Privasi

Teks perlindungan data ini menjelaskan bagaimana Contrima memproses data pribadi dalam akun fotografer, proses peserta dan akses, galeri, komunikasi, dokumentasi, serta dalam proses hadiah, pertukaran, penjualan, dan lisensi, termasuk proses pembayaran dan pencairan yang terkait. Ini memberikan gambaran umum tentang tujuan, proses, tindakan perlindungan, dan hak-hak subjek data. Versi bahasa Inggris bersifat otoritatif; terjemahan disediakan semata-mata untuk memudahkan pemahaman.

Versi v3 · Diterbitkan 04.05.2026, 09:12 · Hash f00fe99c5db7

Privasi

1. Bahasa dan terjemahan

Kebijakan privasi ini disediakan dalam beberapa bahasa. Versi bahasa Inggris adalah yang sah. Terjemahan disediakan semata-mata untuk kejelasan. Hak-hak wajib berdasarkan hukum tempat tinggal biasa subjek data tetap tidak terpengaruh.

2. Pengendali data

Pengendali data dalam arti Peraturan Perlindungan Data Umum (GDPR) adalah:
Mark Reinhardt (pengusaha perorangan)
"Contrima" adalah layanan yang disediakan oleh Mark Reinhardt
Email: info@contrima.com

3. Gambaran Umum: Data apa yang kami olah dan mengapa

Kami memproses data pribadi untuk menyediakan Contrima dari segi teknis, untuk mengamankan dan mengembangkan layanan lebih lanjut, serta untuk melaksanakan dan mendokumentasikan proses yang berkaitan dengan fotografer, galeri, persetujuan, hadiah, pertukaran, penjualan, lisensi, pembelian, langganan, penjual, dan pembayaran.

Hal ini mencakup, khususnya, data dari pengoperasian situs web, dari akun pengguna dan profil fotografer, dari sistem QR dan akses, proses klaim dan galeri, dari prosedur pratinjau, publikasi, persetujuan, izin, lisensi, dan pembelian, dari komunikasi, serta dari penagihan, pemrosesan pembayaran, onboarding penjual, verifikasi, pembayaran, pengarsipan, dan pencatatan.

Kami memproses data pribadi khususnya berdasarkan dasar hukum berikut:

Pasal 6(1)(b) GDPR (kontrak / tindakan prakontrak),
Pasal 6(1)(c) GDPR (kewajiban hukum),
Pasal 6(1)(f) GDPR (kepentingan sah, misalnya penyediaan yang aman dan stabil, deteksi penyalahgunaan dan penipuan, keterlacakan, pembelaan hukum, pengarsipan, dan pemrosesan pembayaran yang andal),
Pasal 6(1)(a) GDPR (persetujuan, jika diperlukan dalam kasus tertentu).

Jika kami memproses data berdasarkan persetujuan, Anda dapat menarik persetujuan Anda kapan saja dengan efek untuk masa depan.

Contrima memproses data tertentu sebagai pengendali data atas namanya sendiri, khususnya untuk pengoperasian platform, keamanan, komunikasi, penagihan, proses penjual/pembayaran, dokumentasi, verifikasi, dan pengarsipan. Apabila Contrima menjalankan fungsi individu atas nama fotografer terkait, pemrosesan dilakukan dalam kerangka yang diatur oleh hukum dalam setiap kasus.

4. Infrastruktur hosting dan penyimpanan (AWS, wilayah Irlandia)

Contrima dioperasikan di wilayah AWS Irlandia (UE). Data yang dihasilkan saat mengakses situs web atau menggunakan platform diproses pada sistem penyedia hosting kami.

Penyedia layanan hosting (pengolah data):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

Untuk penyimpanan data gambar, file pratinjau, konten galeri, file bukti, dan arsip, berbagai kelas penyimpanan dan penyimpanan arsip dapat digunakan dalam infrastruktur AWS, termasuk kelas penyimpanan arsip non-publik seperti AWS S3 Glacier Deep Archive.

5. Data akses / file log server

Setiap kali situs web atau platform diakses, server web secara otomatis memproses informasi dalam apa yang disebut file log server. Hal ini dapat mencakup, khususnya:

Alamat IP (atau pengenal yang secara teknis setara),
tanggal dan waktu permintaan,
halaman/file yang diakses (URL/jalur),
URL pengarah,
jenis/versi browser dan sistem operasi,
kode status/pesan kesalahan,
jumlah data yang ditransfer.

Tujuan pemrosesan adalah penyediaan teknis, stabilitas, dan keamanan situs web dan platform (misalnya analisis kesalahan, pertahanan terhadap serangan, deteksi penyalahgunaan, dan audit akses terkait keamanan). Dasar hukumnya adalah Pasal 6(1)(f) GDPR.

File log hanya disimpan selama diperlukan untuk tujuan yang disebutkan, dan kemudian dihapus atau dianonimkan, asalkan tidak diperlukan penyimpanan lebih lanjut untuk tujuan pembuktian (misalnya dalam kasus insiden keamanan).

6. Enkripsi (TLS/SSL)

Untuk alasan keamanan, kami menggunakan enkripsi transportasi (TLS/SSL) guna memastikan perlindungan terbaik bagi konten yang dikirimkan. Namun, harap diperhatikan bahwa transmisi data melalui internet tetap dapat rentan terhadap kerentanan keamanan.

7. Cookie dan teknologi serupa

Situs web dan platform kami mungkin menggunakan cookie atau teknologi serupa. Kami membedakan antara:

Cookie yang diperlukan secara teknis atau mekanisme serupa (misalnya cookie sesi untuk login, bahasa, navigasi, keamanan, dan konteks token),
Cookie/alat opsional, yang hanya digunakan dengan persetujuan Anda, jika diperlukan.

Cookie yang diperlukan secara teknis diperlukan untuk menyediakan situs web dan platform. Dasar hukum untuk menyimpan/membaca ini pada perangkat akhir adalah Pasal 25(2)(2) TDDDG; pemrosesan data pribadi selanjutnya dilakukan berdasarkan: Pasal 6(1)(f) GDPR atau Pasal 6(1)(b) GDPR, jika fungsi tersebut diperlukan untuk pelaksanaan kontrak atau pelaksanaan alur kerja tertentu.

Sejauh analisis, pemasaran, atau alat lain yang memerlukan persetujuan digunakan di masa mendatang, kami akan mengubah kebijakan privasi ini dan – jika diperlukan – mendapatkan persetujuan terlebih dahulu.

8. Akun pengguna, profil fotografer, dan akun penjual

Jika kami menawarkan opsi untuk membuat akun pengguna atau masuk, kami memproses data yang diperlukan untuk tujuan ini (misalnya alamat email, detail login, data sesi teknis, pengaturan bahasa, zona waktu, data profil, dan informasi keamanan), untuk menyediakan akun pengguna, memfasilitasi login, mengelola profil, dan memastikan keamanan sistem.

Untuk profil fotografer, data tambahan seperti profil, portofolio, galeri, faktur, penjual, pajak, langganan, penyimpanan, dan harga juga dapat diproses, sejauh fungsi-fungsi tersebut ditawarkan atau diaktifkan.

Dasar hukumnya umumnya adalah Pasal 6(1)(b) GDPR dan Pasal 6(1)(f) GDPR (kepentingan keamanan, pencegahan penyalahgunaan, stabilitas sistem).

Catatan: Kata sandi tidak disimpan dalam teks biasa, tetapi umumnya disimpan sebagai nilai hash (prosedur keamanan teknis).

9. Data yang berkaitan dengan orang yang difoto, penerima, dan subjek data lainnya

Contrima juga memproses data pribadi orang yang difoto, penerima, pembeli, dan subjek data lainnya sehubungan dengan unggahan, penugasan galeri, proses akses, pratinjau, publikasi, persetujuan, izin, lisensi, pembelian, dan dokumentasi kasus-kasus tertentu.

Data tersebut dapat berasal langsung dari subjek data (misalnya saat mereka membuka titik akses, memberikan alamat email, memilih bahasa, membuat pernyataan, atau melakukan pembelian) atau sampai kepada kami secara tidak langsung melalui fotografer atau pihak lain yang terlibat; (misalnya melalui unggahan berkas gambar, data penugasan, detail kontak, kartu QR, referensi galeri, atau informasi kasus).

Tergantung pada kasusnya, data berikut khususnya diproses: file gambar, informasi penugasan dan kasus, detail kontak, konteks bahasa dan perangkat, data status, data pernyataan dan kontrak, serta informasi verifikasi dan audit.

Dalam kasus yang melibatkan anak di bawah umur dan wakilnya, rincian peran, konfirmasi otorisasi dan perwakilan, penugasan antara anak di bawah umur dan orang dewasa yang memberi otorisasi, cap waktu, data komunikasi, data verifikasi, dan informasi status terkait pembelian, pembayaran, aktivasi, atau pengiriman juga dapat diproses, sejauh hal ini diperlukan untuk alur kerja yang bersangkutan.

Jika data pribadi tidak dikumpulkan langsung dari subjek data, kami memenuhi kewajiban informasi berdasarkan Pasal 14 GDPR sejauh yang diwajibkan oleh hukum. Keabsahan hukum pengambilan foto dan unggahan awal bergantung pada kasus individu tertentu dan tanggung jawab fotografer.

10. Kode QR, sistem akses, klaim, dan tautan akses pribadi

Contrima dapat menyediakan kode QR, kode akses publik, tautan akses pribadi, token akses, konteks bahasa, dan sistem akses serupa, untuk memungkinkan orang yang difoto, penerima, pembeli, atau pihak terkait lainnya mengakses halaman peserta, galeri, pratinjau, persetujuan, proses persetujuan, atau pembelian.

Dalam hal ini, kami memproses khususnya kode publik atau pribadi, nilai token, bahasa pilihan, cap waktu, status klaim, peristiwa pengiriman ulang, penanda sesi atau browser, informasi keamanan, dan alamat email yang disediakan dalam alur yang bersangkutan.

Jika anak di bawah umur menggunakan akses pribadi atau proses klaim, otorisasi, lisensi, atau pembelian, keterlibatan anak tersebut dan otorisasi yang diperlukan dari orang tua, wali, atau orang dewasa yang berwenang lainnya dapat didokumentasikan secara terpisah.

Pemrosesan ini bertujuan untuk menyediakan akses secara aman, menugaskan kasus tertentu, mencegah penyalahgunaan, menyediakan tautan yang dipersonalisasi, memastikan tampilan sesuai bahasa, serta melaksanakan aspek teknis dan organisasional dari alur kerja yang bersangkutan. Dasar hukumnya adalah Pasal 6(1)(b) GDPR dan Pasal 6(1)(f) GDPR.

Dalam tampilan ulangan netral, kami mungkin menampilkan detail kontak dalam bentuk yang disamarkan dan, demi alasan keamanan, tidak dapat mengungkapkan akses langsung lagi.

11. Galeri, pratinjau, publikasi, dan perjanjian

Dalam konteks galeri dan lisensi, kami memproses, khususnya, informasi mengenai: kasus, galeri, penugasan peserta, varian gambar, pratinjau, tanda air, tingkat publikasi, aktivasi, pembelian, persetujuan, otorisasi, dan status persetujuan, serta paket atau penawaran yang dipilih untuk kasus tertentu.

Untuk tujuan dokumentasi dan verifikasi, kami juga dapat mencatat: versi paket yang berlaku, versi teks yang ditampilkan, bahasa, cap waktu, alamat email yang digunakan, konteks portal atau token akses, serta data audit teknis lainnya. Dokumen perjanjian dan verifikasi dalam format PDF atau sejenisnya dapat dihasilkan, disimpan, dan disediakan kepada pihak-pihak yang terlibat.

Pemrosesan ini bertujuan untuk menangani kasus yang bersangkutan, menampilkan pratinjau, mengaktifkan akses setelah persetujuan atau pembayaran, mendokumentasikan pernyataan dan kontrak, memverifikasi cakupan hak, dan untuk pembelaan hukum. Dasar hukumnya, tergantung pada kasusnya, adalah Pasal 6(1)(b) GDPR, Pasal 6(1)(f) GDPR, Pasal 6(1)(c) GDPR, dan, jika diperlukan dalam kasus-kasus tertentu, Pasal 6(1)(a) GDPR.

12. Menghubungi kami

Jika Anda menghubungi kami melalui email, kami memproses data yang Anda berikan; (misalnya nama, alamat email, isi pesan),; untuk menangani pertanyaan Anda.

Dasar hukumnya adalah Pasal 6(1)(b) GDPR; (sejauh hal ini berkaitan dengan komunikasi (pra-)kontrak) atau Pasal 6(1)(f) GDPR; (pertanyaan umum; kepentingan sah dalam komunikasi yang efisien).

Formulir kontak: Jika formulir kontak disediakan, kami memproses data yang dikumpulkan di sana secara eksklusif untuk tujuan menangani pertanyaan. Kebijakan privasi ini akan diperbarui jika diperlukan, misalnya jika layanan tambahan seperti perlindungan spam diterapkan.

13. Buletin

Jika kami menawarkan buletin di masa mendatang, kami akan mengubah kebijakan privasi ini dan, khususnya, secara transparan mengungkapkan penyedia layanan surat, prosedur double opt-in, metrik kinerja apa pun, dan opsi untuk penarikan.

14. Pengiriman email melalui AWS SES

Kami menggunakan Amazon Simple Email Service (AWS SES) untuk mengirim email sistem dan transaksional; (misalnya konfirmasi, tautan akses pribadi, pesan ulang, pemberitahuan galeri atau janji temu, informasi pembelian atau pembayaran, faktur atau pemberitahuan penjual/pembayaran); kami menggunakan Amazon Simple Email Service (AWS SES).

Secara khusus, alamat email, jika berlaku, nama, konteks bahasa, dan metadata teknis dari email (misalnya informasi pengiriman) diproses.

Dasar hukumnya adalah Pasal 6(1)(b) GDPR, Pasal 6(1)(c) GDPR, dan/atau Pasal 6(1)(f) GDPR.

15. Pembayaran, langganan, Stripe, dan Stripe Connect

Saat layanan berbayar, langganan, paket penyimpanan, pembelian gambar atau lisensi, akun penjual, atau fungsi pembayaran digunakan, kami memproses data penagihan, transaksi, dan verifikasi yang diperlukan untuk tujuan ini.

Hal ini dapat mencakup, khususnya:

nama, alamat, alamat email, dan rincian penagihan,
layanan yang dibeli atau dipesan, jumlah, mata uang, dan status pembayaran,
data penagihan, pengembalian dana, sengketa, chargeback, dan pembayaran,
dan, dalam hal fungsi penjual atau pembayaran, data tambahan mengenai perusahaan, bentuk hukum, pajak, bank, dan verifikasi, serta rincian perwakilan yang berwenang atau pemilik manfaat, jika diperlukan.

Untuk pemrosesan pembayaran, langganan, pendaftaran penjual, dan fungsi pembayaran, kami menggunakan Stripe dan Stripe Connect secara khusus. Jika Anda memberikan data pribadi sehubungan dengan layanan pembayaran, Stripe menerima data ini dan memprosesnya sesuai dengan Kebijakan Privasi Stripe.

Pemrosesan ini bertujuan untuk pemrosesan pembayaran, pelaksanaan kontrak, penagihan, kepatuhan terhadap kewajiban hukum, pencegahan penipuan dan penyalahgunaan, verifikasi penjual, dan pelaksanaan pembayaran. Dasar hukumnya adalah Pasal 6(1)(b) GDPR, Pasal 6(1)(c) GDPR, Pasal 6(1)(f) GDPR, dan, jika diperlukan, Pasal 6(1)(a) GDPR.

Dalam hal pembelian atau proses pembayaran yang diinisiasi oleh atau melibatkan anak di bawah umur, informasi tambahan mengenai pihak yang membayar, menyetujui, atau orang dewasa yang berwenang, serta data status dan verifikasi terkait persetujuan, otorisasi, pengembalian dana, atau chargeback, juga dapat diproses.

Dalam hal penyediaan langsung gambar digital atau hak penggunaan digital, konfirmasi mengenai dimulainya penyediaan secara langsung, berakhirnya hak penarikan, persetujuan perwakilan, serta waktu terkait, versi teks, versi bahasa, bukti teknis, dan informasi audit juga dapat diproses.

16. Penerima / Pengolah data / Pengendali independen

Kami melibatkan penyedia layanan yang memproses data atas nama kami (pemrosesan data sesuai dengan Pasal 28 GDPR), dan juga mentransfer data ke badan-badan yang dapat bertindak sebagai pengontrol independen dalam konteks yang relevan.

Ini termasuk, khususnya:

Amazon Web Services EMEA SARL – layanan hosting, penyimpanan, dan infrastruktur,
Amazon Web Services (AWS SES) – pengiriman email,
Stripe / Stripe Connect – pemrosesan pembayaran, pendaftaran penjual, verifikasi, dan pembayaran,
Fotografer, pembeli, orang yang difoto, orang yang menerima barang, atau pihak lain yang terlibat, sejauh hal ini diperlukan untuk pelaksanaan kasus tertentu, galeri, pembelian, perjanjian, atau penyediaan bukti,
Penasihat pajak, penasihat hukum, bank, otoritas publik, atau badan lain, sejauh hal ini diperlukan untuk pelaksanaan kontrak, penegakan hak hukum, atau pemenuhan kewajiban hukum.

17. Transfer ke negara ketiga

Sejauh, dalam konteks penggunaan AWS, AWS SES, Stripe, atau layanan lain yang digunakan, data pribadi ditransfer ke negara-negara di luar Wilayah Ekonomi Eropa (EEA), hal ini dilakukan hanya sesuai dengan persyaratan Pasal 44 dan seterusnya dari GDPR, misalnya berdasarkan jaminan yang sesuai seperti klausul kontrak standar dan/atau mekanisme perlindungan lain yang diakui.

18. Masa penyimpanan dan pengarsipan

Kami memproses dan menyimpan data pribadi hanya selama, diperlukan untuk tujuan masing-masing, atau kewajiban penyimpanan menurut undang-undang berlaku. Setelah itu, data dihapus, dianonimkan, atau dipindahkan ke status arsip yang sesuai dengan status dan tujuannya.

Hal berikut berlaku khususnya untuk Contrima:

Kami umumnya menyimpan log server dan keamanan hanya selama diperlukan untuk keamanan, analisis kesalahan, dan pencegahan penyalahgunaan.
Kami umumnya menyimpan data akun, profil fotografer, faktur, dan data penjual selama hubungan kontrak berlangsung dan setelahnya, sejauh hal ini diperlukan untuk kewajiban penyimpanan yang diatur oleh undang-undang, pembelaan hukum, atau untuk tujuan penyediaan bukti.
Kami menyimpan data klaim, akses, galeri, persetujuan, lisensi, dan pembelian selama diperlukan untuk penanganan kasus, dokumentasi, verifikasi, pembelaan hukum, dan pemenuhan kewajiban hukum.
Gambar asli yang diunggah umumnya disimpan dalam penyimpanan aktif untuk kasus aktif terakhir hingga 90 hari sejak aktivitas signifikan terakhir dan kemudian dipindahkan ke arsip non-publik.
Draf, kasus uji coba, atau kasus lain yang belum diselesaikan dapat dihapus sesuai dengan status produk atau tarif masing-masing.
Data asli yang diarsipkan dapat disimpan tanpa batas waktu di kelas penyimpanan arsip non-publik dalam infrastruktur AWS, termasuk AWS S3 Glacier Deep Archive, asalkan tidak ada alasan hukum atau kontrak untuk penghapusan.
Data verifikasi, perjanjian, audit, thumbnail, sidik jari, hash, penagihan, dan dokumentasi lainnya dapat tetap disimpan untuk jangka waktu yang lebih lama atau secara terpisah, terlepas dari ketersediaan aktif gambar asli.

Objek yang diarsipkan dalam kelas penyimpanan Deep Archive tidak dapat diakses publik; dan umumnya tidak dapat diakses secara real time; proses pemulihan terpisah mungkin diperlukan untuk mengaksesnya kembali.

19. Hak Anda

Dalam kerangka persyaratan hukum, Anda memiliki hak-hak berikut ini secara khusus:

Hak akses (Pasal 15 GDPR),
Hak untuk memperbaiki (Pasal 16 GDPR),
Hak untuk penghapusan (Pasal 17 GDPR),
Hak untuk membatasi pemrosesan (Pasal 18 GDPR),
Hak atas portabilitas data (Pasal 20 GDPR),
Hak untuk menolak pemrosesan berdasarkan Pasal 6(1)(f) GDPR (Pasal 21 GDPR),
Hak untuk menarik persetujuan kapan saja dengan efek untuk masa depan.

20. Hak untuk mengajukan keluhan kepada otoritas pengawas

Anda berhak mengajukan keluhan kepada otoritas pengawas perlindungan data, khususnya di Negara Anggota tempat tinggal biasa Anda, tempat kerja Anda, atau tempat dugaan pelanggaran terjadi. Otoritas yang berwenang untuk kantor terdaftar kami adalah:

Komisaris Negara Bagian untuk Perlindungan Data dan Kebebasan Informasi di Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Situs web: baden-wuerttemberg.datenschutz.de

21. Perubahan pada Kebijakan Privasi ini

Kami dapat mengubah kebijakan privasi ini, jika situasi hukum, layanan, layanan pembayaran, prosedur penyimpanan dan pengarsipan, atau praktik pemrosesan data berubah. Versi yang dipublikasikan di halaman ini pada waktu tertentu akan berlaku.

22. Kewajiban untuk memberikan data

Anda umumnya tidak diwajibkan untuk memberikan data pribadi hanya untuk mengunjungi situs web untuk tujuan informasi. Namun, jika Anda menggunakan titik akses atau galeri, mengirimkan pernyataan, melakukan pembelian atau mengaktifkan fungsi penjual/pencairan, beberapa detail diperlukan untuk menyediakan layanan yang relevan, memproses transaksi, menangani pembayaran, melakukan pencairan, atau memenuhi kewajiban hukum.

23. Tidak ada pengambilan keputusan yang sepenuhnya otomatis

Pengambilan keputusan yang sepenuhnya otomatis, termasuk profilasi sesuai dengan Pasal 22 GDPR, saat ini tidak dilakukan. Namun, mekanisme keamanan, penipuan, risiko, atau kepatuhan dapat mengakibatkan akses, unggahan, publikasi, pembayaran, atau penarikan dana dibatasi sementara dan kemudian diperiksa secara manual.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.