1 

 

Data Processing Notice 

 

to  the  processing  of  personal  data  by  the  Moholy-Nagy  University  of  Art  and  Design  Budapest 
('MOME') in the framework of the University Life Platform.  
 
The personal data provided will be processed and stored based on the 

voluntary consent 

of the data 

subject,  in  full  compliance  with  the  data  protection  regulations  in  force  at  any  given  time,  in 
particular Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR). 
 

Data Subject

: a natural person that is identified or identifiable based on any information. 

In this case, the 

person making the declaration. 

 

Personal  data

:  means  any  information  relating  to  an  identified  or  identifiable  natural  person  (‘data 

subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by 
reference to an identifier such as a name, an identification number, location data, an online identifier or to 
one  or  more  factors  specific  to  the  physical,  physiological,  genetic,  mental,  economic,  cultural  or  social 
identity of that natural person.

  

 

Controller

:  The  natural  or  legal  person  or  organisation  without  legal  personality  which,  alone  or  jointly 

with others, determines the purposes for which the data are to be processed, takes and implements the 
decisions  concerning  the  processing  (including  the  means  used)  or  has  the  data  processed  with  the 
processor, within the limits set by law or by a legally binding act of the European Union.

 

 

Processing

: means any operation or set of operations which is performed on personal data or on sets of 

personal  data,  whether  or  not  by  automated  means,  such  as  collection,  recording,  organisation, 
structuring,  storage,  adaptation  or  alteration,  retrieval,  consultation,  use,  disclosure  by  transmission, 
dissemination  or  otherwise  making  available,  alignment  or  combination,  restriction,  erasure  or 
destruction. 
 

 

Consent

 

of the Data Subject

:

 

means any freely given, specific, informed and unambiguous indication of 

the  data  subject’s  wishes  by  which  he  or  she,  by  a  statement  or  by  a  clear  affirmative  action,  signifies 
agreement to the processing of personal data relating to him or her. 

On the protection of personal data 

 
The  Controller  shall  respect  the  protection  of  personal  data  and,  in  compliance  with  the  applicable 
legislation in force at all times, ensure the processing and retention of such data made available to it. The 
Controller 

shall use the personal data only for the purposes indicated, shall not merge them with its

databases from other sources, shall not disclose the personal data processed to third parties without the 
express  consent  of  the  Data  Subject, 

unless  expressly  provided  for  by  law

,  and  shall  use  all  reasonable 

efforts to protect such data.  

 

Name and contact data of the controller: 

•

 

name: Moholy-Nagy University of Art and Design Budapest; 

•

 

registered office: 1121 Budapest, Zugligeti út 9-25.; 

•

 

e-mail: info@mome.hu; 

•

 

phone: + 36 1/ 392-1180; 

•

 

Controller’s representatives: József Fülöp Rector; Réka Matheidesz Chancellor 

•

 

data protection officer: Dr. Márk Kovács 

•

 

e-mail: jog@mome.hu 

 

2 

 

 
Legal basis of processing: 

•

 

for all personal data processed: the data subject’s voluntary consent [Article 6(1)(a) 

of the GDPR]. Information on the legal basis for the processing of each data item is set out in 
Annex 1, column C.  

 

By signing the Consent Form, the following personal data will be processed: 

•

 

The list of data processed is set out in Annex 1, column A.  

 

Purpose of processing:

 

•

 

The purpose of the processing, per data processed, is set out in Annex 1, column B.  
 

Data retention time: 

•

 

The data retention time, per data processed, is set out in Annex 1, column D.  
 

Data accessibility: 

•

 

The  data  can  only  be  accessed  by  the  relevant  MOME  staff  and  will  be  treated 
confidentially by MOME. Information on the accessibility of data, per data processed, 
is set out in Annex 1, column E.  

 

Data storage and data security: 

•

 

Information on data storage, per data processed, is set out in Annex 1, column F. 
 

The data subject’s rights in relation to the processing of his or her personal data: 
 

No  automated  decision-making  or  profiling  is  carried  out  on  the  basis  of  the  data  subject’s  data. 
Protection  of  your  personal  data:  your  data  stored  electronically  may  only  be  accessed  by  duly 
authorised staff for the purposes set out in the Data Processing Notice. 
 
The  Data Subject may  exercise  his or her rights set out in this Section in 

relation to personal data 

processing

 at any of the contact details of the Controller specified above, as follows: 

 

•

 

Right to withdraw consent (Article 7 of the GDPR): if the processing of certain data is based

on  your  consent,  you  can  withdraw  your  consent  at  any  time.  The  withdrawal  of  consent 
shall not affect the lawfulness of the processing performed on the basis of the consent. 

•

 

Right of access (Article 15 of the GDPR): In particular, you may access your personal data

processed by the University, you may obtain information on the manner and circumstances 
of such processing, and you may request a copy of the data. 

•

 

Right to data portability (Article 20 of the GDPR):

 You have the right to request a copy of 

your personal data and send it to other organisations, or possibly to request the University to 
transfer these data, if the processing is based on consent or a contract or is automated. The 
request may be refused if the processing of the data is in the public interest.

 

 

•

 

Right to rectification (Article 16 of the GDPR): You may request the rectification of

inaccurate  personal  data  processed  by  the  University  without  undue  delay  and  the 
completion of incomplete personal data. The University will then check the accuracy of the 
data  and,  depending  on  the  result,  correct  it.  In  such  a  case,  the  University  will  not  only 
correct the data in its own records, but will also forward your request  to the persons and 
organisations with whom it has shared the data, and who are reasonably accessible to it. 

3 

 

•

 

Right to erasure (Article 17 of the GDPR): You may request the erasure of your personal data

from the University’s records if: 

o

 

the  purpose  of  the  processing  no  longer  exists  and  there  is  no  longer  a  need  to 
process the data; 

o

 

the processing of your data is  unlawful, for example if the University processes  the 
data without a proper legal basis; 

o

 

your data must be erased in order to comply with a legal requirement; 

 

•

 

Right of restriction (Article 18 of the GDPR): You have the right to ask the University to

restrict the processing of your data. In such a case, your data will be blocked, after which any 
processing  operation  (other  than  storage)  may  only  be  carried  out  with  your  consent.  The 
restriction may be lifted if the use of the data in question is necessary for the establishment, 
exercise or defence of a legal claim or for the protection of the rights of others or in the public 
interest of the Union or of a Member State. You will always be informed when the restriction 
is  lifted.  The  University  will  forward  your  request  for  restriction  to  the  persons  and 
organisations with whom it has shared the data, and who are reasonably accessible to it. The 
right of restriction may be exercised in the following cases: 

o

 

If you contest the accuracy of the personal data, the restriction will apply for as long 
as the University verifies the accuracy of the personal data; 

o

 

the processing of the relevant data is unlawful, but you object to the erasure of the 
data for any reason; 

o

 

the  University  no  longer  needs  your  data,  but  you  need  it  for  purpose  of 
establishment, exercise or defence of a legal claim;

 

•

 

Right of redress (Chapter VIII of the GDPR): if you believe that the University has infringed

your rights to your personal data, you may ask the University to remedy your rights, you may 
lodge a complaint with the Hungarian National Authority for Data Protection and Freedom of 
Information (hereinafter as: the 

Authority) 

or take your case to court. 

 

The registered office of the Authority: 1055 Budapest, Falk Miksa utca 9-11.

Postal address of the Authority: 1374 Budapest, Pf. 603.

The telephone number of the Authority: +36 1 391 1400

The fax number of the Authority: +36 1 391 1410

Email of the Authority: ugyfelszolgalat@naih.hu

Website of the Authority: www.naih.hu

 

If you believe that we are not acting lawfully in the processing of your personal data, please first  
communicate your observations or requests to us, acting as the Controller, 

using one of the contact 

details listed above

, in order to enable us to process and handle your observation as quickly and 

efficiently as possible.

 

 

How to submit a data protection request 

You can submit your requests to exercise your data protection rights electronically to 

jog@mome.hu

. 

When submitting an application, the applicant must ensure that his/her identity is clearly identifiable 
and provide at least the following information: 

•

 

surname and first name; 

•

 

date of birth; 

•

 

tax ID; 

The  University will inform you of the  action taken in response  to your request as soon as possible 
after  receiving  it,  but  no  later  than  30  days  after  receipt  of  the  request.  This  deadline  may  be 

4 

 

extended once, by up to 60 days, in view of the complexity of the request or the number of requests; 
the University will officially notify you of this within 30 days of receiving the request. 

Safeguards and security measures 

The University shall implement appropriate technical and organisational measures for ensuring that, 
by default, only personal data which are necessary for each specific purpose  of the  processing are 
processed.  That  obligation  applies  to  the  amount  of  personal  data  collected,  the  extent  of  their 
processing, the period of their storage and their accessibility.  

In addition to the above, the University shall protect the data against unauthorised access, alteration, 
disclosure,  transmission,  publication,  deletion  or  destruction,  as  well  as  accidental  destruction  or 
damage, in particular by additional physical (electronic asset protection systems at the University’s 
premises),  logical  (password  protection,  firewall,  access  control)  and  administrative  (dedicated 
policies  for  asset  protection  systems,  staff  training  on  data  protection  and  information  security) 
measures proportionate to the risk of data processing.  

Review of the data protection notice 

The University will review the data protection notice  regularly and will ensure that it is updated as 
necessary. The University will inform data subjects of any changes to the data processing notice. In 
determining  how  to  provide  the  information,  the  University  will  take  into  account  considerations 
such as the significance of the change or the scope of the persons and data affected by the change.