Integritetspolicy för privatkunder

Integritetspolicy för privatkunder från och med 1 november 2023

Personuppgiftspolicy, version 16.6.2021-31.10.2023.

Om oss och vår strategi 

St1 Nordic Oy och dess dotterbolag och övriga enheter som tillhör St1-koncernen (hädanefter ”Vi” eller ”St1”) har som huvudsakligt mål att forska och utveckla ekonomiskt hållbara och CO2-medvetna energilösningar. St1 fokuserar på bränslemarknadsföring, oljeraffinering och förnybara energilösningar, som avfallsbaserade, avancerade biobränslen och industriell vindkraft. Koncernen har över 1200 anläggningar – obemannade bensinstationer och servicestationer samt anläggningar för tunga fordon (HGV), nätverk för gasdistribution och laddningsstationer för elbilar i Finland, Sverige och Norge. 

Vi tar skyddet av dina personuppgifter på största allvar. Vi strävar efter att skydda våra kunders, anställdas och samarbetspartners personuppgifter och att uppfylla våra dataskyddsförpliktelser under den allmänna dataskyddsförordningen (även kallad GDPR), samt andra relevanta lagar och förordningar. 

Kontaktuppgifter

Den personuppgiftsansvariges identitet
St1 Nordic Oy
Data Protection
2082259-7Tripla Workery West, Firdogatan 2, 00521 Helsingfors

Eventuella frågor om behandlingen av dina personuppgifter kan skickas till St1-bolaget i det land där du är bosatt:  

St1 Oy
Tietosuoja
0201124-8
Tripla Workery West, Firdogatan 2, 00521 Helsingfors
dataprivacy@st1.fi

St1 Sverige AB
Dataskydd (Nordic DPO)
556308-5942
Box 11057
161 11 Bromma
dataprivacy@st1.se

St1 Norge AS
Databeskyttelse (Nordic DPO)
913 285 670
Postboks 1154 Sentrum
0107 Oslo
dataprivacy@st1.no

Behandling av personuppgifter

Personuppgifternas ursprung

Vi kan komma att ta emot personuppgifter direkt från dig. Personuppgifter samlas in antingen i samband med leverans av produkter eller tjänster eller när du besöker vår webbplats.

Vi kan ta emot informationen från externa källor, i enlighet med tabellen nedan.

Personuppgifter vi tar emot Källa
Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen

Personuppgifter kan erhållas från IT-system hos andra St1-bolag på ett sätt som är tillåtet under tillämplig lagstiftning  

I den utsträckning lagen tillåter detta kan personuppgifter samlas in och uppdateras från tredje parts IT-system 

Cookieinformation: teknisk identifierare, som till exempel användarens IP-adress, tidpunkt, sidor som besökts och tid som tillbringats på webbplatsen  Personuppgifter inhämtas vid besök på St1-webbplatsen eller mobilapplikationen

 

Syftet med behandlingen av personuppgifter

I tabellen nedan beskrivs vilka personuppgifter som behandlas i vilka syften och vilka de rättsliga grunderna för sådan behandling är.

Behandlingens syfte  Rättslig grund Personuppgiftstyper
Kundtjänst  Avtal, rättslig förpliktelse Namn, kontaktuppgifter, inköpsuppgifter och ärende-/kommunikationshistorik
Skapa kundkonton och leverera tjänster Avtal Namn, kontaktuppgifter, information om medlemskap i förening, kundgrupp, kontohändelser, aktivitetslogg, medlemskap i St1- eller tredjeparts kundprogram  
Direktmarknadsföring (digital) 

Samtycke

Kunden kan hantera marknadsföringssamtycke genom att logga in i mobilapplikationen eller kontakta St1:s kundtjänst. Samtycket för användning av platsdata hanteras i mobilapplikationen och inställningarna kan ändras från kundens mobila enhet. 

Namn, kontaktuppgifter, eventuellt marknadsföringssamtycke, inköpshistorik, aktivitetslogg (e-post/app/Mina Sidor/etc.), föreningsinformation (i förekommande fall), historiska NPS-resultat, plats, medlemskap i St1- eller tredjeparts kundprogram   

Frivilliga data: platsinformation, kommunikationspreferenser och andra data som möjliggör personanpassning

Kundrelationshantering och profilering

Avtal, samtycke 

Kunden kan hantera marknadsföringssamtycke genom att logga in i mobilapplikationen eller kontakta St1:s kundtjänst. Samtycket för användning av platsdata hanteras i mobilapplikationen och inställningarna kan ändras från kundens mobila enhet.

Kontaktuppgifter

Frivilliga uppgifter: platsinformation, kommunikationspreferenser och andra uppgifter som möjliggör personanpassning
 

Kundnöjdhet  Berättigat intresse för att utveckla våra produkter och tjänster. Att besvara kundnöjdhetsundersökningen är frivilligt  Namn, nöjdhetspoäng och fritext (som kunden tillhandahåller), kundnöjdhetsuppgifter är kopplade till Salesforce-kontodata, kundtjänstmedarbetarens namn
Kameraövervakning (CCTV) Berättigat intresse för att skapa trygghet och säkerhet för kunder, St1-medarbetare och omgivningarna på anläggningen, skydda St1:s tillgångar genom att möjliggöra utredningar av bedrägerier och brott samt kunna ge stöd i händelse av kundtjänsttvister.

Videomaterial inspelat på stationer

 

Handelsinitierade transaktioner (Merchant-Initiated Transaction, MIT) för laddning av elbilar (Electrical Vehicle Charging, EVC) Avtal Födelsedatum, namn, adress.

 

 

Bevarande av personuppgifter

Vi har fastställt lagringstider – alltså hur lång tid vi sparar personuppgifter – baserat på syftet med behandlingen och tillämplig lagstiftning. Till exempel kräver tillämplig bokföringslagstiftning att vi lagrar dina personuppgifter under en viss period. Vi granskar regelbundet de personuppgifter vi samlar in för att säkerställa att de personuppgifter vi har är uppdaterade och inte sparas längre än vad som behövs eller krävs under relevant lag.

När lagringstid inte begränsas av tillämplig lagstiftning bevarar vi personuppgifter i enlighet med följande:

Behandlingens syfte Bevarandetid

Kundtjänst 
Namn, kontaktuppgifter, inköpsuppgifter och ärende-/kommunikationshistorik

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Kundtjänstsamtal lagras i 365 dagar från inspelningen av samtalet
 

Skapa kundkonton och leverera tjänster 
Namn, kontaktuppgifter, medlemsdata för fackförbund/förening, kundgrupp, kontohändelser, aktivitetslogg, medlemskap i St1- eller tredjeparts kundprogram  

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Direktmarknadsföring (digital)

Namn, kontaktuppgifter, eventuellt marknadsföringssamtycke, inköpshistorik, aktivitetslogg (e-post/app/Mina Sidor/etc.), föreningsinformation (i förekommande fall), historiska NPS-resultat, plats, medlemskap i St1- eller tredjeparts kundprogram 

Frivilliga data: platsinformation, kommunikationspreferenser och andra data som möjliggör personanpassning
 

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 

Kundrelationshantering och profilering  
Kontaktuppgifter 

Frivilliga uppgifter: platsinformation, kommunikationspreferenser och andra uppgifter som möjliggör personanpassning

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Kundnöjdhet

Namn, nöjdhetspoäng och fritext (som kunden tillhandahåller), kundnöjdhetsuppgifter är kopplade till Salesforce-kontodata, kundtjänstmedarbetarens namn

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1
Kameraövervakning (CCTV) 
Videomaterial inspelat på bensinstationerna

Videomaterial raderas automatiskt 30 dagar efter inspelningen

Om en säkerhetsincident inträffar och inspelningarna är nödvändiga som bevis eller för att utreda händelsen ytterligare sparas relevant material längre än den normala bevarandetiden, så länge det är nödvändigt för dessa ändamål. 

Handelsinitierad transaktion (Merchant-Initiated Transaction, MIT) för laddning av elbilar ((Electrical Vehicle Charging, EVC). På marknader där St1 erbjuder EVC och MIT som tjänst.

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Om du vill ha mer detaljerad information om våra bevarandetider är du välkommen att kontakta oss genom att skicka en förfrågan till vår e-postadress för dataskyddsfrågor.

Mottagare av personuppgifter

Vi använder tjänsteleverantörer för att tillhandahålla våra tjänster och för att bedriva vår verksamhet på ett effektivt sätt. Som ansvarstagande företag ingår vi alltid avtal och andra använder arrangemang för att säkerställa att våra tjänsteleverantörer behandlar dina personuppgifter i enlighet med tillämplig lag och vedertagna databehandlingsmetoder.  
 
För att säkerställa konfidentialitet och en hög skyddsnivå för dina personuppgifter ingår vi personuppgiftsbiträdesavtal med varje tjänsteleverantör som är involverad i behandlingen av personuppgifter. Våra tjänsteleverantörer har inte tillstånd att behandla dina personuppgifter för andra syften än att tillhandahålla de avtalade tjänsterna. 

Mottagarna av personuppgifter beskrivs nedan. 

Mottagare  Personuppgiftstyper

Företag som tillhör St1-koncernen 

Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen

Tjänsteleverantörer av kundadministrationsverktyg
Agerar som personuppgiftsbiträde för vår räkning

Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen

Samarbetsföretag inom marknadsföring
Agerar som personuppgiftsbiträde för vår räkning

Kontaktuppgifter
Partner som tillhandahåller insamlingstjänster för tjänsten Handelsinitierad transaktion (Merchant-initiated transaction, MIT).  Födelsedatum, namn, adress.
Partner som tillhandahåller tredje parts kundprogram Medlemsnummer och verifiering av aktivering av medlemskap, tanktransaktioner.

Vi kan behöva lämna ut viss information till myndigheter, exempelvis rättsvårdande myndigheter, när så krävs enligt lag. Vi gör enbart detta på grundval av ett juridiskt tvingande beslut eller dom samt när så annars krävs för att skydda St1:s intressen i juridiska processer.  

I händelse av fusioner eller förvärv kan den förvärvande juridiska personen få tillgång till relevanta kunddatatillgångar.

Dataöverföringar utanför EU/EES

Vissa av våra tjänsteleverantörer eller deras supportfunktioner befinner sig utanför Europeiska unionen och europeiska ekonomiska samarbetsområdet. När behandlingen innebär överföring av personuppgifter utanför EU eller EES använder vi lämpliga skyddsåtgärder för att säkerställa en likvärdig dataskyddnivå som säkerställs genom GDPR.

Mottagare Personuppgiftstyper Plats och överföringsmekanism
Samarbetsföretag inom marknadsföring  Kontaktuppgifter  USA: Kommissionens beslut om adekvat skyddsnivå

 

Dina personuppgifters säkerhet

Vi har säkerhetspolicyer och rutiner på plats för att skydda dina personuppgifter från förlust, missbruk eller obehörig åtkomst.

Alla medarbetare som är behöriga att behandla dina uppgifter har åtagit sig att iaktta konfidentialitet. Vi tillämpar rollbaserad åtkomstkontroll, vilket innebär att varje medarbetare ges tillgång till resurser och personuppgifter utifrån denna medarbetares roll och arbetsbeskrivning. Alla nätverk och tjänster som används av våra anställda skyddas med lämpliga säkerhetsarrangemang. 

Fysiska data lagras i låsta lokaler. Sådana uppgifter får endast behandlas av personer som har ett berättigat skäl att behandla uppgifterna som är relaterat till deras arbetsuppgifter.

Informationssystemen skyddas av olika organisatoriska och tekniska metoder från åtkomst av obehörig tredje part. Varje användare har personliga användarnamn och lösenord för att logga in i systemet. Åtkomsten till personuppgifter är begränsad till personer som måste behandla personuppgifterna i fråga som en del av sina arbetsuppgifter.

Vi harrutiner på plats för att hantera dataintrång som gör det möjligt för oss att bedöma möjliga risker, meddela relevanta myndigheter och informera dig om dina personuppgifter kan vara exponerade i ett dataintrång. Vi utbildar regelbundet alla medarbetare för att säkerställa skyddet av dina personuppgifter. 

Dina rättigheter 

Du har vissa rättigheter gällande dina personuppgifter, som till exempel rätten att få tillgång till, uppdatera, radera och få en kopia av dina personuppgifter. Vår ambition är att säkerställa att du kan utöva dina rättigheter på ett effektivt sätt. Eventuella frågor angående behandlingen av dina personuppgifter kan skickas till St1 i ditt hemland: i Sverige: dataprivacy@st1.se, i Finland: dataprivacy@st1.fi och i Norge: dataprivacy@st1.no. Du kan utöva dina rättigheter genom att skicka en begäran till oss. En lista över dina rättigheter och en förklaring av dem ges nedan. 

Rätt att bli informerad Du har rätt att bli informerad om Vår behandling av dina personuppgifter. Dessutom har du rätt att få information om de mottagare som dina personuppgifter kan komma att lämnas ut till, dina rättigheter och viss annan information som framgår i denna policy. 
Rätt till tillgång Du har rätt att få veta om vi behandlar dina personuppgifter och i så fall tillgång till dessa personuppgifter. 
Rätt till rättelse Du har rätt att begära att vi korrigerar felaktiga personuppgifter om dig.
Rätt till radering (”rätten att bli bortglömd”)

Du har rätt att begära radering av dina personuppgifter och kundkonto. I vissa fall kan denna rättighet begränsas av en rättslig förpliktelse som kräver behandling av dina personuppgifter i enighet med tillämplig lag, i vilket fall vi kommer att informera dig om den rättsliga förpliktelsen. 

Om du vill utöva dina rättigheter som registrerad, till exempel rätten att bli glömd, vänligen kontakta St1 i ditt hemland. Om du är en mobilapplikationsanvändare och vill utöva din rätt att radera ditt konto, öppna applikationen St1 Mobility, gå in under din ”Profil” och klicka på ”Radera konto” och följ sedan instruktionerna.

Rätt att begränsa behandlingen  Du har rätt att få behandlingen av dina personuppgifter begränsad. En begränsning av behandlingen innebär att vi kommer att begränsa behandlingen av vissa uppgifter så att vi enbart lagrar dem. Tänk på att en begränsning av vår behandling av dina personuppgifter kan få negativa konsekvenser för dina möjligheter att ta emot produkter, varor eller tjänster från oss. 
Rätt till dataportabilitet  Du har rätt att begära ut vissa av dina personuppgifter från oss i ett strukturerat, allmänt använt och maskinläsbart format som gör det möjligt för dig att överföra dina uppgifter till en annan personuppgiftsansvarig. 
Rätt att göra invändningar mot behandlingen I vissa fall har du rätt att invända mot behandlingen av personuppgifter som rör dig. I så fall kommer vi att analysera om den rättsliga grunden för personuppgiftsbehandlingen är tillräcklig för att fortsätta behandlingen, och om så inte är fallet kommer vi att sluta behandla dina personuppgifter.
Rättigheter relaterade till automatiserade beslutsprocesser

Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling som ger rättsliga följder  eller andra liknande konsekvenser för dig. Det innebär att du har rätt att kräva personlig kontakt i syfte att överblicka de beslut som fattats med hjälp av automatiserad behandling. 

För närvarande tillämpar inte St1 automatiska beslutsprocesser som kan få rättsliga följder eller andra liknande betydande konsekvenser för dig. Om sådana beslutsprocesser skulle tillämpas i våra tjänster informerar vi dig om detta i St1:s integritetspolicy.

Rätt att dra tillbaka samtycke

Om behandlingen av personuppgifter baseras på ditt samtycke har du rätt att när som helst ovillkorligen återkalla ditt samtycke. Detta påverkar emellertid inte lagligheten av behandling av dina personuppgifter som baserats på samtycke innan återkallandet.

Vi använder samtycke som rättslig grund för behandling. Se ytterligare detaljer ovan.

Rätten att inkomma med klagomål till en tillsynsmyndighet

Om du anser att behandlingen av personuppgifter som rör dig bryter mot GDPR har du rätt att inkomma med klagomål till din lokala dataskyddsmyndighet.  Klagomål gällande St1:s agerande med avseende på dataskyddslagstiftning kan lämnas till tillsynsmyndigheten i det land där du som registrerad har hemvist, eller alternativt till St1:s ansvariga tillsynsmyndighet, Dataombudsmannens byrå i Finland. Ytterligare information om din rätt till dataskydd finns på Dataombudsmannens webbplats på: https://www.tietosuoja.fi

I Sverige är det Integritetsskyddsmyndigheten (IMY) som utövar tillsyn över att dataskyddslagstiftningen i Sverige följs. Ytterligare information om skydd av personuppgifter finns på Integritetsmyndighetens webbplats (IMY): https://www.imy.se.

I Norge är det Datatilsynet som utöver tillsyn över att dataskyddslagstiftningen i Norge följs. Ytterligare information om dina rättigheter finns på Datatilsynets webbplats https://www.datatilsynet.no

 

En begäran om att utöva rättigheter måste vara tillräckligt specificerad för att St1 ska kunna hantera den. Detta eftersom begäranden kommer att utvärderas från fall till fall och vi måste verifiera identiteten på den kund som inkommer med begäran innan vi kan svara eller agera på den.

Vi kommer att meddela dig om vi av olika anledningar inte kan uppfylla begäran, bland annat när det gäller att radera information som vi har rätt att behålla, till exempel på grund av ett avtals verkställighet eller på grund av St1:s rättsliga skyldigheter.

Om du behöver mer information eller hjälp med att utöva dina rättigheter, eller om du har andra frågor relaterade till behandlingen av dina personuppgifter eller denna integritetspolicy, ska du kontakta oss via ovanstående kontaktuppgifter till St1-bolaget i det land du har hemvist. 

Ändringar i denna integritetspolicy

Vi förbehåller oss rätten att uppdatera denna integritetspolicy vid förändringar av vår behandling av personuppgifter. I en sådan situation meddelar vi dig om uppdateringarna.

Denna integritetspolicy för privatkunder uppdaterades senast 1.11.2023.