Mine põhisisu juurde

Privaatsuspõhimõtted

For English, click here.

Nagu nõutud EL-i määrusega 2016/679 („isikuandmete kaitse üldmäärus“), kirjeldab järgmine teave seda, kuidas Flix reisijate („reisijad“) isikuandmeid töötleb ja mis eesmärgil.

Kõik käesolevates privaatsuspõhimõtetes kasutatavad terminid, mis ei ole sõnaselgelt määratletud, on tähendusega, mis on neile omistatud isikuandmete kaitse üldmääruses.

1. Vastutava töötleja kontaktandmed

Vastutav töötleja on Flixbus Estonia OÜ, registrikood 14868446, aadress Maakri tn 19/1, 10145 Tallinn, Eesti („Flix“ või „vastutav töötleja“).

2. Andmekaitseametniku kontaktandmed

Vastutav töötleja on määranud andmekaitseametniku. Andmekaitseametnik töötab Flix SE kontoris aadressil Friedenheimer Brücke 16, 80639 München, Saksamaa, ja temaga saab ühendust võtta järgmise e-posti aadressi kaudu:

data.protection@flixbus.com

3. Töötlemise eesmärgid ja õiguslik alus

Vastutav töötleja töötleb 4. punktis nimetatud isikuandmete liike järgmistel eesmärkidel.

a) Selleks, et täita oma kohustusi, mis tulenevad reisijatega sõlmitud lepingutest, või teatud lepingulisi kohustusi reisijate ees või reisijate erisoove, mis on esitatud enne lepingu lõppemist.

Sel eesmärgil andmete töötlemise õiguslik alus on see, et see on vajalik lepinguliste kohustuste täitmiseks. See on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile b.

b) Selleks, et uurida ja asjakohaselt käsitleda reisija esitatud kaebusi kõigis selle etappides, sealhulgas mis tahes kohtuvaidluste ajal.

Sel eesmärgil andmete töötlemise õiguslik alus on järgmine.

(i) Töötlemine on vajalik lepinguliste kohustuste täitmiseks. See on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile b.

(ii) Töötlemine on vajalik FlixBusi juriidiliste kohustuste täitmiseks. Seda on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile c.

(iii) Töötlemine on vajalik vastutava töötleja õigustatud huvide kaitsmiseks – s.o õigus esitada, kasutada või kaitsta õiguslikke nõudeid. Seda on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f.

c) Selleks, et müüa pileteid reisijale pardal üksikjuhtudel.

Sel eesmärgil andmete töötlemise õiguslik alus on järgmine.

(i) Töötlemine on vajalik lepinguliste kohustuste täitmiseks või lepingueelsete meetmete võtmiseks. See on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile b.

(ii) Töötlemine on vajalik vastutava töötleja õigustatud huvide kaitsmiseks – s.o ennekõike makseandmete edastamiseks makseteenuse pakkujale teie korraldatud makse töötlemiseks. Seda on seadusega lubatud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f.

4. Töödeldavate isikuandmete liigid

Isikuandmed hõlmavad kõiki andmeid, mis viitavad konkreetsele või tuvastatavale füüsilisele isikule. Punktis 3 nimetatud töötlemise eesmärkidega seoses töödeldavate reisijate isikuandmed on järgmised:

a) reisija identifitseerimisandmed ja kontaktandmed;

b) reisi andmed, teenuse liik.

Punktis 3 b) nimetatud kaebuste menetlemise kohta lisaks:

c) kaebuse kättesaamise kuupäev ja reisija täidetud vormis esitatud kaebuse põhjused;

d) mis tahes lisateave, mis reisija koos kaebusega esitas, sealhulgas vajaduse korral isikuandmete eriliigid (nt terviseandmed).

Punktis 3 c) nimetatud eesmärgil lisaks punktidele 4 a, b:

e) makseandmed.

Reisijatele on isikuandmete esitamine vabatahtlik. Reisijal puudub seaduslik või lepinguline kohustus esitada Flixile isikuandmeid. Flix võib siiski pakkuda teatud teenuseid ainult piiratud ulatuses või üldse mitte, kui reisija ei esita selleks vajalikke andmeid.

Need isikuandmed, mis pole saadud otse reisijalt, on Flix saanud üldjuhul Flixi veebisaidi kaudu tehtud broneeringutelt.

5. Vastuvõtjate kategooriad

a) Sisesed vastutavad töötlejad

Teatud tingimustel võime jagada teie isikuandmeid FlixBusi kontserni ettevõtetega sisejuhtimise eesmärgil, kui see on lubatud.

Näiteks võidakse isikuandmeid edastada Flix SE-le sisejuhtimise eesmärgil, mille aluseks on vastutava töötleja õigustatud huvi – nt vajadus reisija kaebuse nõuetekohaseks ja sobivaks töötlemiseks ning käitlemiseks. Lisateavet leiate Flix SE privaatsuspõhimõtetest järgmiselt lingilt Andmete puutumatus → FlixBus

b) Välised vastutavad töötlejad

Nagu iga suurettevõte, kasutame ka meie sise- ja välismaiseid teenuse pakkujaid, kes haldavad meie äritehinguid ning teevad koostööd partnerettevõtetega kodus ja välismaal.

See hõlmab näiteks:

  • müügipartnereid;
  • töökodade operaatoreid;
  • turvafirmasid;
  • teisi meie äritegevusega seotud partnereid (nt audiitorid, pangad, kindlustusfirmad, makseteenuse pakkujad, advokaadid, järelevalveasutused, teised ettevõtte ülevõtmisega seotud isikud).

c) Sisesed volitatud töötlejad

  • klienditeeninduse pakkujaid (kontsernisisesed);
  • (IT) teenusepakkujaid.

d) Välised volitatud töötlejad

  • klienditeeninduse pakkujad (välised)
  • (IT) teenusepakkujaid.
  • veoettevõtted (ülevaate praegustest veoettevõtetest leiate siit).

Kui vastuvõtjad töötavad meie heaks volitatud töötlejatena, sõlmime nendega lepingu ja nad peavad andma kinnitused, et neil on olemas asjakohased tehnilised ja korralduslikud meetmed, millega tagada, et töötlemine vastab õiguslikele nõuetele ning andmesubjektide õigusi ei rikutaks.

Reisijate isikuandmed on kättesaadavad ainult vastutava töötleja või volitatud töötleja nimel tegutsevatele isikutele.

Samuti võime edastada asjakohase kohustuse/volituse alusel isikuandmeid avalikele asutustele ja institutsioonidele (nt politsei, prokuratuur, järelevalveasutused).

6. Andmete edastamine välismaale

Seoses punktis 3 osutatud töötlemisega võidakse isikuandmeid edastada kolmandasse riiki (eelkõige USA-sse). Kolmas riik on riik väljaspool Euroopa Liitu (EL) ja väljaspool Euroopa Majanduspiirkonda (EMP). Sellisel juhul tagame sobivate meetmete võtmise abil, et vastuvõtja või tema riigi andmekaitse tase ei ole madalam kui EL-is/EMP-s kohaldatav kaitsetase. Sobivad meetmed võivad olla näiteks:

7. Andmete säilitamise kestus ja kustutamine

Reisijate isikuandmeid säilitatakse ainult senikaua, kuni see on vajalik punktis 3 nimetatud eesmärkide täitmiseks, mille jaoks andmeid kogutakse ja töödeldakse.

Igal juhul võib vastutav töötleja olla kohustatud ja/või õigustatud säilitama reisijate isikuandmeid tervikuna või osaliselt pikema aja jooksul – muu hulgas nt õigusnõuete koostamiseks, esitamiseks või kaitsmiseks vastava asjaomase aegumistähtaja jooksul.

8. Mõjutatud isikute õigused

Isikuandmete kaitse üldmääruse kohaselt on reisijal mõjutatud isikuna järgmised õigused.

Õigus saada teavet

Reisija võib isikuandmete kaitse üldmääruse artikli 15 alusel küsida teavet Flixi töödeldavate isikuandmete kohta. Reisija peaks teabenõudes selgitama oma muret, et vastutaval töötlejal oleks lihtsam vajalikud andmed kokku koguda. Vastutav töötleja võib küsida teavet reisija isiku tuvastamiseks tagamaks, et tal on õigus isikuandmetega tutvuda.

Nõudmisel esitab vastutav töötleja reisijale koopia töötlemisele kuuluvatest andmetest. Reisija ei pea maksma oma isikuandmetega tutvumise eest (ega muude õiguste kasutamiseks). Flix võib siiski nõuda mõistlikku tasu, kui taotlus on selgelt põhjendamatu, korduv või ülemäärane. Samuti võib Flix keelduda selliste taotluste täitmisest.

Õigus andmete parandamisele

Kui reisija andmed ei ole (või ei ole enam) täpsed, võib reisija nõuda nende parandamist vastavalt isikuandmete kaitse üldmääruse artiklile 16. Kui reisija andmed on puudulikud, võib reisija nõuda nende täitmist.

Õigus kustutamisele

Reisija võib nõuda oma isikuandmete kustutamist vastavalt isikuandmete kaitse üldmääruse artiklile 17. See õigus andmete kustutamisele sõltub muu hulgas sellest, kas vastutav töötleja vajab ikka veel reisijat puudutavaid andmeid oma juriidiliste kohustuste täitmiseks.

Õigus andmete töötlemise piiramisele

Isikuandmete kaitse üldmääruse artikli 18 nõuete kohaselt on reisijal õigus taotleda reisija andmete töötlemise piiramist.

Andmete ülekandmise õigus

Vastavalt isikuandmete kaitse üldmääruse artiklile 20 on reisijal õigus saada andmeid, mis reisija on vastutavale töötlejale esitanud, struktureeritud, levinud ja masinloetaval kujul, või taotleda nende edastamist teisele vastutavale isikule.

Õigus esitada vastuväiteid

Vastavalt isikuandmete kaitse üldmääruse artikli 21 lõikele 1 on reisijal õigus igal ajal esitada vastuväiteid selliste temaga seotud andmete töötlemisele, mis on kogutud vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f, reisija konkreetsest olukorrast tulenevatel põhjustel. Hiljem saab selle reisija andmeid töödelda ainult siis, kui Flix suudab tõendada, et töötlemiseks on õigustatud põhjused, mis on ülimuslikud reisija huvide, õiguste ja vabaduste suhtes, või kui töötlemine on vajalik Flixi õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Vastavalt isikuandmete kaitse üldmääruse artikli 21 lõikele 2 võib reisija igal ajal vaidlustada reklaamsõnumite saamise (keelduda reklaamist otsereklaami puhul).

Õigus esitada kaebusi

Kui reisija leiab, et vastutav töötleja ei ole tema andmete töötlemisel järginud isikuandmete kaitse alaseid õigusakte, võib ta esitada kaebuse oma isikuandmete töötlemise kohta andmekaitse järelevalveasutusele, kelleks on Eestis Andmekaitse Inspektsioon (veebisait: www.aki.ee).

Õigus nõusolek tagasi võtta (kui see on antud)

Reisija võib oma andmete töötlemiseks antud nõusoleku tulevikus igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta sellise nõusolekul põhineva töötlemise seaduslikkust, mis toimus enne tagasivõtmist.

See kehtib ka nõusolekuavalduste korral enne isikuandmete kaitse üldmääruse jõustumist, s.o enne 25.05.2018.

Mõjutatud isikuna võib reisija igal ajal kehtestada oma õigusi vastutava töötleja vastu, kasutades eelkõige eespool punktides 1 ja 2 toodud kontaktandmeid.

9. Muutmine

Seda privaatsusteatist võidakse aeg-ajalt muuta, kui on kasutusele võetud uued töötlemise eesmärgid ja meetodid. Vastutav töötleja teavitab reisijaid omal äranägemisel sellistest muudatustest õigeaegselt ja asjakohaselt.

Versioon 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is Flixbus Estonia OÜ, registry code 14868446, address Maakri tn 19/1, 10145 Tallinn, Estonia (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority, Estonian Data Protection Inspectorate (website: www.aki.ee).

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0