UPM Privacy

Polityka prywatności pracowników UPM

28.02.2018, zaktualizowano 28.01.2020 i 28.04.2025

Niniejsza Polityka prywatności pracowników firmy UPM („Polityka prywatności”) opisuje, jakie dane osobowe firma UPM-Kymmene Corporation i jej spółki powiązane („UPM”) mogą gromadzić na temat swoich pracowników, a także przedstawia sposób ich wykorzystania i ochrony.

Należy pamiętać, że niniejsza Polityka prywatności może być okresowo aktualizowana w celu odzwierciedlenia zmian w działalności firmy UPM i/lub obowiązujących przepisów prawa (wszelkie zmiany będą zamieszczane tutaj). Zachęcamy do regularnego przeglądania niniejszej Polityki prywatności w celu zapoznania się z ewentualnymi aktualizacjami. Wszelkie istotne zmiany w zakresie przetwarzania danych osobowych opisane w niniejszej Polityce prywatności będą również ogłaszane w Intranecie firmy UPM.

Niniejsza Polityka prywatności ma na celu opisanie najszerszego zakresu naszych działań związanych z przetwarzaniem danych osobowych na całym świecie, jednak w niektórych jurysdykcjach działania te mogą być bardziej ograniczone ze względu na lokalne wymogi prawne.

Spółka UPM zobowiązuje się chronić i szanować prywatność użytkowników. Przy przetwarzaniu danych osobowych firma UPM będzie przestrzegać obowiązujących przepisów o ochronie danych osobowych. Firma UPM podjęła odpowiednie działania w celu ochrony danych osobowych, aby zapobiec nieupoważnionemu dostępowi do takich danych i ich niewłaściwemu wykorzystaniu. 

Jak gromadzimy dane osobowe? 

Firma UPM gromadzi dane osobowe pochodzące głównie bezpośrednio od Ciebie. Inne źródła mogą obejmować Twojego kierownika, dział HR firmy UPM i inne jednostki organizacyjne grupy oraz lokalne podmioty stowarzyszone firmy UPM. W niektórych przypadkach możemy również zbierać informacje na Twój temat od osób trzecich, takich jak organy podatkowe i towarzystwa ubezpieczeniowe. Możemy również gromadzić, w zakresie dozwolonym przez prawo, dane osobowe uzyskane dzięki korzystaniu z narzędzi informatycznych lub usług HR firmy UPM.

W przypadku gdy dane osobowe zbierane są bezpośrednio od Ciebie, firma UPM powiadomi Cię o możliwych konsekwencjach nieprzekazania danych osobowych oraz o tym, czy ich podanie jest obowiązkowe czy dobrowolne.

Rodzaje gromadzonych danych osobowych

Kategorie danych osobowych, które firma UPM może zbierać (mogą obowiązywać lokalne ograniczenia):

  • Dane dotyczące pracowników: imię i nazwisko, zdjęcie, data i miejsce urodzenia, płeć, informacje kontaktowe (w tym adres domowy, numery telefonów, adres e-mail, łącza internetowe, łącza do stron w mediach społecznościowych, adres komunikatora internetowego), wykształcenie, historia zatrudnienia, krajowe i rządowe informacje identyfikacyjne, dane identyfikacyjne pracowników (nazwa użytkownika oraz identyfikator użytkownika), paszport i wszelkie inne krajowe dokumenty tożsamości, informacje wizowe, prawo jazdy, status pobytu, narodowość, obywatelstwo, stan cywilny, numer firmowej karty kredytowej pracownika, dane bankowe, informacje o służbie wojskowej
  • Dane dotyczące osób powiązanych: imię i nazwisko oraz dane kontaktowe osób pozostających na utrzymaniu, beneficjentów i osób do kontaktu w razie pilnej potrzeby (w tym adres domowy, numer telefonu, adres e-mail), data urodzenia, płeć, krajowe i rządowe informacje identyfikacyjne oraz inne stosowne informacje uzasadniające absencję
  • Dane dotyczące zatrudnienia: firma pracodawcy, lokalizacja, centrum kosztów, dział, nazwa stanowiska, rodzaj i kod stanowiska, dane dotyczące umowy o pracę, kierownik, urlopy i nieobecności długoterminowe (data rozpoczęcia i zakończenia, rodzaj, powód), stanowiska w projektach i za granicą, informacje o emeryturze, działania dyscyplinarne
  • Rozwój zawodowy: ustalanie celów i wyników (ocena roczna), umiejętności, plan rozwoju, informacje o wynikach i potencjale oraz planowanie sukcesji
  • Szkolenia, licencje i certyfikaty, kompetencje i kwalifikacje
  • Wynagrodzenia i informacje powiązane: pensja, świadczenia (w tym programy medyczne, ubezpieczeniowe, oszczędnościowe i zdrowotne), dodatki, grupy zaszeregowania, długo- i krótkoterminowe dodatki motywacyjne, nagrody, informacje podatkowe
  • Informacje o procesie rekrutacji: wnioski aplikacyjne, CV, sprawdzenie przeszłości, testy umiejętności i ich wyniki
  • Zapisy dotyczące korzystania z narzędzi i usług IT UPM, takie jak adres IP, adres Mac, dane umożliwiające śledzenie aktywności przeglądarki internetowej
  • Rejestrowanie informacji generowanych w wyniku korzystania z narzędzi i usług informatycznych UPM
  • Wykorzystanie licencji oprogramowania, np. pomiary wykorzystania
  • Informacje z zakresu zarządzania czasem pracy
  • Nadzór: nagrania z monitoringu wideo, lokalizacja, w której pracujesz
  • Komunikacja dozwolona przez prawo: nagrania telefoniczne, poczta głosowa, e-maile, czat, narzędzia do współpracy, nagrania spotkań w aplikacji Teams, transkrypcje spotkań
  • Informacje o podróżach służbowych: historia rezerwacji lotów, historia rezerwacji hoteli i samochodów, historia faktur dotyczących podróży i wydatków, wyciągi z firmowych kart kredytowych, paszport

Firma UPM może również gromadzić następujące szczególne kategorie danych osobowych w niektórych krajach ze względu na obowiązujące przepisy:

  • Pochodzenie etniczne (USA)
  • Informacje medyczne i zdrowotne: diagnozy medyczne, historia medyczna, informacje na temat niepełnosprawności, zwolnienia chorobowe, wyniki badań lekarskich, informacje o wypadkach, badania lekarskie w celu wnioskowania o ubezpieczenie na życie
    • Informacje dotyczące diety podane podczas rejestracji na wydarzenie, mogą być również źródłem informacji na temat Twojego stanu zdrowia.
  • Dane biometryczne: FaceID lub odcisk palca w laptopach (tylko jeśli włączysz tę funkcję), odcisk palca w narzędziach do zarządzania czasem pracy (Meksyk)
  • Członkostwo w związkach zawodowych (Austria, Finlandia, Włochy, Hiszpania, Republika Południowej Afryki i Wielka Brytania)

Rodzaje gromadzonych przez nas danych osobowych mogą się różnić w zależności od lokalizacji (kraju) oraz stanowiska zajmowanego w organizacji. W niektórych systemach prawnych mogą mieć zastosowanie lokalne wymogi prawne, które wymagają lub nie zezwalają na przetwarzanie niektórych rodzajów danych osobowych.

Wykorzystanie danych osobowych (cel i podstawa prawna przetwarzania)

Firma UPM może przetwarzać Twoje dane osobowe w następujących celach:

  • prowadzenie rejestru danych pracowników wymaganych przez przepisy krajowe 
  • do celów płacowych i spełnienia innych wymogów prawnych (np. pensji, emerytur i rehabilitacji)
  • świadczenie usług kadrowych i samoobsługowych usług pracowniczych (np.  usługi HR)
  • oferta świadczeń związanych z zatrudnieniem (np. pracownicze plany oszczędnościowe, świadczenia w postaci dodatku na telefon, samochód czy rower)
  • organizacja i zarządzanie szkoleniami, w tym programami certyfikacyjnymi dla użytkowników lub pracowników
  • umożliwianie i wspieranie rozwoju kariery i rotacji stanowisk
  • ocena wydajności i potencjału
  • zezwalanie na fizyczny wstęp na teren firmy UPM
  • rejestrowanie czasu pracy (do celów zarządzania czasem pracy)
  • zabezpieczanie i monitorowanie infrastruktury informatycznej oraz umożliwienie efektywnego wykorzystania zasobów informatycznych
  • rejestrowanie dostępu do systemów informatycznych do celów dochodzeniowych
    • identyfikacja i rejestrowanie działań
    • uwierzytelnianie i upoważnienie użytkowników 
    • zabezpieczenie dostępu do systemów danych i zarządzanie nimi
    • rozwiązywanie incydentów i problemów
    • postępowania w sprawie domniemanych uchybień i ich naprawienie, w tym działania dyscyplinarne
    • zarządzanie samoobsługowym portalem podróży dla pracowników, w tym zarządzanie organizacją podróży służbowych i zwrotami kosztów podróży pracowników
    • rejestrowanie i przetwarzanie problemów związanych z bezpieczeństwem, zapewnianie bezpieczeństwa w miejscu pracy oraz zarządzanie wypadkami i incydentami w miejscu pracy
  • procesy biznesowe i rozwój produktów
  • komunikacja wewnętrzna i zewnętrzna firmy, np. ankiety i wiadomości Griffin Forum
  • organizacja i zarządzanie wydarzeniami (np. rejestracje, zarządzanie preferencjami dietetycznymi)
  • wykonywanie praw i obowiązków wynikających z przepisów krajowych
  • analiza statystyczna.

Podstawę prawną przetwarzania danych osobowych pracowników firmy UPM stanowi umowa o pracę pomiędzy firmą UPM a pracownikiem, uzasadniony interes firmy UPM, prawny obowiązek firmy UPM oraz, w rzadkich przypadkach, zgoda pracownika firmy UPM. Przykłady podano w poniższej tabeli: 

UPM może wykorzystywać technologię sztucznej inteligencji („AI”) lub uczenia maszynowego („ML”).

 

Ujawnianie i przekazywanie danych

UPM może przekazywać i ujawniać Twoje dane osobowe innym spółkom wchodzącym w skład grupy UPM.

UPM może również przekazywać Twoje dane osobowe doradcom zawodowym lub innym usługodawcom, aby umożliwić nam korzystanie z ich usług lub produktów, rozwijać procesy biznesowe UPM i świadczyć usługi pracownikom UPM. W przypadku korzystania z usług zewnętrznych dostawców usług podejmowane są odpowiednie środki umowne i inne w celu zabezpieczenia procesu przetwarzania Twoich danych osobowych.

Firma UPM może również ujawnić Twoje dane osobowe w celu zapewnienia Ci świadczeń oraz dopełnienia swoich obowiązków prawnych (np. organów podatkowych, towarzystw ubezpieczeniowych).

Firma UPM może udostępniać Twoje dane osobowe tym osobom jedynie w ograniczonych celach określonych w powyższej sekcji „Wykorzystanie danych osobowych (cele i podstawa prawna przetwarzania)” i wyłącznie w zakresie niezbędnym do tego celu.

Firma UPM może również przekazywać dane osobowe do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), np. w przypadku korzystania przez nas z usług świadczonych przez podmioty zewnętrzne. W przypadku outsourcingu usług na rzecz usługodawców zewnętrznych i przekazywania danych osobowych w ramach firmy UPM, dbamy poprzez środki umowne i inne, takie jak standardowe klauzule umowne UE, o to, by dane osobowe były przetwarzane w odpowiedni sposób i zgodnie ze wszystkimi obowiązującymi przepisami prawa. Przekazując dane osobowe poza obszar EOG, podejmuje się odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych.

Ochrona i przechowywanie danych osobowych

Firma UPM stosuje odpowiednie środki techniczne i organizacyjne w celu ograniczenia dostępu do przechowywanych danych osobowych oraz ich ochrony przed utratą, przypadkowym zniszczeniem, niewłaściwym wykorzystaniem i bezprawną zmianą. Firma UPM wprowadziła procedury kontroli i selekcji dostawców usług zewnętrznych w celu zagwarantowania bezpiecznego przetwarzania danych osobowych. Dostęp do danych osobowych jest ograniczony do osób, które muszą uzyskać dostęp do tych danych w celach określonych w powyższej sekcji „Wykorzystanie danych osobowych (cele i podstawa prawna przetwarzania)”. Może to być np. Twój kierownik, personel działu HR i IT UPM oraz inne funkcje grupowe.

Firma UPM będzie przechowywać dane osobowe tak długo, jak będzie to konieczne do osiągnięcia celu, dla którego zostały one zgromadzone lub w celu spełnienia wymogów prawnych i/lub regulacyjnych. Więcej informacji na temat przechowywania danych osobowych pracowników w firmie UPM można uzyskać, kontaktując się z lokalnym działem HR. 

Dostęp do danych osobowych i inne prawa przysługujące użytkownikom

Masz prawo dostępu do swoich danych osobowych przechowywanych przez firmę UPM (i możesz poprosić o ich kopię), kontaktując się z nami pod adresem e-mail lub pod adresem wskazanym poniżej. Możesz również uzyskać dostęp do swoich danych osobowych i je modyfikować, korzystając z narzędzi samoobsługowych, o ile są dostępne. W razie potrzeby masz prawo do zmiany, sprostowania lub usunięcia danych, jeżeli są one nieprawidłowe, niedokładne, nieprecyzyjne, nieaktualne lub przestarzałe w odniesieniu do celu ich przetwarzania. Użytkownik może zostać poproszony o zweryfikowanie swojej tożsamości, określenie swojego żądania i przekazanie dodatkowych informacji na temat żądania.

Jeśli wniosek o sprostowanie danych osobowych zostanie odrzucony, otrzymasz pisemne zaświadczenie o odmowie wraz z podaniem przyczyn odmowy. W takim przypadku lub jeżeli Twoim zdaniem Twoje dane osobowe nie są przetwarzane zgodnie z obowiązującymi przepisami o ochronie danych osobowych, możesz zwrócić się do właściwego organu ochrony danych osobowych.

Użytkownik może również złożyć wniosek o ograniczenie i sprzeciw wobec przetwarzania danych osobowych, jeśli mogłoby to naruszyć jego prawo do prywatności. Masz prawo do ograniczenia zakresu przetwarzania danych w przypadku zakwestionowania dokładności danych w okresie, w którym ich poprawność jest sprawdzana, gdy przetwarzanie jest niezgodne z prawem lub gdy sprzeciwiasz się przetwarzaniu danych w oparciu o uzasadnione interesy, do czasu zweryfikowania nadrzędnego uzasadnionego interesu. W przypadkach, w których przetwarzanie Twoich danych osobowych odbywa się za Twoją zgodą, masz prawo do wycofania zgody w dowolnym momencie.

W razie jakichkolwiek pytań dotyczących niniejszej Polityki prywatności, przetwarzania danych osobowych przez firmę UPM lub chęci zgłoszenia żądania dotyczącego danych, możesz się skontaktować, pisząc na adres:

UPM-Kymmene Corporation / Privacy
Alvar Aallon katu 1, P.O. Box 380
FI-00101 Helsinki, Finlandia
privacy@upm.com

Wiadomości e-mail i poczta wysyłane na te adresy są odbierane i odpowiedzi na nie przygotowywane przez zespół ds. prywatności i zgodności cyfrowej firmy UPM.

Możesz również skontaktować się z pracodawcą lub lokalnym inspektorem ds. ochrony danych (w stosownych przypadkach).