Adatkezelési tájékoztató

Bevezetés – a www.veduu.eu platform szerepe, szerepváltás, hozzáférés, adattovábbítás és rendszerszeparáció

A Veduu platform (https://veduu.eu) digitális toborzási és beiratkozás-előkészítő rendszer, amelynek célja szakmai képzések iránt érdeklődő természetes személyek jelentkezésének fogadása, előzetes egyeztetése, valamint a személyes beiratkozás megszervezése. A Veduu nem felnőttképző intézmény, nem folytat képzési tevékenységet, és nem vesz részt a képzések szakmai lebonyolításában.

Az Adatkezelő a Veduu platform működtetése során, a jelentkezési és beiratkozás-előkészítési szakaszban az érintettek személyes adatait önálló adatkezelőként kezeli. Jelen adatkezelési tájékoztató kizárólag ezen - toborzási és beiratkozás-előkészítési - adatkezelési műveletekre terjed ki.

Az Adatkezelő az érintett személyes adatait a választott felnőttképző intézmény részére kizárólag a személyes beiratkozás megszervezéséhez és lebonyolításához szükséges mértékben, e célból teszi hozzáférhetővé, illetve továbbítja. Az adattovábbítás a beiratkozási szándék véglegesítését követően, a beiratkozás megszervezése érdekében történik, a folyamat jellegétől függően különösen a Veduu felületén biztosított, korlátozott hozzáférés vagy a beiratkozáshoz szükséges adatok strukturált átadása útján.

A személyes beiratkozás megtörténtét követően az érintett személyes adatainak további kezelése tekintetében a választott felnőttképző intézmény önálló adatkezelőként jár el, és az adatkezelés részletes feltételeiről saját adatkezelési tájékoztatója alapján nyújt tájékoztatást.

A felnőttképző intézmények részére biztosított „Veduu Business" felület a felnőttképzők adminisztratív felhasználására szolgáló rendszer, amelyet az érintettek közvetlenül nem használnak. Amennyiben a felnőttképző a Veduu rendszer egyes funkcióit a beiratkozást követő, képzéslebonyolításhoz kapcsolódó adminisztratív feladatok ellátása során veszi igénybe, úgy az Adatkezelő e körben kizárólag a felnőttképző dokumentált utasításai alapján, a GDPR 28. cikke szerinti adatfeldolgozóként jár el. Ezen adatkezelések tekintetében az adatkezelési célokat és eszközöket a felnőttképző intézmény határozza meg.

Az Adatkezelő a beiratkozást követő szakaszban kizárólag az adatfeldolgozói feladatok ellátásához szükséges mértékben biztosít hozzáférést az érintett adataihoz, és az adatokat a felnőttképző által meghatározott adatkezelési céloktól eltérő célból nem használja fel.

Az Adatkezelő adatai

Az adatkezelés alapjául szolgáló jogszabályok

Az adatkezelésekre az alábbi jogszabályok vonatkoznak:

• Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR),
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.),
• a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.),
• a 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről (a továbbiakban: Eker tv.).

Személyes adat az az azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Az Adatkezelő nem alkalmaz automatizált döntéshozatalt, ideértve a profilalkotást is. Adattovábbítás nemzetközi szervezet, harmadik ország részére nem történik.

Az Adatkezelő nem kér és nem kezel különleges adatokat, azaz olyan adatokat, amelyek faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint büntetett előéletre vonatkoznak. Amennyiben az érintett mégis különleges adatot közöl, az Adatkezelő - amennyiben jogszabály eltérően nem írja elő - haladéktalanul intézkedik annak törléséről, illetve a kezelés korlátozásáról, és felhívja az érintettet az ilyen adatok közlésének mellőzésére.

Az Adatkezelő észszerű intézkedéseket tesz annak érdekében, hogy a pontatlan személyes adatokat késedelem nélkül helyesbítse vagy törölje.

Az Adatkezelő adatvédelmi tisztviselőt nem jelölt ki, mivel tevékenysége nem tartozik a GDPR 37. cikkében meghatározott kötelező kijelölési körbe.

Fogalom-meghatározások

„érintett":

bármely azonosított vagy azonosítható természetes személy, akinek személyes adatát az Adatkezelő kezeli.

„személyes adat":

azonosított vagy azonosítható természetes személyre („érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

„adatkezelés":

a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

„adatkezelő":

az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

„adatfeldolgozó":

az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.

„adatvédelmi incidens":

a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Érintettek köre

Jelen adatkezelési tájékoztató hatálya kiterjed mindazon természetes személyekre (a továbbiakban: érintettek), akik:

• a Veduu platformon keresztül szakmai képzésre jelentkeznek,
• a Veduu által szervezett toborzási és beiratkozás-előkészítési folyamatban részt vesznek,
• a Veduu ügyfélszolgálatával kapcsolatba lépnek,
• személyes beiratkozás céljából adataikat a Veduu rendelkezésére bocsátják.

Az érintetti kör kizárólag a jelentkezési és beiratkozás-előkészítési szakaszban részt vevő személyekre terjed ki.

A személyes beiratkozás megtörténtét követően az érintett a választott felnőttképző intézmény résztvevőjévé válik, és személyes adatainak további kezelését a felnőttképző önálló adatkezelőként végzi, saját adatkezelési tájékoztatója alapján.

Az adatkezelés céljai

Az Adatkezelő az érintett személyes adatait az alábbi célokból kezeli:

• képzések iránti jelentkezések fogadása és nyilvántartása,
• kapcsolattartás a jelentkezőkkel (telefonon, e-mailben, SMS-ben, valamint a Veduu platformon keresztül, amennyiben ilyen funkció a rendelkezésre áll),
• a jelentkezési szándék megerősítése,
• a képzéshez kapcsolódó bemeneti feltételek előzetes ellenőrzése,
• a felnőttképző által biztosított szerződésminták alapján a beiratkozáshoz szükséges dokumentumok technikai előállítása,
• az érintett adatainak átadása a választott felnőttképző részére a beiratkozás lebonyolítása céljából,
• a személyes beiratkozási nap megszervezése, a jelentkezők és a felnőttképző értesítése a beiratkozás időpontjáról és feltételeiről.

Az adatkezelés jogalapja

Az Adatkezelő a személyes adatokat az alábbi jogalapokon kezeli:

• a jelentkezés kezeléséhez, a kapcsolattartáshoz, a fiók létrehozásához, a beiratkozás előkészítéséhez és megszervezéséhez kapcsolódó adatkezelések jogalapja a GDPR 6. cikk (1) bekezdés b) pontja (szerződés megkötését megelőző lépések az érintett kérésére),
• a hírlevélküldés jogalapja a GDPR 6. cikk (1) bekezdés a) pontja, az érintett önkéntes hozzájárulása (a hírlevélre történő feliratkozás nem feltétele a jelentkezés benyújtásának, és a hozzájárulás meg nem adása a szolgáltatás igénybevételét nem korlátozza - A hírlevélre történő feliratkozás külön, önálló nyilatkozattal (jelölőnégyzettel) történik),
• az információbiztonsághoz, visszaélések megelőzéséhez, rendszerüzemeltetéshez, valamint jogi igények érvényesítéséhez kapcsolódó adatkezelések jogalapja a GDPR 6. cikk (1) bekezdés f) pontja (az Adatkezelő jogos érdeke). Az Adatkezelő jogos érdeke különösen: a Veduu rendszer biztonságos működtetése, az informatikai rendszerek és adatok integritásának és rendelkezésre állásának biztosítása, jogosulatlan hozzáférések és visszaélések megelőzése és kivizsgálása, valamint az Adatkezelő jogi igényeinek előterjesztése, érvényesítése és védelme.

A személyes adatok megadása a jelentkezés és a beiratkozás-előkészítés során a szolgáltatás igénybevételéhez szükséges; az adatszolgáltatás elmaradása esetén a jelentkezés feldolgozása, illetve a beiratkozás megszervezése részben vagy egészben meghiúsulhat. A hírlevélhez kapcsolódó adatszolgáltatás önkéntes; annak elmaradása a jelentkezés feldolgozását nem érinti.

A GDPR 6. cikk (1) bekezdés f) pontja szerinti adatkezelések esetében az Adatkezelő érdekmérlegelési tesztet végzett, amelynek eredményeként megállapította, hogy

• az adatkezelések céljai jogszerűek,
• az érintettek alapvető jogai és szabadságai nem élveznek elsőbbséget az Adatkezelő jogos érdekeivel szemben,
• az adatkezelések az adatminimalizálás és célhoz kötöttség elvének megfelelően történnek.

Az érdekmérlegelési teszt az érintett kérésére rendelkezésre áll.

A kezelt személyes adatok köre

Az Adatkezelő a jelentkezési és beiratkozás-előkészítési folyamat során az alábbi személyes adatokat kezeli:

Az érintett azonosításához és kapcsolattartásához szükséges adatok:

• teljes név
• telefonszám
• e-mail cím

A jelentkezés és a képzéshez kapcsolódó bemeneti feltételek előzetes ellenőrzéséhez szükséges adatok:

• meglévő képesítésekre, végzettségre vonatkozó információk
• bizonyítvány(ok) száma

Az Adatkezelő kizárólag olyan adatokat kezel, amelyek a jelentkezés feldolgozásához és a beiratkozás előkészítéséhez feltétlenül szükségesek.

A beiratkozáshoz szükséges szerződéses dokumentáció technikai előállítása érdekében az Adatkezelő - a felnőttképző által biztosított szerződésminták alapján - a beiratkozás előkészítéséhez szükséges további azonosító és szerződéskötési adatokat is kezelhet, amennyiben azok megadása a beiratkozás lebonyolításához szükséges (különösen: lakcím/értesítési cím, születési adatok).

Az Adatkezelő ezen adatok körét az adatminimalizálás elvének megfelelően, kizárólag a beiratkozás technikai előkészítéséhez szükséges mértékben kezeli.

A jelentkezési és beiratkozás-előkészítési folyamat során megadott személyes adatok megadása a szolgáltatás igénybevételéhez szükséges. Amennyiben az érintett nem bocsátja rendelkezésre ezen adatokat, a jelentkezés feldolgozása és a személyes beiratkozás megszervezése nem biztosítható.

Az adatkezelés időtartama

Az Adatkezelő az érintett személyes adatait az alábbi időtartamokig kezeli:

• sikeres beiratkozás esetén a személyes beiratkozás lebonyolításáig, valamint azt követően legfeljebb 30 napig,
• sikertelen vagy megszakadt jelentkezés esetén legfeljebb 6 hónapig,
• hírlevél-feliratkozás esetén a hozzájárulás visszavonásáig,
• technikai és biztonsági naplók esetén legfeljebb 90 napig.

Az adatmegőrzési idők lejártát követően az Adatkezelő a személyes adatokat törli vagy anonimizálja.

Az adatok megszerzésének ideje, módja

Az Adatkezelő a személyes adatokat közvetlenül az érintettől szerzi meg.

Az adatok megadása a Veduu platformon történő jelentkezés során, valamint a beiratkozás előkészítése érdekében történő kapcsolattartás keretében történik, elektronikus úton (online űrlap, felhasználói fiók), illetve telefonos egyeztetés során.

Az adatok megadásának időpontja az érintett jelentkezésének benyújtása, valamint a beiratkozás előkészítése során történő további adatmegadás.

Az Adatkezelő harmadik féltől személyes adatokat nem vesz át.

Címzettek - Adatfeldolgozók

Az Adatkezelő a személyes adatokat az alábbi címzettek, illetve - a GDPR 13. cikk (1) bekezdés e) pontjával összhangban - a címzettek kategóriái részére továbbíthatja.

Az Adatkezelő a személyes adatokat kizárólag a jelen tájékoztatóban megjelölt címzettkategóriák részére továbbítja.

A címzettek kategóriái

Az érintett személyes adatai az alábbi címzettkategóriák részére kerülhetnek továbbításra:

Felnőttképző intézmények

Az érintett személyes adatai kizárólag a személyes beiratkozás megszervezése és lebonyolítása céljából kerülnek átadásra a választott felnőttképző intézmény részére. A beiratkozás megtörténtét követően a felnőttképző intézmény az érintett személyes adatainak önálló adatkezelőjeként jár el, saját adatkezelési tájékoztatója alapján.

Illetékes hatóságok

Jogszabályban előírt esetekben az Adatkezelő személyes adatokat továbbíthat az arra feljogosított hatóságok részére.

Adatfeldolgozók

Az Adatkezelő a személyes adatok kezeléséhez az alábbi adatfeldolgozókat veszi igénybe:

• Vállalatnavigátor Kft. - a Veduu rendszer fejlesztése és üzemeltetése
• Amazon Web Services (AWS) - Európai Unió területén - tárhelyszolgáltatás és infrastruktúra
• EduCentral Zrt. - adminisztratív támogatás (amennyiben alkalmazásra kerül)

Az adatfeldolgozók a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezelik.

Harmadik országba történő adattovábbítás

Az Adatkezelő főszabály szerint nem továbbít személyes adatot harmadik országba vagy nemzetközi szervezet részére. Amennyiben valamely igénybe vett szolgáltató (pl. felhőszolgáltatás) működése kapcsán mégis sor kerülne harmadik országbeli hozzáférésre, úgy az Adatkezelő kizárólag a GDPR V. fejezetének megfelelő garanciák (különösen: az Európai Bizottság által elfogadott általános szerződési feltételek / SCC-k, illetve szükség esetén kiegészítő technikai és szervezési intézkedések) alkalmazása mellett biztosítja a megfelelést.

Adatbiztonsági intézkedések

Az adatkezelő a személyes adatok biztonságát kiemelten fontosnak tartja, és az adatok védelme érdekében megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok jogosulatlan hozzáférése, megváltoztatása, továbbítása, nyilvánosságra hozatala, törlése vagy megsemmisülése, valamint véletlen megsemmisülése, sérülése és az adatokhoz való jogosulatlan hozzáférés ellen.

Technikai intézkedések

• A személyes adatok elektronikus tárolása biztonságos, jelszóval és/vagy titkosítással védett informatikai rendszerekben történik.
• A hálózati és IT infrastruktúra tűzfallal, vírusvédelemmel és rendszeres frissítésekkel van ellátva.
• Az elektronikus adatkezelés kizárólag jogosultságokhoz kötött (pl. felhasználói jogosultságkezelés, hozzáférési naplózás).
• Biztonsági mentések rendszeres készítése biztosítja az adatok visszaállíthatóságát adatvesztés esetén.
• A személyes adatokat tartalmazó eszközök (pl. laptopok, adathordozók) jelszavas vagy titkosított védelemmel ellátottak.
• Az Adatkezelő az alkalmazott informatikai rendszerekhez való hozzáférést szerepkör-alapú jogosultságkezeléssel korlátozza, valamint rendszeres biztonsági frissítéseket és sebezhetőségvizsgálatokat végez.

Szervezési intézkedések

• Az adatkezelésben részt vevő munkatársak megfelelő adatvédelmi és adatbiztonsági oktatásban részesülnek.
• Az Adatkezelő belső szabályzatban rögzíti az adatkezelési és adatbiztonsági eljárásokat, ideértve a hozzáférési jogosultságokat, az adatvédelmi incidensek kezelését és az adattovábbítás rendjét.
• Az Adatkezelő adatfeldolgozókkal való kapcsolata során szerződésben rögzíti az adatbiztonságra vonatkozó előírásokat.
• Papíralapú adatkezelés esetén a dokumentumokat zárható irattárolókban, korlátozott hozzáféréssel kezelik.

Incidenskezelés

Az Adatkezelő nyomon követi az esetleges adatvédelmi incidenseket, és a GDPR 33–34. cikkeiben meghatározottak szerint értesíti az illetékes felügyeleti hatóságot (NAIH), illetve szükség esetén az érintettet is. Az incidensekről nyilvántartást vezet.

Az Adatkezelő indokolatlan késedelem nélkül megteszi a szükséges technikai és szervezési intézkedéseket az incidens hatásainak enyhítése érdekében.

Az érintettek jogai és jogorvoslati lehetőségei

Az érintett a jelen Tájékoztatóban biztosított jogai gyakorlására irányuló kérelmét az Adatkezelő veduu@veduu.eu e-mail címén, illetve postai úton az Adatkezelő székhelyére küldve terjesztheti elő.

Az adatkezelés során az érintettet – azaz azt a természetes személyt, akinek az adatait az adatkezelő kezeli – a 2016/679 EU Általános Adatvédelmi Rendelet (GDPR) szerint az alábbi jogok illetik meg:

Hozzáféréshez való jog (GDPR 15. cikk)

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy az adatkezelésről részletes tájékoztatást kapjon, beleértve:

• a kezelt adatok körét,
• az adatkezelés célját és jogalapját,
• az adatok forrását (ha nem az érintettől származnak),
• a címzettek körét, akikkel az adatokat közölték vagy közölni fogják,
• az adatkezelés időtartamát, illetve annak szempontjait.

Helyesbítéshez való jog (GDPR 16. cikk)

Az érintett kérheti a pontatlan személyes adatok helyesbítését, valamint – a kezelés célját figyelembe véve – a hiányos adatok kiegészítését.

Törléshez való jog – „az elfeledtetéshez való jog" (GDPR 17. cikk)

Az érintett kérheti a személyes adatai törlését, ha:

• az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték,
• visszavonja a hozzájárulását (és más jogalap nincs),
• tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok,
• jogellenesen kezelik az adatokat,
• jogszabály alapján törölni kell.

A törlés nem kérhető, ha az adatkezelés szükséges például jogi kötelezettség teljesítéséhez vagy jogi igények előterjesztéséhez.

Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

Az érintett kérheti az adatkezelés korlátozását, ha:

• vitatja az adatok pontosságát,
• az adatkezelés jogellenes, de nem kéri a törlést,
• az adatkezelőnek már nincs szüksége az adatokra, de az érintett jogi igényt szeretne érvényesíteni,
• tiltakozott az adatkezelés ellen.

Korlátozás esetén a személyes adatokat csak tárolni lehet, kivéve, ha az érintett hozzájárul, vagy jogi igények érvényesítése céljából szükséges.

Az adathordozhatósághoz való jog (GDPR 20. cikk)

Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott adatokat strukturált, széles körben használt, géppel olvasható formátumban megkapja, és jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha az adatkezelés hozzájáruláson vagy szerződésen alapul, és automatizált módon történik.

Tiltakozáshoz való jog (GDPR 21. cikk)

Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak kezelése ellen, ha az adatkezelés közérdeken vagy jogos érdeken alapul. Ilyen esetben az adatkezelő az adatokat nem kezelheti tovább, kivéve, ha az adatkezelést kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel szemben, vagy amelyek jogi igények előterjesztéséhez szükségesek.

A hozzájárulás visszavonásához való jog (GDPR 7. cikk (3) bekezdés)

Amennyiben az adatkezelés hozzájáruláson alapul (pl. hírlevél), az érintett jogosult a hozzájárulását bármikor visszavonni; a visszavonás nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

A hírlevélről az érintett bármikor, indokolás nélkül leiratkozhat az egyes hírlevelekben elhelyezett leiratkozási linken keresztül, vagy a veduu@veduu.eu e-mail címre küldött kéréssel. A hozzájárulás visszavonása ugyanolyan egyszerű, mint annak megadása, és nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

Jogorvoslati lehetőségek

Az érintett panaszával elsődlegesen az Adatkezelőhöz fordulhat, valamint jogosult panaszt benyújtani a felügyeleti hatósághoz és bírósághoz fordulni.

Panasz benyújtása a felügyeleti hatósághoz

Amennyiben az érintett úgy véli, hogy személyes adatainak kezelése sérti a GDPR-t vagy más adatvédelmi jogszabályokat, jogosult panaszt benyújtani a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH):

• Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
• Székhely: 1055 Budapest, Falk Miksa utca 9-11.
• Postacím: 1363 Budapest, Pf. 9.
• Telefon: +36 (1) 391-1400
• E-mail: ugyfelszolgalat@naih.hu
• Honlap: www.naih.hu

Bírósághoz fordulás joga

Az érintett jogosult bírósághoz fordulni, ha megítélése szerint személyes adatai jogellenes kezelése következtében jogai sérültek. A per az érintett választása szerint az adatkezelő székhelye vagy az érintett lakóhelye szerinti törvényszék előtt is megindítható.

Az érintett kérelmének kezelése, intézkedési kötelezettség

Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelet 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Ha Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.