St1 Finance (Oy, AB, AS) – Dataskyddspolicy 25 maj 2018

Dataskyddspolicy

Den här dataskyddspolicyn innehåller information till registrerade kunder, anställda till kunder, och tillsynsmyndighet i enlighet med kraven i Europeiska unionens Allmänna dataskyddsförordning (nedan “GDPR”) och Personuppgiftslagen.

St1 Finance (Oy, AB, AS), FO-nummer 27899887-7, Backvägen 1, 00380 Helsingfors, Finland.

Den här dataskyddspolicyn beskriver hur St1 Finance Oy (nedan “St1 Finance”) hämtar in, använder, lagrar och skyddar personuppgifter. St1 Finance Oy (AB, AS) och/eller det St1-företag som är motpart i frågan agerar som personuppgiftsansvarig. Förutom St1 Finance Oy (AB, AS), omfattar St1-företagen alla de företag som hör till koncernen St1 Nordic Oy.

St1 Finance ska behandla personuppgifter i Finland, Sverige och Norge i enlighet med gällande lagstiftning. Information om personuppgiftsansvariga och dataskyddspolicy finns på hemsidan för respektive land.  I egenskap av betalningsinstitut följer St1 Finance samtliga krav på sekretess och integritet i alla sina verksamheter.


Vilka personuppgifter samlar St1 Finance in för sin verksamhet

  1. grundläggande information om enskilda kunder (namn, personnummer och kontaktinformation, till exempel adress, telefonnummer och e-postadress)
    Grundläggande information om företagskunder (information som är nödvändig för att identifiera kunden och för att fastställa kundens ekonomiska status och politiska inflytande) 

  2. information om kundrelationen (till exempel kundrelationens varaktighet och natur)

  3. samtycke (den registrerade personens givna och indragna samtycken rörande behandling av personuppgifter)

  4. information om avtal slutna mellan kunden och St1

  5. information om kundtransaktioner

  6. bakgrundsinformation om kunden (t.ex. information om kundens levnadssituation och ekonomiska ställning) 

  7. beteendedata (till exempel data som sparas genom cookies)

  8. information om innehåll i inspelningar och meddelanden (till exempel inspelade telefonsamtal)

  9. teknisk ID-information (till exempel information som används för att identifiera användare av mobilappar)  

Personuppgifter samlas oftast in från de registrerade personerna själva. Personuppgifter får även hämtas från andra filsystem inom St1-företagen, i den utsträckning lagen tillåter.   
I den utsträckning lagen tillåter får personuppgifter hämtas och uppdateras från filsystem hos tredje part, till exempel följande:

  • allmänna register hos myndigheter, till exempel Folkbokföringen, verkställande myndigheter och polisen, liksom skatteregister, bolagsregister och tillsynsmyndigheters register
  • sanktionslistor (t.ex. listor från EU, FN och nationella organisationer) och övriga pålitliga källor innehållande information om, till exempel, verkliga huvudmän och personer med politiskt inflytande
  • ansvariga för kreditinformation

 

Personuppgiftsbehandlingens syften och juridiska grunder 

St1 Finance behandlar personuppgifter för att uppfylla kontraktsbundna och juridiska skyldigheter och för att förse sina kunder med tjänster och vägledning. Informationen nedan beskriver mer detaljerat behandlingen av personuppgifter och den juridiska grunden för sådan behandling:

a)    Verkställande av kontrakt 

Syftet med behandling av personuppgifter är att samla in, behandla och verifiera personuppgifter före slutande av produkt- och tjänsteavtal, och att dokumentera och verkställa skyldigheter enligt kontrakt. Exempel på sådana åtgärder från St1 Finance inkluderar följande:
-     åtgärder som rör öppnande av betalningskonto och utfärdande av betalkort, andra betalmedel och kontokredit 
-    kundservice så länge kundrelationen varar 
-    åtgärder som rör utövandet av juridiska anspråk
-    åtgärder som rör indrivning av skulde
r

b)    Juridiska skyldigheter 

Lagar, förordningar och regelverk från myndigheter föreskriver skyldigheter för St1 Finance om behandling av personuppgifter, till exempel:
-    krav och skyldigheter om betalningstjänster 
-    skyldighet till kundkännedom (KYC) 
-    förhindrande av penningtvätt, finansiering av terrorism och bedrägeri 
-    kontroller som rör sanktionslistor 
-    skyldigheter till riskhantering (operativa risker, kreditrisker, försiktighetskrav)
-     bokföringsregler 
-    rapportering till myndigheter (skatteverk, polis, rättsväsende och tillsynsmyndigheter) 
-    andra produkt- och tjänstespecifika juridiska skyldigheter.

c)    Personuppgiftsansvariges eller tredje parts legitima intresse

St1 Finance behandlar personuppgifter för att kunna utföra analyser av marknader, produkter och kunder. Uppgifter som inhämtas i samband med detta används till exempel för utveckling av produkter och tjänster. 
 Överinsyn av kontotransaktioner för förebyggande av oregelbundenheter och kundanalyser i marknadsföringssyfte kan omfatta profilering baserat på legitimt intresse. 
I vissa situationer kan kunder behöva ge specifikt samtycke för behandling av personuppgifter. Elektronisk direktmarknadsföring baseras till exempel oftast på samtycke direkt från den registrerade personen. Kunden har rätt att ta tillbaka sitt samtycke när som helst.

d)    Automatiserat beslutsfattande

St1 Finance använder automatiserat beslutsfattande vid utfärdande av krediter, i den utsträckning lagen tillåter. Kunder får alltid begära att manuellt beslutsfattande används istället för automatiserad behandling, uttrycka sin åsikt eller bestrida sådant beslut som fattats baserat på automatiserad behandling. Om den produkt eller tjänst som erbjuds inkluderar automatiserat beslutsfattande, förses kunden med ytterligare information om den behandlingslogik som gäller för det automatiserade beslutsfattandet, dess innebörd och eventuella konsekvenser.


Delgivning av personuppgifter

St1 Finance får delge personuppgifter med hänsyn till samtliga krav i gällande lagstiftning, däribland sekretesskrav på betalningsinstitut.

De personuppgifter som inhämtats får delges till St1-företagen, leverantörer av varor och tjänster, samt affärspartner, i den utsträckning lagen tillåter och under förutsättning att gällande sekretesskyldigheter uppfylls. Personuppgifter får dessutom, i samband med fusioner och förvärv, delges till motparten för arrangemanget eller transaktionen, om delgivning av sådan information är förenlig med det syfte i vilket personuppgifterna behandlas.

För utförande av tjänster har vi slutit samarbetsavtal med tredje parter, till exempel parter inom finanssystem, centralbanker, parter som mottar banköverföringar och clearinghus. Banköverföringar och säkra ID-lösningar kräver till exempel att personuppgifter meddelas för att kunna bekräfta den registrerade personens identitet och verkställa order. Ett annat exempel är IT-tjänster, inkl. programvaruutveckling, servrar och underhåll, vilka implementerats genom slutna avtal med utvalda parter där rätten att behandla personuppgifter ingår i avtalen.

Data kan överföras till parter utanför EU och EES i den utsträckning lagen tillåter, under förutsättning att det aktuella landet har en adekvat nivå av datasäkerhet och att dataöverföringen följer EU:s aktuella standardklausuler för avtal.


Skydd av personuppgifter

En kundrelation och skydd av kundens uppgifter är ett krav för att St1 Finance ska kunna utföra sina tjänster. St1 behandlar personuppgifter på ett sätt som är säkert och följer lagstadgade krav. Vi skyddar data genom att vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra förlust, missbruk, obehörig användning, delgivning, modifiering och förstörelse. Uppgifter som sparats i elektroniska informationssystem behandlas endast på order från St1 Finance, och får endast behandlas av anställda eller agenter med behörighet att komma åt registren och uppdatera data i enlighet med beviljad behörighet.
 
Fysiskt material och andra manuellt behandlade dokument innehållande kunduppgifter ska förvaras inlåst på ett sätt som tar hänsyn till brandsäkerhet. I enlighet med föreskrifterna om sekretess i Lagen om betalningsinstitut får sparade uppgifter endast behandlas av St1 Finance Oy:s anställda, agenter och anvisade parter.

I enlighet med föreskrifterna om sekretess i Lagen om betalningsinstitut måste samtliga användare bevara sekretessen för all den information de tar del av.

Kundens rättigheter

Kunders önskemål om att utnyttja kundrättigheter ska behandlas från fall till fall. Samtliga kunder har följande rättigheter:

  • rättighet att se och begära åtkomst till de egna personuppgifter som hanteras av St1 Finance. Den här rättigheten kan begränsas i enlighet med lagstiftning, för att skydda andra personers sekretess, och i enlighet med St1 Finance:s verksamhetsregler. Affärshemligheter och internt material kan också göra att tillgången till uppgifterna begränsas.
  • rättighet att verifiera de egna personuppgifterna 
  • rättighet att begära rättelse av felaktiga eller ofullständiga uppgifter
  • rättighet att begära radering av uppgifter under de omständigheter som specificeras i GDPR 
  • rättighet att förbjuda behandling av de egna personuppgifterna i syften som rör direktmarknadsföring
  • rättighet till dataportabilitet. För personuppgifter som kunden försett St1 Finance med har kunden rätt att få ut dessa uppgifter i maskinläsbart format. Denna rättighet gäller för personuppgifter som behandlats automatiskt och i enlighet med samtycke eller verkställande av kontrakt. Sådan information får även överföras till annan personuppgiftsansvarig, om detta är tekniskt genomförbart och säkert.
  • i egenskap av betalningsinstitut har St1 Finance juridiska skyldigheter som föreskriver att personuppgifter måste sparas så länge kundrelationen varar, liksom efter detta, och i syfte att behandla eventuella juridiska anspråk.
  • om det går att rimligt fastställa att kunden inte har rättighet att begära att uppgifterna raderas, kan uppgiftsbehandlingen begränsas enligt kundens önskemål till att endast omfatta lagring av uppgifterna. Uppgiftsbehandling i andra syften är dock möjligt om så krävs enligt ett juridiskt anspråk eller om kunden givit sitt samtycke.
  • rättighet till dataportabilitet. För personuppgifter som kunden tillhandahållit har kunden rätt att få ut dessa uppgifter i maskinläsbart format. Detta gäller för personuppgifter som behandlas automatiskt och i enlighet med samtycke eller verkställande av kontrakt. Sådan information får överföras till annan personuppgiftsansvarig, om detta är tekniskt genomförbart och säkert.

Ovanstående önskemål ska presenteras av den registrerade personen till St1 Finance:s kundservice (se avsnitt Kontaktinformation).

Om registrerade personer finner att deras personuppgifter inte behandlats i enlighet med lagen har de rätt att göra en anmälan till tillsynsmyndighet.

Användning av cookies

St1 Finance följer den policy för cookies som publicerats av St1 Nordic Oy.

På hemsidan används cookies och liknande tekniker för att inhämta information om användarens terminalanordning. Cookies är oftast små textfiler som sparas av webbläsaren så att anordningens användare kan identifieras och återidentifieras. Cookies används för att identifiera användarens webbläsare, och den sparade informationen kan användas till exempel för att räkna antal webbläsare som används för att besöka hemsidan, och i syfte att analysera hemsidans användning, till exempel genom statistisk övervakning. Målet är att utveckla tjänsten så att den hela tiden blir bättre för användaren.

Cookies gör att till exempel följande information kan sparas:

användarens IP-adress; klocktid; vilka sidor som besökts och hur länge; typ av webbläsare; terminalanordningens operativsystem; från vilken URL användaren nådde hemsidan och till vilken URL användaren går vidare efter att ha använt hemsidan, samt namn på server och domän varifrån användaren kom till hemsidan.

Hemsidan kan även innehålla cookies från tredje parter, till exempel sådana som utför mätnings- och övervakningstjänster. Tredje parter får installera cookies på terminalanordningen när kunder besöker hemsidan.

Cookies på tredje parters hemsidor

Förutom cookies på hemsidan används cookies även på tredje parters hemsidor för att rikta annonsering för St1. Information som sparats genom samarbetspartners cookies och andra tekniker möjliggör riktad annonsering baserat på tidigare onlinebeteende och andra faktorer, vilket gör att annonsering kan riktas till de användare med högst sannolikhet att intresseras av dessa. Beteendeinformation som sparats via andra hemsidor än St1-hemsidan kan i så fall också användas för riktad annonsering.

Våra samarbetspartner och vi kan även spara information om effektiviteten hos vår annonsering. I detta syfte kan vi spara till exempel följande information: information om hur många gånger en viss annons visats i en webbläsare; information om huruvida annonsen klickats på och information om huruvida detta ledde till att produkten köptes i webbutiken.

Avaktivera cookies och förhindra riktad annonsering

Kunder kan bestämma i vilken utsträckning de ger samtycke till användning av cookies och riktad annonsering. Webbläsaren kan ställas in för att avaktivera cookies. Om cookies avaktiveras kan det hända att vissa av hemsidans funktioner slutar fungera.

Om kunden inte vill att annonsering riktas baserat på intresseområden kan kunderna stänga av riktad annonsering. Om du stänger av riktad annonsering syns fortfarande lika många annonser som tidigare, men annonserna väljs inte baserat på dina intresseområden.

Lagring av personuppgifter

Kunduppgifter lagras efter behov i det syfte för vilket de inhämtats och behandlats (verkställande av kontrakt eller utförande av tjänst) eller i enlighet med tidsgränser i lagstiftning och regelverk.

Uppgifter lagras i andra syften, till exempel förhindrande av penningtvätt, bokföringsrelaterade syften eller för att uppfylla skyldigheter som rör försiktighetskrav endast om så är nödvändigt och/eller föreskrivet enligt lagstiftning och regelverk.

St1 Finance tillämpar huvudsakligen lagringstiderna i exemplet nedan, men detta beror på vilka regler som gäller i respektive land (Finland, Sverige, Norge):
 

Förhindrande av penningtvätt och finansiering av terrorism Minst fem (5) år efter att kontraktsrelation eller transaktion avslutats
Bokföringsrelaterade regler Minst tio (10) år
Krav som rör betalningstjänster Fem (5) år
Erbjudanden om lån Minst tre (3) månader efter att erbjudandet går ut men inte längre än ett (1) år
Information om verkställande av kontraktsrelation Tio (10) år efter att kundrelationen avslutats, i syften som rör försvar av juridiska anspråk


Förändringar av datasekretessregler och dataskyddspolicy

Uppdaterad information finns på St1 Finance:s hemsida. Dataskyddspolicy kan komma att uppdateras vid behov allt eftersom hur tjänster och produkter utvecklas. Information om större förändringar ska ges på förhand och i enlighet med aktuella gällande regelverk.

Kontaktinformation

Frågor och kontakter om dataskyddspolicy kan ställas till St1 Finance kundtjänst, dataprivacy@st1.fi eller via post: St1 Finance Oy (AB,AS), kundtjänst/dataskydd, Bäckvägen 1, 00380 Helsingfors, Finland

eller på annat sätt som informeras på hemsidan. Kunden kan även kontakta dataskyddsmyndighet i det land där St1 Finance erbjuder sina tjänster.