SEO-sovelluksen tietosuojaseloste

Tämä Tietosuojaseloste koskee Suomalainen Energiaosuuskunta (SEO):n (jäljempänä ”SEO”) asiakkailleen (jäljempänä myös ”rekisteröity”) tarjoaman sovelluksen ”SEONappi” (myöhemmin ”Sovellus”) yhteydessä suoritettavaa henkilötietojen käsittelyä. Olemme kuvanneet tässä tietosuojaselosteessa, millä tavoin ja perustein käsittelemme henkilötietojasi, kun asennat Sovelluksemme.

1. Rekisterinpitäjä

Suomalainen Energiaosuuskunta SEO
Viipurintie 11
15150 Lahti
Y-tunnus 0276700-2
https://seo.fi

Jos sinulla on kysyttävää henkilötietojen käsittelyyn tai yksityisyyteesi liittyen, olethan yhteydessä: Johanna Silén johanna.silen@seo.fi, joka on SEO:n yhteyshenkilö tietosuoja-asioissa.

2. Henkilötietojen käsittelyn tarkoitukset

Käsittelemme henkilötietoja Sovelluksen ja siihen liittyvien palveluiden tarjoamiseksi asiakkaille. Käsittelemme henkilötietojasi seuraaviin tarkoituksiin:

  • Palveluiden tarjoaminen ja tuottaminen, mukaan lukien tilausten ja maksutapahtumien käsittely (käsittelyn oikeusperuste: sopimuksen täytäntöönpano ja oikeutettu etu)
  • Asiakassuhteen hoitaminen ja hallinnointi, mukaan lukien asiakasviestintä (käsittelyn oikeusperuste: sopimuksen täytäntöönpano ja oikeutettu etu)
  • Asiakkuuteen liittyvien luottopäätösten tekeminen ja siinä yhteydessä henkilötunnusten käsittely (henkilötunnusten käsittelyn oikeusperuste: rekisteröidyn yksiselitteinen yksilöiminen)
  • Palveluiden kehittäminen ja laadun varmistaminen, mukaan lukien profilointi (käsittelyn oikeusperuste: oikeutettu etu)
  • Markkinointi, mukaan lukien suoramarkkinointi sekä markkinoinnin kohdentaminen asiakkaille (käsittelyn oikeusperuste: oikeutettu etu ja suostumus)
  • Lakiin perustuvien velvoitteiden kuten kirjanpitovelvoitteidennoudattaminen (käsittelyn oikeusperuste: lakisääteinen velvoite)
  • Sijainnin paikantaminen (edellyttäen rekisteröidyn suostumusta). Sijainnin seuraamista varten käytämme laitteesi GPS- ja verkkoyhteyttä, jotta voit suunnitella matkareittiäsi sekä paikantaa lähimmät SEO-asemat (käsittelyn oikeusperuste: suostumus)

3. Henkilötietojen käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:

  • Sopimuksen täytäntöönpano tai sopimuksen tekemistä edeltävät toimenpiteet (GDPR 6 artikla 1 kohta b-alakohta);
  • Oikeutettu etu (GDPR 6 artikla 1 kohta f-alakohta);
  • Suostumus (GDPR 6 artikla 1 kohta a-alakohta) ja
  • Lakisääteinen velvoite (GDPR 6 artikla 1 kohta c-alakohta);
  • Henkilötunnuksen käsittely: rekisteröidyn yksiselitteinen yksilöiminen on tärkeää rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi (GDPR 87 artikla ja tietosuojalaki (1050/2018) 29 §).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity tai rekisteröidyn työnantaja on rekisterinpitäjän asiakas ja käyttää rekisterinpitäjän palveluita, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.

Käsitellessämme henkilötietoja oikeutetun edun perusteella, punnitsemme käsittelyn hyödyt ja mahdolliset haitat rekisteröidyille, ja olemme arvioineet, että rekisteröityjen oikeudet ja edut eivät syrjäytä SEO:n oikeutettua etua käsitellä henkilötietoja. Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä, joka perustuu oikeutettuun etuun.

Henkilötunnuksen käsittely on rekisteröidyn yksiselitteiseksi yksilöimiseksi tärkeää rekisteröidyn luottokelpoisuuden tarkistamiseksi ja luottopäätöksen tekemiseksi. Rekisterinpitäjänä SEO huolehtii siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

4. Käsiteltävät henkilötiedot

Keräämme sinusta seuraavia henkilötietoja Sovelluksen käyttöönoton ja käytön yhteydessä:

Perustiedot

  • Nimi- ja yhteystietosi, kuten puhelinnumero, sähköposti- ja osoitetiedot
  • Yrityksen tai organisaation nimi, y-tunnus ja yhteystiedot, jos rekisteröity asioi sen edustajana

Asiakkuustiedot

  • Asiakkuuden yksilöivät ja luokittelevat tiedot
  • Polttoöljytilausten osalta käsittelemme edellä mainittujen henkilötietojen ohella henkilötunnuksia.
  • Polttoöljytilausten osalta käsittelemme edellä mainittujen henkilötietojen ohella luottokelpoisuutta ja luottopäätöksiä koskevia tietoja.

Sopimus- ja tuotetiedot

  • Rekisterinpitäjän ja rekisteröidyn välisen sopimuksen tiedot
  • Hankkimiesi tuotteiden ja palvelujen tiedot

Maksu- ja laskutustiedot

  • Maksu- ja laskutustiedot

Asiakastapahtumatiedot

  • Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat

Rekisteröidyn antamat suostumukset ja kiellot

  • Rekisteröidyn antamaa suostumusta koskevat tiedot sekä edellä mainittujen suostumusten peruuttamista ja rekisteröidyn antamia kieltoja koskevat tiedot
  • Rekisteröidyltä pyydetään suostumus sähköistä suoramarkkinointia ja sijainnin seurantaa varten

Sijaintitiedot

  • Rekisteröidyn sijainnin seurantaan liittyvät sijaintitiedot

5. Profilointi ja automaattinen päätöksenteko

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa arvioidaan rekisteröidyn tiettyjä henkilökohtaisia ominaisuuksia. Sovelluksen henkilötietojen käsittely sisältää asiakkaiden profilointia kohdennettujen palveluiden sekä markkinoinnin ja mainonnan tarjoamiseksi.

Käytämme profilointia, jotta voimme kehittää asiakasviestintäämme ja palvelujamme mahdollisimman olennaisiksi. Rekisteröitynä voit Sovelluksessa tehdä itse valintoja, jotka vaikuttavat siihen, mitä tietoja ja palveluita sinulle tarjotaan. Sovellus tekee suosituksia ja valintoja asiakaskokemuksesi parantamiseksi. EU:n yleisen tietosuoja-asetuksen 21 artiklan mukaisesti rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyyn perustuvaa profilointia.

Emme käytä henkilötietoja automaattiseen päätöksentekoon.

6. Säännönmukaiset tietolähteet

Keräämme henkilötiedot Sovelluksen käyttöönoton ja käytön yhteydessä suoraan rekisteröidyltä. Keräämme luottokelpoisuutta koskevat tiedot Suomen Asiakastieto Oy:ltä.

Lisäksi henkilötietoja päivitetään hyödyntäen SEO:n asiakasrekisterin päivitettyjä tietoja.

7. Henkilötietojen vastaanottajat ja tietojen luovutukset

SEO voi käyttää Sovellusta tuottaessaan luotettavaksi todettuja henkilötietojen käsittelijöitä ja rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita. Näiden tahojen kanssa on allekirjoitettu tietosuoja-asetuksen mukaiset henkilötietojen käsittelyä koskevat sopimukset.

Sovelluksen palveluntarjoajana toimii Etteplan More Oyj.

Lisäksi SEO käyttää henkilötietojen käsittelijöinä Sovellukseen liittyen seuraavia tahoja:

  • Greenstep Oy
    • Käsittelijä vastaa asiakasrekisteristä ja tilaushistoriasta
  • Avenla Oy
    • Käsittelijä vastaa verkkokaupasta, tilausliikenteestä sekä asemien, etuuksien ja sijaintien hallinnasta
  • Intrum Oy
    • Käsittelijä vastaa saatavien perinnästä
  • Seita Technologies Oy
    • Käsittelijä vastaa mobiilitankkauksesta
  • Swedbank Finland
    • Käsittelijä toimii maksun välittäjänä

Kerättyjä henkilötietoja voidaan luovuttaa luottotietojen tarkistamiseksi ja luottopäätösten tekemiseksi Suomen Asiakastieto Oy:lle SEO:n oikeutetun edun perusteella tai rekisteröidyltä saadun suostumuksen perusteella. Lisäksi henkilötietoja voidaan luovuttaa viranomaisille lainsäädännön mukaisesti.

8. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

9. Tietojen säilytysajat

Käsittelemme henkilötietojasi ainoastaan niin kauan, kuin on tarpeellista Sovelluksen ja siihen liittyvien palvelujen tarjoamiseksi, ellei lainsäädäntö velvoita säilyttämään henkilötietoja pidempään. Henkilötietojen säilytysaika riippuu tietojen luonteesta sekä käsittelyn tarkoituksesta. Kun henkilötietoa ei enää tarvita, poistamme henkilötiedot rekisteristämme kohtuullisessa ajassa.

Henkilötietoja säilytetään alla kuvattujen periaatteiden mukaisesti:

  • Sopimus- ja asiakassuhteeseen liittyviä henkilötietoja säilytetään asiakassuhteen voimassaolon ajan. Tämän jälkeen kirjanpitoaineistoon sisältyviä tositteita säilytetään kirjanpitolainsäädännön perusteella kuluvan tilikauden ajan sekä kuusi vuotta tilikauden päättymisestä.
  • Kaikki rekisteröidyn henkilötiedot hävitetään 10 vuoden kuluessa siitä, kun rekisteröity on poistanut Sovelluksen, ellei tietojen säilyttäminen ole poikkeuksellisesti tarpeen esimerkiksi oikeustoimia varten.
  • Sähköistä suoramarkkinointia varten säilytämme tarpeellisia henkilötietoja toistaiseksi, ellei vastaanottaja ole perunut sähköiseen suoramarkkinointiin antamaansa suostumusta tai kieltänyt sähköistä suoramarkkinointia.
  • Sijaintitietoja säilytetään ainoastaan niin kauan, kun asiakas on antanut suostumuksen niiden käsittelemiselle Sovelluksessa ja sijaintitiedot poistetaan sen jälkeen, kun asiakas on peruuttanut suostumuksensa tai poistanut Sovelluksen.

10. Rekisterin suojauksen periaatteet

Käytämme teknisiä ja organisatorisia suojatoimenpiteitä keräämiemme ja käsittelemiemme henkilötietojen suojaamiseksi. Tietokantoihin ja järjestelmiin pääsyyn sekä rekisterin käyttöön ovat oikeutettuja vain ne rekisterinpitäjän tai tämän puolesta ja lukuun toimivien henkilötietojen käsittelijöiden työntekijät, joilla on työnsä puolesta oikeus käsitellä rekisterin sisältämiä tietoja.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella. Käyttämämme toimet on suunniteltu ylläpitämään asianmukainen turvallisuustaso tietojen luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden varmistamiseksi.

11. Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisessä tietosuoja-asetuksessa määritellyt oikeudet:

  • Oikeus saada vahvistus siitä, että sinua koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.
  • Oikeus saada oikaistua sinua koskevat epätarkat ja virheelliset henkilötiedot.
  • Oikeus vastustaa tietojen käsittelyä tiettyjä EU:n yleisessä tietosuoja-asetuksessa määriteltyjä tarkoituksia kuten profilointia varten.
  • Oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
  • Oikeus pyytää henkilötietojesi poistamista EU:n yleisessä tietosuoja-asetuksessa määritellyissä tilanteissa.
  • Oikeus henkilötietojen käsittelyn rajoittamiseen EU:n yleisessä tietosuoja-asetuksessa määritellyissä tilanteissa.
  • Oikeus tietyissä tilanteissa saada siirrettyä sinua koskevat henkilötiedot toiselle rekisterinpitäjälle.
  • Oikeus tehdä valitus valvontaviranomaiselle, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta. Suomessa tämä viranomainen on tietosuojavaltuutettu.

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle SEO:n yhteyshenkilölle.

12. Sosiaalisen median liitännäiset tiedot

Kun lataat sovelluksemme, sovelluskaupan (Apple App Store tai Google Play) ylläpitäjä käsittelee automaattisesti tietojasi, kuten esimerkiksi käyttäjänimi, sovelluskauppaan rekisteröity sähköpostiosoite ja maksutietosi sovelluskaupassa. SEO ei osallistu kyseisten tietojen keräämiseen eikä ole rekisterinpitäjänä vastuussa niiden käsittelystä. Lisätietoja kyseisten tietojen käsittelystä löydät kunkin sovelluskaupan tietosuojaselosteesta.

Jos yhdistät käyttäjätilisi Googleen, Google jakaa kanssamme sähköpostiosoitteesi sekä Google-tililläsi julkiseksi asetetut tiedot. Vastaavasti, jos yhdistät käyttäjätililtäsi Facebookiin, Facebook jakaa kanssamme julkisen Facebook-profiilisi sekä sähköpostisoitteesi.

SEO application privacy statement

This Privacy Statement applies to the processing of personal data in connection with the application “SEONappi” (hereinafter “Application”) provided by Suomalainen Energiaosuuskunta (SEO) (hereinafter “SEO”) to its customers (hereinafter also “data subject”). In this Privacy Statement, we describe how and on what basis we process your personal data when you install our Application.

1. The controller

Suomalainen Energiaosuuskunta SEO
Viipurintie 11
15150 Lahti
Finnish Business ID 0276700-2
https://seo.fi

If you have any questions regarding the processing of personal data or your privacy, please contact: Johanna Silén johanna.silen@seo.fi, who is SEO’s contact person for data protection issues.

2. Purposes of processing personal data

We process personal data in order to provide the Application and the related services to our customers. We process your personal data for the following purposes:

  • Provision and production of services, including the processing of orders and payment transactions (legal basis for processing: performance of a contract and legitimate interest)
  • Customer relationship management and administration, including customer communications (legal basis for processing: performance of a contract and legitimate interest)
  • Processing credit information related to the customer relationship and in that context processing personal identity codes (legal basis for processing personal identity codes: necessary to uniquely identify the data subject)
  • Development and quality assurance of services, including profiling (legal basis for processing: legitimate interest)
  • Marketing, including electronic direct marketing (hereinafter also “e-direct marketing”) and targeting advertising and content to customers (legal basis for processing: legitimate interest and consent)
  • Compliance with legal obligations such as bookkeeping obligations (legal basis of the proceedings: legal obligation)
  • Location data (subject to data subject’s consent). The Application uses your device’s GPS and network connection to track your location, in order for you to be able to plan your itinerary and locate the nearest SEO stations (legal basis for processing: consent)

3. Legal basis for the processing of personal data

The legal bases for the processing of personal data are the following in accordance with the EU’s General Data Protection Regulation (hereinafter also the “GDPR”):

  • Performance of a contract or processing performed prior to entering into a contract at the request of the data subject (Article 6 (1) (b) of the GDPR);
  • Legitimate interest (Article 6 (1) (f) of the GDPR);
  • Consent (Article 6 (1) (a) of the GDPR) and
  • Legal obligation (Article 6 (1) (c) GDPR).
  • Processing of the personal identity codes: necessary to uniquely identify the data subject in order to implement the rights and duties of the data subject or the controller (Article 87 of the GDPR and Section 29 of the Data Protection Act (1050/2018)).

The controller’s legitimate interest referred to above is based on a relevant and appropriate relationship between the data subject and the controller resulting from the fact that the data subject or the employer of the data subject is a customer of the controller and uses the services of the controller, and when the processing is for purposes that the data subject could have reasonably expected at the time of the collection of personal data and in the context of an appropriate relationship.

When we process personal data on the basis of the legitimate interest, we weigh the benefits and potential disadvantages of the processing for data subjects, and we have assessed that the rights and interests of data subjects do not override SEO’s legitimate interest in processing personal data. The data subject has the right to object to the processing of personal data based on a legitimate interest.

The processing of the personal identity code is important to uniquely identify the data subject in order to assess the data subject’s creditworthiness and make a credit decision. As a controller, SEO ensures that the personal identity code is not unnecessarily entered in documents that have been printed or prepared on the basis of the personal data register.

4. Categories of personal data involved

We collect the following personal data about you in connection with the installation and use of the Application:

Contact information

  • Your name and contact information, such as phone number, email, and address information
  • Company name, business ID, and contact details of the company or organisation, if the data subject acts as its representative

Customer information

  • Information identifying and classifying the customer
  • With regard to fuel oil orders, we process personal identity codes in addition to the personal data mentioned above.
  • With regard to fuel oil orders, in addition to the personal data mentioned above, we process the information on creditworthiness and credit-granting decisions.

Contract and product information

  • Details of the agreement between the controller and the data subject
  • Information about the products and services you have purchased

Payment and billing information

  • Payment and billing information

Customer transaction information

  • Tasks and events related to customer relationship management

Consents and objections given by the data subject

  • Information on the data subject’s consent and information on the withdrawal of the above consents and objections granted by the data subject
  • The data subject is asked for consent for electronic direct marketing and location tracking

Location information

  • Location information related to tracking the location of the user

5. Profiling and automated decision-making

The processing of personal data includes profiling. Profiling refers to the automatic processing of personal data in which certain personal characteristics of the data subject are evaluated. The processing of personal data in the Application includes customer profiling to provide targeted services as well as marketing and advertising.

We use profiling to make our customer communications and services as relevant as possible. Once registered, you can make your own choices in the Application that affects the content and services provided to you. The Application makes recommendations and choices to improve your customer experience. Pursuant to Article 21 of the EU’s General Data Protection Regulation, the data subject has the right to object to profiling based on the processing of personal data concerning him.

We do not use personal data for automated decision-making.

6. The sources of personal data

We collect personal data directly from the customer in connection with the installation and use of the Application.We collect credit information from Suomen Asiakastieto Oy.

In addition, personal data is updated using the updated information in the SEO customer register.

7. Recipients of personal data

SEO may use in the context of providing the Application trusted processors of personal data and subcontractors acting on behalf of the controller. Agreements on the processing of personal data under the General Data Protection Regulation have been signed with these parties.

The service provider of the application is Etteplan More Oyj.

In addition, SEO uses the following parties as processors of personal data in connection with the Application:

  • Greenstep Oy
    • The processor is responsible for the customer register and order history
  • Avenla Oy
    • The processor is responsible for e-commerce, subscription traffic, and the management of stations, benefits, and locations
  • Intrum Oy
    • The processor is responsible for the recovery of claims
  • Seita Technologies Oy
    • The processor is responsible for mobile refueling
  • Swedbank Finland
    • The processor acts as a payment intermediary

The collected personal data may be disclosed to Suomen Asiakastieto Oy in order to assess credit information and make credit decisions. The information is disclosed on the basis of the legitimate interest of SEO or the consent obtained from the customer. In addition, personal data may be disclosed to authorities in accordance with the law.

8. Transferring data outside the EU/EEA

Personal data will not be transferred outside the EU or the EEA.

9. Personal data retention

We will only process your personal data for as long as it is necessary to provide the Application and related services unless a longer retention period is provided for in the law. The retention period of personal data depends on the nature of the data and the purpose of the processing. When personal data is no longer needed, we will erase the personal data within a reasonable time.

Personal data will be retained in accordance with the principles described below:

  • Personal data related to the contractual and customer relationship is retained for the duration of the customer relationship. Thereafter, the receipts included in the bookkeeping material shall be retained in accordance with the bookkeeping legislation for the current financial year and for at least six years after the end of the year during which the financial year ended.
  • All personal data of the data subject will be erased within 10 years after the data subject has deleted the Application, unless the retention of the data is exceptionally necessary, for example for legal claims.
  • For e-direct marketing, we will retain the necessary personal data for the time being, unless the recipient has withdrawn their consent to e-direct marketing or objected to e-direct marketing.
  • Location data will only be retained for as long as the customer consents to its processing in the Application and location data will be deleted after the customer has revoked their consent or removed the Application.

10. Data security

We use technical and organisational safety measures to protect the personal data we collect and process. Only those employees of the controller or processors of personal data acting on behalf of the controller who have the right to process the data in the course of their work are entitled to access the databases and systems.

The database containing personal data is held on a server, which is stored in a locked space, which can only be accessed by designated and authorized persons. The server is protected by an appropriate firewall and technical protection. The measures we use are designed to maintain an appropriate level of security to ensure the confidentiality, integrity, availability, and resilience of the data.

11. Rights of the data subject

The data subject has the following rights as defined in the EU’s General Data Protection Regulation:

  • The right to receive confirmation as to whether or not personal data concerning you are being processed and, if such personal data are processed, the right to access the personal data.
  • The right to have inaccurate personal data about you rectified.
  • The right to object to the processing of data for certain purposes defined in the EU General Data Protection Regulation, such as profiling.
  • The right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal.
  • The right to request the erasure of your personal data in situations defined in the general EU data protection regulation.
  • The right to restrict the processing of personal data in situations defined in the general EU data protection regulation.
  • The right to have your personal data transferred to another controller in certain situations.
  • The right to complain to a supervisory authority if you consider that the processing of personal data concerning you violates the EU’s General Data Protection Regulation. In Finland, this authority is the Data Protection Commissioner.

Requests for the exercise of the data subject’s rights shall be addressed to the SEO contact person referred to in paragraph 1.

12. Data related to social media

When you download our Application, the application store administrator (Apple App Store or Google Play) automatically processes your information, such as your username, email address registered with the application store, and payment information with the application store. SEO is not involved in the collection of this information and is not responsible for its processing. For more information on data processing, see the privacy statement for each application store.

If you link your user account to your Google Account, Google will share your email address and your personal info, including any personal info you have made publicly available with us. Similarly, if you link your user account to your Facebook user account, Facebook will share your public Facebook profile and your email address with us.