Privacy and Cookies policy

Version 1.4 Effective from 1st May 2026

Data Controller 

How to Contact Us 

Rights of data subjects 

Tesco Online Shopping

Clubcard 

Mobile application Tesco Online shopping HU, Clubcard, Scan & Shop mobile 

Resolution of complaints and claims via Customer Support and the contact form 

Participation in competitions, market research, events organized by Tesco 

Sending news and marketing communication 

Social media 

Personal presence in our stores 

Cookies and similar technologies 

We would like to inform you how TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság processes your personal data, for what purpose, for how long and what your rights are. 

The given Privacy and Cookie Notice (the "Notice") includes information in particular on the processing of personal data in the following cases:

• shopping in our stores; 
• shopping online;
• use of the Clubcard loyalty programme;
• use our mobile applications;
• sending newsletters and marketing communications;
• engaging with us via social media platforms;
• participate in satisfaction surveys, contests or events that we organise;
• contact us via our Customer Engagement Center, via contact form or in person 

(collectively referred to as: "Our Services").

At the same time, we offer services in cooperation with partners who have their own rules for personal data protection, which we recommend that you familiarize yourself with in advance.

We process your personal data in accordance with the EU General Data Protection Regulation (2016/679) ("GDPR"), and where applicable, in accordance with certain national legislation (such as Act CLV of 1997 on consumer protection or Act CVIII of 2001 on Electronic Commerce and on Information Society Services). 

Data Controller

The data controller is TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság (2040 Budaörs, Kinizsi út 1-3., company registration number: 13-10-040628, hereinafter referred to as "Tesco", "we", "us", "our"    or "Controller").

How to Contact Us

If you have questions about how we process personal data, or would like to exercise your rights, please contact us at: 

Rights of data subjects

As a data subject, you have specific rights under the GDPR regarding the processing of your personal data. These rights are designed to give you transparency and control over how your information is used. You can exercise these rights at any time by contacting us using the details provided in the “How to Contact Us” section.

Right to object

Under certain circumstances, you have the right to object to the processing of your personal data and you have the right to object to the use of your data for direct marketing. You can also object where we are processing your personal data on the basis of legitimate interests (or those of a third party), unless Tesco demonstrates legitimate grounds for the processing which override your interests, rights and freedoms.

Right of access to personal data

You have the right to receive confirmation from us as to whether personal data concerning you is being processed and, if so, to access the personal data and information you request or consider relevant.  In accordance with applicable law, we provide information about the processing of your personal data free of charge. We will respond to your request in writing within 1 (one) month. 

Right to rectification

If the data we process is incorrect, we will correct it without undue delay at your request. You also have the right to have incomplete data completed, including by means of a supplementary statement.

Right to restriction of processing

Data processing may be restricted if:

• you contest the accuracy of the personal data for a period enabling us to verify the accuracy of the personal data;
• the processing is unlawful and you oppose the erasure of the personal data and request the restriction of their use instead;
• Tesco no longer needs your personal data for the purposes of processing, but you require it for the establishment, exercise or defence of legal claims;
• you have objected to the processing until it has been verified whether Tesco's legitimate grounds override yours.

Right to erasure ("right to be forgotten")

You have the right to have us, as the Data Controller of your personal data, erase these personal data without undue delay if one of the following reasons applies:

• the personal data processed are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
• you revoke your consent on the basis of which your personal data was not given in accordance with Art. 6 para. 1 lit.  a) the GDPR is processed and there is no other legal ground for the processing;
• you object to the processing of your personal data pursuant to Article 21 para. 1 or 2 of the GDPR, whereas in the event of an objection pursuant to Article 21 para. 1 GDPR, there are no reasons that would entitle Tesco to continue processing your personal data;
• the personal data have been unlawfully processed;
• personal data must be erased by Tesco in order to comply with a relevant legal obligation;
• the personal data were collected in connection with the offer of information society services pursuant to Article 8 para. 1 GDPR.

If we have made your personal data public and are now obliged to erase such personal data, we will take reasonable measures, taking into account available technology and the costs of implementation, to ensure that third parties who process such personal data are informed that you wish them to erase any links, copies or replicas thereof of such personal data.

Right to data portability

You have the right to receive the personal data concerning you, which you have provided to us, in a structured, commonly used and machine-readable format (e.g. csv, json, xml, doc or .pdf), unless otherwise requested. 

Right to withdraw your consent

Shall the data processing be based on consent, you have the right to withdraw the consent completely or partially submitting request at the contacts above. The withdrawal is effective as of the day of effectiveness forward, however the legality of processing prior to this date shall not be impacted.

Automated individual decision-making, including profiling 

You have the right not to be subject to a decision made solely by automated processing (including profiling) where it produces legal effects concerning you or similarly significantly affects you. We will only do this if the decision is necessary to enter into or perform a contract with you, authorised by EU or Member State law with safeguards, or based on your explicit consent. Where the decision is based on a contract or your explicit consent, we will put appropriate safeguards in place, including your right to obtain human intervention, express your view, and challenge the decision.

What happens and what you can do if we reject your request

If Tesco refuses your request for rectification, restriction, erasure or portability of your personal data, we will inform you in writing within one month of receipt of your request why we were unable to comply with your request and we will inform you of your options for procedural defence, in particular the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

What remedies are available to you?

If you consider that, in the course of the processing of your personal data, our company infringes the provisions of the GDPR, you, being the data subject, have the right to lodge a complaint with a supervisory authority (i.e. a public authority established by any Member State of the EU pursuant to Article 51 of the GDPR), in particular in the Member State of your habitual residence, place of work or place of the alleged infringement. 

In Hungary, the supervisory body established in accordance with the criteria set out in Article 51 of the GDPR is the National Authority for Data Protection and Freedom of Information (hereinafter referred to as the "Authority"). Accordingly, in the section below we inform you of the details and the possibility of making a complaint before the Authority. Notwithstanding this, please note that you are entitled to lodge a complaint not only with the Authority, but also with any supervisory authority established in any Member State.

Notification before the Authority

Compliance with data protection legislation is supervised by the National Authority for Data Protection and Freedom of Information. If you consider that our data processing does not comply with applicable law, or if you consider that there is an imminent risk of this happening, you can report it to the Authority using the following contact details.

Name of the authority: National Authority for Data Protection and Freedom of Information

Address: 1055 Budapest,Falk Miksa utca 9-11

Postal address: 1363 Budapest, Pf.: 9.

Email address: ugyfelszolgalat@naih.hu

Phone number: +36 1 391 1400

Fax number: +36 1 391 1410

Further information on data protection issues can be found on the Authority's website: http://naih.hu/

Judicial enforcement

Further to the above, you can go to court, which will deal with the case as a matter of priority. In this case, you are free to decide whether to file your application with the competent court of your place of residence (permanent address) or residence (temporary address), as well as the seat of the Authority. You can contact the tribunal of your place of residence or residence on the http://birosag.hu/ugyfelkapcsolatiportal/birosag-kereso page.

Tesco Online Shopping

Nature and scope of personal data processed

If you shop online, we process the following data about you:

• Information about you: name and surname, billing and delivery address, telephone and e-mail, gender, salutation, date of birth;
• Information on the selection of communication channels: email, sms, push or any other channels based on your option in your profile;
• Registration information: login and password, date of registration, Clubcard number;
• Purchase information: shopping cart, order number, time of purchase, payment method, favourites based on purchase history and Clubcard number, order history, coupons and vouchers redeemed, Clubcard points earned per purchase if you are a member, credit card information if you paid by card, coupons assigned to you and used
• Delivery information: information about your satisfaction with the services and products provided, selected time period, selected pick-up point when using the Click+Collect service, assigned establishment;
• Device and technical information: identification of the device from which you ordered the goods or accessed our platform, model, operating system, IP address, browser type, time and date of access, and other technical information obtained through the connection or the cookies of your choice (more below);
• payment information: for card payments, your payment card details (e.g., card number/PAN and security data) are processed by our payment service provider (PSP) in a secure payment environment. Tesco does not store your full card number (PAN). Tesco receives only limited payment-related information necessary to administer the transaction;
• If you choose to save a card for future purchases, we store data needed for future withdrawals according to the terms of the Service (for example Online Club) and related settings needed to offer the “saved card” function;
• If you are a member of the Tesco Online Club, we also process the following data about you: application of exclusive discount coupons, transaction data when paying for membership, booked delivery dates; 
• If you are a member of the Tesco Baby Club, we also process the following data about you: use of exclusive discount coupons.

In addition to the above, in case processing personal data is part of a processing activity outside of the general maintenance of the account and the service to be provided by Tesco, the scope of personal data processed shall be in alignment with such activity. For instance, in case personal information from the account information is used for invoices, the retention rules of the respective regulation shall prevail, which does not affect the general retention rules of the account itself. These activities (and, in case of an applicable regulatory framework, such frameworks) include in particular (but not exclusively):

• Act CXXVII of 2007 on Value Added Tax and Act C of 2000 on Accounting for the retention of the invoice issued;
• Act V of 2013 on the Civil Code and NGM Decree 19/2014 for warranty and quality issues and related claims.

Similarly to the above, in case a complaint is received where information about the Tesco account is also processed, the personal data processed with regards to the account will be part of the personal data processed for complaint resolution purposes, which does not affect the general retention rules of the account itself. For further and more detailed information regarding the processing of your personal data during complaint management, please refer to the “Resolution of Complaints” section of this privacy notice. 

We do not process any personal data of a special category, i.e. sensitive data, e.g. health.

When you create a Tesco Online Shopping account, it will be automatically linked to your Clubcard account. If you shop online through our Tesco online shopping app, we process personal data about you in addition to the data listed in the "Mobile Apps" section of this Policy for the purposes set out therein. The processing of personal data in connection with complaints and complaints about your online purchase is described in more detail in the section "Resolution of complaints".

For certain categories of goods (e.g. alcohol), we verify the identity of the buyer before handing over the goods by checking the identity document. However, Tesco does not process or store this personal data any further and no copy is made of the document. 

Purpose and legal basis

We process the above data in order to:

• Provision of the service and delivery of goods ordered by you, the legal basis for which is Article 6 (1)(b) of the GDPR;
• We process technical information on the basis of our legitimate interest, i.e. Article 6 (1)(f) of the GDPR. Our legitimate interest is consisting in providing technical support for online purchases (ensuring the correct display of the website) and to help resolving technical issues;
• We process technical information on the basis of a legitimate interest, as per Article 6 (1)(f) of the GDPR for fraud prevention;
• We also process your personal data on the basis of a legitimate interest as per Article 6 (1)(f) of the GDPR for the purpose of creating analyses, statistics and market research, internal research and development that help us improve your shopping experience (in particular by offering your favourite products or services) as well as our information technology systems, our product range, services and products. We also use your pseudonymised data to improve our services and deliveries of goods (ensuring sufficient supply, busy delivery hours, etc.).
• In order to evaluate your satisfaction with the services and products provided and to regularly evaluate the fulfilment of the contractual obligations of our partners, we may also send you questionnaires about your satisfaction with your online purchase on the basis of our legitimate interest as per Art. 6 (1)(f) of the GDPR. Satisfaction questionnaires never contain marketing communications. Via the designated link in the questionnaire, you have the option to opt out of receiving further satisfaction surveys for all your future online purchases.
• If you have given us your consent, we will store and use your payment data for future orders and future payment, in which case the legal basis for the processing of personal data is Article 6 (1)(a) of the GDPR (i.e. the processing is based on your consent);
• At the same time, if you give your consent, we may share your email and/or phone number with Google Ireland Ltd and/or Meta Platforms Ireland Ltd in order to match your consent with targeted marketing and thus offer you richer content on the websites. The legal basis for this is your consent as per Article 6 (1)(a) of the GDPR, which can be revoked at any time using the contact details listed above.

Retention

As a general rule for personal data related to your account, we process your personal data for the duration of your use of the account, but no longer than 24 months from your last activity. If we process your personal data on the basis of consent, we store this data until the moment of withdrawal of consent, but no longer than 24 months from your last activity within your account (i.e. even if you do not withdraw your consent, in case of an extended inactivity, we deem the consent revoked). If you ask us to delete your personal data, your registration for your account will be cancelled and subsequently your personal data will be permanently deleted or anonymised. If your account is not used for at least 2 years, it will be automatically deleted and your personal data will be deleted.

In case processing personal data is part of a processing activity outside of the general maintenance of the account and the service to be provided by Tesco, the retention period of such activity shall prevail. For instance, in case personal information from the account information is used for invoices, the retention rules of the respective regulation shall prevail, which does not affect the general retention rules of the account itself. Similarly, in case a complaint is received where information about the Tesco account is also processed, the retention rules of the complaint management shall prevail, which does not affect the general retention rules of the account itself. For further and more detailed information regarding the processing of your personal data during complaint management, please refer to the “Resolution of Complaints” section of this privacy notice. 

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• dunnhumby Ireland ltd. (Floor 3, Building 2, Harbour Square Crofton Road, Dun Laoghaire Co Dublin, Ireland) which processes purchase information for the purpose of assigning coupons and vouchers, and participates in analyses to improve your shopping experience;
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed. 

Further to the above, in order to fulfil certain requests or perform our obligations, we may engage external service providers to help us deliver our services. Depending on the activity, these processors may include providers of in particular, but not exclusively:

• our payment service provider for online payment;
• marketing communication delivery services;
• delivery companies.

Tesco currently engages the below service providers – as data processors – for fulfilling delivery orders:

• DoDo Hungary Kft.  which provides Tesco with the delivery of online purchases and processes your personal data to the necessary extent for this purpose;
• Wolt Delivery Magyarország Kft which provides Tesco with the delivery of online purchases and processes your personal data to the necessary extent for this purpose.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

In addition to the above, where we use Microsoft 365 services (including Outlook, Teams, OneDrive and SharePoint) for communication and collaboration, Microsoft Corporation acts as our data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments, where applicable.

Further data controllers

In case of granting consent to targeted marketing, Tesco may share your data with the below companies:

• Meta Platforms Ireland Ltd
• Google Ireland Ltd

In case you consent to it during setting your cookie preferences, your personal data obtained through third-party advertising cookies may be transferred outside of the EU/EEA. For further and more detailed information about cookies, please refer to the “Cookies and similar technologies” section of the privacy notice.

Both companies are provided with your email address and/or phone number, which is recorded on the so-called Sandbox, if you have given your consent also to one or the other company at the same time, it is matched and then you can see the content provided to our customers in the form of targeted advertising on the websites of the companies. If you have not given your consent, the address/your data will be deleted immediately. As both companies are processing your personal data, we recommend that you review their privacy policies, which can be found here for Google and here for Meta Platforms.

Where we upload hashed customer identifiers (e.g., email addresses or phone numbers) to create this customer custom audiences by matching consents, we and the relevant platform (i.e. Google and/or Meta) may be considered joint controllers for the purposes of the matching and audience creation operation. The platform acts as an independent controller for any subsequent processing it carries out for its own purposes.

Transfer of data to a third country

In case a system level investigation (for example for fraud detection or consent validity) is required or otherwise the engagement of other companies within the Tesco Group is required, your personal data may be transferred to Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy 

Automated decision making and profiling

Tesco does not carry out automated decision-making. In line with market practice, Tesco classifies customers into segments of similar types of customers based on their preferences and interest in products.

In this context, we may group our customers into broad segments or categories (group them with similar customers) by analysing customer interactions with our products and services. These customer groups are based on transaction patterns. Tesco does not process health data or other special category data. As a result of this grouping, we can better tailor our offer (Clubcard vouchers and coupons) as well as the scope of marketing campaigns (where we have marketing consent) that may be of interest to you. Subsequently, we can also measure the effectiveness of this adaptation.

In practice, this means that customers are grouped into similar customers who have either bought the same products or spent similar sums of money in their store during a week known as a "segment". These segments are then "hashed" so that the personal data is deleted and only pseudonymized identifiers remain. Tesco does not share personally identifiable information and the data that is matched can only be used for contractually agreed purposes.

Purpose and legal basis

Tesco processes your personal data, including data relating to your previous transactions, to create and provide offers tailored to your interests and preferences. Next, we measure the effectiveness of this customization. This processing of personal data is based on our legitimate interest to increase customer satisfaction and optimize our marketing efforts (according to Article 6 (1)(f) of the GDPR. We ensure that this legitimate interest does not override your fundamental rights and freedoms. For the avoidance of doubt, this processing does not produce any legal effects on you as a customer or any other similar effects.

Scope and nature of data

We collect and analyse transaction data as follows:

• purchase history;
• expense;
• frequency and loyalty;
• location;
• date.

We take your privacy seriously and implement extensive measures to protect your data. In addition to the general technical and organisational measures relevant to each type of processing activity, we pay particular attention to the following in relation to personalised content:

• Data minimization: We only collect data that is necessary for the purposes listed above.
• Anonymisation and pseudonymisation: Where possible, we anonymise or pseudonymise data to enhance privacy protection.
• Security measures: We use advanced security measures, including encryption and access controls, to protect your information from unauthorized access and breaches.

You have the right to object to the processing of your personal data for our legitimate interest as set out above, including tailor-made offers and coupons. You can exercise this right at any time by contacting us at adatvedelem@tesco.com. In addition, you have the right to access, rectify or delete your data and to restrict or object to processing in accordance with Articles 15-21 GDPR. A detailed description of your rights as a data subject can be found in the section "Rights of the data subject".

Clubcard

Scope of personal data processed

If you have registered in the Clubcard loyalty programme, we may process the following data about you:

• Information about you: name and surname, billing and delivery address, telephone and e-mail, date of birth, gender;
• Your choice of channels through which we can communicate with you: email, sms, push or any other channels based on your option in your profile;
• Registration information: login and password, date of registration, Clubcard number;
• Purchase history: whether you made a purchase in a store or online, or in which store, shopping cart, time of purchase, payment method, coupons and vouchers redeemed (incl. date of issue, date of use, place of redemption, value, validity, billing), Clubcard points earned per purchase, payment card information if you paid by card;

We do not process any personal data of a special category, i.e. sensitive data, e.g. health.

When you create a Clubcard it will be automatically linked to your Tesco Online Shopping account. In addition to the personal data mentioned above, we may also process personal data about you listed in the "Mobile Apps" section if you use the Clubcard app. The processing of personal data in connection with complaints and grievances related to your Clubcard is described in more detail in "Resolution of Complaints” section of this privacy notice.

Purpose and legal basis

We process the above data in order to:

• Provision of benefits within the Clubcard loyalty system, for which the legal basis for processing is Article 6 (1)(b) of the GDPR;
• Monitoring the use of Clubcard in order to prevent card misuse on the basis of our legitimate interest, pursuant to Article 6 (1)(f) of the GDPR. 
• We also process your personal data on the basis of a legitimate interest as per Article 6 (1) (f) of the GDPR for the purpose of creating analyses, statistics and market research, internal research and development that help us improve your shopping experience (in particular by offering your favourite products or services) as well as our information technology systems, our product range, services and products.   

Retention

We process your personal data for the duration of your use of the account, but no longer than 24 months from your last activity. The data is then deleted. If you ask us to delete your personal data, your registration for your account will be cancelled and subsequently your personal data will be permanently deleted or anonymized. If your account is not used for at least 2 years, it will be automatically deleted and your personal data will be deleted.

In case processing personal data is part of a processing activity outside of the general maintenance of the account and the service to be provided by Tesco, the retention period of such activity shall prevail. For instance, in case personal information from the account information is used for invoices, the retention rules of the respective regulation shall prevail, which does not affect the general retention rules of the account itself. Similarly, in case a complaint is received where information about the Tesco account is also processed, the retention rules of the complaint management shall prevail, which does not affect the general retention rules of the account itself. For further and more detailed information regarding the processing of your personal data during complaint management, please refer to the “Resolution of Complaints” section of this privacy notice. 

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• dunnhumby Ireland ltd. (Floor 3, Building 2, Harbour Square Crofton Road, Dun Laoghaire Co Dublin, Ireland) which processes purchase information for the purpose of assigning coupons and vouchers, and participates in analyses to improve your shopping experience;
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

In addition to the above, where we use Microsoft 365 services (including Outlook, Teams, OneDrive and SharePoint) for communication and collaboration, Microsoft Corporation acts as our data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments, where applicable.

Transfer of data to a third country

In case a system level investigation (for example for fraud detection or consent validity) is required or otherwise the engagement of other companies within the Tesco Group is required, your personal data may be transferred to the Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy

Automated decision-making and profiling

Tesco does not carry out automated decision-making. In line with market practice, Tesco classifies customers into segments of similar types of customers based on their preferences and interest in products.

In this context, we may group our customers into broad segments or categories (group them with similar customers) by analysing customer interactions with our products and services. These transaction-based customer groups are based on lifestyle patterns. Tesco does not process health data or other special category data. As a result of this grouping, we can better tailor our offer (Clubcard vouchers and coupons) as well as the scope of marketing campaigns (where we have marketing consent) that may be of interest to you. Subsequently, we can also measure the effectiveness of this adaptation. For more information on tailored marketing coupons and marketing communication please refer to the Section Sending news and marketing communication.

In practice, this means that customers are grouped into similar customers who have either bought the same products or spent similar sums of money in their store during a week known as a "segment". These segments are then "hashed" so that the personal data is deleted and only pseudonymized identifiers remain. Tesco does not share personally identifiable information and the data that is matched can only be used for contractually agreed purposes.

Purpose and legal basis

Tesco processes your personal data, including data relating to your previous transactions, to create and provide offers tailored to your interests and preferences. Next, we measure the effectiveness of this customization. This processing of personal data is based on our legitimate interest to increase customer satisfaction and optimize our marketing efforts (according to Art. 6 (1) (f) GDPR). We ensure that this legitimate interest does not override your fundamental rights and freedoms. For the avoidance of doubt, this processing does not produce any legal effects on you as a customer or any other similar effects.

We collect and analyse transaction data as follows:

• purchase history;
• expense;
• frequency and loyalty;
• location;
• date.

We take your privacy seriously and implement extensive measures to protect your data. In addition to the general technical and organisational measures relevant to each type of processing activity, we pay particular attention to the following in relation to personalised content:

• Data minimization: We only collect data that is necessary for the purposes listed above.
• Anonymisation and pseudonymisation: Where possible, we anonymise or pseudonymise data to enhance privacy protection.
• Security measures: We use advanced security measures, including encryption and access controls, to protect your information from unauthorized access and breaches.

You have the right to object to the processing of your personal data for our legitimate interest as set out above, including tailor-made offers and coupons. You can exercise this right at any time by contacting us at CE.DPO@tesco.com. In addition, you have the right to access, rectify or delete your data and to restrict or object to processing in accordance with Articles 15-21 GDPR. A detailed description of your rights as a data subject can be found in the section "Rights of the data subject".

Mobile application Tesco Online shopping HU, Clubcard, Scan & Shop mobile

If you register for a Service without having previously registered on another Tesco online platform and thus create a new account, we will obtain your first name, last name, mobile number and billing and delivery address as part of the registration process and we will create one single account for you. During this account creation process, you have the possibility to request a Clubcard without addition personal data required for the issuance of a Clubcard number.

If you are an existing user of Clubcard, depending on the target service (for example Tesco Online Shopping), additional customer data may be processed during the registration and/or account linking process: first name, last name, mobile number and delivery address. 

In mobile apps, you can enable biometric authentication. Apps are only notified when authentication is successful. Through Tesco apps, it does not gain access to biometric data associated with the registered face. Tesco does not process any personal data related to authentication. 

In the case of the Scan & Shop app, we only process the above personal data, as the Scan & Shop app is tied to Clubcard account. 

Scope of personal data processed

If you use Tesco applications, we may process the following about you: 

• information about you: name and surname, billing and delivery address, telephone and e-mail, date of birth, gender, number of the international discount card (e.g. ISIC);
• registration information: login and password, date of registration, Clubcard number;
• purchase information and history: whether you made a purchase in a store or online, or in which store, shopping cart, order number, time of purchase, payment method, coupons and vouchers redeemed (incl. date of issue, date of use, place of redemption, value, validity, billing), Clubcard points earned per purchase (incl. history), credit card information if you paid by card, feedback expressed via the App;
• payment information: for card payments, your payment card details (e.g., card number/PAN and security data) are processed by our payment service provider (PSP) in a secure payment environment. Tesco does not store your full card number (PAN). Tesco receives only limited payment-related information necessary to administer the transaction;
• device information: IP address of your mobile device, date and time of access, request from the app user, http response code, amount of data transferred, version of the app used, or other information obtained through cookies of your choice (more below);
• your current location, if you have given us your consent to do so (for example if you wish to use the “store locator” feature);
• the camera of your mobile device can be used to scan QR codes to identify the store you shop in and to scan the barcodes of the goods. 
• anonymized analytical information about how you use the app;
• the geolocation function of your mobile device may also be processed;
• log files when you visit the mentioned registration page (a log file particularly contains information about the date and time of the registration/login attempt, its success, the email address provided, and the IP address);
• push notification consent information.

Purpose and legal basis

We process the above data in order to:

• We process information about you, your registration and your purchase for the purpose of providing the services offered by the app, on the basis of Article 6 (1)(b) of the GDPR;
• We process device information to protect our systems, analyse application errors and prevent unlawful conduct, all on the basis of our legitimate interest pursuant to Article 6 (1)(f) of the GDPR;
• In case you have given your consent to geolocation when using our application, we use this function to show you your nearest store based on your current location, the legal basis of which is Article 6 (1)(a) of the GDPR;
• If you have given us your consent, we will store and use your payment data for future orders and future payment, in which case the legal basis for the processing of personal data is Article 6 (1)(a) of the GDPR (i.e. the processing is based on your consent);
• Access to your camera is necessary to scan the QR codes in order to provide the service offered by the Scan & Shop app, therefore the legal basis is Article 6(1)(b) of the GDPR); 
• On the basis of your consent as per Article 6 (1)(a) of the GDPR, we may process analytical information about the way you use the Application in order to improve your user experience with the Application;
• If you give us your consent as per Article 6 (1)(a) of the GDPR, you will receive push notifications to inform you about current offers, products and promotions; 
• We also process your personal data on the basis of a legitimate interest as per Article 6 (1)(f) of the GDPR for the purpose of creating analyses, statistics and market research, internal research and development that help us improve your shopping experience (in particular by offering your favourite products or services) as well as our information technology systems, our product range, services and products;  
• On the basis of our legitimate interest (Art. 6 (1) (f) GDPR), we also process your answers and opinions regarding the services and products you voluntarily provide to us by filling in the relevant forms where available in the applications, in order to improve our products and services.  
• We also process your personal data on the basis of a legitimate interest as per Article 6 (1)(f) of the GDPR for the purpose of fraud management and security reasons. 

Retention

We process your personal data for the duration of using the mobile application, but no longer than 24 months from your last activity in the mobile application. The data is then deleted. If we process your personal data on the basis of consent, we store this data until the consent is withdrawn, but no longer than 24 months from the last activity. 

In case processing personal data is part of a processing activity outside of the general maintenance of the account and the service to be provided by Tesco, the retention period of such activity shall prevail. For instance, in case personal information from the account information is used for invoices, the retention rules of the respective regulation shall prevail, which does not affect the general retention rules of the account itself. Similarly, in case a complaint is received where information about the Tesco account is also processed, the retention rules of the complaint management shall prevail, which does not affect the general retention rules of the account itself.

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• dunnhumby Ireland ltd. (Floor 3, Building 2, Harbour Square Crofton Road, Dun Laoghaire Co Dublin, Ireland) which processes purchase information for the purpose of assigning coupons and vouchers, and participates in analyses to improve your shopping experience;
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

In addition to the above, where we use Microsoft 365 services (including Outlook, Teams, OneDrive and SharePoint) for communication and collaboration, Microsoft Corporation acts as our data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments, where applicable.

Transfer of data to a third country

In case a system level investigation (for example for fraud detection or consent validity) is required or otherwise the engagement of other companies within the Tesco Group is required, your personal data may be transferred Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy

Automated decision-making and profiling

Tesco does not carry out automated decision-making. In line with market practice, Tesco classifies customers into segments of similar types of customers based on their preferences and interest in products.

In this context, we may group our customers into broad segments or categories (group them with similar customers) by analysing customer interactions with our products and services. These transaction-based customer groups are based on lifestyle patterns. Tesco does not process health data or other special category data. As a result of this grouping, we can better tailor our offer (Clubcard vouchers and coupons) as well as the scope of marketing campaigns (where we have marketing consent) that may be of interest to you. Subsequently, we can also measure the effectiveness of this adaptation.

In practice, this means that customers are grouped into similar customers who have either bought the same products or spent similar sums of money in their store during a week known as a "segment". These segments are then "hashed" so that the personal data is deleted and only pseudonymized identifiers remain. Tesco does not share personally identifiable information and the data that is matched can only be used for contractually agreed purposes.

Purpose and legal basis

Tesco processes your personal data, including data relating to your previous transactions, to create and provide offers tailored to your interests and preferences. Next, we measure the effectiveness of this customization. This processing of personal data is based on our legitimate interest to increase customer satisfaction and optimize our marketing efforts (according to Art. 6 (1) (f) GDPR). We ensure that this legitimate interest does not override your fundamental rights and freedoms. For the avoidance of doubt, this processing does not produce any legal effects on you as a customer or any other similar effects.

We collect and analyse transaction data as follows:

• purchase history;
• expense;
• frequency and loyalty;
• location;
• date.

We take your privacy seriously and implement extensive measures to protect your data. In addition to the general technical and organisational measures relevant to each type of processing activity, we pay particular attention to the following in relation to personalised content:

• Data minimization: We only collect data that is necessary for the purposes listed above.
• Anonymisation and pseudonymisation: Where possible, we anonymise or pseudonymise data to enhance privacy protection.
• Security measures: We use advanced security measures, including encryption and access controls, to protect your information from unauthorized access and breaches.

You have the right to object to the processing of your personal data for our legitimate interest as set out above, including tailor-made offers and coupons. You can exercise this right at any time by contacting us at CE.DPO@tesco.com. In addition, you have the right to access, rectify or delete your data and to restrict or object to processing in accordance with Articles 15-21 GDPR. A detailed description of your rights as a data subject can be found in the section "Rights of the data subject".

Resolution of complaints and claims via Customer Support and the contact form

For the purpose of handling complaints and inquiries, we process the personal data you provide on the contact form, in the consumer complaints registry, by phone, email, or through Teo, our interactive assistant, in order to respond to and manage complaints and inquiries.

Scope of personal data processed

During the complaint handling procedure, the following data is obtained and processed:

• Your contact information: full name, phone number and email address;
• In case you contact us via phone, your voice, considered as personal data, and the unique ID assigned to your case;
• Data related to the complaint as well as the data contained in the complaint and the following information about the complaint:
  • name and address of the consumer;
  • place, time and method of lodging the complaint;
  • a detailed description of the consumer's complaint, a list of documents and other evidence presented by the consumer;
  • a statement by the business about its position on the consumer's complaint, if it is possible to investigate the complaint immediately;
  • the signature of the person drawing up the minutes and, with the exception of an oral complaint placed via telephone or by other electronic means, of the consumer;
  • place and date of recording of the minutes;
  • in the case of an oral complaint placed via telephone or other electronic communications service, the unique identification number of the complaint;
  • further information retrievable from your account to the extent it is relevant and necessary (for example in case of a complaint regarding the price of a product, transaction history might be relevant);
  • a recorded audio recording of a complaint made orally through our call centre;
  • minutes of the complaint or query in case of an oral complaint placed via telephone;
  • other information you share with us if considered as personal data.
• If you engage with Teo, Tesco’s virtual assistant, the data collected may include:
  • a transcript of the conversation,
  • information given by the Customer, and
  • automatic information, such as IP address, operating system and type of device used.
• Following the discussion with our customer support, you may provide feedback regarding the quality of and/or your satisfaction with our customer support in case you give your consent for us to send you the survey. While we encourage you not to share any personal data during such feedback, we cannot exclude you sharing personal data with us based on which you are identifiable. Further, given the nature of the survey, answers gained theoretically could be linked to your account via the support ticket given for your case. 

Processing special categories of personal data is not intended; however, it cannot be ruled out that during the process the controller may become aware of such data (for example, through sharing by the data subject). In such cases, if processing such data is not necessary to achieve the purpose of data processing, the controller will delete or otherwise protect the data to the extent possible. If, due to the nature of the processing, handling such data is unavoidable or necessary (for example, the subject of a complaint is a personal injury which might qualify as health data), the controller will extend its processing activity with a legal basis in accordance with Article 9 of the GDPR.

Please note that Teo, our virtual assistant, does not use AI capabilities neither for training, nor for functional purposes. Our customers use our contact us pages for HU, CZ and SK and have an option on the page to begin a chat. When you, as the customer, enter the chat you are in a contained journey within a simple triage bot (No AI) that follows a static set of questions and options for you to select so that we can route you to the most appropriate agent, who will use this information to resolve the customers query via their existing systems (Zendesk etc) in the same manner as they would for a phone call or email contact. 

Purpose and legal basis

We process the personal data indicated above in order to achieve the following purposes and on the following legal basis:

• In connection with consumer complaints and subject access requests (as per the GDPR) the legal basis of the processing is Article 6 (1) c) of the GDPR (i.e. compliance with a legal obligation to which the data controller is subject), as follows:
  • Section 17/A (4) and Section 17/A (5) of Act CLV of 1997 on Consumer Protection;
  • Section 5 (4) of Act CLXIV of 2005 on Trade;
  • Section 4 (1) and Section 6 (1) of NGM Decree No. 9/2014 on the procedural rules for handling warranty and guarantee claims relating to goods;
  • Chapter III of the GDPR.
• We process some of your personal data for contact and information purposes, in which case the legal basis for the processing is Article 6 (1) b) of the GDPR (i.e. performance of the contract);
• If you submit your complaint or ask question orally through our call centre or via Teo, we will record the telephone conversation, history of chat the legal basis of which is Article 6 (1) f) of the GDPR (i.e. legitimate interest of our company). The legitimate interest of Tesco in this case is the quick, efficient and customer friendly complaint resolution and more efficient legal compliance with the regulatory requirements referred to above; 
• Furthermore, if you submit your complaint, question or query orally via our call centre, we may use recordings to a limited extent for quality assurance purposes and improving our customer query handling procedure, with the aim of providing better support, in which case the legal basis for data processing is Article 6 (1) f) of the GDPR (i.e. legitimate interest of our company). In practice, this means that, where reasonable (for example, if your complaint relates to your previous experience with our customer support) or on a random basis, an authorized person — such as the line manager of the support colleague — may listen to the recording. Similarly, where appropriate, parts of the process (including the recording, minutes or resolution) may be used for training or retraining purposes. Please note that we do not use any automated tools to review recordings for assurance or training purposes. All processing activities described above are carried out exclusively through human interaction;
• If you contact us via Teo – our virtual chat tool – the legal basis of the data processing activity is Article 6 (1) f) of the GDPR, with the aim of providing better and more efficient support (purpose). The legitimate interest of Tesco in this case is the quick, efficient and customer friendly complaint resolution and more efficient legal compliance with the regulatory requirements referred to above;
• You may provide feedback regarding the quality of and/or your satisfaction with our customer support in case you give your consent for us to send you the survey, in which case the legal basis for data processing is Article 6 (1) a) of the GDPR (i.e. your consent). While we encourage your answers will be processed which, theoretically could be linked to your account or other personal data based on which you are identifiable. We only identify answers with customer support engagement in case of a claim, query or complaint not resolved and mentioned by the customer.

Retention

For matters related to consumer protection and quality assurance, the retention period is 3 years as required by Section 17/A (7) of Act CLV of 1997 on Consumer Protection; for subject access request (or other data protection matters) the retention period is 5 years; for general matters (questions, advices, thank you letters) 3 months. In case of a complaint or a case with possible further legal claim or legal procedure related to it, we retain data for 5 years.  If a case has prior history, the retention period for the previous case aligns with the retention period of the most recent case. For cases relevant from an accounting perspective, the retention period is 8 years, and for cases affected by tax law, 5 years from the end of the tax year. The virtual assistant stores personal data for 3 months for quality assurance purposes. If you have submitted your complaint orally through our call centre, we will keep an audio recording of the telephone conversation with our colleagues for 3 months. In case of improving our complaint handling procedure, we process your personal data for 3 months after the complaint has been resolved, after which the data will be anonymized.

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

In addition to the above, where we use Microsoft 365 services (including Outlook, Teams, OneDrive and SharePoint) for communication and collaboration, Microsoft Corporation acts as our data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments, where applicable.

In order to fulfil certain requests and ensure their successful and efficient handling and/or resolution we may engage our service provider(s), in particular, but not exclusively:

• our supporting law firm (for example in case of a litigation);
• couriers (either national or private, for example for providing you goods or vouchers);
• security service provider(s) (for example for CCTV footage related queries);
• supplier(s) of Tesco, it their engagement is required for the resolution.

Further to the above, in order to fulfil and manage certain requests or perform our obligations, we may engage external service providers to help us deliver our services. Tesco currently engages the below service providers – as data processors – for customer support related activities: 

• LivePerson, Inc. which we use to enable customers to contact us via web chat (Teo) and to support triage and routing to our customer service agents;
• Zendesk, Inc. which we use to manage and respond to customer enquiries, requests and complaints.

Transfer of data to a third country

In case the complaint, question, query requires system level investigation or otherwise the engagement of other companies within the Tesco Group, your personal data may be transferred to Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy

In addition to the above, Tesco Group Companies uses “Zendesk Support” and “Zendesk Explore”, products of Zendesk, Inc. (181 Fremont St. San Francisco, CA 94105) for handling complaints and inquiries for. For providing such product Zendesk may process personal data outside of the EU/EEA. Zendesk is certified to participate in and comply with the EU-U.S. Data Privacy Framework, which provides the legal basis for transferring personal data to a third country in accordance with the GDPR. 

In addition to the above, Tesco Group Companies use Microsoft 365 services (including, but not limited to: Outlook, Teams, OneDrive, and SharePoint) to support our communication, collaboration, and document management. In this context, Microsoft Corporation acts as a data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments. However, certain support or diagnostic operations may involve transfers outside the EU/EEA (e.g., to the United States). Microsoft is certified to participate in and comply with the EU-U.S. Data Privacy Framework, which provides the legal basis for transferring personal data to a third country in accordance with the GDPR.

In addition to the above, and without prejudice to the fact that LivePerson, Inc. provides services via its EU Representative (LivePerson Netherlands B.V.) and UK Representative (LivePerson UK Limited), LivePerson is certified with the EU-U.S. DPF, the U.K. Extension to the EU-U.S. DPF, and the Swiss-U.S. DPF as set forth by the U.S. Department of Commerce. As such, LivePerson commits to adhering to the processing of personal data received from the EU, the U.K. and/or Switzerland, as applicable, in reliance to the relevant DPF Program. Should any international transfer of personal data during the service provided by LivePerson to Tesco Group Companies, these safeguards should apply.

Automated decision-making and profiling

When processing your personal data, Tesco does not carry out any data processing activities involving an automated decision-making process or profiling.

Participation in competitions, market research, events organized by Tesco

Scope of personal data processed

Please note that in case Tesco organizes a competition, market research or other event ("Event" or "Promotion") Tesco will provide a privacy notice specific to the event containing detailed information about the event and the circumstances of the respective data processing activity. The below provisions are general rules.

In the event that you participate in an Event we may process the following about you:

• Information about you: name and surname, telephone and e-mail, or other identification data according to the terms and conditions of the specific Event;
• Other information provided by you during or in connection with the Event.

Purpose and legal basis

• We process the above data in accordance with Article 6 (1) b) of the GDPR, for the purpose of organizing the Event and fulfil our obligations under the terms and conditions;
• in case of specific and related consent granted by you during the Event, we may use your personal data for marketing purposes based on Article 6 (1) a) of the GDPR.

Retention

We process your personal data for the period of time necessary for conducting the Event, which is determined independently for each individual Event (or, in case a consent was given, for the validity of such consent, in which case the provisions of marketing communication shall apply). We recommend that you familiarize yourself with the terms and conditions of each event or promotion.

Recipients or categories of recipients of personal data

We may share your personal data with third parties (usually service providers assisting us in the competition, for example helping with the drawing or maintaining competition website). Further, we may share your personal data with companies within the Tesco Group. A complete list of recipients or categories of recipients (including transfer of personal data to third countries) is included in the privacy notice of the Event. We recommend that you familiarize yourself with the terms and conditions and the privacy notice of each Event.

Automated decision-making and profiling

Tesco does not carry out automated decision-making or profiling.

Sending news and marketing communication

This section explains how we process personal data in connection with sending newsletters and marketing communications, including promotional messages, personalised offers and information about our products, services, events or campaigns.

It covers (i) the delivery of newsletters and direct marketing communications (such as general promotional messages, campaigns, news), and (ii) targeted communication and advertisement with the use of basic segmentation and targeting logic to ensure that our communications are relevant and proportionate.

This section should be read together with the sections on consent management, advertising technologies and audience segmentation. Those sections provide further details on how preferences are collected, how audiences may be created for certain marketing activities, and when third‑party advertising platforms may be involved.

Scope of personal data

You can subscribe to newsletters and marketing communications via your Online Shopping or Clubcard account; on Tesco websites in the Newsletter Subscription section; or during competitions and events. If you subscribe to newsletters or marketing communications, we will process the following about you:

• Information about you: name and surname, telephone number and e-mail address;
• Information about your consent to marketing activities;
• Your communication preferences, including e-mail, postal mail, SMS or, in case you allow it, push notification.

We do not process any special categories of personal data , i.e. sensitive data such as health data.

Purpose and legal basis

We process the above data on the basis of your consent pursuant to Article 6 (1)(a) of the GDPR in order to:

• sending newsletters, sending relevant marketing communications or contacting you for the purpose of marketing;
• sending marketing messages and newsletters via electronic channels (such as e‑mail, mobile app notifications, SMS or similar electronic means);
• providing personalised or non‑personalised offers, promotions and information based on customer preferences, interactions or purchase history, where applicable;
• managing subscriptions, opt‑ins and opt‑outs, including recording consent, handling withdrawals and ensuring suppression of communications where required;
• measuring the effectiveness of marketing communications (e.g. delivery, opening or interaction statistics), in an aggregated or individual form, depending on the channel and configuration.

News and marketing communications relate to our products and services, including Clubcard or Tesco online shopping, and products and services of partners who are part of the Tesco Group. 

Where we send personalised marketing communications to you, we may tailor the content and/or select campaign audiences using information about your shopping behaviour and preferences, as further described in the ‘Automated decision‑making and profiling / audience segmentation’ section. For marketing activities carried out on third‑party platforms outside of our own channels (for example, off‑platform advertising audiences or measurement technologies such as cookies, pixels or SDKs), please refer to the relevant and ‘Cookies and similar technologies’ sections, which apply where you have provided the relevant choices.

Withdrawal of consent

You can withdraw your consent at any time via the link in emails, SMS messages, through the marketing preferences settings of your online account or the relevant application or by using the above contacts for exercising the rights of subjects. If you withdraw your consent, you will unsubscribe from all news and marketing communications. If you subsequently decide to subscribe to the newsletter, it is necessary to change the settings of your marketing preferences or subscribe to the newsletter again. Please note that, depending on when you withdraw your consent, opt out, or cancel your subscription, you may still receive advertising materials or see advertising campaigns for a short time due to technical reasons. For example, newsletters may already be scheduled for delivery, and once they are queued, Tesco no longer has control over the distribution 

Retention

We process your personal data for a period of time until you withdraw your consent, but no later than 24 months after your last interaction with a Tesco product or service.

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• dunnhumby Ireland ltd. (Floor 3, Building 2, Harbour Square Crofton Road, Dun Laoghaire Co Dublin, Ireland) which processes purchase information for the purpose of assigning coupons and vouchers, and participates in analyses to improve your shopping experience;
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

In addition to the above, where we use Microsoft 365 services (including Outlook, Teams, OneDrive and SharePoint) for communication and collaboration, Microsoft Corporation acts as our data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments, where applicable.

In addition to the above, we may engage our service provider(s), such as providers of: 

• e‑mail and messaging delivery services;
• customer relationship management (CRM) systems;
• marketing automation and analytics tools.

Further data controllers for targeted marketing and audience matching

• Meta Platforms Ireland Ltd
• Google Ireland Ltd

For certain targeted marketing and audience matching activities, carried out on third‑party advertising platforms, additional data controllers may be involved.

Where you have consented to targeted advertising, we may share limited identifiers (such as hashed email addresses or phone numbers) with selected advertising platforms, including Google and Meta, in order to create custom audiences and display more relevant advertisements, as well as to reduce the delivery of irrelevant advertising. The platforms use a secure matching process to determine whether the hashed identifier corresponds to an existing user account on their platform. If a match is found, that account may be included in a campaign audience; if no match is found, the identifier is not used further. Based on this process, the matched audience may be used by us for ad targeting, exclusion and campaign activation, in line with your choices, the applicable platform rules and permissions. The purpose for this is to improve relevance and reduce unnecessary advertising. To protect personal data, identifiers (such as email addresses or phone numbers) are converted into a non‑readable format using industry‑standard SHA‑256 hashing before being used for audience matching. Both Google and Meta apply secure hash‑based matching processes by comparing these hashed identifiers against their own hashed user data.

This process does not involve the sharing of customer lists with third parties, and Tesco does not sell customer data to third parties.

Joint controllership and responsibilities

For the limited purpose of the matching and custom audience creation operation, Tesco and the relevant advertising platform (i.e. Google and/or Meta) may be considered joint controllers. The advertising platform acts as an independent controller for any subsequent processing it carries out on its own systems and for its own purposes.

Tesco is responsible for providing information about these activities in this privacy notice and for obtaining and recording any required customer choices (such as consent) where applicable. The platform provider is responsible for operating its advertising systems, providing user controls within its services and implementing appropriate security measures for processing carried out on its side. This arrangement allocates responsibilities to ensure transparency, facilitate the exercise of data subject rights, and maintain appropriate safeguards.

For further information on how customer identifiers are hashed and matched on these advertising platforms, please see Meta Business Help Center here and Google Ads Help here. As both companies are processing your personal data, we recommend that you review their privacy policies, which can be found here for Google and here for Meta Platforms.

Transfer of data to a third country

If a system level investigation of the consent database or consent mechanism is required, or if the involvement of other Tesco Group companies is otherwise necessary, your personal data may be transferred to Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy

In addition to the above, Tesco Group Companies use Microsoft 365 services (including, but not limited to: Outlook, Teams, OneDrive, and SharePoint) to support our communication, collaboration, and document management. In this context, Microsoft Corporation acts as a data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments. However, certain support or diagnostic operations may involve transfers outside the EU/EEA (e.g., to the United States). Microsoft is certified to participate in and comply with the EU-U.S. Data Privacy Framework, which provides the legal basis for transferring personal data to a third country in accordance with the GDPR.

I addition to the above, where we use advertising technologies and ad platform features (for example Customer Match / Custom Audiences and certain measurement features) and share limited identifiers with ad platform providers acting as data controllers, those providers may process personal data outside the EU/EEA, including in the United States or other jurisdictions. Where applicable, such transfers are carried out subject to appropriate safeguards and in particular, Meta Platforms, Inc. and Google LLC are listed as active participants in the EU–U.S. Data Privacy Framework, and they also describe the use of additional safeguards, such as Standard Contractual Clauses (SCCs), for international data transfers in their own documentation. For more information, please refer to their transfer resources and privacy notices which can be found here for Google and here for Meta Platforms. An up-to-date list of active participants in the EU-U.S. Data Privacy Framework can be found here: Data Privacy Framework

Automated decision-making and profiling

In the context of sending marketing messages and newsletters, we may use basic profiling and segmentation techniques in order to ensure that our communications are relevant, proportionate and aligned with your interests. This may include analysing purchase history, interaction with our digital channels (such as opening emails, clicking on offers), loyalty programme data, and high‑level preferences, and assigning customers to non‑intrusive customer segments (for example based on product categories or general interests). Such profiling does not produce legal effects or similarly significant effects on you within the meaning of Article 22 GDPR. Marketing messages remain informational or promotional in nature, and you are not subject to automated decisions that would affect your rights or obligations. Where profiling or segmentation is used for direct marketing purposes, you have the right to object at any time (Article 21(2) GDPR) by sending your request to adatvedelem@tesco.com. 

Social media

We maintain official Tesco pages on social media platforms (such as Facebook, TikTok or Instagram) to communicate with our customers and the public. The general purpose of our presence on these platform is to inform customers about offers, products, services, promotions, prize draws, topics, and news related to Tesco, however, given the nature of the technology, personal data is processed to a certain degree (for example during responding to comments, moderation) and, based to the customer’s interaction with the platform (for example based on likes, commenting, or viewing content), we are able to measure audience and have statistics about our social media platform pages. In these cases, personal data about you is processed jointly by us and the platform provider. 

Currently, Tesco maintains its presence on the below platforms: 

• https://www.instagram.com/tesco.hu
• https://www.facebook.com/tescoaruhazak
• https://www.tiktok.com/@tescohu
• https://www.youtube.com/user/TescoMagyarorszag
• https://hu.linkedin.com/company/tesco-magyarorsz-g

Scope of personal data processed 

• information about your interactions with our page (e.g., likes, comments, shares);
• statistical data (Page Insights) provided by the medium to help us understand how users interact with our content;
• information you share with us (for example in case you reach out to us in a private message).

We do not process any personal data of a special category, i.e. sensitive data, e.g. health.

Purpose and legal basis

We process the above data partly on the basis of your consent in accordance with Article 6 (1)(a) of the GDPR given by proactively reaching out to us and partly on the basis on our legitimate interest as per Article 6 (1)(f) of the GDPR, in order to engage and communicate with customers (including answering questions, reacting to suggestions, etc).

In case of our legitimate interest, we may process your personal data in accordance with Article 6 (1)(f) of the GDPR, in order to:

• share your post where Tesco was tagged, in order to reach existing or potential customers; 
• understand customer engagement and measure customer presence on our pages. 

Retention

We process your personal data for the retention period for your interactions (such as comments, reactions or messages) is determined by the respective social media platform based on their own terms and settings. Tesco does not copy or store this content outside the platform, unless required for the establishment, exercise, or defence of legal claims or in justified cases (e.g., moderation of inappropriate content). You may delete your own comments or messages at any time through your social media account.

Recipients or categories of recipients of personal data

In connection with the operation of our social media pages, your personal data may be shared with the following categories of recipients:

• social media platform providers (e.g., Meta Platforms Ireland Ltd, LinkedIn Ireland Unlimited Company, TikTok Technology Limited), who act as independent controllers or joint controllers together with us, depending on the processing activity;
• service providers acting on our behalf, such as marketing agencies, customer support providers, or social‑media management tools, who process personal data strictly in accordance with our instructions as data processors;
• Tesco Group companies, where necessary for coordination of communications, handling customer interactions, moderation, customer service, or for ensuring consistency of communications across markets.

In all cases, processing is limited to what is necessary to manage our social media presence, respond to your interactions, analyse engagement, and ensure compliance with our internal policies.

Transfer of data to a third country

We do not transfer personal data outside the EU/EEA, however, please note that the social media platform providers listed above may (and usually do) process personal data outside of the EU/EEA, mainly due to their global operations. For further details on the processing activity of these companies, please refer to their privacy notice and other applicable and relevant documents.

Automated decision-making and profiling

Tesco does not carry out automated decision-making or profiling.

Personal presence in our stores

Scope of personal data processed

When you are physically present in our shopping areas and stores, and when you make purchases or raise complaints in person, we may process the following categories of personal data, depending on the specific interaction:

• visual data captured by instore camera surveillance systems (CCTV), where installed; 
• payment verification data and transaction data relating to instore purchases, such as purchased items, prices, date and time of purchase, store location, payment method, and receipt or invoice number; 
• invoice and accounting data, where an invoice or proof of purchase is issued in your name (e.g. name, address, tax related details where required by law); 
• Self-checkout data, including information generated during the use of self-checkout terminals (e.g. scanned items, transaction progress, error or intervention logs, and timestamps), and, where applicable, supporting security data linked to loss prevention measures; 
• complaint related data, where you submit a complaint or claim in store, including your name, contact details, description of the complaint, date, place and circumstances of the issue, and records of how the complaint was handled; 
• consumer protection records, including entries made in the consumer protection book or equivalent statutory register or quality complaints (warranty and product claims) handling books, where required by applicable national law;
• evidence (for example ID or drivers' licence) for age verification for items under sale limitation.

Please be advised that information about CCTV operation, self‑checkout use and complaint handling is provided on‑site through visible notices, receipts, complaint forms, or in‑store information points, and is supplemented by this privacy notice and any additional specific notices where required.

Further, please also be advised that some processing activities are addressed by specific sections of the notice. If the processing of personal data occurs as part of an activity beyond the general presence and shopping experience in the store — such as invoicing or handling consumer complaints via official complaints registry or using our apps during checkout — the relevant details and information for those activities take precedence. This section (“Personal presence in our stores”) outlines in detail the processing activities directly associated with shopping in our stores.

We do not intentionally process special categories of personal data in this context. If such data is exceptionally included by any means during any of the data processing activity, it will be handled strictly for the purpose of the corresponding activity.

Purpose and legal basis

• We maintain CCTV operation based on our legitimate interests in accordance with Article 6(1)(f) of the GDPR, in particular ensuring the secure operation of our stores, preventing fraud and loss, and protecting persons and property.
• We maintain customer complaints registry based on compliance with a legal obligation in accordance with Article 6(1)(c) of the GDPR to comply with Section 17/A (4) and Section 17/A (5) of Act CLV of 1997 on Consumer Protection and Section 5 (4) of Act CLXIV of 2005 on Trade;
• We maintain a protocol established in accordance with Article 6(1)(c) of the GDPR to comply with Government Decree No. 151/2003 (IX.22.) on the mandatory guarantee for certain durable consumer goods and Decree No. 19/2014 (IV. 29.) of the Ministry for National Economy on the procedural rules for handling statutory warranty and guarantee claims relating to goods sold under a contract between the consumer and the business in order to document and handle the consumer’s statutory warranty and guarantee claims as described above and to to settle warranty claims in accordance with the Hungarian Civil Code; 
• We may, in order to comply with Section IV/A of Act CLV of 1997 on Consumer Protection, ask for a proof of age in order to verify eligibility in accordance with our obligation to comply with a legal obligation based on Article 6(1)(c) of the GDPR;
• We maintain a self-checkout control based on Article 6(1)(f) of the GDPR, i.e. based on our legitimate interest, consisting of our interest in reducing inventory discrepancies by filtering out erroneous transactions and preventing losses and protecting property, by manually verifying (by a Tesco personnel) whether the scanning of items was performed correctly;
• We maintain a self-checkout and payment completion verification control (receipt check) based on Article 6(1)(f) of the GDPR, i.e. based on our legitimate interest, consisting of our interest in reducing inventory discrepancies by filtering out erroneous transactions and preventing losses and protecting property by verifying whether
  • the scanning of items was performed correctly;
  • all purchased items have been paid for, and whether an unpaid item is the result of an error or intentional conduct. 

This verification is limited to confirming payment status and does not constitute a bag or package inspection, which is subject to separate rules and information.

• Package/bag checks may be carried out on the basis of our legitimate interests under Article 6(1)(f) GDPR, in accordance with the provisions of Act CXXXIII of 2005 on the rules of personal and property protection and private investigation activities. Our legitimate interests are to reduce stock and inventory discrepancies, prevent losses and protect property, and to prevent and evidence offences against property.

Retention

Personal data processed in connection with in‑store presence, purchases, self‑checkout and complaints is retained only for as long as necessary for the relevant purpose:

• CCTV related data (footage) is retained between 3-30 days, depending on the purpose and place of the given camera (e.g. whether it records a cash transferring route). In case of a request for retention, a case detected by our staff or an official request, the camera recordings will be saved. In this case, the period of retention of the data also depends on the type of procedure in question (i.e. internal or external procedure, official procedure), as well as on the length of such procedure;
• For matters related to consumer protection and quality assurance, the retention period is 3 years as required by Section 17/A (7) of Act CLV of 1997 on Consumer Protection; for subject access request (or other data protection matters) the retention period is 5 years; for general matters (questions, advices, thank you letters) 3 months. In case of a complaint or a case with possible further legal claim or legal procedure related to it, we retain data for 5 years.  If a case has prior history, the retention period for the previous case aligns with the retention period of the most recent case. For cases relevant from an accounting perspective, the retention period is 8 years, and for cases affected by tax law, 5 years from the end of the tax year.

Recipients or categories of recipients of personal data

The personal data we collect may be shared with (i) companies within the Tesco Group or may be shared with us by other companies within the Tesco Group; (ii) service providers acting on our behalf; and (iii) certain third parties (such as public authorities) where required or permitted by law. The recipients depend on the specific processing activity described in this privacy notice. 

Tesco Group companies

Due to the cross-border presence and operation of Tesco, certain processing activities may involve other Tesco Group companies. Depending on the nature of the specific processing activity, a Tesco Group company may act as a data processor (acting on our behalf and under our instructions) or as a data controller, but in all case only to the extent necessary to provide the Service to you and as applicable to the specific service and market. (These entities may, for example, support the IT systems operating Clubcard/online services and customer support processes, or assist with the preparation and distribution of marketing communications.) Tesco has arrangements in place for all of its data processing activity within the organization, ensuring the security of your personal data.

The following Tesco companies help us to provide our services to you:

• TESCO-BST Üzleti és Technológiai Szolgáltatások Zártkörűen Működő Részvénytársaság (1138 Budapest, Váci út 187, Hungary, Company registry number: 0110140160) which provides customer service, including complaint management and customer support, technology development and customer engagement;
• TESCO Stores CR a.s. (Czech Republic, Vršovická 1527/68b, 100 00 Prague 10; registration number: 45308314; contact details of the data protection officer: ochrana_dat@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program; 
• TESCO STORES SR, a.s. (Slovakia, Cesta na Senec 2, 821 04, Bratislava; registration number: 31321828; contact details of the data protection officer: ochrana_udajo@tesco.com) which helps us to provide our Services to our customers, including in particular the Support of IT systems operating the Clubcard loyalty program, the Tesco Online Service and electronic direct marketing (e.g. Tesco newsletter);
• Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB).

Regardless of the Tesco Group entity involved in providing the Services, the local Tesco entity providing the customer-facing service (in the present case: TESCO-GLOBAL Áruházak Zártkörűen Működő Részvénytársaság) remains the primary contact for customers for privacy information and rights requests under this privacy notice and coordinates internally with other participating Tesco Group companies where needed.

In order to fulfil certain requests and ensure their successful and efficient handling and/or resolution we may engage our service provider(s), in particular, but not exclusively:

• our supporting law firm (for example in case of a litigation);
• couriers (either national or private, for example for providing you goods or vouchers);
• security service provider(s) (for example for CCTV footage related queries);
• supplier(s) of Tesco, it their engagement is required for the resolution.

Our company uses the services of a third-party service provider in order to perform personal and property protection tasks, as well as to operate the camera surveillance system (CCTV). In doing so, the above-mentioned personal data is processed on behalf of our company by the service provider and thus qualifies as a data processor in accordance with the provisions of the GDPR. Further details on recipients – relevance is subject to location and format of the stores – are incorporated and provided within the specific privacy notice relevant for store in question.

For warranty claims quality claims, in order to fulfil certain requests and to ensure their successful and efficient handling and/or resolution, as well as to provide feedback, the handling of a request/complaint/observation may involve the transfer of personal data to our service providers or partners. Such data transfers take place only where the partner cannot act in the matter without personal data. In such cases, our partners or service providers will also process the personal data provided by you.

We may also disclose personal data to competent authorities (such as courts, police, consumer protection authorities, tax authorities or other public bodies) where required or permitted by applicable law, or where necessary for the establishment, exercise or defence of legal claims.

Transfer of personal data to third countries

f a system level investigation of the consent database or consent mechanism is required, or if the involvement of other Tesco Group companies is otherwise necessary, your personal data may be transferred to Tesco Stores Limited (a company incorporated in England under company number 519500 having its registered office at Tesco House, Shire Park, Kestrel Way, AL7 1GB). Transfer to Tesco Stores Limited is permitted under the EU Commission’s adequacy decision, which recognizes that the United Kingdom (currently being a third country) ensures an adequate level of protection for personal data in accordance with the GDPR. The Commission’s relevant adequacy decision is available here: https://eur-lex.europa.eu/adequacy

In addition to the above, Tesco Group Companies use Microsoft 365 services (including, but not limited to: Outlook, Teams, OneDrive, and SharePoint) to support our communication, collaboration, and document management. In this context, Microsoft Corporation acts as a data processor under our instructions. Personal data is primarily stored within the European Union under Microsoft’s EU Data Boundary commitments. However, certain support or diagnostic operations may involve transfers outside the EU/EEA (e.g., to the United States). Microsoft is certified to participate in and comply with the EU-U.S. Data Privacy Framework, which provides the legal basis for transferring personal data to a third country in accordance with the GDPR.

Automated decision-making and profiling

Tesco does not carry out automated decision-making or profiling in the context of personal presence in our stores.

Cookies and similar technologies

Cookies are small text files containing a unique identifier that are stored on your computer or mobile device so that your device can be recognized when you use a particular website or mobile application. They can be used to measure how you interact with our Services content over time. Cookies help to provide important features and functionality on our websites and mobile apps and help improve your customer experience.

When you use our website or app, we may use analytics and advertising technologies (such as cookies, pixels, SDKs and similar identifiers) to (i) understand how our services are used, (ii) measure the effectiveness of our campaigns, and (iii) show you more relevant advertisements. These technologies may collect information about your device and browser (e.g., cookie/advertising identifiers, IP address, device type, browser settings), information about how you interact with our pages and ads (e.g., page views, clicks, video plays, form submissions), and, where applicable, information about purchases or basket interactions. 

We use non‑essential cookies/technologies only if you give your consent. Strictly necessary cookies (and similar technologies) are used to provide a service you explicitly request or to ensure the security of our systems (e.g., fraud prevention). You can manage or withdraw your consent at any time via our cookie settings, and withdrawal is not more difficult than giving consent.

Some technologies are set by us (first‑party). Others are set by selected partners (third‑party) who may process data on our behalf and/or for their own purposes, as described in their notices. Where these activities involve transfers outside the EEA, we apply appropriate safeguards under applicable data protection law

Cookie categories and purposes

• strictly necessary (essential): security, login/session management, consent management;
• analytics/performance (where you consent): understanding usage and improving performance and user experience;
• advertising/measurement (where you consent): campaign delivery and measurement (conversion tracking, attribution, frequency management, audience creation/retargeting); 

Depending on your cookie preferences, we use tools such as Google Analytics 4 (GA4), Google Ads, Display & Video 360 (DV360), Facebook Pixel, Xandr and Gemius.

For certain advertising and measurement technologies, Tesco and the relevant platform provider may be considered joint controllers under the GDPR in relation to the processing operation consisting of collecting and transmitting data and/or creating an audience. The platform provider acts as an independent controller for any subsequent processing carried out for its own purposes; further details are set out in the section on targeted marketing activities.

Your choices

You can accept or refuse cookies, and you can change your choices at any time via Cookie Preferences / cookie settings. In addition, you can manage cookies via your browser settings. For mobile apps, advertising identifiers and SDK settings can be managed via the in‑app privacy choices and your device’s privacy settings.

You can also manage cookies related to advertising on our services by opting out through the service providers listed in the table above or by visiting the YourOnlineChoices website. Where personalized ads are displayed for other organizations' websites, you'll typically see an AdChoices icon.  Clicking on this icon will give you specific help on how to control your online advertising preferences.  More information is available on the YourAdChoices website.

Mobile Applications

Cookies work differently on mobile applications as they are encoded in the applications themselves and use a unique identifier created by your mobile device to use advertising activities. Our apps contain third‑party software development kits (SDKs). Some SDKs are necessary for core functionality (e.g., security, login, consent management). Other SDKs support analytics (e.g., app usage and performance) or marketing/measurement. We only activate non‑essential SDKs if you allow them in your privacy choices, and you can change your choices at any time in the app settings. If we use data for tracking as defined by Apple, iOS may show Apple’s system prompt (App Tracking Transparency). Your in‑app privacy choices remain separate from this OS permission. You can manage tracking permissions at any time in your device settings; if you choose not to allow tracking, apps cannot access the system advertising identifier (IDFA).

Legal basis: We rely on your consent (GDPR Art. 6(1)(a)) for the use of non-essential cookies/pixels/identifiers for analytics and advertising. You can withdraw consent at any time as described and referenced to above.