Przejdź do głównej zawartości

Polityka ochrony prywatności

For English, click here.

Zgodnie z wymogami rozporządzenia UE 2016/679 („RODO”) poniższe informacje dotyczą czynności przetwarzania i celu przetwarzania danych osobowych pasażerów („pasażer” lub „pasażerowie”) w firmie Flix.

Wszelkie pojęcia użyte w niniejszej Polityce ochrony prywatności, które nie zostały wyraźnie zdefiniowane, mają znaczenie określone w RODO.

1. Dane kontaktowe administratora

Administratorem danych jest Flixbus Polska Sp. z.o.o., ul. Fabryczna 5A , 00-446 Warszawa, Polska („Flix” lub „Administrator”).

2. Dane kontaktowe inspektora ochrony danych

Administrator wyznaczył inspektora ochrony danych. Jego siedziba znajduje się w biurach Flix SE, Friedenheimer Brücke 16, 80639 Monachium, Niemcy. Można się z nim kontaktować pod adresem e-mailowym:

data.protection@flixbus.com

3. Cele przetwarzania i podstawa prawna

Administrator przetwarza kategorie danych osobowych, o których mowa w punkcie 4 w następujących celach:

a) wypełnianie zobowiązań umownych z pasażerami, określonych zobowiązań umownych wobec pasażerów lub spełnianie specjalnych żądań pasażerów złożonych przed zawarciem umowy;

Podstawą prawną przetwarzania danych w przedmiotowym celu jest konieczność wypełnienia zobowiązania umownego. Jest to zgodne z art. 6 ust. 1 lit. b RODO.

b) badanie i rozpatrywanie skarg składanych przez pasażerów na wszystkich etapach zobowiązania, z uwzględnieniem sporów sądowych;

Podstawą prawną przetwarzania danych w przedmiotowym celu jest to, iż

(i) czynność przetwarzania jest niezbędna do wypełnienia zobowiązania umownego. Jest to zgodne z art. 6 ust. 1 lit. b RODO.

(ii) przetwarzanie danych jest warunkiem spełnienia zobowiązań prawnych, którym podlega FlixBus; Jest to zgodne z art. 6 ust. 1 lit. c RODO.

(iii) przetwarzanie danych jest niezbędne ze względu na uzasadnione interesy administratora, tj. prawo do ustanowienia, dochodzenia lub obrony roszczeń prawnych; Jest to zgodne z art. 6 ust. 1 lit. f RODO.

c) sprzedaż biletów pasażerom w pojeździe – dot. indywidualnych przypadków;

Podstawą prawną przetwarzania danych w przedmiotowym celu jest to, iż

(i) przetwarzanie danych jest niezbędne do wypełnienia zobowiązania umownego lub wdrożenia środków przedumownych; Jest to zgodne z art. 6 ust. 1 lit. b RODO.

(ii) przetwarzanie jest niezbędne ze względu na uzasadnione interesy administratora, tj. w szczególności odnośnie do przekazywania danych dotyczących płatności dostawcy usług płatniczych w celu przetworzenia ustalonej przez pasażera płatności; Jest to zgodne z art. 6 ust. 1 lit. f RODO.

4. Kategorie przetwarzanych danych osobowych

Dane osobowe obejmują wszelkie informacje odnoszące się do konkretnej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe pasażerów przetwarzane w celach określonych w punkcie 3:

a) dane identyfikacyjne i dane kontaktowe pasażera;

b) dane dotyczące podróży, rodzaj usługi;

W odniesieniu do punktu 3 b) uwzględniono również rozpatrywanie skarg:

c) daty otrzymania skargi oraz przyczyny skargi wskazane w formularzu wypełnionym przez pasażera;

d) wszelkie dodatkowe informacje dołączone przez pasażera do skargi, w tym – w stosownych przypadkach – szczególne kategorie danych osobowych (np. informacje o stanie zdrowia).

Dla celów wymienionych w punkcie 3 c) oprócz punktu 4 a, b:

e) dane dotyczące płatności

Pasażerowie podają swoje dane osobowe dobrowolnie. Pasażer nie ma prawnego ani umownego obowiązku przekazania Flix danych osobowych. Niemniej jednak, jeśli pasażer nie przekaże danych wymaganych w określonym celu, Flix może nie być w stanie świadczyć niektórych usług w sposób kompletny, a niektórych w ogóle.

W zakresie, w jakim dane osobowe mogły nie zostać podane bezpośrednio przez pasażera, spółka Flix zazwyczaj pozyskuje je w ramach procesu rezerwacji biletów na witrynie internetowej Flix.

5. Kategorie odbiorców

a) Administratorzy wewnętrzni

W określonych warunkach udostępniamy dane osobowe pasażerów w celach związanych z zarządzaniem wewnętrznym w obrębie spółek FlixBus – o ile jest to dozwolone.

Na przykład dane osobowe mogą być również przekazywane spółce Flix SE w celach związanych z zarządzaniem wewnętrznym na podstawie uzasadnionego interesu administratora – np. w związku z prawidłowym i właściwym przetwarzaniem i rozpatrywaniem skarg pasażerów. Więcej informacji można znaleźć w polityce ochrony prywatności Flix SE, klikając poniższe łącze Ochrona prywatności danych → FlixBus

b) Administrator wewnętrzny

Podobnie jak w przypadku każdej większej firmy, do obsługi naszych transakcji handlowych i współpracy z firmami partnerskimi w kraju i za granicą wykorzystujemy także zewnętrznych usługodawców krajowych i zagranicznych.

Należą do nich na przykład:

  • partnerzy sprzedażowi,
  • operatorzy sklepów,
  • firmy ochroniarskie,
  • inni partnerzy zaangażowani w naszą działalność (np. audytorzy, banki, firmy ubezpieczeniowe, dostawcy usług płatniczych, prawnicy, organy nadzoru, inne podmioty uczestniczące w przejęciach spółek)

c) Wewnętrzne podmioty przetwarzające

  • dostawcy usług obsługi klienta (wewnętrzni)
  • dostawcy usług (informatycznych),

d) Zewnętrzne podmioty przetwarzające

  • dostawcy usług obsługi klienta (zewnętrzni)
  • dostawcy usług (informatycznych),
  • partnerzy operacyjni (wykaz aktualnych przewoźników można znaleźć tutaj)

W zakresie, w jakim odbiorcy pracują dla nas jako podmioty przetwarzające, zawieramy z nimi umowę, w myśl której muszą oni zagwarantować, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne, że przetwarzanie informacji spełnia wymogi prawne oraz że przestrzegane są prawa osób, których dane dotyczą.

Dostęp do danych osobowych pasażerów mają tylko osoby działające w imieniu administratora lub podmiotu przetwarzającego.

Możemy również przekazywać dane osobowe organom i instytucjom publicznym (np. policji, prokuraturze, organom nadzorczym), jeżeli istnieje ku temu stosowny obowiązek/upoważnienie.

6. Przesyłanie danych za granicę

W związku z przetwarzaniem informacji, o którym mowa w punkcie 3, dane osobowe mogą być przekazywane do państwa trzeciego (w szczególności do USA). Państwo trzecie to kraj spoza Unii Europejskiej (UE) i Europejskiego Obszaru Gospodarczego (EOG). W takim przypadku zapewniamy – stosując odpowiednie środki – że poziom ochrony danych u odbiorcy / w kraju odbiorcy jest analogiczny do poziomu ochrony mającego zastosowanie w UE/EOG. Przykłady odpowiednich środków:

7. Czas przechowywania danych i ich usuwanie

Dane osobowe pasażerów są przechowywane tak długo, jak jest to konieczne do celów określonych w punkcie 3, odnośnie do których dane są gromadzone i następnie przetwarzane.

Trzeba jednak pamiętać, że administrator może być zobowiązany i/lub uprawniony do przechowywania danych osobowych pasażerów – w całości lub w części – przez dłuższy okres – na przykład, ale nie wyłącznie, w celu ustalenia, dochodzenia lub obrony roszczeń prawnych z uwzględnieniem obowiązującego okresu przedawnienia. W Polsce okres przedawnienia dotyczący ewentualnych roszczeń nie może trwać dłużej niż 6 lat.

8. Prawa osób, których dane dotyczą

Zgodnie z RODO każdy pasażer, którego dane dotyczą, ma następujące prawa:

Prawo do informacji

Zgodnie z art. 15 RODO pasażer może zażądać informacji na temat swoich danych osobowych przetwarzanych przez Flix. W żądaniu udzielenia informacji pasażer powinien wyjaśnić swoje obawy, aby ułatwić administratorowi opracowanie niezbędnych danych. Administrator może zażądać informacji w celu potwierdzenia tożsamości pasażera, tak aby mieć pewność, ze ma on prawo dostępu do danych osobowych.

Na wniosek pasażera administrator dostarcza mu kopię danych, które są przedmiotem przetwarzania. Pasażerowie nie muszą uiszczać żadnych opłat za dostęp do swoich danych osobowych (ani za korzystanie z innych praw). Flix może jednak naliczyć uzasadnioną opłatę, jeśli żądanie będzie wyraźnie nieuzasadnione, powtarzające się lub nadmierne. Flix może również odmówić spełnienia takiego żądania.

Prawo do sprostowania danych

W przypadku, gdy informacje dotyczące pasażera nie będą (albo przestały być) poprawne, pasażer może zażądać ich korekty zgodnie z art. 16 RODO. Jeśli dane pasażera są niekompletne, pasażer może zażądać ich uzupełnienia.

Prawo do usunięcia danych

Zgodnie z zapisami art. 17 RODO pasażer może zażądać usunięcia swoich danych osobowych. Możliwość wyegzekwowania tego prawa zależy między innymi od tego, czy informacje dotyczące pasażera są nadal potrzebne administratorowi danych do wypełniania ciążących na nim zobowiązań prawnych.

Prawo do ograniczenia przetwarzania

W ramach wymogów określonych w art. 18 RODO pasażer ma prawo zażądać ograniczenia przetwarzania dotyczących go informacji.

Prawo do przenoszenia danych

Zgodnie ze specyfikacjami ujętymi w art. 20 RODO pasażer ma prawo do otrzymania danych, które przekazał administratorowi, w ustrukturyzowanym, ogólnie dostępnym i nadającym się odczytać maszynowo formacie. Może też zażądać, aby przedmiotowe informacje zostały przekazane innemu właściwemu podmiotowi.

Prawo do sprzeciwu

Zgodnie z art. 21 ust. 1 RODO, pasażer ma prawo – w dowolnym momencie – wnieść sprzeciw wobec przetwarzania dotyczących go danych pozyskanych zgodnie z art. 6 ust. 1 lit. f RODO, z przyczyn wynikających ze szczególnej sytuacji, w której pasażer się znalazł. Następnie przetwarzanie danych tego pasażera może być realizowane tylko wtedy, gdy Flix jest w stanie udowodnić, że istnieją uzasadnione powody przetwarzania o znaczeniu nadrzędnym w stosunku do interesów, praw i swobód obywatelskich pasażera, ewentualnie w przypadku, gdy przetwarzanie informacji służy ustaleniu, wykonaniu lub obronie roszczeń prawnych przez Flix.

Zgodnie z art. 21 ust. 2 RODO pasażer może w dowolnym momencie sprzeciwić się otrzymywaniu reklam ze skutkiem na przyszłość (zastrzeżenia wobec reklam bezpośrednich).

Prawo do złożenia skargi

Jeżeli pasażer stwierdzi, że administrator nie przestrzegał regulacji w dziedzinie ochrony danych osobowych, przetwarzając dane pasażera, pasażer ten może złożyć skargę dotyczącą przetwarzania jego danych na ręce organu nadzorczego ds. ochrony danych.

Prawo do wycofania zgody (w przypadkach, gdy została udzielona)

Pasażer może wycofać zgodę na przetwarzanie swoich danych w dowolnym momencie, ze skutkiem na przyszłość. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania opartego na zgodzie udzielonej przed jej wycofaniem.

Dotyczy to również deklaracji zgody, które zostały przekazane przed wejściem w życie RODO, tj. przed 25 maja 2018 roku.

Pasażer może w każdej chwili dochodzić swoich praw – jako osoba, której dane dotyczą – od administratora, w szczególności korzystając z danych kontaktowych podanych w punktach 1 i 2 powyżej.

9. Zmiany w Polityce ochrony prywatności

Niniejsza Polityka ochrony prywatności może być okresowo zmieniana ze względu na wprowadzanie nowych celów i metod przetwarzania informacji. Administrator, działając wedle własnego uznania, powiadamia pasażerów – w sposób terminowy i właściwy – o wszelkich zmianach tego typu.

Wersja 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is Flixbus Polska Sp. Z.o.o, ul. Fabryczna 5A, 00-446 Warsaw, Poland (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period. In Poland this can be up to 6 years as a limitation period for potential claims.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0