St1 Nordic Oy och dess dotterbolag och övriga enheter som tillhör St1-koncernen (hädanefter ”Vi” eller ”St1”) har som huvudsakligt mål att forska och utveckla ekonomiskt hållbara och CO2-medvetna energilösningar. St1 fokuserar på bränslemarknadsföring, oljeraffinering och förnybara energilösningar, som avfallsbaserade, avancerade biobränslen och industriell vindkraft. Koncernen har över 1200 anläggningar – obemannade bensinstationer och servicestationer samt anläggningar för tunga fordon (HGV), nätverk för gasdistribution och laddningsstationer för elbilar i Finland, Sverige och Norge.
Vi tar skyddet av dina personuppgifter på största allvar. Vi strävar efter att skydda våra kunders, anställdas och samarbetspartners personuppgifter och att uppfylla våra dataskyddsförpliktelser under den allmänna dataskyddsförordningen (även kallad GDPR), samt andra relevanta lagar och förordningar.
Den personuppgiftsansvariges identitet
St1 Nordic Oy
Data Protection
2082259-7Tripla Workery West, Firdogatan 2, 00521 Helsingfors
Eventuella frågor om behandlingen av dina personuppgifter kan skickas till St1-bolaget i det land där du är bosatt:
St1 Oy
Tietosuoja
0201124-8
Tripla Workery West, Firdogatan 2, 00521 Helsingfors
dataprivacy@st1.fi
St1 Sverige AB
Dataskydd (Nordic DPO)
556308-5942
Box 11057
161 11 Bromma
dataprivacy@st1.se
St1 Norge AS
Databeskyttelse (Nordic DPO)
913 285 670
Postboks 1154 Sentrum
0107 Oslo
dataprivacy@st1.no
Vi kan komma att ta emot personuppgifter direkt från dig. Personuppgifter samlas in antingen i samband med leverans av produkter eller tjänster eller när du besöker vår webbplats.
Vi kan ta emot informationen från externa källor, i enlighet med tabellen nedan.
| Personuppgifter vi tar emot | Källa |
|---|---|
| Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen |
Personuppgifter kan erhållas från IT-system hos andra St1-bolag på ett sätt som är tillåtet under tillämplig lagstiftning I den utsträckning lagen tillåter detta kan personuppgifter samlas in och uppdateras från tredje parts IT-system |
| Cookieinformation: teknisk identifierare, som till exempel användarens IP-adress, tidpunkt, sidor som besökts och tid som tillbringats på webbplatsen | Personuppgifter inhämtas vid besök på St1-webbplatsen eller mobilapplikationen |
I tabellen nedan beskrivs vilka personuppgifter som behandlas i vilka syften och vilka de rättsliga grunderna för sådan behandling är.
| Behandlingens syfte | Rättslig grund | Personuppgiftstyper |
|---|---|---|
| Kundtjänst | Avtal, rättslig förpliktelse | Namn, kontaktuppgifter, inköpsuppgifter och ärende-/kommunikationshistorik |
| Skapa kundkonton och leverera tjänster | Avtal | Namn, kontaktuppgifter, information om medlemskap i förening, kundgrupp, kontohändelser, aktivitetslogg, medlemskap i St1- eller tredjeparts kundprogram |
| Direktmarknadsföring (digital) |
Samtycke |
Namn, kontaktuppgifter, eventuellt marknadsföringssamtycke, inköpshistorik, aktivitetslogg (e-post/app/Mina Sidor/etc.), föreningsinformation (i förekommande fall), historiska NPS-resultat, plats, medlemskap i St1- eller tredjeparts kundprogram Frivilliga data: platsinformation, kommunikationspreferenser och andra data som möjliggör personanpassning |
| Kundrelationshantering och profilering |
Avtal, samtycke |
Kontaktuppgifter Frivilliga uppgifter: platsinformation, kommunikationspreferenser och andra uppgifter som möjliggör personanpassning |
| Kundnöjdhet | Berättigat intresse för att utveckla våra produkter och tjänster. Att besvara kundnöjdhetsundersökningen är frivilligt | Namn, nöjdhetspoäng och fritext (som kunden tillhandahåller), kundnöjdhetsuppgifter är kopplade till Salesforce-kontodata, kundtjänstmedarbetarens namn |
| Kameraövervakning (CCTV) | Berättigat intresse för att skapa trygghet och säkerhet för kunder, St1-medarbetare och omgivningarna på anläggningen, skydda St1:s tillgångar genom att möjliggöra utredningar av bedrägerier och brott samt kunna ge stöd i händelse av kundtjänsttvister. |
Videomaterial inspelat på stationer
|
| Handelsinitierade transaktioner (Merchant-Initiated Transaction, MIT) för laddning av elbilar (Electrical Vehicle Charging, EVC) | Avtal | Födelsedatum, namn, adress. |
Vi har fastställt lagringstider – alltså hur lång tid vi sparar personuppgifter – baserat på syftet med behandlingen och tillämplig lagstiftning. Till exempel kräver tillämplig bokföringslagstiftning att vi lagrar dina personuppgifter under en viss period. Vi granskar regelbundet de personuppgifter vi samlar in för att säkerställa att de personuppgifter vi har är uppdaterade och inte sparas längre än vad som behövs eller krävs under relevant lag.
När lagringstid inte begränsas av tillämplig lagstiftning bevarar vi personuppgifter i enlighet med följande:
| Behandlingens syfte | Bevarandetid |
|---|---|
|
Kundtjänst |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 Kundtjänstsamtal lagras i 365 dagar från inspelningen av samtalet |
|
Skapa kundkonton och leverera tjänster |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 |
|
Direktmarknadsföring (digital) Frivilliga data: platsinformation, kommunikationspreferenser och andra data som möjliggör personanpassning |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 |
|
Kundrelationshantering och profilering Frivilliga uppgifter: platsinformation, kommunikationspreferenser och andra uppgifter som möjliggör personanpassning |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 |
|
Kundnöjdhet |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 |
| Kameraövervakning (CCTV) Videomaterial inspelat på bensinstationerna |
Videomaterial raderas automatiskt 30 dagar efter inspelningen Om en säkerhetsincident inträffar och inspelningarna är nödvändiga som bevis eller för att utreda händelsen ytterligare sparas relevant material längre än den normala bevarandetiden, så länge det är nödvändigt för dessa ändamål. |
|
Handelsinitierad transaktion (Merchant-Initiated Transaction, MIT) för laddning av elbilar ((Electrical Vehicle Charging, EVC). På marknader där St1 erbjuder EVC och MIT som tjänst. |
36 månader från den senaste aktiviteten i St1:s digitala kanaler eller från det senaste köpet av produkter eller tjänster från St1 |
Om du vill ha mer detaljerad information om våra bevarandetider är du välkommen att kontakta oss genom att skicka en förfrågan till vår e-postadress för dataskyddsfrågor.
Vi använder tjänsteleverantörer för att tillhandahålla våra tjänster och för att bedriva vår verksamhet på ett effektivt sätt. Som ansvarstagande företag ingår vi alltid avtal och andra använder arrangemang för att säkerställa att våra tjänsteleverantörer behandlar dina personuppgifter i enlighet med tillämplig lag och vedertagna databehandlingsmetoder.
För att säkerställa konfidentialitet och en hög skyddsnivå för dina personuppgifter ingår vi personuppgiftsbiträdesavtal med varje tjänsteleverantör som är involverad i behandlingen av personuppgifter. Våra tjänsteleverantörer har inte tillstånd att behandla dina personuppgifter för andra syften än att tillhandahålla de avtalade tjänsterna.
Mottagarna av personuppgifter beskrivs nedan.
| Mottagare | Personuppgiftstyper |
|---|---|
|
Företag som tillhör St1-koncernen |
Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen |
|
Tjänsteleverantörer av kundadministrationsverktyg |
Alla typer av personuppgifter: namn, kontaktuppgifter, inköpshistorik eller andra uppgifter som genereras inom ramarna för kundrelationen |
|
Samarbetsföretag inom marknadsföring |
Kontaktuppgifter |
| Partner som tillhandahåller insamlingstjänster för tjänsten Handelsinitierad transaktion (Merchant-initiated transaction, MIT). | Födelsedatum, namn, adress. |
| Partner som tillhandahåller tredje parts kundprogram | Medlemsnummer och verifiering av aktivering av medlemskap, tanktransaktioner. |
Vi kan behöva lämna ut viss information till myndigheter, exempelvis rättsvårdande myndigheter, när så krävs enligt lag. Vi gör enbart detta på grundval av ett juridiskt tvingande beslut eller dom samt när så annars krävs för att skydda St1:s intressen i juridiska processer.
I händelse av fusioner eller förvärv kan den förvärvande juridiska personen få tillgång till relevanta kunddatatillgångar.
Vissa av våra tjänsteleverantörer eller deras supportfunktioner befinner sig utanför Europeiska unionen och europeiska ekonomiska samarbetsområdet. När behandlingen innebär överföring av personuppgifter utanför EU eller EES använder vi lämpliga skyddsåtgärder för att säkerställa en likvärdig dataskyddnivå som säkerställs genom GDPR.
| Mottagare | Personuppgiftstyper | Plats och överföringsmekanism |
|---|---|---|
| Samarbetsföretag inom marknadsföring | Kontaktuppgifter | USA: Kommissionens beslut om adekvat skyddsnivå |
Vi har säkerhetspolicyer och rutiner på plats för att skydda dina personuppgifter från förlust, missbruk eller obehörig åtkomst.
Alla medarbetare som är behöriga att behandla dina uppgifter har åtagit sig att iaktta konfidentialitet. Vi tillämpar rollbaserad åtkomstkontroll, vilket innebär att varje medarbetare ges tillgång till resurser och personuppgifter utifrån denna medarbetares roll och arbetsbeskrivning. Alla nätverk och tjänster som används av våra anställda skyddas med lämpliga säkerhetsarrangemang.
Fysiska data lagras i låsta lokaler. Sådana uppgifter får endast behandlas av personer som har ett berättigat skäl att behandla uppgifterna som är relaterat till deras arbetsuppgifter.
Informationssystemen skyddas av olika organisatoriska och tekniska metoder från åtkomst av obehörig tredje part. Varje användare har personliga användarnamn och lösenord för att logga in i systemet. Åtkomsten till personuppgifter är begränsad till personer som måste behandla personuppgifterna i fråga som en del av sina arbetsuppgifter.
Vi harrutiner på plats för att hantera dataintrång som gör det möjligt för oss att bedöma möjliga risker, meddela relevanta myndigheter och informera dig om dina personuppgifter kan vara exponerade i ett dataintrång. Vi utbildar regelbundet alla medarbetare för att säkerställa skyddet av dina personuppgifter.
Du har vissa rättigheter gällande dina personuppgifter, som till exempel rätten att få tillgång till, uppdatera, radera och få en kopia av dina personuppgifter. Vår ambition är att säkerställa att du kan utöva dina rättigheter på ett effektivt sätt. Eventuella frågor angående behandlingen av dina personuppgifter kan skickas till St1 i ditt hemland: i Sverige: dataprivacy@st1.se, i Finland: dataprivacy@st1.fi och i Norge: dataprivacy@st1.no. Du kan utöva dina rättigheter genom att skicka en begäran till oss. En lista över dina rättigheter och en förklaring av dem ges nedan.
| Rätt att bli informerad | Du har rätt att bli informerad om Vår behandling av dina personuppgifter. Dessutom har du rätt att få information om de mottagare som dina personuppgifter kan komma att lämnas ut till, dina rättigheter och viss annan information som framgår i denna policy. |
| Rätt till tillgång | Du har rätt att få veta om vi behandlar dina personuppgifter och i så fall tillgång till dessa personuppgifter. |
| Rätt till rättelse | Du har rätt att begära att vi korrigerar felaktiga personuppgifter om dig. |
| Rätt till radering (”rätten att bli bortglömd”) |
Du har rätt att begära radering av dina personuppgifter och kundkonto. I vissa fall kan denna rättighet begränsas av en rättslig förpliktelse som kräver behandling av dina personuppgifter i enighet med tillämplig lag, i vilket fall vi kommer att informera dig om den rättsliga förpliktelsen. Om du vill utöva dina rättigheter som registrerad, till exempel rätten att bli glömd, vänligen kontakta St1 i ditt hemland. Om du är en mobilapplikationsanvändare och vill utöva din rätt att radera ditt konto, öppna applikationen St1 Mobility, gå in under din ”Profil” och klicka på ”Radera konto” och följ sedan instruktionerna. |
| Rätt att begränsa behandlingen | Du har rätt att få behandlingen av dina personuppgifter begränsad. En begränsning av behandlingen innebär att vi kommer att begränsa behandlingen av vissa uppgifter så att vi enbart lagrar dem. Tänk på att en begränsning av vår behandling av dina personuppgifter kan få negativa konsekvenser för dina möjligheter att ta emot produkter, varor eller tjänster från oss. |
| Rätt till dataportabilitet | Du har rätt att begära ut vissa av dina personuppgifter från oss i ett strukturerat, allmänt använt och maskinläsbart format som gör det möjligt för dig att överföra dina uppgifter till en annan personuppgiftsansvarig. |
| Rätt att göra invändningar mot behandlingen | I vissa fall har du rätt att invända mot behandlingen av personuppgifter som rör dig. I så fall kommer vi att analysera om den rättsliga grunden för personuppgiftsbehandlingen är tillräcklig för att fortsätta behandlingen, och om så inte är fallet kommer vi att sluta behandla dina personuppgifter. |
| Rättigheter relaterade till automatiserade beslutsprocesser |
Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling som ger rättsliga följder eller andra liknande konsekvenser för dig. Det innebär att du har rätt att kräva personlig kontakt i syfte att överblicka de beslut som fattats med hjälp av automatiserad behandling. |
| Rätt att dra tillbaka samtycke |
Om behandlingen av personuppgifter baseras på ditt samtycke har du rätt att när som helst ovillkorligen återkalla ditt samtycke. Detta påverkar emellertid inte lagligheten av behandling av dina personuppgifter som baserats på samtycke innan återkallandet. |
| Rätten att inkomma med klagomål till en tillsynsmyndighet |
Om du anser att behandlingen av personuppgifter som rör dig bryter mot GDPR har du rätt att inkomma med klagomål till din lokala dataskyddsmyndighet. Klagomål gällande St1:s agerande med avseende på dataskyddslagstiftning kan lämnas till tillsynsmyndigheten i det land där du som registrerad har hemvist, eller alternativt till St1:s ansvariga tillsynsmyndighet, Dataombudsmannens byrå i Finland. Ytterligare information om din rätt till dataskydd finns på Dataombudsmannens webbplats på: https://www.tietosuoja.fi. |
En begäran om att utöva rättigheter måste vara tillräckligt specificerad för att St1 ska kunna hantera den. Detta eftersom begäranden kommer att utvärderas från fall till fall och vi måste verifiera identiteten på den kund som inkommer med begäran innan vi kan svara eller agera på den.
Vi kommer att meddela dig om vi av olika anledningar inte kan uppfylla begäran, bland annat när det gäller att radera information som vi har rätt att behålla, till exempel på grund av ett avtals verkställighet eller på grund av St1:s rättsliga skyldigheter.
Om du behöver mer information eller hjälp med att utöva dina rättigheter, eller om du har andra frågor relaterade till behandlingen av dina personuppgifter eller denna integritetspolicy, ska du kontakta oss via ovanstående kontaktuppgifter till St1-bolaget i det land du har hemvist.
Vi förbehåller oss rätten att uppdatera denna integritetspolicy vid förändringar av vår behandling av personuppgifter. I en sådan situation meddelar vi dig om uppdateringarna.
Denna integritetspolicy för privatkunder uppdaterades senast 1.11.2023.
