UPM Privacy

UPM 员工隐私声明

2018 年 2 月 28 日,于 2020 年 1 月 28 日和 2025年4月28日

本 UPM 员工隐私声明(以下简称“隐私声明”)介绍了 UPM-Kymmene Corporation 及其附属公司(以下统称“UPM”)可能会收集哪些类型的员工个人数据、如何使用这些数据,以及如何保护这些数据。

请注意,本隐私声明可能会不时更新,以反映 UPM 的运营和/或适用法律发生的变化(具体变更将在此处发布)。我们鼓励您定期查看本隐私声明,了解可能的更新。本隐私声明所述的个人数据处理方式有重大变更时,也将在 UPM 内联网上发布通知。

虽然本隐私声明旨在阐述 UPM 在全球范围内最广泛的个人数据处理活动,但由于地方法律要求,这些处理活动在部分司法管辖区可能会受到更严格的限制。

UPM 致力于保护和尊重员工的隐私。在处理员工个人数据时,UPM 将遵守适用的数据保护法。UPM 已尽力采取适当的措施来保护员工个人数据,以防止其遭到未经授权的访问和不当使用。 

我们如何收集员工个人数据 

UPM 主要直接从员工那里收集个人数据。其他来源可能包括员工的经理、UPM 人力资源部门、其他集团职能部门以及 UPM 当地子公司。在有些情况下,我们也有可能从服务提供商或其他第三方处(例如,税务机关和保险公司)收集员工相关信息。在法律允许的范围内,我们还可能会收集员工在使用 UPM IT 工具过程中产生的数据。 
 
当直接从员工那里收集个人数据时,UPM 会告知员工不提供个人数据可能会产生的后果,以及是否强制要求或自愿提供此类数据。

我们收集的个人数据类型 

UPM 可能收集的员工个人数据的类别如下所述(可能受当地适用法律的限制): 

  •  员工本人数据:姓名、照片、出生日期和地点、性别、联系信息(包括家庭住址、电话号码、电子邮件地址、网址链接、社交媒体链接、即时通讯地址)、教育背景、工作经历、国家和政府身份信息、员工身份信息(用户名和用户 ID)、护照以及任何其他国民身份证件、签证信息、驾照 ID、居住状况、国籍、公民身份信息、婚姻状况、员工的公司信用卡号、银行账户详情、兵役信息
  • 相关人员数据:家属、受益人和紧急联系人的姓名及联系信息(包括家庭住址、电话号码、电子邮件地址)、出生日期、性别、国家和政府身份信息、说明缺勤原因的其他相关信息
  • 就业数据:雇主公司、地点、成本中心、部门、职位名称、工作类型和代码、雇佣合同数据、经理、长期休假(开始日期和结束日期、类型、原因)、项目和国际任务、退休信息、纪律处分
  • 人才建设:目标设定和成果、技能、发展计划、潜力和绩效信息、继任规划
  • 培训、许可证与证书、资质能力
  • 薪酬及相关信息:工资、福利(包括医疗、保险、储蓄和健康计划)、津贴、级别、长期和短期激励、奖励、税务信息
  • 招聘流程信息:申请、简历、背景调查信息、能力测试和测试结果
  • 员工的 UPM IT 工具和服务使用记录,例如 IP 地址、Mac 地址、浏览器指纹
  • 员工使用 UPM IT 工具和服务时生成的日志信息
  • 软件许可证使用情况,例如使用情况评估
  • 工作时间管理信息
  • 监控:视频监控录像、现场工位
  • 法律允许的通信信息:电话录音、语音邮件、电子邮件、聊天、协作工具、Teams 会议录音、会议文字记录
  • 商务差旅信息:航班、酒店和汽车预订历史记录、差旅和费用发票历史记录、公司信用卡账单、护照 

根据强制性法律规定,UPM 在部分国家/地区还可能会收集以下特殊类别的个人数据: 

  • 种族(美国)
  • 医疗和健康信息:医疗诊断、病历、残疾信息、病假、药物测试结果、事故信息、用于申请人寿保险的医学调查
    • 也可能根据员工在活动注册时提供的饮食信息,推断其健康信息。
  • 生物识别信息:笔记本电脑中的面容 ID 或指纹(仅限员工启用的情况下),工作时间管理系统中的指纹(墨西哥)
  • 工会会员资格(奥地利、芬兰、意大利、西班牙、南非和英国) 

我们收集的员工个人数据类型,可能会因员工所在地(国家/地区)以及员工在组织中的职位而异。在有些司法管辖区,当地法律可能会要求或不允许处理特定类型的个人数据。 

使用个人数据(处理目的与法律依据) 

UPM 可能会出于以下目的处理员工个人数据: 

  • 保存国家法律要求的员工数据记录 
  • 用于工资发放和满足其他法律要求(例如,工资、养老金和康复) 
  • 提供服务和员工自助服务(例如,人力资源服务)
  • 提供就业有关福利(例如,员工股票储蓄计划、电话、汽车或自行车福利)
  • 组织和管理培训,包括针对用户或员工的认证计划
  • 促进并支持职业发展和岗位轮换
  • 评估绩效和发展潜力
  • 授予物理访问权限,以便出入 UPM 场址
  • 记录工作时间(用于时间管理)
  • 保护和监测 IT 基础设施,确保 IT 资源的有效利用
  • 记录对 IT 系统的访问,以便进行调查
    • 识别和记录操作
    • 用户身份验证与授权 
    • 保护和管理对数据系统的访问
    • 事件解决、故障排除
  • 调查和纠正被指控的不当行为,包括纪律处分
  • 管理员工自助差旅门户,包括管理商务差旅安排和报销员工差旅费用
  • 记录和处理安全问题,以确保工作场所安全,管理工作场所事故和事件
  • 业务流程和产品开发
  • 公司内部和外部沟通,例如,调查和 Griffin Forum 新闻
  • 组织和管理活动(例如,注册、管理饮食偏好)
  • 行使国家法律规定的权利和义务
  • 统计分析 

UPM 处理员工个人数据的法律依据包括:UPM 与员工之间的雇佣合同、UPM 的合法利益、UPM 的法定义务,以及在极少数情况下基于 UPM 员工的同意。下表列出了这些法律依据的示例:

UPM 可能会使用人工智能 (AI) 或机器学习 (ML) 技术。 

 

数据披露与传输 

UPM 可能会向 UPM 集团内的其他公司传输和披露员工个人数据。

UPM 还可能将员工个人数据传输给专业顾问或其他服务提供商,以便我们能够使用它们的服务或产品,开发 UPM 业务流程以及为 UPM 员工提供服务。使用第三方服务提供商时,我们将采取适当的合同和其他措施来保障员工个人数据的安全处理。 

UPM 还可能披露员工个人数据,以便为员工提供就业福利并履行其法定义务(例如税务机构、保险公司)。

UPM 仅会出于上文“使用个人数据(处理目的与法律依据)”部分所述的有限目的,并且仅在实现此等目的所需范围内与上述各方共享员工个人数据。

UPM 还可能将员工个人数据传输至欧洲经济区 (EEA) 以外的国家/地区,例如,当我们使用第三方服务商来提供服务时。当将服务外包给任何第三方服务提供商并在 UPM 内部传输个人数据时,我们会确保通过合同和其他措施(例如,欧盟标准合同条款),妥善处理个人数据并遵守所有适用的法律规定。在将个人数据传输至欧洲经济区以外时,我们会采取适当的技术和组织措施来保护员工个人数据。

个人数据的保护和存储 

UPM 已采取适当的技术和组织措施来限制对员工个人数据的访问,并保护这些数据免遭丢失、意外破坏、滥用和非法更改。UPM 制定了适用于第三方服务提供商的筛选和选用程序,以确保个人数据的安全处理。个人数据的访问权限严格遵循“按需知密”的原则,仅限于出于上文“使用个人数据(处理目的与法律依据)”部分所述目的需要访问这些数据的个人。这些人员可能包括:例如,员工的经理、UPM 人力资源和 IT 人员,以及其他集团职能部门。 
 
UPM 存储个人数据的时长将以实现个人数据收集目的为限,或以满足法律和/或法规要求为限。如需了解关于 UPM 存储员工个人数据的更多信息,请联系当地的人力资源部门。

访问个人数据及其他权利 

员工有权通过以下电子邮箱或地址联系我们,访问 UPM 持有的员工个人数据(并索取此类个人数据副本)。员工还可以通过自助服务工具(如有)访问和修改自己的个人数据。如果数据不正确、不准确、不精确、已过时,或就其处理目的而言已不再适用,员工有权在必要时要求修改、更正或删除此类数据。员工可能需要按照要求验证自己的身份,详细说明自己的请求,并提供更多与请求相关的信息。 
 
如果员工更正个人数据的请求遭到拒绝,其会收到一份书面证明(并说明拒绝的理由)。在这种情况下,或者如果员工认为公司未按照适用的数据保护法律处理自己的个人数据,则可以向相关的数据保护机构反映此事。 
 
如果对个人数据的处理可能会损害员工的隐私权,员工还可以要求限制和反对此类处理。在以下情况下,员工有权限制数据处理:员工对数据准确性提出异议,且在数据准确性得到核实期间;处理不合法;或员工基于合法利益反对处理数据,直到更优先的合法利益得到证实为止。如果在征得员工同意的基础上处理其个人数据,则员工有权随时撤回同意。 

如对本隐私声明、UPM 对员工个人数据的处理有任何疑问,或希望提出数据请求,则请联系:

UPM-Kymmene Corporation / Privacy
Alvar Aallon katu 1, P.O. Box 380
FI-00101 Helsinki, Finland
privacy@upm.com 

发送/寄送至上述地址的电子邮件/信件,均由 UPM 隐私与数字合规团队接收和回复。 
您也可以联系雇主公司或当地数据保护官员(如适用)。