Hoppa till huvudinnehåll

Sekretesspolicy

I enlighet med EU-förordningen 2016/679 (”GDPR”) (General Data Protection Regulation [allmän dataskyddsförordning]) beskriver informationen nedan behandlingen och ändamålet med behandlingen av passagerares personuppgifter (”passagerare”).

Alla termer som används i detta sekretessmeddelande och som inte uttryckligen definieras häri ska ha den betydelse som anges i GDPR.

1. Kontaktuppgifter till personuppgiftsansvarig

Personuppgiftsansvarig är FlixBus Sverige AB, Sveavägen 155, 113 46 Stockholm, Sverige (”FlixTrain” eller ”personuppgiftsansvarig”).

2. Kontaktuppgifter till dataskyddsombud

Den personuppgiftsansvarige har utsett ett dataskyddsombud som har adress Flix SE, Friedenheimer Brücke 16, 80639 München, Tyskland och kan kontaktas på följande e-postadress:

data.protection@flixbus.com

3. Ändamål och rättslig grund för behandling

Den personuppgiftsansvarige ska behandla de kategorier av personuppgifter som avses i Avsnitt 5 för att:

a. fullgöra de skyldigheter som framgår av avtalet som tecknats med resenären eller vissa avtalsenliga skyldigheter gentemot resenären eller särskilda önskemål som resenären framfört innan avtalet tecknades.

Den rättsliga grunden för behandling är att fullgöra en avtalsenlig skyldighet, Artikel 6 1. b) i GDPR.

b. undersöka och på lämpligt sätt hantera ett klagomål som passageraren lämnat in, i alla dess skeden, inklusive eventuella rättstvister.

De rättsliga grunderna för behandlingen är (i) fullgöra en avtalsenlig skyldighet (ii) de rättsliga förpliktelser som FlixBus är föremål för (iii) de berättigade intressen som den personuppgiftsansvarige eftersträvar, dvs. rätten att fastställa, utöva eller försvara rättsliga anspråk, Artikel 6 1. b) c) och f) i GDPR.

c. i förekommande fall sälja biljetter till passagerare ombord.

Den rättsliga grunden för behandlingen är (i) att fullgöra en avtalsenlig skyldighet eller för att implementera åtgärder innan avtalet ingås (ii) de berättigade intressen som den personuppgiftsansvarige eftersträvar, dvs. i synnerhet vidarebefordran av betalningsuppgifter till betaltjänstleverantören för behandling av den betalning du har arrangerat, Artikel 6 1. b) och f) i GDPR.

Se Avsnitt 6 för datalagringstid.

4. Kategorier av mottagare

a. Interna personuppgiftsansvariga
Under vissa omständigheter delar vi dina personuppgifter inom FlixBus företag för ändamålet intern administration, i den mån detta är tillåtet.

Personuppgifter kan till exempel vidarebefordras till Flix SE för ändamålet intern administration på grundval av det berättigade intresse som den personuppgiftsansvarige har för behandlingen – t.ex. behovet av korrekt och lämplig behandling och hantering av passagerarklagomål. Ytterligare information finns även i Flix SE sekretesspolicy på följande länk: [Sekretess→ FlixBus]

b. Extern personuppgiftsansvarig
Precis som alla större företag använder vi även externa inhemska och utländska tjänsteleverantörer för att hantera våra affärstransaktioner och arbetar med inhemska och utländska partnerföretag. Dessa inkluderar, till exempel:

  • försäljningspartner

  • våra butiker

  • säkerhetsföretag

  • andra partner som anlitas för vår affärsverksamhet (t.ex. revisorer, banker, försäkringsbolag, advokater, tillsynsmyndigheter och andra parter som deltar i företagsförvärv)

  • För säker behandling av betalningen som du har arrangerat när du köper biljetter ombord på tåget kommer de nödvändiga betalningsuppgifterna att vidarebefordras till vår betaltjänstleverantör

    Adyen N.V.
    Simon Carmiggeltstraat 6-50, 1011 DJ, Nederländerna
    Sekretesspolicy:
    https://www.adyen.com/policies-and-disclaimer/privacy-policy.

c. Interna personuppgiftsbiträden

  • kundtjänstleverantörer (interna)
  • (IT-) tjänsteleverantörer

d. Externa personuppgiftsbiträden

  • kundtjänstleverantörer (externa)
  • (IT-) tjänsteleverantörer
  • operativa partner

I den utsträckning mottagarna arbetar för oss som personuppgiftsbiträden ingår vi ett avtal med dem och de måste ge garantier för att lämpliga tekniska och organisatoriska åtgärder finns på plats, att behandlingen uppfyller juridiska krav och att de registrerades rättigheter respekteras.

Passagerares personuppgifter är endast tillgängliga för personer som agerar på uppdrag av den personuppgiftsansvarige eller personuppgiftsbiträdet.

Vi överför personuppgifter till offentliga organ och institutioner (t.ex. polis, åklagarmyndigheten, tillsynsmyndigheter) om det finns motsvarande skyldighet/tillstånd.

5. Kategorier av personuppgifter som behandlas

De personuppgifter som behandlas i förbindelse med de behandlingsändamål som anges i Avsnitt 3 a. följande:

a. identifikations- och kontaktuppgifter

b. reseuppgifter, typ av tjänst

För de ändamål som anges i Avsnitt 3 b. utöver 5 a. och b.:

c. datum för mottagande av klagomålet, orsak till klagomålet enligt den blankett som passageraren har fyllt i

d. alla ytterligare uppgifter som passageraren tillhandahåller tillsammans med klagomålet, inklusive, i förekommande fall, särskilda kategorier av personuppgifter (t.ex. hälsouppgifter).

För det ändamål som anges under 3 c. utöver 5 a. och b.:

e. betalningsuppgifter

Det är frivilligt för dig som passagerare att lämna dina personuppgifter: i princip förekommer det inte någon lagstadgad eller avtalsenlig skyldighet för dig att förse oss med dina personuppgifter, men vi kan endast ge vissa erbjudanden i begränsad utsträckning, eller ens alls, om du inte tillhandahåller de personuppgifter som krävs för detta.

6. Datakälla

Om personuppgifterna inte kommer direkt från dig har vi i princip fått dem som en del av din bokningsprocess på FlixBus webbplats, Flix SE, Friedenheimerbrücke 16, 80639 München, Tyskland.

7. Lagring av uppgifter

Passagerares personuppgifter kommer att raderas eller blockeras så snart ändamålet för vilket uppgifterna samlas in och därefter behandlas har uppfyllts.

Detta gäller vanligtvis för ändamålet fullgörandet av avtal. Längre lagringstider kan dock förekomma om vi måste iaktta vissa arkiveringsperioder, t.ex. enligt skattelagstiftningen (7 år).

Under alla omständigheter kan den personuppgiftsansvarige vara skyldig och/eller ha rätt att arkivera passagerares personuppgifter helt eller delvis under en längre tid – till exempel, men inte uteslutande, för upprättande, utövande eller försvar av rättsliga anspråk inom den tillämpliga preskriptionstiden.

8. Överföring av uppgifter till ett tredje land

I samband med den behandling som avses i Avsnitt 3 kan personuppgifter överföras till ett tredje land (framför allt till USA). Ett tredje land är ett land utanför den Europeiska unionen (EU) och utanför det Europeiska ekonomiska samarbetsområdet (EES). I dessa fall säkerställer vi genom lämpliga åtgärder att dataskyddsnivån hos mottagaren/mottagarlandet inte är lägre än den dataskyddsnivå som gäller i EU/EES. Lämpliga åtgärder kan exempelvis vara:

9. Dina rättigheter som registrerad

Du kan när som helst utöva dina rättigheter som registrerad med avseende på dina personuppgifter. Använd kontaktuppgifterna som anges i Avsnitt 2. Registrerade har följande rättigheter enligt GDPR:

Rätt till information

I enlighet med Artikel 15 i GDPR kan du begära information om dina personuppgifter som behandlas av oss. I din begäran om information ska du klargöra ditt ärende för att göra det lättare för oss att sammanställa nödvändiga uppgifter. På begäran skickar vi dig en kopia av de uppgifter som är föremål för behandlingen. Observera att din rätt till information kan vara begränsad under vissa omständigheter i enlighet med de lagstadgade bestämmelserna.

Rätt till rättelse

Om dina uppgifter inte (längre) är korrekta, kan du begära en rättelse i enlighet med Artikel 16 i GDPR. Om dina uppgifter är ofullständiga kan du begära att de kompletteras.

Rätt till radering

Du kan begära att dina personuppgifter raderas i enlighet med bestämmelserna i Artikel 17 i GDPR. Din rätt till radering beror bland annat på om dina personuppgifter fortfarande erfordras för att vi ska kunna utföra våra lagstadgade skyldigheter.

Rätt till begränsning av behandling

I enlighet med bestämmelserna i Artikel 18 i GDPR har du rätt att kräva att behandlingen av dina personuppgifter begränsas.

Rätt till dataportabilitet

I enlighet med bestämmelserna i Artikel 20 i GDPR har du rätt att erhålla de personuppgifter som du har lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format, eller att begära överföring till en annan personuppgiftsansvarig.

Rätt att göra invändningar

I enlighet med Artikel 21 1. i GDPR har du rätt att när som helst invända mot behandlingen av dina personuppgifter av skäl som hänför sig till din specifika situation. Du kan när som helst invända mot att i framtiden ta emot reklam, i enlighet med Artikel 21 2. i GDPR (invändning mot reklam vid direkt marknadsföring).

Rätt att klaga

Om du anser att vår behandling av dina personuppgifter strider mot dataskyddsförordningen, kan du lämna in ett klagomål till en tillsynsmyndighet för dataskydd om behandlingen av dina personuppgifter.

Rätt att återkalla samtycke (i den utsträckning det givits)

Du kan när som helst återkalla ditt samtycke till framtida behandling av dina uppgifter utan att det påverkar lagligheten av behandlingen baserat på ditt samtycke innan det återkallades. Detta gäller även samtyckesförklaringar som utfärdats innan GDPR trädde i kraft, dvs. före 2018-05-25.

10. Ändring

Detta sekretessmeddelande kan ändras från tid till annan på grund av införandet av nya ändamål och behandlingsmetoder. Den personuppgiftsansvarige kommer att efter eget gottfinnande informera passagerarna om detta, i god tid och på lämpligt sätt.