Конфіденційність

Цей текст про захист даних пояснює, як Contrima обробляє персональні дані в акаунтах фотографів, процесах участі та доступу, галереях, комунікації, документації, а також у процесах дарування, обміну, продажу та ліцензування, включаючи пов'язані з ними процеси оплати та виплат. Вона містить огляд цілей, процесів, заходів захисту та прав суб'єктів даних. Англійська версія є офіційною; переклади надаються виключно для полегшення розуміння.

Версія v3 · Опубліковано 04.05.2026, 09:12 · Хеш f00fe99c5db7

Конфіденційність

1. Мова та переклади

Ця політика конфіденційності надається кількома мовами. Автентичною є англійська версія. Переклади надаються виключно для зручності. Обов’язкові права згідно із законодавством за місцем постійного проживання суб’єкта даних залишаються незмінними.

2. Контролер даних

Контролером даних у значенні Загального регламенту про захист даних (GDPR) є:
Марк Райнхардт (приватний підприємець)
«Contrima» — це послуга, що надається Марком Райнхардтом
Електронна пошта: info@contrima.com

3. Огляд: які дані ми обробляємо та з якою метою

Ми обробляємо персональні дані з метою забезпечення технічного функціонування Contrima, забезпечення безпеки та подальшого розвитку сервісу, а також для виконання та документування процесів, пов’язаних із фотографами, галереями, затвердженнями, подарунками, обмінами, продажами, ліцензуванням, покупками, підписками, продавцями та платежами.

Це включає, зокрема, дані про роботу веб-сайту, з облікових записів користувачів та профілів фотографів, з QR-кодів та систем доступу, процесів подання заявок та роботи галерей, з процедур попереднього перегляду, публікації, затвердження, надання згоди, ліцензування та купівлі, з комунікації, а також з виставлення рахунків, обробки платежів, реєстрації продавців, верифікації, виплат, архівування та ведення обліку.

Ми обробляємо персональні дані, зокрема, на таких правових підставах:

ст. 6(1)(b) GDPR (договір / переддоговірні заходи),
ст. 6(1)(c) GDPR (правовий обов’язок),
ст. 6(1)(f) GDPR (законні інтереси, наприклад, безпечне та стабільне надання послуг, виявлення зловживань та шахрайства, простежуваність, правовий захист, архівування та надійна обробка платежів),
ст. 6(1)(a) GDPR (згода, якщо це потрібно в окремих випадках).

Якщо ми обробляємо дані на підставі згоди, ви можете будь-коли відкликати свою згоду з чинності на майбутнє.

Contrima обробляє певні дані як самостійний контролер даних, зокрема для забезпечення функціонування платформи, безпеки, комунікації, виставлення рахунків, процесів продажу/виплат, документації, верифікації та архівування. У випадках, коли Contrima виконує окремі функції від імені відповідного фотографа, обробка відбувається в рамках, передбачених законодавством у кожному конкретному випадку.

4. Інфраструктура хостингу та зберігання (AWS, регіон Ірландія)

Contrima працює в регіоні AWS Ірландія (ЄС). Дані, що генеруються під час доступу до веб-сайту або використання платформи, обробляються на системах нашого хостинг-провайдера.

Постачальник послуг хостингу (обробник даних):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Люксембург («AWS»)

Для зберігання даних зображень, файлів попереднього перегляду, вмісту галереї, файлів-пробників та архівних фондів у рамках інфраструктури AWS можуть використовуватися різні класи зберігання та архівного зберігання, включно з непублічними класами архівного зберігання, такими як AWS S3 Glacier Deep Archive.

5. Дані про доступ / файли журналу сервера

Кожного разу, коли здійснюється доступ до веб-сайту або платформи, веб-сервер автоматично обробляє інформацію у так званих файлах журналу сервера. Це може включати, зокрема:

IP-адресу (або технічно еквівалентний ідентифікатор),
дату та час запиту,
сторінку/файл, до якого здійснено доступ (URL/шлях),
URL-адресу, з якої здійснено перехід,
тип/версія браузера та операційна система,
коди статусу/повідомлення про помилки,
обсяг переданих даних.

Метою обробки є технічне забезпечення, стабільність та безпека веб-сайту та платформи (наприклад, аналіз помилок, захист від атак, виявлення зловживань та аудит доступу, пов'язаного з безпекою). Правовою підставою є стаття 6(1)(f) GDPR.

Файли журналів зберігаються лише протягом часу, необхідного для зазначених цілей, а потім видаляються або анонімізуються, за умови, що подальше зберігання не є необхідним для цілей доказування (наприклад, у разі інцидентів безпеки).

6. Шифрування (TLS/SSL)

З міркувань безпеки ми використовуємо транспортне шифрування (TLS/SSL), щоб забезпечити найкращий захист переданого вмісту. Однак зверніть увагу, що передача даних через Інтернет все одно може бути схильна до вразливостей безпеки.

7. Файли cookie та подібні технології

Наш веб-сайт та платформа можуть використовувати файли cookie або подібні технології. Ми розрізняємо:

технічно необхідні файли cookie або подібні механізми (наприклад, сесійні файли cookie для входу, вибору мови, навігації, безпеки та токенів),
опціональні файли cookie/інструменти, які використовуються лише за вашою згодою, якщо це необхідно.

Технічно необхідні файли cookie потрібні для забезпечення роботи веб-сайту та платформи. Правовою підставою для їхнього зберігання/читання на кінцевих пристроях є § 25 абз. 2 п. 2 TDDDG; подальша обробка персональних даних відбувається на підставі ст. 6 абз. 1 п. f GDPR або ст. 6 абз. 1 п. b GDPR, якщо ця функція необхідна для виконання договору або здійснення конкретного робочого процесу.

У разі використання в майбутньому інструментів аналізу, маркетингу або інших інструментів, що вимагають згоди, ми внесемо зміни до цієї політики конфіденційності та, за необхідності, отримаємо згоду заздалегідь.

8. Обліковий запис користувача, профіль фотографа та обліковий запис продавця

У випадках, коли ми пропонуємо можливість створити обліковий запис користувача або увійти в систему, ми обробляємо дані, необхідні для цієї мети (наприклад, адресу електронної пошти, дані для входу, технічні дані сеансу, налаштування мови, часовий пояс, дані профілю та інформацію щодо безпеки), з метою надання облікового запису користувача, забезпечення входу, управління профілем та забезпечення безпеки системи.

Для профілів фотографів також можуть оброблятися додаткові дані про профіль, портфоліо, вітрину, виставлення рахунків, продавця, податки, передплату, зберігання та ціноутворення, якщо ці функції пропонуються або активовані.

Правовою основою, як правило, є стаття 6(1)(b) GDPR та стаття 6(1)(f) GDPR (інтереси безпеки, запобігання зловживанням, стабільність системи).

Примітка: Паролі не зберігаються у вигляді звичайного тексту, а, як правило, зберігаються у вигляді хеш-значення (технічна процедура безпеки).

9. Дані, що стосуються сфотографованих осіб, одержувачів та інших суб’єктів даних

Contrima також обробляє персональні дані сфотографованих осіб, осіб, що приймають, покупців та інших суб’єктів даних у зв’язку із завантаженням, завданнями галереї, процесами доступу, попереднім переглядом, публікаціями, затвердженнями, згодами, ліцензуванням, покупками та документуванням конкретних випадків.

Такі дані можуть надходити безпосередньо від суб’єкта даних (наприклад, коли він відкриває точку доступу, надає адресу електронної пошти, вибирає мову, робить заяву або здійснює покупку) або надходять до нас опосередковано через фотографа чи інших залучених осіб; (наприклад, через завантаження файлів зображень, даних про завдання, контактних даних, QR-карток, посилань на галереї або інформації про випадки).

Залежно від випадку обробляються, зокрема, такі дані: файли зображень, інформація про замовлення та справи, контактні дані, контекст мови та пристрою, дані про статус, дані декларацій та договорів, а також інформація про перевірку та аудит.

У випадках, що стосуються неповнолітніх та їхніх представників, також можуть оброблятися дані про ролі, підтвердження повноважень та представництва, доручення між неповнолітнім та дорослим, що надає повноваження, часові мітки, дані про комунікацію, дані верифікації та інформація про стан щодо покупки, оплати, активації або доставки, якщо це необхідно для відповідного робочого процесу.

У випадках, коли персональні дані не збираються безпосередньо від суб’єкта даних, ми виконуємо інформаційні зобов’язання згідно зі статтею 14 GDPR у межах, передбачених законом. Правова допустимість фотографування та початкового завантаження залежить від конкретного індивідуального випадку та відповідальності фотографа.

10. QR-коди, система доступу, посилання для отримання та особисті посилання для доступу

Contrima може надавати QR-коди, коди загального доступу, особисті посилання для доступу, токенів доступу, мовні контексти та подібні системи доступу, щоб надати змогу сфотографованим особам, одержувачам, покупцям або іншим залученим сторонам отримати доступ до сторінок учасників, галерей, попереднього перегляду, процесів затвердження, згоди або купівлі.

При цьому ми обробляємо, зокрема, публічні або особисті коди, значення токенів, бажану мову, часові мітки, статус запиту, події повторного надсилання, маркери сеансу або браузера, інформацію щодо безпеки та адресу електронної пошти, надану у відповідному потоці.

У випадках, коли неповнолітні використовують особистий доступ або процес подання заявки, авторизації, ліцензування чи купівлі, власна участь неповнолітнього та необхідна авторизація з боку батьків, опікунів або інших уповноважених дорослих можуть бути задокументовані окремо.

Ця обробка служить для безпечного надання доступу, прив’язки до конкретного випадку, запобігання зловживанням, надання персоналізованих посилань, забезпечення відображення на відповідній мові, та виконання технічних і організаційних аспектів відповідного робочого процесу. Правовою підставою є стаття 6(1)(b) GDPR та стаття 6(1)(f) GDPR.

У нейтральних повторних переглядах ми можемо відображати контактні дані в замаскованій формі і, з міркувань безпеки, не можемо знову надавати прямий доступ.

11. Галереї, попередній перегляд, публікації та угоди

У контексті галерей та ліцензій ми обробляємо, зокрема, інформацію щодо: справ, галерей, завдань учасників, варіантів зображень, попередніх переглядів, водяних знаків, рівнів публікації, активацій, статусів придбання, затвердження, авторизації та згоди, а також пакетів або пропозицій, обраних для конкретної справи.

З метою документації та перевірки ми також можемо реєструвати: версію пакета, що застосовується, версію відображеного тексту, мову, часовий штамп, використану адресу електронної пошти, контекст порталу або токена доступу, а також інші технічно необхідні дані аудиту. PDF-файли або аналогічні документи угод та перевірки можуть бути створені, збережені та надані сторонам, що беруть участь.

Ця обробка служить для обробки відповідного випадку, відображення попереднього перегляду, активації доступу після надання згоди або здійснення оплати, документування заяв та договорів, перевірки обсягу прав, а також для юридичного захисту. Правовою підставою, залежно від випадку, є стаття 6(1)(b) GDPR, стаття 6(1)(f) GDPR, стаття 6(1)(c) GDPR та, за необхідності в окремих випадках, стаття 6(1)(a) GDPR.

12. Зв’язок з нами

Якщо ви зв’язуєтеся з нами електронною поштою, ми обробляємо надані вами дані (наприклад, ім’я, адресу електронної пошти, зміст повідомлення), для опрацювання вашого запиту.

Правовою підставою є стаття 6(1)(b) GDPR; (у тій мірі, в якій це стосується (до)договірної комунікації) або стаття 6(1)(f) GDPR; (загальні запити; законний інтерес у ефективній комунікації).

Контактна форма: Якщо надається контактна форма, ми обробляємо зібрані там дані виключно з метою обробки запиту. Ця політика конфіденційності буде оновлюватися за необхідності, наприклад, якщо будуть впроваджені додаткові послуги, такі як захист від спаму.

13. Інформаційний бюлетень

Якщо в майбутньому ми будемо пропонувати інформаційний бюлетень, ми внесемо зміни до цієї політики конфіденційності і, зокрема, прозоро розкриємо інформацію про постачальника послуг розсилки, процедуру подвійної згоди, будь-які показники ефективності, та можливості відмови від підписки.

14. Надсилання електронних листів через AWS SES

Ми використовуємо Amazon Simple Email Service (AWS SES) для надсилання системних та транзакційних електронних листів; (наприклад, підтвердження, особисті посилання для доступу, повторне надсилання повідомлень, повідомлення про галерею або зустрічі, інформація про покупки чи оплату, повідомлення про рахунки-фактури або продавців/виплати); ми використовуємо Amazon Simple Email Service (AWS SES).

Зокрема, обробляються адреса електронної пошти, у відповідних випадках ім'я, мовний контекст та технічні метадані електронного листа (наприклад, інформація про доставку).

Правовою підставою є стаття 6(1)(b) GDPR, стаття 6(1)(c) GDPR, та/або стаття 6(1)(f) GDPR.

15. Платежі, передплати, Stripe та Stripe Connect

При використанні платних послуг, підписок, пакетів зберігання, придбання зображень або ліцензій, облікових записів продавців або функцій виплат, ми обробляємо дані про виставлення рахунків, транзакції та перевірку, необхідні для цієї мети.

Це може включати, зокрема:

ім'я, адресу, адресу електронної пошти та платіжні реквізити,
придбані або заброньовані послуги, суми, валюти та статус платежу,
дані щодо виставлення рахунків, повернення коштів, спорів, повернення платежів та виплат,
а також, у випадку функцій продавця або виплат, додаткові дані про компанію, правову форму, податки, банківські реквізити та верифікацію, а також, за необхідності, дані про уповноважених представників або бенефіціарних власників.

Для обробки платежів, підписок, реєстрації продавців та функцій виплат ми використовуємо, зокрема, Stripe та Stripe Connect. Якщо ви надаєте персональні дані у зв’язку з платіжними послугами, Stripe отримує ці дані та обробляє їх відповідно до Політики конфіденційності Stripe.

Ця обробка здійснюється з метою обробки платежів, Правовою підставою є стаття 6(1)(b) GDPR, стаття 6(1)(c) GDPR, стаття 6(1)(f) GDPR та, за необхідності, стаття 6(1)(a) GDPR.

У разі покупок або процесів оплати, ініційованих неповнолітніми або за їх участю, також може оброблятися додаткова інформація щодо дорослого, який здійснює оплату, затверджує або надає дозвіл, а також дані про статус та перевірку, що стосуються затвердження, дозволу, повернення коштів або сторнування платежів.

У разі негайного надання цифрових зображень або цифрових прав на використання також можуть оброблятися підтвердження щодо негайного початку надання, закінчення терміну дії права на відмову, затвердження представником, а також пов’язані з цим часові рамки, текстові версії, мовні версії, технічні докази та аудиторська інформація.

16. Одержувачі / Оператори даних / Незалежні контролери

Ми залучаємо постачальників послуг, які обробляють дані від нашого імені (обробка даних відповідно до статті 28 GDPR), а також передаємо дані органам, які можуть виступати в якості незалежних контролерів у відповідному контексті.

До них, зокрема, належать:

Amazon Web Services EMEA SARL – послуги хостингу, зберігання та інфраструктури,
Amazon Web Services (AWS SES) – надсилання електронних листів,
Stripe / Stripe Connect – обробка платежів, реєстрація продавців, верифікація та виплати,
фотографів, покупців, осіб, яких фотографують, осіб, які приймають товари, або інших залучених сторін, у тій мірі, в якій це необхідно для виконання конкретного випадку, створення галереї, здійснення покупки, укладення угоди або надання доказів,
Податкові консультанти, юридичні консультанти, банки, державні органи або інші установи, якщо це необхідно для виконання договору, забезпечення законних прав або виконання юридичних зобов'язань.

17. Передача до третіх країн

У тій мірі, в якій у контексті використання AWS, AWS SES, Stripe або інших використовуваних послуг персональні дані передаються до країн за межами Європейської економічної зони (ЄЕЗ), це здійснюється виключно відповідно до вимог статей 44 та наступних статей GDPR, наприклад, на основі відповідних гарантій, таких як стандартні договірні умови та/або інших визнаних механізмів захисту.

18. Термін зберігання та архівування

Ми обробляємо та зберігаємо персональні дані лише протягом того часу, поки це необхідне для відповідних цілей, або поки діють законодавчі зобов’язання щодо зберігання. Після цього дані видаляються, анонімізуються або переносяться до архіву відповідно до їхнього статусу та призначення.

Що стосується Contrima, то, зокрема, застосовуються такі положення:

Як правило, ми зберігаємо журнали сервера та безпеки лише протягом часу, необхідного для забезпечення безпеки, аналізу помилок та запобігання зловживанням.
Як правило, ми зберігаємо дані облікових записів, профілі фотографів, дані рахунків-фактур та продавців протягом усього терміну дії договірних відносин і після його закінчення, якщо це необхідно для виконання законодавчих вимог щодо зберігання даних, захисту в суді або для цілей надання доказів.
Ми зберігаємо дані про претензії, доступ, галерею, згоду, ліцензію та покупки стільки, скільки це необхідно для розгляду справи, документації, перевірки, правового захисту та виконання юридичних зобов'язань.
Завантажені оригінальні зображення, як правило, зберігаються в активному сховищі для остаточно активних справ протягом 90 днів з моменту останньої значущої активності, а потім переносяться до закритого архіву.
Чернетки, тестові справи або інші незавершені справи, які не були завершені, можуть бути видалені відповідно до відповідного статусу продукту або тарифу.
Архівні оригінальні дані можуть зберігатися необмежений час у класах непублічного архівного зберігання в інфраструктурі AWS, включаючи AWS S3 Glacier Deep Archive, за умови відсутності юридичних або договірних підстав для видалення.
Дані перевірки, угоди, аудиту, ескізів, відбитків, хеш-сум, білінгу та іншої документації можуть зберігатися протягом більш тривалого періоду або окремо, незалежно від активної доступності оригінальних зображень.

Архівні об’єкти в класах зберігання Deep Archive не є загальнодоступними; та, як правило, недоступні в режимі реального часу; для повторного доступу може знадобитися окремий процес відновлення.

19. Ваші права

У рамках законодавчих вимог ви, зокрема, маєте такі права:

Право на доступ (ст. 15 GDPR),
Право на виправлення (ст. 16 GDPR),
Право на видалення (ст. 17 GDPR),
Право на обмеження обробки (ст. 18 GDPR),
Право на перенесення даних (ст. 20 GDPR),
Право на заперечення проти обробки на підставі статті 6(1)(f) GDPR (стаття 21 GDPR),
Право на відкликання згоди в будь-який час з чинності на майбутнє.

20. Право подати скаргу до наглядового органу

Ви маєте право подати скаргу до наглядового органу з питань захисту даних, зокрема у державі-члені, де знаходиться ваше постійне місце проживання, ваше місце роботи або місце передбачуваного порушення. Компетентним органом для нашої зареєстрованої штаб-квартири є:

Державний уповноважений з питань захисту даних та свободи інформації в Баден-Вюртемберзі (LfDI BW)
Поштова скринька 10 29 32
70025 Штутгарт
Електронна пошта: poststelle@lfdi.bwl.de
Веб-сайт: baden-wuerttemberg.datenschutz.de

21. Зміни до цієї Політики конфіденційності

Ми можемо вносити зміни до цієї політики конфіденційності, якщо змінюється правова ситуація, послуги, платіжні послуги, процедури зберігання та архівування або практика обробки даних. Діє версія, опублікована на цій сторінці на даний момент.

22. Обов’язок надавати дані

Як правило, ви не зобов'язані надавати особисті дані лише для відвідування веб-сайту з інформаційною метою. Однак, якщо ви користуєтеся точкою доступу або галереєю, подаєте заяву, здійснюєте покупку або активуєте функції продавця/виплати, певні дані необхідні для надання відповідної послуги, обробки транзакції, обробки платежів, здійснення виплат або виконання юридичних зобов'язань.

23. Відсутність повністю автоматизованого прийняття рішень

Повністю автоматизоване прийняття рішень, включаючи профілювання у значенні статті 22 GDPR, наразі не відбувається. Однак механізми безпеки, боротьби з шахрайством, ризиків або дотримання вимог можуть призвести до тимчасового обмеження доступу, завантаження, публікацій, платежів або зняття коштів, які згодом перевіряються вручну.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.