A McCann Erickson Budapest Nemzetközi Reklámügynökség Kft. (a továbbiakban: Adatkezelő), mint a www.mccann.hu domain név alatt elérhető weboldal (a továbbiakban: Weboldal) üzemeltetője ezúton teszi közzé a Weboldalon elérhető szolgáltatások keretében végzett adatkezelésekre vonatkozó tájékoztatást.

A Weboldalra látogató felhasználók (a továbbiakban: Felhasználó) elfogadják a jelen Adatkezelési tájékoztatóban (a továbbiakban: Tájékoztató) foglalt valamennyi feltételt, ezért kérjük, hogy a Weboldal használata előtt figyelmesen olvassa végig a jelen Tájékoztatót.

1.) AZ ADATKEZELŐ ADATAI

Az adatok kezelője a McCann Erickson Budapest Nemzetközi Reklámügynökség Kft.

Székhely: 1062 Budapest, Aradi utca 8-10.

E-mail: hello@mccann.hu

2.) AZ ADATKEZELŐVEL TÖRTÉNŐ KAPCSOLATFELVÉTELRE VONATKOZÓ INFORMÁCIÓK

Kezelt adatok köre:

A Weboldalon, az erre szolgáló felületen a Felhasználónak lehetősége van a megadni adatait annak érdekében, hogy az Adatkezelővel a kapcsolatot fel tudja venni, az Adatkezelő tevékenységéről, szolgáltatásairól tájékoztatást kapjon. A kapcsolatfelvétel során a következő személyes adatok megadása lehetséges (a *-al jelölt adatok megadása kötelező):

● teljes név*;

● cégnév*;

● e-mail cím*;

● téma;

● üzenet*.

Az adatkezelés célja: Az Adatkezelő szolgáltatásával, tevékenységével kapcsolatos információk biztosítása, kapcsolatfelvétel és kapcsolattartás az Adatkezelő által nyújtott szolgáltatások iránt érdeklődő Felhasználóval, Felhasználók tájékoztatása, az Adatkezelő tevékenységével kapcsolatos észrevételek kezelése.

Az adatkezelés időtartama: Adatkezelő a személyes adatokat az Adatkezelő és a Felhasználó közötti kétoldalú kommunikáció befejezésétől, lezárásától számítva legfeljebb 30 napig kezeli, illetve, amíg a Felhasználó nem kéri az adatai törlését, illetve nem vonja vissza személyes adatai kezeléséhez adott hozzájárulását.

Az adatkezelés jogalapja: a Felhasználó hozzájárulása a GDPR 6. cikk (1) bekezdés a) pontja alapján.

3.) A SZEMÉLYES ADATOK MEGISMERÉSÉRE JOGOSULTAK KÖRE, ADATFELDOLGOZÁS

A személyes adatok megismerésére az Adatkezelő, illetve az általa igénybevett Adatfeldolgozó a hatályos jogszabályok szerint jogosult.

Az adatok feldolgozását az Adatkezelő megbízásából eljáró alábbi adatfeldolgozó végzi:

· Tárhelyszolgáltató:

Az adatfeldolgozás célja a Weboldal üzemeltetésével kapcsolatos technikai feladatok teljesítése.

Adatkezelő fenntartja a jogot, hogy a jövőben további adatfeldolgozót vonjon be az adatkezelésbe, amelyről a jelen Tájékoztató módosításával tájékoztatja a Felhasználókat.

Az Adatkezelő kifejezett jogszabályi rendelkezés hiányában csak az adott Felhasználó kifejezett hozzájárulásával adja át harmadik személyeknek a személyes azonosítására alkalmas adatokat.

4.) A FELHASZNÁLÓ JOGAI

Hozzáférés a személyes adatokhoz

Az Adatkezelő a Felhasználó kérésére tájékoztatást ad arról, hogy személyes adataira vonatkozóan az Adatkezelő folytat-e adatkezelést, és amennyiben igen, hozzáférést ad számára a személyes adatokhoz, valamint tájékoztatja őt a következő információkról:

● az adatkezelés célja(i);

● az adatkezeléssel érintett személyes adatok fajtái;

● a Felhasználó személyes adatainak továbbítása esetén az adattovábbítás jogalapja és címzettje(i);

● az adatkezelés tervezett időtartama;

● a Felhasználó jogai a személyes adatok helyesbítésével, törlésével és kezelésének korlátozásával, valamint a személyes adatok kezelése elleni tiltakozásával összefüggésben;

● a Hatósághoz való fordulás lehetősége;

● az adatok forrása;

● a profilalkotással kapcsolatos lényeges információk;

● az adatfeldolgozók nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát díjmentesen a Felhasználó rendelkezésére bocsátja. A Felhasználó által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha a Felhasználó elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

Adatkezelő köteles indokolatlan késedelem nélkül, de legkésőbb a kérelem benyújtásától számított egy hónapon belül, közérthető formában, a Felhasználó kérelmére megadni a tájékoztatást. Felhasználó a hozzáférés iránti kérelmét az 1. pontban meghatározott elérhetőségeken nyújthatja be.

Kezelt adatok helyesbítése

A Felhasználó kérelmezheti az Adatkezelőnél (az 1. pontban meghatározott elérhetőségeken) pontatlan személyes adatainak helyesbítését, illetve a hiányos adatok kiegészítését az adatkezelés céljának figyelembevételével. Adatkezelő a helyesbítést indokolatlan késedelem nélkül elvégzi.

Kezelt adatok törlése (az elfeledtetéshez való jog), zárolása

A Felhasználó kérelmezheti, hogy Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) a Felhasználó visszavonja hozzájárulását és az adatkezelésnek más jogalapja nincs;

c) a Felhasználó tiltakozik személyes adatai kezelése miatt;

d) a személyes adatok kezelése jogellenesen történt;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok hozzájáruláson alapuló gyűjtésére az információs társadalommal összefüggő szolgáltatások gyermekek részére történő kínálásával kapcsolatosan került sor.

Ha az Adatkezelő nyilvánosságra hozta (harmadik személy számára elérhetővé tette) a személyes adatot, és azt a fentiekben foglaltak alapján törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az észszerűen elvárható lépéseket, intézkedéseket annak érdekében, hogy tájékoztassa az érintett személyes adatokat kezelő adatkezelőket, hogy a Felhasználó kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A személyes adatokat nem kell törölni abban az esetben, amennyiben az adatkezelés szükséges:

● a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

● a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

● a népegészségügy területét érintő közérdek alapján;

● a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez fűződő jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

● jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Adatkezelés korlátozása

A Felhasználó jogosult arra, hogy kérésére az Adatkezelő a személyes adatok helyesbítése vagy törlése helyett korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

● a Felhasználó vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

● az adatkezelés jogellenes, és a Felhasználó ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;

● az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de a Felhasználó igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

● a Felhasználó tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak a Felhasználó hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő a Felhasználót, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az Adatkezelő minden olyan címzettet tájékoztat a személyes adatok helyesbítéséről, törléséről vagy az adatkezelés korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Felhasználót kérésére az adatkezelő tájékoztatja e címzettekről.

Adathordozhatósághoz való jog

A Felhasználó jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa. Ha a Felhasználó kéri, az Adatkezelő kiexportálja PDF és/vagy CSV formátumban a kezelt adatokat.

Tiltakozáshoz való jog

A Felhasználó abban az esetben tiltakozhat személyes adatának kezelése ellen, ha az adatkezelés

● közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

● az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;

● profilalkotáson alapul.

A Felhasználó tiltakozása esetén az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Felhasználó érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés, illetve az ehhez kapcsolódó profilalkotás érdekében történik, a Felhasználó jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen. Ha a Felhasználó tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Adatkezelő intézkedése a Felhasználó kérelmével összefüggésben

Az Adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja a Felhasználót a hozzáférés, helyesbítés, törlés, korlátozás, a tiltakozás, valamint az adathordozhatóság iránti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja a Felhasználót. Ha a Felhasználó elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Ha az Adatkezelő nem tesz intézkedéseket a Felhasználó kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja a Felhasználót az intézkedés elmaradásának okairól, valamint arról, hogy a Felhasználó panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

A Felhasználó kérelme esetén az információkat, a tájékoztatást és a kérelme alapján megtett

intézkedést díjmentesen kell biztosítani. Ha a Felhasználó kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, az Adatkezelő ésszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

5.) ADATBIZTONSÁG

Az Adatkezelő kötelezi magát arra, hogy gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatokat a Felhasználók hozzájárulása alapján továbbítja vagy adja át, felhívja, hogy tegyenek eleget az adatbiztonság követelményének.

Adatkezelő gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse. A kezelt adatokat kizárólag Adatkezelő, valamint alkalmazottai, illetve az általa igénybe vett Adatfeldolgozó ismerheti meg, azokat Adatkezelő harmadik, az adat megismerésére jogosultsággal nem rendelkező személynek nem adja át.

Adatkezelő megtesz minden tőle telhetőt annak érdekében, hogy az adatok véletlenül se sérüljenek, illetve semmisüljenek meg. A fenti kötelezettségvállalást Adatkezelő az adatkezelési tevékenységben részt vevő munkavállalói részére előírja.

A Felhasználó elismeri és elfogadja, hogy személyes adatainak a Weboldalon való megadása esetén – annak ellenére, hogy az Adatkezelő az adatokhoz való jogosulatlan hozzáférésnek vagy azok kifürkészésének megelőzésére korszerű biztonsági eszközökkel rendelkezik – az adatok védelme teljes mértékben az Interneten nem garantálható. Jogosulatlan hozzáférés vagy adatmegismerés erőfeszítéseink ellenére történő bekövetkezése esetén az Adatkezelő nem felelős ilyen jellegű adatmegszerzésért vagy jogosulatlan hozzáférésért vagy a Felhasználónál ezen okokból kifolyólag keletkezett bármilyen kárért. Ezen felül a Felhasználó is megadhatja személyes adatait harmadik személyeknek, akik azt jogellenes célra vagy módon is felhasználhatják.

Adatkezelő semmilyen körülmények között nem gyűjt különleges adatokat, azaz olyan adatokat, amelyek faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint büntetett előéletre vonatkoznak.

6.) ADATVÉDELMI INCIDENSEK KEZELÉSE ÉS BEJELENTÉSE

Adatvédelmi incidensnek minősül minden olyan esemény, amely az Adatkezelő által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan vagy véletlen hozzáférését, megváltoztatását, közlését, törlését, elvesztését vagy megsemmisítését, valamint véletlen megsemmisülését és sérülését eredményezi.

Adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a NAIH részére az adatvédelmi incidenst, kivéve, ha az Adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető

meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. A NAIH részére történő bejelentés legalább a következő információkat tartalmazza:

● az adatvédelmi incidens jellege, az érintettek és a személyes adatok száma és kategóriája;

● Adatkezelő neve, elérhetősége;

● az adatvédelmi incidensből származó, valószínűsíthető következmények;

● a megtett vagy tervezett intézkedések az adatvédelmi incidens kezelésére, elhárítására, orvoslására.

Adatkezelő az adatvédelmi incidens észlelését követő 72 órán belül tájékoztatja az érintetteket az adatvédelmi incidensről az Adatkezelő honlapján keresztül. A tájékoztatásnak legalább a jelen pontban meghatározott adatokat kell tartalmaznia.

Az adatvédelmi incidensekről az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezet. A nyilvántartás az alábbi adatokat tartalmazza:

● az érintett személyes adatok köre;

● az érintettek köre és száma;

● az adatvédelmi incidens időpontja;

● az adatvédelmi incidens körülményei, hatásai;

● az adatvédelmi incidens elhárítására megtett intézkedések.

A nyilvántartásban szereplő adatokat Adatkezelő az adatvédelmi incidens észlelésétől számított 5 évig őrzi meg.

7.) JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEK

Az Adatkezelő mindent elkövet, hogy a személyes adatok kezelése a jogszabályoknak megfelelően történjék, amennyiben azonban a Felhasználó úgy érzi, ennek nem felelt meg, lehetősége van írni az 1. pontban meghatározott elérhetőségekre.

Amennyiben a Felhasználó úgy érzi, hogy megsértették a személyes adatok védelméhez való jogát, az irányadó jogszabályok szerint jogorvoslattal élhet a hatáskörrel rendelkező szerveknél

● Nemzeti Adatvédelmi és Információszabadság Hatóságnál (cím: 1055 Budapest, Falk Miksa utca 9-11.; ugyfelszolgalat@naih.hu; www.naih.hu)

● bíróságnál.

8.) EGYÉB RENDELKEZÉSEK

Jelen Tájékoztatóra a magyar jog, különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, illetve az elektronikus kereskedelmi szolgáltatások, az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, valamint a GDPR rendelkezései irányadóak.

McCann Erickson Budapest Kft. (hereinafter: Data Controller), as the operator of the website (hereinafter: Website) available under www.mccann.hu domain name, hereby publishes the information on data processing regarding the Website and the services related to the Website.

By connecting to the website, users visiting the website (hereinafter: User) accept all terms and conditions included in this Privacy Policy (hereinafter: Privacy Policy) and therefore you are requested to carefully read this Privacy Policy before using the website.

• Data Controller’s data

The data controller is McCann Erickson Budapest Nemzetközi Reklámügynökség Kft.

Registered office: 8-10 Aradi street Budapest, H-1062

E-mail address: hello@mccann.hu

• Information about the data processing

Processed data:

On the contact form of the Website, Users can enter their data in order to receive information about the services and activities of the Data Controller (hereinafter: Contact). During Contact the following personal data may be provided (all data marked with an * are compulsory data):

• full name*;
• company*;
• e-mail address*;
• topic;
• message*.

Purpose of data processing: to provide information related to the Data Controller’s services and activities, including contacting and communicating with the User interested in the services provided by the Data Controller, informing Users and handling comments related to the Data Controller’s activities.

Duration of data processing: data are processed for a maximum 30 days from the end of the bilateral communication between the Data Controller and the User, or until the User requests the erasure of their data or withdraws their consent to the processing of their personal data.

Legal basis of data processing: voluntary and explicit consent of the User (given by clicking the checkbox to accept this Privacy Policy) pursuant to Article 6 (1) a) of the Regulation of the European Parliament and of the Council (EU) 2016/679 (27 April 2016) on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and repealing Directive 95/46/EC (hereinafter: GDPR).

Only persons aged over 18 may provide data on the Website.

• Parties eligible for accessing personal data, data processing

The Data Controller and the Data Processor appointed by it are entitled to have access to personal data in compliance with the provisions of effective laws and regulations.

The data are processed on contract with the Data Controller by the following data processor:

• Hosting service provider:

Address:

E-mail:

The purpose of data processing is the hosting service required for the operation of the Website.

The Data Controller reserves the right to involve other data processors in data processing in the future, and to inform the Users about it by amending this Privacy Policy.

Without an expressed statutory provision, the Data Controller may transfer to third parties data suitable for personal identification only with the explicit consent of the particular user.

• Place of data processing 

Data are processed on the www.mccann.hu Website and on the servers operating the Website.

• User rights

Access to personal data

Upon the request of the User, the Data Controller shall provide information on whether or not their personal data are being processed by the Data Controller, and where that is the case, shall grant them access to the personal data, and shares the following information:

• the purpose(s) of the processing;
• the categories of personal data concerned;
• the legal ground and recipient(s) in the event of transferring the personal data of the User;
• the envisaged processing period;
• the User’s rights relating to the rectification, erasure and restriction of processing of the personal data, as well as the option to object to personal data processing;
• the possibility of lodging a complaint with a supervisory Authority;
• the data source;
• relevant information on profiling;
• the name, address of the processors and their activities related to data processing.

The Data Controller shall provide the User with a copy of the personal data undergoing processing free of charge. For any further copies requested by the User, the Data Controller may charge a reasonable fee based on administrative costs. Where the User makes the request by electronic means, the information shall be provided in a commonly used electronic form, unless otherwise requested by the data subject.

The Data Controller is obliged to provide the information at the request of the User in an intelligible form without undue delay, but no later than within one month from the submission of the request. The User may submit their request for access through the contact channels specified in Section 1.

Rectification of processed data

The User may request the Data Controller (at the contact details specified in Section 1) to rectify inaccurate personal data or the supplementation of incomplete data, taking into account the purpose of data processing. The Data Controller shall fulfil the rectification requirement without undue delay.

Erasure of processed data (right to be forgotten)

The User may request the Data Controller to erase their personal data without undue delay, the Data Controller shall be obliged to erase the personal data concerning the data subject without undue delay, if any of the following criteria is fulfilled:

1. the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
2. the User withdraws its consent and here is no other legal ground for the processing;
3. the User objects to the processing of your personal data;
4. the personal data have been unlawfully processed;
5. the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;
6. the personal data obtained based on consent was collected with the provision of services relating to the information society to children.

Where the Data Controller has made the personal data public (made it available to a third party) and are obliged to erase them pursuant to the above, the Data Controller shall take into account the available technology and the cost of implementation, shall take reasonable steps to inform data controllers who are processing the affected personal data that the User has requested them to erase any links to, or copy or replication of those personal data, as well as to erase any duplicate copies.

Personal data are not required to be erased when data processing is necessary:

• for exercising the right of freedom of expression and information;
• for compliance with a legal obligation which requires processing of personal data by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
• for reasons of public interest in the area of public health;
• for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in so far as the right to erasure is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
• for the establishment, exercise or defence of legal claims.

Restriction of processing

The User has the right to request the Data Controller to restrict the data processing instead of rectifying or erasing personal data if any of the following criteria applies:

• the accuracy of the personal data is contested by the User, in which case the restriction applies for a period enabling the Data Controller to verify the accuracy of the personal data;
• the processing is unlawful and the User opposes the erasure of the personal data and requests the restriction of their use instead;
• the Data Controller no longer needs the personal data for the purposes of the processing, but they are required by the user for the establishment, exercise or defence of legal claims;
• the User objected to data processing; in such cases the restriction shall only apply to the time period necessary to determine whether the legitimate reasons of the Data Controller override those of the data subject.

Where processing has been restricted, such personal data shall, with the exception of storage, only be processed with the User’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.

The Data Controller shall inform the User, at whose request the processing has been restricted, of the lifting of the processing restriction in advance.

Notification obligation regarding rectification or erasure of personal data or restriction of processing

The Data Controller communicates any rectification or erasure of personal data or restriction of processing carried out to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. At the request of the User, the Data Controller informs the User about these recipients.

Right to data portability

The User is entitled to receive the personal data concerning him / her provided to the Data Controller in a structured, widely used, machine-readable format and to transmit this data to another data controller. If requested by the User, the Data Controller will export the processed data in PDF and / or CSV format.

Right to objection

The User has the right to object to the processing of their personal data, if the data processing

• is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Data Controller;
• is necessary for the enforcement of the legitimate interests of the Data Controller or a third party.
• is based on profiling.

In the event of the User’s objection, the Data Controller shall abandon the processing of the personal data unless the Data Controller proves that the data processing is justified by compelling legitimate grounds which override the User’s interests, rights and freedoms, or are necessary for the establishment, exercise or defence of legal claims.

Measures of the Data Controller in case of the User’s request

The Data Controller shall inform the User without undue delay, but no later than within one month from the receipt of the request, of the measures taken in relation to the access, rectification, erasure, restriction, objection or data portability request. This deadline may, however, be extended by two months if warranted by the complexity of the request or the number of requests. The Data Controller shall notify the User of any such extension within one month of receiving the request; such a notification shall include the reason of the extension. If the User submits the request via an electronic channel, the notification shall preferably be sent to them in an electronic format unless the data subject requests a different format.

If the Data Controller fails to act upon the User’s request they shall notify the User, without delay but no later than within one month of receiving the request, of the reasons of such a failure, and shall also inform the User that they may place a complaint at a supervisory authority, and may seek judicial legal remedy.

Upon the request of the User, the information, notifications and the measures taken on their request shall be provided free of charge. If the User’s request is clearly unfounded or excessive, in particular because of its repetitive nature, the Data Controller may, either charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested or may refuse to take action in relation to the request. The burden of demonstrating the clearly unfounded or excessive nature of the request falls on the Data Controller.

• Managing and reporting of personal data breaches

All incidents are considered personal data breaches which result in the unauthorised processing or controlling of personal data, in particular unauthorised or accidental access, alteration, disclosure, erasure, loss or destruction of personal data processed, transferred, stored or processed by the Data Controller, or in its accidental destruction or damage.

The Data Controller is obliged to notify the NADPFI of the personal data breach without undue delay, but no later than 72 hours after the detection of the personal data breach, unless, the Data Controller can prove that the personal data breach is unlikely to pose a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay. The notification to NADPFI includes at least the following information:

• the nature of the personal data breach, the number and categories of data subjects and personal data;
• Title and contact information of the Data Controller;
• the likely consequences arising from the personal data breach;
• the measures taken or planned to manage, rectify or remedy the personal data breach.

The Data Controller shall inform the data subjects about the personal data breach via the Data Controller’s website within 72 hours after having become aware of the data breach. The information shall include at least the data specified in this Section.

The Data Controller keeps a record of each personal data breach for controlling the measures taken in relation to the occurring incidents and for providing information to the data subjects. The records contain the following data:

• the scope of the affected personal data;
• the range and number of data subjects;
• the date and time of the personal data breach;
• the circumstances and effects of the personal data breach;
• the measures taken for the prevention of the personal data breach.

The Data Controller keeps the data contained in the record for 5 years from the detection of a personal data breach.

• Data security

The Data Controller undertakes to ensure the security of data and takes all technical and organisational measures, puts into place the procedural rules that ensure the protection of all collected, stored and processed data, as well as preventing the destruction, unlawful use and unlawful alteration of data. The Data Controller also undertakes to call upon each third party to whom data are transferred or transmitted without the Users’ consent to comply with the data security requirements.

The Data Controller shall ensure that no unauthorised persons may access, disclose, transfer, modify or erase the processed data. The processed data may be accessed only by the Data Controller and its employees, as well as the Processor employed by them, and the Data Controller shall not transfer the data to any third party not authorised to have access to them.

The Controller shall take every possible effort to ensure data are not accidentally damaged or destroyed. The Data Controller requires all its employees taking part in data processing activities to assume the above obligations.

The User acknowledges and accepts that in case their personal data are provided on the website, full data protection cannot be guaranteed on the internet despite the fact that the Data Controller has up-to-date security equipment to prevent any unauthorised access to data or the detection thereof. If data are accessed without authorisation or data are obtained despite our efforts, the Data Controller shall not be held liable for the obtaining of data in such a manner or for any unauthorised access to them, or for any damage occurring at the User as a consequence thereof. In addition, the User may also supply personal data to third parties who may use them for unlawful purposes and in an unlawful manner.

• Law enforcement options

The Data Controller shall take all reasonable efforts to process personal data in compliance with the laws and regulations, however, if Users feel that this has not been complied with, they can write using the contact details indicated in Section 1.

If Users feel that their right to the protection of personal data has been violated, they can seek legal remedy in compliance with the applicable laws and regulations at the organizations that have jurisdiction, as

• the Hungarian National Authority for Data Protection and Freedom of Information (1055 Budapest, Falk Miksa utca 9-11.; ugyfelszolgalat@naih.hu; www.naih.hu) or in court.

• Other provisions

This Privacy Policy is governed by the Hungarian law, especially by the provisions of Act CXII of 2011 on the Right of Informational Self-determination and Freedom of Information and GDPR.