Privaatsus

Käesolev andmekaitse tekst selgitab, kuidas Contrima töötleb isikuandmeid fotograafi kontode, osalejate ja juurdepääsuprotsesside, galeriide, kommunikatsiooni, dokumentatsiooni ning kingitus-, vahetus, müügi- ja litsentsiprotsesside, sealhulgas nendega seotud makse- ja väljamaksmisprotsesside puhul. See annab ülevaate andmesubjektide eesmärkidest, protsessidest, kaitsemeetmetest ja õigustest. Ingliskeelne versioon on autoriteetne; tõlked on esitatud üksnes arusaadavuse huvides.

Versioon v3 · Avaldatud 04.05.2026, 09:12 · Räsitud f00fe99c5db7

Privaatsus

1. Keel ja tõlked

Käesolev privaatsuspoliitika on kättesaadav mitmes keeles. Ingliskeelne versioon on autoriteetne. Tõlked on esitatud ainult selguse huvides. Andmesubjekti tavalise elukoha õigusaktidest tulenevad kohustuslikud õigused jäävad muutumatuks.

2. Andmete vastutav töötleja

Andmete vastutav töötleja üldise andmekaitsemääruse (GDPR) tähenduses on:
Mark Reinhardt (füüsilisest isikust ettevõtja)
„Contrima” on Mark Reinhardti pakutav
teenus. E-post: info@contrima.com

3. Ülevaade: milliseid andmeid me töötleme ja miks

Me töötleme isikuandmeid, et pakkuda Contrima teenust tehnilisest seisukohast, tagada teenuse turvalisus ja edasiarendamine ning teostada ja dokumenteerida protsesse, mis on seotud fotograafide, galeriide, heakskiitmiste, kingituste, vahetuste, müügiga, litsentsimise, ostude, tellimuste, müüjate ja maksetega.

See hõlmab eelkõige andmeid veebisaidi toimimisest, kasutajakontodest ja fotograafide profiilidest, QR- ja juurdepääsusüsteemidest, nõuete esitamise ja galerii protsessidest, eelvaate, avaldamise, heakskiitmise, nõusoleku, litsentsimise ja ostuprotseduuridest, suhtlusest, samuti arveldamisest, maksete töötlemisest, müüjate registreerimisest, kontrollimisest, väljamaksetest, arhiveerimisest ja andmete säilitamisest.

Me töötleme isikuandmeid eelkõige järgmistel õiguslikel alustel:

GDPRi artikli 6 lõike 1 punkt b (leping / lepingueelsed meetmed),
GDPR artikli 6 lõike 1 punkt c (õiguslik kohustus),
GDPR artikli 6 lõike 1 punkt f (õigustatud huvid, nt turvaline ja stabiilne teenuse osutamine, kuritarvituste ja pettuste avastamine, jälgitavus, õiguskaitse, arhiveerimine ja usaldusväärne maksete töötlemine),
GDPR artikli 6 lõike 1 punkt a (nõusolek, kui see on üksikjuhtudel vajalik).

Kui töötleme andmeid nõusoleku alusel, võite oma nõusoleku igal ajal tulevikus kehtivaks tühistada.

Contrima töötleb teatavaid andmeid iseseisva vastutava töötlejana, eelkõige platvormi toimimise, turvalisuse, suhtluse, arvelduse, müüja/väljamaksete protsesside, dokumenteerimise, kontrollimise ja arhiveerimise eesmärgil. Kui Contrima täidab üksikuid ülesandeid vastava fotograafi nimel, toimub töötlemine igal juhul seadusega sätestatud raamides.

4. Hosting ja salvestusinfrastruktuur (AWS, Iirimaa piirkond)

Contrima tegutseb AWS Iirimaa (EL) piirkonnas. Veebisaidile juurdepääsu või platvormi kasutamise käigus tekkinud andmeid töödeldakse meie hosting-teenuse pakkuja süsteemides.

Hostinguteenuse pakkuja (andmetöötleja):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg („AWS”)

Pildifailide, eelvaatefailide, galerii sisu, proovifailide ja arhiivimaterjalide säilitamiseks võidakse AWS-i infrastruktuuris kasutada erinevaid salvestus- ja arhiivisalvestusklasse, sealhulgas mitteavalikke arhiivisalvestusklasse, nagu AWS S3 Glacier Deep Archive.

5. Juurdepääsuandmed / serveri logifailid

Iga kord, kui veebisaidile või platvormile pääsetakse, töötleb veebiserver automaatselt teavet nn serveri logifailides. See võib hõlmata eelkõige:

IP-aadressi (või tehniliselt samaväärset identifikaatorit),
päringu kuupäeva ja kellaaja,
külastatud leht/fail (URL/tee),
viitaja URL,
brauseri tüüp/versioon ja operatsioonisüsteem,
staatuskoodid/veateated,
edastatud andmete maht.

Töötlemise eesmärk on veebisaidi ja platvormi tehniline toimimine, stabiilsus ja turvalisus (nt veaanalüüs, rünnakute tõrje, väärkasutuse avastamine ja turvalisusega seotud juurdepääsu auditeerimine). Õiguslik alus on GDPRi artikli 6 lõike 1 punkt f.

Logifailid säilitatakse ainult nii kaua, kui on vajalik nimetatud eesmärkide saavutamiseks, ja seejärel kustutatakse või anonüümistatakse, eeldusel, et edasine säilitamine ei ole vajalik tõendite kogumiseks (nt turvalisusega seotud intsidentide korral).

6. Krüpteerimine (TLS/SSL)

Turvalisuse tagamiseks kasutame andmete edastamise krüpteerimist (TLS/SSL), et tagada edastatava sisu parim võimalik kaitse. Pange siiski tähele, et andmete edastamisel interneti kaudu võivad esineda turvaaukud.

7. Küpsised ja sarnased tehnoloogiad

Meie veebisait ja platvorm võivad kasutada küpsiseid või sarnaseid tehnoloogiaid. Me eristame järgmisi:

tehniliselt vajalikud küpsised või sarnased mehhanismid (nt seansiküpsised sisselogimise, keele, navigeerimise, turvalisuse ja tokenite kontekstis),
Vabatahtlikud küpsised/tööriistad, mida kasutatakse ainult teie nõusolekul, kui see on vajalik.

Tehniliselt vajalikud küpsised on vajalikud veebisaidi ja platvormi pakkumiseks. Nende salvestamise/lugemise õiguslik alus lõppseadmetes on TDDDG § 25 lõike 2 punkt 2; isikuandmete edasine töötlemine toimub vastavalt GDPR artikli 6 lõike 1 punktile f või GDPR artikli 6 lõike 1 punktile b, kui funktsioon on vajalik lepingu täitmiseks või konkreetse töövoo teostamiseks.

Kui tulevikus kasutatakse analüüsi-, turundus- või muid nõusolekut nõudvaid vahendeid, muudame käesolevat privaatsuspoliitikat ja – vajaduse korral – küsime eelnevalt nõusolekut.

8. Kasutajakonto, fotograafi profiil ja müüja konto

Kui pakume võimalust luua kasutajakonto või sisse logida, töötleme selleks vajalikke andmeid (nt e-posti aadress, sisselogimise andmed, tehnilised seanssiandmed, keelesätted, ajavöönd, profiiliandmed ja turvateave), et pakkuda kasutajakontot, võimaldada sisselogimist, haldada profiili ja tagada süsteemi turvalisus.

Fotograafi profiilide puhul võidakse töödelda ka täiendavaid profiili-, portfelli-, esitlus-, arveldus-, müüja-, maksu-, tellimus-, salvestus- ja hinnastamisandmeid, kui need funktsioonid on pakutud või aktiveeritud.

Õiguslik alus on üldjuhul GDPRi artikli 6 lõike 1 punkt b ja GDPRi artikli 6 lõike 1 punkt f (turvalisuse huvid, väärkasutuse ennetamine, süsteemi stabiilsus).

Märkus: Paroolid ei salvestata tavatekstina, vaid üldjuhul hash-väärtusena (tehniline turvameede).

9. Fotografeeritud isikute, saajate ja muude andmesubjektidega seotud andmed

Contrima töötleb ka pildistatud isikute, vastuvõtjate, ostjate ja muude andmesubjektide isikuandmeid seoses üleslaadimistega, galeriiülesannetega, juurdepääsuprotsessidega, eelvaadetega, avaldamistega, heakskiitmistega, nõusolekutega, litsentsimisega, ostudega ja konkreetsete juhtumite dokumenteerimisega.

Sellised andmed võivad pärineda otse andmesubjektilt; (nt kui ta avab juurdepääsupunkti, esitab e-posti aadressi, valib keele, teeb avalduse või sooritab ostu) või jõuda meieni kaudselt fotograafi või teiste asjaosaliste kaudu; (nt pildifailide üleslaadimise, ülesandeandmete, kontaktandmete, QR-kaartide, galerii viidete või juhtumiinfo kaudu).

Olenevalt juhtumist töödeldakse eelkõige järgmisi andmeid: pildifailid, tööülesande ja juhtumi andmed, kontaktandmed, keele- ja seadmekontekstid, staatuse andmed, deklaratsiooni- ja lepingud andmed, samuti kontrolli- ja auditiandmed.

Alaealiste ja esindajatega seotud juhtudel võidakse töödelda ka rolliandmeid, volituste ja esindamise kinnitusi, alaealise ja volitava täiskasvanu vahelisi ülesandeid, ajamärke, suhtlusandmeid, kontrolliandmeid ning ostu, makse, aktiveerimise või tarne staatuse andmeid, kuivõrd see on vajalik vastava töövoo jaoks.

Kui isikuandmeid ei koguta otse andmesubjektilt, täidame GDPRi artikli 14 kohased teavitamiskohustused seadusega nõutavas ulatuses. Fotografeerimise ja esmase üleslaadimise õiguslik lubatavus sõltub konkreetsest üksikjuhtumist ja fotograafi vastutusest.

10. QR-koodid, juurdepääsusüsteem, nõudmised ja isiklikud juurdepääsulinkid

Contrima võib pakkuda QR-koode, avalikke juurdepääsukoode, isiklikke juurdepääsulinke, juurdepääsutokeneid, keelekontekste ja sarnaseid juurdepääsusüsteeme, et võimaldada pildistatud isikutel, saajatel, ostjatel või muudel asjaosalistel juurdepääsu osalejate lehtedele, galeriidele, eelvaadetele, heakskiitmisele, nõusolekule või ostuprotsessidele.

Sellega seoses töötleme eelkõige avalikke või isiklikke koode, tokenite väärtusi, eelistatud keelt, ajamärke, nõudmise staatust, uuesti saatmise sündmusi, seansi- või brauseri märgiseid, turvateavet ja vastavas protsessis esitatud e-posti aadressi.

Kui alaealised kasutavad isiklikku juurdepääsu või taotlemis-, autoriseerimis-, litsentsimis- või ostuprotsessi, võidakse alaealise enda osalemine ja vanema, eestkostja või muu volitatud täiskasvanu nõutav luba dokumenteerida eraldi.

Selle töötlemise eesmärk on tagada turvaline juurdepääs, konkreetse juhtumi määramine, väärkasutuse vältimine, isikustatud linkide edastamine, keelele vastava kuvamise tagamine, ning vastava töövoo tehniliste ja organisatsiooniliste aspektide täitmine. Õiguslik alus on GDPR artikli 6 lõike 1 punkt b ja GDPR artikli 6 lõike 1 punkt f.

Neutraalsetes kordusvaadetes võime kuvada kontaktandmeid maskeeritud kujul ja turvalisuse põhjustel ei saa me otsest juurdepääsu uuesti avaldada.

11. Galeriid, eelvaated, avaldamised ja lepingud

Galerii- ja litsentside kontekstis töötleme eelkõige teavet järgmiste asjade kohta: juhtumid, galeriid, osalejate ülesanded, pildivariandid, eelvaated, vesimärgid, avaldamistasemed, aktiveerimised, ost, heakskiitmine, volitamine ja nõusoleku staatus, samuti konkreetsele juhtumile valitud paketid või pakkumised.

Dokumenteerimise ja kontrollimise eesmärgil võime salvestada ka: kehtiva paketi versiooni, kuvatava tekstiversiooni, keele, ajamärgi, kasutatud e-posti aadressi, portaali või juurdepääsutunnuse konteksti ning muud tehniliselt vajalikud auditeerimisandmed. PDF- või sarnased lepingud ja kontrollidokumendid võivad olla loodud, salvestatud ja kättesaadavaks tehtud asjaosalistele.

Selle töötlemise eesmärk on vastava juhtumi käsitlemine, eelvaadete kuvamine, juurdepääsu aktiveerimine pärast nõusoleku andmist või makse sooritamist, deklaratsioonide ja lepingute dokumenteerimine, õiguste ulatuse kontrollimine ning õiguskaitse. Õiguslik alus on olenevalt juhtumist GDPRi artikli 6 lõike 1 punkt b, GDPRi artikli 6 lõike 1 punkt f, GDPRi artikli 6 lõike 1 punkt c ja, vajaduse korral üksikjuhtumites, GDPRi artikli 6 lõike 1 punkt a.

12. Meiega ühenduse võtmine

Kui võtate meiega ühendust e-posti teel, töötleme teie esitatud andmeid ( nt nimi, e-posti aadress, sõnumi sisu), et teie päringut käsitleda.

Õiguslik alus on GDPRi artikli 6 lõike 1 punkt b; (kui tegemist on (eel)lepingulise suhtlusega) või GDPRi artikli 6 lõike 1 punkt f; (üldised päringud; õigustatud huvi tõhusa suhtluse vastu).

Kontaktivorm: Kui on olemas kontaktivorm, töötleme seal kogutud andmeid ainult päringu käsitlemise eesmärgil. Käesolevat privaatsuspoliitikat uuendatakse vajaduse korral, nt kui rakendatakse täiendavaid teenuseid, nagu rämpsposti kaitse.

13. Uudiskiri

Kui pakume tulevikus uudiskirja, muudame käesolevat privaatsuspoliitikat ja avalikustame eelkõige läbipaistvalt postiteenuse pakkuja, topeltkinnituse protseduuri, kõik tulemusnäitajad ja loobumisvõimalused.

14. E-kirjade saatmine AWS SES-i kaudu

Me kasutame süsteemi- ja tehingute-e-kirjade saatmiseks Amazon Simple Email Service'i (AWS SES); (nt kinnitused, isiklikud juurdepääsulinkid, sõnumite uuesti saatmine, galerii- või kohtumisteated, ostu- või makseinfo, arve- või müüja/väljamakse teated); me kasutame Amazon Simple Email Service'i (AWS SES).

Eelkõige töödeldakse e-posti aadressi, vajaduse korral nime, keelekonteksti ja e-kirja tehnilisi metaandmeid (nt kättetoimetamise teave).

Õiguslik alus on GDPRi artikli 6 lõike 1 punkt b, GDPRi artikli 6 lõike 1 punkt c ja/või GDPRi artikli 6 lõike 1 punkt f.

15. Maksed, tellimused, Stripe ja Stripe Connect

Kui kasutatakse tasulisi teenuseid, tellimusi, salvestuspakette, piltide või litsentside ostmist, müüja kontosid või väljamaksefunktsioone, töötleme selleks vajalikke arveldus-, tehingu- ja kontrollandmeid.

See võib hõlmata eelkõige:

nime, aadressi, e-posti aadressi ja arveldusandmeid,
ostetud või broneeritud teenused, summad, valuutad ja makse staatus,
arve-, tagasimakse-, vaidlustus-, tagasimakse- ja väljamakseandmed
ning müüja- või väljamaksefunktsioonide puhul täiendavaid ettevõtte-, õigusvormi-, maksu-, panga- ja kontrolliandmeid, samuti vajaduse korral volitatud esindajate või tegelike omanike andmeid.

Maksete töötlemiseks, tellimuste haldamiseks, müüjate registreerimiseks ja väljamaksete tegemiseks kasutame eelkõige Stripe'i ja Stripe Connecti. Kui te esitate isikuandmeid seoses makseteenustega, saab Stripe need andmed kätte ja töötleb neid vastavalt Stripe'i privaatsuspoliitikale.

Selle töötlemise eesmärgid on maksete töötlemine, lepingu täitmine, arveldamine, õiguslike kohustuste täitmine, pettuste ja kuritarvituste ennetamine, müüja kontrollimine ja väljamaksete teostamine. Õiguslik alus on GDPRi artikli 6 lõike 1 punkt b, GDPRi artikli 6 lõike 1 punkt c, GDPRi artikli 6 lõike 1 punkt f ja, vajaduse korral, GDPRi artikli 6 lõike 1 punkt a.

Alaealiste poolt algatatud või nendega seotud ostude või makseprotsesside puhul võidakse töödelda ka täiendavat teavet makse tegija, heakskiitja või volitatud täiskasvanu kohta, samuti heakskiitmise, volitamise, tagasimaksete või tagasikandeid puudutavaid staatuse- ja kontrollandmeid.

Digitaalsete piltide või digitaalsete kasutusõiguste kohese pakkumise korral võidakse töödelda ka kinnitusi teenuse kohese pakkumise alguse, taganemisõiguse lõppemise, esindaja heakskiidu kohta, samuti seotud aegu, tekstiversioone, keeleversioone, tehnilisi tõendeid ja auditiandmeid.

16. Andmete vastuvõtjad / andmetöötlejad / sõltumatud vastutavad töötlejad

Me kaasame teenusepakkujaid, kes töötlevad andmeid meie nimel (andmete töötlemine vastavalt GDPR-i artiklile 28), ning edastame andmeid ka asutustele, mis võivad asjaomases kontekstis tegutseda sõltumatute vastutavate töötlejatena.

Nende hulka kuuluvad eelkõige:

Amazon Web Services EMEA SARL – hosting, salvestus- ja infrastruktuuriteenused,
Amazon Web Services (AWS SES) – e-kirjade saatmine,
Stripe / Stripe Connect – maksete töötlemine, müüjate registreerimine, kontrollimine ja väljamaksed,
Fotograafid, ostjad, pildistatud isikud, kauba vastuvõtjad või muud asjaosalised, niivõrd kui see on vajalik konkreetse juhtumi, galerii, ostu, lepingu täitmiseks või tõendite esitamiseks,
maksunõustajad, õigusnõustajad, pangad, riigiasutused või muud asutused, niivõrd kui see on vajalik lepingu täitmiseks, õiguste kaitsmiseks või juriidiliste kohustuste täitmiseks.

17. Edastamine kolmandatesse riikidesse

Kui AWS-i, AWS SES-i, Stripe'i või muude kasutatavate teenuste raames edastatakse isikuandmeid Euroopa Majanduspiirkonna (EMP) välistesse riikidesse, tehakse seda ainult vastavalt GDPR-i artiklite 44 jj nõuetele, nt asjakohaste kaitsemeetmete, nagu standardlepingutingimuste ja/või muude tunnustatud kaitsemehhanismide alusel.

18. Säilitamisperiood ja arhiveerimine

Me töötleme ja säilitame isikuandmeid ainult niikaua, kui see on vajalik vastavate eesmärkide saavutamiseks või kui kehtivad seadusjärgsed säilitamiskohustused. Seejärel andmed kustutatakse, anonüümistatakse või viiakse üle arhiivi, mis vastab nende staatusele ja eesmärgile.

Contrima puhul kehtib eelkõige järgmine:

Üldjuhul säilitame serveri- ja turvalogisid ainult nii kaua, kui see on vajalik turvalisuse tagamiseks, vigade analüüsimiseks ja väärkasutuse vältimiseks.
Me säilitame kontodata, fotograafide profiile, arve- ja müüjaandmeid üldjuhul lepingulise suhte kestuse ajal ja ka pärast seda, kui see on vajalik seadusjärgsete säilitamiskohustuste täitmiseks, õiguskaitseks või tõendite esitamiseks.
Me säilitame nõude-, juurdepääsu-, galerii-, nõusoleku-, litsentsi- ja ostuandmeid nii kaua, kui see on vajalik juhtumi käsitlemiseks, dokumenteerimiseks, kontrollitavuse tagamiseks, õiguskaitseks ja seadusjärgsete kohustuste täitmiseks.
Üleslaaditud originaalpildid säilitatakse aktiivselt lõpetamata juhtumite puhul üldjuhul kuni 90 päeva alates viimasest olulisest tegevusest ning seejärel viiakse need üle mitteavalikku arhiivi.
Eelnõud, testjuhtumid või muud lõpetamata juhtumid, mis ei ole lõpule viidud, võidakse kustutada vastavalt asjaomase toote staatusele või tariifile.
Arhiveeritud originaalandmed võivad jääda piiramatu ajaks säilitatavaks AWS-i infrastruktuuri mitteavalikesse arhiiviklassidesse, sealhulgas AWS S3 Glacier Deep Archive'i, tingimusel et nende kustutamiseks puuduvad õiguslikud või lepingulised alused.
Kinnitamis-, kokkuleppe-, auditi-, pisipildi-, sõrmejälje-, hash-, arveldus- ja muud dokumenteerimisandmed võivad jääda säilitatavaks pikemaks ajaks või eraldi, sõltumata originaalpiltide aktiivse kättesaadavusest.

Deep Archive salvestusklassides arhiveeritud objektid ei ole avalikult kättesaadavad; ja neile ei ole üldjuhul reaalajas juurdepääsu; taasjuurdepääsuks võib olla vaja eraldi taastamisprotsessi.

19. Teie õigused

Õiguslike nõuete raames on teil eelkõige järgmised õigused:

Juurdepääsuõigus (GDPR artikkel 15),
Õigus andmete parandamisele (GDPR artikkel 16),
õigus andmete kustutamisele (GDPR artikkel 17),
õigus töötlemise piiramisele (GDPR artikkel 18),
Andmete ülekandmise õigus (GDPR artikkel 20),
Õigus esitada vastuväiteid töötlemisele GDPRi artikli 6 lõike 1 punkti f alusel (GDPRi artikkel 21),
Õigus nõusolek igal ajal tulevikus kehtivaks tühistada.

20. Õigus esitada kaebus järelevalveasutusele

Teil on õigus esitada kaebus andmekaitse järelevalveasutusele, eelkõige liikmesriigis, kus on teie alaline elukoht, töökohas või väidetava rikkumise toimumiskohas. Meie registrijärgse asukoha pädev asutus on:

Baden-Württembergi andmekaitse ja teabevabaduse riiklik volinik (LfDI BW)
Postkast 10 29 32
70025 Stuttgart
E-post: poststelle@lfdi.bwl.de
Veebisait: baden-wuerttemberg.datenschutz.de

21. Muudatused käesolevas privaatsuspoliitikas

Me võime käesolevat privaatsuspoliitikat muuta, kui muutuvad õiguslik olukord, teenused, makseteenused, salvestamis- ja arhiveerimisprotseduurid või andmetöötluspraktikad. Kehtib igal ajal sellel lehel avaldatud versioon.

22. Andmete esitamise kohustus

Te ei ole üldjuhul kohustatud esitama isikuandmeid pelgalt veebisaidi külastamiseks teabe saamise eesmärgil. Kuid kui te kasutate juurdepääsupunkti või galeriid, esitate avalduse, teete ostu või aktiveerite müüja-/väljamaksefunktsioone, on teatud andmed vajalikud asjaomase teenuse osutamiseks, tehingu töötlemiseks, maksete käitlemiseks, väljamaksete tegemiseks või õiguslike kohustuste täitmiseks.

23. Täielikult automatiseeritud otsuste tegemine puudub

Täielikult automatiseeritud otsuste tegemist, sealhulgas profiilide koostamist GDPRi artikli 22 tähenduses, praegu ei toimu. Siiski võivad turvalisuse, pettuse, riski või nõuetele vastavuse mehhanismid põhjustada juurdepääsu, üleslaadimiste, avaldamiste, maksete või väljamaksete ajutist piiramist ja sellele järgnevat käsitsi kontrollimist.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.