I. Jelen dokumentum célja
A K&H Csoport munkaerő toborzási és kiválasztási folyamatai támogatására érdekében, állásajánlatai meghirdetésére és az azokra való jelentkezés, valamint kapcsolódó szolgáltatásai igénybevételének biztosítása céljából Karrierportál online felületet és adatbázist üzemeltet. A K&H Csoport Karrierportál szolgáltatása kizárólag regisztrációval vehető igénybe, amely regisztráció során a kezelt adatok körénél személyes adatok felvételére és kezelésére kerül sor.
Jelen tájékoztató célja, hogy a regisztrációt megelőzően tájékoztatást adjon az érintett természetes személyek részére a Karrierportál üzemeltetésével kapcsolatos adatkezelési gyakorlatról, valamint az őket megillető jogokról.
II. Az adatkezelők és elérhetőségeik
A Karrierportál a K&H Csoport által létrehozott és üzemeltetett online felület és adatbázis. A Karrierportál adatkezelései vonatkozásában a személyes adatok kezelésének céljait és eszközeit a K&H Csoport tagjai együttesen határozták meg, így valamennyien adatkezelőknek, egymás vonatkozásában közös adatkezelőknek minősülnek.
A K&H Csoport – a Karrierportál vonatkozásában - az alábbi jogi személyeket foglalja magában:
K&H Bank Zrt.,
K&H Csoportszolgáltató Kft.,
K&H Befektetési Alapkezelő Zrt.,
K&H Faktor Zrt.,
K&H Biztosító Zrt.,
KBC Securities magyarországi fióktelepe és a
KBC Group magyarországi fióktelepe.
A K&H Csoport tagjainak (a továbbiakban: Adatkezelők) közös elérhetőségei az alábbiak:
központi cím: 1095 Budapest, Lechner Ödön fasor 9.
levelezési cím: K&H Bank 1851 Budapest
ügyfélszolgálat: +36 1/20/30/70 335 3355
e-mail cím: bank@kh.hu
Az Adatkezelők által az érintettek számára kijelölt kapcsolattartó a K&H Bank Zrt. adatvédelmi tisztviselője, akinek elérhetősége az alábbi:
e-mail címe: bank@kh.hu
III. Az Adatkezelők által igénybe vett adatfeldolgozó(k)
Az Adatkezelők a Karrierportál üzemeltetéséhez kapcsolódóan az alábbi adatfeldolgozó(ka)t veszik igénybe:
|
Adatfeldolgozó megnevezése |
Adatfeldolgozó elérhetősége |
Adatfeldolgozás célja |
Adatfeldolgozással érintett adatok köre |
|
Nexum Magyarország Kft. |
6726 Szeged, Temesvári körút 15. |
Az Adatfeldolgozó feladata a Karrierportál működtetése, beleértve a Karrier portál adatbázisának kezelését, az abban rögzített személyes adatok tárolását és törlését is. |
A Karrierportál adatbázisában kezelt valamennyi személyes adat. |
IV. Az Adatkezelők által folytatott adatkezelések
1. Regisztráció a Karrierportálra
A Karrierportál szolgáltatásai kizárólag regisztráció esetén vehetők igénybe, amely regisztráció során a kezelt adatok körénél személyes adatok felvételére kerül sor, illetve azok átvételére kerülhet sor. A felhasználóknak lehetőségük van közvetlenül regisztrálniuk a Karrierportálra, azaz adataikat közvetlenül megadni az Adatkezelők részére, vagy regisztrációjukat adott közösségi oldalakon keresztül is elvégezhetik. Ez utóbbi esetben a regisztráció során az érintettek hozzájárulása alapján az Adatkezelők az érintettekre vonatkozó személyes adatokat kaphatnak meg az adott közösségi oldalaktól, de regisztrációjuk során az adott közösségi oldalak számára megadott adatoktól független más adatokat is rögzíthetnek a Karrierportálon.
|
Az adatkezelés célja: |
Visszaigazolt, más felhasználóktól megkülönböztethető Felhasználói profil létrehozása; kapcsolattartás biztosítása; a Karrierportál szolgáltatásainak biztosítása; a Karrierportál szolgáltatásainak személyre szabott biztosítása. |
|
Az adatkezelési műveletek leírása: |
Kétlépcsős regisztrációs folyamat: alap személyes és kapcsolattartási adatok megadása után regisztrációt megerősítő e-mail küldése, majd a regisztrációs szándék felhasználó általi megerősítését követően a regisztráció véglegesítése további személyes adatok megadásával és Adatkezelők általi rögzítésével. Közösségi oldalakon keresztül történő regisztráció esetén a közösségi oldalaktól történő adatátvétel a közösségi oldalak adatkezelési tájékoztatója szerint történik. A regisztrációs folyamat során megadott adatok módosítása: a felhasználóknak a Karrierportálba való belépést követően bármikor lehetőségük van a regisztráció során megadott adataik módosítására. |
|
Adattovábbítás: |
- |
|
Az adatkezelés jogalapja: |
Az adatkezelés az érintetek - GDPR 6. cikk (1) bekezdésének a) pontja szerinti - hozzájárulásán alapul. |
|
A kezelt személyes adatok kategóriái: |
A felhasználók más felhasználóktól való megkülönböztetését biztosító személyes adatok; kapcsolattartási adatok; a munkaerő toborzási és kiválasztási folyamatok szempontjából releváns végzettségi, képzettségi és munkaerőpiaci tapasztalati adatok. |
|
Az adatkezelés időtartama: |
Az érintettek által adott hozzájárulások visszavonásáig (a regisztráció törléséig), azok hiányában a Karrierportálba való utolsó belépéstől számított 1 évig (azaz a Felhasználói profil megszűnéséig). |
2. Adatkezelők általi Karrierportálon történő regisztráció
Harmadik felek ajánlása esetén az Adatkezelők az ajánlott természetes személyek regisztrációját kezdeményezik annak érdekében, hogy az ajánlott természetes személyt tájékoztassák az ajánlásról, és egyben a Karrierportálra való regisztrációs folyamat szükségességéről.
|
Az adatkezelés célja: |
Tájékoztatás az ajánlásról és az esetlegesen ajánlott állásajánlatról; visszaigazolt, más felhasználóktól megkülönböztethető Felhasználói profil létrehozása; kapcsolattartás biztosítása; a Karrierportál szolgáltatásainak biztosítása; a Karrierportál szolgáltatásainak személyre szabott biztosítása. |
|
Az adatkezelési műveletek leírása: |
E-mail küldése az ajánlásról és az ajánlott állásajánlatról: a regisztrációs szándék felhasználó általi megerősítése esetén a regisztráció véglegesítése további személyes adatok megadásával és Adatkezelők általi rögzítésével. A regisztrációs folyamat során megadott adatok módosítása: a felhasználóknak a Karrierportálba való belépést követően bármikor lehetőségük van a regisztráció során megadott adatok módosítására. |
|
Adattovábbítás: |
- |
|
Az adatkezelés jogalapja: |
Az adatkezelés a regisztráció véglegesítéséig az Adatkezelők, az ajánló valamint az ajánlott természetes személyek - GDPR 6. cikk (1) bekezdésének f) pontja szerinti - jogos érdekén, a regisztráció véglegesítését követően az érintetek - GDPR 6. cikk (1) bekezdésének a) pontja szerinti - hozzájárulásán alapul. |
|
A kezelt személyes adatok kategóriái: |
A felhasználók más felhasználóktól való megkülönböztetését biztosító személyes adatok; kapcsolattartási adatok; a munkaerő toborzási és kiválasztási folyamatok szempontjából releváns végzettségi, képzettségi és munkaerőpiaci tapasztalati adatok. |
|
Az adatkezelés időtartama: |
Az ajánlásról és az ajánlott állásajánlatról tájékoztató e-mail kiküldését követő 30 napig, a regisztráció véglegesítése esetén az érintettek által adott hozzájárulások visszavonásáig (a regisztráció törléséig), azok hiányában a Karrierportálba való utolsó belépéstől számított 1 évig (azaz a Felhasználói profil megszűnéséig). |
3. Jelentkezés meghirdetett állásajánlatokra
A Karrierportálra regisztrált felhasználók a Karrierportálba való bejelentkezéseket követően bármely meghirdetett állásajánlatra elküldhetik jelentkezési szándékukat. Jelöltként való kiválasztásuk esetén a felhasználók további személyes adatokat adhatnak meg magukról, az adott állásajánlat szempontjából releváns kérdőíveket, valamint teszteket tölthetnek ki és tölthetnek fel a Karrierportálra.
|
Az adatkezelés célja: |
A Karrierportálon meghirdetett állásajánlatokra való jelentkezés biztosítása; a jelentkezésekkel kapcsolatos visszajelzések megküldése; a jelentkezésekkel kapcsolatos munkaerő toborzási és kiválasztási folyamat szempontjából releváns további adatok felvétele és kezelése. |
|
Az adatkezelési műveletek leírása: |
Automatikus értesítés küldése e-mail üzenet útján a jelentkezés befogadásáról; kapcsolatfelvétel és kapcsolattartás a kiválasztási folyamattal kapcsolatosan; adatbekérés vagy tesztek kitöltésére való felhívás útján történő adatrögzítés és adatkezelés; a nyertes és az elutasított pályázók értesítése a kiválasztási folyamat eredményéről telefonon vagy e-mail üzenet útján. |
|
Adattovábbítás: |
Amennyiben az Adatkezelők jelöltként választanak ki egy adott meghirdetett állásajánlatra jelentkezőt, e-mail üzenete útján értestik őt többek között az esetleges videó-interjú szükségességéről és a videó-interjút biztosító szolgáltató webes elérhetőségéről. Az Adatkezelők ez esetben előzetesen megküldik a jelentkező e-mail címét a videó-interjút biztosító szolgáltató részére annak érdekében, hogy a szolgáltató egyedi elérési linket tudjon generálni a videó-interjú felületéhez. A fentiek alapján az adattovábbítás opcionális, arra kizárólag abban az esetben kerül sor, ha a jelentkező megfelel az állásajánlat szerinti alapfeltételeknek. Az Adatkezelőkkel szerződésben álló videó-interjút biztosító szolgáltató a GEEG JOB INTERVIEW LTD (UNITED KINGDOM, 20-22 WENLOCK ROAD, LONDON, N1 7GU). A szolgáltató a videóinterjúk vonatkozásában önálló adatkezelőként jár el, adatkezelési tevékenységéről közvetlenül nyújt tájékoztatást a jelentkezők részére. A jelentkezők közvetlenül a szolgáltatónak adott hozzájárulása esetén a szolgáltató hozzáférést biztosít az Adatkezelők részére az elkészült videó-interjúkhoz, amelyet az Adatkezelők kizárólag az adott jelentkezéshez használnak fel (tekintenek meg és értékelnek) a meghirdetett állásajánlat lezárásáig a jelentkezés elbírálása céljából. |
|
Az adatkezelés jogalapja: |
Az adatkezelés az érintetek - GDPR 6. cikk (1) bekezdésének a) pontja szerinti - hozzájárulásán alapul. |
|
A kezelt személyes adatok kategóriái: |
A felhasználók más felhasználóktól való megkülönböztetését biztosító személyes adatok; kapcsolattartási adatok; a munkaerő toborzási és kiválasztási folyamatok szempontjából releváns végzettségi, képzettségi és munkaerőpiaci tapasztalati adatok. |
|
Az adatkezelés időtartama: |
Az érintettek által adott hozzájárulások visszavonásáig (a regisztráció törléséig), azok hiányában a Karrierportálba való utolsó belépéstől számított 1 évig (azaz a Felhasználói profil megszűnéséig). |
4. Meghirdetett állásajánlatok ajánlása harmadik személy által
A Karrierportál lehetőséget biztosít bármely természetes személy részére, hogy az Adatkezelők által meghirdetett állásajánlatot harmadik fél részére ajánlják. Ebben az esetben az ajánlott fél e-mail üzenetet kap az ajánlás tényéről, az adott állásajánlat elérhetőségéről és a jelentkezés feltételeiről. Az adott állásajánlatra való jelentkezés, és az annak előfeltételét jelentő Karrierportálra való regisztráció folyamatával kapcsolatos adatkezelési tudnivalók a fenti IV.1. és IV.3. pontokban találhatóak.
|
Az adatkezelés célja: |
Tájékoztatás az ajánlásról és az ajánlott állásajánlatról. |
|
Az adatkezelési műveletek leírása: |
E-mail küldése az ajánlásról és az ajánlott állásajánlatról. |
|
Adattovábbítás: |
- |
|
Az adatkezelés jogalapja: |
Az adatkezelés a regisztráció véglegesítéséig az Adatkezelők, az ajánló valamint az ajánlott természetes személyek - GDPR 6. cikk (1) bekezdésének f) pontja szerinti - jogos érdekén alapul. |
|
A kezelt személyes adatok kategóriái: |
Egyedi linkes URL azonosító. |
|
Az adatkezelés időtartama: |
Az adatkezelés az e-mail tájékoztatás kiküldéséig tart. |
5. Állásajánlattal való megkeresés az Adatkezelők által
Az Adatkezelők a Karrierportálra regisztrált Felhasználókat kifejezetten tudásuknak és tapasztalataiknak megfelelő állásajánlatokkal is meg kívánják keresni.
|
Az adatkezelés célja: |
A Felhasználók megkeresése tudásuknak és tapasztalataiknak megfelelő állásajánlatokkal. |
|
Az adatkezelési műveletek leírása: |
Karrierportál adatbázisában kezelt személyes adatokba való betekintés, azokban való keresés, azok felhasználása annak érdekében, hogy megállapítható legyen a Felhasználók és az adott állásajánlatok közötti megfelelés; e-mail küldése a Felhasználók tudásának és tapasztalatának megfelelő állásajánlatról. |
|
Adattovábbítás: |
- |
|
Az adatkezelés jogalapja: |
Az adatkezelés az érintetek - GDPR 6. cikk (1) bekezdésének a) pontja szerinti - hozzájárulásán alapul. |
|
A kezelt személyes adatok kategóriái: |
Karrierportál adatbázisában kezelt valamennyi személyes adat, így a felhasználók más felhasználóktól való megkülönböztetését biztosító személyes adatok; kapcsolattartási adatok; a munkaerő toborzási és kiválasztási folyamatok szempontjából releváns végzettségi, képzettségi és munkaerőpiaci tapasztalati adatok. |
|
Az adatkezelés időtartama: |
Az érintettek által adott hozzájárulások visszavonásáig (a regisztráció törléséig), azok hiányában a Karrierportálba való utolsó belépéstől számított 1 évig (azaz a Felhasználói profil megszűnéséig). |
6. Hírlevélküldés
A Karrierportálra regisztrált Felhasználóknak lehetőségük van arra, hogy az Adatkezelők által meghirdetett, a Felhasználók érdeklődési körébe tartozó állásajánlatokról hírlevél formájában kapjanak közvetlen tájékoztatást. Mindehhez a Felhasználóknak az érdeklődési körüket kell megadniuk, továbbá kifejezetten kérelmezniük kell Felhasználó profiljukban a hírlevél-küldést.
|
Az adatkezelés célja: |
A Felhasználók megkeresése kérésük alapján érdeklődési körükbe tartozó állásajánlatokkal. |
|
Az adatkezelési műveletek leírása: |
Érdeklődési körre vonatkozó adatkezelés; e-mail küldése a Felhasználók érdeklődési körükbe tartozó állásajánlatokról. |
|
Adattovábbítás: |
- |
|
Az adatkezelés jogalapja: |
Az adatkezelés az érintetek - GDPR 6. cikk (1) bekezdésének a) pontja szerinti - hozzájárulásán alapul. |
|
A kezelt személyes adatok kategóriái: |
Karrierportál adatbázisában kezelt, a felhasználók más felhasználóktól való megkülönböztetését biztosító személyes adatok; kapcsolattartási adatok; érdeklődési körre vonatkozó adat. |
|
Az adatkezelés időtartama: |
Az érintettek által adott hozzájárulások visszavonásáig (a regisztráció törléséig), azok hiányában a Karrierportálba való utolsó belépéstől számított 1 évig (azaz a Felhasználói profil megszűnéséig). |
7. A weboldal süti-használata
A Karrierportál webes felülete, a https://karrier.kh.hu/ weboldal apró file-okat, úgynevezett cookie-kat, vagy más szóval sütiket alkalmaz a honlap működtetése, kényelmesebb használata, valamint statisztikai mérések és marketing tevékenység végzése érdekében. A sütik használatához az oldal látogatói hozzájárulásukat a honlapon adhatják meg. A sütik használatához adott hozzájárulások az adott webböngésző beállítások menüpontjaiban a későbbiekben módosíthatóak, vagy visszavonhatóak. A K&H Csoport cookie (süti) policy-je a https://www.kh.hu/cookie-szabalyzat aloldalon érhető el.
V. Adatvédelmi incidensek bejelentése
Amennyiben a Karrierportál felhasználói vagy harmadik felek adatvédelmi incidensről szereznek tudomást, jelen tájékoztató II. pontjában szereplő elérhetőségek valamelyikén jelenthetik azt be az Adatkezelőknek. Adatvédelmi incidensnek tekintendő a GDPR 4. cikk 12. pontja értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A bejelentéseket az Adatkezelők kivizsgálják, és a GDPR 33-34. cikkeinek előírásai szerint járnak el.
VI. Adatbiztonság
Az Adatkezelő az érintettek személyes adatait az Általános Adatvédelmi Rendelet (GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), valamint a vonatkozó jogszabályok rendelkezései szerint kezelik a Karrierportálon történő adatkezelés, valamint a munkaerő kiválasztási folyamat során, azokat illetéktelen harmadik feleknek nem adják át.
A kezelt adatokat kizárólag az Adatkezelők adatkezelésre kijelölt munkavállalói, illetve az adatfeldolgozó arra kijelölt alkalmazottai, valamint az egyes jogszabályokban erre felhatalmazott hatóságok ismerhetik meg. Az adatkezelésre kijelölt dolgozókat jogszabály, illetve munkaszerződésük kötelezi, hogy a munkájuk során megismert személyes adatokkal nem élhetnek vissza. Az adatfeldolgozóval kötött szerződés(ek)ben az Adatkezelők feltételül szabják, hogy az Adatfeldolgozó a tudomására jutott személyes adatokat megfelelő gondossággal köteles kezelni.
Az Adatkezelők által alkalmazott adatbiztonsági intézkedések:
1. Az adatvédelmi incidensek és adatvédelmi nyilvántartás kezelésének IT támogatása
Rendszeres önellenőrzések során az Adatkezelő ellenőrzi, hogy IT rendszerének működése és az irányadó vállalati előírások megfelelnek-e a jogszabályi előírásoknak. Az önellenőrzés keretében a megfelelőség felülvizsgálatán kívül az Adatkezelő a technológiai ellenálló képességet is teszteli (IT biztonsági felülvizsgálat). Az Adatkezelő rendszeresen elemzi az IT rendszerekben feldolgozott és tárolt adatok nyilvántartását (IT biztonsági vagyonleltár), és az azokat fenyegető IT biztonsági kockázatokat.
2. Azonosítási rendszerek
Az Adatkezelő a rendszereihez hozzáférő felhasználókat azonosítja, és a hozzáférési jogosultságokat felügyeli. Az Adatkezelő központi címtár rendszert, továbbá elektronikus aláírásokat (azonosításra, aláírásra, titkosításra) alkalmaz a felhasználói jogosultságok ellenőrzése érdekében. Az Adatkezelő emellett elosztott jogosultságkezelést (az egyes rendszerekhez/rendszercsoportokhoz kapcsolódó jogosultságok beállítására különböző személyek jogosultak), jelszó-menedzsmentet (minimális jelszó-komplexitás és jelszó-cserék előírása és kikényszerítése), és több-faktoros azonosítást (több azonosító komponens használata, nem csak a felhasználói név és jelszó) használ.
3. Ártó programok elleni védelem
Az Adatkezelő többszintű, több technológián és gyártón alapuló heterogén védelmi rendszert üzemeltet az általánosan elterjedt ártó programok (bot, malware, spyware, stb.) ellen a kliens és szerver számítógépeken, hálózati eszközökön, tartalomszűrőkön.
4. Biztonsági események kezelése
Az Adatkezelő a rendszerek és alkalmazások technikai naplóit gyűjti és tárolja, adatbiztonsági, adatvédelmi vagy IT biztonsági események rekonstruálása és esetleges vizsgálata céljából. Az adatvédelmi károk elkerülése és csökkentése érdekében az Adatkezelő biztonsági incidensek esetén felveszi a kapcsolatot az érintett személyekkel, valamint együttműködik külső szervekkel és szolgáltatókkal a biztonsági események nyomon követése és kezelése során.
5. Felhasználók támogatása és oktatása
Az Adatkezelő szükség esetén célirányos figyelemfelhívásokkal tájékoztatja a munkavállalókat az esetleges veszélyezhelyzetekről, továbbá szakirányú képzésekkel és oktatási programmal, szükség esetén célirányos figyelemfelhívó kampányokkal fejleszti és tartja szinten a munkavállalók informatikai és adatbiztonsági felkészültségét.
6. Hálózatbiztonság
A feldolgozó rendszereket és a vállalati belső hálózatot az Adatkezelő a publikus hálózatoktól elszeparálja és védi az illetéktelen hozzáférésektől. A hálózati kapcsolatok létrehozása során azonosítja a kapcsolódó végponti eszközöket annak érdekében, hogy a hálózatán csak engedélyezett állapotú számítógépek tudjanak kommunikálni. Továbbá biztonságos azonosítással és titkosítással gondoskodik arról, hogy a hálózati kommunikáció során a továbbított és kezelt adatok, üzenetek bizalmasságának megőrzése biztosított legyen.
7. Külső partnerek adatkezelése
Az Adatkezelő tájékoztatást nyújt a külső partnereknél végzett adatkezelésről, és az IT szolgáltatókkal történő kapcsolattartást és információ-áramlást szabályozza, valamint minden szolgáltatóval és partnerrel titoktartási megállapodást köt.
8. Sérülékenység menedzsment
Az Adatkezelő rendszeresen felméri, elemzi és értékeli az IT biztonsági sérülékenységeket, és ennek alapján megteszi a szükséges intézkedéseket. Az Adatkezelő rendszeresen telepít biztonsági frissítéseket a vállalati számítógépekre és eszközökre, és vizsgálja az ügyfeleknek nyújtott szolgáltatásai biztonságát.
9. Tartalomszűrés
Az Adatkezelő technológiai és adminisztratív lépésekkel azonosítja és szűri a kéretlen (spam), a megtévesztő (phising), és az ártó (malware) tartalmú elektronikus leveleket és forgalmakat. Ennek részeként felügyeli a hálózati hozzáféréseket és a böngészési tevékenységeket a hálózatán, emellett elemzi a rendszerhez való hozzáféréseket és a hálózati forgalmakat, az ügyfeleket és a szolgáltatásokat veszélyeztető támadások észlelése és kezelése céljából.
10. Adathordozók védelme
Az Adatkezelő nyilvántartást vezet a használt adathordozókról, valamint technológiai és adminisztratív lépésekkel gondoskodik biztonságos kezelésükről.
11. Az iratok és adatok fizikai védelme
Az elektronikus és papíralapú iratok fizikai védelme tekintetébe az Adatkezelő zárható szerverszobákkal, továbbá olyan naprakész iratkezelési szabályzattal rendelkezik, amely előírja a papíralapú iratok megfelelő biztonsági protokoll szerinti, zárt tárolását, és a megfelelő jogosultsággal rendelkező személyek általi kizárólagos hozzáférhetőségét.
VII. Az érintettek adatkezeléssel kapcsolatos jogai és jogorvoslati lehetőségei
Az érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 12., 13., 14., 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve az Adatkezelő ennek megfelelően nyújt tájékoztatást az érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen az érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Adatkezelő az érintett által kért információkat írásban, vagy – az érintett elektronikus úton benyújtott kérelme esetén, illetve ez irányú kérelmére – elektronikusan adja meg. Az érintett részére szóbeli tájékoztatás is adható, amennyiben az érintett a személyazonosságát az Adatkezelő részére igazolja.
Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett arra vonatkozó joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal (GDPR 22. cikk (1) és (4)) ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
(3) Az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy az Adatkezelő a kérésére indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az érintett jogosult továbbá arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatok jogellenesen kerültek kezelésre;
e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a fentebb írtak értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek, vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelés korlátozásának feloldásáról az Adatkezelő előzetesen tájékoztatja az érintett, akinek kérésére a fentiek alapján korlátozták az adatkezelést.
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők (így az Adatkezelő és egyéb adatkezelő) közötti közvetlen továbbítását.
(3) A fentebb írt jog gyakorlása nem sértheti a törléshez való jog („elfeledtetéshez való jog”) vonatkozásában írt rendelkezéseket, továbbá e jog nem érintheti hátrányosan mások jogait és szabadságait.
A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a személyes adatokat az Adatkezelő nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon az érintettre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
(4) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(5) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Az Adatkezelő adatvédelmi tisztviselőjéhez való fordulás joga
Az Érintett jogosult az adatkezeléssel kapcsolatos kifogásával az Adatkezelő adatvédelmi tisztviselőjéhez fordulni.
A felügyeleti hatóságnál történő panasztételhez való jog
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha a megítélése szerint a rávonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (weboldal: http://naih.hu/; cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c; postacím: 1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
Az Adatkezelővel vagy az Adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az érintett a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
(2) Az Adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az Adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is.