Privacy
Questo testo sulla protezione dei dati spiega come Contrima elabora i dati personali negli account dei fotografi, nei processi di partecipazione e accesso, nelle gallerie, nella comunicazione, nella documentazione e nei processi di regalo, scambio, vendita e licenza, compresi i relativi processi di pagamento ed erogazione. Il documento fornisce una panoramica degli scopi, dei processi, delle misure di protezione e dei diritti degli interessati. La versione inglese è autorevole; le traduzioni sono fornite solo per facilitare la comprensione.
f00fe99c5db7Privacy
1. Lingua e traduzioni
La presente informativa sulla privacy è disponibile in diverse lingue. La versione inglese fa fede. Le traduzioni sono fornite esclusivamente a scopo di chiarezza. I diritti obbligatori ai sensi della legge del luogo di residenza abituale dell'interessato rimangono invariati.
2. Titolare del trattamento
Il titolare del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR) è:
Mark Reinhardt (imprenditore individuale)
"Contrima" è un servizio fornito da Mark Reinhardt
E-mail: info@contrima.com
3. Panoramica: quali dati trattiamo e perché
Trattiamo i dati personali al fine di fornire Contrima dal punto di vista tecnico, per garantire e sviluppare ulteriormente il servizio, nonché per eseguire e documentare i processi relativi a fotografi, gallerie, approvazioni, regali, scambi, vendite, licenze, acquisti, abbonamenti, venditori e pagamenti.
Ciò include, in particolare, i dati derivanti dal funzionamento del sito web, dagli account utente e dai profili dei fotografi, dai sistemi QR e di accesso, dai processi di richiesta e di gestione delle gallerie, dalle procedure di anteprima, pubblicazione, approvazione, consenso, concessione di licenze e acquisto, dalla comunicazione, nonché dalla fatturazione, dall'elaborazione dei pagamenti, dall'onboarding dei venditori, dalla verifica, dai pagamenti, dall'archiviazione e dalla conservazione dei dati.
Trattiamo i dati personali in particolare sulla base dei seguenti fondamenti giuridici:
- Art. 6(1)(b) GDPR (contratto / misure precontrattuali),
- Art. 6(1)(c) GDPR (obbligo legale),
- Art. 6(1)(f) GDPR (interessi legittimi, ad es. fornitura sicura e stabile, individuazione di abusi e frodi, tracciabilità, difesa legale, archiviazione ed elaborazione affidabile dei pagamenti),
- Art. 6(1)(a) GDPR (consenso, ove richiesto in singoli casi).
Laddove trattiamo i dati sulla base del consenso, potete revocare il vostro consenso in qualsiasi momento con effetto per il futuro.
Contrima tratta determinati dati in qualità di titolare del trattamento a pieno titolo, in particolare per il funzionamento della piattaforma, la sicurezza, la comunicazione, la fatturazione, i processi relativi ai venditori e ai pagamenti, la documentazione, la verifica e l'archiviazione. Laddove Contrima svolga singole funzioni per conto del rispettivo fotografo, il trattamento avviene nell'ambito previsto dalla legge in ciascun caso.
4. Infrastruttura di hosting e archiviazione (AWS, regione Irlanda)
Contrima opera nella regione AWS Irlanda (UE). I dati generati durante l'accesso al sito web o l'utilizzo della piattaforma vengono trattati sui sistemi del nostro provider di hosting.
Fornitore di servizi di hosting (responsabile del trattamento):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Lussemburgo (“AWS”)
Per l’archiviazione di dati immagine, file di anteprima, contenuti della galleria, file di prova e fondi d’archivio, all’interno dell’infrastruttura AWS possono essere utilizzate diverse classi di archiviazione e di conservazione, comprese classi di archiviazione non pubbliche come AWS S3 Glacier Deep Archive.
5. Dati di accesso / file di log del server
Ogni volta che si accede al sito web o alla piattaforma, il server web elabora automaticamente le informazioni contenute nei cosiddetti file di log del server. Ciò può includere, in particolare:
- indirizzo IP (o un identificatore tecnicamente equivalente),
- data e ora della richiesta,
- pagina/file a cui si è avuto accesso (URL/percorso),
- URL di provenienza,
- tipo/versione del browser e sistema operativo,
- codici di stato/messaggi di errore,
- quantità di dati trasferiti.
La finalità del trattamento è la fornitura tecnica, la stabilità e la sicurezza del sito web e della piattaforma (ad es. analisi degli errori, difesa dagli attacchi, rilevamento di abusi e controllo degli accessi relativi alla sicurezza). La base giuridica è l'articolo 6, paragrafo 1, lettera f) del GDPR.
I file di log vengono conservati solo per il tempo necessario alle finalità indicate, e vengono successivamente cancellati o resi anonimi, a meno che non sia richiesta un'ulteriore conservazione a fini probatori (ad es. in caso di incidenti di sicurezza).
6. Crittografia (TLS/SSL)
Per motivi di sicurezza, utilizziamo la crittografia di trasporto (TLS/SSL) per garantire la migliore protezione possibile dei contenuti trasmessi. Si prega tuttavia di notare che la trasmissione di dati su Internet può comunque essere soggetta a vulnerabilità di sicurezza.
7. Cookie e tecnologie simili
Il nostro sito web e la nostra piattaforma possono utilizzare cookie o tecnologie simili. Distinguiamo tra:
- cookie tecnicamente necessari o meccanismi simili (ad es. cookie di sessione per il login, la lingua, la navigazione, la sicurezza e i contesti dei token),
- Cookie/strumenti opzionali, che vengono utilizzati solo con il consenso dell'utente, ove necessario.
I cookie tecnicamente necessari sono indispensabili per la fornitura del sito web e della piattaforma. La base giuridica per la memorizzazione/lettura di questi sui dispositivi finali è l'art. 25, comma 2, n. 2 del TDDDG; il successivo trattamento dei dati personali avviene sulla base dell' art. 6, comma 1, lett. f) del GDPR o dell'art. 6, comma 1, lett. b) del GDPR, se la funzione è necessaria per l'esecuzione di un contratto o per lo svolgimento di un flusso di lavoro specifico.
Nella misura in cui in futuro vengano utilizzati strumenti di analisi, marketing o altri strumenti che richiedono il consenso, modificheremo la presente informativa sulla privacy e, se necessario, otterremo il consenso in anticipo.
8. Account utente, profilo del fotografo e account venditore
Laddove offriamo la possibilità di creare un account utente o di effettuare il login, trattiamo i dati necessari a tale scopo (ad es. indirizzo e-mail, dati di accesso, dati tecnici di sessione, impostazioni della lingua, fuso orario, dati del profilo e informazioni di sicurezza), al fine di fornire l'account utente, consentire il login, gestire il profilo e garantire la sicurezza del sistema.
Per i profili dei fotografi, possono essere trattati anche ulteriori dati relativi al profilo, al portfolio, alla vetrina, alla fatturazione, al venditore, alle imposte, all'abbonamento, all'archiviazione e ai prezzi, nella misura in cui tali funzioni siano offerte o attivate.
La base giuridica è generalmente l'articolo 6, paragrafo 1, lettera b) del GDPR e l'articolo 6, paragrafo 1, lettera f) del GDPR (interessi di sicurezza, prevenzione di abusi, stabilità del sistema).
Nota: le password non vengono memorizzate in chiaro, ma generalmente come valore hash (procedura tecnica di sicurezza).
9. Dati relativi alle persone fotografate, ai destinatari e ad altri interessati
Contrima tratta anche i dati personali delle persone fotografate, delle persone che accettano, degli acquirenti e di altri interessati in relazione a caricamenti, incarichi di galleria, processi di accesso, anteprime, pubblicazioni, approvazioni, consensi, concessioni di licenze, acquisti e documentazione di casi specifici.
Tali dati possono provenire direttamente dall'interessato (ad es. quando apre un punto di accesso, fornisce un indirizzo e-mail, seleziona una lingua, effettua una dichiarazione o effettua un acquisto) oppure pervenirci indirettamente tramite il fotografo o altre parti coinvolte; (ad es. attraverso il caricamento di file immagine, dati di incarico, dettagli di contatto, schede QR, riferimenti alla galleria o informazioni sul caso).
A seconda del caso, vengono trattati in particolare i seguenti dati: file di immagini, informazioni relative agli incarichi e ai casi, dati di contatto, contesti linguistici e relativi ai dispositivi, dati di stato, dati relativi a dichiarazioni e contratti, nonché informazioni di verifica e di audit.
Nei casi che coinvolgono minori e rappresentanti, possono essere trattati anche dettagli sul ruolo, conferme di autorizzazione e rappresentanza, incarichi tra il minore e l'adulto autorizzante, timestamp, dati di comunicazione, dati di verifica e informazioni di stato relative all'acquisto, al pagamento, all'attivazione o alla consegna, nella misura in cui ciò sia necessario per il rispettivo flusso di lavoro.
Laddove i dati personali non vengano raccolti direttamente dall'interessato, adempiamo agli obblighi di informazione ai sensi dell'articolo 14 del GDPR nella misura richiesta dalla legge. La liceità giuridica dello scatto di una fotografia e del suo caricamento iniziale dipende dal singolo caso specifico e dalla responsabilità del fotografo.
10. Codici QR, sistema di accesso, richiesta e link di accesso personali
Contrima può fornire codici QR, codici di accesso pubblici, link di accesso personali, token di accesso, contesti linguistici e sistemi di accesso simili, per consentire alle persone fotografate, ai destinatari, agli acquirenti o ad altre parti coinvolte di accedere a pagine dei partecipanti, gallerie, anteprime, processi di approvazione, consenso o acquisto.
In tal modo, trattiamo in particolare codici pubblici o personali, valori dei token, lingua preferita, timestamp, stato della richiesta, eventi di reinvio, indicatori di sessione o del browser, informazioni di sicurezza e l'indirizzo e-mail fornito nel rispettivo flusso.
Nel caso in cui i minori utilizzino l'accesso personale o un processo di richiesta, autorizzazione, concessione di licenze o acquisto, il coinvolgimento del minore stesso e l'autorizzazione richiesta da parte di un genitore o tutore o di un altro adulto autorizzato possono essere documentati separatamente.
Questo trattamento serve a fornire l'accesso in modo sicuro, ad assegnare un caso specifico, a prevenire abusi, a fornire link personalizzati, a garantire una visualizzazione adeguata alla lingua, e a svolgere gli aspetti tecnici e organizzativi del rispettivo flusso di lavoro. La base giuridica è l'articolo 6, paragrafo 1, lettera b) del GDPR e l'articolo 6, paragrafo 1, lettera f) del GDPR.
Nelle visualizzazioni neutre ripetute, potremmo visualizzare i dati di contatto in forma mascherata e, per motivi di sicurezza, non possiamo rivelare nuovamente l'accesso diretto.
11. Gallerie, anteprime, pubblicazioni e accordi
Nel contesto delle gallerie e delle licenze, trattiamo, in particolare, informazioni relative a: casi, gallerie, incarichi dei partecipanti, varianti delle immagini, anteprime, filigrane, livelli di pubblicazione, attivazioni, acquisto, approvazione, autorizzazione e stati di consenso, nonché i pacchetti o le offerte selezionati per il caso specifico.
A fini di documentazione e verifica, potremmo inoltre registrare: la versione del pacchetto applicabile, la versione del testo visualizzata, la lingua, il timestamp, l'indirizzo e-mail utilizzato, il contesto del portale o del token di accesso e altri dati di audit tecnicamente necessari. Possono essere generati, archiviati e messi a disposizione delle parti coinvolte documenti PDF o simili relativi a contratti e verifiche.
Questo trattamento serve a gestire il caso in questione, visualizzare anteprime, attivare l'accesso a seguito del consenso o del pagamento, documentare dichiarazioni e contratti, verificare l'ambito dei diritti e per la difesa legale. La base giuridica, a seconda del caso, è l'articolo 6, paragrafo 1, lettera b) del GDPR, l'articolo 6, paragrafo 1, lettera f) del GDPR, l'articolo 6, paragrafo 1, lettera c) del GDPR e, ove necessario in singoli casi, l'articolo 6, paragrafo 1, lettera a) del GDPR.
12. Come contattarci
Se ci contattate via e-mail, trattiamo i dati da voi forniti (ad es. nome, indirizzo e-mail, contenuto del messaggio), al fine di evadere la vostra richiesta.
La base giuridica è l'articolo 6, paragrafo 1, lettera b) del GDPR; (nella misura in cui ciò riguardi la comunicazione (pre)contrattuale) oppure l'articolo 6, paragrafo 1, lettera f) del GDPR; (richieste di informazioni generali; interesse legittimo a una comunicazione efficiente).
Modulo di contatto: qualora sia disponibile un modulo di contatto, trattiamo i dati ivi raccolti esclusivamente allo scopo di gestire la richiesta. La presente informativa sulla privacy verrà aggiornata se necessario, ad es. qualora vengano implementati servizi aggiuntivi quali la protezione antispam.
13. Newsletter
Qualora in futuro dovessimo offrire una newsletter, modificheremo la presente informativa sulla privacy e, in particolare, comunicheremo in modo trasparente il fornitore del servizio di mailing, la procedura di double opt-in, eventuali metriche di performance e le opzioni di revoca.
14. Invio di e-mail tramite AWS SES
Utilizziamo Amazon Simple Email Service (AWS SES) per inviare e-mail di sistema e transazionali; (ad es. conferme, link di accesso personali, messaggi di reinvio, notifiche relative a gallerie o appuntamenti, informazioni su acquisti o pagamenti, fatture o notifiche relative a venditori/pagamenti); utilizziamo Amazon Simple Email Service (AWS SES).
In particolare, vengono trattati l'indirizzo e-mail, ove applicabile, il nome, il contesto linguistico e i metadati tecnici dell'e-mail (ad es. informazioni di consegna).
La base giuridica è l'articolo 6, paragrafo 1, lettera b) del GDPR, l'articolo 6, paragrafo 1, lettera c) del GDPR, e/o l'articolo 6, paragrafo 1, lettera f) del GDPR.
15. Pagamenti, abbonamenti, Stripe e Stripe Connect
Quando si utilizzano servizi a pagamento, abbonamenti, pacchetti di archiviazione, acquisti di immagini o licenze, account venditore o funzioni di pagamento, trattiamo i dati di fatturazione, transazione e verifica necessari a tale scopo.
Ciò può includere, in particolare:
- nome, indirizzo, indirizzo e-mail e dettagli di fatturazione,
- servizi acquistati o prenotati, importi, valute e stato del pagamento,
- dati relativi a fatturazione, rimborsi, contestazioni, chargeback e pagamenti,
- e, nel caso di funzioni relative ai venditori o ai pagamenti, ulteriori dati relativi alla società, alla forma giuridica, fiscali, bancari e di verifica, nonché dettagli sui rappresentanti autorizzati o sui titolari effettivi, ove necessario.
Per l'elaborazione dei pagamenti, gli abbonamenti, l'onboarding dei venditori e le funzioni di pagamento, utilizziamo in particolare Stripe e Stripe Connect. Se l'utente fornisce dati personali in relazione ai servizi di pagamento, Stripe riceve tali dati e li elabora in conformità con l' Informativa sulla privacy di Stripe.
Tale trattamento è finalizzato all'elaborazione dei pagamenti, all'adempimento del contratto, alla fatturazione, all'adempimento degli obblighi di legge, alla prevenzione di frodi e abusi, alla verifica dei venditori e all'esecuzione dei pagamenti. La base giuridica è costituita dall'articolo 6, paragrafo 1, lettera b) del GDPR, dall'articolo 6, paragrafo 1, lettera c) del GDPR, dall'articolo 6, paragrafo 1, lettera f) del GDPR e, ove necessario, dall'articolo 6, paragrafo 1, lettera a) del GDPR.
In caso di acquisti o processi di pagamento avviati da o che coinvolgono minori, possono essere trattati anche ulteriori dati relativi all’adulto pagante, approvante o autorizzato, nonché dati relativi allo stato e alla verifica riguardanti l’approvazione, l’autorizzazione, i rimborsi o gli storni.
In caso di fornitura immediata di immagini digitali o diritti di utilizzo digitale, possono essere trattati anche le conferme relative all'inizio immediato della fornitura, alla scadenza del diritto di recesso, all'approvazione da parte di un rappresentante, nonché i tempi associati, le versioni testuali, le versioni linguistiche, le prove tecniche e le informazioni di audit.
16. Destinatari / Responsabili del trattamento / Titolari del trattamento indipendenti
Ci avvaliamo di fornitori di servizi che trattano i dati per nostro conto (trattamento dei dati ai sensi dell'articolo 28 del GDPR), e trasferiamo i dati anche a organismi che possono agire come titolari del trattamento indipendenti nel contesto pertinente.
Tra questi figurano, in particolare:
- Amazon Web Services EMEA SARL – servizi di hosting, archiviazione e infrastruttura,
- Amazon Web Services (AWS SES) – invio di e-mail,
- Stripe / Stripe Connect – elaborazione dei pagamenti, onboarding dei venditori, verifica e pagamenti,
- Fotografi, acquirenti, persone fotografate, persone che ricevono la merce o altre parti coinvolte, nella misura in cui ciò sia necessario per l'esecuzione di un caso specifico, una galleria, un acquisto, un accordo o la presentazione di prove,
- Consulenti fiscali, consulenti legali, banche, autorità pubbliche o altri organismi, nella misura in cui ciò sia necessario per l'esecuzione di un contratto, l'applicazione di diritti legali o l'adempimento di obblighi legali.
17. Trasferimento verso paesi terzi
Nella misura in cui, nell'ambito dell'utilizzo di AWS, AWS SES, Stripe o altri servizi impiegati, i dati personali vengono trasferiti in paesi al di fuori dello Spazio economico europeo (SEE), ciò avviene solo in conformità con i requisiti degli articoli 44 e seguenti del GDPR, ad esempio sulla base di garanzie adeguate quali clausole contrattuali tipo e/o altri meccanismi di protezione riconosciuti.
18. Periodo di conservazione e archiviazione
Trattiamo e conserviamo i dati personali solo per il tempo necessario, ai rispettivi scopi, o per quanto previsto dagli obblighi di conservazione previsti dalla legge. Successivamente, i dati vengono cancellati, resi anonimi, o trasferiti in uno stato di archivio adeguato al loro stato e scopo.
Per Contrima vale in particolare quanto segue:
- In genere conserviamo i log del server e di sicurezza solo per il tempo necessario alla sicurezza, all'analisi degli errori e alla prevenzione di abusi.
- In genere conserviamo i dati degli account, i profili dei fotografi, i dati delle fatture e dei venditori per tutta la durata del rapporto contrattuale e oltre, nella misura in cui ciò sia necessario per gli obblighi di conservazione previsti dalla legge, per la difesa legale o a fini probatori.
- Conserviamo i dati relativi a reclami, accessi, gallerie, consensi, licenze e acquisti per il tempo necessario alla gestione del caso, alla documentazione, alla verificabilità, alla difesa legale e all'adempimento degli obblighi di legge.
- Le immagini originali caricate vengono generalmente conservate in un archivio attivo per i casi attivi finali fino a 90 giorni dall'ultima attività significativa e successivamente trasferite in un archivio non pubblico.
- Le bozze, i casi di prova o altri casi non finalizzati che non sono stati completati possono essere cancellati in base allo stato del rispettivo prodotto o alla tariffa.
- I dati originali archiviati possono essere conservati a tempo indeterminato in classi di archiviazione non pubbliche all'interno dell'infrastruttura AWS, incluso AWS S3 Glacier Deep Archive, a condizione che non sussistano motivi legali o contrattuali per la cancellazione.
- I dati relativi a verifica, accordo, audit, miniature, impronte digitali, hash, fatturazione e altra documentazione possono rimanere archiviati per periodi più lunghi o separatamente, indipendentemente dalla disponibilità attiva delle immagini originali.
Gli oggetti archiviati nelle classi di archiviazione Deep Archive non sono accessibili al pubblico; e generalmente non sono accessibili in tempo reale; per riaccedervi potrebbe essere necessario un processo di ripristino separato.
19. I tuoi diritti
Nel quadro dei requisiti legali, l'utente gode in particolare dei seguenti diritti:
- Diritto di accesso (art. 15 GDPR),
- Diritto di rettifica (art. 16 GDPR),
- Diritto alla cancellazione (art. 17 GDPR),
- Diritto alla limitazione del trattamento (art. 18 GDPR),
- Diritto alla portabilità dei dati (art. 20 GDPR),
- Diritto di opporsi al trattamento ai sensi dell'articolo 6, paragrafo 1, lettera f) del GDPR (articolo 21 del GDPR),
- Diritto di revocare il consenso in qualsiasi momento con effetto per il futuro.
20. Diritto di presentare un reclamo a un'autorità di controllo
Hai il diritto di presentare un reclamo presso un'autorità di controllo per la protezione dei dati, in particolare nello Stato membro in cui risiedi abitualmente, nel luogo in cui lavori o nel luogo in cui si è verificata la presunta violazione. L'autorità competente per la nostra sede legale è:
Il Commissario statale per la protezione dei dati e la libertà di informazione del Baden-Württemberg (LfDI BW)
Casella postale 10 29 32
70025 Stoccarda
E-mail: poststelle@lfdi.bwl.de
Sito web: baden-wuerttemberg.datenschutz.de
21. Modifiche alla presente Informativa sulla privacy
Ci riserviamo il diritto di modificare la presente informativa sulla privacy, qualora cambino la situazione giuridica, i servizi, i servizi di pagamento, le procedure di conservazione e archiviazione o le pratiche di trattamento dei dati. Si applica la versione pubblicata su questa pagina in un dato momento.
22. Obbligo di fornire dati
In generale, non siete obbligati a fornire dati personali semplicemente per visitare il sito web a scopo informativo. Tuttavia, se utilizzate un punto di accesso o una galleria, inviate una dichiarazione, effettuate un acquisto o attivate funzioni di vendita/pagamento, sono richiesti alcuni dati per fornire il servizio in questione, elaborare la transazione, gestire i pagamenti, effettuare pagamenti o adempiere agli obblighi di legge.
23. Nessun processo decisionale interamente automatizzato
Attualmente non viene effettuato alcun processo decisionale interamente automatizzato, compresa la profilazione ai sensi dell'articolo 22 del GDPR. Tuttavia, meccanismi di sicurezza, frode, rischio o conformità possono comportare la limitazione temporanea di accessi, caricamenti, pubblicazioni, pagamenti o prelievi e la successiva verifica manuale.
f00fe99c5db7Privacy
1. Language and translations
This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.
2. Data Controller
The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com
3. Overview: What data we process and why
We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.
This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.
We process personal data in particular on the following legal bases:
- Art. 6(1)(b) GDPR (contract / pre-contractual measures),
- Art. 6(1)(c) GDPR (legal obligation),
- Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
- Art. 6(1)(a) GDPR (consent, where required in individual cases).
Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.
Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.
4. Hosting and storage infrastructure (AWS, Ireland region)
Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.
Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)
For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.
5. Access data / server log files
Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:
- IP address (or a technically equivalent identifier),
- date and time of the request,
- page/file accessed (URL/path),
- referrer URL,
- browser type/version and operating system,
- status codes/error messages,
- amount of data transferred.
The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.
The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).
6. Encryption (TLS/SSL)
For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.
7. Cookies and similar technologies
Our website and platform may use cookies or similar technologies. We distinguish between:
- Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
- Optional cookies/tools, which are only used with your consent, where necessary.
Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.
Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.
8. User account, photographer profile and seller account
Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.
For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.
The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).
Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).
9. Data relating to photographed persons, accepting persons and other data subjects
Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.
Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).
Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.
In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.
Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.
10. QR codes, access system, claiming and personal access links
Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.
In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.
Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.
This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.
In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.
11. Galleries, previews, publications and agreements
In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.
For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.
This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.
12. Contacting us
If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.
The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).
Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.
13. Newsletter
Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.
14. Sending emails via AWS SES
For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).
In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.
The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.
15. Payments, subscriptions, Stripe and Stripe Connect
When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.
This may include, in particular:
- name, address, email address and billing details,
- services purchased or booked, amounts, currencies and payment status,
- invoicing, refund, dispute, chargeback and payout data,
- and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.
For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.
This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.
In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.
In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.
16. Recipients / Data processors / Independent controllers
We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.
These include, in particular:
- Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
- Amazon Web Services (AWS SES) – sending of emails,
- Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
- Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
- Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.
17. Transfer to third countries
Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.
18. Retention period and archiving
We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.
The following applies in particular to Contrima:
- We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
- We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
- We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
- Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
- Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
- Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
- Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.
Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.
19. Your rights
Within the framework of the legal requirements, you have the following rights in particular:
- Right of access (Art. 15 GDPR),
- Right to rectification (Art. 16 GDPR),
- Right to erasure (Art. 17 GDPR),
- Right to restriction of processing (Art. 18 GDPR),
- Right to data portability (Art. 20 GDPR),
- Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
- Right to withdraw consent at any time with effect for the future.
20. Right to lodge a complaint with a supervisory authority
You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:
The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de
21. Changes to this Privacy Policy
We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.
22. Obligation to provide data
You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.
23. No fully automated decision-making
Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.