Konfidencialitāte

Šajā datu aizsardzības tekstā ir izskaidrots, kā Contrima apstrādā personas datus fotogrāfu kontos, dalībnieku un piekļuves procesos, galerijās, saziņā, dokumentācijā, kā arī dāvināšanas, apmaiņas, pārdošanas un licenču procesos, tostarp saistītajos maksājumu un izmaksu procesos. Tajā sniegts pārskats par datu subjektu mērķiem, procesiem, aizsardzības pasākumiem un tiesībām. Angļu valodas versija ir autoritatīva; tulkojumi ir sniegti tikai ērtākai izpratnei.

Versija v3 · Publicēts 04.05.2026, 09:12 · Hash f00fe99c5db7

Privātums

1. Valoda un tulkojumi

Šī privātuma politika ir pieejama vairākās valodās. Angļu valodas versija ir noteicošā. Tulkojumi ir sniegti vienīgi skaidrības labad. Datu subjekta parastās dzīvesvietas likumos noteiktās obligātās tiesības paliek nemainīgas.

2. Datu pārziņš

Datu pārziņš Vispārīgās datu aizsardzības regulas (GDPR) izpratnē ir:
Mark Reinhardt (individuālais komersants)
"Contrima" ir pakalpojums, ko sniedz Mark Reinhardt
E-pasts: info@contrima.com

3. Pārskats: Kādus datus mēs apstrādājam un kāpēc

Mēs apstrādājam personas datus, lai nodrošinātu Contrima darbību no tehniskā viedokļa, lai nodrošinātu un turpinātu attīstīt pakalpojumu, kā arī lai veiktu un dokumentētu procesus, kas saistīti ar fotogrāfiem, galerijām, apstiprinājumiem, dāvanām, apmaiņām, pārdošanu, licencēšanu, pirkumiem, abonementiem, pārdevējiem un maksājumiem.

Tas jo īpaši ietver datus no tīmekļa vietnes darbības, no lietotāju kontiem un fotogrāfu profiliem, no QR un piekļuves sistēmām, pieprasījumu un galeriju procesiem, no priekšskatīšanas, publicēšanas, apstiprināšanas, piekrišanas, licencēšanas un pirkšanas procedūrām, no saziņas, kā arī no rēķinu izrakstīšanas, maksājumu apstrādes, pārdevēju reģistrācijas, verifikācijas, izmaksām, arhivēšanas un uzskaites.

Mēs apstrādājam personas datus, jo īpaši pamatojoties uz šādiem juridiskajiem pamatiem:

GDPR 6. panta 1. punkta b) apakšpunkts (līgums / pirmsslēgšanas pasākumi),
GDPR 6. panta 1. punkta c) apakšpunkts (juridiskais pienākums),
GDPR 6. panta 1. punkta f) apakšpunkts (leģitīmas intereses, piemēram, droša un stabila pakalpojumu sniegšana, ļaunprātīgas izmantošanas un krāpšanas atklāšana, izsekojamība, tiesiskā aizsardzība, arhivēšana un uzticama maksājumu apstrāde),
GDPR 6. panta 1. punkta a) apakšpunkts (piekrišana, ja tas nepieciešams atsevišķos gadījumos).

Ja mēs apstrādājam datus, pamatojoties uz piekrišanu, jūs varat jebkurā brīdī atsaukt savu piekrišanu ar spēkā stāšanos nākotnē.

Contrima kā datu pārziņa pati apstrādā noteiktus datus, jo īpaši platformas darbības, drošības, saziņas, rēķinu izrakstīšanas, pārdevēju/izmaksu procesu, dokumentācijas, pārbaudes un arhivēšanas nolūkā. Ja Contrima veic atsevišķas funkcijas attiecīgā fotogrāfa vārdā, apstrāde notiek katrā gadījumā likumā paredzētajā ietvarā.

4. Hostinga un uzglabāšanas infrastruktūra (AWS, Īrijas reģions)

Contrima darbojas AWS Īrijas (ES) reģionā. Dati, kas tiek ģenerēti, piekļūstot tīmekļa vietnei vai izmantojot platformu, tiek apstrādāti mūsu hostinga pakalpojumu sniedzēja sistēmās.

Hostinga pakalpojumu sniedzējs (datu apstrādātājs):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

Attēlu datu, priekšskatījuma failu, galerijas satura, korektūras failu un arhīva krājumu uzglabāšanai AWS infrastruktūrā var tikt izmantotas dažādas uzglabāšanas un arhīva uzglabāšanas klases, tostarp nepieejamas arhīva uzglabāšanas klases, piemēram, AWS S3 Glacier Deep Archive.

5. Piekļuves dati / servera žurnāla faili

Katru reizi, kad tiek apmeklēta tīmekļa vietne vai platforma, tīmekļa serveris automātiski apstrādā informāciju tā sauktajos servera žurnāla failos. Tas var ietvert, jo īpaši:

IP adresi (vai tehniski līdzvērtīgu identifikatoru),
pieprasījuma datumu un laiku,
apmeklēto lapu/failu (URL/ceļš),
atsauces URL,
pārlūka veidu/versiju un operētājsistēmu,
statusa kodi/kļūdu ziņojumi,
pārsūtīto datu apjoms.

Apstrādes mērķis ir nodrošināt tīmekļa vietnes un platformas tehnisko darbību, stabilitāti un drošību (piemēram, kļūdu analīze, aizsardzība pret uzbrukumiem, ļaunprātīgas izmantošanas atklāšana un ar drošību saistītas piekļuves pārbaude). Juridiskais pamats ir VDAR 6. panta 1. punkta f) apakšpunkts.

Logs faili tiek glabāti tikai tik ilgi, cik nepieciešams minētajiem mērķiem, un pēc tam tiek dzēsti vai anonimizēti, ja vien nav nepieciešama turpmāka glabāšana pierādījumu nolūkos (piemēram, drošības incidentu gadījumā).

6. Šifrēšana (TLS/SSL)

Drošības apsvērumu dēļ mēs izmantojam transporta šifrēšanu (TLS/SSL), lai nodrošinātu iespējami labāko pārraidītā satura aizsardzību. Tomēr lūdzu ņemiet vērā, ka datu pārraidei internetā joprojām var būt drošības ievainojamības.

7. Sīkdatnes un līdzīgas tehnoloģijas

Mūsu tīmekļa vietne un platforma var izmantot sīkdatnes vai līdzīgas tehnoloģijas. Mēs izšķiram:

tehniski nepieciešamajām sīkdatnēm vai līdzīgām tehnoloģijām (piemēram, sesijas sīkdatnes pieteikšanās, valodas, navigācijas, drošības un tokena kontekstā),
Neobligātās sīkdatnes/rīki, kurus izmanto tikai ar jūsu piekrišanu, ja nepieciešams.

Tehniski nepieciešamās sīkdatnes ir nepieciešamas, lai nodrošinātu tīmekļa vietnes un platformas darbību. Juridiskais pamats to uzglabāšanai/lasīšanai galiekārtās ir TDDDG 25. panta 2. punkta 2. apakšpunkts; turpmākā personas datu apstrāde notiek, pamatojoties uz GDPR 6. panta 1. punkta f) apakšpunktu vai GDPR 6. panta 1. punkta b) apakšpunktu, ja funkcija ir nepieciešama līguma izpildei vai konkrētas darba plūsmas izpildei.

Ciktāl nākotnē tiks izmantoti analīzes, mārketinga vai citi rīki, kam nepieciešama piekrišana, mēs grozīsim šo privātuma politiku un – ja nepieciešams – iepriekš iegūsim piekrišanu.

8. Lietotāja konts, fotogrāfa profils un pārdevēja konts

Ja mēs piedāvājam iespēju izveidot lietotāja kontu vai pieteikties, mēs apstrādājam šim nolūkam nepieciešamos datus (piemēram, e-pasta adresi, pieteikšanās datus, tehniskos sesijas datus, valodas iestatījumus, laika zonu, profila datus un drošības informāciju), lai nodrošinātu lietotāja kontu, ļautu pieteikties, pārvaldītu profilu un nodrošinātu sistēmas drošību.

Attiecībā uz fotogrāfu profiliem var tikt apstrādāti arī papildu profila, portfeļa, izstādes, rēķinu izrakstīšanas, pārdevēja, nodokļu, abonementa, uzglabāšanas un cenu dati, cik vien šīs funkcijas tiek piedāvātas vai aktivizētas.

Juridiskais pamats parasti ir GDPR 6. panta 1. punkta b) apakšpunkts un GDPR 6. panta 1. punkta f) apakšpunkts (drošības intereses, ļaunprātīgas izmantošanas novēršana, sistēmas stabilitāte).

Piezīme: paroles netiek glabātas nešifrētā veidā, bet parasti tiek glabātas kā hash vērtība (tehniskā drošības procedūra).

9. Dati par fotografētajām personām, saņēmējiem un citām datu subjektām

Contrima apstrādā arī fotografēto personu,

Šādi dati var būt iegūti tieši no datu subjekta; (piemēram, kad viņš atver piekļuves punktu, norāda e-pasta adresi, izvēlas valodu, sniedz paziņojumu vai veic pirkumu) vai nonākt pie mums netieši caur fotogrāfu vai citām iesaistītajām pusēm; (piemēram, augšupielādējot attēlu failus, uzdevumu datus, kontaktinformāciju, QR kartes, galerijas atsauces vai lietas informāciju).

Atkarībā no gadījuma tiek apstrādāti jo īpaši šādi dati: attēlu faili, uzdevuma un lietas informācija, kontaktinformācija, valodas un ierīču konteksti, statusa dati, deklarācijas un līguma dati, kā arī pārbaudes un audita informācija.

Gadījumos, kas saistīti ar nepilngadīgajiem un pārstāvjiem, var tikt apstrādāti arī lomas dati, pilnvarojuma un pārstāvības apstiprinājumi, uzdevumi starp nepilngadīgo un pilnvaroto pieaugušo, laika zīmogi, saziņas dati, verifikācijas dati un statusa informācija par pirkumu, maksājumu, aktivizēšanu vai piegādi, ciktāl tas ir nepieciešams attiecīgajam darba procesam.

Ja personas dati netiek vākti tieši no datu subjekta, mēs pildām GDPR 14. pantā noteiktās informācijas sniegšanas saistības tādā apjomā, kā to prasa likums. Fotogrāfijas uzņemšanas un sākotnējās augšupielādes juridiskā pieļaujamība atkarīga no konkrētā individuālā gadījuma un fotogrāfa atbildības.

10. QR kodi, piekļuves sistēma, pieprasījumi un personīgās piekļuves saites

Contrima var nodrošināt QR kodus, publiskos piekļuves kodus, personīgās piekļuves saites, piekļuves žetonus, valodu kontekstus un līdzīgas piekļuves sistēmas, lai ļautu fotografētajām personām, saņēmējiem, pircējiem vai citām iesaistītajām pusēm piekļūt dalībnieku lapām, galerijām, priekšskatījumiem, apstiprināšanas, piekrišanas vai pirkšanas procesiem.

Tādējādi mēs apstrādājam jo īpaši publiskos vai personīgos kodus, žetonu vērtības, vēlamo valodu, laika zīmogus, pieprasījuma statusu, atkārtotas nosūtīšanas notikumus, sesijas vai pārlūka marķierus, drošības informāciju un e-pasta adresi, kas norādīta attiecīgajā plūsmā.

Ja nepilngadīgie izmanto personīgo piekļuvi vai pieprasījuma, autorizācijas, licencēšanas vai pirkuma procesu, nepilngadīgā paša iesaistīšanās un nepieciešamā vecāka vai aizbildņa vai cita pilnvarota pieaugušā atļauja var tikt dokumentēta atsevišķi.

Šī apstrāde kalpo, lai droši nodrošinātu piekļuvi, piešķirtu konkrētu lietu, novērstu ļaunprātīgu izmantošanu, piegādātu personalizētus saites, nodrošinātu valodai atbilstošu attēlojumu, un veiktu attiecīgā darba plūsmas tehniskos un organizatoriskos aspektus. Juridiskais pamats ir GDPR 6. panta 1. punkta b) apakšpunkts un GDPR 6. panta 1. punkta f) apakšpunkts.

Neitrālās atkārtotās apskatēs mēs varam parādīt kontaktinformāciju maskētā veidā un drošības apsvērumu dēļ nevaram atkal atklāt tiešo piekļuvi.

11. Galerijas, priekšskatījumi, publikācijas un līgumi

Saistībā ar galerijām un licencēm mēs apstrādājam, jo īpaši, informāciju par: gadījumiem, galerijām, dalībnieku uzdevumiem, attēlu variantiem, priekšskatījumiem, ūdenszīmēm, publicēšanas līmeņiem, aktivizācijām, pirkumiem, apstiprinājumiem, autorizācijām un piekrišanas statusiem, kā arī konkrētajam gadījumam izvēlētajiem pakalpojumu komplektiem vai piedāvājumiem.

Dokumentācijas un pārbaudes nolūkos mēs varam reģistrēt arī: piemērojamo paketes versiju, parādīto teksta versiju, valodu, laika zīmogu, izmantoto e-pasta adresi, portāla vai piekļuves žetona kontekstu un citus tehniski nepieciešamos revīzijas datus. PDF vai līdzvērtīgi līguma un pārbaudes dokumenti var tikt ģenerēti, uzglabāti un darīti pieejami iesaistītajām pusēm.

Šī apstrāde kalpo attiecīgā gadījuma apstrādei, priekšskatījumu parādīšanai, piekļuves aktivizēšanai pēc piekrišanas vai maksājuma veikšanas, deklarāciju un līgumu dokumentēšanai, tiesību apjoma pārbaudei un juridiskai aizstāvībai. Juridiskais pamats, atkarībā no gadījuma, ir GDPR 6. panta 1. punkta b) apakšpunkts, GDPR 6. panta 1. punkta f) apakšpunkts, GDPR 6. panta 1. punkta c) apakšpunkts un, ja nepieciešams atsevišķos gadījumos, GDPR 6. panta 1. punkta a) apakšpunkts.

12. Saziņa ar mums

Ja sazināties ar mums pa e-pastu, mēs apstrādājam jūsu sniegtos datus (piemēram, vārdu, uzvārdu, e-pasta adresi, ziņojuma saturu), lai apstrādātu jūsu pieprasījumu.

Juridiskais pamats ir GDPR 6. panta 1. punkta b) apakšpunkts; (cik vien tas attiecas uz (priekš)līgumisko saziņu) vai GDPR 6. panta 1. punkta f) apakšpunkts; (vispārīgi pieprasījumi; leģitīma interese par efektīvu saziņu).

Kontaktu veidlapas: Ja ir pieejama kontaktu veidlapas, mēs apstrādājam tajā ievāktos datus vienīgi, lai apstrādātu pieprasījumu. Šī privātuma politika tiks atjaunināta pēc nepieciešamības, piemēram, ja tiek ieviesti papildu pakalpojumi, piemēram, aizsardzība pret surogātpastu.

13. Biļetens

Ja nākotnē piedāvāsim jaunumus, mēs grozīsim šo privātuma politiku un, jo īpaši, pārredzami atklāsim pasta pakalpojumu sniedzēju, divkāršās piekrišanas procedūru, jebkādus veiktspējas rādītājus un atteikšanās iespējas.

14. E-pasta sūtīšana, izmantojot AWS SES

Mēs izmantojam Amazon Simple Email Service (AWS SES), lai nosūtītu sistēmas un darījumu e-pastus; (piemēram, apstiprinājumus, personīgās piekļuves saites, atkārtoti nosūtītus ziņojumus, galerijas vai tikšanās paziņojumus, pirkuma vai maksājuma informāciju, rēķinus vai pārdevēja/izmaksas paziņojumus); mēs izmantojam Amazon Simple Email Service (AWS SES).

Konkrēti, tiek apstrādāta e-pasta adrese, attiecīgā gadījumā vārds, uzvārds, valodas konteksts un e-pasta tehniskie metadati (piemēram, piegādes informācija).

Juridiskais pamats ir GDPR 6. panta 1. punkta b) apakšpunkts, GDPR 6. panta 1. punkta c) apakšpunkts un/vai GDPR 6. panta 1. punkta f) apakšpunkts.

15. Maksājumi, abonementi, Stripe un Stripe Connect

Kad tiek izmantoti maksas pakalpojumi, abonementi, uzglabāšanas paketes, attēlu vai licenču iegāde, pārdevēju konti vai izmaksu funkcijas, mēs apstrādājam šim nolūkam nepieciešamos rēķinu izrakstīšanas, darījumu un pārbaudes datus.

Tas var ietvert, jo īpaši:

vārdu, uzvārdu, adresi, e-pasta adresi un rēķinu informāciju,
iegādātos vai rezervētos pakalpojumus, summas, valūtas un maksājuma statusu,
rēķinu izrakstīšanas, atmaksas, strīdu, atgriešanas un izmaksu datus,
un, ja tiek izmantotas pārdevēja vai izmaksu funkcijas, papildu datus par uzņēmumu, juridisko formu, nodokļiem, banku un pārbaudi, kā arī, ja nepieciešams, datus par pilnvarotajiem pārstāvjiem vai faktiskajiem īpašniekiem.

Maksājumu apstrādei, abonementiem, pārdevēju reģistrēšanai un izmaksu funkcijām mēs izmantojam jo īpaši Stripe un Stripe Connect. Ja jūs sniedzat personas datus saistībā ar maksājumu pakalpojumiem, Stripe saņem šos datus un apstrādā tos saskaņā ar Stripe privātuma politiku.

Šī apstrāde kalpo maksājumu apstrādes, līguma izpildes, rēķinu izrakstīšanas, juridisko pienākumu izpildes, krāpšanas un ļaunprātīgas izmantošanas novēršanas, pārdevēja pārbaudes un izmaksu veikšanas mērķiem. Juridiskais pamats ir GDPR 6. panta 1. punkta b) apakšpunkts, GDPR 6. panta 1. punkta c) apakšpunkts, GDPR 6. panta 1. punkta f) apakšpunkts un, ja nepieciešams, GDPR 6. panta 1. punkta a) apakšpunkts.

Ja pirkumus vai maksājumu procesus ierosina vai tajos iesaistās nepilngadīgie, var tikt apstrādāta arī papildu informācija par maksātāju, apstiprinātāju vai pilnvaroto pieaugušo, kā arī dati par statusu un pārbaudi saistībā ar apstiprināšanu, pilnvarošanu, atmaksām vai atgriezumiem.

Gadījumā, ja tiek nekavējoties nodrošināti digitālie attēli vai digitālās lietošanas tiesības, var tikt apstrādāti arī apstiprinājumi par pakalpojuma sniegšanas tūlītēju sākšanu, atteikuma tiesību termiņa beigšanos, pārstāvja apstiprinājumu, kā arī saistītie laiki, teksta versijas, valodu versijas, tehniskie pierādījumi un revīzijas informācija.

16. Saņēmēji / Datu apstrādātāji / Neatkarīgi pārziņi

Mēs piesaistām pakalpojumu sniedzējus, kuri apstrādā datus mūsu vārdā (datu apstrāde saskaņā ar GDPR 28. pantu), kā arī nododam datus iestādēm, kas attiecīgajā kontekstā var darboties kā neatkarīgi pārziņi.

Tie jo īpaši ietver:

Amazon Web Services EMEA SARL – hostings, uzglabāšana un infrastruktūras pakalpojumi,
Amazon Web Services (AWS SES) – e-pasta sūtīšana,
Stripe / Stripe Connect – maksājumu apstrāde, pārdevēju reģistrēšana, verifikācija un izmaksas,
Fotogrāfi, pircēji, fotografētās personas, personas, kas pieņem preces, vai citas iesaistītās puses, ciktāl tas ir nepieciešams konkrēta gadījuma, galerijas, pirkuma, līguma izpildei vai pierādījumu sniegšanai,
Nodokļu konsultanti, juridiskie konsultanti, bankas, valsts iestādes vai citas organizācijas, ciktāl tas ir nepieciešams līguma izpildei, juridisko tiesību īstenošanai vai juridisko pienākumu izpildei.

17. Nodošana trešām valstīm

Ciktāl, izmantojot AWS, AWS SES, Stripe vai citus izmantotos pakalpojumus, personas dati tiek nodoti valstīm ārpus Eiropas Ekonomikas zonas (EEZ), tas tiek darīts tikai saskaņā ar GDPR 44. panta un turpmāko pantu prasībām, piemēram, pamatojoties uz atbilstošiem aizsardzības pasākumiem, piemēram, standarta līguma klauzulām un/vai citiem atzītiem aizsardzības mehānismiem.

18. Uzglabāšanas periods un arhivēšana

Mēs apstrādājam un uzglabājam personas datus tikai tik ilgi, cik ilgi tas ir nepieciešams attiecīgajiem mērķiem, vai kamēr ir spēkā likumā noteiktās glabāšanas saistības. Pēc tam dati tiek dzēsti, anonimizēti vai pārvietoti uz arhīvu, kas atbilst to statusam un mērķim.

Šādi noteikumi jo īpaši attiecas uz Contrima:

Mēs parasti glabājam serveru un drošības žurnālus tikai tik ilgi, cik nepieciešams drošības nodrošināšanai, kļūdu analīzei un ļaunprātīgas izmantošanas novēršanai.
Mēs parasti uzglabājam konta datus, fotogrāfu profilus, rēķinu un pārdevēju datus līgumisko attiecību laikā un pēc to beigām, ciktāl tas ir nepieciešams likumā noteikto glabāšanas pienākumu izpildei, juridiskai aizstāvībai vai pierādījumu sniegšanai.
Mēs uzglabājam prasību, piekļuves, galerijas, piekrišanas, licences un pirkuma datus tik ilgi, cik nepieciešams lietas izskatīšanai, dokumentēšanai, pārbaudāmībai, juridiskai aizstāvībai un likumā noteikto pienākumu izpildei.
Augšupielādētie oriģinālattēli parasti tiek glabāti aktīvā krātuvē pēdējo aktīvo lietu gadījumā līdz 90 dienām no pēdējās nozīmīgās darbības un pēc tam tiek pārvietoti uz nepieejamu arhīvu.
Sagataves, testa lietas vai citas nepabeigtas lietas, kas nav pabeigtas, var tikt dzēstas saskaņā ar attiecīgo produkta statusu vai tarifu.
Arhivētie oriģinālajiem dati var tikt uzglabāti uz nenoteiktu laiku nepieejamās arhīva uzglabāšanas klasēs AWS infrastruktūrā, ieskaitot AWS S3 Glacier Deep Archive, ja vien nav juridisku vai līgumisku iemeslu to dzēšanai.
Pārbaudes, vienošanās, audita, sīktēlu, pirkstu nospiedumu, hash, rēķinu un citi dokumentācijas dati var palikt uzglabāti ilgāku laiku vai atsevišķi, neatkarīgi no oriģinālo attēlu aktīvās pieejamības.

Arhivētie objekti Deep Archive uzglabāšanas klasēs nav publiski pieejami; un parasti nav pieejami reālajā laikā; lai atkārtoti piekļūtu, var būt nepieciešams atsevišķs atjaunošanas process.

19. Jūsu tiesības

Saskaņā ar likumīgajām prasībām jums ir šādas tiesības:

Piekļuves tiesības (GDPR 15. pants),
Tiesības uz datu labošanu (GDPR 16. pants),
Tiesības uz dzēšanu (GDPR 17. pants),
Tiesības uz apstrādes ierobežošanu (GDPR 18. pants),
Tiesības uz datu pārnesamību (GDPR 20. pants),
Tiesības iebilst pret apstrādi, pamatojoties uz GDPR 6. panta 1. punkta f) apakšpunktu (GDPR 21. pants),
Tiesības jebkurā brīdī atsaukt piekrišanu ar spēkā stāšanos nākotnē.

20. Tiesības iesniegt sūdzību uzraudzības iestādei

Jums ir tiesības iesniegt sūdzību datu aizsardzības uzraudzības iestādē, jo īpaši dalībvalstī, kurā ir jūsu pastāvīgā dzīvesvieta, darba vieta vai vieta, kur noticis iespējamais pārkāpums. Kompetentā iestāde attiecībā uz mūsu reģistrācijas adresi ir:

Bādenas-Virtembergas datu aizsardzības un informācijas brīvības valsts komisārs (LfDI BW)
PO Box 10 29 32
70025 Štutgarte
E-pasts: poststelle@lfdi.bwl.de
Tīmekļa vietne: baden-wuerttemberg.datenschutz.de

21. Izmaiņas šajā privātuma politikā

Mēs varam grozīt šo privātuma politiku, ja mainās tiesiskā situācija, pakalpojumi, maksājumu pakalpojumi, uzglabāšanas un arhivēšanas procedūras vai datu apstrādes prakse. Spēkā ir versija, kas jebkurā brīdī ir publicēta šajā lapā.

22. Pienākums sniegt datus

Jums parasti nav pienākuma sniegt personas datus, ja apmeklējat tīmekļa vietni tikai informācijas nolūkā. Tomēr, ja izmantojat piekļuves punktu vai galeriju, iesniedzat deklarāciju, veicat pirkumu vai aktivizējat pārdevēja/izmaksas funkcijas, ir nepieciešama noteiktu informācija, lai sniegtu attiecīgo pakalpojumu, apstrādātu darījumu, apstrādātu maksājumus, veiktu izmaksas vai izpildītu juridiskās saistības.

23. Nav pilnībā automatizētas lēmumu pieņemšanas

Pilnībā automatizēta lēmumu pieņemšana, tostarp profilēšana GDPR 22. panta nozīmē, pašlaik nenotiek. Tomēr drošības, krāpšanas, riska vai atbilstības mehānismi var izraisīt to, ka piekļuve, augšupielādes, publicēšana, maksājumi vai izņemšana tiek uz laiku ierobežota un pēc tam pārbaudīta manuāli.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.