Integritetspolicy för företagskunder

Om oss och vår strategi 

St1 Nordic Oy och dess dotterbolag och övriga enheter som tillhör St1-koncernen (hädanefter ”Vi” eller ”St1”) har som huvudsakligt mål att forska och utveckla ekonomiskt hållbara och CO2-medvetna energilösningar. St1 fokuserar på bränslemarknadsföring, oljeraffinering och förnybara energilösningar, som avfallsbaserade, avancerade biobränslen och industriell vindkraft. Koncernen har över 1200 anläggningar – obemannade bensinstationer och servicestationer samt anläggningar för tunga fordon (HGV), nätverk för gasdistribution och laddningsstationer för elbilar i Finland, Sverige och Norge.

Vi tar skyddet av dina personuppgifter på största allvar. Vi strävar efter att skydda våra kunders, anställdas och samarbetspartners personuppgifter och att uppfylla våra dataskyddsförpliktelser under den allmänna dataskyddsförordningen (även kallad GDPR), samt andra relevanta lagar och förordningar. 

Kontaktuppgifter

Den personuppgiftsansvariges uppgifter
St1 Nordic Oy
Data Protection
2082259-7 Tripla Workery West, Firdogatan 2, 00521 Helsingfors

Eventuella frågor om behandlingen av dina personuppgifter kan skickas till St1-bolaget i det land där du är bosatt:  

St1 Oy
Tietosuoja
0201124-8
Tripla Workery West, Firdogatan 2, 00521 Helsingfors
dataprivacy@st1.fi

St1 Sverige AB
Dataskydd (Nordic DPO)
556308-5942
Box 11057
161 11 Bromma
dataprivacy@st1.se

St1 Norge AS
Databeskyttelse (Nordic DPO)
913 285 670
Postboks 1154 Sentrum
0107 Oslo
dataprivacy@st1.no

Behandling av personuppgifter

Personuppgifter inhämtas från följande grupper av registrerade:

Med Kundföretag avses St1:s kundföretag som har ingått avtal med St1 i enlighet med dessa villkor. Dessa företag har en eller flera kontaktpersoner, vilkas uppgifter behandlas i samband med uppgifterna om företaget.
Med Användare avses både kundföretaget och kundföretagets anställda som har rätt att använda tjänsten på kundföretagets vägnar. 
 

Personuppgifternas ursprung

Vi tar emot personuppgifter direkt från användaren t.ex. i samband med att produkter och tjänster nyttjas eller från externa källor, i enlighet med tabellen nedan.

Personuppgifter vi tar emot Källa
Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen

Personuppgifter kan erhållas från kundföretaget i syfte att tillhandahålla tjänster 

Personuppgifter kan erhållas från andra IT-system hos St1-bolag på ett sätt som är tillåtet under tillämplig lagstiftning

I den utsträckning lagen tillåter detta kan personuppgifter samlas in och uppdateras från tredje parts IT-system

Cookieinformation: teknisk identifierare, som till exempel användarens IP-adress, tidpunkt, sidor som besökts och tid som tillbringats på webbplatsen

Personuppgifter inhämtas vid besök på St1’s webbsida eller vid användning av mobilapplikationen.

Kreditupplysningar som gäller kundföretaget: kreditbeslut och kreditkontroll  Kreditupplysningstjänst 

 

Syftet med behandlingen av personuppgifter

I tabellen nedan beskrivs vilka personuppgifter som behandlas i vilka syften och vilka de rättsliga grunderna för sådan behandling är. Alla syften gäller användare om inte annat nämns. 

Behandlingens syfte  Rättslig grund Personuppgiftstyper
Kundtjänst  Avtal, rättslig förpliktelse Namn, titel, roll, kontaktuppgifter, inköpsuppgifter och ärende-/kommunikationshistorik, samtalsinspelningar (då det är tillämpligt) 
Skapa kundkonton och leverera tjänster Avtal Namn, adress, titel, roll, kontaktuppgifter, kundföretagets medlemskap i arbetsgivarorganisationer/ föreningar, personnummer, kreditupplysningar, kontohändelser, aktivitetslogg 
Direktmarknadsföring (digital) 

Berättigat intresse för marknadsföring av våra produkter och tjänster 
 
Kunden kan välja att inte längre ta emot digital marknadsföring i samband med varje marknadsföringskommunikation.  

Namn, titel, roll, kontaktuppgifter, inköpshistorik, aktivitetslogg (E-post/App/MinaSidor/etc.), kundföretagets medlemskap i arbetsgivarorganisationer/ föreningar (om tillgängligt), historiska NPS resultat, plats


Frivilliga uppgifter: platsinformation, kommunikationspreferenser och annan data som möjliggör personanpassning.  
 

Kundrelationshantering och profilering

Avtal, Berättigat intresse

Namn, kontaktuppgifter, titel, roll 

Frivilliga uppgifter: inköpshistorik, kommunikationspreferenser och annan data som möjliggör personanpassning

 

Kundnöjdhet  Berättigat intresse för att utveckla våra produkter Namn (kundförmedlare, B2B försäljare), titel, roll, nöjdhetspoäng och fri text (som kunden tillhandahåller),
Kundnöjdhetsuppgifter är kopplade till CRM kontodata
Kameraövervakning (CCTV) Berättigat intresse för att skapa trygghet och säkerhet för kunder, St1-medarbetare och omgivningarna på anläggningen, skydda St1:s tillgångar genom att möjliggöra utredningar av bedrägerier och brott samt kunna ge stöd i händelse av kundtjänsttvister.

Videomaterial inspelat på stationer

 

Kredit- och KYC-processer, som inkluderar sanktionslistor och hållbarhetskontroller av kundföretaget  Avtal, lagstadgad skyldighet Namn på företagets företrädare, kontaktuppgifter, kreditupplysningar, inköpshistorik, kreditbeslut, faktureringshistorik, betalningshistorik, kreditvärdighet, kreditkontroll, uppgifter om företagsstruktur och förmånstagare, eventuella resultat från kontroll av sanktionslistor samt andra relevanta resultat från kontroller.  
Finansiella processer där kundföretagets uppgifter behandlas  Avtal, lagstadgad skyldighet  Namn, kontaktuppgifter, avtalsuppgifter, personbeteckning, bankkontonummer, fakturauppgifter, inköpsdata och annan ekonomisk eller bankrelaterad data 
Betalkort (St1- och Shellkort)  Avtal Namn, kontaktuppgifter, inköpshistorik eller annan data som uppstår som en följd av kundförhållandet

 

 

Lagringstider

Vi har fastställt lagringstider – alltså hur lång tid vi sparar personuppgifter – baserat på syftet med behandlingen och tillämplig lagstiftning. Till exempel kräver tillämplig bokföringslagstiftning att vi lagrar dina personuppgifter under en viss period. Vi granskar regelbundet de personuppgifter vi samlar in för att säkerställa att de personuppgifter vi har är uppdaterade och inte sparas längre än vad som behövs eller krävs under relevant lag.


När lagringstid inte begränsas av tillämplig lagstiftning bevarar vi personuppgifter enligt följande:

Behandlingens syfte Bevarandetid

Kundtjänst 
Namn, kontaktuppgifter, inköpsuppgifter och ärende-/kommunikationshistorik

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Kundtjänstsamtal lagras i 365 dagar från inspelningen av samtalet
 

Skapa kundkonton och leverera tjänster
Namn, titel, roll, kontaktuppgifter, medlemsuppgifter om intresseorganisation/förening, personbeteckning, kreditupplysningar, kontohändelser, aktivitetslogg

36 månader från den senaste aktiviteten i St1:s
digitala kanaler eller från det senaste köpet av
produkter eller tjänster från St1

Direktmarknadsföring (digital)
Namn, titel, roll, kontaktuppgifter, inköpshistorik, aktivitetslogg (E-postl/App/MinaSidor/etc.), kundföretagets medlemskap i intresseorganisation/förening (om tillgängligt), historiska NPS-resultat, plats

Frivilliga uppgifter: platsdata, kommunikationspreferenser och annan data som möjliggör personanpassning

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 

Kundrelationshantering och profilering
Namn, kontaktuppgifter, titel, roll

Frivilliga uppgifter: inköpshistorik,
kommunikationspreferenser och andra uppgifter
som möjliggör personanpassning

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1

Kundnöjdhet


Namn (kundförmedlare, B2B försäljare), titel, roll, nöjdhetspoäng och fri text (som kunden tillhandahåller),
Kundnöjdhetsuppgifter är kopplade till CRM kontodata 

36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1
Kameraövervakning (CCTV) 
Videomaterial inspelat på bensinstationerna

Videomaterial raderas automatiskt 30 dagar
efter inspelningen

Om en säkerhetsincident inträffar och inspelningarna är nödvändiga som bevis eller för att utreda händelsen ytterligare sparas relevant material längre än den normala lagringstiden, så länge det är nödvändigt för dessa ändamål.

Kredit- och KYC-processer, som inkluderar sanktionslistor och hållbarhetskontroller av kundföretaget
Namn på företagets företrädare, kontaktuppgifter, kreditupplysningar, inköpshistorik, kreditbeslut, faktureringshistorik, betalningshistorik, kreditvärdighet, kreditkontroll, uppgifter om företagsstruktur och förmånstagare, eventuella resultat från kontroll av sanktionslistor samt andra relevanta resultat från kontroller.

12 månader från det beslutet meddelats. 36 månader för tidigare kunder från och med det kundförhållandet upphört. 

AML- och KYC-processer: Kundkännedomsdata (customer due diligence data) lagras i fem år efter det att det permanenta kundförhållandet upphört. Vid enstaka transaktioner lagras data i fem år efter att transaktionen fullbordats (Lagen om förhindrande av penningtvätt och av finansiering av terrorism)
 

Finansiella processer där kundföretagets uppgifter behandlas
Namn, kontaktuppgifter, avtalsuppgifter, personbeteckning, bankkontonummer, fakturauppgifter, inköpsdata och andra ekonomiska eller bankrelaterade data

Uppgifter som behandlas I bokföringssyfte lagras i 6 år efter utgången av det år då bokföringsperioden avslutas (Bokföringslagen)

Uppgifter som behandlas för beskattningssyfte lagras i 10 år från avslutad bokföringsperiod (Bokföringslagen)

Andra ekonomiska uppgifter lagras i 10 år från det de inhämtats.

Betalkort (St1- och Shellkort)
Namn, kontaktuppgifter, inköpshistorik eller annan data som uppstår som en följd av kundförhållandet
Uppgifter lagras i 6 år efter utgången av det år då bokföringsperioden avslutas (Bokföringslagen)

Om du vill ha mer detaljerad information om våra bevarandetider är du välkommen att kontakta oss genom att skicka en förfrågan till vår e-postadress för dataskyddsfrågor.

Mottagare av personuppgifter

Vi använder tjänsteleverantörer för att tillhandahålla våra tjänster och för att bedriva vår verksamhet på ett effektivt sätt. Som ansvarstagande företag ingår vi alltid avtal och tillämpar andra arrangemang för att säkerställa att våra tjänsteleverantörer behandlar dina personuppgifter i enlighet med tillämplig lag och vedertagna databehandlingsmetoder.


För att säkerställa konfidentialitet och en hög skyddsnivå för dina personuppgifter ingår vi avtal om behandling av personuppgifter med varje tjänsteleverantör som är involverad i behandlingen av personuppgifter. Våra tjänsteleverantörer har inte tillstånd att behandla dina personuppgifter för andra syften än att tillhandahålla de avtalade tjänsterna.


Mottagarna av personuppgifter beskrivs nedan
 

Mottagare  Personuppgiftstyper

Företag som tillhör St1-koncernen 

Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som uppstår dom en följd av kundrelationen

Tjänsteleverantörer av kundadministrationsverktyg
Agerar som personuppgiftsbiträde för vår räkning

Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som uppstår som en följd av kundrelationen
 

Samarbetsföretag inom marknadsföring
Agerar som personuppgiftsbiträde för vår räkning

Kontaktuppgifter
Finansiella revisionsföretag
Agerar som oberoende controller
Namn, bankkontonummer, adress, fakturauppgifter 
Kreditupplysningstjänster
Agerar som oberoende controller
Namn på företagets företrädare, e-post, adress, kreditupplysningar, inköpshistorik, kreditbeslut, faktureringshistorik, betalningshistorik, kreditvärdighet, kreditkontroll 
Tjänsteleverantörer för finansiella processer 
Agerar som personuppgiftsbiträde för vår räkning
 
Namn, transaktionsdata och finansiella data, bankkontonummer, adress, fakturauppgifter, övriga bankrelaterade uppgifter 
Tjänsteleverantör av Shell betalkort
Agerar som oberoende controller
All sorts personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som uppstår som en följd av kundrelationen
 

Vi kan behöva lämna ut viss information till myndigheter, exempelvis rättsväsendet, när så krävs enligt lag. Vi gör enbart detta på grundval av ett juridiskt tvingande beslut eller en stämning som utfärdats av behörig domstol. 

I händelse av fusioner eller förvärv kan den förvärvande juridiska personen få tillgång till relevanta kunduppgifter.
 

Dataöverföringar utanför EU/EES

Vissa av våra tjänsteleverantörer eller deras supportfunktioner befinner sig utanför Europeiska unionen och europeiska ekonomiska samarbetsområdet. När behandlingen innebär överföring av personuppgifter utanför EU eller EES tillämpar vi tillräckliga skyddsåtgärder för att säkerställa en likvärdig dataskyddnivå. 

Mottagare Personuppgiftstyper Plats och överföringsmekanism
Marknadsföringspartners Kontaktuppgifter  USA: Kommissionens beslut om adekvat skyddsnivå
Kreditupplysningstjänster Namn på företagets företrädare, e-post, adress, kreditupplysningar, inköpshistorik, kreditbeslut, faktureringshistorik, betalningshistorik, kreditvärdighet, kreditkontroll Storbritannien: Kommissionens beslut om adekvat skyddsnivå
Tjänsteleverantör av betalkort All sorts personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra
uppgifter som uppstår som en följd av kundrelationen
Storbritannien: Kommissionens beslut om adekvat skyddsnivå

 

Dina personuppgifters säkerhet

Vi tillämpar en omfattande säkerhetspolicy och har procedurer på plats I syfte att skydda dina personuppgifter från stöld, missbruk och otillbörlig tillgång.


Vi gör vårt yttersta för att dina uppgifter skall hållas hemliga och säkra. Alla våra anställda med rätt att behandla dina uppgifter har åtagit sig tystandsplikt. Vi tillämpar en rollbaserad tillträdeskontroll, vilket innebär att varje anställd har tillträde till resurser och personuppgifter baserat på sin roll i företaget och sin arbetsbeskrivning. Alla nätverk och tjänster som våra anställda använder skyddas med tillbörliga säkerhetsåtgärder. 

IT-systemen är med hjälp av olika organisationsspecifika och tekniska metoder skyddade mot tillträde av utomstående. Varje användare har ett personligt användarnamn och lösenord för att logga in på systemet. Tillgången till uppgifterna är begränsad till de personer som behandlar aktuella personuppgifter som en del av sina arbetsuppgifter.  


Vi har procedurer på plats för att övervaka och sköta dataintrång. Dessa procedurer gör det möjligt för oss att utvärdera potentiella risker, informera relevanta myndigheter samt meddela dig om vi misstänker att dina personuppgifter har blivit utsatta. Vi skolar regelbundet vår personal i syfte att garantera att dina personuppgifter är i tryggt förvar.   
 

Dina rättigheter 

Du har vissa rättigheter gällande dina personuppgifter, som till exempel rätten att få tillgång till, uppdatera, radera och få en kopia av dina personuppgifter. Vår ambition är att säkerställa att du kan utöva dina rättigheter på ett effektivt sätt. Eventuella frågor angående behandlingen av dina personuppgifter kan skickas till St1 i ditt hemland: i Sverige: dataprivacy@st1.se, i Finland: dataprivacy@st1.fi och i Norge: dataprivacy@st1.no. Du kan utöva dina rättigheter genom att skicka en begäran till oss. En lista över dina rättigheter och en förklaring av dem ges nedan. 

Rätt att bli informerad Du har rätt att bli informerad om vår organisation och detaljerna som gäller vår behandling av dina personuppgifter. Dessutom har du rätt att få information om de mottagare som dina personuppgifter kan komma att lämnas ut till. 
Rätt till tillgång Du har rätt att få veta att vi behandlar dina personuppgifter och att vi har tillgång till dessa personuppgifter.
Rätt till rättelse Du har rätt att begära att vi korrigerar felaktiga personuppgifter om dig.
Rätt till radering (”rätten att bli bortglömd”)

Du har rätt att begära radering av dina personuppgifter och kundkonto. I vissa fall kan denna rättighet begränsas av en rättslig förpliktelse som kräver behandling av dina personuppgifter i enlighet med tillämplig lag, i vilket fall vi kommer att informera dig om den rättsliga förpliktelsen.

Om du vill utöva dina rättigheter som registrerad, till exempel rätten att bli glömd, vänligen kontakta St1 i ditt hemland. Om du är en mobilapplikationsanvändare och vill utöva din rätt att radera ditt konto, öppna applikationen, gå in under din ”Profil” och klicka på ”Radera konto” och följ sedan instruktionerna.

Rätt att begränsa behandlingen  Du har rätt att få behandlingen av dina personuppgifter begränsad. En begränsning av behandlingen innebär att vi kommer att begränsa behandlingen av vissa uppgifter så att vi enbart lagrar dem. Tänk på att en begränsning av vår behandling av dina personuppgifter kan få negativa konsekvenser för dina möjligheter att ta emot produkter, varor eller tjänster från oss.
Rätt till dataportabilitet  Du har rätt att begära ut dina personuppgifter från oss i ett strukturerat, allmänt använt och maskinläsbart format som gör det möjligt för dig att överföra dina uppgifter till en annan personuppgiftsansvarig.
Rätt att göra invändningar mot behandlingen I vissa fall har du rätt att invända mot behandlingen av personuppgifter som rör dig. I så fall kommer vi att analysera om den rättsliga grunden för personuppgiftsbehandlingen är tillräcklig för att fortsätta behandlingen, och om så inte är fallet kommer vi att sluta behandla dina personuppgifter.
Rättigheter relaterade till automatiserade beslutsprocesser

Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling som ger rättsliga följder eller andra liknande konsekvenser för dig. Det innebär att du har rätt att kräva personlig kontakt i syfte att överblicka de beslut som fattats med hjälp av automatiserad behandling.


I samband med kortansökningar tillämpar St1 en automatiserad beslutsprocess om kriterierna för företaget och den ansökta krediten uppfylls.

Rätt att dra tillbaka samtycke

Om behandlingen av personuppgifter baseras på ditt samtycke har du rätt att när som helst ovillkorligen återkalla ditt samtycke. Detta påverkar emellertid inte lagligheten av behandling av dina personuppgifter som baserats på samtycke innan återkallandet.

Rätten att inkomma med klagomål till en tillsynsmyndighet

Om du anser att behandlingen av personuppgifter som rör dig bryter mot GDPR har du rätt att inkomma med klagomål till din lokala dataskyddsmyndighet.  Klagomål gällande St1:s agerande med avseende på dataskyddslagstiftning kan lämnas till tillsynsmyndigheten i det land där du som registrerad har hemvist, eller alternativt till St1:s ansvariga tillsynsmyndighet, Dataombudsmannens byrå i Finland. Ytterligare information om din rätt till dataskydd finns på Dataombudsmannens webbplats på: https://www.tietosuoja.fi

I Sverige är det Integritetsskyddsmyndigheten (IMY) som utövar tillsyn över att dataskyddslagstiftningen i Sverige följs. Ytterligare information om skydd av personuppgifter finns på Integritetsmyndighetens webbplats (IMY):  https://www.imy.se.

I Norge är det Datatilsynet som utöver tillsyn över att dataskyddslagstiftningen i Norge följs. Ytterligare information om dina rättigheter finns på Datatilsynets webbplats:  https://www.datatilsynet.no

 

 En begäran om att utöva rättigheter måste vara tillräckligt specificerad för att St1 ska kunna hantera den. Detta eftersom begäranden kommer att utvärderas från fall till fall och vi måste verifiera identiteten på den kund som inkommer med begäran innan vi kan svara eller agera på den.

Vi kommer att meddela dig om vi av olika anledningar inte kan uppfylla begäran, bland annat när det gäller att radera information som vi har rätt att behålla, till exempel på grund av ett avtals verkställighet eller på grund av St1:s rättsliga skyldigheter.

Om du behöver mer information eller hjälp med att utöva dina rättigheter, eller om du har andra frågor relaterade till behandlingen av dina personuppgifter eller denna integritetspolicy, ska du kontakta oss via ovanstående kontaktuppgifter till St1-bolaget i det land du har hemvist.
 

Ändringar i denna integritetspolicy

Vi förbehåller oss rätten att uppdatera denna integritetspolicy om det sker förändringar i vår verksamhet. I en sådan situation meddelar vi dig om uppdateringarna.

Denna integritetspolicy för B2B-kunder uppdaterades senast 31.5.2024.
 

Personuppgiftspolicy, version 16.6.2021-30.5.2024.