St1 Nordic Oy og dets datterselskaper og alle andre enheter som tilhører St1-konsernet (heretter omtalt som «vi» eller «St1»), har som hovedvirksomhet å forske på og utvikle økonomisk levedyktige, CO2-bevisste energiløsninger. St1 fokuserer på markedsføring av drivstoff, oljeraffinering og fornybare energiløsninger som avfallsbasert avansert biodrivstoff og industriell vindkraft. Konsernet har over 1 200 stasjoner: ubemannede stasjoner, bensinstasjoner og lastebilstasjoner, samt et nettverk av gassdistribusjons- og ladestasjoner for elbiler i Finland, Sverige og Norge.
Vi tar ditt personvern på alvor. Vi er forpliktet til å beskytte personopplysningene til våre kunder, ansatte og samarbeidspartnere, og til å oppfylle våre personvernforpliktelser i henhold til personvernforordningen, samt andre relevante lover og forskrifter.
Identiteten til den behandlingsansvarlige for personopplysningene
St1 Nordic Oy
Data Protection
2082259-7 Tripla Workery West, Firdogatan 2, 00521 Helsingfors
Eventuelle spørsmål om behandlingen av dine personopplysninger kan sendes til St1-selskapet:
St1 Oy
Tietosuoja
0201124-8
Tripla Workery West, Firdogatan 2, 00521 Helsingfors
dataprivacy@st1.fi
St1 Sverige AB
Dataskydd (Nordic DPO)
556308-5942
Box 11057
161 11 Bromma
dataprivacy@st1.se
St1 Norge AS
Databeskyttelse (Nordic DPO)
913 285 670
Postboks 1154 Sentrum
0107 Oslo
dataprivacy@st1.no
Personopplysninger innhentes fra følgende grupper registrerte personer.
Med kundeselskap menes St1s kundeselskaper som har inngått en avtale med St1, som definert i disse vilkårene. Disse selskapene har kontaktperson(er) hvis opplysninger behandles i forbindelse med selskapsinformasjonen.
Med bruker menes både en kundebedrift og de ansatte i kundebedriften som har rett til å bruke tjenesten i kundebedriftens navn.
St1 mottar personopplysninger direkte fra brukeren, f.eks. i forbindelse med bruk av produkter og tjenester, eller fra eksterne kilder, som beskrevet i tabellen nedenfor.
Personopplysninger vi mottar | Kilder |
---|---|
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet. |
Personopplysninger kan innhentes fra kundeselskapet for levering av tjenester. Personopplysninger kan innhentes fra andre IT-systemer i St1-selskapene i henhold til det som loven tillater I den grad loven tillater det, kan personopplysninger samles inn og oppdateres fra tredjeparts IT-systemer. |
Opplysninger om informasjonskapsler eller andre samtykkemekanismer: opplysninger om teknisk informasjon, som brukerens IP-adresse, tidspunkt på dagen, besøkte sider og tid brukt på nettsteder. |
Personopplysninger innhentes når du besøker St1s nettsted eller bruker mobil-applikasjonen. |
Kredittsjekkinformasjon om kundebedrifter: kredittbeslutning og kredittovervåkning. | Leverandør av kredittsjekktjenester. |
I tabellen nedenfor finner du hvilke personopplysninger som behandles, formålet med behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen. Alle formålene gjelder for brukere, med mindre noe annet er dokumentert.
Formålet med behandlingen | Rettslig grunnlag | Datatyper |
---|---|---|
Kundetjeneste | Kontrakt, rettslig grunnlag | Navn, tittel, rolle, kontaktinformasjon, kjøpsdata og saks-/kommunikasjonshistorikk, samtaleopptak (der det er aktuelt) |
Opprettelse av kundekonto og levering av tjenester | Kontrakt | Navn adresse, tittel, rolle, kontaktinformasjon, medlemskap i fagforening/forening for kundeselskapet, SSN, kredittsjekkinformasjon, kontohendelser, aktivitetslogg |
Direkte markedsføring(digital) |
Legitime interesser for markedsføring av våre produkter og tjenester Kunden kan reservere seg mot å motta digital markedsføring i forbindelse med hver enkelt markedsføringskommunikasjon. |
Navn, tittel, rolle, kontaktinformasjon, kjøpshistorikk, aktivitetslogg (e-post/App/MyPages/etc.), medlemskap i fagforening/-forbund for kundeselskapet (der det er tilgjengelig), historiske NPS-resultater, sted Frivillige data: geografisk informasjon, kommunikasjonspreferanser og andre data som muliggjør persontilpasning. |
Styring av kundeforhold og profilering |
Kontrakt, Berettiget interesse |
Navn, kontaktinformasjon, tittel, rolle Frivillige data: kjøpshistorikk, kommunikasjonspreferanser og andre data som muliggjør persontilpasning |
Kundetilfredshet | Legitime interesser for utviklingen av våre produkter | Navn (servicemedarbeider, B2B-selger), tittel, rolle, tilfredshetsscore og fritekst (oppgitt av kunden), Data om kundetilfredshet kobles sammen med CRM-kontodata |
Kameraovervåkning (CCTV) | Berettiget interesse for å ivareta sikkerheten til kundene, St1s ansatte og miljøet på stedet, beskytte St1s eiendeler ved å muliggjøre etterforskning av svindel og kriminell virksomhet og muliggjøre støtte i forbindelse med tvister i forbindelse med kundeservice |
Videoopptak gjort på energistasjonene
|
Kredittprosesser og prosesser med formål om å bekrefte kundens identitet, herunder sanksjonsliste og kontroll av kundeselskapet med hensyn til bærekraft | Kontrakt, juridisk forpliktelse | Navn på representanter for selskapet, kontaktinformasjon, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning, informasjon om selskapsstrukturen og berettiget eier, eventuelle resultater fra kontrollene på sanksjonslister og andre relevante resultater av kontrollene . |
Finansielle prosedyrer ved behandling av selskapsdata for en kunde | Kontrakt, juridisk forpliktelse | Navn, kontaktinformasjon, kontraktsinformasjon, SSN, bankkontonummer, fakturadata, kjøpsdata og andre finans- og bankdata |
Closed loop-betalingskort (St1- og Shell-kort) | Kontrakt | Navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet |
St1 har fastsatte lagringsperioder basert på formålet med behandlingen og gjeldende lovgivning. For eksempel krever regnskapsloven at vi lagrer personopplysningene dine i en viss periode. Vi gjennomgår personopplysningene vi samler inn regelmessig for å sikre at de personopplysningene vi har, er oppdaterte og ikke oppbevares lenger enn det som er nødvendig eller påkrevd i henhold til relevante lover.
Når gjeldende lovgivning ikke sier noe annet, skal lagringsperiodene defineres som følger:
Formålet med behandlingen | Lagrindstid |
---|---|
Kundeservice; Navn, tittel, rolle, kontaktinformasjon, kjøpsdata og saks-/kommunikasjonshistorikk |
36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester. Kundeservicesamtaler lagres i 365 dager fra samtalen ble tatt opp |
Opprettelse av kundekonto og levering av tjenester; navn, tittel, rolle, kontaktinformasjon, fagforeningsmedlemskap, SSN, kredittsjekkinformasjon, kontohistorikk, aktivitetslogg |
36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester. |
Direkte markedsføring (digital); Navn, tittel, rolle, kontaktinformasjon, kjøpshistorikk, aktivitetslogg (e-post/App/Mine sider/etc.), medlemskap i fagforening/forbund for kundeselskapet (der det er tilgjengelig), historikk for NPS-resultater, sted
Frivillige data: geografisk informasjon, kommunikasjonspreferanser og andre data som muliggjør persontilpasning |
36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester. |
Styring av kundeforhold og profilering; Navn, kontaktinformasjon, tittel, rolle Frivillige data: kjøpshistorikk, kommunikasjons-preferanser og andre data som muliggjør person-tilpasning. |
36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester |
Kundetilfredshet; Navn (kundeservicemedarbeider, B2B-selger), tittel, rolle, tilfredshetsscore og fritekst (oppgitt av kunden), opplysninger om kundetilfredshet er knyttet til CRM-kontodata |
36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester |
Kameraövervakning (CCTV) Videoopptak gjort på energistasjonene |
Videoopptak slettes automatisk 30 dager etter opptaket. Hvis det oppstår en sikkerhetshendelse og opptakene er nødvendige for å etterforske hendelsen eller som bevismateriale, vil de relevante opptakene oppbevares lenger enn den normale oppbevaringsperioden så lenge det er nødvendig for disse formålene |
Kredittprosesser og prosesser med formål om å bekrefte kundens identitet, herunder sanksjons-liste og kontroll av kundeselskapet med hensyn til bærekraft Navn på representanter for selskapet, kontakt-informasjon, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kreditt-overvåkningsinformasjon om selskapsstrukturen og berettiget eier, eventuelle resultater fra kontrollene av sanksjonslister og andre relevante resultater av kontrollene |
12 måneder fra mottak av avgjørelsen. 36 måneder for tidligere kunder fra kundeforholdets opphør. AML- og KYC-prosessen: Opplysninger om kundekontroll oppbevares i fem år etter at det faste kundeforholdet er avsluttet. Ved sporadiske transaksjoner skal opplysningene oppbevares i fem år etter at transaksjonen er gjennomført (iht. lov om tiltak mot hvitvasking av penger og terrorfinansiering) |
Finansielle prosedyrer ved behandling av selskapsdata for en kunde; Navn, kontaktinformasjon, kontraktsinformasjon, SSN, bankkontonummer, fakturadata, kjøpsdata og andre finans- og bankdata |
Opplysninger som behandles for regnskapsformål lagres i 6 år etter utløpet av det året regnskapsåret ble avsluttet (regnskapsloven) Data som behandles for finansforvaltning, lagres i 10 år fra regnskapsårets slutt (regnskapsloven) Andre finansielle data lagres i 10 år fra den datoen de ble innhentet. |
Closed loop-betalingskort (St1- og Shell-kort); Navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet |
Data som lagres 6 år etter utløpet av det året regnskapsåret ble avsluttet (regnskapsloven) |
St1 kan bli nødt til å utlevere visse opplysninger til offentlige myndigheter eller rettshåndhevende myndigheter når dette er lovpålagt. Vi gjør dette kun på grunnlag av en relevant rettslig kjennelse eller stevning utstedt av den aktuelle domstolen.
Ved fusjoner eller oppkjøp kan den overtakende enheten få tilgang til relevante kundedata.
St1 bruker tjenesteleverandører for å levere våre tjenester og for å bidra til effektiv drift av vår virksomhet. Som et ansvarlig selskap bruker vi alltid ulike kontraktsmessige og andre ordninger for å sikre at våre tjenesteleverandører behandler dine personopplysninger i samsvar med lovverket og prosedyrer for avansert databehandling.
For å sikre konfidensialitet og et høyt beskyttelsesnivå for dine personopplysninger har vi en databehandleravtale med alle tjenesteleverandører som er involvert i behandlingen av personopplysninger. Våre tjenesteleverandører har ikke tillatelse til å behandle opplysningene dine på noen måte utover de avtalte tjenestene.
Mottakerne av våre data er beskrevet nedenfor.
Mottakere | Personopplysninger |
---|---|
Selskaper som tilhører St1-konsernet |
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet |
Leverandør av tjenester for administrasjon av kunderelasjoner. Opptre som databehandler på vegne av oss. |
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet |
Markedsføringspartnere; Opptre som databehandler på vegne av oss |
Kontaktinformasjon |
Leverandører av kredittsjekktjenester; Fungerer som en uavhengig kontrollør |
Navn, bankkontonummer, adresse, fakturadata |
Kreditupplysningstjänster Agerar som oberoende controller |
Navn på selskapets representanter, e-post, adresse, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning |
Tjänsteleverantörer för finansiella processer Agerar som personuppgiftsbiträde för vår räkning |
Navn, kjøps- og finansielle data, bankkontonummer, adresse, fakturadata, andre bankdata |
Tjänsteleverantör av Shell betalkort Agerar som oberoende controller |
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet |
St1 kan bli nødt til å utlevere visse opplysninger til offentlige myndigheter eller rettshåndhevende myndigheter når dette er lovpålagt. Vi gjør dette kun på grunnlag av en relevant rettslig kjennelse eller stevning utstedt av den aktuelle domstolen.
Ved fusjoner eller oppkjøp kan den overtakende enheten få tilgang til relevante kundedata.
Noen av våre tjenesteleverandører eller deres støttefunksjoner befinner seg utenfor EU og EØS. Når behandlingen innebærer overføring av personopplysninger utenfor EU eller EØS, bruker vi egnede sikkerhetstiltak for å sikre samme nivå av databeskyttelse
Mottakere | Datatyper | Plassering og overføringsmekanisme |
---|---|---|
Markedsføringspartnere | Kontaktinformasjon | USA: Kommisjonens beslutning om tilstrekkelighet |
Leverandører av kredittsjekktjenester | Navn på selskapets representanter, e-post, adresse, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning | UK: Kommisjonens beslutning om tilstrekkelighet |
Tjenesteleverandør for closed loop-betalingskort |
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet | UK: Kommisjonens beslutning om tilstrekkelighet |
St1 har nødvendige prosedyrer og retningslinjer plass for å beskytte dine person-opplysninger mot tap, misbruk eller tilgang for uvedkommende.
Vi gjør vårt ytterste for å sikre at dine personopplysninger holdes trygge og konfidensielle. Alle ansatte som er autorisert til å behandle dine personopplysninger, er forpliktet til å overholde taushetsplikten. Vi har en rollebasert tilgangskontroll, noe som betyr at hver enkelt ansatt får tilgang til ressurser og personopplysninger basert på den ansattes rolle og stillingsbeskrivelse. Alle nettverk og tjenester som brukes av våre ansatte, er beskyttet med egnede sikkerhetstiltak.
Informasjonssystemene er beskyttet mot innsyn fra tredjeparter ved hjelp av ulike organisatoriske og tekniske metoder. Hver bruker har en personlig bruker-ID og et passord for innlogging i systemet. Tilgang til opplysningene er begrenset til personer som behandler de aktuelle personopplysningene som en del av sine arbeidsoppgaver.
Vi har en prosedyre for håndtering av brudd på datasikkerheten som gjør det mulig for oss å vurdere mulige risikoer, varsle relevante myndigheter og varsle deg dersom dine personopplysninger kan ha blitt berørt. Ved jevne mellomrom gir vi opplæring til alle våre ansatte for å sikre beskyttelse av dine personopplysninger.
Du har visse rettigheter når det gjelder dine personopplysninger, for eksempel rett til innsyn, oppdatering, sletting og kopi av opplysningene. Vi ønsker å sikre at du kan utøve dine rettigheter på en effektiv måte. Eventuelle spørsmål om behandlingen av dine personopplysninger kan sendes til St1-selskapet i ditt bostedsland: i Sverige: dataprivacy@st1.se, i Finland: dataprivacy@st1.fi og i Norge: dataprivacy@st1.no. Du kan utøve dine rettigheter ved å sende en forespørsel til oss. Nedenfor finner du en liste over rettighetene dine og en forklaring av dem.
Rett til informasjon | Du har rett til å bli informert om vår organisasjon og detaljene i vår behandling av dine personopplysninger. I tillegg har du rett til informasjon om hvilke mottakere dine personopplysninger kan bli utlevert til. |
Rett till innsyn | Du har rett til å få vite at vi behandler dine personopplysninger, og du har rett til å få tilgang til disse opplysningene. |
Rett till retting | Du har rett til å be oss om å korrigere unøyaktige personopplysninger om deg. |
Rett til sletting («retten til å bli glemt») |
Du har rett til å be om sletting av dine personopplysninger og din kundekonto. I visse tilfeller kan denne retten være begrenset av vår juridiske forpliktelse til å oppbevare slik informasjon i samsvar med obligatoriske lovbestemte begrensninger, som St1 vil informere deg om. Hvis du ønsker å utøve dine rettigheter som registrert, for eksempel retten til å bli glemt, kan du kontakte St1 i landet der du bor. Hvis du bruker en mobilapp og ønsker å benytte deg av retten til å slette kontoen din, kan du åpne Profil i mobilappen og klikke på Fjern konto og følge instruksjonene. |
Rett til begrensning | Du har rett til å begrense behandlingen av dine personopplysninger. Begrensning av behandlingen betyr at vi begrenser behandlingen av visse opplysninger til kun å lagre dem. Vi minner om at en begrensning av behandlingen av dine personopplysninger kan ha negativ innvirkning på dine muligheter til å motta forventede produkter, varer eller tjenester fra oss. |
Rett til dataportabilitet | Du har rett til å be oss om å få personopplysningene dine i et strukturert, alminnelig anvendt og maskinlesbart format som gjør det mulig å overføre slike opplysninger til en annen behandlingsansvarlig. |
Rett til å protestere | I visse tilfeller har du rett til å protestere mot behandling av personopplysninger om deg. I slike tilfeller vil vi ta stilling til hvorvidt det rettslige grunnlaget for databehandlingen er tilstrekkelig for å fortsette behandlingen, eller om vi skal slutte å behandle dine personopplysninger. |
Rettigheter knyttet til automatiserte avgjørelser |
Du har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, og som har rettslige eller lignende virkninger for deg. Det betyr at du har rett til å kreve menneskelig inngripen for å få oversikt over beslutningene som tas i løpet av automatisert behandling. I løpet av søknadsprosessen for kortet har St1 en automatisk godkjenningsprosess, dersom kriteriene for selskapet og for den omsøkte kreditten er oppfylt. |
Rett til å trekke tilbake samtykke |
Hvis behandlingen av personopplysninger er basert på ditt samtykke, har du rett til når som helst å trekke tilbake samtykket uten forbehold. Dette vil imidlertid ikke påvirke lovligheten av behandlingen basert på samtykke før det trekkes tilbake.. |
Rett til å klage til tilsynsmyndigheten |
Hvis du mener at behandlingen av personopplysninger om deg er i strid med personvernforordningen, har du rett til å klage til din lokale personvernmyndighet. Klager på St1s handlinger med hensyn til personvernforordningen kan sendes til tilsynsmyndigheten der den registrerte har sitt vanlige bosted, eller alternativt til St1s ledende tilsynsmyndighet, den finske dataombudsmannen. Du finner mer informasjon om din rett til personvern på dataombudsmannens nettsted: https: //www.tietosuoja.fi. I Norge er det Datatilsynet som fører tilsyn med at personvern-forordningen etterleves. Du finner mer informasjon om dine rettigheter på Datatilsynets nettsider https://www.datatilsynet.no/. |
Vær oppmerksom på at forespørselen må være tilstrekkelig spesifikk, ettersom forespørslene vil bli vurdert fra sak til sak, og vi må verifisere identiteten til kunden som sender inn forespørsel før vi kan svare på eller oppfylle forespørselen.
Vi vil varsle deg hvis vi ikke kan oppfylle forespørselen i enkelte henseender, for eksempel å slette informasjon som vi har rett til å oppbevare, blant annet i forbindelse med utførelsen av avtalen eller på grunn av St1s lovpålagte forpliktelser.
Hvis du trenger mer informasjon eller hjelp med å utøve dine rettigheter, eller hvis du har andre spørsmål knyttet til behandlingen av opplysningene dine eller denne personvernerklæringen, kan du kontakte oss ved å bruke kontaktinformasjonen til St1-selskapet i landet der du bor, som er oppgitt ovenfor.
Vi forbeholder oss retten til å oppdatere denne personvernerklæringen dersom det oppstår endringer i vår virksomhet. I slike tilfeller forsøker vi å varsle deg om oppdateringene.
Denne personvernerklæringen for B2B-kunder er sist oppdatert 1.6.2024.