Sekretesspolicy

For English, click here.

I enlighet med EU-förordning 2016/679 (”GDPR”) (allmän dataskyddsförordning [General Data Protection Regulation]) beskriver informationen nedan Flix behandling och ändamålet med behandlingen av passagerares personuppgifter (”Passagerare”).

Alla termer som används i denna sekretesspolicy och som inte uttryckligen definieras häri ska ha den betydelse som anges i GDPR.

1. Kontaktuppgifter till den personuppgiftsansvarige

Den personuppgiftsansvarige är FlixBus Sverige AB, Sveavägen 155, 113 46 Stockholm, Sverige (”Flix” eller ”Personuppgiftsansvarig”).

2. Kontaktuppgifter till dataskyddsombudet

Den personuppgiftsansvarige har utsett ett dataskyddsombud, ”DPO” (Dataskyddsombud [Data Protection Officer]). DPO:n finns på kontoren som tillhör Flix SE, Friedenheimer Brücke 16, 80639 München, Tyskland och kan kontaktas via följande e-postadress:

data.protection@flixbus.com

3. Behandlings ändamål och dess rättsliga grund

Den Personuppgiftsansvarige ska behandla de kategorier av personuppgifter som anges i Avsnitt 4 för att:

a) Fullgöra de skyldigheter som framgår av avtalet som tecknats med passagerarna eller vissa avtalsenliga skyldigheter gentemot passagerarna eller särskilda önskemål som passagerarna framfört innan avtalet tecknades.

Den rättsliga grunden för behandling av personuppgifter för detta ändamål är att det är nödvändigt för att uppfylla en avtalsförpliktelse. Detta är lagligt enligt Artikel 6 1. b) i GDPR.

b) Undersöka och på lämpligt sätt hantera klagomål som passageraren lämnat in, i alla dess skeden, inklusive eventuella rättstvister.

Den rättsliga grunden för behandling av personuppgifter för detta ändamål är följande:

(i) Behandling är nödvändig för att fullgöra en avtalsförpliktelse. Detta är lagligt enligt Artikel 6 1. b) i GDPR.

(ii) Behandling är nödvändig för att uppfylla de rättsliga skyldigheter som FlixBus omfattas av. Detta är lagligt enligt Artikel 6 1. c) i GDPR.

(iii) Behandling är nödvändig för de berättigade intressen som den Personuppgiftsansvarige eftersträvar, dvs. rätten att fastställa, utöva eller försvara rättsliga anspråk. Detta är lagligt enligt Artikel 6 1. f) i GDPR.

c) I förekommande fall sälja biljetter till passagerare ombord.

Den rättsliga grunden för behandling av personuppgifter för detta ändamål är följande:

(i) Behandling är nödvändig för att fullgöra en avtalsförpliktelse eller för att vidta åtgärder innan ett avtal ingås. Detta är lagligt enligt Artikel 6 1. b) i GDPR.

(ii) Behandlingen är nödvändig för den personuppgiftsansvariges berättigade intressen, dvs. i synnerhet vidarebefordran av betalningsuppgifter till den betaltjänstleverantör som ska behandla din betalning. Detta är lagligt enligt Artikel 6 1. f) i GDPR.

4. Kategorier av personuppgifter som behandlas

Personuppgifter omfattar all upplysning som avser en identifierad eller identifierbar fysisk person. Passagerares personuppgifter som behandlas i förbindelse med de behandlingsändamål som anges i avsnitt 3 är följande:

a) passagerarens identifikations- och kontaktuppgifter

b) reseuppgifter, typ av tjänst.

För i avsnitt 3 b) ovannämnda behandling av klagomål dessutom:

c) datum för mottagande av ett klagomål och orsaken till klagomålet enligt den blankett som passageraren har fyllt i

d) alla ytterligare uppgifter som passageraren tillhandahåller tillsammans ett klagomål inklusive, i förekommande fall, särskilda kategorier av personuppgifter (t.ex. hälsouppgifter).

För det ändamål som anges under avsnitt 3 c) utöver avsnitt 4 a) och b):

e) betalningsuppgifter.

Passagerares tillhandahållande av personuppgifter är frivilligt. Det finns ingen juridisk eller avtalsenlig skyldighet för passageraren att förse Flix med personuppgifter. Flix kan dock endast tillhandahålla vissa tjänster i begränsad utsträckning eller inte alls, om passageraren inte tillhandahåller de uppgifter som krävs för detta ändamål.

Om personuppgifterna inte har lämnats direkt av passageraren, har Flix i allmänhet mottagit dessa uppgifter som en del av bokningsprocessen på Flix webbplats.

5. Kategorier av mottagare

a) Interna personuppgiftsansvariga

Under vissa omständigheter delar vi dina personuppgifter inom FlixBus företag för ändamålet intern administration, i den mån detta är tillåtet.

Personuppgifter kan till exempel vidarebefordras till Flix SE för ändamålet intern administration på grundval av det berättigade intresse som den personuppgiftsansvarige har för behandlingen – t.ex. behovet av korrekt och lämplig behandling och hantering av passagerarklagomål. Ytterligare information finns även i Flix SE sekretesspolicy på följande länk Datasekretess → FlixBus

b) Extern personuppgiftsansvarig

Precis som alla större företag använder vi även externa inhemska och utländska tjänsteleverantörer för att hantera våra affärstransaktioner och arbetar med inhemska och utländska partnerföretag.

Dessa inkluderar, till exempel:

försäljningspartner
våra butiker
säkerhetsföretag
andra partner som anlitas för vår affärsverksamhet (t.ex. revisorer, banker, försäkringsbolag, betaltjänstleverantörer, advokater, tillsynsmyndigheter och andra parter som deltar i företagsförvärv).

c) Interna personuppgiftsbiträden

kundtjänstleverantörer (interna)
(IT-) tjänsteleverantörer

d) Externa personuppgiftsbiträden

kundtjänstleverantörer (externa)
(IT-) tjänsteleverantörer
operativa partner (du hittar en översikt över de nuvarande transportföretagen här)

I den utsträckning mottagarna arbetar för oss som personuppgiftsbiträden ingår vi ett avtal med dem och de måste ge garantier för att lämpliga tekniska och organisatoriska åtgärder finns på plats, att behandlingen uppfyller juridiska krav och att de registrerades rättigheter respekteras.

Passagerares personuppgifter är endast tillgängliga för personer som agerar på uppdrag av den personuppgiftsansvarige eller personuppgiftsbiträdet.

Vi kan även överföra personuppgifter till offentliga organ och institutioner (t.ex. polis, åklagarmyndigheten, tillsynsmyndigheter) om det finns motsvarande skyldighet/tillstånd.

6. Gränsöverskridande överföring av personuppgifter

I samband med den behandling som avses i avsnitt 3 kan personuppgifter överföras till ett tredje land (framför allt till USA). Ett tredje land är ett land utanför den Europeiska unionen (EU) och utanför det Europeiska ekonomiska samarbetsområdet (EES). I dessa fall säkerställer vi genom lämpliga åtgärder att dataskyddsnivån hos mottagaren/mottagarlandet inte är lägre än den dataskyddsnivå som gäller i EU/EES. Lämpliga åtgärder kan exempelvis vara:

Ett beslut från EU-kommissionen om adekvat skyddsnivå
Standardavtalsklausuler för dataskydd (är tillgängliga på https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_sv)
Ytterligare skyddsåtgärder (t.ex. pseudonymisering)

7. Lagringstid och radering av personuppgifter

Passagerares personuppgifter kommer endast att lagras så länge det är nödvändigt för de ändamål som anges i avsnitt 3 och för vilka uppgifterna samlats in och därefter behandlats.

Under alla omständigheter kan den Personuppgiftsansvarige vara skyldig och/eller ha rätt att behålla passagerarens personuppgifter, helt eller delvis, under en längre tid – till exempel, men inte uteslutande, för upprättande, utövande eller försvar av rättsliga anspråk inom respektive tillämpliga preskriptionstid.

8. Registrerades rättigheter

Som registrerad har passageraren enligt GDPR följande rättigheter:

Rätt till tillgång

Passageraren kan, enligt Artikel 15 i GDPR, begära tillgång till sina personuppgifter som behandlas av Flix. I begäran om tillgång ska passageraren klargöra sitt ärende för att underlätta för den Personuppgiftsansvarige att sammanställa nödvändiga uppgifter. Den Personuppgiftsansvarige kan kräva information för att bekräfta passagerarens identitet för att säkerställa att han/hon har rätt att få tillgång till personuppgifterna.

På begäran kommer den Personuppgiftsansvarige att förse passageraren med en kopia av de uppgifter som är föremål för behandlingen. Passagerare behöver inte betala någon avgift för att få tillgång till sina personuppgifter (eller för att utöva någon av de andra rättigheterna). Flix kan dock ta ut en rimlig avgift om begäran är tydligt ogrundad, repetitiv eller överdriven. Flix kan också vägra att uppfylla en sådan begäran.

Rätt till rättelse

Om passagerarens uppgifter inte är (eller inte längre är) korrekta kan passageraren begära en korrigering i enlighet med Artikel 16 i GDPR. Om passagerarens uppgifter är ofullständiga kan passageraren begära att de kompletteras.

Rätt till radering

Passageraren kan kräva radering av sina personuppgifter enligt villkoren i Artikel 17 i GDPR. Denna rätt till radering beror bland annat på om passagerarens uppgifter fortfarande behövs för att den personuppgiftsansvarige ska kunna uppfylla sina rättsliga skyldigheter.

Rätt till begränsning av behandling

Inom ramen för kraven i Artikel 18 i GDPR har passageraren rätt att begära en begränsning av behandlingen av sina personuppgifter.

Rätt till dataportabilitet

Enligt specifikationerna i Artikel 20 i GDPR har passageraren rätt att få ut de personuppgifter som passageraren har lämnat till den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format eller att kräva att de överförs till en annan personuppgiftsansvarig.

Rätt att göra invändningar

I enlighet med Artikel 21.1 i GDPR, har passageraren rätt att när som helst invända mot behandlingen av personuppgifter avseende honom eller henne, som samlades in enligt Artikel 6.1 f) i GDPR, av skäl som hänför sig till hans eller hennes specifika situation. Därefter kan behandling av passagerarens personuppgifter endast ske om Flix kan bevisa att det finns berättigade skäl för behandlingen, som väger tyngre än den registrerades intressen, rättigheter och friheter, eller i det fall behandlingen sker för fastställande, utövande eller försvar av Flix rättsliga anspråk.

I enlighet med Artikel 21.2. i GDPR kan passageraren när som helst, med framtida verkan, invända mot att bli kontaktad med marknadsföring (invändning mot direkt marknadsföring).

Rätten att inge klagomål

Om passageraren anser att den personuppgiftsansvarige inte har följt dataskyddsbestämmelserna vid behandling av hans/hennes personuppgifter kan passageraren klaga på behandlingen av hans/hennes personuppgifter till en tillsynsmyndighet för dataskydd.

Rätt att återkalla samtycke (i förekommande fall)

Passageraren kan när som helst återkalla sitt samtycke till framtida behandling av sina personuppgifter. Lagligheten av behandlingen baserat på samtycket före återkallandet förblir opåverkad av återkallandet.

Detta gäller även samtyckesförklaringar som gavs innan GDPR trädde i kraft, dvs. före 2018-05-25.

Passageraren kan när som helst hävda sina rättigheter som registrerad gentemot den personuppgiftsansvarige, i synnerhet genom att använda kontaktuppgifterna i avsnitt 1 och 2 ovan.

9. Ändring

Detta sekretessmeddelande kan ändras från tid till annan på grund av införandet av nya ändamål och behandlingsmetoder. Den Personuppgiftsansvarige kommer att efter eget gottfinnande informera passagerarna om sådana ändringar, i god tid och på lämpligt sätt.

Version 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is Flixbus Sverige AB, Sveavägen 155, 113 46 Stockholm, Sweden (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

sales partners
shop operators
security companies
other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

customer service providers (internal)
(IT) service providers

d) External Processors

customer service providers (external)
(IT) service providers
operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

An adequacy decision of the EU Commission
Standard Data Protection Clauses (available at https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en)
Additional protective measures (e.g. pseudonymization)

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0