesmålinger, og muligheter for å melde seg av.

14. Sending av e-post via AWS SES

Vi bruker Amazon Simple Email Service (AWS SES) til å sende system- og transaksjons-e-poster; (f.eks. bekreftelser, personlige tilgangslinker, videresendte meldinger, varsler om galleri eller avtaler, kjøps- eller betalingsinformasjon, fakturaer eller varsler om utbetaling); vi bruker Amazon Simple Email Service (AWS SES).

Spesielt behandles e-postadressen, hvor det er aktuelt, navn, språkkontest og tekniske metadata for e-posten (f.eks. leveringsinformasjon).

Rettsgrunnlaget er artikkel 6(1)(b) i GDPR, artikkel 6(1)(c) i GDPR, og/eller artikkel 6(1)(f) i GDPR.

15. Betalinger, abonnementer, Stripe og Stripe Connect

Når betalte tjenester, abonnementer, lagringspakker, bilde- eller lisenskjøp, selgerkontoer eller utbetalingsfunksjoner brukes, behandler vi fakturerings-, transaksjons- og verifiseringsdataene som kreves for dette formålet.

Dette kan særlig omfatte:

navn, adresse, e-postadresse og faktureringsopplysninger,
kjøpte eller bestilte tjenester, beløp, valutaer og betalingsstatus,
fakturerings-, refusjons-, tvist-, tilbakeførings- og utbetalingsdata,
og, i tilfelle selger- eller utbetalingsfunksjoner, ytterligere opplysninger om selskap, selskapsform, skatt, bank og verifisering, samt opplysninger om autoriserte representanter eller reelle eiere, der det er nødvendig.

For betalingsbehandling, abonnementer, selgerregistrering og utbetalingsfunksjoner bruker vi spesielt Stripe og Stripe Connect. Hvis du oppgir personopplysninger i forbindelse med betalingstjenester, mottar Stripe disse opplysningene og behandler dem i samsvar med Stripes personvernpolicy.

Denne behandlingen tjener formålene med betalingsbehandling, kontraktsoppfyllelse, fakturering, overholdelse av lovpålagte forpliktelser, forebygging av svindel og misbruk, verifisering av selgere og gjennomføring av utbetalinger. Rettsgrunnlaget er artikkel 6(1)(b) i GDPR, artikkel 6(1)(c) i GDPR, artikkel 6(1)(f) i GDPR og, der det er nødvendig, artikkel 6(1)(a) i GDPR.

Ved kjøp eller betalingsprosesser initiert av eller involverende mindreårige, kan også tilleggsinformasjon om den betalende, godkjennende eller autoriserte voksne, samt status- og verifiseringsdata knyttet til godkjenning, autorisasjon, refusjoner eller tilbakeføringer, behandles.

Ved umiddelbar levering av digitale bilder eller digitale bruksrettigheter kan også bekreftelser vedrørende umiddelbar start av levering, utløpet av angreretten, representativ godkjenning, samt tilhørende tidspunkter, tekstversjoner, språkversjoner, teknisk bevis og revisjonsinformasjon behandles.

16. Mottakere / Databehandlere / Uavhengige behandlingsansvarlige

Vi engasjerer tjenesteleverandører som behandler data på våre vegne (databehandling i henhold til artikkel 28 i GDPR), og overfører også data til organer som kan fungere som uavhengige behandlingsansvarlige i den aktuelle sammenhengen.

Disse inkluderer særlig:

Amazon Web Services EMEA SARL – hosting-, lagrings- og infrastrukturtjenester,
Amazon Web Services (AWS SES) – sending av e-post,
Stripe / Stripe Connect – betalingsbehandling, registrering av selgere, verifisering og utbetalinger,
Fotografer, kjøpere, personer som er fotografert, personer som mottar varer eller andre involverte parter, i den grad dette er nødvendig for gjennomføringen av et konkret tilfelle, et galleri, et kjøp, en avtale eller fremleggelse av bevis,
Skatterådgivere, juridiske rådgivere, banker, offentlige myndigheter eller andre organer, i den grad dette er nødvendig for oppfyllelse av en kontrakt, håndhevelse av juridiske rettigheter eller oppfyllelse av juridiske forpliktelser.

17. Overføring til tredjeland

I den grad personopplysninger overføres til land utenfor Det europeiske økonomiske samarbeidsområdet (EØS) i forbindelse med bruken av AWS, AWS SES, Stripe eller andre tjenester som benyttes, skjer dette kun i samsvar med kravene i artikkel 44 ff. i GDPR, f.eks. på grunnlag av egnede sikkerhetstiltak som standardkontraktsklausuler og/eller andre anerkjente beskyttelsesmekanismer.

18. Oppbevaringsperiode og arkivering

Vi behandler og lagrer personopplysninger kun så lenge det er nødvendig for de respektive formålene, eller så lenge lovbestemte oppbevaringsforpliktelser gjelder. Deretter slettes opplysningene, anonymiseres eller overføres til en arkivstatus som er tilpasset deres status og formål.

Følgende gjelder spesielt for Contrima:

Vi lagrer generelt server- og sikkerhetslogger kun så lenge det er nødvendig for sikkerhet, feilanalyse og forebygging av misbruk.
Vi lagrer generelt kontodata, fotografprofiler, faktura- og selgerdata så lenge avtaleforholdet varer og utover dette, i den grad dette er nødvendig for lovbestemte oppbevaringsplikter, rettslig forsvar eller for bevisformål.
Vi lagrer krav-, tilgangs-, galleri-, samtykke-, lisens- og kjøpsdata så lenge det er nødvendig for saksbehandling, dokumentasjon, verifiserbarhet, rettsforsvar og oppfyllelse av lovpålagte forpliktelser.
Opplastede originalbilder oppbevares generelt i aktiv lagring for endelige aktive saker i opptil 90 dager fra den siste vesentlige aktiviteten og overføres deretter til et ikke-offentlig arkiv.
Utkast, testsaker eller andre ikke-avsluttede saker som ikke er fullført, kan slettes i samsvar med den respektive produktstatusen eller tariffen.
Arkiverte originaldata kan lagres på ubestemt tid i ikke-offentlige arkivlagringsklasser innenfor AWS-infrastrukturen, inkludert AWS S3 Glacier Deep Archive, forutsatt at det ikke foreligger juridiske eller kontraktsmessige grunner for sletting.
Verifiserings-, avtale-, revisjons-, miniatyr-, fingeravtrykk-, hash-, fakturerings- og andre dokumentasjonsdata kan forbli lagret i lengre perioder eller separat, uavhengig av den aktive tilgjengeligheten av de originale bildene.

Arkiverte objekter i Deep Archive-lagringsklasser er ikke offentlig tilgjengelige; og er generelt ikke tilgjengelige i sanntid; en separat gjenopprettingsprosess kan være nødvendig for å få tilgang igjen.

19. Dine rettigheter

Innenfor rammen av lovkrav har du særlig følgende rettigheter:

Rett til innsyn (art. 15 i GDPR),
Rett til retting (art. 16 i GDPR),
Rett til sletting (art. 17 i GDPR),
Rett til begrensning av behandling (art. 18 i GDPR),
Rett til dataportabilitet (art. 20 i GDPR),
Rett til å protestere mot behandling basert på artikkel 6(1)(f) i GDPR (artikkel 21 i GDPR),
Rett til å trekke tilbake samtykke når som helst med virkning for fremtiden.

20. Rett til å klage til en tilsynsmyndighet

Du har rett til å klage til en tilsynsmyndighet for personvern, spesielt i den medlemsstaten hvor du har din vanlige bosted, din arbeidsplass eller stedet for den påståtte overtredelsen. Den kompetente myndigheten for vårt hovedkontor er:

Statens kommissær for personvern og informasjonsfrihet i Baden-Württemberg (LfDI BW)
Postboks 10 29 32
70025 Stuttgart
E-post: poststelle@lfdi.bwl.de
Nettside: baden-wuerttemberg.datenschutz.de

21. Endringer i denne personvernerklæringen

Vi kan endre denne personvernerklæringen, hvis den juridiske situasjonen, tjenestene, betalingstjenestene, lagrings- og arkiveringsprosedyrene eller databehandlingspraksisen endres. Den versjonen som er publisert på denne siden til enhver tid, gjelder.

22. Plikt til å oppgi opplysninger

Du er generelt ikke forpliktet til å oppgi personopplysninger bare for å besøke nettstedet for informasjonsformål. Men hvis du bruker et tilgangspunkt eller et galleri, sender inn en erklæring, foretar et kjøp eller aktiverer selger-/utbetalingsfunksjoner, er visse opplysninger nødvendige for å kunne tilby den aktuelle tjenesten, behandle transaksjonen, håndtere betalinger, foreta utbetalinger eller oppfylle lovpålagte forpliktelser.

23. Ingen helautomatisert beslutningstaking

Helt automatisert beslutningstaking, inkludert profilering i henhold til artikkel 22 i GDPR, forekommer foreløpig ikke. Sikkerhets-, svindel-, risiko- eller samsvarsmekanismer kan imidlertid føre til at tilgang, opplastinger, publiseringer, betalinger eller uttak midlertidig begrenses og deretter kontrolleres manuelt.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.