Ugrás a fő tartalomhoz

Adatvédelmi szabályzat

For English, click here.

A 2016/679/EU rendelet („GDPR”) előírásainak megfelelően, az alábbi információk ismertetik a Flix társasággal utazók („Utasok”) személyes adatainak kezelését és az adatkezelés célját.

A jelen Adatvédelmi szabályzatban használt minden olyan kifejezés, amely a jelen dokumentumban nincs kifejezetten meghatározva, a GDPR-ban meghatározott jelentéssel bír.

1. Az adatkezelő elérhetőségei

Az adatkezelő a Flixbus Hungary Korlátolt Felelősségű Társaság, Haller Gardens „A” épület 3. emelet. 1095, Soroksári út 30-34, Budapest, szolgaltatas@flixbus.hu („Flix” vagy „Adatkezelő”).

2. Az adatvédelmi tisztviselő elérhetőségei

Az Adatkezelő kijelölt egy adatvédelmi tisztviselőt (Data Protection Officer, DPO). A DPO székhelye a Flix SE, Friedenheimer Brücke 16, 80639 München, Németország, címen működő irodában található, és a következő e-mail-címen érhető el:

data.protection@flixbus.com

3. Az adatkezelés céljai és jogalapja

Az Adatkezelő az alábbi célokból kezeli a 4. pontban említett személyes adatok különböző kategóriáit:

a) az utasokkal szemben vállalt szerződéses kötelezettségek vagy az utasokkal szemben fennálló bizonyos szerződéses kötelezettségek, illetve az utasoknak a szerződés megkötése előtt megfogalmazott különleges kéréseinek teljesítése.

Az ilyen célból történő adatkezelés jogalapja valamely szerződéses kötelezettség teljesítése. Ez a GDPR 6. cikk 1. b) pontja alapján jogszerűnek minősül.

b) az utas által benyújtott panaszok kivizsgálása és megfelelő kezelése a panaszkezelési eljárás valamennyi szakaszában, beleértve a peres eljárásokat is.

Az ilyen célból történő adatkezelés jogalapja a következő:

(i) az adatkezelés valamely szerződéses kötelezettség teljesítése érdekében szükséges. Ez a GDPR 6. cikk 1. b) pontja alapján jogszerűnek minősül.

(ii) az adatkezelés a FlixBusra vonatkozó jogi kötelezettségek teljesítése érdekében válik szükségessé. Ez a GDPR 6. cikk 1. c) pontja alapján jogszerűnek minősül.

(iii) az adatkezelés az Adatkezelő jogos érdekeinek érvényesítése miatt szükséges, azaz jogi igények előterjesztésével, érvényesítésével vagy azok védelméhez való joggal kapcsolatban. Ez a GDPR 6. cikk 1. f) pontja alapján jogszerűnek minősül.

c) egyedi esetekben jegyértékesítés a fedélzeten tartózkodó utasok számára.

Az ilyen célból történő adatkezelés jogalapja a következő:

(i) az adatkezelés valamely szerződéses kötelezettség teljesítése, illetve a szerződéskötést megelőző intézkedések végrehajtása miatt szükséges. Ez a GDPR 6. cikk 1. b) pontja alapján jogszerűnek minősül.

(ii) az adatkezelés az adatkezelő által érvényesített jogos érdekek miatt szükséges, azaz különösen a fizetési adatok továbbítása a fizetési szolgáltató felé az Ön által teljesített fizetés feldolgozása céljából. Ez a GDPR 6. cikk 1. f) pontja alapján jogszerűnek minősül.

4. A kezelt személyes adatok kategóriái

Személyes adatnak minősül minden olyan információ, amely egy konkrét vagy azonosítható természetes személyre vonatkozik. A 3. pontban említett adatkezelési célokkal kapcsolatban kezelt utasok személyes adatai közé tartoznak a következők:

a) az utas azonosító adatai és elérhetőségei.

b) utazási adatok, a szolgáltatás típusa.

Továbbá, a 3. b) pontban említett panaszkezelés esetén az alábbi adatok:

c) a panasz beérkezésének dátuma és az utas által kitöltött űrlapon megjelölt panasz okai.

d) az utas által, a panaszkezelési kérelemben megadott bármely további információk, beleértve, adott esetben, a személyes adatok különleges kategóriáit (pl. egészségügyi adatok).

A 3. c) pontban említett adatkezelési cél esetén, a 4. a) és b) pont kiegészítéseként:

e) fizetési adatok

A személyes adatok megadása az utasok részéről önkéntes alapon történik. Az utas nem köteles a Flix számára megadni a személyes adatait. Előfordulhat azonban, hogy a Flix bizonyos szolgáltatásokat csak korlátozott mértékben vagy egyáltalán nem tud nyújtani, ha az utas nem adja meg az ebből a célból szükséges adatokat.

Amennyiben a személyes adatokat nem közvetlenül az utas adja meg, a Flix általában ezeket az adatokat a Flix weboldalán történő foglalási folyamat részeként kapja meg.

5. A címzettek kategóriái

a) Belső adatkezelők

Bizonyos feltételek betartása mellett személyes adatait a FlixBus vállalatain belül történő belső adatkezelés céljából a megengedett mértékben megosztjuk.

A személyes adatok például továbbíthatók a Flix SE részére az adatkezelést végző adatkezelő jogos érdeke alapján történő belső adatkezelés céljából – pl. az utasok által benyújtott panaszok helyes és megfelelő feldolgozásának és kezelésének érdekében. A további részletek a Flix SE adatvédelmi szabályzatában is megtalálhatók a következő hivatkozáson: Adatvédelem → FlixBus

b) Külső adatkezelő

Mint minden nagyvállalat, üzleti tranzakcióink lebonyolítására mi is igénybe veszünk belföldi és külföldi külső szolgáltatókat, valamint partnervállalatokkal működünk együtt belföldön és külföldön egyaránt.

Ezek közé tartoznak például:

  • értékesítési partnerek
  • üzlethelyiség-üzemeltetők
  • biztonsági vállalatok
  • üzleti tevékenységünkkel kapcsolatban szerződtetett egyéb partnerek (pl. auditorok, bankok, biztosítótársaságok, pénzforgalmi szolgáltatók, ügyvédek, felügyeleti hatóságok, vállalati felvásárlásokban részt vevő egyéb felek)

c) Belső adatfeldolgozók

  • ügyfélszolgálati szolgáltatók (belső)
  • (IT) szolgáltatók

d) Külső adatfeldolgozók

  • ügyfélszolgálati szolgáltatók (külső)
  • (IT) szolgáltatók
  • üzemeltetési partnerek (a fuvarozók aktuális listáját itt találja)

Amennyiben az adattovábbítás címzettjei számunkra adatfeldolgozóként dolgoznak, szerződést kötünk velük, és garantálniuk kell, hogy megfelelő technikai és szervezési intézkedéseket alkalmaznak annak érdekében, hogy az adatkezelés megfeleljen a jogi követelményeknek, és az adatvédelmi érintettek jogait tiszteletben tartsák.

Az utasok személyes adataihoz csak az adatkezelő vagy az adatfeldolgozó nevében eljáró személyek férhetnek hozzá.

A személyes adatokat állami szerveknek és intézményeknek (pl. rendőrség, ügyészség, felügyeleti hatóságok) felé is továbbíthatjuk erre vonatkozó kötelezettség/felhatalmazás esetén.

6. Külföldre történő adattovábbítás

A 3. pontban említett adatkezeléshez kapcsolódóan, a személyes adatok harmadik országba (különösen az USA-ba) is továbbíthatók. Harmadik országnak minősül az Európai Unión (EU) és az Európai Gazdasági Térségen (EGT) kívüli ország. Ilyen esetben, megfelelő intézkedésekkel biztosítjuk, hogy a címzett/címzett ország adatvédelmi előírásai ne legyenek alacsonyabb szintűek, mint az EU/EGT területén alkalmazandó védelmi előírások. Megfelelő intézkedésnek bizonyulhatnak például a következők:

7. Az adattárolás időtartama és az adatok törlése

Az utasok személyes adatait csak addig tároljuk, amíg az a 3. pont szerinti célokhoz szükséges, amelyek érdekében az adatokat eredetileg begyűjöttük és ezt követően feldolgoztuk.

Az Adatkezelő minden esetben kötelezhető és/vagy jogosult lehet arra, hogy az utasok személyes adatait részben vagy egészben hosszabb ideig megőrizze – egyebek mellett például jogi igények előterjesztése, érvényesítése vagy védelme érdekében, az irányadó elévülési időn belül.

8. Az érintett személyek jogai

A GDPR szerinti érintett személyként az utas a következő jogokkal rendelkezik:

Tájékoztatáshoz való jog

A GDPR 15. cikke alapján, az utas tájékoztatást kérhet a Flix által kezelt személyes adatairól. A tájékoztatási kérelemben az utasnak egyértelműen meg kell fogalmaznia az aggályát, hogy a szükséges adatok összeállítását az Adatkezelő számára elősegítse. Az Adatkezelő kérheti az utas személyazonosságának igazolását az érintett személyes adatokhoz való hozzáférési jogosultság ellenőrzéséhez.

Kérésre, az Adatkezelő átadja az utas részére az általunk kezelt adatok másolatát. Az utasoknak nem kell díjat fizetniük a személyes adataikhoz való hozzáférésért (vagy bármelyik más jog gyakorlásáért). A Flix azonban észszerű összegű díjat számíthat fel, ha a kérelem egyértelműen megalapozatlan, ismétlődő vagy túlzott mértékű. Ugyanakkor, a Flix meg is tagadhatja az ilyen kérelem teljesítését.

Helyesbítéshez való jog

Ha az utasra vonatkozó információk nem (vagy már nem) aktuálisak, az utas kérheti azok helyesbítést a GDPR 16. cikkének megfelelően. Ha az utas adatai hiányosak, az utas kérheti azok kiegészítését.

Törléshez való jog

Az utas a GDPR 17. cikkében foglaltak szerint kérheti személyes adatainak törlését. A törléshez való jog többek között attól függ, hogy az adatkezelőnek szüksége van-e még az utasra vonatkozó adatokra a jogi kötelezettségeinek teljesítéséhez.

Adatkezelés korlátozásához való jog

A GDPR 18. cikkében foglalt követelmények keretében az utas jogosult kérni a rá vonatkozó adatok kezelésének korlátozását.

Adathordozhatósághoz való jog

A GDPR 20. cikkének értelmében, az utasnak joga van ahhoz, hogy az általa az adatkezelő rendelkezésére bocsátott adatokat tagolt, egységes és géppel olvasható formátumban megkapja, illetve kérheti, hogy azokat egy másik felelős félnek továbbítsák.

Tiltakozáshoz való jog

A GDPR 21. cikk 1. bekezdése szerint, az utas jogosult bármikor tiltakozni a rá vonatkozó adatok kezelése ellen, amelyeket a GDPR 6. cikk 1. bekezdés f) pontja alapján gyűjtöttek, az utas sajátos helyzetéből eredő okokra hivatkozva. Ezt követően, az adott utas adatainak kezelésére csak akkor kerülhet sor, ha a Flix bizonyítani tudja, hogy az adatkezelésnek jogos okai vannak, amelyek elsőbbséget élveznek az utas érdekeivel, jogaival és szabadságaival szemben, illetve ha az adatkezelés a Flix jogi igényeinek előterjesztését, érvényesítését vagy védelmét szolgálja.

A GDPR 21. cikk 2. bekezdése alapján, az utas bármikor tiltakozhat a reklámmal való jövőbeli megkeresések ellen (reklámmal szembeni tiltakozás közvetlen reklámozási szándék esetén).

Panasztételi jog

Ha az utas úgy véli, hogy adatainak kezelése során az adatkezelő nem tartotta be az adatvédelmi előírásokat, az utas személyes adatainak kezelésével kapcsolatban panaszt tehet az adatvédelmi felügyeleti hatóságnál.

A hozzájárulás visszavonásához való jog (ha lehetséges)

Az utas a jövőben bármikor visszavonhatja az adatkezeléshez adott hozzájárulását. A hozzájáruláson alapuló, annak visszavonása előtti adatkezelés jogszerűségét a visszavonás nem érinti.

Ez vonatkozik a GDPR hatálybalépése előtt, azaz 2018.05.25. előtt tett hozzájáruló nyilatkozatokra is.

Az utas bármikor érvényesítheti az Adatkezelővel szemben az őt érintettként megillető jogokat, különösen a fenti 1. és 2. pontban megadott elérhetőségek használatával.

9. Módosítás

A jelen Adatvédelmi nyilatkozat az új adatkezelési célok és módszerek bevezetésének eredményekképen időről időre módosulhat. Az Adatkezelő saját belátása alapján időben és megfelelő módon tájékoztatja az utasokat az ilyen módosításokról.

1.0. verzió

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is Flixbus Hungary Korlátolt Felelősségű Társaság , Haller Gardens “A” building 3. floor. 1095, Soroksári út 30-34, Budapest, szolgaltatas@flixbus.hu (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0