Ochrana osobných údajov

Tento text o ochrane údajov vysvetľuje, ako spoločnosť Contrima spracúva osobné údaje vo fotografických účtoch, v účastníckych a prístupových procesoch, galériách, komunikácii, dokumentácii, ako aj v procesoch darovania, výmeny, predaja a licencií vrátane súvisiacich procesov platieb a vyplácania. Poskytuje prehľad účelov, procesov, ochranných opatrení a práv dotknutých osôb. Anglická verzia je smerodajná; preklady sú uvedené výlučne na uľahčenie porozumenia.

Verzia v3 · Zverejnené 04.05.2026, 09:12 · Hash f00fe99c5db7

Ochrana osobných údajov

1. Jazyk a preklady

Tieto zásady ochrany osobných údajov sú k dispozícii v niekoľkých jazykoch. Rozhodujúca je anglická verzia. Preklady sú poskytované výlučne pre jasnosť. Povinné práva podľa práva miesta obvyklého pobytu dotknutej osoby zostávajú nedotknuté.

2. Správca údajov

Správcom údajov v zmysle Všeobecného nariadenia o ochrane údajov (GDPR) je:
Mark Reinhardt (živnostník)
„Contrima“ je služba poskytovaná Markom Reinhardtom
E-mail: info@contrima.com

3. Prehľad: Aké údaje spracúvame a prečo

Osobné údaje spracúvame s cieľom technického zabezpečenia služby Contrima, zabezpečenia a ďalšieho rozvoja služby, ako aj vykonávania a dokumentovania procesov týkajúcich sa fotografov, galérií, schválení, darov, výmen, predaja, licencovania, nákupov, predplatného, predajcov a platieb.

Patria sem najmä údaje z prevádzky webovej stránky, z používateľských účtov a profilov fotografov, z QR a prístupových systémov, procesov žiadostí a galérií, z postupov náhľadu, publikovania, schvaľovania, súhlasu, licencovania a nákupu, z komunikácie, ako aj z fakturácie, spracovania platieb, registrácie predajcov, overovania, výplat, archivácie a vedenia záznamov.

Osobné údaje spracúvame najmä na základe nasledujúcich právnych základov:

čl. 6 ods. 1 písm. b) GDPR (zmluva / predzmluvné opatrenia),
čl. 6 ods. 1 písm. c) GDPR (zákonná povinnosť),
čl. 6 ods. 1 písm. f) GDPR (oprávnené záujmy, napr. bezpečné a stabilné poskytovanie služieb, odhaľovanie zneužitia a podvodov, vysledovateľnosť, právna obrana, archivácia a spoľahlivé spracovanie platieb),
čl. 6 ods. 1 písm. a) GDPR (súhlas, ak je to v jednotlivých prípadoch potrebné).

Ak spracúvame údaje na základe súhlasu, môžete svoj súhlas kedykoľvek odvolať s účinnosťou do budúcnosti.

Spoločnosť Contrima spracúva určité údaje ako samostatný prevádzkovateľ údajov, najmä na účely prevádzky platformy, bezpečnosti, komunikácie, fakturácie, procesov predaja/výplaty, dokumentácie, overovania a archivácie. Ak spoločnosť Contrima vykonáva jednotlivé funkcie v mene príslušného fotografa, spracúvanie prebieha v rámci zákonných predpisov platných v danom prípade.

4. Hostingová a úložná infraštruktúra (AWS, región Írsko)

Contrima je prevádzkovaná v regióne AWS Írsko (EÚ). Údaje generované pri prístupe na webovú stránku alebo pri používaní platformy sa spracúvajú na systémoch nášho poskytovateľa hostingu.

Poskytovateľ hostingových služieb (spracovateľ údajov):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembursko („AWS“)

Na ukladanie obrazových údajov, súborov náhľadov, obsahu galérie, súborov náhľadov a archívnych fondov sa v rámci infraštruktúry AWS môžu používať rôzne triedy úložísk a archívnych úložísk, vrátane neverejných tried archívnych úložísk, ako je AWS S3 Glacier Deep Archive.

5. Prístupové údaje / súbory protokolov servera

Pri každom prístupe na webovú stránku alebo platformu webový server automaticky spracováva informácie v takzvaných súboroch protokolov servera. Môže to zahŕňať najmä:

IP adresu (alebo technicky ekvivalentný identifikátor),
dátum a čas požiadavky,
navštívenú stránku/súbor (URL/cesta),
URL odkazujúcej stránky,
typ/verzia prehliadača a operačný systém,
stavové kódy/chybové správy,
množstvo prenesených údajov.

Účelom spracúvania je technické zabezpečenie, stabilita a bezpečnosť webovej stránky a platformy (napr. analýza chýb, obrana proti útokom, odhaľovanie zneužitia a audit prístupu súvisiaceho s bezpečnosťou). Právnym základom je článok 6 ods. 1 písm. f) nariadenia GDPR.

Protokolové súbory sa uchovávajú len po dobu nevyhnutnú na uvedené účely, a následne sa vymažú alebo anonymizujú, pokiaľ nie je potrebné ich ďalej uchovávať na dôkazné účely (napr. v prípade bezpečnostných incidentov).

6. Šifrovanie (TLS/SSL)

Z bezpečnostných dôvodov používame šifrovanie prenosu (TLS/SSL), aby sme zabezpečili čo najlepšiu ochranu prenášaného obsahu. Upozorňujeme však, že prenos údajov cez internet môže byť aj naďalej vystavený bezpečnostným rizikám.

7. Súbory cookie a podobné technológie

Naša webová stránka a platforma môžu používať súbory cookie alebo podobné technológie. Rozlišujeme medzi:

Technicky nevyhnutné súbory cookie alebo podobné mechanizmy (napr. reláciové súbory cookie pre prihlásenie, jazyk, navigáciu, bezpečnosť a kontexty tokenov),
Voliteľné súbory cookie/nástroje, ktoré sa používajú len s vaším súhlasom, ak je to potrebné.

Technicky nevyhnutné súbory cookie sú potrebné na poskytovanie webovej stránky a platformy. Právnym základom pre ich ukladanie/čítanie na koncových zariadeniach je § 25 ods. 2 bod 2 TDDDG; následné spracovanie osobných údajov prebieha na základe čl. 6 ods. 1 písm. f) GDPR alebo čl. 6 ods. 1 písm. b) GDPR, ak je táto funkcia nevyhnutná na plnenie zmluvy alebo vykonanie konkrétneho pracovného postupu.

Pokiaľ sa v budúcnosti budú používať analytické, marketingové alebo iné nástroje vyžadujúce súhlas, upravíme tieto zásady ochrany osobných údajov a – v prípade potreby – vopred získame súhlas.

8. Používateľský účet, profil fotografa a účet predajcu

Ak ponúkame možnosť vytvorenia používateľského účtu alebo prihlásenia, spracúvame údaje potrebné na tento účel (napr. e-mailovú adresu, prihlasovacie údaje, technické údaje o relácii, nastavenia jazyka, časové pásmo, údaje profilu a bezpečnostné informácie), s cieľom poskytnúť používateľský účet, umožniť prihlásenie, spravovať profil a zabezpečiť bezpečnosť systému.

V prípade profilov fotografov môžu byť spracované aj ďalšie údaje týkajúce sa profilu, portfólia, prezentácie, fakturácie, predajcu, daní, predplatného, úložiska a cien, pokiaľ sú tieto funkcie ponúkané alebo aktivované.

Právnym základom je spravidla článok 6 ods. 1 písm. b) GDPR a článok 6 ods. 1 písm. f) GDPR (bezpečnostné záujmy, prevencia zneužitia, stabilita systému).

Poznámka: Heslá sa neukladajú v čitateľnej podobe, ale spravidla sa ukladajú ako hash hodnota (technický bezpečnostný postup).

9. Údaje týkajúce sa fotografovaných osôb, príjemcov a iných dotknutých osôb

Spoločnosť Contrima spracúva aj osobné údaje fotografovaných osôb, prijímajúcich osôb, kupujúcich a iných dotknutých osôb v súvislosti s nahrávaním, pridelením do galérie, procesmi prístupu, náhľadmi, publikáciami, schváleniami, súhlasmi, udeľovaním licencií, nákupmi a dokumentáciou konkrétnych prípadov.

Tieto údaje môžu pochádzať priamo od dotknutej osoby (napr. keď otvorí prístupový bod, poskytne e-mailovú adresu, vyberie jazyk, urobí vyhlásenie alebo uskutoční nákup) alebo sa k nám dostanú nepriamo prostredníctvom fotografa alebo iných zúčastnených strán; (napr. prostredníctvom nahratia obrazových súborov, údajov o zadaní, kontaktných údajov, QR kariet, odkazov na galériu alebo informácií o prípade).

V závislosti od prípadu sa spracúvajú najmä nasledujúce údaje: obrazové súbory, informácie o zadaniach a prípadoch, kontaktné údaje, kontexty jazyka a zariadenia, údaje o stave, údaje o vyhláseniach a zmluvách, ako aj informácie o overovaní a audite.

V prípadoch týkajúcich sa maloletých a zástupcov môžu byť spracované aj údaje o úlohe, potvrdenia o splnomocnení a zastupovaní, poverenia medzi maloletým a splnomocňujúcou dospelou osobou, časové pečiatky, komunikačné údaje, overovacie údaje a informácie o stave týkajúce sa nákupu, platby, aktivácie alebo dodania, pokiaľ je to potrebné pre príslušný pracovný postup.

Ak sa osobné údaje nezhromažďujú priamo od dotknutej osoby, plníme informačné povinnosti podľa článku 14 GDPR v rozsahu vyžadovanom zákonom. Právna prípustnosť zhotovenia fotografie a jej prvotného nahratia závisí od konkrétneho individuálneho prípadu a zodpovednosti fotografa.

10. QR kódy, systém prístupu, nárokovanie a osobné prístupové odkazy

Spoločnosť Contrima môže poskytovať QR kódy, verejné prístupové kódy, osobné prístupové odkazy, prístupové tokeny, jazykové kontexty a podobné prístupové systémy, aby umožnila fotografovaným osobám, príjemcom, kupujúcim alebo iným zúčastneným stranám prístup k stránkam účastníkov, galériám, náhľadom, schvaľovacím, súhlasným alebo nákupným procesom.

Pri tom spracovávame najmä verejné alebo osobné kódy, hodnoty tokenov, preferovaný jazyk, časové pečiatky, stav nároku, udalosti opätovného odoslania, značky relácie alebo prehliadača, bezpečnostné informácie a e-mailovú adresu poskytnutú v príslušnom toku.

Ak maloletí používajú osobný prístup alebo proces uplatnenia nároku, autorizácie, licencovania alebo nákupu, môže byť samostatne zdokumentovaná účasť samotného maloletého a požadované povolenie rodiča alebo zákonného zástupcu alebo inej oprávnenej dospelej osoby.

Toto spracovanie slúži na bezpečné poskytnutie prístupu, priradenie konkrétneho prípadu, zabránenie zneužitiu, doručenie personalizovaných odkazov, zabezpečenie zobrazenia v príslušnom jazyku, a na vykonanie technických a organizačných aspektov príslušného pracovného toku. Právnym základom je článok 6 ods. 1 písm. b) GDPR a článok 6 ods. 1 písm. f) GDPR.

V neutrálnych opakovaných zobrazeniach môžeme zobraziť kontaktné údaje v maskovanej forme a z bezpečnostných dôvodov nemôžeme opäť poskytnúť priamy prístup.

11. Galérie, náhľady, publikácie a dohody

V súvislosti s galériami a licenciami spracúvame najmä informácie týkajúce sa: prípadov, galérií, úloh účastníkov, variantov obrázkov, náhľadov, vodoznakov, úrovní publikovania, aktivácií, nákupu, schválenia, autorizácie a stavov súhlasu, ako aj balíkov alebo ponúk vybraných pre konkrétny prípad.

Na účely dokumentácie a overovania môžeme tiež zaznamenávať: platnú verziu balíka, zobrazenú textovú verziu, jazyk, časovú pečiatku, použitú e-mailovú adresu, kontext portálu alebo prístupového tokenu a ďalšie technicky nevyhnutné audítorské údaje. Môžu sa generovať, ukladať a sprístupňovať zúčastneným stranám dokumenty vo formáte PDF alebo porovnateľné zmluvy a overovacie dokumenty.

Toto spracovanie slúži na vybavovanie príslušného prípadu, zobrazenie náhľadov, aktiváciu prístupu po udelení súhlasu alebo zaplatení, zdokumentovanie vyhlásení a zmlúv, overenie rozsahu práv a na účely právnej obhajoby. Právnym základom je v závislosti od prípadu článok 6 ods. 1 písm. b) GDPR, článok 6 ods. 1 písm. f) GDPR, článok 6 ods. 1 písm. c) GDPR a, ak je to v jednotlivých prípadoch potrebné, článok 6 ods. 1 písm. a) GDPR.

12. Kontaktovanie nás

Ak nás kontaktujete e-mailom, spracúvame údaje, ktoré nám poskytnete (napr. meno, e-mailovú adresu, obsah správy), s cieľom vybaviť vašu žiadosť.

Právnym základom je článok 6 ods. 1 písm. b) GDPR; (pokiaľ ide o (pred)zmluvnú komunikáciu) alebo článok 6 ods. 1 písm. f) GDPR; (všeobecné dotazy; oprávnený záujem na efektívnej komunikácii).

Kontaktný formulár: Ak je k dispozícii kontaktný formulár, spracovávame údaje získané prostredníctvom neho výlučne na účely vybavovania dotazu. Tieto zásady ochrany osobných údajov budú v prípade potreby aktualizované, napr. ak budú implementované ďalšie služby, ako je ochrana proti spamu.

13. Newsletter

Ak budeme v budúcnosti ponúkať newsletter, upravíme tieto zásady ochrany osobných údajov a najmä transparentne zverejníme poskytovateľa poštových služieb, postup dvojitého potvrdenia, akékoľvek ukazovatele výkonnosti a možnosti odhlásenia.

14. Posielanie e-mailov prostredníctvom AWS SES

Na zasielanie systémových a transakčných e-mailov používame službu Amazon Simple Email Service (AWS SES); (napr. potvrdenia, osobné prístupové odkazy, opätovné zasielanie správ, oznámenia o galérii alebo termínoch, informácie o nákupe alebo platbe, faktúry alebo oznámenia predajcu/o výplate); používame službu Amazon Simple Email Service (AWS SES).

Spracúvajú sa najmä e-mailová adresa, prípadne meno, jazykový kontext a technické metadáta e-mailu (napr. informácie o doručení).

Právnym základom je článok 6 ods. 1 písm. b) GDPR, článok 6 ods. 1 písm. c) GDPR a/alebo článok 6 ods. 1 písm. f) GDPR.

15. Platby, predplatné, Stripe a Stripe Connect

Pri využívaní platených služieb, predplatných, balíkov úložného priestoru, nákupu obrázkov alebo licencií, predajných účtov alebo funkcií výplaty spracovávame fakturačné, transakčné a overovacie údaje potrebné na tento účel.

Môže to zahŕňať najmä:

meno, adresu, e-mailovú adresu a fakturačné údaje,
zakúpené alebo rezervované služby, sumy, meny a stav platby,
údaje o fakturácii, vrátení peňazí, sporoch, spätných platbách a výplatách
a v prípade funkcií predajcu alebo výplaty dodatočné údaje o spoločnosti, právnej forme, daniach, banke a overení, ako aj údaje o splnomocnených zástupcoch alebo skutočných vlastníkoch, ak je to potrebné.

Na spracovanie platieb, predplatné, registráciu predajcov a výplatné funkcie používame najmä Stripe a Stripe Connect. Ak poskytnete osobné údaje v súvislosti s platobnými službami, Stripe tieto údaje prijme a spracuje v súlade so Zásadami ochrany osobných údajov Stripe.

Toto spracovanie slúži na účely spracovania platieb, Právnym základom je článok 6 ods. 1 písm. b) GDPR, článok 6 ods. 1 písm. c) GDPR, článok 6 ods. 1 písm. f) GDPR a, v prípade potreby, článok 6 ods. 1 písm. a) GDPR.

V prípade nákupov alebo platobných procesov iniciovaných maloletými osobami alebo s ich účasťou môžu byť spracované aj ďalšie informácie týkajúce sa platiacej, schvaľujúcej alebo oprávnenej dospelej osoby, ako aj údaje o stave a overení týkajúce sa schválenia, oprávnenia, vrátenia peňazí alebo spätného zaúčtovania.

V prípade okamžitého poskytovania digitálnych obrázkov alebo digitálnych užívateľských práv môžu byť spracované aj potvrdenia týkajúce sa okamžitého začatia poskytovania, uplynutia lehoty na odstúpenie od zmluvy, schválenia zástupcom, ako aj súvisiace časy, textové verzie, jazykové verzie, technické dôkazy a informácie o audite.

16. Príjemcovia / Spracovatelia údajov / Nezávislí prevádzkovatelia

Zapájame poskytovateľov služieb, ktorí spracúvajú údaje v našom mene (spracovanie údajov podľa článku 28 GDPR), a tiež prenášame údaje orgánom, ktoré môžu v príslušnom kontexte pôsobiť ako nezávislí prevádzkovatelia.

Medzi ne patria najmä:

Amazon Web Services EMEA SARL – hostingové, úložné a infraštruktúrne služby,
Amazon Web Services (AWS SES) – zasielanie e-mailov,
Stripe / Stripe Connect – spracovanie platieb, registrácia predajcov, overovanie a výplaty,
fotografov, kupujúcich, fotografované osoby, osoby preberajúce tovar alebo iné zúčastnené strany, pokiaľ je to potrebné na vykonanie konkrétneho prípadu, galérie, nákupu, dohody alebo poskytnutia dôkazov,
daňoví poradcovia, právni poradcovia, banky, verejné orgány alebo iné subjekty, pokiaľ je to potrebné na plnenie zmluvy, presadzovanie zákonných práv alebo plnenie zákonných povinností.

17. Prenos do tretích krajín

Pokiaľ sa v súvislosti s používaním AWS, AWS SES, Stripe alebo iných využívaných služieb prenášajú osobné údaje do krajín mimo Európskeho hospodárskeho priestoru (EHP), deje sa tak výlučne v súlade s požiadavkami článkov 44 a nasl. GDPR, napr. na základe primeraných záruk, ako sú štandardné zmluvné doložky a/alebo iné uznávané mechanizmy ochrany.

18. Doba uchovávania a archivácia

Osobné údaje spracúvame a uchovávame len tak dlho, ako je to potrebné na príslušné účely, alebo pokiaľ platia zákonné povinnosti týkajúce sa uchovávania údajov. Následne sú údaje vymazané, anonymizované alebo presunuté do archívu zodpovedajúceho ich stavu a účelu.

Pre spoločnosť Contrima platí najmä nasledovné:

Protokolové záznamy servera a bezpečnostné protokoly spravidla uchovávame len tak dlho, ako je to potrebné na účely bezpečnosti, analýzy chýb a prevencie zneužitia.
Údaje o účtoch, profily fotografov, faktúry a údaje o predajcoch spravidla uchovávame po dobu trvania zmluvného vzťahu a aj po ňom, pokiaľ je to potrebné na splnenie zákonných povinností uchovávania údajov, právnej obhajoby alebo na účely poskytovania dôkazov.
Údaje o reklamáciách, prístupe, galérii, súhlase, licenciách a nákupoch uchovávame tak dlho, ako je to potrebné na vybavovanie prípadov, dokumentáciu, overiteľnosť, právnu obranu a splnenie zákonných povinností.
Nahraté originálne obrázky sa spravidla uchovávajú v aktívnom úložisku pre konečné aktívne prípady až 90 dní od poslednej významnej aktivity a následne sa prenesú do neverejného archívu.
Návrhy, testovacie prípady alebo iné nedokončené prípady, ktoré neboli uzavreté, môžu byť vymazané v súlade s príslušným stavom produktu alebo tarifou.
Archívované pôvodné údaje môžu byť uchovávané na dobu neurčitú v triedach úložísk neverejného archívu v rámci infraštruktúry AWS, vrátane AWS S3 Glacier Deep Archive, za predpokladu, že neexistujú žiadne zákonné alebo zmluvné dôvody na ich vymazanie.
Overovacie, súhlasné, audítorské, miniatúrne, odtlačkové, hashové, fakturačné a iné dokumentačné údaje môžu zostať uložené na dlhšie obdobie alebo oddelene, bez ohľadu na aktívnu dostupnosť pôvodných obrázkov.

Archívované objekty v triedach úložísk Deep Archive nie sú verejne prístupné; a vo všeobecnosti nie sú prístupné v reálnom čase; na opätovný prístup môže byť potrebný samostatný proces obnovenia.

19. Vaše práva

V rámci zákonných požiadaviek máte najmä tieto práva:

Právo na prístup (čl. 15 GDPR),
Právo na opravu (čl. 16 GDPR),
Právo na výmaz (čl. 17 GDPR),
Právo na obmedzenie spracúvania (čl. 18 GDPR),
Právo na prenosnosť údajov (článok 20 GDPR),
Právo namietať proti spracúvaniu na základe článku 6 ods. 1 písm. f) GDPR (článok 21 GDPR),
Právo kedykoľvek odvolať súhlas s účinnosťou do budúcnosti.

20. Právo podať sťažnosť dozornému orgánu

Máte právo podať sťažnosť dozornému orgánu pre ochranu údajov, najmä v členskom štáte vášho obvyklého bydliska, miesta výkonu práce alebo miesta údajného porušenia. Príslušným orgánom pre naše sídlo je:

Štátny komisár pre ochranu údajov a slobodu informácií v Bádensku-Württembersku (LfDI BW)
P.O. Box 10 29 32
70025 Stuttgart
E-mail: poststelle@lfdi.bwl.de
Webová stránka: baden-wuerttemberg.datenschutz.de

21. Zmeny týchto zásad ochrany osobných údajov

Tieto zásady ochrany osobných údajov môžeme zmeniť a doplniť, ak sa zmení právna situácia, služby, platobné služby, postupy ukladania a archivácie alebo postupy spracovania údajov. Platí verzia uverejnená na tejto stránke v danom čase.

22. Povinnosť poskytovať údaje

V zásade nie ste povinní poskytovať osobné údaje len za účelom návštevy webovej stránky s cieľom získať informácie. Ak však využívate prístupový bod alebo galériu, podávate vyhlásenie, uskutočňujete nákup alebo aktivujete funkcie predajcu/výplaty, sú potrebné určité údaje na poskytnutie príslušnej služby, spracovanie transakcie, spracovanie platieb, uskutočnenie výplat alebo splnenie zákonných povinností.

23. Žiadne plne automatizované rozhodovanie

Plne automatizované rozhodovanie, vrátane profilovania v zmysle článku 22 GDPR, sa v súčasnosti neuskutočňuje. Bezpečnostné, protipodvodné, rizikové alebo compliance mechanizmy však môžu viesť k dočasnému obmedzeniu prístupu, nahrávania, zverejňovania, platieb alebo výberov a následnej manuálnej kontrole.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.