Privatumas

Šiame duomenų apsaugos tekste paaiškinama, kaip "Contrima" tvarko asmens duomenis fotografų paskyrose, dalyvių ir prieigos procesuose, galerijose, komunikacijoje, dokumentacijoje, taip pat dovanų, mainų, pardavimo ir licencijų procesuose, įskaitant susijusius mokėjimo ir išmokėjimo procesus. Jame apžvelgiami tikslai, procesai, apsaugos priemonės ir duomenų subjektų teisės. Angliška versija yra autoritetinga; vertimai pateikiami tik tam, kad būtų lengviau suprasti.

Versija v3 · Paskelbta 04.05.2026, 09:12 · Maišas f00fe99c5db7

Privatumas

1. Kalba ir vertimai

Ši privatumo politika pateikiama keliomis kalbomis. Anglų kalba yra autoritetinga. Vertimai pateikiami tik aiškumo dėlei. Privalomos teisės pagal duomenų subjekto įprastinės gyvenamosios vietos teisę lieka nepakitusios.

2. Duomenų valdytojas

Duomenų valdytojas, kaip apibrėžta Bendrajame duomenų apsaugos reglamente (BDAR), yra:
Mark Reinhardt (individuali įmonė)
„Contrima“ yra Mark Reinhardt teikiama
paslauga El. paštas: info@contrima.com

3. Apžvalga: kokius duomenis tvarkome ir kodėl

Mes tvarkome asmens duomenis, siekdami užtikrinti „Contrima“ veikimą techniniu požiūriu, užtikrinti paslaugos saugumą ir tobulinti ją, taip pat vykdyti ir dokumentuoti procesus, susijusius su fotografais, galerijomis, patvirtinimais, dovanomis, mainais, pardavimais, licencijavimu, pirkimais, prenumeratomis, pardavėjais ir mokėjimais.

Tai apima, visų pirma, duomenis iš svetainės veiklos, iš vartotojų paskyrų ir fotografų profilių, iš QR ir prieigos sistemų, prašymų ir galerijų procesų, iš peržiūros, publikavimo, patvirtinimo, sutikimo, licencijavimo ir pirkimo procedūrų, iš komunikacijos, taip pat iš sąskaitų išrašymo, mokėjimų apdorojimo, pardavėjų įtraukimo, patikrinimo, išmokėjimų, archyvavimo ir apskaitos.

Asmens duomenis tvarkome visų pirma remdamiesi šiais teisiniais pagrindais:

GDPR 6 straipsnio 1 dalies b punktas (sutartis / ikisutartinės priemonės),
BDAR 6 straipsnio 1 dalies c punktas (teisinė prievolė),
BDAR 6 straipsnio 1 dalies f punktas (teisėti interesai, pvz., saugus ir stabilus teikimas, piktnaudžiavimo ir sukčiavimo nustatymas, atsekamumas, teisinė gynyba, archyvavimas ir patikimas mokėjimų apdorojimas),
BDAR 6 straipsnio 1 dalies a punktas (sutikimas, jei to reikalaujama atskirais atvejais).

Jei duomenis tvarkome remdamiesi sutikimu, galite bet kuriuo metu atšaukti savo sutikimą, kuris įsigalios ateityje.

„Contrima“ tvarko tam tikrus duomenis kaip savarankiškas duomenų valdytojas, visų pirma platformos veikimui, saugumui, komunikacijai, apskaitai, pardavėjų / išmokėjimų procesams, dokumentacijai, patikrinimui ir archyvavimui. Kai „Contrima“ atlieka atskiras funkcijas atitinkamo fotografo vardu, duomenų tvarkymas vyksta kiekvienu atveju pagal įstatymų numatytą tvarką.

4. Hostingo ir saugojimo infrastruktūra (AWS, Airijos regionas)

„Contrima“ veikia AWS Airijos (ES) regione. Duomenys, susidarantys prisijungus prie svetainės ar naudojantis platforma, tvarkomi mūsų prieglobos paslaugų teikėjo sistemose.

Hostingo paslaugų teikėjas (duomenų tvarkytojas):
„Amazon Web Services EMEA SARL“, 38 avenue John F. Kennedy, L-1855 Liuksemburgas („AWS“)

Vaizdų duomenų, peržiūros failų, galerijos turinio, patvirtinimo failų ir archyvinių fondų saugojimui AWS infrastruktūroje gali būti naudojamos įvairios saugojimo ir archyvavimo klasės, įskaitant neviešąsias archyvavimo klases, pvz., AWS S3 Glacier Deep Archive.

5. Prieigos duomenys / serverio žurnalo failai

Kiekvieną kartą, kai prisijungiama prie svetainės ar platformos, žiniatinklio serveris automatiškai apdoroja informaciją vadinamuosiuose serverio žurnalo failuose. Tai gali apimti, visų pirma:

IP adresą (arba techniškai lygiavertį identifikatorių),
užklausos datą ir laiką,
aplankytą puslapį / failą (URL / kelią),
nuorodos URL,
naršyklės tipą/versiją ir operacinę sistemą,
būsenos kodai/klaidų pranešimai,
perduotų duomenų kiekis.

Duomenų tvarkymo tikslas – užtikrinti svetainės ir platformos techninį veikimą, stabilumą ir saugumą (pvz., klaidų analizė, apsauga nuo atakų, piktnaudžiavimo nustatymas ir su saugumu susijusios prieigos auditas). Teisinis pagrindas – BDAR 6 straipsnio 1 dalies f punktas.

Log failai saugomi tik tiek, kiek tai būtina nurodytiems tikslams, o vėliau ištrinami arba anonimizuojami, jeigu tolesnis saugojimas nėra būtinas įrodymų tikslais (pvz., saugumo incidentų atveju).

6. Šifravimas (TLS/SSL)

Saugumo sumetimais naudojame perdavimo šifravimą (TLS/SSL), kad užtikrintume kuo geresnę perduodamo turinio apsaugą. Tačiau atkreipkite dėmesį, kad duomenų perdavimas internetu vis tiek gali būti pažeidžiamas saugumo spragų.

7. Slapukai ir panašios technologijos

Mūsų svetainėje ir platformoje gali būti naudojami slapukai ar panašios technologijos. Mes skiriame:

Techniniu požiūriu būtinus slapukus ar panašius mechanizmus (pvz., sesijos slapukus prisijungimui, kalbai, navigacijai, saugumui ir žetonams),
Pasirinktinius slapukus/įrankius, kurie naudojami tik gavus jūsų sutikimą, jei tai būtina.

Techniniu požiūriu būtini slapukai yra reikalingi svetainės ir platformos veikimui užtikrinti. Teisinis pagrindas juos saugoti/skaityti galutiniuose įrenginiuose yra TDDDG 25 straipsnio 2 dalies 2 punktas; tolesnis asmens duomenų tvarkymas vyksta remiantis GDPR 6 straipsnio 1 dalies f punktu arba GDPR 6 straipsnio 1 dalies b punktu, jei funkcija yra būtina sutarties vykdymui arba konkretaus darbo proceso vykdymui.

Jei ateityje bus naudojamos analizės, rinkodaros ar kitos priemonės, kurioms reikalingas sutikimas, mes pakeisime šią privatumo politiką ir, jei reikės, iš anksto gausime sutikimą.

8. Vartotojo paskyra, fotografo profilis ir pardavėjo paskyra

Jei siūlome galimybę susikurti vartotojo paskyrą arba prisijungti, mes tvarkome šiam tikslui reikalingus duomenis (pvz., el. pašto adresą, prisijungimo duomenis, techninius sesijos duomenis, kalbos nustatymus, laiko juostą, profilio duomenis ir saugumo informaciją), siekiant suteikti vartotojo paskyrą, įgalinti prisijungimą, valdyti profilį ir užtikrinti sistemos saugumą.

Fotografo profilių atveju taip pat gali būti tvarkomi papildomi profilio, portfolio, vitrinos, sąskaitų išrašymo, pardavėjo, mokesčių, prenumeratos, saugojimo ir kainodaros duomenys, jei šios funkcijos yra siūlomos arba aktyvuotos.

Teisinis pagrindas paprastai yra BDAR 6 straipsnio 1 dalies b punktas ir BDAR 6 straipsnio 1 dalies f punktas (saugumo interesai, piktnaudžiavimo prevencija, sistemos stabilumas).

Pastaba: slaptažodžiai nesaugomi paprastu tekstu, bet paprastai saugomi kaip maišos vertė (techninė saugumo procedūra).

9. Duomenys, susiję su fotografuojamais asmenimis, gavėjais ir kitais duomenų subjektais

„Contrima“ taip pat tvarko fotografuojamų asmenų, priimančių asmenų, pirkėjų ir kitų duomenų subjektų asmens duomenis, susijusius su įkėlimais, galerijos užduotimis, prieigos procesais, peržiūromis, publikacijomis, patvirtinimais, sutikimais, licencijavimu, pirkimais ir konkrečių atvejų dokumentavimu.

Tokie duomenys gali būti gaunami tiesiogiai iš duomenų subjekto (pvz., kai jis atidaro prieigos tašką, pateikia el. pašto adresą, pasirenka kalbą, pateikia pareiškimą arba atlieka pirkimą) arba pasiekia mus netiesiogiai per fotografą ar kitas susijusias šalis; (pvz., per vaizdo failų įkėlimą, užduočių duomenis, kontaktinius duomenis, QR korteles, galerijos nuorodas ar informaciją apie atvejus).

Priklausomai nuo atvejo, tvarkomi visų pirma šie duomenys: vaizdo failai, užduočių ir atvejų informacija, kontaktiniai duomenys, kalbos ir įrenginių kontekstai, būsenos duomenys, deklaracijų ir sutarčių duomenys, taip pat patikrinimo ir audito informacija.

Atvejais, susijusiuose su nepilnamečiais ir atstovais, taip pat gali būti tvarkomi vaidmenų duomenys, įgaliojimų ir atstovavimo patvirtinimai, susitarimai tarp nepilnamečio ir įgaliojimą suteikiančio suaugusiojo, laiko žymos, ryšių duomenys, patikrinimo duomenys ir būsenos informacija, susijusi su pirkimu, mokėjimu, aktyvavimu ar pristatymu, jei tai būtina atitinkamam darbo srautui.

Jei asmens duomenys nėra renkami tiesiogiai iš duomenų subjekto, mes vykdome informavimo pareigas pagal BDAR 14 straipsnį tiek, kiek to reikalauja įstatymai. Fotografavimo ir pirminio įkėlimo teisinis leistinumas priklauso nuo konkretaus atvejo ir fotografo atsakomybės.

10. QR kodai, prieigos sistema, prašymai ir asmeninės prieigos nuorodos

„Contrima“ gali teikti QR kodus, viešus prieigos kodus, asmenines prieigos nuorodas, prieigos žetonus, kalbos kontekstus ir panašias prieigos sistemas, kad fotografuojami asmenys, gavėjai, pirkėjai ar kitos susijusios šalys galėtų pasiekti dalyvių puslapius, galerijas, peržiūras, patvirtinimo, sutikimo ar pirkimo procesus.

Tai darydami, mes apdorojame visų pirma viešuosius arba asmeninius kodus, žetonų vertes, pageidaujamą kalbą, laiko žymes, reikalavimo statusą, pakartotinio siuntimo įvykius, sesijos arba naršyklės žymes, saugumo informaciją ir atitinkamame procese pateiktą el. pašto adresą.

Jei nepilnamečiai naudoja asmeninę prieigą arba prašymo, leidimo, licencijavimo ar pirkimo procesą, nepilnamečio dalyvavimas ir reikalingas tėvų, globėjų ar kitų įgaliotų suaugusiųjų leidimas gali būti dokumentuojami atskirai.

Šis tvarkymas skirtas saugiai suteikti prieigą, priskirti konkretų atvejį, užkirsti kelią piktnaudžiavimui, pateikti asmeninius nuorodas, užtikrinti tinkamą kalbos rodymą ir įgyvendinti atitinkamo darbo srauto techninius bei organizacinius aspektus. Teisinis pagrindas yra BDAR 6 straipsnio 1 dalies b punktas ir BDAR 6 straipsnio 1 dalies f punktas.

Neutraliuose pakartotiniuose peržiūrėjimuose kontaktinius duomenis galime rodyti užmaskuota forma, o saugumo sumetimais negalime vėl suteikti tiesioginės prieigos.

11. Galerijos, peržiūros, publikacijos ir sutartys

Galerijų ir licencijų kontekste mes tvarkome, visų pirma, informaciją apie: atvejus, galerijas, dalyvių užduotis, vaizdų variantus, peržiūras, vandenženklius, publikavimo lygius, aktyvavimus, pirkimus, patvirtinimus, įgaliojimus ir sutikimų statusus, taip pat konkrečiam atvejui pasirinktus paketus ar pasiūlymus.

Dokumentavimo ir tikrinimo tikslais taip pat galime registruoti: taikomą paketo versiją, rodomą teksto versiją, kalbą, laiko žymą, naudotą el. pašto adresą, portalo arba prieigos žymės kontekstą ir kitus techniškai būtinus audito duomenis. PDF arba panašūs susitarimo ir patvirtinimo dokumentai gali būti sukurti, išsaugoti ir pateikti susijusioms šalims.

Šis duomenų tvarkymas skirtas atitinkamo atvejo tvarkymui, peržiūrų rodymui, prieigos aktyvinimui gavus sutikimą arba atlikus mokėjimą, pareiškimų ir sutarčių dokumentavimui, teisų apimties patikrinimui ir teisinei gynybai. Teisinis pagrindas, priklausomai nuo atvejo, yra BDAR 6 straipsnio 1 dalies b punktas, BDAR 6 straipsnio 1 dalies f punktas, BDAR 6 straipsnio 1 dalies c punktas ir, jei būtina atskirais atvejais, BDAR 6 straipsnio 1 dalies a punktas.

12. Susisiekimas su mumis

Jei susisiekiate su mumis elektroniniu paštu, mes tvarkome jūsų pateiktus duomenis (pvz., vardą, pavardę, elektroninio pašto adresą, pranešimo turinį), siekiant atsakyti į jūsų užklausą.

Teisinis pagrindas yra BDAR 6 straipsnio 1 dalies b punktas; (jei tai susiję su (prieš)sutartiniais susirašinėjimais) arba BDAR 6 straipsnio 1 dalies f punktas; (bendrieji užklausimai; teisėtas interesas užtikrinti veiksmingą bendravimą).

Kontaktinė forma: Jei pateikiama kontaktinė forma, mes tvarkome joje surinktus duomenis išimtinai užklausos tvarkymo tikslais. Ši privatumo politika bus atnaujinama prireikus, pvz., jei bus įdiegtos papildomos paslaugos, pvz., apsauga nuo šlamšto.

13. Naujienlaiškis

Jei ateityje siūlysime naujienlaiškį, mes pakeisime šią privatumo politiką ir, visų pirma, skaidriai atskleisime pašto paslaugų teikėją, dvigubo sutikimo procedūrą, bet kokius veiklos rodiklius ir atsisakymo galimybes.

14. El. laiškų siuntimas per AWS SES

Sisteminėms ir transakcinėms el. žinutėms siųsti naudojame „Amazon Simple Email Service“ (AWS SES); (pvz., patvirtinimus, asmenines prieigos nuorodas, pakartotinai siunčiamas žinutes, galerijos ar susitikimų pranešimus, pirkimo ar mokėjimo informaciją, sąskaitų faktūrų ar pardavėjo / išmokėjimo pranešimus); naudojame „Amazon Simple Email Service“ (AWS SES).

Visų pirma tvarkomas el. pašto adresas, jei taikoma, vardas ir pavardė, kalbos kontekstas ir techniniai el. laiško metaduomenys (pvz., pristatymo informacija).

Teisinis pagrindas yra BDAR 6 straipsnio 1 dalies b punktas, BDAR 6 straipsnio 1 dalies c punktas, ir (arba) BDAR 6 straipsnio 1 dalies f punktas.

15. Mokėjimai, prenumeratos, „Stripe“ ir „Stripe Connect“

Kai naudojamasi mokamomis paslaugomis, prenumeratomis, saugojimo paketais, vaizdų ar licencijų pirkimais, pardavėjų sąskaitomis ar išmokėjimo funkcijomis, mes tvarkome šiam tikslui reikalingus sąskaitų išrašymo, sandorių ir patvirtinimo duomenis.

Tai gali apimti, visų pirma:

vardą, pavardę, adresą, el. pašto adresą ir atsiskaitymo duomenis,
įsigytas ar užsakytas paslaugas, sumas, valiutas ir mokėjimo būseną,
sąskaitų išrašymo, grąžinimo, ginčų, atšaukimo ir išmokėjimo duomenis,
o pardavėjo ar išmokėjimo funkcijų atveju – papildomus įmonės, teisinės formos, mokesčių, banko ir patvirtinimo duomenis, taip pat, jei reikia, įgaliotų atstovų ar tikrųjų savininkų duomenis.

Mokėjimų apdorojimui, prenumeratoms, pardavėjų įtraukimui ir išmokėjimo funkcijoms mes naudojame visų pirma „Stripe“ ir „Stripe Connect“. Jei pateikiate asmens duomenis, susijusius su mokėjimo paslaugomis, „Stripe“ gauna šiuos duomenis ir juos apdoroja pagal „Stripe“ privatumo politiką.

Šis tvarkymas skirtas mokėjimų apdorojimui, sutarties vykdymui, sąskaitų išrašymui, teisinių įsipareigojimų laikymuisi, sukčiavimo ir piktnaudžiavimo prevencijai, pardavėjų patikrinimui ir išmokų vykdymui. Teisinis pagrindas yra BDAR 6 straipsnio 1 dalies b punktas, BDAR 6 straipsnio 1 dalies c punktas, BDAR 6 straipsnio 1 dalies f punktas ir, jei būtina, BDAR 6 straipsnio 1 dalies a punktas.

Jei pirkimus ar mokėjimo procesus inicijuoja nepilnamečiai arba juose dalyvauja nepilnamečiai, taip pat gali būti tvarkoma papildoma informacija apie mokantį, patvirtinantį ar įgaliotą suaugusįjį, taip pat duomenys apie statusą ir patikrinimą, susiję su patvirtinimu, įgaliojimu, grąžinimais ar grąžinimais už mokėjimus.

Tuo atveju, kai skaitmeniniai vaizdai ar skaitmeninės naudojimo teisės teikiami nedelsiant, taip pat gali būti tvarkomi patvirtinimai dėl teikimo pradžios, atsisakymo teisės galiojimo pabaigos, atstovo patvirtinimo, taip pat susiję laikai, teksto versijos, kalbos versijos, techniniai įrodymai ir audito informacija.

16. Duomenų gavėjai / duomenų tvarkytojai / nepriklausomi duomenų valdytojai

Mes samdome paslaugų teikėjus, kurie tvarko duomenis mūsų vardu (duomenų tvarkymas pagal BDAR 28 straipsnį), taip pat perduodame duomenis įstaigoms, kurios atitinkamame kontekste gali veikti kaip nepriklausomi duomenų valdytojai.

Tai visų pirma:

„Amazon Web Services EMEA SARL“ – prieglobos, saugojimo ir infrastruktūros paslaugos,
„Amazon Web Services“ (AWS SES) – elektroninių laiškų siuntimas,
„Stripe“ / „Stripe Connect“ – mokėjimų apdorojimas, pardavėjų registracija, patikrinimas ir išmokėjimai,
Fotografai, pirkėjai, fotografuojami asmenys, prekes priimantys asmenys ar kitos susijusios šalys, jei tai būtina konkrečiam atvejui, galerijai, pirkimui, sutarčiai ar įrodymų pateikimui,
Mokesčių konsultantai, teisiniai konsultantai, bankai, viešosios institucijos ar kitos įstaigos, jei tai būtina sutarties vykdymui, teisinių teisių įgyvendinimui ar teisinių įsipareigojimų vykdymui.

17. Perdavimas į trečiąsias šalis

Jei naudojant AWS, AWS SES, Stripe ar kitas paslaugas asmens duomenys perduodami į šalis už Europos ekonominės erdvės (EEE) ribų, tai daroma tik laikantis BDAR 44 ir tolesnių straipsnių reikalavimų, pvz., remiantis atitinkamomis apsaugos priemonėmis, tokiomis kaip standartinės sutartinės sąlygos ir (arba) kiti pripažinti apsaugos mechanizmai.

18. Saugojimo laikotarpis ir archyvavimas

Mes tvarkome ir saugome asmens duomenis tik tiek, kiek tai yra būtina atitinkamiems tikslams, arba kol galioja įstatyminiai saugojimo įpareigojimai. Po to duomenys ištrinami, anonimizuojami arba perkeliami į archyvą, atsižvelgiant į jų statusą ir paskirtį.

„Contrima“ atveju ypač taikoma ši nuostata:

Paprastai serverių ir saugumo žurnalus saugome tik tiek, kiek tai būtina saugumui užtikrinti, klaidų analizei atlikti ir piktnaudžiavimui užkirsti kelią.
Paprastai mes saugome paskyros duomenis, fotografų profilius, sąskaitų faktūrų ir pardavėjų duomenis sutartinių santykių trukmės laikotarpiu ir ilgiau, jei tai būtina dėl įstatymų nustatytų saugojimo įsipareigojimų, teisinės gynybos arba įrodymų pateikimo tikslais.
Pretenzijų, prieigos, galerijos, sutikimų, licencijų ir pirkimo duomenis saugome tiek, kiek tai būtina bylos tvarkymui, dokumentavimui, patikrinimui, teisinei gynybai ir teisinių įsipareigojimų vykdymui.
Įkeltos originalios nuotraukos paprastai saugomos aktyvioje saugykloje galutinių aktyvių bylų atveju iki 90 dienų nuo paskutinės reikšmingos veiklos ir vėliau perkeltos į neviešą archyvą.
Juodraščiai, bandomieji atvejai ar kiti nebaigti atvejai, kurie nebuvo užbaigti, gali būti ištrinti pagal atitinkamą produkto statusą ar tarifą.
Archyvuoti originalūs duomenys gali būti saugomi neribotą laiką neviešose archyvų saugyklose AWS infrastruktūroje, įskaitant AWS S3 Glacier Deep Archive, jei nėra teisinių ar sutartinių priežasčių juos ištrinti.
Patikrinimo, sutikimo, audito, miniatiūrų, pirštų atspaudų, maišos, sąskaitų išrašymo ir kiti dokumentacijos duomenys gali būti saugomi ilgiau arba atskirai, nepriklausomai nuo pirminių vaizdų aktyvios prieinamybės.

Archyvuoti objektai „Deep Archive“ saugojimo klasėse nėra viešai prieinami; ir paprastai nėra prieinami realiuoju laiku; norint vėl prie jų prisijungti, gali būti reikalingas atskiras atkūrimo procesas.

19. Jūsų teisės

Atsižvelgiant į teisinius reikalavimus, Jūs turite, visų pirma, šias teises:

Teisė susipažinti su duomenimis (GDPR 15 straipsnis),
Teisė į duomenų taisymą (BDAR 16 straipsnis),
Teisė į duomenų ištrynimą (GDPR 17 straipsnis),
Teisė į duomenų tvarkymo apribojimą (BDAR 18 straipsnis),
Teisė į duomenų perkeliamumą (BDAR 20 straipsnis),
Teisė nesutikti su duomenų tvarkymu pagal BDAR 6 straipsnio 1 dalies f punktą (BDAR 21 straipsnis),
Teisė bet kuriuo metu atšaukti sutikimą, kuris įsigalioja ateityje.

20. Teisė pateikti skundą priežiūros institucijai

Jūs turite teisę pateikti skundą duomenų apsaugos priežiūros institucijai, visų pirma toje valstybėje narėje, kurioje yra jūsų nuolatinė gyvenamoji vieta, darbo vieta arba kurioje įvyko įtariamas pažeidimas. Kompetentinga institucija mūsų registruotos buveinės atžvilgiu yra:

Baden-Viurtembergo duomenų apsaugos ir informacijos laisvės valstybinis komisaras (LfDI BW)
PO Box 10 29 32
70025 Štutgartas
El. paštas: poststelle@lfdi.bwl.de
Interneto svetainė: baden-wuerttemberg.datenschutz.de

21. Šios privatumo politikos pakeitimai

Mes galime keisti šią privatumo politiką, jei pasikeičia teisinė situacija, paslaugos, mokėjimo paslaugos, saugojimo ir archyvavimo procedūros arba duomenų tvarkymo praktika. Taikoma bet kuriuo metu šioje puslapyje paskelbta versija.

22. Pareiga pateikti duomenis

Paprastai jūs neprivalote pateikti asmens duomenų vien dėl to, kad lankotės svetainėje informaciniais tikslais. Tačiau, jei naudojatės prieigos tašku ar galerija, pateikiate deklaraciją, atliekate pirkimą arba aktyvuojate pardavėjo / išmokėjimo funkcijas, tam tikri duomenys yra reikalingi siekiant suteikti atitinkamą paslaugą, apdoroti sandorį, tvarkyti mokėjimus, atlikti išmokėjimus arba įvykdyti teisinius įsipareigojimus.

23. Nėra visiškai automatizuoto sprendimų priėmimo

Visiškai automatizuotas sprendimų priėmimas, įskaitant profiliavimą pagal BDAR 22 straipsnį, šiuo metu nevyksta. Tačiau saugumo, sukčiavimo, rizikos ar atitikties mechanizmai gali lemti, kad prieiga, įkėlimai, paskelbimai, mokėjimai ar išėmimai bus laikinai apriboti ir vėliau patikrinti rankiniu būdu.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.