Personuppgiftspolicy
Den här personuppgiftspolicyn innehåller information till registrerade kunder, anställda till kunder och tillsynsmyndigheten i enlighet med kraven i dataskyddsförordningen (nedan “GDPR”).
Den här personuppgiftspolicyn beskriver hur St1 Sverige AB, St1 Refinery AB, St1 Finance Oy och St1 Nordic Oy (St1) hämtar in, använder, lagrar och skyddar personuppgifter. St1 som hanterar ärendet ifråga agerar som personuppgiftsansvarig. För tydlighetens skull ska nämnas att termerna ”vi”, ”företaget” och ”St1” som omnämns i denna personuppgiftspolicy refererar till St1 Sverige AB, St1 Refinery AB, St1 Finance Oy och St1 Nordic Oy som därtill agerar som personuppgiftsansvarig.
1) Personuppgifter som St1 samlar in för sin verksamhet
- grundläggande information om enskilda kunder (namn, födelsedag eller personnummer samt kontaktinformation såsom exempelvis adress, telefonnummer och e-postadress)
- grundläggande information om företagskunder (information som är nödvändig för att identifiera kunden och för att fastställa kundens ekonomiska status och politiska inflytande)
- information om kundrelationen (exempelvis kundrelationens varaktighet och natur)
- samtycke (kundens givna och återkallande av samtycke avseende behandling av personuppgifter)
- information om avtal som ingåtts mellan kunden och St1
- information om kundtransaktioner
- bakgrundsinformation om kunden (exempelvis titel eller yrke och annan information om kundens verksamhet och status med avseende på privata eller offentliga skyldigheter)
- beteendedata (exempelvis information som sparas via cookies)
- information om innehållet i inspelningar och meddelanden (exempelvis inspelade telefonsamtal)
- tekniska identifieringsuppgifter (exempelvis information som används för att identifiera mobilapplikationens användare
Personuppgifter samlas som regel in från kunderna själva. Inom ramarna för lagstiftningen kan personuppgifter erhållas från St1-företagens övriga register.
I den utsträckning lagen tillåter får personuppgifter hämtas och uppdateras från register hos tredje part, till exempel:
- offentliga register hos myndigheter, såsom folkbokföring, verkställande myndigheter och polisen, skatteförvaltningens register, företagsregister och tillsynsmyndigheters register
- sanktionslistor (exempelvis listor från EU, FN och nationella organisationer) och övriga pålitliga källor som ger information om exempelvis förmånstagare och politiskt inflytelserika personer
- ansvariga för kreditinformation
2) Syften och rättsliga grunder för behandling av personuppgifter
St1 behandlar personuppgifter för att uppfylla avtalsenliga och lagstadgade förpliktelser samt för att erbjuda tjänster och rådgivning för sina kunder. Informationen nedan beskriver mer detaljerat behandlingen av personuppgifter och den rättsliga grunden för sådan behandling:
a) Verkställande av avtal
Syftet med behandlingen av personuppgifter är att samla in, behandla och verifiera personuppgifter före slutande av produkt- och tjänsteavtal samt för att dokumentera och verkställa förpliktelser enligt avtal. Exempel på sådana åtgärder av St1 inkluderar följande:
- åtgärder som rör öppnande av kundkonto och utfärdande av betalkort eller annat betalmedel
- kundtjänst och utveckling av kundtjänstens kvalité under den tid som kundrelationen varar
- åtgärder som rör utövandet av juridiska anspråk
- åtgärder som rör indrivning av skulder
b) Rättsliga skyldigheter
Lagar, förordningar och föreskrifter från myndigheter föreskriver skyldigheter för St1 avseende behandling av personuppgifter, till exempel:
- riskhanteringsförpliktelser (operativa risker, kreditrisker, försiktighetskrav)
- bokföringsregler
- rapportering till myndigheter (skatte-, polis-, tillsyns- och verkställande myndigheter)
- andra produkt- och tjänstespecifika rättsliga skyldigheter
- Företags skyldigheter att upprätthålla ett aktieägarregister och behandla förfrågningar relaterade till det
c) Personuppgiftsansvariges eller tredje parts berättigade intresse
St1 behandlar personuppgifter för att genomföra marknadsförings-, produkt- och kundanalyser. Personuppgifter som erhålls på detta sätt används bland annat för att utveckla produkter och tjänster. För att St1 ska kunna försvara sig mot anspråk eller kunna minska sådana, får St1 behandla personuppgifter baserat på legitimt intresse.
Om nationell lagstiftning kräver det begär vi kundens samtycke till överföring av elektronisk direktmarknadsföring (exempelvis e-post eller direktmarknadsföring via textmeddelanden). Kunden har rätt att återkalla sitt samtycke när som helst.
För bensin- eller drivmedelsstationer med tydligt markerade skyltar använder St1 inspelningsbara CCTV-kameror för att säkerställa besökares säkerhet på platsen, för att skydda St1:s tillgångar genom att möjliggöra utredningar för bedrägerier och brottsliga handlingar (för vilken rättslig grund för behandling kan ändras till att uppfylla laglig skyldighet gentemot myndigheter) samt slutligen för att möjliggöra stöd i kundtjänsttvister. St1 röjer inte information från inspelningarna till några externa parter utanför St1-företagen eller utvalda behandlare av personuppgifter. Läs mer om kameraövervakningen här.
d) Direktmarknadsföring
För att kunna erbjuda dig som kund bästa erbjudanden och anpassade kommunikation bearbetar St1 kunddata genom att koppla ihop köp från St1:s bensin- eller drivmedelsstationer samt våra Välkommen in/Ploq butiker eller digitaliska tjänster.
Syftet är att kunna ge dig som kund riktad marknadsföring som är baserad på preferenser och beteende. Dessa åtgärder orsakar inte några rättsliga effekter som sådan.
e) Automatiserat beslutsfattande
St1 Sverige AB och St1 Finance Oy använder automatiserat beslutsfattande vid beviljande av krediter avseende St1 Mastercard, St1 Privatkort och Shell Card Private-produkter i den utsträckning lagen tillåter. Kunder kan alltid begära att manuellt beslutsfattande används istället för automatiserad behandling, uttrycka sin åsikt eller bestrida sådant beslut som fattats baserat på automatiserad behandling. Om den produkt eller tjänst som erbjuds inkluderar automatiserat beslutsfattande, förses kunden med ytterligare information om den behandlingslogik som gäller för det automatiserade beslutsfattandet, dess innebörd och eventuella konsekvenser.
3) Utlämnande av personuppgifter
Personuppgifter kan lämnas ut till företag som tillhör samma koncern som St1 Sverige AB, St1 Refinery AB, St1 Finance Oy och St1 Nordic Oy. I enlighet med skyldigheten att upprätthålla sekretess och det bindande databehandlingsavtal som krävs enligt lag, kan personuppgifter överföras till företagets databehandlare och till de ovan nämnda företagen som tillhör koncernen.
Utöver det ovan nämnda kan St1 lämna ut uppgifter till utvalda partners som kan tillhandahålla tjänster direkt till kunden. Detta är under förutsättning att St1 har tagit emot ett uttryckligt samtycke från kunden att uppgifterna kan lämnas ut. I enlighet med lag har St1 bindande databehandlingsavtal med sådana utvalda partners.
I den utsträckning som tillåts och enligt vad som krävs enligt gällande lagstiftning kan personuppgifter också lämnas ut till de parter som har rätt att få tillgång till personuppgifter enligt lag.
Personuppgifter kommer inte i sak att överföras utanför EU om det inte är nödvändigt av tekniska skäl för att uppfylla syftet med behandlingen av personuppgifter. I sådana fall kommer överföringen av personuppgifter att uppfylla kraven i dataskyddslagstiftningen avseende genomförandet av lämpliga eller adekvata skyddsåtgärder. Genom att kontakta företaget i enlighet med avsnitt 8 ska företaget lämna en kopia av dessa skyddsåtgärder.
4) Skydd av personuppgifter
Manuellt behandlat material som innehåller personuppgifter förvaras inlåst. Sådant material kan endast behandlas av personer som har lagliga skäl, vilka är relaterade till deras skyldigheter, att behandla materialet.
Informationssystemen är skyddade från tillgång för tredje part genom organisatoriska och tekniska metoder. Varje användare har ett personligt användarnamn och lösenord för att logga in i systemet. Tillgång till uppgifterna är begränsad till personer som behandlar personuppgifterna på grund av deras skyldigheter.
5) Kundens rättigheter
Rätt att få tillgång till personuppgifter
Kunden har rätt att granska egna personuppgifter som har lagrats i registret. Kunden har också rätt att få en kopia av dessa personuppgifter. En begäran om rätt till tillgång måste ske i enlighet med instruktionerna i avsnitt 8 i denna personuppgiftspolicy. Rätten att få tillgång till personuppgifterna kan nekas av grunder som fastställts i lagstiftning. Rätten att få tillgång till personuppgifter är i huvudsak utan kostnad. Vi kan dock ta ut en skälig kostnad som motsvarar de administrativa kostnaderna för begäran, för det fall kunden begär att få tillgång till flera kopior, om begäran görs upprepade gånger eller om en begäran på annat sätt är uppenbart oskälig eller ogrundad.
Rätt till rättelse, radering eller begränsning av behandling
Kunden har rätt att få personuppgifter rättade eller raderade från registret, om sådana uppgifter strider mot syftet med behandlingen, är felaktiga, överflödiga, ofullständiga eller föråldrade. Kunden kan lämna in en begäran om rättelse eller radering av personuppgifter i enlighet med avsnitt 8 i personuppgiftspolicyn.
Kunden ska också ha rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av dennes personuppgifter. Detta gäller exempelvis om kunden väntar på svar från den personuppgiftsansvarige avseende en begäran om rättelse eller radering av personuppgifter.
Rätt att invända mot behandling
Kunden har, av skäl som hänför sig till dennes specifika situation, rätt att göra invändningar mot behandling av personuppgifter samt mot profilering avseende honom eller henne. Vid en invändning ska St1 inte längre behandla personuppgifterna, såvida inte dennes grunder för behandlingen väger tyngre än kundens intressen, rättigheter och friheter. När uppgifter behandlas för direktmarknadsföring, kan den registrerade göra en invändning mot behandling utan separat motivering. Efter invändningen ska St1 inte längre behandla personuppgifterna för direktmarknadsföringssyften.
Kunden kan lämna in sin invändning genom att kontakta företaget i enlighet med avsnitt 8 i denna personuppgiftspolicy. I denna måste det tydliggöras vad anledningen till invändningen av behandlingen är. Företaget får motsätta sig en invändning på de grunder som följer av lagstiftning.
Rätt att återkalla samtycke
Om personuppgifter behandlas med anledning av kundens samtycke, har denna rätt att återkalla sådant samtycke genom att meddela företaget i enlighet med avsnitt 8.
Rätt till dataportabilitet
För personuppgifter som kunden har tillhandahållit har han eller hon rätt att få ut dessa uppgifter på ett strukturerat, allmänt använt och maskinläsbart format. Detta gäller för personuppgifter som behandlas automatiskt och i enlighet med samtycke eller fullgörande av avtal mellan kunden och den personuppgiftsansvarige. Sådan information får överföras till annan personuppgiftsansvarig, om detta är tekniskt genomförbart.
Rätt att lämna in klagomål till en tillsynsmyndighet
Kunden har rätt att lämna in klagomål till en tillsynsmyndighet om företaget inte har följt gällande dataskyddslagstiftning.
Klagomålet ska lämnas till tillsynsmyndigheten i den medlemsstat där kunden har sin hemvist, arbetsort eller där den påstådda överträdelsen har skett.
I Sverige är det Integritetsskyddsmyndigheten (IMY) som kontrollerar att dataskyddslagstiftningen följs. Ytterligare information om skydd för personuppgifter finns på Integritetsskyddsmyndigheten (IMY) hemsida https://www.imy.se/.
6) Användning av cookies
På vår webbplats samlar vi in uppgifter om användarens terminal med hjälp av cookies och övriga motsvarande tekniker. Cookies är vanligtvis små textfiler som din webbläsare lagrar för att identifiera och återidentifiera användare. Den sparade informationen kan till exempel användas för att räkna antal webbläsare som besöker vår webbplats samt för analysering av webbplatsens användning, exempelvis genom statistisk övervakning. Vi strävar efter att utveckla vår service så att den hela tiden blir bättre för användaren.
Med hjälp av cookies kan bland annat följande information samlas in:
användarens IP-adress; klockslag; besökta sidor och tiden som använts på sidorna; typ av webbläsare; terminalens operativsystem; från vilken URL användaren kommit till webbplatsen och till vilken URL användaren går vidare till efter att ha besökt webbplatsen; och från vilken server och domänadress användaren kommit till webbplatsen.
Webbplatsen kan även innehålla cookies från tredje parter, exempelvis sådana som utför mätnings- och övervakningstjänster. Tredje parter kan lägga in cookies på terminalen när kunden besöker webbplatsen.
Cookies på tredje parters webbplatser
Förutom cookies på vår webbplats används cookies även på tredje parters webbplatser för att göra reklam för St1. Information som sparats genom samarbetspartners cookies och andra tekniker möjliggör riktad reklam baserat på tidigare webbeteende och andra faktorer. På så sätt kan reklam riktas till användare som sannolikt är mest intresserade av den. Beteendeinformation som sparats via andra webbplatser än St1:s kan i sådana fall också användas för riktad reklam.
Vi och våra samarbetspartners kan även spara information om effektiviteten med vår reklam. I detta syfte kan vi till exempel samla in följande information: information om hur många gånger en viss annons visats i en webbläsare; information om huruvida annonsen klickats på och information om huruvida detta ledde till att produkten köptes i webbutiken.
Avaktivering av cookies och förhindrande av riktad reklam
Kunden kan själv bestämma i vilken utsträckning den ger samtycke till användning av cookies och riktad reklam. Användningen av cookies kan ändras genom webbläsarens inställningar. Om cookies avaktiveras är nödvändigtvis inte alla funktioner på webbplatsen tillgängliga.
Om kunden inte vill att reklam riktas baserat på intresseområden kan denna själv förhindra riktad reklam. Om du stänger av riktad reklam syns fortfarande lika många annonser som tidigare, men annonserna väljs inte baserat på dina intresseområden.
7) Lagring av personuppgifter
Personuppgifter lagras så länge som behandlingen är nödvändig i förhållande till det syfte för vilket personuppgifterna behandlas. Vid kundens återkallelse av samtycke till behandling av hans eller hennes personuppgifter avseende riktad reklam ska företaget enbart radera sådana personuppgifter om det inte finns andra lagliga grunder för behandlingen.
Företaget ska regelbundet radera eller avidentifiera överflödiga personuppgifter. Personuppgifter ska raderas eller avidentifieras när de inte längre är nödvändiga med hänsyn till ändamålet med behandlingen eller när behandlingen inte längre är nödvändig för att uppfylla lag, förordning eller annat offentligt regelverk.
8) Kontaktinformation
De registrerade kan ta kontakt med dataskyddsombudet i alla ärenden som gäller behandlingen av deras personuppgifter eller utövandet av rättigheter som grundar sig på dataskyddsförordningen. Du kan kontakta dataskyddsombudet vid frågor om personuppgiftspolicyn genom e-post dataprivacy@st1.se eller per brev till:
St1 Sverige AB
Dataskydd (Nordic DPO)
Löfströms allé 5
172 66 Sundbyberg
Information om behandling av personuppgifter, sidan uppdaterad senast 16-06-2021