28.02.2018, uppdaterad 28.01.2020
I UPM:s sekretesspolicy för anställda (”sekretesspolicyn”) beskrivs vilka typer av personuppgifter som UPM-Kymmene Corporation och dess dotterbolag (”UPM”) kan samla in om sina anställda, hur personuppgifterna kan användas och hur personuppgifterna skyddas.
Observera att den här sekretesspolicyn kan uppdateras från tid till annan för att återspegla ändringar i UPM:s verksamhet och/eller gällande lagstiftning (eventuella ändringar publiceras här). Vi uppmanar dig att regelbundet läsa den här sekretesspolicyn för att hålla dig à jour med eventuella uppdateringar. Eventuella väsentliga ändringar i behandlingen av personuppgifter som beskrivs i den här sekretesspolicyn publiceras också på UPM:s intranät.
Den här sekretesspolicyn är avsedd att beskriva hur vi globalt behandlar personuppgifter, men uppgiftsbehandlingen kan inom vissa jurisdiktioner vara mer begränsade på grund av lokala lagkrav.
UPM förbider sig att skydda och respektera din integritet. UPM följer gällande dataskyddslagar vid behandling av personuppgifter. UPM bemödar sig om att vidta ändamålsenliga åtgärder vad gäller att skydda dina personuppgifter och förhindra obehörig åtkomst till, och felaktig användning av, dem.
Så här samlar vi in personuppgifter
Dina personuppgifter samlar UPM huvudsakligen in direkt från dig. Andra källor kan omfatta din chef, UPM:s personalavdelning, övriga koncernfunktioner och lokala UPM-företag. I vissa fall kan vi också samla in information om dig från tredje part, t.ex. skattemyndigheter och försäkringsbolag. Vi kan dessutom, i den utsträckning lagen tillåter, samla in personuppgifter som vi har fått tillgång till genom din användning av UPM:s IT-verktyg eller HR-tjänster.
När personuppgifter samlas in direkt från dig meddelar UPM dig om eventuella konsekvenser av att inte tillhandahålla personuppgifter och om det är obligatoriskt eller frivilligt att göra det.
Typer av personuppgifter som vi samlar in
Kategorierna av personuppgifter som UPM kan samla in om dig är följande (lokala restriktioner kan gälla):
- Uppgifter om den anställde: namn, foto, födelsedatum och -plats, kön, kontaktuppgifter (däribland hemadress, telefonnummer, e-postadress, webbadresslänkar och adress för snabbmeddelande), utbildning, anställningshistorik, nationell och statlig identifieringsinformation, identifieringsinformation för anställd (användarnamn och användar-ID), pass och andra nationella identitetshandlingar, visuminformation, körkortets ID-nummer, bosättningsstatus, nationalitet, medborgarskapsinformation, civilstånd, den anställdes företagskreditkortsnummer, bankuppgifter och militärtjänstinformation
- Uppgifter om närstående: namn och kontaktuppgifter för familjemedlemmar, förmånstagare och nödkontakter (däribland hemadress, telefonnummer och e-postadress), födelsedatum, kön och nationell och statlig identifieringsinformation, annan relevant information för att klargöra frånvaro
- Anställningsuppgifter: arbetsgivarföretag, arbetsplats, kostnadsställe, avdelning, arbetstitel, arbetstyp och -kod, uppgifter om anställningsavtal, chef, långvariga tjänstledigheter (start- och slutdatum, typ och anledning), projekt- och internationella uppdrag, pensionsinformation och disciplinära åtgärder
- Personalutveckling: måluppsättning och resultat, utvecklingsplan, prestationsinformation och efterträdarplanering, information om potential och prestanda, successionsplanering
- Utbildning, licenser och certifikat, kompetenser och kvalifikationer
- Kompensationer och relaterad information: lön, förmåner (däribland sjukvårds-, försäkrings, spar- och hälsoplaner), traktamenten, rang, långsiktiga och kortfristiga incitament, belöningar och skatteinformation
- Rekryteringsprocessinformation: ansökningar och information om bakgrundskontroller
- Register om din användning av IT-verktyg och -tjänster: IP-adress, MAC-adress och webbläsarfingeravtryck - Loggningsinformation
- Tidshanteringsinformation
- Övervakning: videoövervakningsinspelningar, platser
- Kommunikation: telefoninspelningar, röstmeddelanden, e-postmeddelanden, chatt och samarbetsverktyg
- Affärsreseinformation: flyg-, hotell- och bilbokningshistorik, faktureringshistorik över kostnader för resor och uppehälle samt kontoutdrag för företagskreditkortet
UPM kan samla in följande speciella kategorier av personuppgifter i vissa länder på grund av tvingande lagstiftning:
- Religion (Tyskland, Österrike och Malaysia)
- Etniskt ursprung (USA)
- Medicinsk och hälsorelaterad information: medicinsk diagnos, sjukdomshistoria, information om funktionshinder, sjukskrivningar, drogtestresultat, information om olyckor och medicinska undersökningar för ansökan om livförsäkring
- Fackföreningsmedlemskap (Österrike, Finland, Italien, Spanien, Sydafrika och Storbritannien)
Typerna av personuppgifter som vi samlar in om dig kan variera beroende på din plats (land) och din befattning i organisationen. I vissa jurisdiktioner kan lokala lagstadgade krav gälla som kräver eller inte tillåter behandling av vissa typer av personuppgifter.
Användning av personuppgifter (syften och rättslig grund för behandling)
UPM kan behandla dina personuppgifter för at
- föra register över arbetstagaruppgifter som krävs enligt nationell lagstiftning
- hantera avlöningslistan och uppfylla andra lagstadgade krav (t.ex. pension och rehabilitering) - tillhandahålla HR-tjänster och självbetjäning för anställda
- organisera och hantera obligatorisk utbildning
- erbjuder anställningsrelaterade förmåner
- utvärdera prestation och potential
- bevilja tillträde till UPM:s enheter
- registrera arbetstid (tidshanteringsändamål)
- säkerställa och övervaka IT-infrastruktur och möjliggöra effektiv användning av IT
- registrera åtkomst till IT-system för undersökningsändamål
- identifiera och logga åtgärder • autentisera och auktorisera användare
- säkra och hantera åtkomst till datasystem
- lösa incidenter, felsökning
- undersöka och åtgärda påstådda oegentligheter, disciplinära åtgärder
- förvalta de anställdas självbetjäningsreseportal
- registrera och behandla säkerhetsproblem
- utveckla verksamhetsprocesser
- företagets interna och externa kommunikation
- utöva rättigheter och skyldigheter som följer av de nationella lagarna
- utföra statistisk analys.
Den rättsliga grunden för UPM:s behandling av anställdas personuppgifter är ett anställningsavtal mellan UPM och den anställda, UPM:s berättigade intressen, UPM:s rättsliga skyldigheter och, i sällsynta fall, ett samtycke från den anställda. Exempel på dessa ges i följande tabell:
Uppgiftsutlämnande och -överföring
UPM kan dela dina personuppgifter med din chef, UPM:s personalavdelning och övriga koncernfunktioner, andra företag inom UPM och professionella rådgivare eller andra tredjepartstjänstleverantörer för att kunna erbjuda HR-relaterade tjänster till UPM:s anställda. Vid användning av tredjepartstjänstleverantörer vidtas lämpliga avtalsenliga och övriga åtgärder för att skydda behandlingen av dina personuppgifter. UPM kan också utlämna dina personuppgifter för att uppfylla sina rättsliga skyldigheter (t.ex. till skattemyndigheter och försäkringsbolag).
UPM kan dela dina personuppgifter med dessa parter endast för de begränsade syften som anges i avsnittet Användning av personuppgifter (syften och rättslig grund för behandling) ovan, och endast i den utsträckning som krävs för ändamålet.
UPM kan också överföra dina personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (EES), t.ex. om vi använder tredje part för att tillhandahålla HR-relaterade tjänster. Vid utkontraktering av tjänster till tredjepartstjänstleverantörer och överföring av personuppgifter inom UPM säkerställer vi genom avtalsenliga och övriga åtgärder, t.ex. EU:s modellklausuler, att personuppgifter behandlas på ändamålsenligt sätt och i enlighet med alla gällande lagar. Vid överföring av personuppgifter utanför EES vidtas ändamålsenliga tekniska och organisatoriska åtgärder för att skydda dem.
Skydd och lagring av personuppgifter
UPM har vidtagit ändamålsenliga tekniska och organisatoriska åtgärder för att begränsa åtkomsten till dina personuppgifter och för att skydda uppgifterna mot förlust, oavsiktlig radering, felaktig användning, och otillåten ändring. UPM har screening- och urvalsprocedurer för tredjepartstjänstleverantörer i syfte att garantera säker behandling av personuppgifter. Åtkomsten till personuppgifter begränsas enligt behovsenlig behörighet till personer som behöver komma åt uppgifterna för syftena som anges i avsnittet Användning av personuppgifter (syften och rättslig grund för behandling) ovan.
UPM lagrar personuppgifter så länge som behövs för att uppfylla syftet som de samlades in för eller för att efterleva lagstadgade eller föreskrivande krav. Kontakta den lokala personalavdelningen ifall du vill ha mer information om hur anställdas personuppgifter lagras hos UPM.
Åtkomst till personuppgifter och övriga rättigheter
Du har rätt att få tillgång till personuppgifter om dig som innehas av UPM (och att begära en kopia av sådana personuppgifter) genom att kontakta oss via e-postadressen eller postadressen som anges nedan. Du har, vid behov, rätt att få uppgifterna ändrade, åtgärdade eller raderade om de är felaktiga, inexakta, daterade eller inaktuella avseende syftet för behandlingen av uppgifterna. Du kan bli ombedd att verifiera din identitet, specificera din begäran och ge mer information om din begäran.
Ifall din begäran om att få dina personuppgifter korrigerade nekas får du ett skriftligt intyg på det (där också orsakerna till avslaget anges). I detta fall, eller om du inte anser att dina personuppgifter har behandlats i enlighet med gällande dataskyddslagar, kan du ta upp frågan med relevant dataskyddsmyndighet.
Du kan också begära att begränsa eller invända mot behandlingen av personuppgifter om det skulle försämra ditt integritetsskydd. Du har rätt att begränsa behandlingen när du bestrider uppgifternas tillförlitlighet tills uppgifternas tillförlitlighet har verifierats, när behandlingen är olaglig eller när du har invändningar mot behandlingen utifrån berättigade intressen, fram tills dess att ett överordnat berättigat intresse för behandlingen har verifierats. När behandlingen av personuppgifter sker baserat på ditt samtycke har du rätt att återkalla ditt samtycke när som helst.
Ifall du har frågor om vår sekretesspolicy eller om UPM:s behandling av personuppgifter eller om du vill begära uppgifter kontaktar du
UPM-Kymmene Corporation / Privacy
Alvar Aallon katu 1, P.O. Box 380
FI-00101 Helsinki, Finland
E-postmeddelandena och breven som skickas till dessa adresser tas emot och besvaras av UPM:s Privacy-team.
Du kan också kontakta din arbetsgivare eller ett lokalt dataskyddsombud (i förekommande fall).