Personvernerklæring

Personvernerklæring

Denne personvernerklæringen inneholder informasjon til registrerte kunder, kunders ansatte og tilsynsmyndighetene i henhold til kravene i EUs personvernforordning (heretter kalt GDPR) og den til enhver tid gjeldende nasjonale personopplysningsloven. 

Denne personvernerklæringen beskriver hvordan St1 Finance Oy, St1 Norge AS, St1 Norge Marine AS, St1 Norge Group AS og St1 Nordic Oy (St1) samler inn, bruker, lagrer og beskytter personopplysninger. St1, som er motpart i denne avtalen, er behandlingsansvarlig. For tydelighetens skyld opplyses det om at termene «vi», «selskapet» og «St1», slik de brukes i denne personvernerklæringen, referere til  St1 Finance AS, St1 Norge AS, St1 Norge Marine AS, St1 Norge Group AS og St1 Nordic Oy, som også er behandlingsansvarlige etter denne personvernerklæringen.  

  1.  Personopplysninger som St1 samler inn for virksomheten  

 

  1. grunnleggende informasjon om enkeltstående kunder (navn, fødselsdato eller personnummer samt kontaktinformasjon, blant annet adresse, telefonnummer og e-postadresse)   
  1. grunnleggende informasjon om bedriftskunder (informasjon som kreves for å identifisere kunden og for å fastslå kundens økonomiske status og politiske innflytelse)  
  1. informasjon om kundeforholdet (for eksempel kunderelasjonens varighet og art) 
  1. samtykke (den registrertes  gitte og tilbaketrukne samtykke til behandling av personopplysninger) 
  1. informasjon om avtaler inngått mellom kunden og St1 
  1. informasjon om kundetransaksjoner 
  1. bakgrunnsinformasjon om kunden (for eksempel tittel eller yrke og annen informasjon om kundens virksomhet og status med hensyn til private eller offentlige tjenester) 
  1. atferdsdata (for eksempel data innsamlet med informasjonskapsler og interessepunkter) 
  1. informasjon om innholdet i innspillinger og meldinger (for eksempel innspillinger av telefonsamtaler) 
  1. teknisk identifikasjonsdata (for eksempel informasjon som brukes til å identifisere brukere av mobilapplikasjoner)   

St1 samler i tillegg inn følgende informasjon om sine kunder i Norge: 

  1. informasjon om din enhet og internett tilkobling 

Gjennom tekniske logger og andre verktøy registrerer vi informasjon om enheten og tilkoblingen til våre tjenester, for eksempel operativsystem, enhetsprodusent, nettleserversjon, ip-adresser, nettverks-id, informasjonskapsler og unike identifikasjonsfiler. En annonseidentifikator gitt av Google eller Apple sendes fra vår app, dersom du har akseptert dette i innstillingene i din telefon. Har du akseptert dette, vil også informasjon om batterinivå bli sendt. Informasjonen gjør blant annet at vi kan tilpasse visningen av innhold til den enheten du bruker og den brukssituasjonen du er i. 

  1. informasjon om din bruk av tjenester 

Vi samler informasjon om hvordan du bruker tjenestene våre. Eksempler på slik informasjon er hvilke sider som besøkes, når på døgnet besøket ble gjort, hvor lenge en side var åpen i skjermen din, hvordan du navigerer på siden, eventuelle nettsteder du besøkte før du kom til våre sider, hvilke funksjoner du har brukt på siden og om du har gjennomført et kjøp. Vi bruker denne informasjonen blant annet til å forbedre tjenestene våre og for å gi deg innhold og markedskommunikasjon som er tilpasset deg og ditt bruksmønster. 

  1. informasjon om din posisjon (geoinformasjon) 

Vi registrerer din geografiske posisjon fra IP-adressen din, mobil nettverkskode eller andre former for mer eksakt lokalisering, som GPS-data, dersom du har godkjent dette i vår app. Denne informasjonen brukes bl.a. til å vise deg annonser, formidle elektronisk kommunikasjon som app-push, tekstmeldinger eller epost og annet innhold som er relevant for det området du befinner deg i. Informasjonen brukes også til å allokere ditt kjøp til riktig utsalgssted og til å forbedre våre produkter til deg. 

  1. informasjon fra samarbeidspartnere om kunder som også deltar i vår betalingsappløsning (for eksempel Trumf) 

ST1 er partner i fordelsprogrammet Trumf. Du kan knytte ditt Trumf medlemskap til Snarveien-appen. Da kan du se bonussaldo, og Trumf AS utleverer en nøkkel til ST1 som kan holder deg pålogget Trumf i 365 dager, framt du ikke aktivt logger deg ut. Behandlingsgrunnlaget er samtykket du gir ved å logge deg . Har du også knyttet ditt ST1 Mastercard til Trumf utleverer Trumf din Trumf medlemsID til ST1, og ST1 utleverer kjøpstransaksjoner til Trumf merket med din medlemsID slik at du får avtalt bonus. Behandlingsgrunnlaget for disse utleveringene er din avtale med Trumf om bonussparing. 

Personopplysninger samles hovedsakelig inn fra den registrerte selv. Personopplysninger kan også hentes fra andre St1 selskapers registre i den utstrekning loven tillater det.    

I den grad loven tillater det, kan personopplysninger samles inn og oppdateres fra registre tilhørende tredjeparter, for eksempel:   

  1. offentlige registre hos myndighetene, for eksempel Folkeregisteret, administrative myndigheter og politiet, skatteregistre, bedriftsregistre og registre tilhørende tilsynsmyndigheter 
  1. sanksjonslister (for eksempel lister fra EU, FN og nasjonale organisasjoner) og andre pålitelige kilder som gir informasjon om reelle eiere og personer med politisk innflytelse 
  1. behandlingsansvarlig for kredittinformasjon  

 

  1. Formålet med og det rettslige grunnlaget for behandling av personopplysninger  

St1 behandler personopplysninger for å oppfylle kontraktsbundne og rettslige forpliktelser, og for å levere tjenester og veiledning til kundene. Informasjonen nedenfor inneholder flere detaljer om behandlingen av personopplysninger og det rettslige grunnlaget for behandlingen: 

  1. Gjennomføring av kontrakter  

Formålet med behandlingen av personopplysninger er å samle inn, behandle og bekrefte personopplysninger før inngåelse av produkt- og tjenesteavtaler, samt for å dokumentere og gjennomføre kontraktsmessige forpliktelser. Eksempler på slike handlinger fra St1 inkluderer følgende: 

  • oppgaver som er relatert til åpning av en betalingskonto og tildeling av betalingskort, andre betalingsmidler og kontokreditt 
  • kundeservice så lenge kundeforholdet varer  
  • oppgaver knyttet til utøvelse av juridiske krav 
  • tiltak knyttet til innsamling av gjeld  

 

  1. Rettslige forpliktelser  

Lover, forskrifter og krav fra myndighetene pålegger St1 forpliktelser vedrørende behandling av personopplysninger, for eksempel: 

  • risikohåndteringsforpliktelser (driftsrisiko, kredittrisiko, forsiktighetskrav) 
  • regnskapsforskrifter  
  • rapportering til myndighetene (skatteetaten, politiet, rettsvesenet og tilsynsmyndigheter)  
  • andre produkt- og tjenestespesifikke juridiske forpliktelser 
     
  1. Behandlingsansvarlig eller tredjeparters legitime interesser 

St1 behandler personopplysninger for å kunne gjennomføre markedsførings-, produkt- og kundeanalyser. Personopplysninger som samles inn i denne sammenheng brukes for eksempel i produkt- og tjenesteutvikling. I tillegg kan St1 behandle personopplysninger for å forsvare seg mot eller forhandle om, krav som er rettet mot dem. 

Når nasjonale forskrifter pålegger det, krever vi samtykke fra den registrerte til overføring av elektronisk direkte markedsføring (for eksempel e-post eller direkte markedsføring via tekstmeldinger). Den registrerte kan når som helst trekke tilbake sitt samtykke.  

  1. Automatisk belsutningstakning 

St1 Finance Oy bruker automatisert beslutningstaking ved kredittgodkjennelse i den grad loven tillater det. Kunden kan alltid be om at det skal brukes manuell beslutningstakingsprosess i stedet for automatiserte, gi uttrykk for sine synspunkter eller bestride beslutningen som ble fattet basert på den automatiserte prosessen. Hvis produktet eller tjenesten som tilbys inkluderer automatisert beslutningstaking, får kunden ytterligere informasjon om beslutningslogikken anvendt i den automatiserte beslutningstakingen, dens betydning og eventuelle konsekvenser. 

  1. Offentliggjøring av personopplysninger 

 

Personopplysninger kan offentliggjøres til selskaper som tilhører samme konsern som St1 Finance Oy, St1 Norge AS, St1 Norge Marine AS, St1 Norge Group AS og St1 Nordic Oy. I samsvar med den profesjonelle taushetsplikten og bindende databehandlingsavtale som kreves etter loven, kan personopplysninger overføres til selskapets databehandlere og til de ovenfor nevnte selskapene som tilhører konsernet.   

I tillegg til det ovennevnte kan St1 utlevere personopplysninger til utvalgte partnere som kan tilby tjenester direkte til den registrerte. Dette er under forutsetning av at St1 har mottatt et uttrykkelig samtykke til utlevering av slik informasjon fra den registrerte selv. I henhold til loven har St1 inngått bindende databehandleravtaler med slike utvalgte partnere.   

Personopplysninger kan også offentliggjøres i den utstrekning det er tillatt og pålagt etter den til enhver tid gjeldende lovgivning, til de parter som har rett på tilgang til personopplysningene i henhold til loven.  

Personopplysninger vil ikke bli overført til parter utenfor EU og EØS, med mindre dette er nødvendig av tekniske grunner for å oppfylle formålene med behandlingen av personopplysningene. I så fall vil overføringen av personopplysningene overholde kravene som stilles til passende eller adekvate garantier i lovgivningen. Ved å sende en anmodning i samsvar med punkt 8, selskapet utlevere en kopi av disse garantiene. 

  1. Beskyttelse av personopplysninger 

 

Fysiske data oppbevares i låste lokaler. Slike data kan kun behandles av personer som har en legitim grunn til å behandle dataen med bakgrunn i deres arbeidsoppgaver.   

Informasjonssystemene er beskyttet mot tilgang fra tredjeparter gjennom organisatoriske og tekniske metoder. Hver bruker har en personlig bruker-ID og et passord for å logge inn i systemet. Tilgang til data er begrenset til personer som behandler de aktuelle personopplysningene som en del av sin arbeidsoppgave. 

  1. Kundenes rettigheter  

Rett til innsyn i personopplysninger   

Den registrerte har rett til å gjennomgå egne personopplysninger som er lagret i registeret. Den registrerte har også rett til å motta en kopi av disse personopplysningene. En forespørsel om innsyn må gjøres i samsvar med instruksjonene gitt i punkt 8 i denne personvernerklæringen. Retten til innsyn kan nektes så langt det fremgår av loven.  

Å utøve innsynsretten er i utgangspunktet gratis. Vi kan kreve en rimelig avgift som svarer til de administrative kostnadene ved å oppfylle forespørselen dersom den registrerte ber om flere kopier av dataene, eller om en forespørsel gjøres gjentatte ganger eller på annen måte anses åpenbart overdreven eller ubegrunnet. 

Retten til å be om korrigering, sletting eller begrensning av behandling  

Den registrerte har rett til å få data i registeret korrigert eller slettet dersom dataen er i strid med formålet med behandlingen, er feil, overflødig, ufullstendig eller utdatert. Den registrerte kan sende inn en forespørsel om korrigering eller sletting av data ved å kontakte selskapet i samsvar med punkt 8 i denne personvernerklæringen.  

Den registrerte har også krav på at behandlingsansvarlig begrenser behandlingen av hans eller hennes personopplysninger, for eksempel dersom den registrerte avventer svar fra behandlingsansvarlig på en anmodning om korrigering eller sletting av data.  

Rett til å protestere mot behandling av personopplysninger 

Den registrerte har, basert på grunner knyttet til sin spesielle situasjon, rett til å motsette seg behandling av personopplysninger og profilering av han eller henne. Ved en innsigelse skal St1 ikke lenger behandle personopplysningene, med mindre begrunnelsen for behandlingen oppveier kundens interesser, rettigheter og frihet. Ved behandling av data for direkte markedsføring kan den registrerte motsette seg behandling uten noen spesifikk grunn. Selskapet vil da ikke lenger behandle dataene for direkte markedsføringsformål 

Den registrerte kan sende hans eller hennes innsigelse ved å kontakte selskapet i samsvar med punkt 8 i denne personvernerklæringen. I innsigelsen må den registrerte redegjøre for den spesifikke situasjonen som han eller hun protesterer mot behandling for. Selskapet kan nekte å gjennomføre innsigelsen så langt det følger av loven.  

Rett til tilbakekall av samtykke  

Hvis personopplysninger blir behandlet på grunnlag av den registrertes samtykke har den registrerte rett til å tilbakekalle et slikt samtykke ved å informere selskapet om dette i henhold til punkt 8 

Rett til dataportabilitet.  

For personopplysninger som kunden har utleverte til selskaper har han eller hun rett til å få utlevert disse opplysningene i et strukturert, vanlig og maskinlesbart format. Dette gjelder personopplysninger som behandles automatisk og som er basert på utførelsen av kontrakt eller den registrertes samtykke. Slik informasjon kan overføres til en annen personopplysningsansvarlig når det er teknisk gjennomførbart 

Rett til å klage til tilsynsmyndigheten 

Hver registrerte har rett til å sende inn klage til tilsynsmyndigheten dersom selskapet ikke har overholdt gjeldende personvernerklæring.  

Klagen skal sendes til tilsynsmyndigheten i den medlemsstat hvor han eller hun har vanlig oppholdssted, arbeidssted eller stedet hvor det påståtte bruddet på personvernerklæringen har skjedd.  

Det er datatilsynet som overvåker overholdelsen av GDPR i Norge. Ytterligere informasjon om dine rettigheter er tilgjengelig på datatilsynets nettside https://www.datatilsynet.no/.  

  1. Bruk av informasjonskapsler  

vår nettside bruker vi informasjonskapsler og andre liknende teknologier for å samle inn informasjon relatert til brukerens terminalenhet. Informasjonskapsler er vanligvis små tekstfiler som nettleseren lagrer, slik at enhetsbrukeren kan identifiseres og reidentifiseres. Informasjonskapsler brukes til å identifisere brukerens nettleser, og den innsamlede informasjonen kan for eksempel brukes til å telle antall nettlesere som er brukt til å besøke nettstedet vårt, samt for å analysere bruken av nettstedet, for eksempel ved gjennomføring av statistisk overvåking. Målet vårt er å utvikle tjenesten slik at den blir stadig bedre for brukerne. 

Informasjonskapsler muliggjør innsamling av for eksempel følgende informasjon: 

Brukerens IP-adresse; tidspunkt; besøkte sider og tiden brukt på nettstedene; nettlesertype; terminalenhetens operativsystem; URL-adressen som brukeren kommer til nettstedet fra og URL-adressen som brukeren går til etterpå; og fra hvilken servere og domenenavn brukeren kommer til nettstedet fra. 

Nettstedet kan også inneholde informasjonskapsler fra tredjeparter, for eksempel leverandører av målings- og overvåkingstjenester. Tredjeparter kan installere informasjonskapsler på terminalenheten når kunden besøker nettstedet. 

Informasjonskapsler på nettsteder til tredjeparter 

I tillegg til informasjonskapsler som brukes på vårt nettsted, brukes informasjonskapsler også på tredjeparters nettsteder for å målrette annonsering for St1. Informasjon som samles inn med informasjonskapslene til samarbeidspartnere, og ved hjelp av andre teknikker, gjør det mulig med målrettet annonsering basert på tidligere nettatferd og andre faktorer. Dette gjør at annonser kan målrettes til de brukerne som sannsynligvis vil ha størst interesse av dem. Atferdsdata som samles inn via andre nettsteder enn St1-nettstedet, kan i så fall også brukes til målrettingsformål. 

I tillegg kan vi og våre samarbeidspartnerne samle inn informasjon om effektiviteten til annonseringen vi oppretter. For dette formålet kan vi samle inn informasjon om blant annet følgende: hvor mange ganger en bestemt annonse er vist i en nettleser; informasjon som forteller om annonsen ble klikket på, og om dette eventuelt resulterte i kjøp av produktet i nettbutikken. 

Deaktivering av informasjonskapsler og forhindring av målrettet annonsering 

Kundene kan styre i hvilken grad de samtykker til bruken av informasjonskapsler og målrettet annonsering. Nettleserinnstillinger kan endres for å deaktivere informasjonskapsler. Hvis informasjonskapsler deaktiveres, kan det hende at noen av nettstedets funksjoner ikke lenger er tilgjengelige. 

Hvis kundene ikke vil at annonseringen skal målrettes basert på interessene deres, kan de deaktivere målrettingen. Når du har deaktivert målrettet annonsering, vil du fremdeles se like mange annonser som før, men annonsene er ikke valgt basert på interesseområdene dine. 

  1. Lagring av personopplysninger  

Personopplysninger skal lagres så lenge behandlingen er nødvendig med hensyn til det formålet de ble samlet inn for. Ved den registrertes tilbakekall av samtykke til å behandle hans eller hennes personopplysninger for direkte markedsføring, skal selskapet bare slette denne dataen dersom det ikke foreligger andre legitime grunner for behandling av dataene.  

Selskapet skal slette eller anonymisere unødvendig data med jevne mellomrom. Personopplysninger skal slettes fra registeret eller anonymiseres så snart det ikke lenger er behov for eller begrunnelse for behandling, eller når behandling ikke lenger er nødvendig for å oppfylle lov, forskrift eller annet offentlig regelverk.  

  1. Kontaktinformasjon  

 

Den registrerte kan kontakte personvernombudet med alle henvendelser som gjelder behandlingen av deres personopplysninger, eller for å utøve deres rettigheter etter GDPR. Du kan kontakte vårt personvernombud med spørsmål om personvernerklæringen per e-post til dataprivacy@st1.no, eller per post til 

 

St1 Norge AS 

Databeskyttelse (Nordic DPO) 

Postboks 1154 Sentrum 

0107 Oslo 

 Sist oppdatert Juli 2019