Retningslinjer for personvern – YX Norge AS Drivstoffkort for bedrift

Versjon mai 2019 For kontaktpersoner og kunder, samt søkere til og innehavere av betalingskort

Som behandlingsansvarlig virksomhet tar YX Norge AS beskyttelse av ditt personvern på alvor. Vi verner om personopplysningene vi behandler, og vi sørger for å etterleve Personopplysingsloven og Personvernforordningen (GDPR).

Vi gir personene vi behandler opplysningene om («de registrerte»), nødvendig informasjon om vår databehandling og deres rettigheter som registrerte. I disse retningslinjene for personvern beskriver vi behandlingen av personopplysninger om våre kundekontakter; om våre kunder og om søkere til og innehavere av betalingskort i forbindelse med Drivstoffkort for bedrift.

Hvem vi er og hvordan du kan kontakte oss

Behandlingsansvarlig:

YX Norge AS
Lysaker Torg 35, 1366 Lysaker
Org.nr.: 895 453 102

Hvis du har spørsmål om vår behandling av opplysninger om deg, må du gjerne kontakte oss. Husk at vanlig e-post ikke er sikker kommunikasjon. Ikke skriv noe i en e-post som er personlig eller sensitivt eller som du ellers mener skal beskyttes.

Kontaktinformasjon vedr. Drivstoffkort for bedrift:

Telefonnummer: +47 22 12 42 12
Epost: kundeservice@yx.no
Nettside: https://yx.no

Vår behandling av personopplysninger

Vi samler inn informasjon om deg fra: 

  • Søknadsskjema
    Personopplysninger som du legger inn i søknadsskjema til Drivstoffkort for bedrift, eller andre dokumenter du gir til oss i denne sammenheng
  • Bruk av tjenester
    Opplysninger som kan knyttes til en person/deg, når du ber om eller bruker produktene (eks bruker kortet for å foreta transaksjoner på våre stasjoner).
  • Kredittopplysningsbyråer
    Innhenting av personopplysninger fra kredittopplysningsbyråer, herunder personlige eller forretningsmessige registreringer (om relevant).
  • Kommunikasjon
    Opplysninger som kan knyttes til en person/deg, herunder navn, adresse, telefonnummer og e-postadresse og opplysninger som er en del av vår korrespondanse med og kundeoppfølging av deg.
  • Spørreskjemaer/konkurranser
    Personopplysninger i forbindelse med alle undersøkelser, spørreskjemaer eller konkurranser du deltar i eller svarer på eller markedsføringstilbud som du registrerer deg på (med lovlig grunnlag for dette).
  • Tredjepart
    Markedsføringslister som vi fra tid til annen med lovlig grunnlag får fra samarbeidspartnere.

Opplysninger vi behandler i forbindelse med Drivstoffkort for bedrift omfatter: 

Kategori person

Personopplysninger
Kontaktpersoner hos våre kunder Opplysninger som kan knyttes til en person/deg, herunder navn, adresse, telefonnummer og e-postadresse, opplysninger som er en del av vår korrespondanse med deg samt opptak fra videoovervåkning.
Innehavere av private bedrifter som er kunder

Opplysninger som kan knyttes til en person/eiere, herunder navn, adresse, telefonnummer og e-postadresse, innhentede samtykker og dokumentasjon og opplysninger som er en del av vår korrespondanse med deg.

Transaksjoner som er knyttet til bruk av Drivstoffkort for bedrift.

Kontonummer, kjøpshistorikk, betalingshistorikk, betalingsopplysninger samt lønnsopplysninger og årsoppgave i forbindelse med kredittsjekk, personnummer, for eksempel i forbindelse med kredittsjekk samt signaturer på dokumenter.

Oppdatering av adresse og abonnement på kredittopplysninger.

Så lenge du har et aktivt kundeforhold, holder vi adressen oppdatert via abonnement på adresseendringer i Folkeregisteret, som vi mottar fra kredittopplysningsselskaper.

Hvis du har et kreditt- eller debetkort hos oss, vil vi gjennom avtalen med kredittopplysningsselskaper motta informasjon om du blir registrert som en dårlig betaler.

Søkere til og innehavere av betalingskort

Identifiserende opplysninger, herunder navn, adresse, telefonnummer og e-postadresse, innhentede samtykker og dokumentasjon og opplysninger som er en del av vår korrespondanse med deg.Transaksjoner som er knyttet til bruk av Drivstoffkort for bedrift. Kontonummer, kjøpshistorikk, betalingshistorikk, betalingsopplysninger samt lønnsopplysninger og årsoppgave i forbindelse med kredittsjekk, personnummer, for eksempel i forbindelse med kredittsjekk samt signaturer på dokumenter.

Informasjon om bankgaranti i de tilfeller dette anses nødvendig for å utstede betalingskort til deg.

Oppdatering av adresse og abonnement på kredittopplysninger.

Så lenge du har et aktivt kundeforhold, holder vi adressen oppdatert via abonnement på adresseendringer i Folkeregisteret, som vi mottar fra kredittopplysningsselskaper.

Hvis du har et kreditt- eller debetkort hos oss, vil vi gjennom avtalen med kredittopplysningsselskaper motta informasjon om du blir registrert som en dårlig betaler.

Databehandlingen vår har følgende formål:

Typen person Formålet med behandling
Kontaktpersoner hos kunder

Administrasjon av kundeforholdet, vedlikehold samt pågående samarbeid og svar på spørsmål som du har;

Kommunikasjon via e-post, SMS eller andre elektroniske metoder, om kontoer, produkter og tjenester som du har;

Markedsføring til eksisterende kunder, i henhold til markedsføringslovens bestemmelser

Kundeundersøkelser, dersom du har samtykket til dette

Felles formål er listet nedenfor.

Innehavere av private bedrifter som er kunder

Administrasjon av kundeforholdet, vedlikehold, kredittsjekk på søkeren samt innhenting og eventuell tilbakekalling av samtykke

Levering av en betalingstjeneste til innehavere av betalingskort som er knyttet til selskapet, herunder gjennomføring eller korrigering av en betalingstransaksjon

Innhenting av nødvendig informasjon i forbindelse med søknad om kort

Behandling i samsvar med lovgivning, herunder skattelovgivning og bokføringsloven

Markedsføring til eksisterende kunder, i henhold til markedsføringslovens bestemmelser

Kundeundersøkelser, dersom du har samtykket til dette

Informasjon om mislighold av kontraktsforhold

Registrering av sperrede kort

Felles formål er listet nedenfor.

Søkere til og innehavere av betalingskort

Administrasjon av kundeforholdet, kredittsjekk på søkeren samt innhenting og eventuell tilbakekalling av samtykke

Levering av tjenester, herunder betalingstjeneste for innehavere av betalingskort, herunder gjennomføring eller korrigering av en betalingstransaksjon (f.eks. bruk av gyldig kort og kortbruk for transaksjoner innenfor tillatt kredittgrense, granskning og rettslig forfølgelse av misbruk, o.l. og innsamling av betalingskort)

Behandling for overholdelse av lovgivning, herunder skattelovgivning og bokføringsloven

Markedsføring til eksisterende kunder, i henhold til markedsføringslovens bestemmelser

Kundeundersøkelser, dersom du har samtykket til dette

Informasjon om mislighold av kontraktsforhold

Registrering av sperrede kort

Felles formål er listet nedenfor.

Felles formål for alle registrerte

Behandling av personopplysningene i forbindelse med å administrere svindel, og avdekke operative risikoer og sikkerhetsrisikoer (inkludert avdekke kortkriminalitet), herunder:

  • Oppfølging av mistanke eller kunnskap om sikkerhetsbrudd og rapportering til de registrerte og tilsynsmyndigheter
  • Håndtering av spørsmål og klager fra de registrerte og andre
  • Behandling som er nødvendig for at rettslige krav kan fastlegges, gjøres gjeldende eller forsvares, inspeksjoner og forespørsler fra tilsynsmyndigheter, håndtering av tvister med registrerte og tredjeparter
  • Se gjennom og godkjenne enkelttransaksjoner, oppdage og forhindre bedrageri eller kortkriminalitet, og sikre informasjon; og
  • Utvikle og forbedre vår risikostyring og prosedyrer for søknader og kundekonti, samt vår håndtering av informasjon på søknadsskjemaer.

Behandling av personopplysninger i forbindelse med  administrasjon av bonus i henhold til kortvilkårene, herunder innkjøpsopplysninger (dvs. opplysninger om hvilke typer varer du har kjøpt, pris og tidspunkt for kjøpet).

Rettslig grunnlag

Våre databehandling skjer på følgende rettslige grunnlag:

Kundekontakter

Det rettslige grunnlaget for behandling av personopplysninger om kundekontakter er:

  •  Behandlingen er nødvendig for å oppfylle en kontrakt som den registrerte er part i eller av hensyn til foranstaltninger som tas på den registrertes forespørsel før inngåelse av kontrakt, jf. Personvernforordningens artikkel 6, stk. 1, litra b.
  • Behandlingen er hjemlet i lov, f.eks. i bokføringsloven jf. Personvernforordningens artikkel 6, stk. 1, litra c.
  • Det rettslige grunnlaget for behandling av personopplysninger er Personvernforordningens (GDPR) artikkel 6, stk. 1, litra f om behandlinger som er nødvendige for å forfølge en berettiget interesse som ikke overstiger hensynet til de registrerte. YX Norge AS har en berettiget interesse i å ivareta kundeforholdet og markedsføre sine produkter og tjenester til eksisterende kunder, samt øvrige berettigede interesser som fremgår av felles formål i tabellen over.

Når vi innhenter personopplysninger direkte fra deg for å bruke i opprettelse og pågående ivaretakelse av avtaleforholdet, gir du oss personopplysningene frivillig. Hvis du ikke ønsker å gi oss kontaktinformasjon, kan vi ikke kommunisere med deg som bedriftskunde. I så fall ber vi om kontaktinformasjon for en annen ansatt hos dere.

Innehavere av private selskaper som er kunder

Det rettslige grunnlaget for behandling av personopplysninger av innehaverne av private selskaper som er (potensielle) kunder er:

  • Behandlingen er nødvendig for å oppfylle en kontrakt som den registrerte er part til eller av hensyn til foranstaltninger som tas på den registrertes forespørsel før inngåelse av kontrakt, jf. Personvernforordningens artikkel 6, stk. 1, litra b.
  • Behandlingen er hjemlet i lov, f.eks. i bokføringsloven jf. Personvernforordningens artikkel 6, stk. 1, litra c.
  • Det rettslige grunnlaget for behandling av personopplysninger er Personvernforordningens artikkel 6, stk. 1, litra f om behandlinger som er nødvendige for en berettiget interesse som ikke overstiger hensynet til de registrerte. YX Norge AS har en berettiget interesse i å ivareta kundeforholdet, markedsføre sine produkter og tjenester til eksisterende kunder, forhindre misbruk eller tap samt øvrige berettigede interesser som fremgår av felles formål i tabellen over.

Når vi innhenter personopplysninger direkte fra deg for å bruke i opprettelse og pågående ivaretakelse av avtaleforholdet, gir du oss personopplysningene frivillig for å ivareta disse formålene. Visse opplysninger er det obligatorisk å oppgi i henhold til for eksempel skattelovgivningen og regnskapslovgivningen.

Søkere til og innehavere av betalingskort

Det rettslige grunnlaget for behandling av personopplysninger om søkere til og innehavere av betalingskort er:

  • Behandlingen er nødvendig for å oppfylle en kontrakt som den registrerte er part til eller av hensyn til foranstaltninger som tas på den registrertes forespørsel før inngåelse av kontrakt, jf. Personvernforordningens artikkel 6, stk. 1, litra b.
  • Behandlingen er hjemlet i lov, f.eks. i bokføringsloven og skatteloven, jf. Personvernforordningens artikkel 6, stk. 1, litra c.
  • Samtykke fra søkere til og innehavere av betalingskort, jf. Personvernforordningens artikkel 6, stk 1, litra a..
  • Det rettslige grunnlaget for behandling av personopplysninger er Personvernforordningens artikkel 6, stk. 1, litra f om behandlinger som er nødvendige for en berettiget interesse som ikke overstiger hensynet til de registrerte. YX Norge AS har en berettiget interesse i å ivareta forholdet, forhindre misbruk eller tap og andre berettigede interesser som fremgår av det felles formålet i tabellen over.

Når vi innhenter personopplysninger direkte fra deg for bruk i opprettelse og pågående ivaretakelse av avtaleforholdet, gir du oss personopplysningene for å kunne få et betalingskort fra oss. Det er obligatorisk å oppgi disse opplysningene hvis du ønsker å søke om betalingskort. Hvis du ikke gir dem til oss, kan vi ikke vurdere om vi kan utstede et betalingskort til deg. Visse opplysninger er det obligatorisk å oppgi i henhold til for eksempel skattelovgivningen.

Felles for samtykke – betinget samtykke og tilbakekalling

Du kan velge om du vil samtykke til behandling av personopplysninger for kredittvurdering, osv. Men søknad om og vedlikehold av et betalingskort er betinget av samtykke til slik behandling i løpet av søknads- og avtaleperioden. Hvis du trekker slikt samtykke tilbake, betyr det at du ikke kan få eller beholde betalingskortet, og at du må klippe det opp. En tilbaketrekking påvirker ikke lovligheten av innsamling, behandling og deling før tilbaketrekking av samtykket. Behandlingen vil deretter opphøre framover i tid, med mindre det er et rettslig krav om behandling eller behandling er nødvendig for at et rettslig krav kan fastlegges, gjøres gjeldende eller forsvares.

Typer mottakere

Vi deler med eller overfører personopplysninger til en eller flere av følgende mottakere:

  • For kontaktpersoner og søkere til og innehavere av betalingskort: selskapet som er en kunde av oss og som du er tilknyttet
  • Bankrelasjoner i forbindelse med administrasjon av betaling for ytelser og tjenester
  • Advokater, inkasso- og kredittopplysningsselskaper ved mislighold av kredittavtaler samt forespørsel av kredittopplysningsselskaper ved søknad om kreditt
  • Kredittforsikringsselskaper for bestemte kunder 
  • PayEx og NETS i forbindelse med betalinger
  • Ringesenter for kundeservice
  • Selskaper som administrerer bom- bro- og fergeforbindelser
  • Skattemyndighetene, Finanstilsynet og andre myndigheter i forbindelse med lovbestemte rapporter og tilsyn
  • Våre databehandlere, f.eks. IT-leverandører, kortprodusenter og kredittopplysningsselskaper
  • Politimyndigheter, domstoler og andre i forbindelse med rettslige krav
  • Bransjeorganisasjoner eller sammenslutninger i forbindelse med administrasjon av bonus- og rabattordninger.

Sletting

Vi sletter opplysningene om deg når de ikke lenger er nødvendige.

YX Norge AS etterlever de krav til oppbevaring som er fastsatt i bokføringsloven og annen lovgivning.  

For å sikre riktig behandling av tilbakevendende kundeforhold, potensielle innsigelsessaker og for å kunne leve opp til våre forpliktelser, har vi vurdert at vi må lagre øvrige opplysninger i inntil fem år pluss gjeldende regnskapsår fra forretningsforholdets opphør.

Personopplysninger kan oppbevares lenger hvis nødvendig for at et rettslig krav (sivil- eller strafferettslig krav) kan etableres, forsvares eller gjøres gjeldende.

Dine rettigheter

Etter Personopplysningsloven og Personvernforordningen (GDPR) har du en rekke rettigheter i og med vår behandling av opplysninger om deg. 

Du kan benytte rettighetene ved å kontakt oss. Vår kontaktinformasjon finner du i begynnelsen av disse retningslinjene.

Når du har gjort en forespørsel, undersøker vi om vi er forpliktet til å etterkomme den, og om det er mulig å imøtekomme ønsket ditt. Vi gir deg svar på forespørselen så snart som mulig og senest en måned etter at vi har mottatt den. Hvis det er mange eller komplekse henvendelser, kan det ta inntil tre måneder å besvare forespørselen. I så fall varsler vi deg innen en måned.

Du har følgende rettigheter på betingelsene og begrensningene som følger av lovgivningen:

  • Rett til å få en kopi av personopplysningene (rett til innsyn): Du har rett til innsyn i opplysningene om deg som vi behandler og til å få ytterligere opplysninger om behandlingen.
  • Rett til retting (retting av personopplysninger): Hvis du mener at personopplysningene om deg som vi behandler er ufullstendige eller misvisende, har du rett til å be om å få dem rettet. Du må kontakte oss og informere oss om hva som er feil og hvordan det kan rettes. Vi må i alle tilfeller ta stilling til om vi mener forespørselen er berettiget.
  • Rett til sletting: Vi sletter vanligvis opplysningene om deg når de ikke lenger er nødvendige. I spesielle tilfeller har du rett til å få spesifikke opplysninger om deg slettet før tidspunktet for vår vanlige generelle sletting. Dette gjelder f.eks. hvis du trekker samtykket ditt og vi ikke har annet grunnlag for å behandle opplysningene. Hvis du mener at dine personopplysninger ikke lenger er nødvendige i forhold til formålene vi innhenter dem for, kan du be om at de blir slettet. Du kan også kontakte oss hvis du mener at dine personopplysninger blir behandlet i strid med loven eller andre rettslige forpliktelser.
  • Rett til begrensning av behandlingen: Hvis du bestrider riktigheten av personopplysninger vi behandler, kan du be oss om å begrense behandlingen av opplysningene til vi har konstatert at opplysningene er riktige. Du kan også be om begrensning i stedet for sletting hvis du mener at vår behandling av opplysningene er ulovlig og du er imot sletting av personopplysningene. Du kan også be om begrensning hvis vi ikke lenger trenger opplysningene, men de er nødvendige for at rettslige krav kan fastlegges, gjøres gjeldende eller forsvares, eller hvis du har gjort innsigelser i henhold til Personvernforordningens artikkel 21, paragraf 1, mens det undersøkes om våre berettigede interesser har forrang over dine berettigede interesser. Hvis du får medhold i at behandling bør begrenses, kan vi bare behandle opplysningene med ditt samtykke, eller med henblikk på at rettslige krav kan fastlegges, gjøres gjeldende eller forsvares, eller for å beskytte en person eller viktige samfunnsinteresser.
  • Rett til å overføre opplysninger (dataportabilitet): Du har rett til å motta elektronisk behandlede personopplysninger du har gitt oss når vi behandler personopplysninger om deg basert på samtykke eller under en kontrakt du har inngått. Du har også rett til å overføre slike personopplysninger til en annen tjenesteleverandør, enten selv eller gjennom oss. Hvis du vil benytte deg av retten til dataportabilitet, får du personopplysninger fra oss i alminnelig anvendt og maskinlesbart format.
  • Rett til innsigelse: Du har rett til å gjøre innsigelser til behandlingen av opplysninger om deg hvis behandlingen er basert på våre berettigede interesser, eller behandlingen er nødvendig for utførelsen av en oppgave i samfunnets interesse. Du har også rett til å gjøre innsigelser til behandlingen av opplysninger om deg til direkte markedsføringsformål. Hvis innsigelsen er berettiget, slutter vi med behandling av opplysningene fremover i tid.
  • Rett til å motta informasjon om nye formål: Hvis vi ønsker å bruke opplysningene om deg til et annet formål enn de som er tidligere nevnt for deg, f.eks. i disse retningslinjene for personvern, ha du rett til å bli informert om dette før vi behandler opplysningene for nye formål.
  • Retten til å trekke tilbake samtykket: Hvis vår behandling av opplysninger om deg er gjort på grunnlag av ditt samtykke, kan du når som helst trekke samtykket tilbake. Hvis du trekker samtykket, kan vi ikke behandle opplysningene fremover i tid. Tilbakekalling av samtykke påvirker ikke lovligheten av behandlingen og overføringen som var basert på opprinnelig samtykke.

Du har rett til å klage til Datatilsynet. Generelt er det slik at hvis du er misfornøyd med måten personopplysningene om deg er behandlet, kan du klage til Datatilsynet, som deretter behandler saken og eventuelt tar en beslutning.

Du finner Datatilsynets kontaktinformasjon på: https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/

Lurer du på noe?

Kontakt oss her