Přeskočit na hlavní obsah

Zásady ochrany osobních údajů

For English, click here.

Dle požadavků nařízení EU 2016/679 („nařízení GDPR“) níže uvedené informace popisují operace a účel zpracování osobních údajů cestujících („cestující“) společnosti Flix.

Všechny pojmy použité v těchto zásadách ochrany osobních údajů, které zde nejsou výslovně definovány, budou vykládány ve smyslu stanoveném nařízením GDPR.

1. Kontaktní údaje správce osobních údajů

Správcem osobních údajů je společnost Flixbus CZ s.r.o., Havlíčkova 1029/3, Nové Město, 110 00 Praha 1, servis@flixbus.cz („společnost Flix“ nebo „správce osobních údajů“).

2. Kontaktní údaje pověřence pro ochranu osobních údajů

Správce osobních údajů jmenoval DPO (Data Protection Officer [pověřenec pro ochranu osobních údajů]). DPO sídlí na adrese společnosti Flix SE, Friedenheimer Brücke 16, 80639 Mnichov, Německo, a lze jej kontaktovat na následující e-mailové adrese:

data.protection@flixbus.com

3. Účely zpracování a právní základ

Správce osobních údajů bude provádět zpracování kategorií osobních údajů uvedených v oddílu 4 za účelem:

a) plnění závazků plynoucích ze smluv uzavíraných s cestujícími nebo některých smluvních závazků vůči cestujícím nebo zvláštních požadavků cestujících učiněných před uzavřením smlouvy.

Právním základem pro zpracování údajů pro tento účel je skutečnost, že jejich zpracování je nezbytné pro splnění smluvního závazku. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. b) nařízení GDPR.

b) vyšetření a řádného vyřešení stížností podaných cestujícím, a to ve všech jejich fázích včetně soudních sporů.

Právním základem pro zpracování údajů pro tento účel je následující:

(i) zpracování údajů je nezbytné pro splnění smluvního závazku. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. b) nařízení GDPR.

(ii) zpracování údajů je nezbytné pro splnění zákonných povinností, kterým společnost FlixBus podléhá. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. c) nařízení GDPR.

(iii) zpracování údajů je nezbytné pro účely oprávněných zájmů sledovaných správcem osobních údajů, tj. práva na vznesení, uplatnění nebo obhajobu právních nároků. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. f) nařízení GDPR.

c) prodeje jednotlivých jízdenek cestujícímu na palubě.

Právním základem pro zpracování údajů pro tento účel je následující:

(i) zpracování údajů je nezbytné pro splnění smluvního závazku nebo zavedení předsmluvních opatření. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. b) nařízení GDPR.

(ii) zpracování údajů je nezbytné pro účely oprávněných zájmů sledovaných správcem osobních údajů, tj. zejména předání platebních údajů poskytovateli platebních služeb ke zpracování platby, kterou jste sjednali. Zákonnost tohoto postupu je dána článkem 6 odst. 1 písm. f) nařízení GDPR.

4. Kategorie zpracovávaných osobních údajů

Osobní údaje zahrnují všechny informace, které se týkají konkrétní nebo identifikovatelné fyzické osoby. Osobní údaje cestujících zpracovávané v souvislosti s účely zpracování uvedenými v oddílu 3 jsou následující:

a) identifikační údaje a kontaktní údaje cestujícího

b) cestovní údaje, druh služby

Pro účely zpracování stížností, jak je uvedeno v oddílu 3b), navíc:

c) datum obdržení veškerých stížností a důvody pro jejich podání uvedené ve formuláři vyplněném cestujícím.

d) veškeré další informace poskytnuté cestujícím spolu se stížností, včetně zvláštních kategorií osobních údajů (např. údajů o zdravotním stavu).

Pro účely uvedené v oddílu 3c) navíc kromě oddílů 4a) a b):

e) platební údaje.

Cestující osobní údaje poskytují dobrovolně. Cestujícího k poskytnutí osobních údajů společnosti Flix neváže žádná zákonná ani smluvní povinnost. Pokud však cestující neposkytne údaje požadované pro účely některých služeb, může se stát, že společnost Flix bude takové služby schopna poskytovat pouze v omezeném rozsahu, případně je nebude schopna poskytovat vůbec.

Pokud jde o osobní údaje, které nemusel poskytnout přímo cestující, společnost Flix takové údaje obecně obdržela v rámci rezervačního procesu na webových stránkách společnosti Flix.

5. Kategorie příjemců

a) Interní správci osobních údajů

Je-li to přípustné, vaše osobní údaje za určitých podmínek poskytujeme subjektům společnosti FlixBus za účelem interního řízení.

Za tímto účelem mohou být osobní údaje předány například společnosti Flix SE, a to na základě oprávněného zájmu správce osobních údajů v rámci jejich zpracování – např. potřeba správného a patřičného zpracování údajů a řešení stížností cestujících. Další podrobnosti naleznete v zásadách ochrany osobních údajů společnosti Flix SE, které jsou k dispozici na následujícím odkazu Ochrana osobních údajů → FlixBus

b) Externí správce osobních údajů

Stejně jako všechny větší společnosti i naše společnost k vyřizování svých obchodních transakcí využívá tuzemské a zahraniční externí poskytovatele služeb a spolupracuje s partnery v tuzemsku i zahraničí.

Patří mezi ně například:

  • partneři v oblasti prodeje
  • provozovatelé obchodů
  • bezpečnostní společnosti
  • další partneři zapojení do obchodních operací naší společnosti (např. Auditoři, banky, pojišťovací společnosti, poskytovatelé platebních služeb, právní zástupci, dozorové úřady, jiné strany podílející se na firemních akvizicích)

c) Interní zpracovatelé osobních údajů

  • poskytovatelé zákaznických služeb (interní)
  • poskytovatelé služeb (IT)

d) Externí zpracovatelé osobních údajů

  • poskytovatelé zákaznických služeb (externí)
  • poskytovatelé služeb (IT)
  • provozní partneři (přehled aktuálních dopravců naleznete zde)

Jestliže příjemci pro naši společnost pracují jako zpracovatelé osobních údajů, uzavíráme s nimi smlouvu a z jejich strany je třeba poskytnout záruky za zavedení vhodných technických a organizačních opatření, plnění zákonných požadavků při zpracování údajů a respektování práv subjektů údajů.

Osobní údaje cestujících jsou přístupné pouze osobám jednajícím jménem správce nebo zpracovatele osobních údajů.

Osobní údaje můžeme rovněž předávat státním orgánům a institucím (např. Policii, státnímu zastupitelství, dozorovým úřadům), pokud v takových případech existuje příslušná povinnost / příslušné povolení.

6. Předávání údajů do zahraničí

V souvislosti se zpracováním osobních údajů, na něž se odkazuje oddíl 3, mohou být tyto předávány do třetí země (zejména do USA). Třetí zemí je země mimo Evropskou unii (EU) a Evropský hospodářský prostor (EHP). V takovém případě vhodnými opatřeními zajišťujeme, aby úroveň ochrany údajů ze strany příjemce / v zemi příjemce nebyla nižší než úroveň ochrany platná v EU/EHP. Vhodnými opatřeními mohou být například:

7. Doba uchovávání údajů a jejich výmaz

Osobní údaje cestujících budou uchovávány pouze po dobu nezbytnou pro účely podle oddílu 3, pro které jsou údaje shromažďovány a následně zpracovávány.

Správce osobních údajů může být v každém případě povinen a/nebo oprávněn uchovávat všechny nebo některé osobní údaje cestujících po delší dobu – mimo jiné za účelem vznesení, uplatnění nebo obhajoby právních nároků v příslušné promlčecí lhůtě.

8. Práva dotčených osob

Cestující jako dotčená osoba má podle nařízení GDPR následující práva:

Právo na informace

Podle čl. 15 nařízení GDPR si cestující může vyžádat informace o svých osobních údajích, jejichž zpracování společnost Flix provádí. Ve své žádosti o informace by cestující měl svůj problém objasnit, aby správci osobních údajů usnadnil shromáždění potřebných údajů. Správce osobních údajů může požadovat informace k potvrzení totožnosti cestujícího, aby se ujistil, že je přístup k osobním údajům oprávněný.

Na požádání správce osobních údajů poskytne cestujícímu kopii údajů, které jsou předmětem zpracování. Za přístup k osobním údajům (nebo za uplatnění jiného práva) není cestujícím účtován žádný poplatek. Společnost Flix však může účtovat přiměřený poplatek, pokud je žádost zjevně neopodstatněná, opakovaná nebo nepřiměřená. Společnost Flix rovněž takové žádosti nemusí vyhovět.

Právo na opravu údajů

Pokud informace týkající se cestujícího nejsou (nebo již nejsou) přesné, cestující může v souladu s čl. 16 nařízení GDPR požádat o opravu. Pokud jsou údaje o cestujících neúplné, cestující může požádat o jejich doplnění.

Právo na výmaz údajů

Cestující může za podmínek čl. 17 nařízení GDPR požadovat vymazání svých osobních údajů. Toto právo na výmaz závisí mimo jiné na tom, zda správce osobních údajů údaje týkající se cestujícího i nadále potřebuje ke splnění svých zákonných povinností.

Právo na omezení zpracování údajů

V rámci požadavků čl. 18 nařízení GDPR má cestující právo požadovat omezení zpracování údajů, které se ho týkají.

Právo na přenositelnost údajů

Podle specifických podmínek čl. 20 nařízení GDPR má cestující právo obdržet údaje, které poskytl správci osobních údajů, ve strukturovaném, běžném a strojově čitelném formátu, případně požadovat, aby byly předány jiné odpovědné straně.

Právo vznést námitku

V souladu s čl. 21 odst. 1 nařízení GDPR má cestující právo kdykoli vznést námitku proti zpracování údajů, které se ho týkají a které byly shromážděny podle čl. 6 odst. 1 písm. f) nařízení GDPR, a to z důvodů vyplývajících z konkrétní situace cestujícího. Poté může zpracování údajů takového cestujícího proběhnout pouze tehdy, je-li společnost Flix schopna prokázat, že pro jejich zpracování existují oprávněné důvody, které mají přednost před zájmy, právy a svobodami cestujícího, nebo v případě, že zpracování slouží ke vznesení, uplatnění nebo obhajobě právních nároků společnosti Flix.

V souladu s čl. 21 odst. 2 nařízení GDPR může cestující kdykoli vznést námitku proti zasílání reklamních sdělení, a to s účinností do budoucna (námitka proti zasílání reklamních sdělení v případě přímé reklamy).

Právo na podání stížnosti

Pokud se cestující domnívá, že správce osobních údajů při zpracování jeho údajů nedodržel předpisy o ochraně osobních údajů, může si na zpracování svých osobních údajů stěžovat u dozorového úřadu pro ochranu osobních údajů.

Právo na odvolání souhlasu (pokud byl poskytnut)

Cestující může souhlas se zpracováním svých údajů kdykoli v budoucnu odvolat. Zákonnost zpracování údajů na základě souhlasu před jeho odvoláním zůstává tímto odvoláním nedotčena.

Toto rovněž platí pro prohlášení o souhlasu poskytnutá před účinností nařízení GDPR, tj. před 25. 5. 2018.

Cestující jakožto dotčená osoba může svá práva vůči správci osobních údajů uplatnit kdykoli, a to zejména prostřednictvím kontaktních údajů uvedených v oddílech 1 a 2 výše.

9. Úpravy

V tomto oznámení o ochraně osobních údajů mohou být příležitostně prováděny úpravy z důvodu zavádění nových účelů a metod zpracování údajů. Správce osobních údajů bude cestující podle svého uvážení o všech takových změnách včas a vhodným způsobem informovat.

Verze 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is Flixbus CZ s.r.o., Havlíčkova 1029/3, Nové Město, 110 00 Praha 1, servis@flixbus.cz (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0