St1 Finance (Oy, Ab, AS) – retningslinjer for datasikkerhet

St1 Finance (Oy, Ab, AS) – retningslinjer for datasikkerhet

Denne personvernerklæringen inneholder informasjon til registrerte kunder, kunders ansatte og tilsynsmyndighetene i henhold til kravene i EUs personvernforordning (heretter kalt GDPR – General Data Protection Regulation) og personopplysningsloven.

St1 Finance (Oy, AB, AS), bedrifts-ID 2789887-7, Purotie 1, 00380 Helsinki, Finland.

Denne personvernerklæringen beskriver hvordan St1 Finance Oy (heretter kalt St1 Finance) samler inn, bruker, beholder og beskytter personopplysninger. St1 Finance Oy (Ab, AS) og/eller St1-bedriften som er motpart i den aktuelle saken, fungerer som personopplysningsansvarlig. I tillegg til St1 Finance Oy (Ab, AS) omfatter St1-bedriftene alle bedriftene som tilhører St1 Nordic Oy-konsernet.

St1 Finance skal behandle personopplysninger i Finland, Sverige og Norge i henhold til gjeldende lovgivning. Informasjon om personopplysningsansvarlige og personvernerklæringene er tilgjengelig på nettstedet for respektive land. Som betalingsinstitusjon overholder St1 Finance alle krav om konfidensialitet og personvern i alle deler av virksomheten.

Hvilke personopplysninger samler St1 Finance inn for virksomheten?

  1. grunnleggende informasjon om enkeltstående kunder (navn, personnummer og kontaktinformasjon, blant annet adresse, telefonnummer og e-postadresse), og/eller
    grunnleggende informasjon om bedriftskunder (informasjon som kreves for å identifisere kunden og for å fastslå kundens økonomiske status og politiske innflytelse) 
  2. informasjon om kundeforholdet (for eksempel kunderelasjonens varighet og art)
  3. samtykke (den registrerte personens gitte og tilbaketrukne samtykke angående behandling av personopplysninger)
  4. informasjon om avtalene som er inngått mellom kunden og St1
  5. informasjon om kundetransaksjoner
  6. bakgrunnsinformasjon om kunden (for eksempel informasjon om kundens livssituasjon og økonomiske situasjon) 
  7. atferdsdata (for eksempel data innsamlet med informasjonskapsler)
  8. informasjon om innholdet i innspillinger og meldinger (for eksempel innspillinger av telefonsamtaler)
  9. teknisk ID-informasjon (for eksempel informasjon som brukes til å identifisere brukere av mobilapper)  

 

Personopplysninger samles hovedsakelig inn fra de registrerte personene selv. Personopplysninger kan også hentes fra andre filsystemer i St1-bedriftene i den utstrekning loven tillater det.   

I den grad loven tillater det, kan personopplysninger samles inn og oppdateres fra filsystemene til tredjeparter, blant annet følgende opplysninger:   

  1. offentlige registre som opprettholdes av myndighetene, for eksempel Folkeregisteret, administrative myndigheter og politiet, i tillegg til skatteregistre, bedriftsregistre og registre til tilsynsmyndigheter
  2. sanksjonslister (for eksempel lister som opprettholdes av EU, FN og nasjonale organisasjoner) og andre pålitelige kilder som gir informasjon om reelle eiere og personer med politisk innflytelse
  3. ansvarlige for kredittinformasjon  

Formål med og juridiske grunnlag for håndtering av personopplysninger
St1 Finance håndterer personopplysninger for å oppfylle kontraktsbundne og juridiske forpliktelser og for å levere tjenester og veiledning til kundene. Informasjonen nedenfor inneholder flere detaljer om håndteringen av personopplysninger og det juridiske grunnlaget for håndteringen:

a) Utferdigelse av kontrakter 

Formålet med håndtering av personopplysninger er å samle inn, håndtere og bekrefte personopplysningene før inngåelsen av en produkt- og tjenesteavtale, og å dokumentere og utferdige kontraktsmessige forpliktelser. Her følger noen eksempler på denne typen handlinger fra St1 Finance:

  • oppgaver som er relatert til åpning av en betalingskonto og tildeling av betalingskort, andre betalingsmidler og kontokreditt 
  • kundeservice så lenge kundeforholdet varer 
  • oppgaver knyttet til utøvelse av juridiske krav
  • tiltak knyttet til innsamling av gjeld

 

b ) Juridisk forpliktelse 

Lover, forskrifter og krav fra myndigheter pålegger forpliktelser for St1 Finance om håndtering av personopplysninger, blant annet følgende:

  • krav og forpliktelser vedrørende betalingstjenester 
  • forpliktelse til å kjenne kunden (KYC – Know Your Customer) 
  • forhindring av hvitvasking av penger, finansiering av terroristorganisasjoner og svindel 
  • kontroller relatert til sanksjonslister 
  • risikohåndteringsforpliktelser (driftsrisikoer, kredittrisikoer, forsiktighetskrav)
  • regnskapsforskrifter 
  • rapportering til myndighetene (skatteetaten, politiet, rettsvesenet og tilsynsmyndigheter) 
  • andre produkt- og tjenestespesifikke juridiske forpliktelser


c) personopplysningsansvarliges eller tredjeparts legitime interesse

St1 Finance håndterer personopplysninger for å kunne gjennomføre markedsførings-, produkt- og kundeanalyser. Opplysninger som samles inn i forbindelse med dette, brukes for eksempel i produkt- og tjenesteutviklingen. 

Innsyn i kontotransaksjoner utført for å hindre uregelmessigheter, og kundeanalysene som gjennomføres i markedsføringsøyemed, kan omfatte profilering basert på legitim interesse. 

I enkelte tilfeller blir kundene bedt om å oppgi spesifikt samtykke i håndteringen av personopplysninger. For eksempel er direktemarkedsføring via elektroniske kanaler vanligvis basert på samtykke innhentet fra den registrerte personen. Kunden har rett til å trekke tilbake samtykket når som helst.

d) Automatisert beslutningstaking

St1 Finance bruker automatisert beslutningstaking ved kredittutstedelse, i den grad loven tillater det. Kundene kan alltid be om at det skal brukes en manuell beslutningstakingsprosess i stedet for den automatiserte prosessen, gi uttrykk for sine synspunkt eller bestride beslutningen som ble fattet basert på automatiserte prosesser. Hvis produktet eller tjenesten som tilbys, inkluderer automatisert beslutningstaking, får kundene ytterligere informasjon om behandlingslogikken som gjelder for den automatiserte beslutningstakingen, meningen bak og eventuelle konsekvenser.

Offentliggjøring av personopplysninger

St1 Finance kan offentliggjøre personopplysninger samtidig som det tas hensyn til eventuelle krav i den gjeldende lovgivningen, blant annet konfidensialitetskravene som gjelder for betalingsinstitusjoner.

De innsamlede personopplysningene kan offentliggjøres til St1-bedriftene, til leverandørene av varer og tjenester og til forretningspartnere i den grad loven tillater det, og forutsatt at de nødvendige konfidensialitetsforpliktelsene overholdes. I forbindelse med fusjoner og oppkjøp kan dessuten personopplysninger offentliggjøres til avtalens eller transaksjonens motpart hvis offentliggjøringen av informasjon er forenlig med formålet for behandlingen av personopplysningene.

For å kunne levere tjenester har vi inngått samarbeidsavtaler med tredjeparter, blant annet parter relatert til finansieringssystemer, sentralbanker, parter som mottar bankoverføringer, og clearingsentraler. Bankoverføringer og sikre ID-løsninger krever for eksempel at personopplysninger offentliggjøres, slik at identiteten til den registrerte personen kan verifiseres og ordrer kan effektueres. Et annet eksempel er IT-tjenester, blant annet tjenester for programvareutvikling, servere og vedlikehold, som er implementert ved å inngå avtaler med utvalgte partnere der retten til å behandle personopplysninger inngår i avtalene.

Data kan overføres til parter utenfor EU og EØS i den grad loven tillater det, forutsatt at det aktuelle landet har et tilstrekkelig nivå av datasikkerhet og at dataoverføringen overholder EUs gjeldende standardklausuler for kontrakter.

Beskyttelse av personopplysninger

En kunderelasjon og beskyttelsen av kundens opplysninger er en forutsetning for at St1 Finance skal kunne tilby tjenester. St1 behandler personopplysninger på en måte som er sikker og som overholder alle juridiske krav. Vi beskytter data ved å iverksette nødvendige tekniske og organisatoriske tiltak for å hindre tap, misbruk, uautorisert bruk, offentliggjøring, endringer og ødeleggelse. Data som lagres i elektroniske informasjonssystemer, blir kun behandlet etter ordre fra St1 Finance, og behandlingen utføres utelukkende av ansatte eller agenter som har rett til å bruke arkiveringssystemet og vedlikeholde data i henhold til autorisasjonen de er tildelt.

Fysisk materiale og andre manuelt behandlede dokumenter som inneholder kundeopplysninger, oppbevares innelåst på en måte som tar hensyn til brannsikkerhet. I henhold til konfidensialitetsforpliktelsene som er angitt i loven om betalingsinstitusjoner, er det kun St1 Finance Oys ansatte, agenter og anviste parter som kan behandle de lagrede opplysningene.

I henhold til konfidensialitetsforpliktelsene som er angitt i loven om betalingsinstitusjoner, må alle brukerne holde all mottatt informasjon konfidensiell.

Kundens rettigheter

Alle kundeforespørsler som angår bruken av kundens rettigheter, behandles individuelt. 

Kundene har følgende rettigheter:

  • Rett til å gjennomgå og be om tilgang til kundens egne personopplysninger som håndteres av St1 Finance. Denne retten kan begrenses i henhold til lovgivning for å beskytte personvernet til andre personer og basert på St1 Finances retningslinjer for forretninger. I tillegg kan forretningshemmeligheter og internt materiale begrense tilgangen til opplysningene.
  • Rett til å verifisere egne personopplysninger. 
  • Rett til å be om korrigering av feilaktige eller ufullstendige opplysninger.
  • Rett til å be om sletting av opplysninger under omstendigheter som er angitt i GDPR. 
  • Rett til å hindre behandling av egne personopplysninger i forbindelse med direkte markedsføring.
  • Rett til dataportabilitet. Når det gjelder personopplysninger som kunden har gitt St1 Finance, har kunden rett til å få disse opplysningene i et maskinlesbart format. Denne retten gjelder personopplysninger som er blitt behandlet automatisk og i henhold til samtykke eller kontraktsutferdigelse. Hvis det er teknisk gjennomførbart og sikkert, kan slike opplysninger også overføres til en annen personopplysningsansvarlig.
  • Som betalingsinstitusjon har St1 Finance juridiske forpliktelser som innebærer at personopplysninger må lagres så lenge kunderelasjonen varer, og i tiden etter, og med det formål å behandle eventuelle rettskrav.
  • Hvis det med rimelighet kan konkluderes med at kunden ikke har rett til å be om at opplysninger slettes, kan behandlingen av opplysningene begrenses basert på kundens forespørsel til kun å omfatte lagring av opplysningene. Behandling av opplysninger for andre formål er imidlertid mulig hvis dette kreves via et rettskrav, eller hvis kunden har gitt sitt samtykke.
  • Rett til dataportabilitet. Når det gjelder personopplysninger som kunden har gitt, har kunden rett til å få disse opplysningene i et maskinlesbart format. Dette gjelder personopplysninger som behandles automatisk og i henhold til samtykke eller kontraktsutferdigelse. Hvis det er teknisk gjennomførbart og sikkert, kan slike opplysninger overføres til en annen personopplysningsansvarlig.

Ovennevnte forespørsler må presenteres av en registrert person til kundeserviceavdelingen hos St1 Finance (se delen for kontaktinformasjon)

Hvis registrerte personer finner ut at personopplysningene deres ikke er behandlet i samsvar med loven, har de rett til å fremføre en klage til en tilsynsmyndighet.

Bruk av informasjonskapsler

St1 Finance overholder retningslinjene for informasjonskapsler som er publisert av St1 Nordic Oy. 

På nettsiden vår bruker vi informasjonskapsler og andre liknende teknologier for å samle inn informasjon relatert til brukerens terminalenhet. Informasjonskapsler er vanligvis små tekstfiler som nettleseren lagrer, slik at enhetsbrukeren kan identifiseres og reidentifiseres. Informasjonskapsler brukes til å identifisere brukerens nettleser, og den innsamlede informasjonen kan for eksempel brukes til å telle antallet nettlesere som er brukt til å besøke nettstedet vårt, og for det formål å analysere bruken av nettstedet vårt, for eksempel ved gjennomføring av statistisk overvåking. Målet vårt er å utvikle tjenesten slik at den blir stadig bedre for brukerne.

Informasjonskapsler muliggjør innsamling av for eksempel følgende informasjon:

brukerens IP-adresse, tidspunkt på dagen, besøkte sider og tid brukt på nettstedet, nettlesertype, terminalenhetens operativsystem, URL-adressen som brukeren kommer til nettstedet fra, URL-adressen som brukeren går til etterpå, og serveren og domenenavnet som brukeren kommer til nettstedet fra.

Nettstedet kan også inneholde informasjonskapsler fra tredjeparter, for eksempel leverandører av målings- og overvåkingstjenester. Tredjeparter kan installere informasjonskapsler på terminalenheten når kundene besøker nettstedet.

Informasjonskapsler på nettsteder til tredjeparter

I tillegg til informasjonskapsler som brukes på nettstedet, brukes informasjonskapsler også på tredjeparters nettsteder for å målrette annonseringen for St1. Informasjon som samles inn med informasjonskapslene til samarbeidspartnere og ved hjelp av andre teknikker, gir mulighet for målrettet annonsering basert på tidligere nettatferd og andre faktorer. Dette gjør at annonser kan målrettes til de brukerne som sannsynligvis vil ha størst interesse av dem. Atferdsdata som samles inn via andre nettsteder enn St1-nettstedet, kan i så fall også brukes til målrettingsformål.

I tillegg kan vi og samarbeidspartnerne våre samle inn informasjon om effektiviteten til annonseringen vi oppretter. For dette formålet kan vi samle inn informasjon om blant annet følgende: hvor mange ganger en bestemt annonse er vist i en nettleser, om annonsen ble klikket på, og om dette eventuelt resulterte i kjøp av produktet i nettbutikken.

Deaktivering av informasjonskapsler og forhindring av målrettet annonsering

Kundene kan styre i hvilken grad de samtykker i bruken av informasjonskapsler og målrettet annonsering. Nettleserinnstillinger kan endres for å deaktivere informasjonskapsler. Hvis informasjonskapsler deaktiveres, kan det hende at noen av nettstedets funksjoner ikke lenger er tilgjengelige.

Hvis kundene ikke vil at annonseringen skal målrettes basert på interessene deres, kan de deaktivere målrettingen. Når du har deaktivert målrettet annonsering, vil du fremdeles se like mange annonser som før, men annonsene er ikke valgt basert på interesseområdene dine.

Lagring av personopplysninger

Kundeopplysninger lagres etter behov for det formålet de ble innsamlet og behandlet (kontraktsutferdigelse eller tjenesteyting) eller i henhold til tidsbegrensningene som er angitt i lover og forskrifter.

Opplysninger lagres for andre formål, blant annet forhindring av hvitvasking av penger, regnskapsrelaterte formål eller for å kunne oppfylle forpliktelser relatert til forsiktighetskrav, kun hvis dette er nødvendig og/eller påkrevd i henhold til lover og forskrifter.

St1 Finance bruker hovedsakelig lagringsperiodene i eksempelet nedenfor, men dette avhenger av de lokale forskriftene i hvert enkelt land (Finland, Sverige, Norge):

Forhindring av hvitvasking av penger og finansiering av terroristorganisasjoner

Minst fem (5) år etter at et kontraktsforhold eller en transaksjon avsluttes

Regnskapsrelaterte forskrifter

Minst ti (10) år

Krav relatert til betalingstjenester

Fem (5) år

Tilbud om lån

Minst tre (3) måneder etter at tilbudet utløper, men ikke lenger enn ett (1) år

Informasjon om utferdigelsen av et kontraktsforhold

Ti (10) år etter at kundeforholdet opphører, for formål knyttet til forsvar mot rettskrav.

 

Endringer i retningslinjene for personvern og personvernerklæringen

Oppdatert informasjon er tilgjengelig på nettstedet til St1 Finance. Det kan hende at personvernerklæringen oppdateres ved behov som et resultat av utvikling av tjenester og produkter. Informasjon om eventuelle store endringer gis på forhånd og i samsvar med forskriftene som til enhver tid gjelder.

Kontaktinformasjon

Hvis du har spørsmål knyttet til personvern, kan du kontakte St1 Finances kundeservice, sende en e-postmelding til dataprivacy@st1.fi, sende et detaljert forespørselsbrev til 

St1 Finance Oy, kundeservice/databeskyttelse
Purotie 1, 00380 Helsinki, Finland

eller ta kontakt på annen måte angitt på nettstedet vårt. Kundene har mulighet til å kontakte datatilsynet i landet der St1 Finance tilbyr sine tjenester.