24.5.2021

Dataskyddspraxis

St1 Nordic Oy:s dataskyddsbeskrivning

I denna dataskyddsbeskrivning ges sådan information till registrerade kunder, kunders anställda och övervakande myndigheter som förutsätts i EU:s allmänna dataskyddsförordning (nedan dataskyddsförordning) samt aktuell nationell dataskyddslagstiftning.

Denna beskrivning redogör för hur St1 Nordic Oy (St1) inhämtar, behandlar, förvarar och skyddar personuppgifter. Personuppgiftsansvarig är det företag i St1-gruppen med vilket kontakten upprättats. St1-gruppen består av alla företag i St1 Nordic Oy -koncernen (St1 Finance Oy, St1 Oy, St1 Lähienergia Oy, St1 Deep Heat Oy, Lämpöpuisto Oy). För tydlighetens skull bör det konstateras att orden ”vi”, ”företaget” eller ”St1” i denna dataskyddsbeskrivning syftar, om inte annat specifikt nämns, på vilket som helst företag inom St1-gruppen, som agerar som dataskyddsansvarig i varje enskilt fall.  

1) Vilka personuppgifter inhämtar St1 för sin verksamhet

a.) personkunders basuppgifter (namn, födelsedatum eller personnummer och kontaktuppgifter såsom adress, telefonnummer och e-postadress samt övriga kontaktuppgifter.)
b.) samfundskunders basuppgifter (nödvändiga uppgifter för identifiering av kunden samt utredning över kundens ekonomiska ställning och politiska inflytande)
c.) uppgifter om kundförhållandet (såsom kundförhållandets längd och natur)
d.) samtycken (samtycken och förbud som den registrerade meddelat gällande behandling av personuppgifter)
e.) uppgifter i avtal mellan kunden och St1
f.) uppgifter om kundhändelser
g.) kundens bakgrundsuppgifter (titel eller yrke samt övriga uppgifter om den registrerades uppgifter och ställning i näringslivet eller offentlig syssla)
h.) uppgifter om beteendemönster (bl.a. uppgifter som inhämtats via cookies och intressen)
i.) innehåll i upptagningar och meddelanden (bl.a. inspelning av telefonsamtal)
j.) tekniska identifieringsuppgifter (bl.a. uppgifter som används vid identifiering av användaren av mobilapplikation) 
k.) personuppgifter behandlas i St1 Stamkundsprogram. Se Villkor för St1 Stamkundsprogram
här.

Personuppgifterna inhämtas huvudsakligen av den registrerade själv. Personuppgifter kan inhämtas från övriga register inom St1-gruppen inom ramen för gällande lagstiftning.  

Personuppgifter kan inhämtas och uppdateras inom ramen för gällande lagstiftning från register som upprätthålls av tredje part, såsom:  

a.) från offentliga myndigheters register, såsom Befolkningsregistercentralen, utmätningsmyndigheter, polis, skatteförvaltningens register, företagsregistret samt register hos övervakande myndigheter.
b.) från sanktionslistor (t.ex. listor som upprätthålls av EU och FN samt nationella samfund) och övriga tillförlitliga källor, som ger information om t.ex. faktiska förmånstagare och politiskt inflytelserika personer
c.) från kreditregister 

2) Syften och rättsgrunder för behandling av personuppgifter

St1 behandlar personuppgifter i syfte att fullfölja sina avtalsenliga och lagstadgade skyldigheter samt i syfte att erbjuda sina kunder tjänster och rådgivning. Nedan en mer detaljerad beskrivning över behandlingen och den rättsgrund som behandlingen grundar sig på.

a.) Fullföljande av avtal

Syftet med behandlingen av personuppgifter är att inhämta, behandla och kontrollera personuppgifterna innan ett produkt- eller tjänsteavtal ingås och att dokumentera samt fullfölja avtalsenliga skyldigheter. Exempel på dylika av St1 utförda åtgärder är:

  • Åtgärder i samband med öppnande av kundkonto, åtgärder i samband med beviljande av betalkort eller annat betalningsmedel
  • Kundbetjäning och förbättrande av kundbetjäningens kvalitet under kundförhållandet
  • Åtgärder i samband med rättsliga yrkanden
  • Åtgärder i samband med indrivning
     

b.) Lagstadgad skyldighet

Lagar, bestämmelser och myndighetskrav ålägger St1 skyldigheter att behandla personuppgifter. Exempel på dylika skyldigheter är:

  • Riskhanteringsskyldigheter (operativa risker, kreditrisker, likviditetskrav)
  • bokföringsbestämmelser
  • myndighetsrapportering (skatte-, polis-, verkställande och övervakande myndigheter)
  • övriga produkt- och tjänstespecifika lagstadgade skyldigheter.
  • Bolagsrättsliga skyldigheter som gäller upprätthållandet av en ägarförteckning och behandling av begäran i anslutning till denna.
     

c.) Berättigat intresse hos personuppgiftsansvarig eller tredje part

St1 behandlar personuppgifter i syfte att utföra marknads-, produkt och kundanalyser. Informationen från dessa analyser används bl.a. för att utveckla produkter och tjänster. Med stöd av ett berättigat intresse kan vi dessutom behandla personuppgifter i syfte att bemöta rättsliga yrkanden och försvara oss mot dessa.

Om nationella regler så kräver, inhämtar vi ett samtycke av den registrerade till elektronisk direktmarknadsföring (såsom direktmarknadsföring per e-post eller SMS). Du kan när som helst återta ditt samtycke.

St1 kan på service- och självbetjäningsstationer använda sig av tydligt markerad kameraövervakning i syfte att befrämja säkerheten för personer som besöker stationen, skydda St1:s egendom genom att möjliggöra undersökning av möjligt bedrägeri eller brott (om uppgifterna överlåts till myndigheter är rättsgrunden ett fullföljande av lagstadgade skyldigheter gentemot myndigheter) samt möjliggöra bevisföring för sin kundtjänst i anslutning till eventuella tvister. St1 överlåter inte i övrigt personuppgifter som inhämtats via kameraövervakning till utomstående utanför St1-gruppen förutom till parter vilkas uppgift är att behandla personuppgifter för St1.

d.) Riktad marknadsföring

St1 behandlar och sammanställer uppgifter om kundens köphistoria, -kategori och -plats (St1 service- och självbetjäningsstationer samt digitala försäljningskanaler) i syfte att rikta innehåll till kunder som möjligast väl betjänar deras intressen och beteende. Behandlingen av dessa uppgifter har i sig inga rättsliga verkningar för kunden.

e.) Automatiskt beslutsfattande

För tydlighetens skull bör konstateras att denna punkt endast tillämpas i fall då St1 Finance Oy är registeransvarig. St1 Finance Oy använder sig, inom ramen för gällande lagstiftning, av automatiskt beslutsfattande i sin process för beviljande av kredit. Kunden kan alltid begära ett manuellt beslutsfattande i stället för det automatiska samt uttrycka sin åsikt över eller bestrida ett beslut som enbart är baserat på automatisk behandling. Om ett automatiskt beslutsfattande tillämpas på erbjudna produkter eller tjänster ges kunden ytterligare information om behandlingslogiken av det automatiska beslutsfattandet, dess betydelse samt eventuella påföljder.   

3) Överlåtelse av personuppgifter

Personuppgifter kan överlåtas till andra företag inom samma koncern. Personuppgifter kan överlåtas till behandlare av personuppgifter inom företaget och koncernen med stöd av ett bindande avtal om behandling av uppgifter som uppgjorts i enlighet med sekretesskrav och lagstadgade krav.

I tillägg till ovanstående kan personuppgifter överlåtas till sådana St1:s tillförlitliga parter som erbjuder tjänster direkt till den registrerade, under förutsättning att den registrerade till företaget gett sitt uttryckliga och entydiga samtycke till en överföring av sina personuppgifter i detta syfte. St1 uppgör i enlighet med dataskyddslagstiftningen bindande avtal om behandling av personuppgifter med dylika samarbetspartner, till vilka personuppgifter överlåts med stöd av samtycke av den registrerade.

Personuppgifter kan även överlåtas inom ramen för gällande lagstiftning till parter som i stöd av lag har rätt att ta del av personuppgifter.

Personuppgifter överlåts huvudsakligen inte utanför det europeiska ekonomiska samarbetsområdet, såvida det inte är nödvändigt av skäl som ansluter sig till det tekniska utförandet av syftet med överlåtelsen av personuppgifter, i vilka fall lämpliga och tillbörliga skyddsåtgärder tillämpas vid överlåtelsen av personuppgifter i enlighet med dataskyddslagstiftningen. Företaget tillställer den registrerade en kopia av dessa skyddsåtgärder på begäran enligt punkt 8.

4) Skydd av personuppgifter

Allt fysiskt material förvaras i låsta utrymmen. Materialet behandlas endast av personer som har välgrundade skäl att behandla sådant material som en del av sina arbetsuppgifter.

Datasystemen är skyddade mot intrång av utomstående med hjälp av olika organisatoriska och tekniska åtgärder. Alla användare har ett personligt användarnamn och lösenord för att logga in i systemet. Endast personer som behandlar ifrågavarande personuppgifter som en del av sin arbetsuppgift har tillgång till uppgifterna.

5) Kundens rättigheter

Rätt att få tillgång till uppgifterna (granskningsrätt)

Den registrerade har rätt att granska vilka uppgifter om den registrerade som har sparats i registret. Den registrerade har även rätt att få en kopia över personuppgifter som behandlas. En begäran om granskning bör göras enligt anvisningar i punkt 8 i denna dataskyddsbeskrivning. Rätten till granskning kan nekas av lagstadgade skäl.

Den registrerades begäran om granskning är huvudsakligen avgiftsfri. Företaget kan dock av den registrerade uppbära en skälig avgift för de administrativa kostnader som besvarandet av begäran innebär, om den registrerade begär flera kopior av uppgifterna eller om begäran är uppenbart ogrundad eller oskälig.

Rätt att kräva en rättelse, ett avlägsnande eller en begränsning av behandlingen av uppgifterna

Den registrerade har rätt att kräva ett avlägsnande ur registret eller kräva en rättelse av en uppgift i registret som står i strid med registrets syfte, är felaktig, onödig, bristfällig eller föråldrad. Den registrerade kan till företaget framföra en begäran om rättelse eller avlägsnande enligt punkt 8 i denna dataskyddsbeskrivning.

Den registrerade har även rätt att kräva att företaget begränsar sin behandling av personuppgifter till exempel under den tid som den registrerade inväntar svar av företaget på sin begäran om en rättelse eller ett avlägsnande av sina uppgifter.  

Rätt att göra en invändning mot behandlingen av personuppgifter

Den registrerade har på grund av sin personliga situation rätt att motsätta sig personlig profilering och annan behandling av sina personuppgifter till den del behandlingen av uppgifterna grundar sig på företagets berättigade intresse och det inte går att påvisa ytterst viktiga eller välgrundade skäl för behandlingen som skulle kunna åsidosätta den registrerades bästa, rättigheter och friheter. Den registrerade kan, utan att uppge några särskilda skäl, begära att personuppgifterna inte behandlas för direktmarknadsföring. Efter att ha mottagit en sådan begäran behandlar företaget inte längre personuppgifterna i direktmarknadsföringssyfte.  

 

Den registrerade kan framföra en begäran om att inte behandla personuppgifter enligt punkt 8 i denna dataskyddsbeskrivning. Den registrerade bör i anslutning till sin begäran beskriva den särskilda situation som är grund för invändningen. Företaget kan vägra att godkänna begäran av lagstadgade skäl.  

Rätt att återta givet samtycke

Om personuppgifter behandlas med grund i den registrerades samtycke, har den registrerade rätt att återta sitt samtycke genom att meddela om saken till företaget enligt punkt 8.

Rätt att överföra uppgifter från ett system till ett annat

Till den del som den registrerade själv anmält uppgifter till registret, vilka behandlas automatiskt och med stöd av antingen ett avtal mellan företaget och den registrerade eller av den registrerade givet samtycke, har den registrerade rätt att erhålla dylika uppgifter i ett strukturerat, allmänt förekommande och maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig (om detta är tekniskt möjligt).

Rätt att göra en anmälan till övervakande myndighet

Den registrerade har rätt att göra en anmälan till en behörig övervakande myndighet om företaget i sin verksamhet inte iakttagit tillämplig dataskyddsreglering. Behörig myndighet är övervakande myndighet i det land där den registrerade har stadigvarande hemvist eller arbetsplats, eller där överträdelse av dataskyddsregleringen skett.

Efterföljandet av dataskyddslagstiftningen övervakas i Finland av dataombudsmannen. Ytterligare information om dina rättigheter i dataskyddsfrågor finns att få på dataombudsmannens nätsidor: tietosuoja.fi/sv/. 

6) Användning av cookies

På våra nätsidor samlar vi information om användarens enhet med hjälp av cookies och andra motsvarande tekniker. En cookie är vanligen en liten textfil som din webbläsare sparar för att identifiera och återidentifiera användaren. Med hjälp av cookies kan kundens webbläsare identifieras och informationen kan t.ex. användas för att räkna antalet webbläsare som besökt vår sida samt till statistisk analys om hur våra sidor används. Vårt syfte är att sålunda kunna utveckla och förbättra vår tjänst till användarna.

Med hjälp av cookies kan bl.a. följande information samlas:

Användarens IP-adress; klockslag; besökta sidor och tiden som besöket varat; typ av webbläsare, enhetens operativsystem; från vilken webbadress användaren kommit till sidorna och till vilken webbadress användaren går efter att ha besökt sidorna; och från vilken server och vilket domännamn användaren kommit till sidorna.

Sidorna kan också innehålla tredje parters cookies, såsom mätnings- och uppföljningstjänster. Utomstående parter kan installera cookies på enheten då kunden besöker sidorna.

Cookies på sidor som upprätthålls av tredje part

I tillägg till cookies som används på nätsidorna, används cookies även för att rikta St1:s reklam till tredje parters sidor. Med stöd av information som samlats med hjälp av samarbetsparters cookies och övriga tekniker kan, baserat på tidigare nätaktivitet och övriga faktorer, reklam riktas till sådana nätanvändare som mest troligt är intresserade av reklamen. Vid riktandet av reklamerna kan då även information som samlats om nätbeteendet från andra än St1:s nätsidor utnyttjas.

Vi och våra samarbetspartners kan dessutom samla information om hur effektiva våra reklamer varit. I detta syfte kan vi samla in t.ex. följande information: information om hur många gånger en viss reklam visats i webbläsaren; information om huruvida reklamen har klickats på; och information om huruvida ett klick på reklamen lett till ett köp av en produkt i nätbutiken.

Förhindrande av cookies och riktad marknadsföring

Kunden kan själv besluta i vilken utsträckning cookies och riktad reklam får användas. Användning av cookies kan förhindras i webbläsarens inställningar. Om användning av cookies förhindras kan det leda till att sidorna inte längre fungerar till alla delar.

Om kunden inte vill att reklam riktas enligt kundens intressen, kan kunden förhindra riktad reklam. Om riktad reklam förhindrats visas fortfarande lika mycket reklam som tidigare, men reklamerna är inte valda enligt kundens intressen.

7) Förvaring av personuppgifter

Personuppgifter förvaras endast så länge som en behandling av dem är nödvändig i det syfte som uppgifterna inhämtats. Om den registrerade återtar sitt samtycke till behandling av personuppgifter i direktmarknadsföringssyfte, avlägsnas dessa personuppgifter, om företaget inte har något annat lagenligt skäl för behandling av personuppgifterna.

Företaget upprätthåller personuppgifter och avlägsnar eller anonymiserar onödiga uppgifter med jämna mellanrum. Personuppgifterna avlägsnas eller anonymiseras genast då behovet för behandlingen av dem upphört, grund för behandling inte längre föreligger eller skyldigheten att behandla uppgifterna med stöd i lag, förordning eller annan myndighetsbestämmelse upphört. St1 förbinder sig att förvara personuppgifter i ett identifierbart format så kort tid som möjligt.

Personuppgifter förvaras även för kunder i St1 Stamkundsprogram, varvid personuppgifterna sparas i kundsystemet för St1 Stamkundsprogram. På St1 Stamkundsprogram tillämpas Villkor för St1 Stamkundsprogram.

8) Kontaktinformation

Du kan rikta alla frågor och kontakter som gäller dataskydd till vår dataskyddsansvarige med denna blankett  eller per e-post dataprivacy@st1.fi eller per brev:

 St1 Nordic Oy

Kundtjänst / Dataskyddsansvarig

Tripla Workery West, Firdovägen 2, 00520 Helsingfors