St1 Finance Oy – Dataskyddspolicy 1.7.2019

Dataskyddspolicy

I denna dataskyddspolicy ges information som förutsätts av EU:s allmänna dataskyddsförordning (senare dataskyddsförordningen) samt av personuppgiftslagen till registrerade kunder, kundernas anställda och tillsynsmyndigheten.

St1 Finance Oy, FO-nummer 2789887-7, Backvägen 1, 00380 Helsingfors, Finland.

I denna dataskyddspolicyn skildras hur St1 Finance Oy (senare St1 Finance) samlar in, använder, lagrar och skyddar personuppgifter. Registeransvarig är St1 Finance Oy  och/eller av St1-gruppens bolag det som man hanterar ärenden med. Till St1-gruppen hör alla bolag som tillhör St1 Nordic Oy-koncernen samt St1 Finance Oy.

St1 Finance behandlar personuppgifter i Finland, Sverige och Norge enligt den lagstiftning som gäller vid respektive tidpunkt. De registeransvariges uppgifter och registerbeskrivningarna finns på respektive lands webbplats.  St1 Finance iakttar som betalningsinstitut tystnadsplikt och kraven som gäller integritetsskydd i all sin verksamhet.

Vilka personuppgifter samlar St1 Finance in för sin verksamhet

  1. privatkundens grunduppgifter (namn, personbeteckning och kontaktuppgifter, bl.a. adress, telefonnummer och e-postadress)
    samfundskundens grunduppgifter (nödvändiga uppgifter för att identifiera kunden samt för att utreda ekonomisk ställning och politisk inflytelse)
  2. kundrelationsuppgifter (t.ex. kundrelationens längd och karaktär)
  3. samtycken (samtycken och förbud som gäller behandlingen av personuppgifter som den registrerade uppgivit)
  4. uppgifter om avtalen mellan kunden och St1
  5. uppgifter om kundtransaktioner
  6. bakgrundsuppgifter om kunden (t.ex. information om livssituationen och den ekonomiska ställningen)
  7. beteendeuppgifter (bl.a. uppgifter som samlats in via cookies)
  8. uppgifter om innehållet i inspelningar och meddelanden (bl.a. samtalsinspelningar)
  9. tekniska identifieringsuppgifter (bl.a. uppgifter som används för att identifiera mobilapplikationens användare) 

 

Personuppgifterna samlas in i regel från den registrerade själv. Personuppgifter kan erhållas från St1-gruppens övriga register inom ramarna för lagstiftningen.  

Personuppgifter kan samlas in och uppdateras inom ramarna för lagen från tredje partens register, t.ex.:  

a.) offentliga register som upprätthålls av myndigheter, såsom Befolkningsregistercentralen, utsökningsmyndigheterna, polisen, skatteförvaltningens register, företagsregister och tillsynsmyndigheternas register

b.) sanktionslistor (t.ex. listor som upprätthålls av EU och FN samt nationella organisationer) och övriga pålitliga källor som ger information exempelvis om faktiska förmånstagare och politiskt inflytelserika personer

c.) registeransvarige för kreditupplysning 

Syften och rättsliga grunder för behandling av personuppgifter

St1 Finance behandlar personuppgifter för att uppfylla avtalsenliga och lagstadgade förpliktelser samt för att erbjuda tjänster och rådgivning för sina kunder. Nedan följer mera detaljerad information om behandlingen och den rättsliga grund som behandlingen baserar sig på:

a.) Verkställande av avtal

Syftet med behandlingen av personuppgifter är att samla in, behandla och verifiera personuppgifterna innan uppgörandet av produkt- och serviceavtal och dokumentera samt förverkliga avtalsförpliktelserna. Exempel på sådana åtgärder som St1 Finance vidtagit är:

  • uppgifter i anslutning till öppnande av betalkonto, betalkort eller annat betalmedel och beviljande av kontokredit
  • kundtjänst under kundrelationen
  • uppgifter i anslutning till framställande av rättsliga yrkanden
  • åtgärder i anslutning till indrivning

 

b.) Lagstadgad förpliktelse

Lagar, bestämmelser och myndighetskrav ställer förpliktelser för St1 Finance för behandling av personuppgifter. Sådana är exempelvis:

  • krav och förpliktelser som ställts för betalningstjänsten
  • skyldighet att identifiera kunden (KYC)
  • förhindrande av penningtvätt och finansiering av terrorism samt av bedrägeri
  • kontroller av sanktionslistor
  • riskhanteringsförpliktelser (operativa risker, kreditrisker, soliditetskrav)
  •  bokslutsbestämmelser
  • myndighetsrapportering (skatte, polis-, tillsyns- och verkställande myndigheter)
  • övriga produkt och servicespecifika lagstadgade skyldigheter.

 

c.) Berättigat intresse hos registeransvarig eller tredje part

St1 Finance behandlar personuppgifter för att genomföra marknadsförings-, produkt- och kundanalyser. Uppgifter som erhålls på detta sätt används bl.a. för att utveckla produkter och tjänster.

Övervakningen av kontotransaktioner för att förhindra missbruk samt marknadsföringens kundanalyser kan eventuellt innehålla profilering som grundar sig på berättigat intresse.

I vissa fall ber man kunden om ett uttryckligt samtycke för behandling av personuppgifter. Exempelvis direktmarknadsföring genom en elektronisk kanal grundar sig vanligtvis på den registrerades samtycke. Kunden har alltid rätt att återkalla samtycke som han eller hon gett.

d.) Automatiserat beslutsfattande

St1 Finance använder automatiserat beslutsfattande och profilering vid utfärdande av krediter, i den utsträckning lagen tillåter. Som ett resultat av automatiserat beslutsfattande kan kunders ansökan komma att godkännas eller avslås. Kunder får alltid begära att manuellt beslutsfattande används istället för automatiserad behandling, uttrycka sin åsikt, begära ytterligare information eller bestrida sådant beslut som fattats baserat på automatiserad behandling. Om den produkt eller tjänst som erbjuds inkluderar automatiserat beslutsfattande, förses kunden med ytterligare information om den behandlingslogik som gäller för det automatiserade beslutsfattandet, dess innebörd och eventuella konsekvenser.

Automatiserad behandling använder information som beskriver kunders ekonomiska ställning, exempelvis information som kunden har tillhandahållit i kreditansökningsförfarandet, information som är tillgänglig från kreditutredningar samt information om betalningshistorisk och kreditinformation som finns tillgänglig från St1 Finance Services Oys interna register. För kreditgivningsändamål kan behandlingen även använda information om adress som finns tillgänglig från de offentliga bokföringsregistren samt information om förvaltarskap och kreditvärdighet av möjliga företagsförbindelser.

Automatiserat avslag kan uppstå som en följd av bristande betalningsförmåga, information om bristfällig kredithistoria, ung ålder, brist på permanent adress samt hög kreditförpliktelse. Automatiserad behandling utformar sökandens kreditvärdighet. Om specifika villkor är uppfyllda kommer ansökan att godkännas och om villkoren inte är uppfyllda kommer ansökan antingen att avslås eller överföras till manuell behandling. Vissa delar av ansökningarna hanteras alltid manuellt, oavsett resultatet av den automatiserade behandlingen.

 

Överlåtelse av kunduppgifter

St1 Finance kan överlåta personuppgifter med beaktande av kraven i den förpliktande lagstiftningen, inklusive förpliktelser om sekretess som riktar sig till betalningsinstitut.

Insamlade personuppgifter kan överlåtas inom St1-gruppen samt till varu- och serviceleverantörer och affärspartners inom ramarna för lagen och under förutsättning att ändamålsenlig sekretess iakttas. Därutöver kan personuppgifter överlåtas i samband med företagsarrangemang eller -köp till arrangemangets eller köpets motpart, ifall överlåtelsen är förenlig med syftet för behandlingen av personuppgifter.

För att erbjuda tjänsten har vi slutit samarbetsavtal med tredje parter, såsom parter inom finansieringssystem, centralbanker, mottagare av kontoöverföringar och clearingbolag. Exempelvis kontoöverföringar och säkra identifieringslösningar förutsätter en överlåtelse av personuppgifter för att verifiera identiteten och verkställa uppdraget. Därutöver har t.ex. IT-stödtjänster, inklusive programutvecklings-, server- och underhållstjänster, fullföljts med avtal med valda partners som omfattar rätten till behandling av personuppgifter.

Uppgifter kan överföras inom ramen för lagstiftningen utanför EU eller EES, förutsatt att dataskyddsnivån i ifrågavarande land är tillräcklig eller att man vid överföringen av uppgifterna följer EU:s modellavtalsklausuler som gäller vid respektive tidpunkt.

Skydd av personuppgifter

En kundrelation och skyddande av kundens uppgifter är en förutsättning för att St1 Finance ska kunna erbjuda sina tjänster. St1 behandlar personuppgifter på ett säkert sätt som uppfyller lagstiftningens krav. Vi skyddar uppgifterna tekniskt och organisatoriskt på ett ändamålsenligt sätt för att förhindra försvinnande, missbruk, olovligt bruk och överlåtande samt förändringar och förstörelse. Uppgifter som lagrats i de elektroniska datasystemen behandlas endast på uppdrag av St1 Finance och endast utfört av anställda eller ombud, som har rätt att behandla registret och upprätthålla uppgifterna i enlighet med beviljade användarbefogenheter.

Det manuella materialet och övriga manuellt behandlade handlingar som innehåller kunduppgifter förvaras brandsäkert i låsta lokaler. Endast anställda i St1 Finance, ombud samt de som fått ett uppdrag kan behandla lagrade uppgifter i enlighet med tystnadsplikten i lagen om betalningsinstitut.

Varje användare har tystnadsplikt över erhållna uppgifter med stöd av tystnadsplikten i lagen om betalningsinstitut.

Kundens rättigheter

Kundens begäran för att använda sina rättigheter gås igenom per situation och fall. Kundens rättigheter:

  • rätt att ta del i och begära tillgång till personuppgifter om kunden som St1 Finance förvaltar över. Rättigheten kan begränsas med stöd av lagstiftning, övriga personers integritetsskydd samt St1 Finance affärsverksamhetspraxis. Affärshemligheter samt internt material kan eventuellt begränsa tillgången till uppgifterna.
  • rätt att kontrollera personuppgifter som gäller en själv,
  • rätt att begära en korrigering av en felaktig eller bristfällig uppgift
  • rätt att begära att uppgifterna raderas i situationer som stadgas i dataskyddsförordningen
  • rätt att förbjuda behandlingen av egna personuppgifter för marknadsföringssyften
  • rätt till överföring av uppgifterna. Kunden har rätt att få de personuppgifter som han eller hon gett St1 Finance i maskinläsbart format. Rättigheten gäller personuppgifter som behandlats automatiserat och utgående från samtycke eller verkställande av ett avtal. Ifall det är tekniskt möjligt och säkert, kan dessa uppgifter överföras till en annan registeransvarig.
  • som betalningsinstitut har St1 Finance skyldigheter som grundar sig på lagstiftningen att lagra personuppgifter under kundrelationen och även efter att relationen avslutats samt även för att behandla eventuella rättsanspråk.
  • om man berättigat kan konstatera att kunden inte har rätt till att begära en radering av uppgifterna, kan man på kundens begäran begränsa behandlingen av uppgifterna endast till en lagring av uppgifterna. Behandlingen av uppgifterna i annat syfte är dock möjlig, om rättsanspråket förutsätter det eller om kunden gett sitt samtycke.

 

Den registrerade ska framföra ovan nämnda begäran till St1 Finance kundtjänst (se punkt I Kontakter).

Ifall den registrerade anser att behandlingen av hans eller hennes personuppgifter inte är lagenlig, har den registrerade rätt att anföra klagomål hos tillsynsmyndigheten.

Användning av cookies

St1 Finance iakttar policyn om cookies som St1 Nordic Oy offentliggjort.

Vi samlar in uppgifter på webbplatsen om användarens terminal med hjälp av cookies och övriga motsvarande tekniker. En cookie är vanligtvis en liten textfil som din webbläsare lagrar för att identifiera och återidentifiera terminalens användare. Med hjälp av cookies identifieras kundens webbläsare och den erhållna informationen kan användas t.ex. för att räkna webbläsarna som besöker vår webbplats samt för analysering av besöken på vår webbplats, exempelvis beträffande statistisk uppföljning. Vi strävar till att på så sätt utveckla vår service så att den allt bättre betjänar användarna.

Med hjälp av cookies kan bl.a. följande information samlas in:

användarens IP-adress; klockslag; besökta sidor och tiden som använts på sidorna; typ av webbläsare; terminalens operativsystem; från vilken webbadress användaren kommit till Webbplatsen och till vilken webbadress användaren övergår efter att ha besökt Webbplatsen; och från vilken server och domänadress användaren kommit till Webbplatsen.

Webbplatsen kan även innehålla tredje parters, såsom mätnings- och uppföljningstjänsters, cookies. Tredje parter kan lägga in cookies på terminalen när kunden besöker webbplatsen.

Cookies på tredje partens webbplatser

Förutom cookies som används på webbplatsen utnyttjas cookies även för St1:s riktade reklam på tredje partens webbplatser. Utgående från uppgifterna som samlats in med hjälp av samarbetspartners cookies och övriga tekniker kan reklam riktas utifrån det tidigare webbeteendet och övriga faktorer till de webbanvändare som sannolikt är mest intresserade av reklamen. Vid riktad reklam kan man utnyttja även beteendeinformation som samlats in från webbplatser utanför St1:s webbplats.

Vi och våra samarbetspartners kan därutöver samla in information om hur effektiva reklamen är. I detta syfte kan vi t.ex. samla in följande information: uppgifter om hur många gånger en viss reklam har visats i webbläsaren; uppgifter om ifall reklamen öppnats; och uppgifter om ifall öppnandet av reklamen ledde till köp av produkter i webbutiken

Förhindrande av cookies och riktad reklam

Kunden kan själv bestämma i vilken utsträckning han eller hon samtycker till att använda cookies och riktad reklam. Användningen av cookies kan ändras genom att ändra webbläsarens inställningar. Om cookies tas bort är webbplatsens alla funktionaliteter nödvändigtvis inte tillgängliga.

Om kunden inte vill att reklam riktas enligt intresseområden, kan kunden förhindra riktad reklam. Efter att den riktade reklamen förhindrats visas du lika många reklam som tidigare, men reklamen har inte valts enligt dina intresseområden.

Lagring av personuppgifter

Kundernas uppgifter lagras vid behov för det syfte för vilket de insamlats och behandlats (verkställande av avtal eller erbjudande av tjänster) eller i enlighet med de tidsbegränsningar som fastställs i lagen och i bestämmelser.

För övriga syften, såsom förhindrande av penningtvätt, genomförande av bokslut och soliditetskrav lagras uppgifter endast vid behov och/eller om det föreskrivs i bestämmelserna.

St1 Finance följer i regel följande lagringstider, beroende dock på den lokala regleringen i respektive land (Finland, Sverige, Norge):

Förhindrande av penningtvätt och terrorism minst fem (5) år efter att avtalsförhållandet upphört eller efter händelsen
bokslutsreglering minst fram till tio (10) år
krav i anslutning till betalningstjänsten fem (5) år
låneerbjudande minst fram till tre (3) månader efter att erbjudandet upphört och högst fram till ett (1) år.
uppgifter om verkställande av avtalsförhållandet fram till tio (10) år efter att kundrelationen upphört, för att försvara rättsanspråk

 

Ändringar i dataskyddspolicyn och dataskyddspolicy

Uppdaterad information finns på St1 Finance webbplats. Till följd av utvecklingen av tjänster och produkter kan dataskyddspolicy vid behov uppdateras. Betydande ändringar meddelas separat och på det sätt som förutsätts i regleringen som gäller vid ifrågavarande tidpunkt.

Kontakter

Frågor och kontakter i anslutning till dataskyddspolicy till St1 Finance kundtjänst, dataprivacy@st1.fi eller per brev:

St1 Finance Oy (AB, AS), kundtjänst / dataskyddsärenden, Bäckvägen 1, 00380 Helsingfors, Finland

eller på annat överenskommit sätt som informeras på hemsidan. Kunden kan om han eller hon så önskar kontakta dataskyddsmyndigheten i det land där St1 Finance erbjuder tjänsten. (www.tietosuoja.fi)