Ga naar hoofdinhoud

Privacybeleid

For English, click here.

De onderstaande informatie beschrijft de verwerkingen en het doel van de verwerking van de persoonsgegevens van passagiers (“Passagiers”) bij Flix conform de voorschriften van EU-verordening 2016/679 (“AVG”).

Alle termen die in dit Privacybeleid worden gebruikt en die niet expliciet worden gedefinieerd, hebben de betekenis zoals bepaald in de AVG.

1. Contactgegevens van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is FlixBus B.V., Weesperstraat 61, 1018 VN Amsterdam, Nederland (“Flix” of “Verwerkingsverantwoordelijke”).

2. Contactgegevens van de functionaris voor gegevensverwerking

De Verwerkingsverantwoordelijke heeft een functionaris voor gegevensbescherming (Data Protection Officer, DPO) aangewezen. De DPO is gevestigd ten kantore van Flix SE, Friedenheimer Brücke 16, 80639 München, Duitsland, en is te bereiken via het volgende e-mailadres:

data.protection@flixbus.com

3. Doeleinden van verwerking en rechtsgrond

De Verwerkingsverantwoordelijke verwerkt de categorieën van persoonsgegevens waarnaar wordt verwezen in Sectie 4 teneinde:

a) de contractuele verplichtingen na te komen die met de passagiers zijn aangegaan, of te voldoen aan bepaalde contractuele verplichtingen jegens de passagiers of speciale verzoeken van de passagiers die vóór de sluiting van het contract zijn aangegaan of gedaan.

De rechtsgrond voor het verwerken van gegevens voor dit doeleinde is dat verwerking noodzakelijk is voor de nakoming van een contractuele verplichting. Dit is rechtmatig op grond van artikel 6 lid 1 onder b van de AVG.

b) klachten die door de passagier zijn ingediend te onderzoeken en op de juiste manier af te handelen in elk stadium van de klacht, waaronder eventuele rechtszaken.

De rechtsgrond voor verwerking van gegevens voor dit doeleinde is als volgt:

(i) verwerking is noodzakelijk voor de nakoming van een contractuele verplichting. Dit is rechtmatig op grond van artikel 6 lid 1 onder b van de AVG.

(ii) verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan FlixBus is onderworpen. Dit is rechtmatig op grond van artikel 6 lid 1 onder c van de AVG.

(iii) verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, namelijk het recht om een rechtsvordering vast te stellen, uit te oefenen of te onderbouwen. Dit is rechtmatig op grond van artikel 6 lid 1 lid f van de AVG.

c) in individuele gevallen, de passagier aan boord tickets te verkopen.

De rechtsgrond voor verwerking van gegevens voor dit doeleinde is als volgt:

(i) verwerking is noodzakelijk voor de nakoming van een contractuele verplichting of voor de uitvoering van precontractuele maatregelen. Dit is rechtmatig op grond van artikel 6 lid 1 onder b van de AVG.

(ii) verwerking is noodzakelijk voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, met name het doorsturen van betalingsgegevens naar de betalingsdienstaanbieder voor het verwerken van de betaling waar u opdracht voor hebt gegeven. Dit is rechtmatig op grond van artikel 6 lid 1 lid f van de AVG.

4. Categorieën van persoonsgegevens die worden verwerkt

Met persoonsgegevens wordt alle informatie bedoeld die verwijst naar een specifieke of identificeerbare natuurlijke persoon. De persoonsgegevens van passagiers die worden verwerkt in verband met de verwerkingsdoeleinden vermeld in onderdeel 3 zijn de volgende:

a) identificatiegegevens en contactgegevens van de passagier.

b) reisgegevens, type dienst.

Voor de in onderdeel 3 b) genoemde behandeling van klachten aanvullend:

c) de datum van ontvangst van eventuele klachten evenals de gronden voor de klacht zoals aangegeven op het door de passagier ingevulde formulier.

d) alle aanvullende informatie die de passagier samen met een klacht heeft verstrekt, met inbegrip van, indien van toepassing, bijzondere categorieën van persoonsgegevens (bijv. gegevens met betrekking tot gezondheid).

Voor het doeleinde vermeld onder onderdeel 3 c) in aanvulling op onderdeel 4 a, b:

e) betalingsgegevens

Het verstrekken van persoonsgegevens door passagiers gebeurt vrijwillig. De passagier is niet wettelijk of contractueel verplicht om persoonsgegevens aan Flix te verstrekken. Echter, Flix kan bepaalde diensten slechts in beperkte mate of helemaal niet verlenen als de passagier de voor dit doel vereiste gegevens niet verstrekt.

Voor zover de persoonsgegevens mogelijk niet rechtstreeks door de passagier zelf zijn verstrekt, heeft Flix deze gegevens over het algemeen ontvangen als onderdeel van het boekingsproces op de website van Flix.

5. Categorieën van ontvangers

a) Interne verwerkingsverantwoordelijken

Onder bepaalde voorwaarden delen we persoonsgegevens over u met het oog op intern beheer binnen de bedrijven van FlixBus, voor zover dit is toegestaan.

Persoonsgegevens kunnen op grond van het gerechtvaardigde belang van de verwerkingsverantwoordelijke bijvoorbeeld ook worden doorgestuurd naar Flix SE met het oog op intern beheer - bijv. in het kader van correcte en passende verwerking en afhandeling van passagiersklachten. Meer informatie is ook te vinden in het privacybeleid van Flix SE via de volgende link Gegevensprivacy → FlixBus

b) Externe verwerkingsverantwoordelijke

Net als elk groot bedrijf maken wij ook gebruik van externe dienstverleners in het binnen- en buitenland om onze zakelijke transacties af te handelen, en werken we samen met partnerbedrijven in het binnen- en buitenland.

Hieronder vallen bijvoorbeeld:

  • verkooppartners
  • winkelexploitanten
  • beveiligingsbedrijven
  • andere partners die betrokken zijn bij onze bedrijfsactiviteiten (bijv. auditors, banken, verzekeringsmaatschappijen, betalingsdienstaanbieders, advocaten, toezichthoudende autoriteiten, andere partijen die deelnemen aan bedrijfsovernames)

c) Interne verwerkers

  • leveranciers van klantenservice (intern)
  • (IT-)dienstverleners

d) Externe verwerkers

  • leveranciers van klantenservice (extern)
  • (IT-)dienstverleners
  • vervoerders (u vindt hier een overzicht van de huidige vervoerders)

Voor zover de ontvangers voor ons als verwerkers werkzaam zijn, gaan wij een overeenkomst met ze aan en moeten zij kunnen garanderen dat ze passende technische en organisatorische maatregelen hebben getroffen, dat de verwerking voldoet aan de wettelijke vereisten en dat de rechten van de betrokkenen worden gerespecteerd.

Persoonsgegevens van passagiers zijn alleen toegankelijk voor personen die handelen namens de verwerkingsverantwoordelijke of de verwerker.

We kunnen persoonsgegevens ook doorgeven aan openbare instanties en instellingen (bijv. politie, het openbaar ministerie, toezichthoudende autoriteiten) als hiervoor een overeenkomstige verplichting/toestemming is.

6. Overdracht van gegevens naar het buitenland

In verband met de verwerking waarnaar wordt verwezen in onderdeel 3, kunnen persoonsgegevens worden overgedragen naar een derde land (in het bijzonder de VS). Een derde land is een land buiten de Europese Unie (EU) en buiten de Europese Economische Ruimte (EER). In dit geval zorgen we er door middel van passende maatregelen voor dat het niveau van gegevensbescherming van de ontvanger/het ontvangende land niet lager is dan het niveau van bescherming in de EU/EER. Geschikte maatregelen kunnen bijvoorbeeld zijn:

7. Duur van gegevensopslag en verwijdering

De persoonsgegevens van passagiers worden niet langer opgeslagen dan nodig is voor de doeleinden genoemd in onderdeel 3 waarvoor de gegevens worden verzameld en vervolgens verwerkt.

De verwerkingsverantwoordelijke kan in elk geval verplicht en/of gerechtigd zijn om de persoonsgegevens van de passagiers geheel of gedeeltelijk te bewaren gedurende een langere periode - bijvoorbeeld, maar niet uitsluitend, voor het vaststellen, uitoefenen of onderbouwen van rechtsvorderingen binnen de toepasselijke verjaringstermijn.

8. Rechten van betrokken personen

De passagier heeft als betrokken persoon volgens de AVG de volgende rechten:

Recht op informatie

De passagier kan op grond van artikel 15 van de AVG, informatie opvragen over zijn persoonsgegevens die door Flix zijn of worden verwerkt. De passagier dient het verzoek om informatie zo duidelijk mogelijk formuleren om het voor de verwerkingsverantwoordelijke eenvoudiger te maken om de benodigde gegevens samen te stellen. De Verwerkingsverantwoordelijke kan informatie nodig hebben ter bevestiging van de identiteit van de passagier om er zeker van te zijn dat hij/zij recht heeft op toegang tot de persoonsgegevens.

Op verzoek zal de verwerkingsverantwoordelijke aan de passagier een kopie verstrekken van de gegevens die het onderwerp zijn van de verwerking. Passagiers hoeven geen vergoeding te betalen voor toegang tot hun persoonsgegevens (of voor de uitoefening van een van de andere rechten). Flix kan echter een redelijke vergoeding in rekening brengen wanneer het verzoek duidelijk ongegrond, repetitief of buitensporig is. Flix kan ook weigeren om aan een dergelijk verzoek te voldoen.

Recht op rectificatie

Als de informatie over de passagier niet (meer) juist is, kan de passagier een correctie aanvragen overeenkomstig artikel 16 van de AVG. Als de gegevens van de passagiers onvolledig zijn, kan de passagier verzoeken dat deze worden vervolledigd.

Recht op wissing

De passagier kan eisen dat zijn persoonsgegevens worden gewist conform de voorwaarden van artikel 17 van de AVG. Dit recht op wissing hangt onder meer af van de vraag of de verwerkingsverantwoordelijke de gegevens over de passagier nog steeds nodig heeft om zijn wettelijke verplichtingen na te komen.

Recht op beperking van de verwerking

In het kader van de voorwaarden in artikel 18 van de AVG heeft de passagier het recht om een beperking van de verwerking van zijn gegevens aan te vragen.

Recht op overdraagbaarheid van gegevens

Onder de specificaties van artikel 20 van de AVG heeft de passagier het recht om de gegevens die de passagier aan de verwerkingsverantwoordelijke heeft verstrekt, te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, of om te eisen dat deze worden overgedragen aan een andere verantwoordelijke partij.

Recht op bezwaar

Overeenkomstig artikel 21 lid 1 van de AVG heeft de passagier het recht om op elk moment bezwaar te maken tegen de verwerking van gegevens die op hem betrekking hebben en die zijn verzameld op grond van artikel 6 lid 1 onder f van de AVG, om redenen die voortvloeien uit de specifieke situatie van de passagier. Daarna kan de verwerking van de gegevens van die passagier alleen plaatsvinden als Flix kan bewijzen dat hier gegronde redenen voor zijn, die voorrang hebben op de belangen, rechten en vrijheden van de passagier, of wanneer de verwerking nodig is voor de vaststelling, uitoefening of onderbouwing van rechtsvorderingen door Flix.

Overeenkomstig artikel 21 lid 2 van de AVG kan de passagier te allen tijde bezwaar maken tegen benadering voor reclamedoeleinden met werking voor de toekomst (bezwaar tegen advertenties in het geval van direct advertising).

Klachtrecht

Indien de passagier van mening is dat de verwerkingsverantwoordelijke bij de verwerking van zijn gegevens niet heeft voldaan aan de verordeningen voor gegevensbescherming, kan de passagier een klacht indienen bij een toezichthoudende autoriteit voor gegevensbescherming over de verwerking van zijn persoonsgegevens.

Recht om toestemming in te trekken (indien verstrekt)

De passagier kan de toestemming voor de verwerking van zijn gegevens op elk moment voor de toekomst intrekken. De rechtmatigheid van de verwerking op basis van de toestemming voorafgaand aan de intrekking blijft onaangetast door de intrekking.

Dit geldt ook voor verklaringen van toestemming die zijn afgegeven voordat de AVG van kracht werd, d.w.z. vóór 25.05.2018.

De passagier kan zijn rechten als betrokken persoon op elk moment jegens de Verwerkingsverantwoordelijke uitoefenen, met name door gebruik te maken van de contactgegevens die in de onderdelen 1 en 2 hierboven zijn vermeld.

9. Wijziging

Deze Privacyverklaring kan van tijd tot tijd worden gewijzigd vanwege de introductie van nieuwe doeleinden en verwerkingsmethoden. De Verwerkingsverantwoordelijke zal de passagiers naar eigen goeddunken tijdig en op passende wijze informeren over dergelijke wijzigingen.

Versie 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is FlixBus B.V., Weesperstraat 61, 1018 VN Amsterdam, Netherlands (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0