Personvernserklæring for bedriftskunder

Om oss og vår strategi 

St1 Nordic Oy og dets datterselskaper og alle andre enheter som tilhører St1-konsernet (heretter omtalt som «vi» eller «St1»), har som hovedvirksomhet å forske på og utvikle økonomisk levedyktige, CO2-bevisste energiløsninger. St1 fokuserer på markedsføring av drivstoff, oljeraffinering og fornybare energiløsninger som avfallsbasert avansert biodrivstoff og industriell vindkraft. Konsernet har over 1 200 stasjoner: ubemannede stasjoner, bensinstasjoner og lastebilstasjoner, samt et nettverk av gassdistribusjons- og ladestasjoner for elbiler i Finland, Sverige og Norge.

Vi tar ditt personvern på alvor. Vi er forpliktet til å beskytte personopplysningene til våre kunder, ansatte og samarbeidspartnere, og til å oppfylle våre personvernforpliktelser i henhold til personvernforordningen, samt andre relevante lover og forskrifter. 

Kontakt opplysninger

Identiteten til den behandlingsansvarlige for personopplysningene
St1 Nordic Oy
Data Protection
2082259-7 Tripla Workery West, Firdogatan 2, 00521 Helsingfors

Eventuelle spørsmål om behandlingen av dine personopplysninger kan sendes til St1-selskapet:  

St1 Oy
Tietosuoja
0201124-8
Tripla Workery West, Firdogatan 2, 00521 Helsingfors
dataprivacy@st1.fi

St1 Sverige AB
Dataskydd (Nordic DPO)
556308-5942
Box 11057
161 11 Bromma
dataprivacy@st1.se

St1 Norge AS
Databeskyttelse (Nordic DPO)
913 285 670
Postboks 1154 Sentrum
0107 Oslo
dataprivacy@st1.no

Behandling av personopplysninger

Personopplysninger innhentes fra følgende grupper registrerte personer.

Med kundeselskap menes St1s kundeselskaper som har inngått en avtale med St1, som definert i disse vilkårene. Disse selskapene har kontaktperson(er) hvis opplysninger behandles i forbindelse med selskapsinformasjonen. 

Med bruker menes både en kundebedrift og de ansatte i kundebedriften som har rett til å bruke tjenesten i kundebedriftens navn. 

Kilder til personopplysninger

St1 mottar personopplysninger direkte fra brukeren, f.eks. i forbindelse med bruk av produkter og tjenester, eller fra eksterne kilder, som beskrevet i tabellen nedenfor.

Personopplysninger vi mottar Kilder
Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet.

Personopplysninger kan innhentes fra kundeselskapet for levering av tjenester.

Personopplysninger kan innhentes fra andre IT-systemer i St1-selskapene i henhold til det som loven tillater 

I den grad loven tillater det, kan personopplysninger samles inn og oppdateres fra tredjeparts IT-systemer.

Opplysninger om informasjonskapsler eller andre samtykkemekanismer: opplysninger om teknisk informasjon, som brukerens IP-adresse, tidspunkt på dagen, besøkte sider og tid brukt på nettsteder.

Personopplysninger innhentes når du besøker St1s nettsted eller bruker mobil-applikasjonen.

Kredittsjekkinformasjon om kundebedrifter: kredittbeslutning og kredittovervåkning.  Leverandør av kredittsjekktjenester.

 

Formålet med behandlings av personopplysninger

I tabellen nedenfor finner du hvilke personopplysninger som behandles, formålet med behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen. Alle formålene gjelder for brukere, med mindre noe annet er dokumentert.

Formålet med behandlingen  Rettslig grunnlag Datatyper
Kundetjeneste  Kontrakt, rettslig grunnlag Navn, tittel, rolle, kontaktinformasjon, kjøpsdata og saks-/kommunikasjonshistorikk, samtaleopptak (der det er aktuelt) 
Opprettelse av kundekonto og levering av tjenester Kontrakt Navn adresse, tittel, rolle, kontaktinformasjon, medlemskap i fagforening/forening for kundeselskapet, SSN, kredittsjekkinformasjon, kontohendelser, aktivitetslogg  
Direkte markedsføring(digital) 

Legitime interesser for markedsføring av våre produkter og tjenester

Kunden kan reservere seg mot å motta digital markedsføring i forbindelse med hver enkelt markedsføringskommunikasjon.   

Navn, tittel, rolle, kontaktinformasjon, kjøpshistorikk, aktivitetslogg (e-post/App/MyPages/etc.), medlemskap i fagforening/-forbund for kundeselskapet (der det er tilgjengelig), historiske NPS-resultater, sted

Frivillige data: geografisk informasjon, kommunikasjonspreferanser og andre data som muliggjør persontilpasning. 

Styring av kundeforhold og profilering

Kontrakt, Berettiget interesse

Navn, kontaktinformasjon, tittel, rolle

Frivillige data: kjøpshistorikk, kommunikasjonspreferanser og andre data som muliggjør persontilpasning

Kundetilfredshet Legitime interesser for utviklingen av våre produkter Navn (servicemedarbeider, B2B-selger), tittel, rolle, tilfredshetsscore og fritekst (oppgitt av kunden),
Data om kundetilfredshet kobles sammen med CRM-kontodata
Kameraovervåkning (CCTV) Berettiget interesse for å ivareta sikkerheten til kundene, St1s ansatte og miljøet på stedet, beskytte St1s eiendeler ved å muliggjøre etterforskning av svindel og kriminell virksomhet og muliggjøre støtte i forbindelse med tvister i forbindelse med kundeservice

Videoopptak gjort på energistasjonene

 

Kredittprosesser og prosesser med formål om å bekrefte kundens identitet, herunder sanksjonsliste og kontroll av kundeselskapet med hensyn til bærekraft Kontrakt, juridisk forpliktelse Navn på representanter for selskapet, kontaktinformasjon, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning, informasjon om selskapsstrukturen og berettiget eier, eventuelle resultater fra kontrollene på sanksjonslister og andre relevante resultater av kontrollene .  
Finansielle prosedyrer ved behandling av selskapsdata for en kunde   Kontrakt, juridisk forpliktelse Navn, kontaktinformasjon, kontraktsinformasjon, SSN, bankkontonummer, fakturadata, kjøpsdata og andre finans- og bankdata 
Closed loop-betalingskort (St1- og Shell-kort) Kontrakt Navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet

 

 

Lagringstid

St1 har fastsatte lagringsperioder basert på formålet med behandlingen og gjeldende lovgivning. For eksempel krever regnskapsloven at vi lagrer personopplysningene dine i en viss periode. Vi gjennomgår personopplysningene vi samler inn regelmessig for å sikre at de personopplysningene vi har, er oppdaterte og ikke oppbevares lenger enn det som er nødvendig eller påkrevd i henhold til relevante lover.

Når gjeldende lovgivning ikke sier noe annet, skal lagringsperiodene defineres som følger:

Formålet med behandlingen Lagrindstid

Kundeservice; Navn, tittel, rolle, kontaktinformasjon, kjøpsdata og saks-/kommunikasjonshistorikk

36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester. Kundeservicesamtaler lagres i 365 dager fra samtalen ble tatt opp

Opprettelse av kundekonto og levering av tjenester;

navn, tittel, rolle, kontaktinformasjon, fagforeningsmedlemskap, SSN, kredittsjekkinformasjon, kontohistorikk, aktivitetslogg

36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester.

Direkte markedsføring (digital);

Navn, tittel, rolle, kontaktinformasjon, kjøpshistorikk, aktivitetslogg (e-post/App/Mine sider/etc.), medlemskap i fagforening/forbund for kundeselskapet (der det er tilgjengelig), historikk for NPS-resultater, sted 

 

Frivillige data: geografisk informasjon, kommunikasjonspreferanser og andre data som muliggjør persontilpasning

36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester.  

Styring av kundeforhold og profilering;

Navn, kontaktinformasjon, tittel, rolle

Frivillige data: kjøpshistorikk, kommunikasjons-preferanser og andre data som muliggjør person-tilpasning.

36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester 

Kundetilfredshet;

Navn (kundeservicemedarbeider, B2B-selger), tittel, rolle, tilfredshetsscore og fritekst (oppgitt av kunden), opplysninger om kundetilfredshet er knyttet til CRM-kontodata 

36 måneder fra siste aktivitet på St1s digitale kanaler eller fra siste kjøp av St1s produkter eller tjenester 
Kameraövervakning (CCTV) 
Videoopptak gjort på energistasjonene

Videoopptak slettes automatisk 30 dager etter opptaket. 

Hvis det oppstår en sikkerhetshendelse og opptakene er nødvendige for å etterforske hendelsen eller som bevismateriale, vil de relevante opptakene oppbevares lenger enn den normale oppbevaringsperioden så lenge det er nødvendig for disse formålene

Kredittprosesser og prosesser med formål om å bekrefte kundens identitet, herunder sanksjons-liste og kontroll av kundeselskapet med hensyn til bærekraft

Navn på representanter for selskapet, kontakt-informasjon, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kreditt-overvåkningsinformasjon om selskapsstrukturen og berettiget eier, eventuelle resultater fra kontrollene av sanksjonslister og andre relevante resultater av kontrollene

12 måneder fra mottak av avgjørelsen.

36 måneder for tidligere kunder fra kundeforholdets opphør.

AML- og KYC-prosessen: Opplysninger om kundekontroll oppbevares i fem år etter at det faste kundeforholdet er avsluttet. Ved sporadiske transaksjoner skal opplysningene oppbevares i fem år etter at transaksjonen er gjennomført (iht. lov om tiltak mot hvitvasking av penger og terrorfinansiering)

Finansielle prosedyrer ved behandling av selskapsdata for en kunde;

Navn, kontaktinformasjon, kontraktsinformasjon, SSN, bankkontonummer, fakturadata, kjøpsdata og andre finans- og bankdata

Opplysninger som behandles for regnskapsformål lagres i 6 år etter utløpet av det året regnskapsåret ble avsluttet (regnskapsloven)

Data som behandles for finansforvaltning, lagres i 10 år fra regnskapsårets slutt (regnskapsloven)

Andre finansielle data lagres i 10 år fra den datoen de ble innhentet.

Closed loop-betalingskort (St1- og Shell-kort);

Navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet
Data som lagres 6 år etter utløpet av det året regnskapsåret ble avsluttet (regnskapsloven)

St1 kan bli nødt til å utlevere visse opplysninger til offentlige myndigheter eller rettshåndhevende myndigheter når dette er lovpålagt. Vi gjør dette kun på grunnlag av en relevant rettslig kjennelse eller stevning utstedt av den aktuelle domstolen.   

Ved fusjoner eller oppkjøp kan den overtakende enheten få tilgang til relevante kundedata.

Mottakere av personopplysninger

St1 bruker tjenesteleverandører for å levere våre tjenester og for å bidra til effektiv drift av vår virksomhet. Som et ansvarlig selskap bruker vi alltid ulike kontraktsmessige og andre ordninger for å sikre at våre tjenesteleverandører behandler dine personopplysninger i samsvar med lovverket og prosedyrer for avansert databehandling.  

For å sikre konfidensialitet og et høyt beskyttelsesnivå for dine personopplysninger har vi en databehandleravtale med alle tjenesteleverandører som er involvert i behandlingen av personopplysninger. Våre tjenesteleverandører har ikke tillatelse til å behandle opplysningene dine på noen måte utover de avtalte tjenestene.

Mottakerne av våre data er beskrevet nedenfor.

Mottakere Personopplysninger

Selskaper som tilhører St1-konsernet

Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet

Leverandør av tjenester for administrasjon av kunderelasjoner. Opptre som databehandler på vegne av oss.

Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet

Markedsføringspartnere;

Opptre som databehandler på vegne av oss

Kontaktinformasjon

Leverandører av kredittsjekktjenester;

Fungerer som en uavhengig kontrollør
Navn, bankkontonummer, adresse, fakturadata
Kreditupplysningstjänster
Agerar som oberoende controller
Navn på selskapets representanter, e-post, adresse, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning
Tjänsteleverantörer för finansiella processer 
Agerar som personuppgiftsbiträde för vår räkning
 
Navn, kjøps- og finansielle data, bankkontonummer, adresse, fakturadata, andre bankdata  
Tjänsteleverantör av Shell betalkort
Agerar som oberoende controller

Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet

St1 kan bli nødt til å utlevere visse opplysninger til offentlige myndigheter eller rettshåndhevende myndigheter når dette er lovpålagt. Vi gjør dette kun på grunnlag av en relevant rettslig kjennelse eller stevning utstedt av den aktuelle domstolen.   

Ved fusjoner eller oppkjøp kan den overtakende enheten få tilgang til relevante kundedata.

Overføring av data utenfor EU/EES

Noen av våre tjenesteleverandører eller deres støttefunksjoner befinner seg utenfor EU og EØS. Når behandlingen innebærer overføring av personopplysninger utenfor EU eller EØS, bruker vi egnede sikkerhetstiltak for å sikre samme nivå av databeskyttelse

Mottakere Datatyper Plassering og overføringsmekanisme
Markedsføringspartnere Kontaktinformasjon USA: Kommisjonens beslutning om tilstrekkelighet
Leverandører av kredittsjekktjenester Navn på selskapets representanter, e-post, adresse, kredittinformasjon, kjøpshistorikk, kredittbeslutning, faktureringshistorikk, betalingshistorikk, kredittvurdering, kredittovervåkning UK: Kommisjonens beslutning om tilstrekkelighet

Tjenesteleverandør for closed loop-betalingskort

Alle typer personopplysninger: navn, kontaktinformasjon, kjøpshistorikk eller andre data som genereres i forbindelse med kundeforholdet UK: Kommisjonens beslutning om tilstrekkelighet


Sikkerhet for dine personopplysninger

St1 har nødvendige prosedyrer og retningslinjer plass for å beskytte dine person-opplysninger mot tap, misbruk eller tilgang for uvedkommende.

Vi gjør vårt ytterste for å sikre at dine personopplysninger holdes trygge og konfidensielle. Alle ansatte som er autorisert til å behandle dine personopplysninger, er forpliktet til å overholde taushetsplikten. Vi har en rollebasert tilgangskontroll, noe som betyr at hver enkelt ansatt får tilgang til ressurser og personopplysninger basert på den ansattes rolle og stillingsbeskrivelse. Alle nettverk og tjenester som brukes av våre ansatte, er beskyttet med egnede sikkerhetstiltak. 

Informasjonssystemene er beskyttet mot innsyn fra tredjeparter ved hjelp av ulike organisatoriske og tekniske metoder. Hver bruker har en personlig bruker-ID og et passord for innlogging i systemet. Tilgang til opplysningene er begrenset til personer som behandler de aktuelle personopplysningene som en del av sine arbeidsoppgaver.

Vi har en prosedyre for håndtering av brudd på datasikkerheten som gjør det mulig for oss å vurdere mulige risikoer, varsle relevante myndigheter og varsle deg dersom dine personopplysninger kan ha blitt berørt. Ved jevne mellomrom gir vi opplæring til alle våre ansatte for å sikre beskyttelse av dine personopplysninger.

  

Dine rettigheter

Du har visse rettigheter når det gjelder dine personopplysninger, for eksempel rett til innsyn, oppdatering, sletting og kopi av opplysningene. Vi ønsker å sikre at du kan utøve dine rettigheter på en effektiv måte. Eventuelle spørsmål om behandlingen av dine personopplysninger kan sendes til St1-selskapet i ditt bostedsland: i Sverige: dataprivacy@st1.se, i Finland: dataprivacy@st1.fi og i Norge: dataprivacy@st1.no. Du kan utøve dine rettigheter ved å sende en forespørsel til oss. Nedenfor finner du en liste over rettighetene dine og en forklaring av dem. 

Rett til informasjon Du har rett til å bli informert om vår organisasjon og detaljene i vår behandling av dine personopplysninger. I tillegg har du rett til informasjon om hvilke mottakere dine personopplysninger kan bli utlevert til.
Rett till innsyn Du har rett til å få vite at vi behandler dine personopplysninger, og du har rett til å få tilgang til disse opplysningene.
Rett till retting Du har rett til å be oss om å korrigere unøyaktige personopplysninger om deg.
Rett til sletting («retten til å bli glemt»)

Du har rett til å be om sletting av dine personopplysninger og din kundekonto. I visse tilfeller kan denne retten være begrenset av vår juridiske forpliktelse til å oppbevare slik informasjon i samsvar med obligatoriske lovbestemte begrensninger, som St1 vil informere deg om.

Hvis du ønsker å utøve dine rettigheter som registrert, for eksempel retten til å bli glemt, kan du kontakte St1 i landet der du bor. Hvis du bruker en mobilapp og ønsker å benytte deg av retten til å slette kontoen din, kan du åpne Profil i mobilappen og klikke på Fjern konto og følge instruksjonene.

Rett til begrensning Du har rett til å begrense behandlingen av dine personopplysninger. Begrensning av behandlingen betyr at vi begrenser behandlingen av visse opplysninger til kun å lagre dem. Vi minner om at en begrensning av behandlingen av dine personopplysninger kan ha negativ innvirkning på dine muligheter til å motta forventede produkter, varer eller tjenester fra oss.
Rett til dataportabilitet Du har rett til å be oss om å få personopplysningene dine i et strukturert, alminnelig anvendt og maskinlesbart format som gjør det mulig å overføre slike opplysninger til en annen behandlingsansvarlig.
Rett til å protestere I visse tilfeller har du rett til å protestere mot behandling av personopplysninger om deg. I slike tilfeller vil vi ta stilling til hvorvidt det rettslige grunnlaget for databehandlingen er tilstrekkelig for å fortsette behandlingen, eller om vi skal slutte å behandle dine personopplysninger.
Rettigheter knyttet til automatiserte avgjørelser

Du har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, og som har rettslige eller lignende virkninger for deg. Det betyr at du har rett til å kreve menneskelig inngripen for å få oversikt over beslutningene som tas i løpet av automatisert behandling.

I løpet av søknadsprosessen for kortet har St1 en automatisk godkjenningsprosess, dersom kriteriene for selskapet og for den omsøkte kreditten er oppfylt.

Rett til å trekke tilbake samtykke

Hvis behandlingen av personopplysninger er basert på ditt samtykke, har du rett til når som helst å trekke tilbake samtykket uten forbehold. Dette vil imidlertid ikke påvirke lovligheten av behandlingen basert på samtykke før det trekkes tilbake..

Rett til å klage til tilsynsmyndigheten

Hvis du mener at behandlingen av personopplysninger om deg er i strid med personvernforordningen, har du rett til å klage til din lokale personvernmyndighet.  Klager på St1s handlinger med hensyn til personvernforordningen kan sendes til tilsynsmyndigheten der den registrerte har sitt vanlige bosted, eller alternativt til St1s ledende tilsynsmyndighet, den finske dataombudsmannen. Du finner mer informasjon om din rett til personvern på dataombudsmannens nettsted: https: //www.tietosuoja.fi.

I Norge er det Datatilsynet som fører tilsyn med at personvern-forordningen etterleves. Du finner mer informasjon om dine rettigheter på Datatilsynets nettsider https://www.datatilsynet.no/.

Vær oppmerksom på at forespørselen må være tilstrekkelig spesifikk, ettersom forespørslene vil bli vurdert fra sak til sak, og vi må verifisere identiteten til kunden som sender inn forespørsel før vi kan svare på eller oppfylle forespørselen.

Vi vil varsle deg hvis vi ikke kan oppfylle forespørselen i enkelte henseender, for eksempel å slette informasjon som vi har rett til å oppbevare, blant annet i forbindelse med utførelsen av avtalen eller på grunn av St1s lovpålagte forpliktelser.

Hvis du trenger mer informasjon eller hjelp med å utøve dine rettigheter, eller hvis du har andre spørsmål knyttet til behandlingen av opplysningene dine eller denne personvernerklæringen, kan du kontakte oss ved å bruke kontaktinformasjonen til St1-selskapet i landet der du bor, som er oppgitt ovenfor.

Endringer i denne erklæringen

Vi forbeholder oss retten til å oppdatere denne personvernerklæringen dersom det oppstår endringer i vår virksomhet. I slike tilfeller forsøker vi å varsle deg om oppdateringene.

Denne personvernerklæringen for B2B-kunder er sist oppdatert 1.6.2024.