Privatnost

Ovaj tekst o zaštiti podataka objašnjava kako Contrima obrađuje osobne podatke u korisničkim računima fotografa, procesima sudjelovanja i pristupa, galerijama, komunikaciji, dokumentaciji, kao i u procesima darivanja, razmjene, prodaje i licenciranja, uključujući povezane procese plaćanja i isplate. Pruža pregled svrha, procesa, zaštitnih mjera i prava ispitanika. Engleska verzija je mjerodavna; prijevodi su pruženi isključivo radi lakšeg razumijevanja.

Verzija v3 · Objavljeno 04.05.2026, 09:12 · Hash f00fe99c5db7

Privatnost

1. Jezik i prijevodi

Ova pravila o privatnosti dostupna su na nekoliko jezika. Engleska verzija je mjerodavna. Prijevodi su navedeni isključivo radi jasnoće. Obvezna prava podzakonskog tijela prema zakonu ostaju nepromijenjena.

2. Voditelj obrade

Upravitelj podataka u smislu Opće uredbe o zaštiti podataka (GDPR) je:
Mark Reinhardt (samostalni poduzetnik)
"Contrima" je usluga koju pruža Mark Reinhardt
E-pošta: info@contrima.com

3. Pregled: Koje podatke obrađujemo i zašto

Obradbu osobnih podataka provodimo radi tehničkog pružanja usluge Contrima, radi osiguranja i daljnjeg razvoja usluge te radi provedbe i dokumentiranja procesa koji se odnose na fotografe, galerije, odobrenja, darove, razmjene, prodaje, licenciranje, kupnje, pretplate, prodavače i plaćanja.

To uključuje, osobito, podatke iz rada web-stranice, iz korisničkih računa i profila fotografa, iz QR i pristupnih sustava, postupaka prijave i galerije, iz postupaka pregleda, objave, odobrenja, privole, licenciranja i kupnje, iz komunikacije, kao i iz naplate, obrade plaćanja, uključivanja prodavača, verifikacije, isplata, arhiviranja i vođenja evidencije.

Osobne podatke obrađujemo osobito na sljedećim pravnim osnovama:

čl. 6. st. 1. točka (b) GDPR-a (ugovor / predugovorne mjere),
čl. 6. st. 1. točka c) GDPR-a (pravna obveza),
čl. 6. st. 1. točka (f) GDPR-a (legitimni interesi, npr. osiguravanje sigurne i stabilne usluge, otkrivanje zlouporabe i prijevara, sljedivost, pravna obrana, arhiviranje i pouzdana obrada plaćanja),
čl. 6. st. 1. točka (a) GDPR-a (pristanak, gdje je to potrebno u pojedinačnim slučajevima).

Kada obrađujemo podatke na temelju privole, možete povući svoju privolu u bilo kojem trenutku s učinkom u budućnosti.

Contrima obrađuje određene podatke kao samostalni voditelj obrade, posebno za rad platforme, sigurnost, komunikaciju, naplatu, procese prodaje/isplate, dokumentaciju, provjeru i arhiviranje. Kada Contrima obavlja pojedine funkcije u ime pojedinog fotografa, obradba se provodi unutar okvira predviđenog zakonom u svakom pojedinačnom slučaju.

4. Infrastruktura za hosting i pohranu (AWS, regija Irska)

Contrima se koristi u regiji AWS Ireland (EU). Podaci generirani pristupom web-stranici ili korištenjem platforme obrađuju se na sustavima našeg pružatelja usluga hostinga.

Pružatelj usluga hostinga (obraditelj podataka):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg ("AWS")

Za pohranu podataka o slikama, datoteka za pregled, sadržaja galerije, datoteka za probu i arhivske zbirke unutar AWS infrastrukture mogu se koristiti različite klase pohrane i arhivske pohrane, uključujući nejavne klase arhivske pohrane kao što je AWS S3 Glacier Deep Archive.

5. Podaci o pristupu / datoteke dnevnika poslužitelja

Svaki put kada se pristupi web-stranici ili platformi, web poslužitelj automatski obrađuje informacije u takozvanim zapisima poslužitelja. To može uključivati, osobito:

IP adresa (ili tehnički ekvivalentan identifikator),
datum i vrijeme zahtjeva,
stranica/datoteka na koju se pristupilo (URL/putanja),
URL upućivača,
vrstu/verziju preglednika i operativni sustav,
statusni kodovi/poruke o pogreškama,
količina prenesenih podataka.

Svrha obrade je tehnička dostupnost, stabilnost i sigurnost web-stranice i platforme (npr. analiza pogrešaka, obrana od napada, otkrivanje zlouporabe i revizija pristupa povezanog sa sigurnošću). Pravna osnova je članak 6. stavak 1. točka (f) GDPR-a.

Log datoteke pohranjuju se samo onoliko dugo koliko je potrebno za navedene svrhe, a potom se brišu ili anonimiziraju, pod uvjetom da nije potrebno njihovo daljnje čuvanje radi dokaznih svrha (npr. u slučaju sigurnosnih incidenata).

6. Šifriranje (TLS/SSL)

Iz sigurnosnih razloga koristimo transportno šifriranje (TLS/SSL) kako bismo osigurali najbolju moguću zaštitu prenesenog sadržaja. Imajte na umu, međutim, da prijenos podataka putem interneta i dalje može biti podložan sigurnosnim propustima.

7. Kolačići i slične tehnologije

Naša web stranica i platforma mogu koristiti kolačiće ili slične tehnologije. Razlikujemo:

Tehnički nužni kolačići ili slični mehanizmi (npr. kolačići sesije za prijavu, jezik, navigaciju, sigurnost i tokene),
Izborne kolačiće/alate, koji se po potrebi koriste samo uz vašu suglasnost.

Tehnički nužni kolačići potrebni su za pružanje web-stranice i platforme. Pravni temelj za pohranu/čitanje istih na krajnjim uređajima je članak 25. stavak 2. točka 2. TDDDG-a; naknadna obrada osobnih podataka provodi se na temelju članka 6. stavka 1. točke (f) GDPR-a ili članka 6. stavka 1. točke (b) GDPR-a, ako je funkcija nužna za izvršenje ugovora ili provedbu određenog tijeka rada.

U mjeri u kojoj se u budućnosti koriste alati za analizu, marketing ili drugi alati koji zahtijevaju privolu, izmijenit ćemo ovu politiku privatnosti i – gdje je to potrebno – pribaviti privolu unaprijed.

8. Korisnički račun, profil fotografa i prodavački račun

Gdje nudimo mogućnost izrade korisničkog računa ili prijave, obrađujemo podatke potrebne za tu svrhu (npr. adresu e-pošte, podatke za prijavu, tehničke podatke o sesiji, postavke jezika, vremensku zonu, podatke o profilu i sigurnosne informacije), kako bismo omogućili korisnički račun, omogućili prijavu, upravljali profilom i osigurali sigurnost sustava.

Za profile fotografa mogu se obrađivati i dodatni podaci o profilu, portfelju, izložbi, naplati, prodavaču, porezu, pretplati, pohrani i cijenama, u mjeri u kojoj su te funkcije ponuđene ili aktivirane.

Pravna osnova je općenito članak 6. stavak 1. točka (b) GDPR-a i članak 6. stavak 1. točka (f) GDPR-a (sigurnosni interesi, sprječavanje zlouporabe, stabilnost sustava).

Napomena: Lozinke se ne pohranjuju u običnom tekstu, već se općenito pohranjuju kao hash vrijednost (tehnički sigurnosni postupak).

9. Podaci o fotografiranim osobama, primateljima i drugim ispitanicima

Contrima također obrađuje osobne podatke fotografiranih osoba, primatelja, kupaca i drugih ispitanika u vezi s učitavanjima, galerijskim zadacima, procesima pristupa, pregledima, publikacijama, odobrenjima, suglasnostima, licenciranjem, kupnjama i dokumentiranjem određenih slučajeva.

Takvi se podaci mogu dobiti izravno od ispitanika (npr. kada otvore pristupnu točku, navedu adresu e-pošte, odaberu jezik, daju izjavu ili obave kupnju) ili do nas dolaze neizravno putem fotografa ili drugih uključenih strana (npr. putem učitavanja datoteka s fotografijama, podataka o zadatku, kontaktnih podataka, QR kartica, galerijskih referenci ili informacija o slučaju).

Ovisno o slučaju, obrađuju se sljedeći podaci, a osobito: datoteke sa slikama, informacije o dodjeli i slučaju, kontaktni podaci, jezični i konteksti uređaja, statusni podaci, podaci o izjavi i ugovoru, kao i informacije o provjeri i reviziji.

U slučajevima koji uključuju maloljetnike i zastupnike, mogu se obrađivati i podaci o ulozi, potvrde ovlasti i zastupanja, zadaci između maloljetnika i odrasle osobe koja daje ovlasti, vremenski pečati, podaci o komunikaciji, podaci za provjeru i informacije o statusu u vezi s kupnjom, plaćanjem, aktivacijom ili isporukom, u mjeri u kojoj je to potrebno za dotični tijek rada.

Kada se osobni podaci ne prikupljaju izravno od ispitanika, ispunjavamo obveze informiranja prema članku 14. GDPR-a u mjeri u kojoj to zakon zahtijeva. Pravna dopuštenost fotografiranja i početnog učitavanja ovisi o pojedinačnom slučaju i odgovornosti fotografa.

10. QR kodovi, sustav pristupa, preuzimanje i osobne poveznice za pristup

Contrima može osigurati QR kodove, javne pristupne kodove, osobne poveznice za pristup, token vrijednosti, jezične kontekste i slične sustave pristupa, kako bi se fotografiranim osobama, primateljima, kupcima ili drugim uključenim stranama omogućio pristup stranicama sudionika, galerijama, pregledima, odobravanju, procesima davanja suglasnosti ili kupnje.

Time obrađujemo osobito javne ili osobne kodove, vrijednosti tokena, preferirani jezik, vremenske oznake, status zahtjeva, događaje ponovnog slanja, oznake sesije ili preglednika, sigurnosne informacije i adresu e-pošte navedenu u odgovarajućem tijeku.

Kada maloljetnici koriste osobni pristup ili postupak podnošenja zahtjeva, odobrenja, licenciranja ili kupnje, vlastito sudjelovanje maloljetnika i potrebno odobrenje roditelja ili skrbnika ili drugog ovlaštenog odrasle osobe mogu se zasebno dokumentirati.

Ova obrada služi za sigurno omogućavanje pristupa, dodjelu određenog slučaja, sprječavanje zlouporabe, isporuku personaliziranih poveznica, osiguravanje prikaza primjerenog jeziku i izvršavanje tehničkih i organizacijskih aspekata odgovarajućeg tijeka rada. Pravna osnova je članak 6. stavak 1. točka (b) GDPR-a i članak 6. stavak 1. točka (f) GDPR-a.

U neutralnim ponovnim prikazima kontaktne podatke možemo prikazati u maskiranom obliku i, iz sigurnosnih razloga, ne možemo ponovno otkriti izravan pristup.

11. Galerije, prikazi, publikacije i sporazumi

U kontekstu galerija i licenci obrađujemo, osobito, informacije o: slučajevima, galerijama, zadacima sudionika, varijantama slika, pregledima, vodenim žigovima, razinama objavljivanja, aktivacijama, kupnji, statusima odobrenja, ovlasti i pristanka, kao i paketima ili ponudama odabranima za određeni slučaj.

U svrhu dokumentacije i provjere, možemo također bilježiti: primjenjivu verziju paketa, prikazanu verziju teksta, jezik, vremenski žig, korištenu adresu e-pošte, kontekst portala ili pristupnog tokena i druge tehnički nužne podatke za reviziju. Mogu se generirati, pohranjivati i stavljati na raspolaganje uključenim stranama PDF ili usporedivi ugovor i dokumenti za provjeru.

Ova obrada služi za rješavanje predmeta, prikazivanje pregleda, aktiviranje pristupa nakon davanja privola ili plaćanja, dokumentiranje izjava i ugovora, provjeru opsega prava i za pravnu obranu. Pravni temelj, ovisno o slučaju, jest članak 6. stavak 1. točka (b) GDPR-a, članak 6. stavak 1. točka (f) GDPR-a, članak 6. stavak 1. točka (c) GDPR-a i, gdje je to potrebno u pojedinačnim slučajevima, članak 6. stavak 1. točka (a) GDPR-a.

12. Kontakt s nama

Ako nas kontaktirate putem e-pošte, obrađujemo podatke koje navedete (npr. ime, adresa e-pošte, sadržaj poruke), kako bismo postupili po vašem upitu.

Pravni temelj je članak 6. stavak 1. točka (b) GDPR-a; (u mjeri u kojoj se radi o (pre)ugovornoj komunikaciji) ili članak 6. stavak 1. točka (f) GDPR-a; (opća upita; legitimni interes za učinkovitu komunikaciju).

Kontaktni obrazac: Ako je dostupan kontaktni obrazac, obrađujemo prikupljene podatke isključivo u svrhu rješavanja upita. Ova pravila o privatnosti ažurirat će se prema potrebi, npr. ako se uvedu dodatne usluge kao što je zaštita od neželjene pošte (spam).

13. Bilten

Ukoliko u budućnosti ponudimo newsletter, izmijenit ćemo ovu politiku privatnosti i, osobito, transparentno otkriti pružatelja usluge slanja e-pošte, postupak dvostruke potvrde pretplate (double opt-in), sve metrike uspješnosti i mogućnosti odjave.

14. Slanje e-pošte putem AWS SES-a

Koristimo uslugu Amazon Simple Email Service (AWS SES) za slanje sustavnih i transakcijskih e-poruka; (npr. potvrde, osobne poveznice za pristup, ponovno slanje poruka, obavijesti o galeriji ili terminu, informacije o kupnji ili plaćanju, obavijesti o računu ili prodaji/isplati); koristimo uslugu Amazon Simple Email Service (AWS SES).

Posebno se obrađuju adresa e-pošte, gdje je primjenjivo ime, jezični kontekst i tehnički metapodaci e-pošte (npr. informacije o isporuci).

Pravni temelj je članak 6. stavak 1. točka (b) GDPR-a, članak 6. stavak 1. točka (c) GDPR-a i/ili članak 6. stavak 1. točka (f) GDPR-a.

15. Plaćanja, pretplate, Stripe i Stripe Connect

Kada se koriste plaćene usluge, pretplate, paketi pohrane, kupnja slika ili licenci, prodavački računi ili funkcije isplate, obrađujemo podatke o naplati, transakcijama i provjeri potrebne za tu svrhu.

To može uključivati, osobito:

ime, adresa, adresa e-pošte i podaci o naplati,
kupljene ili rezervirane usluge, iznosi, valute i status plaćanja,
podaci o fakturiranju, povratu, sporovima, povratu plaćanja i isplatama,
i, u slučaju prodavača ili funkcija isplate, dodatne podatke o tvrtki, pravnom obliku, porezu, banci i verifikaciji, kao i podatke o ovlaštenim predstavnicima ili stvarnim vlasnicima, gdje je to potrebno.

Za obradu plaćanja, pretplate, postupak uključivanja prodavača i funkcije isplate, posebno koristimo Stripe i Stripe Connect. Ako pružite osobne podatke u vezi s uslugama plaćanja, Stripe prima te podatke i obrađuje ih u skladu sa Stripeovom politikom privatnosti.

Ova obrada služi svrsi obrade plaćanja, izvršavanja ugovora, naplate, ispunjavanja zakonskih obveza, sprječavanja prijevara i zlouporabe, provjere prodavatelja i izvršavanja isplata. Pravna osnova je članak 6. stavak 1. točka (b) GDPR-a, članak 6. stavak 1. točka (c) GDPR-a, članak 6. stavak 1. točka (f) GDPR-a i, gdje je to potrebno, članak 6. stavak 1. točka (a) GDPR-a.

U slučaju kupnji ili procesa plaćanja koje pokreću ili u kojima sudjeluju maloljetnici, mogu se obrađivati i dodatne informacije o odrasloj osobi koja plaća, odobrava ili je ovlaštena, kao i podaci o statusu i provjeri koji se odnose na odobrenje, ovlaštenje, povrat novca ili povrat plaćanja.

U slučaju neposrednog pružanja digitalnih slika ili digitalnih prava na korištenje, mogu se obrađivati i potvrde o neposrednom početku pružanja, isteku prava na odustajanje, odobrenju od strane zastupnika, kao i povezana vremena, tekstualne verzije, jezične verzije, tehnički dokazi i informacije o reviziji.

16. Primatelji / Obraditelji podataka / Neovisni kontrolori

Angažiramo pružatelje usluga koji obrađuju podatke u naše ime (obrada podataka u skladu s člankom 28. GDPR-a), a također prenosimo podatke tijelima koja mogu djelovati kao neovisni kontrolori u relevantnom kontekstu.

To uključuje, osobito:

Amazon Web Services EMEA SARL – usluge hostinga, pohrane i infrastrukture,
Amazon Web Services (AWS SES) – slanje e-pošte,
Stripe / Stripe Connect – obrada plaćanja, prijem prodavača, provjera i isplate,
fotografi, kupci, fotografirane osobe, osobe koje preuzimaju robu ili druge uključene strane, u mjeri u kojoj je to potrebno za provedbu određenog slučaja, galerije, kupnje, sporazuma ili pružanje dokaza,
porezni savjetnici, pravni savjetnici, banke, javna tijela ili drugi organi, u mjeri u kojoj je to potrebno za izvršenje ugovora, ostvarivanje pravnih prava ili ispunjavanje zakonskih obveza.

17. Prijenos u treće zemlje

U mjeri u kojoj se, u kontekstu korištenja usluga AWS, AWS SES, Stripe ili drugih primijenjenih usluga, osobni podaci prenose u zemlje izvan Europskog gospodarskog prostora (EGP), to se čini isključivo u skladu sa zahtjevima članaka 44. i sl. Uredbe GDPR, npr. na temelju odgovarajućih jamstava kao što su standardne ugovorne odredbe i/ili drugi priznati mehanizmi zaštite.

18. Razdoblje pohrane i arhiviranje

Osobne podatke obrađujemo i pohranjujemo samo onoliko dugo koliko je potrebno za dotične svrhe ili dok postoje zakonske obveze čuvanja. Nakon toga se podaci brišu, anonimiziraju ili prenose u arhivski status primjeren njihovom statusu i svrsi.

Sljedeće se posebno odnosi na Contrimu:

Općenito pohranjujemo zapisnike poslužitelja i sigurnosti samo onoliko dugo koliko je potrebno za sigurnost, analizu pogrešaka i sprječavanje zlouporabe.
Općenito pohranjujemo podatke o računu, profile fotografa, podatke o računima i prodavateljima tijekom trajanja ugovornog odnosa i nakon toga, u mjeri u kojoj je to potrebno radi zakonskih obveza čuvanja, pravne obrane ili radi pružanja dokaza.
Podatke o zahtjevima, pristupu, galeriji, suglasnosti, licenci i kupnji pohranjujemo onoliko dugo koliko je potrebno za rješavanje slučaja, dokumentaciju, provjerljivost, pravnu obranu i ispunjavanje zakonskih obveza.
Postavljene izvorne slike općenito se čuvaju u aktivnom pohranjivanju za konačne aktivne slučajeve do 90 dana od posljednje značajne aktivnosti, a zatim se prenose u nejavni arhiv.
Nacrti, testni slučajevi ili drugi nepotpuni slučajevi koji nisu dovršeni mogu biti izbrisani u skladu s odgovarajućim statusom proizvoda ili tarifom.
Arhivirani izvorni podaci mogu se pohranjivati neograničeno dugo u klasama za pohranu nejavnih arhiva unutar AWS infrastrukture, uključujući AWS S3 Glacier Deep Archive, pod uvjetom da ne postoje pravni ili ugovorni razlozi za njihovo brisanje.
Podaci o verifikaciji, suglasnosti, reviziji, sličicama, otiscima prstiju, hash vrijednostima, naplatama i druga dokumentacijska podacima mogu ostati pohranjeni duže razdoblje ili odvojeno, bez obzira na aktivnu dostupnost izvornika slika.

Arhivirani objekti u klasama pohrane Duboka arhiva (Deep Archive) nisu javno dostupni; i općenito nisu dostupni u stvarnom vremenu; za ponovni pristup može biti potreban zaseban postupak vraćanja.

19. Vaša prava

U okviru zakonskih zahtjeva, imate sljedeća prava, osobito:

Pravo na pristup (čl. 15 GDPR),
Pravo na ispravak (čl. 16 GDPR),
Pravo na brisanje (čl. 17 GDPR-a),
Pravo na ograničenje obrade (čl. 18 GDPR),
Pravo na prenosivost podataka (čl. 20 GDPR),
Pravo na prigovor na obradu temeljem članka 6. stavka 1. točke (f) GDPR-a (članak 21. GDPR-a),
Pravo na povlačenje privole u bilo kojem trenutku s učinkom u budućnosti.

20. Pravo na podnošenje prigovora nadzornom tijelu

Imate pravo podnijeti pritužbu nadzornom tijelu za zaštitu podataka, posebno u državi članici u kojoj boravite, u kojoj radite ili na mjestu navodnog kršenja. Nadležno tijelo za našu registriranu adresu je:

Državni povjerenik za zaštitu podataka i slobodu informiranja u Baden-Württembergu (LfDI BW)
Poštanski pretinac 10 29 32
70025 Stuttgart
E-pošta: poststelle@lfdi.bwl.de
Web-stranica: baden-wuerttemberg.datenschutz.de

21. Promjene ove Politike privatnosti

Ovu politiku privatnosti možemo izmijeniti ako se promijene zakonske odredbe, usluge, usluge plaćanja, postupci pohrane i arhiviranja ili prakse obrade podataka. Primjenjiva je verzija objavljena na ovoj stranici u bilo kojem trenutku.

22. Obveza pružanja podataka

Općenito niste obvezni pružiti osobne podatke samo radi posjeta web-stranici u informativne svrhe. Međutim, ako koristite pristupnu točku ili galeriju, podnosite izjavu, obavljate kupnju ili aktivirate funkcije prodaje/isplate, određeni su podaci potrebni za pružanje relevantne usluge, obradu transakcije, obradu plaćanja, izvršavanje isplata ili ispunjavanje zakonskih obveza.

23. Nema potpuno automatiziranog donošenja odluka

Potpuno automatizirano donošenje odluka, uključujući profiliranje u smislu članka 22. GDPR-a, trenutno se ne provodi. Međutim, sigurnosni, antikorupcijski, rizici ili mehanizmi usklađenosti mogu rezultirati privremenim ograničenjem pristupa, prijenosa, objava, isplata ili povlačenja sredstava te njihovom naknadnom ručnom provjerom.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.