Főoldal Jogi Adatvédelmi tájékoztató

Adatvédelmi tájékoztató.

Hogyan gyűjtjük, használjuk és védjük a személyes adatait, amikor a HartaFarmacii oldalt látogatja. A GDPR (EU 2016/679 rendelet) előírásainak megfelelően.

Utolsó frissítés: 2026-05-01

1. Adatkezelő

A hartafarmacii.ro szolgáltatás és a HartaFarmacii mobilalkalmazás (a továbbiakban: „HartaFarmacii” vagy „mi”) egy független árösszehasonlító és gyógyszertár-kereső a romániai piacra. A személyes adatok kezelője (adatkezelő) az (EU) 2016/679 rendelet (a „GDPR”) értelmében Andrei-Șerban, román állampolgárságú természetes személy, elérhető a contact@hartafarmacii.ro címen.

A jelen tájékoztató közérthetően, a GDPR 12. cikkének megfelelően ismerteti, hogy milyen adatokat gyűjtünk, miért, mennyi ideig őrizzük meg és hogyan gyakorolhatod a jogaidat.

2. A gyűjtött adatok kategóriái

2.1. Web — látogatás a hartafarmacii.ro oldalon

  • Technikai naplóadatok: IP-cím (24 óra után álnevesítve), böngészőtípus, operációs rendszer, meglátogatott URL-ek, hivatkozó oldal, időbélyeg;
  • Sütik és tárolás: lásd a külön szakaszt alább;
  • Keresési kifejezések, amelyeket beírsz: IP nélkül, anonimizálva őrizzük meg, a találatok minőségének javítására;
  • Hozzávetőleges hely az IP-ből (város/megye): csak a térképszűrők előfeltöltésére használjuk, hosszú távú profil formájában soha nem tároljuk.

2.2. iOS-alkalmazás — eszközön tárolt adatok

  • Eszközazonosító (UUID): az első indításkor egy véletlenszerű (RFC 4122 v4) azonosítót generálunk, és az iOS Keychainjébe tesszük, device_id kulccsal. Nem IDFA, nem osztjuk meg hirdetéshálózatokkal; kizárólag a beállításaid (kedvencek, nyelv, téma, hozzájárulás) megőrzését szolgálja az indítások között, valamint az iCloud Keychain útján a közös Apple ID-vel bejelentkezett iPhone és iPad közti szinkronizációt. Bármikor visszaállíthatod a Beállítások képernyőről → „Eszközazonosító visszaállítása” (a kódban DeviceService.reset()). A visszaállítás törli a hozzá kapcsolódó kedvenceket;
  • Kedvencek: az alkalmazás helyi adatbázisában tárolódnak az UUID-hez kötve. Soha nem küldjük szerverre;
  • Helyhozzáférési engedély: ha megadod, az alkalmazás requestWhenInUseAuthorization-t használ, csökkentett pontossággal (~100 m). A koordinátákat soha nem küldjük szerverre; kizárólag az eszközön számítjuk ki belőlük a legközelebbi gyógyszertárak távolságát. Az engedély bármikor visszavonható az iOS Beállítások → Adatvédelem és biztonság → Helyszínszolgáltatások → HartaFarmacii útvonalon;
  • App Tracking Transparency (ATT): az App Store szabályai szerint, ha releváns, az iOS megjeleníti az ATT-űrlapot. A válaszod határozza meg, hogy a hirdetéshálózatok használhatják-e az IDFA-t az attribúcióhoz. Az elutasítás nem érinti az alkalmazás működését.

2.3. iOS-alkalmazás — hozzájárulás-alapú telemetria

  • Firebase Crashlytics (Google LLC): anonimizált összeomlás-jelentést küld (stack trace, telefon típusa, iOS-verzió, alkalmazás-verzió, Firebase install ID). Nem küld IDFA-t, a mi UUID-nket vagy helyzetet sem. Cél: a hibák azonosítása és javítása;
  • Firebase Analytics (Google LLC): csak kifejezett hozzájárulás után aktív. Gyűjtött események: search_performed (csak a keresőkifejezés hossza, szöveg nélkül), pharmacy_view (lánc-slug, pl. „catena”), product_view (termék-slug), purchase (IAP-tranzakció eredménye), ad_impression_internal (alkalmazáson belüli hirdetésmegjelenítések gyakorisága). Egyik esemény sem hordoz közvetlen személyazonosítót;
  • Google AdMob: az EGT, az Egyesült Királyság és Svájc felhasználóinak az alkalmazás minden hirdetésmegjelenítés előtt megjeleníti a Google UMP űrlapot. Ha elutasítod a hozzájárulást, az AdMob nem személyre szabott hirdetéseket szolgál ki (NPA), profilalkotás nélkül. A választást bármikor megváltoztathatod az Info → „Hirdetési adatvédelmi beállítások” menüpontból;
  • A PrivacyInfo.xcprivacy-ban deklarált nyomkövetési domainek (az Apple App Store szerint):
    • googleads.g.doubleclick.net
    • googlesyndication.com
    • google-analytics.com
    • firebase-settings.crashlytics.com
    • app-measurement.com
  • SKAdNetwork (Apple): az alkalmazás Info.plist-jében 53 SKAdNetwork-azonosító található a hirdetéshálózatokhoz. Az SKAdNetwork az Apple adatvédelmet őrző attribúciós rendszere: csak összesített jeleket továbbít a hálózatok felé (történt egy telepítés egy másik alkalmazásban látott hirdetés után), felhasználói azonosító nélkül.

2.4. iOS-alkalmazás — fizetési adatok (IAP)

  • Amikor megveszed a premium_lifetimeMed-et, az Apple a StoreKiten keresztül a következőket küldi vissza nekünk: anonim tranzakcióazonosító, a termék azonosítója, ár, pénznem, időbélyeg;
  • Nem kapjuk meg a bankkártya-adataidat, az Apple ID-det, a címedet vagy bármely más számlázási információt. A fizetést és a számlázást közvetlenül az Apple kezeli.

3. Az alkalmazás által használt API-végpontok

A mobilalkalmazás a térképi és árazási adatokért a szerverünkkel kommunikál. A főbb hívások és a szerveroldali naplózás:

  • GET /api/pharmacies.geojson — gyógyszertárak listája (statikus gyorsítótár, személyes adat nincs);
  • GET /api/hospitals.geojson — kórházak listája (statikus gyorsítótár);
  • GET /api/search?q=… — termékkeresés;
  • GET /api/product/{slug} — termékadatok;
  • GET /api/product-by-gtin/{gtin} — keresés helyileg beolvasott vonalkód alapján;
  • GET /api/chain-logos.json — láncok logó-manifestje;
  • POST /api/device — opcionális, eszköz-UUID-t küld a távoli konfiguráció vagy hirdetmények kézbesítéséhez; a kérés-törzs nem tartalmaz más személyes adatot.

A szerveren naplózzuk: az IP-címet (24 óra után álnevesítve), a hívott végpontot, az időbélyeget, a válaszkódot és a user-agent-et. A naplókat 30 napig őrizzük hibakeresés és visszaélés-elhárítás céljából, majd automatikusan töröljük. A naplókat nem értékesítjük és nem osztjuk meg harmadik féllel.

4. Sütik és tárolás a weben

4.1. Feltétlenül szükséges sütik

Hozzájárulás nélkül beállíthatók (a működéshez nélkülözhetetlenek):

  • hf_consent — a hozzájárulási beállításaidat tárolja; élettartam: 12 hónap;
  • hf_session — átmeneti munkamenet a CSRF-védelemhez; élettartam: a munkamenet.

4.2. Analitikai sütik (hozzájáruláshoz kötött)

  • Google Analytics 4 (G-36128FW2PK): _ga, _ga_*, munkamenet-azonosítók. Google Consent Mode v2-t használunk: ha elutasítod, a GA sütik és állandó azonosítók nélküli jeleket kap (statisztikai modellezés egyéni adatok helyett);
  • Google Tag Manager (GTM-PHB25JNF) — címketöltő, saját sütit nem állít be.

4.3. Hirdetési sütik (hozzájáruláshoz kötött)

Az oldal hirdetéseket jelenít meg a Google AdSense útján (publisher: ca-pub-5475769399695434). Tipikus sütik:

  • __gads, __gpi — gyakoriság, attribúció, csalásészlelés;
  • NID, IDE, DSID — hirdetés kiszolgálása és konverziómérés.

Ha elutasítod a hirdetési hozzájárulást, az AdSense nem személyre szabott hirdetéseket szolgál ki, előzményed alapján történő profilalkotás nélkül.

5. Hogyan kezeljük a hozzájárulást

A hozzájárulási állapotot két különálló helyen tároljuk, hogy a választásod eszközök és munkamenetek között megmaradjon:

  • A weben a hf_consent sütiben és a localStorage-ban, ugyanazzal a kulccsal. A süti-banner az első látogatáskor jelenik meg; automatikusan újra megjelenik, ha törlöd a sütiket, vagy ha az utolsó döntés óta 12 hónap eltelt;
  • Az iOS-alkalmazásban két rétegben: (a) az ATT-válasz, amelyet az iOS rendszerszinten kezel; (b) az UMP-válasz (az AdMobhoz és a Firebase Analyticshez), amelyet a Google SDK megőriz. Az UMP-t az Info → „Hirdetési adatvédelmi beállítások” menüpontból visszaállíthatod, ekkor az űrlap a következő indításkor újra megjelenik.

A hozzájárulás utólagos megváltoztatása azonnal hatályba lép: ha elutasítod az analitikát, a GA4 / Firebase Analytics nem küld többé eseményeket; ha elutasítod a hirdetést, a hirdetéshálózatok az „NPA” (nem személyre szabott) jelet kapják.

6. Az adatkezelés jogalapja (GDPR 6. cikk)

  • Jogos érdek (6. cikk (1) f): szervernaplók, biztonság, visszaélés-megelőzés, támadások elleni védelem. A jogos érdek a jogaiddal szembeállítva mérlegelődik, és nem érvényesül érzékeny adatok esetén;
  • Hozzájárulás (6. cikk (1) a): analitikai és hirdetési sütik (web), Firebase Analytics és személyre szabott AdMob (iOS). A hozzájárulás bármikor visszavonható;
  • Szerződés teljesítése (6. cikk (1) b): a premium_lifetimeMed kedvezményének szállítása a StoreKit-fizetést követően;
  • Jogi kötelezettség (6. cikk (1) c): az IAP-hoz kapcsolódó pénzügyi dokumentumok 10 évig történő megőrzése a román adótörvény szerint.

7. Adattovábbítás (adatfeldolgozók és alfeldolgozók)

Adatfeldolgozóink listája:

  • Hetzner Online GmbH (DE) — VPS-tárhely a szerverekhez és az adatbázishoz. A szerver Németországban (Falkenstein), az EU-ban található;
  • Google LLC és Google Ireland Ltd. — Google Analytics 4, Google Tag Manager, Google AdSense, Google AdMob, Firebase Analytics, Firebase Crashlytics, Google UMP. Szolgáltatástól függően az adatok feldolgozása az EU-ban és/vagy az USA-ban történhet;
  • Apple Inc. és Apple Distribution International Ltd. — App Store Receipts, StoreKit, push értesítések, App Store Connect Analytics (összesített).

Az USA-ba irányuló adattovábbításokhoz az Európai Bizottság általános szerződési feltételeire (SCC) és — adott esetben — az EU-US Data Privacy Framework tanúsításra hagyatkozunk. Személyes adatot harmadik félnek nem adunk el.

8. Megőrzési idők

  • Szervernaplók: 30 nap;
  • Hozzájárulási sütik: 12 hónap;
  • Google Analytics adatok: 14 hónap (a GA4 ajánlott maximuma);
  • Crashlytics összeomlás-jelentések: 90 nap;
  • IAP-hoz kapcsolódó pénzügyi dokumentumok: 10 év (jogi kötelezettség);
  • Az eszköz UUID-je a Keychainben: a visszaállításig vagy az alkalmazás eltávolításáig.

9. Az érintett jogai (GDPR 15-22. cikk)

Érintettként a következő jogok illetnek meg:

  • Hozzáférés (15. cikk) — másolat a rólad tárolt adatokról;
  • Helyesbítés (16. cikk) — pontatlan adatok javítása;
  • Törlés (17. cikk) — az „elfeledtetéshez” való jog;
  • Adatkezelés korlátozása (18. cikk);
  • Adathordozhatóság (20. cikk) — strukturált formátumban (JSON) megkapod az adataidat;
  • Tiltakozás (21. cikk) — a jogos érdeken alapuló adatkezelés ellen;
  • Hozzájárulás visszavonása (7. cikk) — a már végrehajtott adatkezelésre nincs visszamenőleges hatállyal;
  • Panasz a Személyes Adatok Feldolgozását Felügyelő Nemzeti Hatóságnál (ANSPDCP) — dataprotection.ro.

Ezek a jogok így gyakorolhatók:

  • A weben: küldj e-mailt a contact@hartafarmacii.ro címre arról a címről, amelyhez adatot vélsz kötni. 30 napon belül válaszolunk;
  • Az iOS-alkalmazásban: Info → „Az összes helyi adat törlése” törli a kedvenceket, az UUID-t, a hozzájárulásokat és a gyorsítótárt. Az IAP törlése csak az Apple ID-fiókodból végezhető el (support.apple.com/billing); helyetted nem tudjuk megtenni.

10. Automatizált döntéshozatal (GDPR 22. cikk)

A HartaFarmacii nem vet alá olyan automatizált döntéshozatalnak, amely rád nézve joghatást vagy hasonló jelentős hatást fejtene ki (például szolgáltatás megtagadása vagy árdifferenciálás). A termékoldali találati sorrendet a nyers ár és — helyhozzáférési engedély megadása esetén — a földrajzi közelség határozza meg; nem létezik egyéni hirdetési pontozás vagy a személyazonosságodhoz kötött személyre szabási modell.

11. Adatbiztonság

A GDPR 32. cikke szerinti technikai és szervezési intézkedéseket alkalmazzuk:

  • kizárólag HTTPS (HSTS) minden oldalon és API-n;
  • jelszavak modern algoritmusokkal hashelve, ahol releváns (admin);
  • napi titkosított adatbázis-mentések;
  • IP-címek álnevesítése a naplókban 24 óra után;
  • adatminimalizálás: nem gyűjtjük, amit nem használunk;
  • kódellenőrzések (linting + review) telepítés előtt.

A jogaidat és szabadságodat veszélyeztető adatvédelmi incidens valószínűtlen esetén 72 órán belül értesítünk a GDPR 33-34. cikkének megfelelően.

12. 16 év alatti gyermekek

A HartaFarmacii nem 16 év alatti gyermekeknek szól, és tudatosan nem gyűjtünk kiskorúakról adatot. Az iOS-alkalmazás App Store besorolása „4+”, de orvosi információt és hirdetéseket tartalmaz, ezért a kiskorúak általi használathoz felelős felnőtt felügyelete ajánlott. Ha szülőként vagy gyámként arra gyanakszol, hogy egy 16 év alatti kiskorú adatot küldött nekünk, vedd fel velünk a kapcsolatot a haladéktalan törlés érdekében.

13. Nemzetközi adattovábbítás

Az adatokat az EU-ban tároljuk (Hetzner-szerverek Németországban). Bizonyos Google- és Apple-szolgáltatások adatokat dolgozhatnak fel az USA-ban. Ezekhez az alábbiakra hagyatkozunk:

  • az Európai Bizottság általános szerződési feltételei (SCC);
  • a Google LLC és az Apple Inc. EU-US Data Privacy Framework tanúsítása (ellenőrizhető: dataprivacyframework.gov);
  • további szerződéses biztosítékok, ahol indokolt.

14. A tájékoztató módosítása

A tájékoztatót az adatkezelési vagy jogszabályi környezet jelentős változása esetén frissítjük. A jelentős változásokat legalább 30 nappal a hatálybalépés előtt jelezzük weboldali banneren és alkalmazáson belüli tájékoztató képernyőn. A legutóbbi frissítés dátuma a dokumentum elején található.

15. Mit nem gyűjtünk és mit nem teszünk

Az érthetőség kedvéért az alábbi rövid lista azt sorolja fel, amit nem teszünk:

  • nem gyűjtjük a teljes nevedet, személyi azonosítódat, címedet, telefonszámodat vagy bankkártyaadataidat — nincs olyan felhasználói fiók, ahol ezeket beírhatnád;
  • nem építünk rólad egyéni hirdetési profilt, és nem értékesítünk adatot adatbrókereknek;
  • nem használjuk az iOS IDFA-t alkalmazások közötti nyomkövetésre — a Firebase Analytics Firebase install ID-ket használ, nem IDFA-t;
  • nem továbbítjuk a GPS-helyzeted a szerverre, és nem naplózzuk;
  • nem küldünk marketing-hírlevelet, és a szolgáltatás használatához nem kérjük az e-mail-címedet;
  • push-értesítéseket nem használunk kereskedelmi promócióra. Ha a jövőben értesítéseket vezetünk be (például a szolgáltatást érintő fontos bejelentésekhez), az iOS-engedélyt kifejezetten kérni fogjuk, és bármikor visszavonható a Beállításokból.

16. Szószedet — technikai fogalmak

  • Álnevesítés: olyan technika, amellyel egy közvetlen azonosítót (pl. IP) hash-sel helyettesítünk, így a természetes személlyel való kapcsolat csak külön titok birtokában állítható helyre;
  • UMP (User Messaging Platform): a Google SDK-ja, amely mobilalkalmazásokban GDPR/ePrivacy hozzájárulási űrlapokat jelenít meg;
  • SKAdNetwork: az Apple API-ja, amely felhasználói azonosító nélkül teszi lehetővé a hirdetési konverziók mérését, csak összesített jelekkel;
  • Consent Mode v2: a Google sémája, amelyben az analitikai és hirdetési címkék a felhasználó hozzájárulási állapotához igazítják működésüket;
  • Alfeldolgozó: olyan harmadik fél, akit egy feldolgozó (pl. Google) bevon a megrendelt szolgáltatás egy részének teljesítéséhez (pl. felhő-infrastruktúra).

17. Kapcsolat

Bármely, a tájékoztatót vagy a személyes adataidat érintő kérdés esetén írj a contact@hartafarmacii.ro címre.

Minden megkeresésre személyesen válaszolunk, közérthető nyelven, a GDPR 12. cikkének megfelelően („tömör, átlátható, érthető és könnyen hozzáférhető”).

Kérdése vagy kérése van? Írjon nekünk: contact@hartafarmacii.ro.

Vissza a főoldalra