No results found
EMPLOYEE DATA PROCESSING GUIDE
The Hungarian Deloitte entities, Deloitte Advisory and Management Consulting Private Limited Company (registered office: 1068 Budapest, Dózsa György út 84/C; co. reg. no.: 01-10-044100, tax number: 11859633-2-44), Deloitte Auditing and Consulting Ltd. (registered office: 1068 Budapest, Dózsa György út 84/C; co. reg. no.: 01-09-071057, tax number: 10443785-2-42), Deloitte CRS Limited Liability Company (registered office: 1068 Budapest, Dózsa György út 84/C; co. reg. no.: 01-09-975176, tax number: 23720455-2-42), Deloitte Legal Göndöcz and Partners Law Firm (registered office: 1068 Budapest, Dózsa György út 84/C; registration number: 2813), as joint data controllers (web address: https://www2.deloitte.com/hu/hu.html) (hereinafter together: Employer)
a) natural persons aiming to establish an employment relationship with the Employer (hereinafter: applicant)
b) natural persons in an employment relationship with the Employer (hereinafter: employee)
provide applicants and employees (for the purposes of this guide – unless specifically referred to as applicant – hereinafter together: Employee) with the following information regarding the processing of their personal data.
I. Purpose
The purpose of this Guide is to develop a clear and binding procedure to regulate data processing pursuant to the effective data protection regulations, especially Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) and facilitate incorporated data protection practices.
Person responsible for the Guide: Head of Deloitte Co. Ltd’s Human Resources Department (hereinafter: HR; Head of HR)
II. Scope
The provisions of this Guide apply to all the activities related to the processing of the personal data of employees and applicants in an employment relationship or wishing to establish such with the Employer. This Guide is effective as of 25 May 2018.
III. Description
Data processing is centralised at the Employer due to its organisational structure and operation. The Employer has a centralised recruitment platform in place (hereinafter referred to as “PLATFORM”), which is the HR management tool of Deloitte Central Europe (hereinafter referred to as Deloitte CE). The PLATFORM enables all Users to share their professional and educational information with Deloitte CE member firms, and this way provides them the possibility to find the most suitable job at any Deloitte CE member firm.
Deloitte Advisory and Management Consulting Private Limited Company (Deloitte Üzletviteli és Vezetési Tanácsadó Zártkörűen Működő Részvénytársaság), Deloitte Auditing and Consulting Ltd. (Deloitte Könyvvizsgáló és Tanácsadó Kft.); Deloitte CRS Ltd. (Deloitte CRS Korlátolt Felelősségű Társaság), and Deloitte Legal Göndöcz and Partners Law Firm (Deloitte Legal Göndöcz és Társai Ügyvédi Iroda) have named Deloitte Advisory and Management Consulting Private Limited Company to be their common representative. From the entry into force of this Guide, Deloitte Advisory and Management Consulting Private Limited Company is entitled to act on behalf of the Controllers, and is responsible for the appropriate notification of the involved parties. Deloitte Co. Ltd. also represents the other joint controllers against third parties or authorities. Questions related to rights in this area are processed and answered by Deloitte Advisory and Management Consulting Private Limited Company. Joint data controllers have joint and several liability for potential damages to data against third parties; however, against each other they are responsible in proportion to the number of their their employees compared to the total number of staff of all the above listed Deloitte entities.
IV. Definitions for Purposes of this Guide
Controllers: All Deloitte CE member firms offering new job opportunities conducting a recruitment process, the list of which is available here: https://www2.deloitte.com/ce/en/legal/about-deloitte.html
Processors: The list of processors is available at the following site: https://ce.deloitteresources.com/CE%20Policies/1600%20Security/1612%20Data%20Processors%20-%20Local/1612.19%20List%20of%20Employee%20Personal%20Data%20Processors%20-%20Hungary.pdf
Recommendation: If any employee of Deloitte CE recommends a person for a vacancy published in any way within Deloitte CE who - they believe - have the required professional qualifications and skills for the job. This intermediation only qualifies as a recommendation if the candidate has not yet been listed in the PLATFORM database, or has not taken part in any of Deloitte CE’s recruitment processes.
Deloitte: refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL does not itself provide services to clients. Please see https://www2.deloitte.com/ce/en/legal/about-deloitte.html to learn more about our global network of member firms.
Deloitte Central Europe: is a regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm in Central Europe of Deloitte Touche Tohmatsu Limited. Services are provided by the subsidiaries and affiliates of Deloitte Central Europe Holdings Limited, which are separate and independent legal entities (hereinafter: “Deloitte CE”).
Deloitte Recruitment Platform: Deloitte Recruitment Platform (hereinafter referred to as “Platform”) is the HR management tool of Deloitte Central Europe (hereinafter referred to as Deloitte CE). The PLATFORM enables all Users to share their professional and educational information with Deloitte CE member firms, and this way provides them the possibility to find the most suitable job at any Deloitte CE member firm. The use of the PLATFORM is voluntary, but in case the User provides his/her personal data, they might be available for all Deloitte CE member firms. The data uploaded by the User will be analyzed and the responsible talent team will make summaries about the User based on his/her personal application/registration data, which will also be visible and available for the Deloitte CE member firms.
Recruiter: a service provider who selects a candidate for a vacancy through direct search rather than by posting an advertisement. The employee of the headhunting firm, the advisor contacts the most promising applicant (candidate) directly via various channels (database, Internet, networking) and offers the job opportunity to them.
User: Natural persons, applicants, employees registering on the Deloitte Recruitment Platform, uploading their professional materials, and/or applying for the job advertised by Deloitte CE.
Applicant: Natural persons aiming to establish an employment relationship with the Employer.
Employee: natural persons in an employment relationship with the Employer.
V. The reason for data processing
At the beginning, when contacting the Employer for the purpose of applying for a job, and later – if selected – when they sign an employment contract, the Employee provides the Employer with his/her personal data.
The primary responsibility of the Employer as a data controller is to define the scope of data processing, the method of data processing, and to ensure compliance with the constitutional rules of data protection as well as the requirements of data security, to prevent unauthorised access to the personal data, the change or unauthorised publication or use of such data and ensure protection against data cancel, damage or destruction.
For the purpose of this Guide, we took into consideration especially
VI. Legal grounds for data processing by the Employer
Pursuant to Article 6 (1) of the GDPR, processing shall be lawful only if and to the extent that at least one of the following applies:
a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
c) processing is necessary for compliance with a legal obligation to which the controller is subject;
d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;
e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
An employee may be requested to make a statement or to disclose certain information only if it does not violate his rights relating to personality, and if deemed necessary for the conclusion, fulfilment or termination of the employment relationship. (Section 10 (1) of the Labour Code, statutory data processing based on the Labour Code)
a) In the Applicant’s case data processing is in each case based on the consent given by the Applicant to the Employer as data controller for the processing of his voluntarily provided personal data.
b) In the Employee’s case the Employer is processing the Employee’s personal data for the purpose of exercising the employment contract (or any other work related agreement) under Article 6 (1) b) of the GDPR. In accordance with Article 6 (1) c) of the GDPR, the Employer shall be processing the personal data provided to the Employer for the conclusion, fulfilment or termination of the employment relationship by the data subject under the obligation to comply with the legal regulations based on the statutory authorisation granted by Section 10 (1) of the Labour Code.
In other cases data processing is in each case based on the consent given by the data subject to the Employer as data controller for the processing of his voluntarily provided personal data, and the legitimate interests of the Employer or a third party.
VII. The purpose of the Employer’s data processing
a) In case of Applicants, the purpose of the data processing is the Employer’s conducting the internal HR processes as data controller needed for establishing a potential employment relationship, and if the selection failed, recording of the applicant’s data in the Employer’s relevant database in line with the provisions of this Guide, and later sending potential job offers to the candidate suitable for them based on their professional experience and qualifications.
b) In case of Employees, the purpose of the data processing is the establishment of an employment relationship, meeting the Employer’s statutory and/or contractual obligations arising from the legal relationship (especially payment of wages, deduction of taxes and contributions, provision of paid vacation days etc.), and exercising the statutory and/or employer’s rights, termination of employment and statutory data supply (e.g. to pension insurance administration).
The Employer is authorised to use the Employee’s data for statistical purposes and transfer them for statistical use without the employee’s consent but in an unidentifiable form.
VIII. Scope of personal data processing by the Employer
Personal data processing by the Employer include all personal data that the Employer is required for the recruitment process, preparation of the employment contract and for a period during the employment relationship and after its termination for a period stipulated by law (e.g. personal data in the employment contract, salary data, job description, tax return, social security documents, etc.).
In the absence of due data processing purpose, no personal data may be requested from the Employee or during the recruitment process (in the job advertisement, job interview, etc.) pertaining to his marital status, housing, occupation of parents, political or religious views, or any other data not linked to the employment, except if data processing is necessary for the data controller or the data subject to comply with some legal obligations and exercising actual rights under employment, social security and safety regulations.
Data pertaining to health, chronic conditions, smoking or other addictions qualify as special personal data; therefore related data supply and data processing may always be based on the data subject’s written consent, legal provisions and/or based on the protection of the vital interests of the data subject or other natural persons under Article 6 (1) d) of the GDPR, and if data processing is necessary for the data controller or the data subject to comply with some legal obligations and exercising actual rights under employment, social security and safety regulations.
An employee may be requested to make a statement or to disclose certain information only if it does not violate his rights relating to personality, and if deemed necessary for the conclusion, fulfilment or termination of the employment relationship. An employee may be requested to take an aptitude test if one is prescribed by employment regulations, or if deemed necessary with a view to exercising rights and discharging obligations in accordance with employment regulations.
Social Media: The Employer may only collect and process personal data from the candidates to the extent required and relevant for the job that the person applied for. The Employer may under no circumstances require that the Employee should grant him access to his/her profile in social media. Under Article 6 (1) f) of the GDPR the Employer is only entitled legally to review publicly available information of the applicant citing legitimate interest, if it is required for the given position to review the information available publicly of the candidate in the social media, e.g. to assess the risks related to the job and only if the candidate has been appropriately informed of such review (e.g. in the job advertisement).
Deloitte CE has prepared specific regional policies pertaining to data processing related to vehicle use, timesheet and mobile phone use, and these are provided by the Employer to all those concerned.
The Employer handles the Employees’ photos on various legal grounds depending on the purpose of data processing.
a) In the case of Applicants: the applicant applying for the job advertised by the Controller/Employer may decide if they want to include a photo in the CV uploaded to the Platform. The Controller/Employer may not oblige the applicant to upload a photo, but if the applicant decides to attach a CV with a photo, in doing so, they give permission for the handling of the photo, therefore in this case, the person’s agreement provides legal ground for data management.
b) In case of the Employee data processing may be either based on the Employer’s legitimate interest or the Employee’s consent.
- It is the legitimate interest of the employer to take photos of the Employee (portrait) on the first day of the employment relationship and use them for the efficient operation of the entry and security system of the Employer’s office building. The Employer has assessed this legitimate interest and is granted a right for data processing.
- The Employer is entitled to take video and voice recordings at recreation events organised for the employees. These events are regarded as public events where group photos may be taken and published on the Employer’s social media or Intranet sites without the employee’s consent. Group photos are photos whose aim is to show the given event but where individuals may not be recognised and identified. Also, if the Employer wishes to publish a photo which qualifies as individually depicting an individual, the employee’s consent must be obtained as such pictures are no group photos; therefore under the GDPR they qualify as specific personal data that can only be managed with the data subject’s consent.
a) In case of an Applicant: before establishing the employment relationship the Applicant provides his/her personal data for the selection and (if selected) employment by the Data Controller/Employer.
By registering on the PLATFORM and/or applying for a job advertised by a Deloitte CE member firm, based on specific previous information and his/her voluntary consent, the Applicant agrees to the process of the personal data below especially including: first and last name, password, e-mail address, registered office, phone number, other files (e.g. portfolio), place and date of birth, information on education, work experience, previous applications, test results, recruitment information (e.g. comments), and any evaluation, summary or result prepared by Deloitte based on the Applicant’s personal data available on the PLATFORM. The use of the Platform is voluntary, but in case the User provides his/her personal data, they might be available for all Deloitte CE member firms. The data uploaded by the User will be analyzed and the responsible talent team will make summaries about the Applicant based on his/her personal application/registration data, which will also be visible and available for the Deloitte CE member firms.
In addition to the above, all personal data provided voluntarily by the applicant in the documents submitted to the Controller/Employer during the application process for the job advertisement (application, CV, cover letter, certificates etc.).
When establishing the employment relationship, the Employee provides his personal data to the Employer as needed for establishing the employment relationship and meeting the statutory and contractual obligations related to employment.
b) The scope of these personal data includes especially:
Name
Name at birth
Place of Birth
Birthdate:
Mother's maiden name:
Place of residence
Place of stay (if different from place of residence)
Tax ID:
Social security ID (TAJ) number
Pension registration number (if the employee is a pensioner)
Personal identification number:
Number of home address certificate
Current account number
Copy of certificate on qualification
Position
Working time
Order of the work
Data related to professional qualification
Information on professional experience
Data on sick leave and vacation
Name, place and date of birth of children under 16 (if the employee wishes to take child related additional days off)
Photo (only with consent)
IX. Period and deadline for data processing
a) In case of the Applicant, the Data Controller/Employer is processing the applicant’s personal data until the date when the potential employment is failed, or until the date specified below with the applicant’s consent.
If the applicant is not selected by the Data Controller, and the Data Controller does not wish to establish an employment relationship with the applicant, then the Data Controller informs the applicant of this in e-mail. By clicking on the link in the e-mail, having received due information, the Applicant may give voluntary consent that his personal data provided in the documents submitted for the job advertisement (application, CV, cover letter, professional certificates etc.) are processed by the Data Controller – despite the failure of this application – in the Data Controller’s relevant database (PLATFORM) for the purpose of sending potential job offers later based on the applicant’s professional qualification and experience in accordance with the effective legal regulations until the applicant’s withdrawal of this consent but up to 3 (three) years as a maximum. If the applicant fails to give his consent through e-mail to the process of the documents submitted for this application, then his personal data are fully deleted within 14 (fourteen) days following the read confirmation of the informing e-mail.
If the applicant registers on the PLATFORM and uploads his personal data without actually applying for a specific job, the Applicant may give his voluntary consent during this registration that his personal data provided in the documents submitted for the registration (application, CV, cover letter, professional certificates etc.) are processed by the Data Controller in the Data Controller’s relevant database (PLATFORM) for the purpose of sending potential job offers later based on the applicant’s professional qualification and experience in accordance with the effective legal regulations until the applicant’s withdrawal of this consent but up to 3 (three) years as a maximum.
b) In case of the Employee, the Employer may process the personal data for the above purposes during the term of employment, and for the period specified in legal regulations (while the Employer is required to retain the data pertaining to the employment relationship) once the employment has been terminated. In the case of especially
- personal data defined in the Act on the Rules of Taxation,
- personal data defined in the Act on Social Security Benefits and the Funding for These Services, and
- personal data defined in the Act on the Services of the Compulsory Health Insurance System,
until the last day of the 6th (sixth) calendar year following the termination of the employment relationship, except if a longer retention period is required by law.
The Employer shall retain the Employee documents and data pertaining to the employment relationship for 75 (seventy-five) years after the termination of the employment relationship for the purpose of data supply for the assessment of the employee’s pension.
In other cases data are processed until the aim of the data processing has been accomplished.
X. Data protection requirements related to application based on recommendation or recruitment
In case of application through recommendation the relevant employee informs the competent HR colleague of the recommended candidate, then the HR departments sends an information e-mail regarding application from the PLATFORM to the candidate to the e-mail address received with the candidate’s voluntary consent. Recommended persons may apply for the job by registering on the PLATFORM, submitting documents and data provided on a voluntary basis. By registering on the PLATFORM, the applicant will have access to this Guide.
Application through a recruitment agency is similar to the above. The recruiter informs potential candidates of the PLATFORM, and the candidate may apply for the job by registering on the PLATFORM, submitting documents and data provided on a voluntary basis. By registering on the PLATFORM, the applicant will have access to this Guide.
XI. Persons at the Data Controller/Employer who are entitled to process employee data
In the course of data processing as performed in line with this Guide, the following people have access to the Employee’s personal data: person(s) exercising employer’s rights, HR employees of the Data Controller/Employer, recruitment managers and system administrators of PLATFORM. The applicants’ personal data will be accessible by data controllers and/or data processors residing in countries outside of the European Economic Area. By providing data on the PLATFORM, the Applicant agrees to their transfer to these data controllers and/or data processors. The Employer expressly draws attention to the fact that the data may only be transferred to data controllers and/or data processors outside the European Economic Area that ensure the level of data protection stipulated by data protection regulations. The personal data may be also disclosed to the competent authorities as authorized by the applicable laws.
The Data Controller uses Data Processors designated in Section IV of this Guide, who perform the services specified herein.
XII. Data security
The Employer is liable to inform the Employees of personal data processing. The Employer may only disclose facts, data or opinion to third parties in relation to the employees in cases specified by law or with the Employee’s consent.
The Employer takes all measures to prevent inaccessibility of the personal data due to unauthorised access, change, publication, cancellation, harm, destruction of the documents or the alteration of the technology applied. Accordingly, the Employer shall, among others arrange for the following with regard to the data:
Backup: Regular backup will prevent the loss of personal data stored on the network server (hereinafter: server).
Fire protection: Data and databases shall be stored in places equipped with appropriate fire and asset protection.
Antivirus protection: Virus protection must be installed on the computers of administrators and employees processing personal data.
Access protection: Those with access to the personal data must hold valid and personalised authorisation.
Network protection: Unauthorised access to data storage servers through networks must be prevented with all possible IT equipment.
The Employer shall design data processing in a way that the private sphere of the individuals should be protected.
For the automated processing of personal data the Employer arranges for the following:
a) prevention of unauthorised access;
b) prevention of unauthorised use of the automated data processing systems through unauthorised data transfer equipment;
c) traceability to identify to which bodies the personal data were forwarded or can be forwarded through data transfer equipment;
d) traceability to identify which personal data were uploaded to the automated data processing systems, by whom and when;
e) recoverability of the systems in case of breakdown, and
f) that reports are made of errors that occur in the course of automated processing.
For the purpose of defining and applying data security measures the Employer considers the latest technology at all times. Of various data processing solutions the Employer shall opt for the one that provides the highest possible level of protection, unless it would impose unreasonable burden on the company.
XIII. Data subject's rights and remedies related to data processing
Employees have the following rights related to their personal data:
In response to a request pertaining to the employee’s rights, Deloitte Advisory and Management Consulting Private Limited Company sends information to the data subject in writing within 30 (thirty) days following its receipt. The employer is only obliged to comply with the employee's request to restrict data processing or erase the data if the criteria for data processing stipulated in this Guide are not met.
Employees shall send any statements, comments or requests concerning the processing of their personal data via postal mail addressed to Deloitte Advisory and Management Consulting Ltd's registered office at 1068 Budapest, Dózsa György út 84/C or in an e-mail message sent to the CEHUHRAdmin@deloittece.com e-mail address.
The Employer shall reimburse the damages caused by the unlawful processing or breach of data security requirements, but they may be exempted from liability if they prove that the damage was caused by reasons beyond their control. The Employer will not reimburse the damages if they result from the employee’s deliberate or gross negligent behaviour.
XIV. Communication of the Guide to the Employees:
The HR department is responsible for informing the employees of the Guide. The employees are required to confirm that they have read and understood this information. The HR department meets this obligation as follows:
a) In case of Applicants: the competent HR colleague send this Guide to the candidate simultaneously with the job offer, and the candidate confirms its receipt by signing the employment contract.
b) In case of employees: The HR department sends the link to this Guide in e-mail to the employees, and by checking the box under the text on the link, the employee confirms to have read and understood the Guide.
c) In addition to the above, this Guide is uploaded to the Employer’s Intranet site, and the employees are informed of this fact and the route in the e-mail referred to above in subsection a).
d) Furthermore, the employees may request this Guide from HR employees at any time, or ask questions about its content.
Budapest, 21.02.2022
Deloitte Advisory and Management Consulting Private Limited Company
Represented by: Laczka Sándor and Balázs Bíró
Managing Director and CEO
Deloitte Auditing and Consulting Ltd.
Represented by: Laczka Sándor
Managing Director
Deloitte CRS Ltd.
Represented by: Laczka Sándor and Balázs Bíró Managing directors
Deloitte Legal Göndöcz and Partners Law Firm
Represented by Dr. Péter Göndöcz
Office Managing Attorney
A Deloitte magyarországi tagvállalatai, a Deloitte Üzletviteli és Vezetési Tanácsadó Zártkörűen Működő Részvénytársaság (székhely: 1068 Budapest, Dózsa György út 84/C; cégjegyzékszám: 01-10-044100; adószám: 11859633-2-44), a Deloitte Könyvvizsgáló és Tanácsadó Kft. (székhely: 1068 Budapest, Dózsa György út 84/C; cégjegyzékszám: 01-09-071057; adószám: 10443785-2-42), a Deloitte CRS Korlátolt Felelősségű Társaság (székhely: 1068 Budapest, Dózsa György út 84/C. cégjegyzékszám: 01-09-975176; adószám: 23720455-2-42), a Deloitte Legal Göndöcz és Társai Ügyvédi Iroda (székhely: 1068 Budapest, Dózsa György út 84/C; nyilvántartási szám: 2813), mint közös adatkezelők (honlap címe: https://www2.deloitte.com/hu/hu.html) (a továbbiakban együtt: Munkáltató)
személyes adatainak kezeléséről az alábbi adatkezelési tájékoztatást adják a jelentkezők és a munkavállalók (a jelen Tájékoztató alkalmazásában – amennyiben a Tájékoztató a jelentkezőt külön nem nevesíti - a továbbiakban együtt: Munkavállaló) részére.
I. A Tájékoztató célja
Olyan egyértelmű és kötelező érvényű eljárás kialakítása, amely szabályozza az adatkezelés módját a mindenkor hatályos adatvédelmi rendelkezések, így különösen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, az Európai Parlament és a Tanács 2016/679 számú irányelvének (továbbiakban: GDPR) betartására és a beépített adatvédelem maradéktalan érvényre juttatásának elősegítésére is figyelemmel.
A Tájékoztató gondozásáért felelős: A Deloitte Zrt. Humán Erőforrás osztályának (a továbbiakban: HR Osztály) mindenkori vezetője (a továbbiakban: HR vezető).
II. A Tájékoztató hatálya
A Tájékoztatóban foglaltak érvényesek és kötelezően alkalmazandóak a Munkáltatónál dolgozó valamennyi munkavállaló, és a Munkáltatóval munkaviszonyt létesíteni kívánó jelentkezők személyes adatainak kezelésével kapcsolatos tevékenységre. Jelen Tájékoztató 2018. május 25. napjától hatályos.
III. A Tájékoztató leírása
A Munkáltatónál az adatkezelés centralizált módon történik, amelyet szervezeti felépítése és szervezeti működése tesz indokolttá. A Munkáltató centralizált toborzási platformot működtet (továbbiakban „PLATFORM”), amely a Deloitte Central Europe (továbbiakban Deloitte CE) HR eszköze. A PLATFORM lehetővé teszi, hogy a Felhasználók megoszthassák szakmai és végzettségükre vonatkozó adataikat a Deloitte CE tagvállalataival, és így megtalálják a számukra legmegfelelőbb munkalehetőséget a Deloitte CE keretein belül.
A munkavállalói adatok kezelésével összefüggésben Deloitte Üzletviteli és Vezetési Tanácsadó Zártkörűen Működő Részvénytársaság, a Deloitte Könyvvizsgáló és Tanácsadó Kft., a Deloitte CRS Korlátolt Felelősségű Társaság és a Deloitte Legal Göndöcz és Társai Ügyvédi Iroda a Deloitte Üzletviteli és Vezetési Tanácsadó Zrt-t közös képviselőjükké nevezték ki. A jelen Tájékoztató hatálybalépésétől az Adatkezelők nevében a Deloitte Üzletviteli és Vezetési Tanácsadó Zrt. jogosult eljárni, aki felel az érintettek megfelelő tájékoztatásáért. A Deloitte Üzletviteli és Vezetési Tanácsadó Zrt. harmadik személyekkel, hatóságokkal szemben a többi közös adatkezelőt is képviseli. Az érintetti jogok érvényesítésével kapcsolatos megkereséseket a Deloitte Üzletviteli és Tanácsadó Zrt. dolgozza fel, és válaszolja meg. A közös adatkezelők harmadik személyekkel szemben egyetemlegesen felelnek az adatkezeléssel kapcsolatos esetleges károkért, egymás között azonban munkavállalóik számának a fent felsorolt valamennyi Deloitte entitás munkavállalói összlétszámához viszonyított arányban kötelesek helytállni.
IV. Fogalmi meghatározások
Adatkezelők: Valamennyi új munkalehetőséget kínáló Deloitte CE tagvállalat, amelyek toborzási folyamatot folytatnak le, és amelyek listája az alábbi linken érhető el: https://www2.deloitte.com/ce/en/legal/about-deloitte.html
Adatfeldolgozók: Az adatfeldolgozók listája az alábbi linken érhető el: https://ce.deloitteresources.com/CE%20Policies/1600%20Security/1612%20Data%20Processors%20-%20Local/1612.19%20List%20of%20Employee%20Personal%20Data%20Processors%20-%20Hungary.pdf
Ajánlás: Amennyiben a Deloitte CE bármely munkavállalója a Deloitte CE keretén belül – bármely módon – közzétett vagy ismertetett álláshirdetésre olyan személyt javasol, aki megítélése szerint rendelkezik a kívánt szakképzettséggel és szakmai ismeretekkel, amelyek az adott állás betöltéséhez szükségesek. A közvetítés kizárólag akkor minősül ajánlásnak, amennyiben a jelentkező még nem szerepel a PLATFORM adatbázisában, illetve egyéb módon sem vett részt bármely Deoitte CE kiválasztási folyamatban.
Deloitte: az Egyesült Királyságban “company limited by guarantee” formában alapított Deloitte Touche Tohmatsu Limited („DTTL”) társaságra, tagvállalatainak hálózatára és kapcsolt vállalkozásaira utal. A DTTL és valamennyi tagvállalata önálló, egymástól elkülönülő jogi személy. A DTTL ügyfelek részére nem nyújt szolgáltatásokat. További információ a Deloitte tagvállalatok globális hálózatáról a https://www2.deloitte.com/ce/en/legal/about-deloitte.html weboldalon elérhető.
Deloitte Central Europe: a szakmai szolgáltatások és tanácsadás terén kiválóságra törekvő, a Deloitte Central Europe Holdings Ltd. cégcsoportba szerveződött társaságok regionális szervezete, ami a Deloitte Touche Tohmatsu Limited tagvállalata. A szolgáltatásokat a Deloitte Central Europe Holdings Limited leány- és tagvállalatai nyújtják, amelyek különálló és független jogi személyek (a továbbiakban: „Deloitte CE”).
Deloitte Toborzási Platform: A Deloitte Toborzási Platform (továbbiakban „Platform”) a Deloitte Central Europe (továbbiakban Deloitte CE) HR eszköze. A PLATFORM lehetővé teszi, hogy a Felhasználók megoszthassák szakmai és végzettségükre vonatkozó adataikat a Deloitte CE tagvállalataival, és így megtalálják a számukra legmegfelelőbb munkalehetőséget a Deloitte CE keretein belül. A PLATFORM használata önkéntes, de amennyiben a Felhasználók megadják személyes adataikat, azok valamennyi Deloitte CE tagvállalat számára elérhetőek lesznek. A Felhasználó által feltöltött, illetve a jelentkezés/regisztráció során keletkező adatokat az illetékes HR munkatársak kielemzik és azok alapján összefoglalót készítenek a Felhasználóról, amely aztán a többi tagvállalat számára is hozzáférhető lesz.
Fejvadász: olyan szolgáltató, amelynek tevékenysége során egy betöltetlen állásra a jelentkezőt nem hirdetés, hanem közvetlen keresés során választják ki. A fejvadász cég munkatársa, a tanácsadó direkt megkeresés és ajánlás útján jut el több csatornán – adatbázis, Internet, kapcsolati háló – keresztül a legmegfelelőbb pályázóhoz (jelölthöz), és kínálja fel neki az álláslehetőséget.
Felhasználó: A Deloitte Toborzási Platformon regisztráló, a Platformra adataikat, szakmai anyagaikat feltöltő, és/vagy egy Deloitte CE által meghirdetett állást megpályázó természetes személyek, jelentkezők, munkavállalók.
Jelentkező: Munkáltatóval munkaviszonyt létesíteni szándékozó természetes személyek.
Munkavállaló: a Munkáltatóval munkaviszonyban álló természetes személyek.
V. Az adatkezelés oka
A Munkavállaló, amikor munkaviszony létesítése céljából felveszi a kapcsolatot a Munkáltatóval, majd később, amikor – kiválasztása esetén - munkaszerződést köt a Munkáltatóval, ennek során egyes személyes adatait átadja Munkáltató részére.
A Munkáltató, mint adatkezelő elsődleges feladata, hogy meghatározza az általa kezelt személyes adatok körét, az adatkezelés módját, valamint, hogy biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, és megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, vagy felhasználását, valamint biztosítsa a törlés, a sérülés és a megsemmisülés elleni védelmet.
A jelen Tájékoztató elkészítésekor különösen
VI. A Munkáltató személyes adatkezelésének jogalapja
A GDPR 6. cikk (1) bekezdése szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A Munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. (Mt. 10. § (1) bek., Mt.-n alapuló kötelező adatkezelés.)
a) Jelentkező esetében az adatkezelés minden esetben az érintettnek az általa a Munkáltató, mint adatkezelő részére önkéntesen átadott személyes adatai Munkáltató, mint adatkezelő általi kezeléséhez történő hozzájárulásán alapul.
b) Munkavállaló esetében a munkaszerződés (vagy egyéb, a munkaviszonyhoz kapcsolódó megállapodás) teljesítése érdekében a GDPR 6. cikk (1) bekezdés b.) pontja alapján kezeli Munkáltató a Munkavállaló személyes adatait. A GDPR 6. cikk (1) bekezdés c.) pontjával összhangban, munkaviszony létesítése, a munkaszerződés teljesítése vagy megszűnése szempontjából lényeges, az érintett által törvény rendelkezése alapján, törvényi kötelezettség teljesítése érdekében a Munkáltató részére kötelezően átadott személyes adatokat a Munkáltató az Mt. 10. § (1) bekezdésének törvényi felhatalmazása alapján kezeli.
Egyéb esetekben az adatkezelés az érintettnek az általa a Munkáltató részére önkéntesen átadott személyes adatai Munkáltató, mint adatkezelő általi kezeléséhez történő hozzájárulásán, továbbá a Munkáltató vagy egy harmadik fél jogos érdekeinek érvényesítésén alapul.
VII. A Munkáltató adatkezelésének célja
a) Jelentkező esetében az adatkezelés célja az érintettnek a Munkáltatóval, mint adatkezelővel történő munkaviszony létesítésére irányuló kiválasztásához szükséges belső humánpolitikai eljárás Munkátató, minta adatkezelő általi lefolytatása, adott jelentkezés meghiúsulása esetén a jelen Tájékoztatóban meghatározottak szerint a Munkáltató jelentkezői adatbankjában történő nyilvántartás, a későbbiekben a jelentkező szakmai tapasztalatainak, végzettségének megfelelő állásajánlat esetleges megküldése a jelentkező részére.
b) A munkavállaló esetében az adatkezelés célja a munkaviszony létesítése, a munkaviszonyból következő törvényes és/vagy szerződéses munkáltatói kötelezettségek (különösen pl. munkabérfizetés, törvényes adók- és járulékok levonása, szabadság kiadása, stb.) teljesítése és törvényes és/vagy szerződéses munkáltatói jogok gyakorlása, és a munkaviszony megszüntetése, továbbá törvényen alapuló adatszolgáltatás (pl. nyugdíjfolyósító szerv részére).
A Munkavállalóra vonatkozó adatokat a Munkáltató statisztikai célra felhasználhatja és statisztikai célú felhasználásra – a munkavállaló hozzájárulása nélkül, személyazonosításra alkalmatlan módon – átadhatja.
VIII. A Munkáltató által kezelt személyes adatok köre
A Munkáltató által kezelt személyes adatok körébe tartozik minden olyan személyes adat, amelyet a Munkáltatónak a kiválasztási tevékenységéhez, a munkaviszony létrejöttének előkészítéséhez, annak létrejötte, fennállása és megszűnése során vagy megszűnését követően a jogszabályokban meghatározott időtartamig kezelnie kell (pl. a munkaszerződésbe foglalt személyes adatok, béradatok, munkaköri leírás, adóbevallás, TB iratok, stb. adatai).
A Munkavállalótól, illetve az álláshirdetésre történő jelentkezés során (álláshirdetésben, állásinterjún, stb.) a jelentkezőtől családi állapotra, lakásviszonyokra, a szülők foglalkoztatására, politikai véleményre, vallási, világnézeti meggyőződésre vonatkozó személyes adat, illetőleg a munkaviszonnyal össze nem függő más személyes adat az adatkezelés céljának hiányában nem igényelhető, kivéve ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges.
Az egészségi állapotra, krónikus betegségre, dohányzásra, kóros szenvedélyre vonatkozó adatok különleges személyes adatoknak minősülnek, így ezekre vonatkozó adatszolgáltatás, adatkezelés csak az érintett írásbeli hozzájárulásán, törvényi rendelkezésen, és/vagy a GDPR 6. cikk (1) bekezdés d.) pontjára figyelemmel az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekei védelmének szükségességén alapulhat, illetve ha az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges.
A Munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyhez fűződő jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
Közösségi média: Munkáltató a jelentkezőkről csak olyan mértékben gyűjthet és kezelhet személyes adatokat, amilyen mértékben az ilyen adatok gyűjtése szükséges és releváns azon munkakör betöltése szempontjából, amelyre az illető jelentkezik. A Munkáltató semmilyen körülmények között nem követelheti meg a Munkavállalótól, hogy hozzáférést biztosítson számára a közösségi médiában elérhető profilja tartalmához. A Munkáltató a GDPR 6. cikk (1) bekezdésének f.) pontja alapján jogos érdekre hivatkozva csak akkor rendelkezhet jogalappal a jelentkezők nyilvánosan elérhető információinak áttekintésére, ha az adott munkakörhöz szükség van a jelentkezőről a közösségi médiában elérhető információk áttekintésére, például a jelentkező meghatározott feladattal kapcsolatos konkrét kockázatainak felmérése céljából, és csak akkor, ha jelentkezőket erről megfelelően tájékoztatja (például az álláshirdetés szövegében).
A Munkavállalók által használt járművekkel, jelenléttel/munkaidővel kapcsolatos adatkezelési műveletekre, illetve a mobil eszközök kezelésére a Deloitte CE külön regionális szabályzatot alkotott, amelyet Munkáltató az érintettekkel megismertet.
A Munkáltató a Munkavállalók fényképeinek kezelését különböző jogalapok alapján végzi attól függően, hogy mi az adatkezelés célja.
a) Jelentkező esetében: az Adatkezelő/Munkáltató által meghirdetett pozíció betöltésére jelentkező a Platformon keresztül feltöltött önéletrajzában saját maga jogosult eldönteni, hogy tölt-e fel fényképet, vagy sem. Az Adatkezelő/Munkáltató fénykép feltöltésére nem kötelezheti a jelentkezőt, ugyanakkor amennyiben a jelentkező úgy dönt, hogy fényképes önéletrajzot csatol, azzal megadja hozzájárulását fényképének kezelésére, így ebben az esetben az adatkezelés jogalapja az érintett hozzájárulása.
b) Munkavállaló esetében megkülönböztetjük a munkáltató jogos érdekén, illetve amunkavállaló hozzájárulásán alapuló adatkezelést.
- a munkáltatói jogos érdeken alapszik a munkavállalók fényképének (portré fotó) a munkaviszony kezdetének napján történő elkészítése és annak felhasználása a Munkáltató székhelyén működő beléptető és biztonsági rendszer hatékony működése céljából. A Munkáltató az erre irányuló érdekmérlegelési tesztet elvégezte, amelynek alapján jogosult az adatkezelésre.
- a Munkáltató a munkavállalók részére szervezett rekreációs eseményeken az ott történt események megörökítésére kép- és hangfelvételeket készíthet. Az ilyen események olyan nyilvános rendezvényeknek tekintendők, amelyeken a tömegfelvételek készítéséhez és azoknak a Munkáltató közösségi médiafelületein, Intranet oldalán történő megjelenítéséhez nincs szükség a munkavállaló hozzájárulására. Tömegfelvételnek az olyan fényképek minősülnek, amelyek célja az esemény bemutatása, és amely alapján az egyén nem beazonosítható, nem felismerhető. Mindezek mellett, amennyiben a Munkáltató mégis olyan fényképet kíván nyilvánossá tenni, amelynek egyedi képmás jellege megállapítató, abban az esetben be kell szerezni az érintett hozzájárulását, mivel az ilyen típusú felvétel nem minősül tömegfelvételnek, és a GDPR fogalommeghatározása szerint olyan különleges személyes adat, amel kizárólag az érintett hozzájárulásával kezelhető.
a) Jelentkező esetében: a munkaviszony létesítését megelőzően a jelentkező az Adatkezelő/Munkáltató általi kiválasztásához és (kiválasztása esetén) a munkaviszony létesítéséhez szükséges személyes adatait adja meg az Adatkezelő/Munkáltató számára.
A Jelentkező a PLATFORM-on történő regisztrálása és/vagy valamely Deloitte CE tagvállalat által meghirdetett állás megpályázása esetén, külön előzetes tájékoztatás ismeretében, önkéntes hozzájárulása alapján elfogadja különösen az alábbi személyes adatai kezelését: keresztnév, vezetéknév, jelszó, e-mail cím, székhely, telefonszám, további fájlok (pl. portfolió), linkek (pl. portfolió), születési hely, idő, iskolákra vonatkozó információ, munkatapasztalat, korábbi jelentkezések, teszteredmények, toborzással kapcsolatos információk (pl. megjegyzések), a PLATFORM-on a Jelentkező elérhető személyes adatai alapján a Deloitte által készített bármely értékelés, összefoglaló vagy eredmény. A PLATFORM használata önkéntes, de amennyiben a Jelentkező megadja személyes adatait, azok valamennyi Deloitte CE tagvállalat számára elérhetőek lesznek. A Jelentkező által feltöltött, illetve a jelentkezés folyamata során keletkezett adatokat az illetékes HR munkatársak kielemzik és azok alapján összefoglalót készítenek a Jelentkezőről, amely aztán a többi tagvállalat számára is hozzáférhető lesz.
Fentieken túl minden olyan személyes adat, amelyeket a jelentkező az álláshirdetésre/pályázatra történő jelentkezése során az Adatkezelő/Munkáltató részére benyújtott dokumentumokban (jelentkezés, önéletrajz, motivációs levél, végzettséget igazoló dokumentumok, stb.) önkéntesen megadott.
b)A munkaviszony létesítésekor a munkavállaló a munkaviszony létesítéséhez, a munkaviszonyból fakadó törvényi és szerződéses jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges személyes adatait adja meg a Munkáltató számára.
Ezen személyes adatok köre különösen:
Név
Születési név
Születési hely
Születési idő
Anyja születési neve
Lakóhely
Tartózkodási hely (amennyiben eltérő a lakóhelytől)
Adóazonosító jel
Társadalombiztosítási azonosító jel (TAJ szám)
Nyugdíjas törzsszám (nyugdíjas munkavállaló esetén)
Személyi igazolvány száma
Lakcímet igazoló hatósági igazolvány száma
Folyószámla száma
Végzettséget igazoló okmány másolati példánya
Munkakör
Munkaidő
Munkarend
Szakképzettségre vonatkozó adatok
Szakmai tapasztalatra vonatkozó adatok
Betegállományára, szabadságra vonatkozó adatok
16 év alatti gyermekek neve, születési helye és ideje (ha a munkavállaló gyermek után járó szabadságot kíván igénybe venni)
Fénykép (csak hozzájárulás alapján)
IX. Az adatkezelés időtartama, határideje
a) Jelentkező esetében az Adatkezelő/Munkáltató a munkaviszony létrejötte meghiúsulásának időpontjáig, illetve a jelentkező hozzájárulása esetén az alábbiakban meghatározott időpontig kezeli a jelentkező átadott személyes adatait.
Amennyiben a jelentkező az Adatkezelő által nem kerül kiválasztásra, az Adatkezelő nem kíván a jelentkezővel munkaviszonyt létesíteni, abban az esetben Adatkezelő erről e-mailben tájékoztatja a jelentkezőt. A tájékoztató e-mailben szereplő linkre történő kattintással a Jelentkező külön előzetes tájékoztatás ismeretében önkéntesen hozzájárulhat ahhoz, hogy az álláshirdetésre/pályázatra történő jelentkezése során benyújtott dokumentumokban (jelentkezés, önéletrajz, motivációs levél, végzettséget igazoló dokumentumok, stb.) megadott személyes adatait a pályázata meghiúsulása ellenére az Adatkezelő jelentkezői adatbankjában (PLATFORM) történő nyilvántartás, a későbbiek során a jelentkező szakmai tapasztalatainak, végzettségének megfelelő állásajánlat jelentkező részére történő esetleges megküldése céljából a vonatkozó jogszabályok szerint a jelentkező hozzájáruló nyilatkozatának visszavonásáig, de legfeljebb 3 (három) évig kezelje. Amennyiben a jelentkező a tájékoztató e-mailen keresztül nem járul hozzá a jelentkezése során benyújtott dokumentumok kezeléséhez, a megadott személyes adatai a tájékoztató e-mail olvasási visszaigazolásának időpontjától számított 14 (tizennégy) napon belül teljes körűen törlésre kerülnek.
Amennyiben a jelentkező úgy regisztrál a PLATFORM-on, és úgy tölti fel személyes adatait, hogy azzal nem jelentkezik egyik konkrét meghirdetett állásra sem, a regisztráció során önkéntes hozzájárulását adhatja a PLATFORM-on, hogy a reisztrációja során benyújtott dokumentumokban (jelentkezés, önéletrajz, motivációs levél, végzettséget igazoló dokumentumok, stb.) megadott személyes adatait az Adatkezelő jelentkezői adatbankjában (PLATFORM) történő nyilvántartás, a későbbiek során a jelentkező szakmai tapasztalatainak, végzettségének megfelelő állásajánlat jelentkező részére történő esetleges megküldése céljából a vonatkozó jogszabályok szerint a jelentkező hozzájáruló nyilatkozatának visszavonásáig, de legfeljebb 3 (három) évig kezelje.
b) Munkavállaló esetében a Munkáltató a személyes adatokat a fentiek szerinti célokból a munkaviszony fennállásának időtartama alatt, a munkaviszony megszűnését követően a jogszabályokban előírt időtartamig (amely alatt a Munkáltató a munkavállalóval fennállt munkaviszonyra vonatkozó adatokat köteles megőrizni) kezelheti, így különösen
esetében a munkaviszony megszűnésének évét követő 6. (hatodik) naptári év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő;
a Munkáltató a Munkavállalóra vonatkozó, a munkaviszony fennállását igazoló dokumentumokat, adatokat a munkavállaló nyugdíjának megállapításához szükséges adatszolgáltatás céljából a munkaviszony megszűnése után is megőrzi 75 (hetvenöt) év időtartamig.
Egyéb esetekben az adatkezelés az adatkezelés céljának megvalósulásáig történik.
X. Ajánlás, fejvadász útján történő jelentkezéssel kapcsolatos adatvédelmi követelmények
Az ajánlás útján történő jelentkezés úgy történik, hogy az ajánló munkavállaló értesíti az illetékes HR dolgozót az ajánlott személyről, a HR osztály ezt követően tájékoztató e-mailt küld az ajánlott személy önkéntes hozzájárulásával megadott e-mail címére a PLATFORM-ról, és a jelentkezéssel kapcsolatos fontosabb tudnivalókról. Az ajánlott személy a meghirdetett állásra a PLATFORM-on történő regisztrációval, és ennek során feltöltött dokumentumokkal és általa önként megadott adatokkal jelentkezhetnek. A platformon történő regisztráció során a jelentkező megismerheti jelen Tájékoztató tartalmát.
A fejvadász útján történő jelentkezés a fentiekhez hasolnóan történik, a fejvadász a meghirdetett állásra alkalmas jelentkezőket tájékoztatja a PLATFORM-ról, az általa alkalmasnak tartott személyek a meghirdetett állásra a PLATFORM-on történő regisztrációval, és ennek során feltöltött dokumentumokkal és általuk önként megadott adatokkal jelentkezhetnek. A platformon történő regisztráció során a jelentkező megismerheti jelen Tájékoztató tartalmát.
XI. Az Adatkezelőnél/Munkáltatónál a Munkavállalók adatainak kezelésre jogosult személyek
Az Adatkezelő/Munkáltató által megvalósított jelen Tájékoztató szerinti személyes adatkezelés során a Munkavállaló személyes adatait a munkáltatói jogok gyakorlására jogosult személy(ek), továbbá Adatkezelő/Munkáltató Humán Erőforrás osztályának munkatársai, toborzási menedzserek és a PLATFORM rendszeradminisztrátorai ismerhetik meg. A Jelentkezők személyes adatai az Európai Gazdasági Térség országain kívüli adatkezelők és/vagy adatfeldolgozók számára is hozzáférhetőek. A PLATFORM-on történő adatok megadásával a Jelentkező hozzájárul ahhoz, hogy azok átadásra kerüljenek ezen adatkezelőknek és/vagy adatfeldolgozóknak, Munkáltató külön felhívja a figyelmet, hogy az adatok kizárólag olyan adatkezelőknek/adatfeldolgozóknak kerülhetnek továbbításra az Európai Gazdasági Térségen kívül, amelyek biztosítják az adatvédelmi törvények által elvárt megfelelő szintű adatvédelmet. A személyes adatok az alkalmazandó jogszabályok felhatalmazása alapján az illetékes hatóságokkal is közölhetőek.
Adatkezelő a jelen Tájékoztató IV. pontjában megjelölt Adatfeldolgozókat veszi igénybe, akik az ott megjelölt tevékenységeket látják el Adatkezelő számára.
XII. Adatbiztonság
A Munkáltató köteles a Munkavállalókat tájékoztatni személyes adataik kezeléséről. Munkavállalóira vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben, vagy a Munkavállaló hozzájárulásával közölhet.
A Munkáltató mindent megtesz az általa kezelt személyes adatokhoz való jogosulatlan hozzáférés, azok megváltoztatása, nyilvánosságra hozatala, törlése, sérülése, megsemmisülése, továbbá az alkalmazott technika megváltoztatásából fakadó hozzáférhetetlenné válás ellen. E tevékenysége körében a Munkáltató többek között gondoskodik az adatok:
Mentéséről: A hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt személyes adatok elvesztésének elkerülése rendszeres mentéssel biztosítható.
Tűzvédelmi megóvásáról: Az adatokat és adatbázisokat tűzvédelmi és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni.
Vírusvédelméről: A személyes adatokat kezelő ügyintézők, alkalmazottak számítógépein gondoskodni kell a vírusmentesítésről.
Hozzáférés-védelméről: Az adatokhoz csak érvényes, személyre szóló jogosultsággal lehet hozzáférni.
Hálózati védelméről: A mindenkor rendelkezésre álló számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen.
A Munkáltató az adatkezelési műveleteket úgy tervezi meg, és hajtja végre, hogy az adatkezelésre vonatkozó szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.
A személyes adatok automatizált feldolgozása során a Munkáltató biztosítja:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát, és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
A Munkáltató az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
XIII. Az érintettek adatkezeléssel kapcsolatos jogai és jogérvényesítési lehetőségei
A munkavállalókat az alábbi jogok illetik meg a személyes adataik kezelésével kapcsolatban:
A Munkavállalót megillető jogok gyakorlására irányuló kérelem esetén a Deloitte Üzletviteli és Vezetési Tanácsadó Zrt. annak beérkezésétől számított 30 (harminc) napon belül írásban tájékoztatja az érintettet. A Munkavállaló adatainak kezelése korlátozására, illetve törlésére vonatkozó kérelemnek a munkáltató csak akkor köteles eleget tenni, ha az adatok kezelésének jelen Tájékoztatóban foglalt feltételei nem állnak fenn.
Munkavállalók az adataik kezelésével kapcsolatos nyilatkozataikat illetve észrevételeiket, kérdéseiket postai úton a Deloitte Üzletviteli és Vezetési Tanácsadó Zártkörűen Működő Részvénytársaság HR Osztályának szóló, a 1068 Budapest, Dózsa György út 84/C címre küldött levélben, illetve amailto: CEHUHRAdmin@deloittece.com e-mail címre küldött e-mail üzenetben jelölheti meg.
A Munkáltató az érintett Munkavállaló adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtéríti, ugyanakkor mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. A Munkáltató nem téríti meg a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
XIV. A tájékoztató megismertetése a Munkavállalókkal:
A tájékoztató megismertetése a munkavállalókkal a HR Osztály feladata és felelőssége, szükséges annak igazolása is, hogy a munkavállaló e tudást megértette, elsajátította. Az itt meghatározott feladatának a HR Osztály a következők szerint tesz eleget:
a) Jelentkezők esetében: az illetékes HR dolgozó a munkaviszony létesítésére vonatkozó ajánlat megküldésével egyidejűleg megküldi a jelen Tájékoztatót is a jelentkező részére, aki ennek tényét a munkaszerződés aláírásával igazolja.
b) Munkavállalók esetében: A HR Osztály e-mailben megküldi a jelen Tájékoztató elérhetőségét tartalmazó linket, ennek megtörténtét a linken elérhető szöveg alatti checkbox bejelölése igazolja, amellyel munkavállaó elismeri, hogy a tájékoztató tartalmát megismerte.
c) A fent írt tájékoztatás mellett a Munkáltató Intranet oldalára is feltölti a jelen tájékoztatót, amelynek tényéről és elérési helyéről a Munkáltató az a.) pont szerint megküldött e-mailben tájékoztatja a Munkavállalókat.
d) Továbbá a HR Osztályon dolgozó személyektől a munkavállalók a jelen Tájékoztatót bármikor jogosultak elkérni, illetve annak tartalmáról tájékoztatást kérni.
Budapest, 2022. 02. 21.
Deloitte Üzletviteli és Vezetési Tanácsadó Zrt.
Képviseli: Laczka Sándor és Bíró Balázs
Cégvezető és vezérigazgató
Deloitte Könyvvizsgáló és Tanácsadó Kft.
Képviseli: Laczka Sándor
Ügyvezető
Deloitte CRS Kft.
Képviseli: Laczka Sándor és Bíró Balázs
Ügyvezetők
Deloitte Legal Göndöcz és Társai Ügyvédi Iroda
Képviseli: dr. Göndöcz Péter
Irodavezető