External workers privacy policy

External workers privacy policy


    This privacy statement provides information on the processing of personal data of KONE external workers by KONE Corporation and its subsidiaries and affiliates (“KONE”) in connection with the KONE assignment and related activities. This statement may be supplemented with solution specific privacy statements and by local documentation regarding data processing. Moreover, the different rights you have as a data subject may also vary from country to country depending on the applicable privacy laws. This privacy statement includes the rights granted by the European Union data protection laws. You may always request for more information from your KONE Host or by sending e-mail to personaldatarequest@kone.com.

    Data Controller and contact information

    Unless otherwise indicated for certain data processing activities, the data controller is primarily the KONE legal entity, who is ordering the work and/or services from your employer company. In the global processes and tools KONE Corporation is acting as parallel controller, to the extent allowed by applicable local privacy laws.

    Data subjects can either contact their local KONE Unit HR, or alternatively KONE Corporation:

    KONE Building
    Keilasatama 3, 02150 Espoo, Finland
    Telephone: +358 204 751
    Data protection enquiries to: personaldatarequest@kone.com

    Personal data KONE processes

    Please note that the below described data set is an example of the most commonly collected data attributes of the KONE external workers. Depending on the location and the assignment, the data set varies; in most cases less data is collected, but in some limited cases also additional data may be collected. The guiding principle is that KONE always collects only such data that is relevant and needed for performing the assignment. There may also be some statutory requirements that require KONE to collect certain data, or do not allow for KONE to collect certain data.

    Following personal information of external workers may be collected and processed in KONE’s solutions and databases:

    2.1 Identification and assignment data

    • Mandatory identifying details: first name, last name, KONE ID number

      • In some locations we also need to collect additional identifying personal data for statutory reasons, or to ensure proper worker identification, see section 2 below.

    • Contact information: KONE e-mail and/or external worker’s employer company e-mail, mobile phone

    • Photograph

    • Status (active/terminated)

    • Contract start & end date

    • Organizational data (organization, location, responsible KONE host, worker/assignment type, title, cost center, employing company etc.)

    • Data related to allocated tasks and availability

    • Information about participation to insider projects

    • Passport and ID copies, where needed for the purposes of performing assignment related tasks

    • Health and safety related data

    • Event data (participants, allergies etc.)

    2.2 Statutory data & qualifications and training data

    In some countries we need to collect certain statutory data of external workers, such as:

    • Working and resident permits

    • Identification document or national ID number

    • Tax number (or similar)

    We may also need to collect certain information about the qualifications and skill set of the person to ensure the assignments and work are allocated to persons with correct qualifications. Moreover, there may also be mandatory trainings required to be completed in relation to e.g. KONE policies and processes or to the specific assignment. To meet with these requirements, KONE may collect:

    • Education, qualifications and skills

    • References (e.g. previous assignments)

    • Training records or training certificates

    • Other competence data

    • Feedback

    2.3 Access management, incident management, security, monitoring and cookies

    In many situations external worker needs to access KONE assets and tools, including KONE IT Applications and Services, to be able to conduct the agreed work or assignment. Moreover, external workers may also be bound by certain policies, guidelines, and instructions, when working on the KONE Assignment, on KONE premises or with KONE assets and tools. To make these resources available to the external workers, and to ensure the compliance with the relevant policies, guidelines, and instructions, KONE may collect following personal data:

    • IP addresses and cookie generated data (when using online solutions)

    • Log files created when using IT tools and solutions

    • Device lists (lists that include information, who has possession of KONE’s devices)

    • Access rights and physical access information

    • Camera monitoring footage

    • GPS positioning data of KONE vans and KONE devices for field personnel (where allowed by local laws and/or informed to and/or accepted by the person)

    • Incident and claim management related data (incident reports, insurance claims etc.)

    • Personal data related to internal investigations

    • Personal data related to litigation

    The data referred to above in sections 2.1-2.3 is later in this privacy statement referred to as “personal data”.

    3. Purposes and legal basis of the processing

    KONE processes the personal data, because the processing is necessary for the performance of the contract entered into between the and KONE and external workers’ employer company regarding the KONE assignment the external worker is working on. It is often also required in order for KONE to comply with its legal obligation under applicable tax, health and safety and social security laws; and for the purposes of the legitimate interests pursued by KONE regarding managing various assignment related matters and day-to-day business matters.

    The purpose why KONE processes personal data is, for example, to:

    • Manage daily assignment related matters, review completed tasks etc.

    • Handle identity and access management both in IT systems and physical locations

    • Enable the use, optimization and development of the IT tools

    • Enable the implementation, optimization and development of KONE Business processes

    • Project management

    • Travel and expense claims

    • Verification of training, qualifications, other competences, and e-learnings

    • Organizing of training and e-learning

    • Compliance investigations

    • Claim handling

    • Health and safety

    • Legal requirement to draw up an insider list to trade/commercial registers or to other similar authorities

    • Security of persons within KONE premises and on other sites where KONE operates as well as security of KONE property (both tangible and intangible, e.g. ICT tools, machines and devices, finances, intellectual property)

    • Ensuring cybersecurity and mitigating any effects of data security threats or breaches

    • Business analytics and reporting (however, anonymized data is used where possible)

    For the avoidance of doubt, KONE may use machine learning and Artificial Intelligence tools when processing personal data, where allowed by applicable laws. Where required by applicable privacy laws, KONE will inform you separately if such processing involves decision making based solely on automated processing, which produces legal or similarly significant effects on you, including the logic involved in such automated decision making, as well as the significance and the envisaged consequences of such processing.

    4. Sources from which the personal data originate

    The personal data is primarily obtained from the external workers themselves or from their own employer company when starting the assignment at KONE. Some of the data is later generated during the assignment and whilst using KONE’s assets.

    5. Transfers of personal data

    Principally, KONE does not transfer any personal data outside KONE Corporation or its partners, affiliates and subsidiaries.

    KONE has several legal obligations relating to health & safety and insurances that demand KONE to collect and disclose certain personal data to the providers of these services. Moreover, KONE may also need to disclose personal data directly to public authorities due to local legal requirements. Typical examples of such authorities are the taxation authorities, occupational safety authorities and social welfare authorities. KONE will only disclose personal data required by law, or directly necessary to fulfill the related legal demands.

    Depending on the assignment the external worker may be representing KONE towards different third parties when using or purchasing products or services from them. Such third parties include e.g. material suppliers, equipment providers, IT service providers, banks, travel agencies etc. These third parties require certain information about the person to be able to identify them and verify they are allowed to perform the respective actions on behalf of KONE (e.g. name, contact information, signature, and in case of banks, often also passport / ID copy, home address and nationality). The person may be requested to disclose such personal data personally, or KONE may do this on their behalf.

    Similarly, KONE may disclose certain personal data about relevant external workers to KONE’s customers or potential customers as part of a request for proposal and tendering or during the customer relationship. Disclosed personal data may include name and contact details, as well as information about the person’s role and competencies. KONE’s customers or third parties may also need to verify the identity of persons authorized to access the locations where work is performed. KONE may also need to disclose the personal data of external workers to enable them to access such locations. With all personal data disclosures to third parties, KONE uses its best efforts to verify the recipient has legitimate ground to receive the data, to keep disclosed data to minimum and to use secure transfer methods.

    Some of the platforms KONE uses to store and process personal data, are provided by external IT or other service vendors. Moreover, KONE may use help of external consultants or other vendors for different purposes such as data analytics, surveys, business and IT development. Also support personnel of IT service providers who help to resolve possible problems and bugs in the systems as well as the other support personnel (e.g. HR Services) who assist on assignment practicalities, have access to KONE external workers’ personal data. These vendors and support personnel are processing personal data only on behalf of KONE and only for the purposes of performing the agreed services to KONE. KONE ensures that such data processors are bound by adequate contractual obligations regarding confidentiality and appropriate processing of personal data.

    Some of the IT tools used by KONE, but offered by external service providers, may by default collect and send certain personal data directly to the service provider to be used in its own purposes. In order to get more information about such data processing, please always familiarize yourself on the system specific privacy statements and terms and conditions that may be made available in the IT tools you are using.

    Due to the technical and practical requirements, some of the personal data may be processed also outside the original location where the data was collected, including outside the EU/EEA, UK or Switzerland e.g. by other KONE companies or KONE’s subcontractors. KONE ensures that there is a legal basis and data processing agreement in place for such transfers (e.g. authority approved standard contractual clauses).

    6. Retention period of the personal data

    The personal data will be stored as long as needed for the above said purposes, and to the extent required under applicable local laws. After that, the personal data will be effectively deleted or made anonymous. You may request more detailed information of the data retention timelines from your KONE Host or personaldatarequest@kone.com.

    7. Data security

    KONE’s global Information Security Policy defines the security measures which apply to all information assets and related processes managed, owned, or handled by KONE. This Policy also requires that external parties, such as supplier, partners and service providers, must be bound to KONE’s information security requirements, where appropriate, by contractual arrangements, suitable audit processes and other appropriate methods.

    8. Data subjects’ rights

    The different rights external workers have as data subjects may vary from country to country depending on the applicable privacy laws. The below described rights are applied in European Union, UK & Switzerland, but KONE strives to implement similar rights also in other jurisdictions. Moreover, KONE will always respect the data subject rights available in the local jurisdiction of the location of the external worker in question.

    • Data subjects may at any time contact KONE and request access to their personal data. KONE will at the data subjects’ request rectify or erase any inaccurate or outdated personal data.

    • Where the processing is based on consent, data subjects are entitled to withdraw their consent at any time. Where the processing is based on KONE’s legitimate interest, data subject may object such processing based on a specific individual circumstance. Data subject must identify such circumstance in the request relating to objection.

    • Data subject may also be entitled to request data processing to be restricted e.g. while waiting for KONE’s response to deletion request or processing objection.

    • In the event the data subjects have concerns or remarks regarding KONE’s processing activities, they also have the right to lodge a complaint with a local competent supervisory authority.

    More information about data subjects’ right can be found in intranet and requested from personaldatarequest@kone.com.

    KONE may refuse a request or obtain a reasonable fee for fulfilling a request if the request is manifestly unfounded or excessive or KONE has another legal ground for refusing the request.


    Tässä tietosuojaselosteessa annetaan tietoa siitä, miten KONE Oyj ja sen tytäryhtiöt ja yhteistyökumppanit ("KONE") käsittelevät KONEen ulkopuolisten työntekijöiden henkilötietoja KONEen toimeksiantojen ja siihen liittyvien toimintojen yhteydessä. Tätä selostetta voidaan täydentää ratkaisukohtaisilla tietosuojaselosteilla sekä paikallisilla tietojenkäsittelyä koskevilla asiakirjoilla. Lisäksi erilaiset oikeudet, joita rekisteröidyllä on, voivat vaihdella maittain riippuen sovellettavasta tietosuojalainsäädännöstä. Tämä tietosuojaseloste sisältää Euroopan unionin tietosuojalainsäädännön myöntämät oikeudet. Lisätietoja voi pyytää omalta KONE-isännältä tai lähettämällä sähköpostia osoitteeseen personaldatarequest@kone.com.

    1. Rekisterinpitäjä ja yhteystiedot

    Jollei tiettyjen tietojenkäsittelytoimien osalta toisin ilmoiteta, rekisterinpitäjä on ensisijaisesti KONEen yhtiö, joka tilaa työt ja/tai palvelut työnantajayritykseltä. Globaaleissa prosesseissa ja työkaluissa KONE Oyj toimii rinnakkaisena rekisterinpitäjänä siinä määrin kuin sovellettavat paikalliset tietosuojalainsäädännöt sallivat.

    Rekisteröity voi ottaa yhteyttä joko paikalliseen KONEen HR-yksikköön tai vaihtoehtoisesti KONE Oyj:hin:

    KONE Building
    Keilasatama 3, 02150 Espoo, Suomi
    Puhelin: +358 204 751
    Tietosuojatiedustelut: personaldatarequest@kone.com

    2. KONEen käsittelemät henkilötiedot

    Tulee huomioida, että alla kuvattu tietokokonaisuus on esimerkki KONEen ulkopuolisten työntekijöiden yleisimmin kerätyistä tietoattribuuteista. Useimmissa tapauksissa tietoja kerätään vähemmän, mutta joissakin rajoitetuissa tapauksissa voidaan kerätä myös muita tietoja. Pääperiaatteena on, että KONE kerää ainoastaan ne tiedot, jotka ovat olennaisia ja tarpeellisia tehtävän suorittamisen kannalta. Lisäksi jotkin lakisääteiset vaatimukset edellyttävät KONEelta tiettyjen tietojen keräämistä tai kieltävät KONEelta tiettyjen tietojen keräämisen.

    Seuraavia ulkopuolisten työntekijöiden henkilötietoja voidaan kerätä ja käsitellä KONEen ratkaisuissa ja tietokannoissa:

    2.1 Tunnistamis- ja kohdentamistiedot

    • Pakolliset tunnistetiedot: etunimi, sukunimi, KONE-tunnistenumero.

      • Joissakin paikoissa meidän on myös kerättävä muita tunnistettavia henkilötietoja lakisääteisistä syistä tai työntekijöiden asianmukaisen tunnistamisen varmistamiseksi, ks. kohta 2 jäljempänä.

    • Yhteystiedot: KONEen sähköpostiosoite ja/tai ulkopuolisen työntekijän työnantajan yrityksen sähköpostiosoite, matkapuhelinnumero.

    • Valokuva

    • Tila (aktiivinen/päättynyt)

    • Sopimuksen alkamis- ja päättymispäivä

    • Organisaatiotiedot (organisaatio, sijainti, KONEen vastaava isäntä, työntekijän/tehtävän tyyppi, nimike, kustannuspaikka, työnantajayritys jne.).

    • Jaettuihin tehtäviin ja saatavuuteen liittyvät tiedot

    • Sisäpiirihankkeisiin osallistumiseen liittyvät tiedot

    • Passin ja henkilöllisyystodistuksen jäljennökset, jos niitä tarvitaan työ tehtävien suorittamiseksi.

    • Terveyttä ja turvallisuutta koskevat tiedot

    • Tapahtumatiedot (osallistujat, allergiat jne.)

    2.2 Lakisääteiset tiedot sekä pätevyys- ja koulutustiedot

    Joissakin maissa meidän on kerättävä tiettyjä lakisääteisiä tietoja ulkopuolisista työntekijöistä, kuten:

    • Työ- ja oleskeluluvat

    • Henkilöllisyystodistus tai kansallinen henkilötunnus

    • Veronumero (tai vastaava)

    Saatamme myös joutua keräämään tiettyjä tietoja koskien henkilön pätevyyttä ja taitoja, jotta voimme varmistaa, että tehtävät ja työt jaetaan oikean pätevyyden omaaville henkilöille. Lisäksi saattaa olla pakollisia koulutuksia, jotka on suoritettava esimerkiksi KONEen ohjesääntöihin ja prosessihin tai tiettyyn tehtävään liittyen. Näiden vaatimusten täyttämiseksi KONE voi kerätä:

    • Koulutus-, pätevyys- ja taitotiedot

    • Referenssit (esim. aiemmat toimeksiannot)

    • Koulutustiedot tai koulutustodistukset

    • Muut pätevyystiedot

    • Palaute

    2.3 Käytönhallinta, vaaratilanteiden hallinta, turvallisuus, valvonta ja evästeet.

    Monissa tilanteissa ulkopuolisella työntekijällä on tarve päästä käsiksi KONEen varoihin ja työkaluihin, mukaan lukien KONEen IT-sovellukset ja -palvelut, voidakseen tehdä sovitun työn tai tehtävän. Lisäksi ulkopuolisia työntekijöitä voivat sitoa tietyt ohjesäännöt, ohjeistukset ja ohjeet, työskennellessä KONEen toimeksiannon parissa, KONEen tiloissa tai KONEen varojen ja työkalujen parissa. Jotta nämä resurssit olisivat ulkopuolisten työntekijöiden käytettävissä ja jotta voidaan varmistaa asiaankuuluvien toimintaohjeiden, ohjeistuksien ja ohjeiden noudattaminen, KONE voi kerätä seuraavia henkilötietoja:

    • IP-osoitteet ja evästeiden tuottamat tiedot (kun käytetään online-ratkaisuja)

    • IT-työkaluja ja -ratkaisuja käytettäessä luodut lokitiedostot

    • Laiteluettelot (luettelot, jotka sisältävät tiedot siitä, kenellä on hallussaan KONEen laitteita)

    • Käyttöoikeudet ja fyysistä pääsyä koskevat tiedot

    • Kameravalvonnan kuvamateriaali

    • KONEen pakettiautojen ja laitteiden GPS-paikannustiedot kenttähenkilöstöä varten (jos paikalliset lait sallivat sen ja/tai jos henkilö on ilmoittanut asiasta ja/tai hyväksynyt sen).

    • Tapahtumien ja korvausvaatimusten hallintaan liittyvät tiedot (tapahtumaraportit, vakuutushakemukset jne.)

    • Sisäisiin tutkimuksiin liittyvät henkilötiedot

    • Oikeudenkäynteihin liittyvät henkilötiedot

    Edellä kohdissa 2.1-2.3 mainittuja tietoja kutsutaan myöhemmin tässä tietosuojaselosteessa "henkilötiedoiksi".

    3. Käsittelyn tarkoitukset ja oikeusperusta

    KONE käsittelee henkilötietoja, koska käsittely on tarpeen KONEen ja ulkopuolisen työntekijän työnantajayrityksen välillä tehdyn sopimuksen täyttämiseksi, joka koskee KONEen toimeksiantoa, jonka parissa ulkopuolinen työntekijä työskentelee. Tietojen käsittely on usein tarpeen myös siksi, että KONE voi täyttää lakisääteiset velvoitteensa sovellettavien vero-, terveys-, turvallisuus- ja sosiaaliturvalakien mukaisesti, sekä KONEen oikeutettujen etujen vuoksi, jotka liittyvät erilaisten työliitännäisten asioiden ja päivittäisen liiketoiminnan hoitamiseen.

    KONE käsittelee henkilötietoja esimerkiksi seuraaviin tarkoituksiin:

    • Hallinnoida päivittäisiin toimeksiantoihin liittyviä asioita, tarkastella suoritettuja tehtäviä jne

    • Identiteetin ja käyttöoikeuksien hallinta sekä IT-järjestelmissä että fyysisissä toimipisteissä

    • Mahdollistaa tietoteknisten välineiden käyttö, optimointi ja kehittäminen

    • Mahdollistaa KONEen liiketoimintaprosessien käyttöönotto, optimointi ja kehittäminen

    • Projektinhallinta

    • Matka- ja kulukorvaukset

    • Koulutuksen, pätevyyksien, muun pätevyyden ja verkko-opiskelun todentaminen

    • Koulutuksen ja verkko-oppimisen järjestäminen

    • Vaatimustenmukaisuutta koskevat tutkimukset

    • Korvausvaatimusten käsittely

    • Terveys ja turvallisuus

    • Lakisääteinen velvollisuus laatia sisäpiiriluettelo kaupparekisteriin tai muille vastaaville viranomaisille

    • Henkilöiden turvallisuus KONEen tiloissa ja muissa KONEen toimipaikoissa sekä KONEen omaisuuden turvallisuus (aineellinen ja aineeton omaisuus, esim. tieto- ja viestintätekniikan työkalut, koneet ja laitteet, rahoitus, immateriaalioikeudet)

    • Kyberturvallisuuden varmistaminen ja tietoturvauhkien tai -rikkomusten vaikutusten lieventäminen

    • Liiketoiminta-analytiikka ja raportointi (anonymisoituja tietoja käytetään kuitenkin mahdollisuuksien mukaan).

    Epäselvyyksien välttämiseksi KONE voi käyttää henkilötietojen käsittelyssä koneoppimis- ja tekoälytyökaluja, jos sovellettavat lait sen sallivat. Sovellettavan tietosuojalainsäädännön niin vaatiessa KONE ilmoittaa erikseen, jos käsittelyyn liittyy yksinomaan automaattiseen käsittelyyn perustuvaa päätöksentekoa, jolla on rekisteröityyn kohdistuvia oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia, mukaan lukien tällaiseen automaattiseen päätöksentekoon liittyvä logiikka sekä tällaisen käsittelyn merkitys ja suunnitellut seuraukset.

    4. Lähteet, joista henkilötiedot ovat peräisin

    Henkilötiedot saadaan ensisijaisesti ulkopuolisilta työntekijöiltä itseltään tai heidän omalta työnantajayritykseltään, kun he aloittavat tehtävänsä KONEella. Osa tiedoista syntyy myöhemmin työtehtävän aikana ja KONEen varoja käytettäessä.

    5. Henkilötietojen siirtäminen

    KONE ei lähtökohtaisesti siirrä henkilötietoja KONE Oyj:n tai sen yhteistyökumppaneiden ja tytäryhtiöiden ulkopuolelle.

    KONEella on useita terveyteen ja turvallisuuteen sekä vakuutuksiin liittyviä oikeudellisia velvoitteita, jotka edellyttävät KONEelta tiettyjen henkilötietojen keräämistä ja luovuttamista näiden palvelujen tarjoajille. Lisäksi KONE saattaa joutua luovuttamaan henkilötietoja suoraan viranomaisille paikallisten lakisääteisten vaatimusten vuoksi. Tyypillisiä esimerkkejä tällaisista viranomaisista ovat veroviranomaiset, työturvallisuusviranomaiset ja sosiaaliviranomaiset. KONE luovuttaa henkilötietoja vain lain edellyttämällä tavalla tai suoraan tarpeellisina asiaan liittyvien lakisääteisten vaatimusten täyttämiseksi.

    Tehtävästä riippuen ulkopuolinen työntekijä voi edustaa KONEa eri kolmansia osapuolia kohtaan, kun hän käyttää tai ostaa niiltä tuotteita tai palveluja. Tällaisia kolmansia osapuolia ovat esimerkiksi materiaalitoimittajat, laitetoimittajat, IT-palvelujen tarjoajat, pankit, matkatoimistot jne. Nämä kolmannet osapuolet tarvitsevat tiettyjä tietoja henkilöstä, jotta he voivat tunnistaa hänet ja varmistaa, että hänellä on oikeus suorittaa kyseisiä toimia KONEen puolesta (esim. nimi, yhteystiedot, allekirjoitus ja pankkien tapauksessa usein myös passi-/ henkilöllisyystodistuksen kopio, kotiosoite ja kansalaisuus). Henkilöä voidaan pyytää luovuttamaan kyseiset henkilötiedot henkilökohtaisesti tai KONE voi tehdä sen hänen puolestaan.

    Samoin KONE voi luovuttaa tiettyjä henkilötietoja asiaankuuluvista ulkopuolisista työntekijöistä KONEen asiakkaille tai potentiaalisille asiakkaille osana tarjouspyyntöä ja tarjouskilpailua tai asiakassuhteen aikana. Luovutettaviin henkilötietoihin voivat kuulua nimi ja yhteystiedot sekä tiedot henkilön roolista ja pätevyydestä. KONEen asiakkaat tai kolmannet osapuolet voivat myös joutua tarkistamaan niiden henkilöiden henkilöllisyyden, joilla on oikeus päästä paikkoihin, joissa työtä tehdään. KONE saattaa myös joutua luovuttamaan ulkopuolisten työntekijöiden henkilötietoja, jotta he pääsevät kyseisiin toimipaikkoihin. Kaikkien kolmansille osapuolille luovutettavien henkilötietojen osalta KONE pyrkii parhaansa mukaan varmistamaan, että vastaanottajalla on laillinen peruste saada tiedot, pitämään luovutettavat tiedot mahdollisimman vähäisinä ja käyttämään turvallisia siirtomenetelmiä.

    Joitakin alustoja, joita KONE käyttää henkilötietojen tallentamiseen ja käsittelyyn, tarjoavat ulkopuoliset IT- tai muut palveluntarjoajat. Lisäksi KONE voi käyttää ulkopuolisten konsulttien tai muiden myyjien apua erilaisiin tarkoituksiin, kuten data-analyyseihin, tutkimuksiin, liiketoiminnan ja tietotekniikan kehittämiseen. Myös IT-palveluntarjoajien tukihenkilöstöllä, joka auttaa ratkaisemaan järjestelmien mahdollisia ongelmia ja vikoja, sekä muulla tukihenkilöstöllä (esim. henkilöstöpalvelut), joka avustaa toimeksiantojen käytännön järjestelyissä, on pääsy KONEen ulkopuolisten työntekijöiden henkilötietoihin. Nämä myyjät ja tukihenkilöstö käsittelevät henkilötietoja ainoastaan KONEen puolesta ja ainoastaan KONEelle sovittujen palvelujen suorittamiseksi. KONE varmistaa, että tällaisia tietojen käsittelijöitä sitovat asianmukaiset sopimusvelvoitteet, jotka koskevat luottamuksellisuutta ja henkilötietojen asianmukaista käsittelyä.

    Jotkin KONEen käyttämät, mutta ulkopuolisten palveluntarjoajien tarjoamat IT-työkalut saattavat oletusarvoisesti kerätä ja lähettää tiettyjä henkilötietoja suoraan palveluntarjoajalle käytettäväksi sen omiin tarkoituksiin. Saadakseen lisätietoja tällaisesta tietojenkäsittelystä tulee tutustua aina järjestelmäkohtaisiin tietosuojaselosteihin ja -ehtoihin, jotka saattavat olla saatavilla käytössä olevissa tietoteknisissä työkaluissa.

    Teknisten ja käytännöllisten vaatimusten vuoksi osaa henkilötiedoista saatetaan käsitellä myös sen alkuperäisen sijainnin ulkopuolella, jossa tiedot kerättiin, myös EU:n/ETA:n, Ison-Britannian tai Sveitsin ulkopuolella, esimerkiksi muissa KONE-yhtiöissä tai KONEen alihankkijoilla. KONE varmistaa, että tällaisille siirroille on olemassa oikeusperusta ja tietojenkäsittelysopimus (esim. viranomaisten hyväksymät vakiosopimuslausekkeet).

    6. Henkilötietojen säilytysaika

    Henkilötietoja säilytetään niin kauan kuin niitä tarvitaan edellä mainittuihin tarkoituksiin ja siinä määrin kuin sovellettavat paikalliset lait edellyttävät. Tämän jälkeen henkilötiedot poistetaan tai tehdään anonyymeiksi. Tarkempia tietoja tietojen säilytysajoista voi pyytää KONE-isännältäsi tai osoitteesta personaldatarequest@kone.com.


    KONEen globaalissa tietoturvapolitiikassa määritellään tietoturvatoimenpiteet, joita sovelletaan kaikkiin KONEen hallinnoimiin, omistamiin tai käsittelemiin tietovaroihin ja niihin liittyviin prosesseihin. Tässä politiikassa edellytetään myös, että ulkoiset osapuolet, kuten toimittajat, yhteistyökumppanit ja palveluntarjoajat, sitoutuvat KONEen tietoturvavaatimuksiin tarvittaessa sopimusjärjestelyin, sopivin auditointiprosessein ja muilla asianmukaisilla menetelmillä.

    8. Rekisteröityjen oikeudet

    Ulkopuolisilla työntekijöillä rekisteröidyinä olevat erilaiset oikeudet voivat vaihdella maittain sovellettavan tietosuojalainsäädännön mukaan. Alla kuvattuja oikeuksia sovelletaan Euroopan unionissa, Yhdistyneessä kuningaskunnassa ja Sveitsissä, mutta KONE pyrkii toteuttamaan vastaavia oikeuksia myös muilla lainkäyttöalueilla. Lisäksi KONE kunnioittaa aina kyseisen ulkopuolisen työntekijän sijaintipaikan paikallisella lainkäyttöalueella voimassa olevia rekisteröidyn oikeuksia.

    • Rekisteröity voi milloin tahansa ottaa yhteyttä KONEeseen ja pyytää pääsyä henkilötietoihinsa. KONE korjaa tai poistaa rekisteröidyn pyynnöstä virheelliset tai vanhentuneet henkilötiedot.

    • Jos käsittely perustuu suostumukseen, rekisteröidyillä on oikeus peruuttaa suostumuksensa milloin tahansa. Jos käsittely perustuu KONEen oikeutettuun etuun, rekisteröity voi vastustaa käsittelyä erityisten yksittäisten olosuhteiden perusteella. Rekisteröidyn on yksilöitävä tällainen seikka vastustamista koskevassa pyynnössä.

    • Rekisteröidyllä voi myös olla oikeus pyytää tietojen käsittelyn rajoittamista esimerkiksi odotettaessa KONEen vastausta poistopyyntöön tai käsittelyä koskevaan vastalauseeseen.

    • Jos rekisteröidyillä on huolenaiheita tai huomautuksia KONEen käsittelytoimista, heillä on myös oikeus tehdä valitus paikalliselle toimivaltaiselle valvontaviranomaiselle.

    Lisätietoja rekisteröityjen oikeuksista on saatavilla intranetissä ja osoitteessa personaldatarequest@kone.com.

    KONE voi hylätä pyynnön tai periä kohtuullisen maksun pyynnön täyttämisestä, jos pyyntö on ilmeisen perusteeton tai kohtuuton tai jos KONEella on muu laillinen peruste pyynnön hylkäämiseen.


    Denna integritetspolicy innehåller information om hur KONE Corporation och dess dotterbolag och närstående företag ("KONE") behandlar personuppgifter för externa KONE-medarbetare i samband med KONE-uppdraget och relaterade aktiviteter. Denna policy kan kompletteras med systemsspecifika sekretessförklaringar och med lokal dokumentation om databehandling. Dessutom kan de olika rättigheter du har som registrerad också variera från land till land beroende på tillämpliga integritetslagar. Denna policy omfattar de rättigheter som beviljas av Europeiska unionens dataskyddslagar. Du kan alltid begära mer information från din KONE-värd eller genom att skicka e-post till personaldatarequest@kone.com.

    1. Personuppgiftsansvarig och kontaktuppgifter

    Om inget annat anges för vissa förfaranden för behandling av personuppgifter är den personuppgiftsansvarige i första hand KONEs juridiska enhet, som beställer arbetet och/eller tjänsterna från ditt arbetsgivarföretag. I de globala processerna och verktygen agerar KONE Corporation som parallell personuppgiftsansvarig, i den utsträckning som tillåts av tillämpliga lokala integritetslagar.

    De registrerade kan antingen kontakta sin lokala KONE-enhets HR-avdelning eller alternativt KONE Corporation:

    KONE Building
    Keilasatama 3, 02150 Espoo, Finland
    Telefon: +358 204 751
    Frågor om dataskydd till: personaldatarequest@kone.com

    2. Personuppgifter som KONE behandlar

    Observera att den nedan beskrivna datauppsättningen är ett exempel på de vanligaste uppgifterna som insamlas av KONEs externa medarbetare. Beroende på plats och uppdrag varierar datauppsättningen; i de flesta fall samlas mindre data in, men i vissa begränsade fall kan även ytterligare data samlas in. Den vägledande principen är att KONE alltid endast samlar in sådana uppgifter som är relevanta och nödvändiga för att utföra uppdraget. Det kan också finnas vissa lagstadgade krav som kräver att KONE samlar in vissa uppgifter, eller som förbjuder KONE att samla in vissa uppgifter.

    Följande personuppgifter för externa medarbetare kan samlas in och behandlas i KONEs system och databaser:

    2.1 Identifierings- och uppdragsuppgifter

    • Obligatoriska identifieringsuppgifter: förnamn, efternamn, KONE ID-nummer

      • På vissa platser behöver vi också samla in ytterligare personuppgifter av lagstadgade skäl eller för att säkerställa korrekt identifiering av arbetare, se avsnitt 2 nedan.

    • Kontaktuppgifter: KONE e-post och/eller den externa arbetstagarens arbetsgivares e-post, mobiltelefon

    • Fotografi

    • Status (aktiv/avslutad)

    • Kontraktets start- och slutdatum

    • Organisationsdata (organisation, plats, ansvarig KONE-värd, typ av medarbetare/uppdrag, titel, kostnadsställe, anställande företag etc.)

    • Uppgifter om tilldelade uppgifter och tillgänglighet

    • Information om deltagande i insiderprojekt

    • Kopior av pass och ID-handlingar, om det behövs för att utföra uppdragsrelaterade uppgifter

    • Hälso- och säkerhetsrelaterade uppgifter

    • Evenemangsdata (deltagare, allergier etc.)

    2.2 Lagstadgade uppgifter och uppgifter om kvalifikationer och utbildning

    I vissa länder måste vi samla in vissa lagstadgade uppgifter om externa arbetstagare, t.ex:

    • Arbets- och uppehållstillstånd

    • ID-handling eller nationellt ID-nummer

    • Skattenummer (eller liknande)

    Vi kan också behöva samla in viss information om personens kvalifikationer och kompetens för att säkerställa att uppdragen och arbetet tilldelas personer med rätt kvalifikationer. Dessutom kan det också finnas obligatoriska utbildningar som måste genomföras i förhållande till t.ex. KONEs policyer och processer eller till det specifika uppdraget. För att uppfylla dessa krav kan KONE samla in:

    • Utbildning, kvalifikationer och färdigheter

    • Referenser (t.ex. tidigare uppdrag)

    • Utbildningsdokumentation eller utbildningsintyg

    • Övriga uppgifter om kompetens

    • Feedback

    2.3 Åtkomsthantering, incidenthantering, säkerhet, övervakning och cookies

    I många situationer behöver den externa arbetstagaren tillgång till KONEs resurser och verktyg, inklusive KONEs IT-applikationer och tjänster, för att kunna utföra det överenskomna arbetet eller uppdraget. Dessutom kan externa medarbetare också vara bundna av vissa policyer, riktlinjer och instruktioner när de arbetar med KONE-uppdraget, i KONEs lokaler eller med KONEs tillgångar och verktyg. För att göra dessa resurser tillgängliga för de externa arbetstagarna och för att säkerställa efterlevnaden av relevanta policyer, riktlinjer och instruktioner kan KONE samla in följande personuppgifter:

    • IP-adresser och cookie-genererad data (vid användning av onlinesystem)

    • Loggfiler som skapas vid användning av IT-verktyg och IT- system

    • Enhetslistor (listor som innehåller information om vem som har tillgång till KONEs enheter)

    • Åtkomsträttigheter och information om fysisk åtkomst

    • Bildmaterial från kameraövervakning

    • GPS positionsdata för KONE-skåpbilar och KONE-enheter för fältpersonal (där det är tillåtet enligt lokala lagar och/eller informerat till och/eller accepterat av personen)

    • Data relaterad till incident- och skadehantering (incidentrapporter, försäkringsanspråk etc.)

    • Personuppgifter relaterade till interna utredningar

    • Personuppgifter relaterade till rättstvister

    De uppgifter som avses ovan i avsnitt 2.1-2.3 benämns senare i denna integritetspolicy som "personuppgifter".

    3. Syfte och rättslig grund för behandlingen av personuppgifter

    KONE behandlar personuppgifterna eftersom behandlingen är nödvändig för att fullgöra det avtal som ingåtts mellan KONE och den externa arbetstagarens arbetsgivarföretag avseende det KONE-uppdrag som den externa arbetstagaren arbetar med. Det krävs ofta också för att KONE ska kunna uppfylla sina rättsliga skyldigheter enligt tillämpliga lagar om skatter, hälsa, säkerhet och socialförsäkringar samt för de legitima intressen som KONE har när det gäller hantering av olika uppdragsrelaterade frågor och dagliga affärsfrågor.

    Syftet med att KONE behandlar personuppgifter är till exempel att:

    • Hantera dagliga uppdragsrelaterade frågor, granska slutförda uppgifter osv.

    • Hantera identitets- och åtkomsthantering både vad gäller IT-system och fysiska platser

    • Möjliggöra användning, optimering och utveckling av IT-verktygen

    • Möjliggöra implementering, optimering och utveckling av KONEs affärsprocesser

    • Projektledning

    • Rese- och kostnadsersättningar

    • Verifiering av utbildning, kvalifikationer, annan kompetens och e-lärande

    • Organisering av utbildning och e-lärande

    • Undersökningar av regelefterlevnad

    • Handläggning av ersättningskrav

    • Hälsa och säkerhet

    • Rättslig skyldighet att upprätta en insiderförteckning för handelsregister eller för andra liknande myndigheter

    • Säkerhet för personer i KONEs lokaler och på andra platser där KONE bedriver verksamhet samt säkerhet för KONEs egendom (både materiell och immateriell, t.ex. IKT-verktyg, maskiner och utrustning, finanser, immateriella rättigheter).

    • Säkerställa cybersäkerhet och lindra eventuella effekter av hot mot eller överträdelser av datasäkerheten

    • Affärsanalys och rapportering (dock används anonymiserad data vid mån av möjlighet)

    För att undvika tvivel kan KONE använda verktyg för maskininlärning och artificiell intelligens vid behandling av personuppgifter, om det är tillåtet enligt tillämplig lagstiftning. När tillämplig integritetslagstiftning förutsätter det så kommer KONE att informera dig separat om sådan behandling innefattar beslutsfattande som enbart baseras på automatiserad behandling, som ger upphov till rättsliga eller liknande betydande effekter för dig, inklusive den logik som ingår i sådant automatiserat beslutsfattande, samt betydelsen av och de förutsedda konsekvenserna av sådan behandling.

    4. Källor från vilka personuppgifterna erhålls

    Personuppgifterna erhålls i första hand från de externa arbetstagarna själva eller från deras eget arbetsgivarföretag när de påbörjar uppdraget på KONE. En del av uppgifterna genereras senare under uppdraget och i samband med att KONEs resurser används.

    5. Överföring av personuppgifter

    KONE överför huvudsakligen inga personuppgifter utanför KONE Corporation eller dess partners, dotterbolag och filialer.

    KONE har flera rättsliga skyldigheter relaterade till hälsa och säkerhet samt försäkringar som kräver att KONE samlar in och lämnar ut vissa personuppgifter till leverantörerna av dessa tjänster. Utöver detta kan KONE också behöva lämna ut personuppgifter direkt till offentliga myndigheter på basis av lokala lagkrav. Typiska exempel på sådana myndigheter är skattemyndigheter, arbetarskyddsmyndigheter och socialskyddsmyndigheter. KONE kommer endast att lämna ut sådana personuppgifter som krävs enligt lag, eller som är direkt nödvändiga för att uppfylla de relaterade rättsliga kraven.

    Beroende på uppdraget kan den externa medarbetaren representera KONE gentemot olika tredje parter när de använder eller köper produkter eller tjänster från dem. Sådana tredje parter innefattar t.ex. materialleverantörer, utrustningsleverantörer, IT-tjänsteleverantörer, banker, resebyråer osv. Dessa tredje parter kräver viss information om personen för att kunna identifiera denne och verifiera att personen har rätt att utföra respektive åtgärder på KONEs vägnar (t.ex. namn, kontaktinformation, underskrift, och när det gäller banker, ofta även pass/ID-kopia, hemadress och nationalitet). Personen kan uppmanas att lämna ut sådana personuppgifter personligen, eller så kan KONE göra detta för dennes räkning.

    På samma sätt kan KONE lämna ut vissa personuppgifter om relevanta externa medarbetare till KONE:s kunder eller potentiella kunder som en del av en begäran om förslag och anbud eller under kundrelationens gång. Personuppgifter som lämnas ut kan omfatta namn och kontaktuppgifter samt information om såväl personens roll som kompetens. KONEs kunder eller tredje parter kan också behöva verifiera identiteten på de personer som är behöriga att få tillgång till de platser där arbetet utförs. KONE kan också behöva lämna ut personuppgifter om externa arbetstagare för att de ska kunna få tillgång till sådana platser. Vid all utlämning av personuppgifter till tredje part gör KONE sitt bästa för att kontrollera att mottagaren har legitima skäl att ta emot uppgifterna, att hålla utlämnade av uppgifter på en minimal nivå samt att använda säkra överföringsmetoder.

    Vissa av de plattformar som KONE använder för att lagra och behandla personuppgifter tillhandahålls av externa IT-leverantörer eller andra tjänsteleverantörer. Dessutom kan KONE ta hjälp av externa konsulter eller andra leverantörer för olika ändamål, t.ex. dataanalys, undersökningar, samt affärs- och IT-utveckling. Även supportpersonal från IT-tjänsteleverantörer som hjälper till att lösa eventuella problem och buggar i systemen samt annan supportpersonal (t.ex. HR Services) som hjälper till med praktiska frågor kring uppdraget, har tillgång till KONEs externa medarbetares personuppgifter. Dessa leverantörer och supportpersonal behandlar personuppgifter endast på uppdrag av KONE och endast i syfte att utföra de överenskomna tjänsterna åt KONE. KONE säkerställer att sådana databehandlare är bundna av adekvata avtalsförpliktelser avseende sekretess och lämplig behandling av personuppgifter.

    Vissa av de IT-verktyg som KONE använder, men som erbjuds av externa tjänsteleverantörer, kan som utgångspunkt samla in och skicka vissa personuppgifter direkt till tjänsteleverantören för att användas för dess egna ändamål. För att få mer information om sådan databehandling bör du alltid bekanta dig med de systemspecifika sekretesspolicyer och villkor som kan hittas i de IT-verktyg som du använder.

    På grund av tekniska och praktiska krav kan vissa personuppgifter behandlas även utanför den ursprungliga platsen där uppgifterna samlades in, inklusive utanför EU/EES, Storbritannien eller Schweiz, t.ex. av andra KONE-företag eller KONE:s underleverantörer. KONE säkerställer att det finns en rättslig grund och ett databehandlingsavtal på plats för sådana överföringar (t.ex. myndighetsgodkända standardavtalsklausuler).

    6. Lagringstid för personuppgifterna

    Personuppgifterna kommer att lagras så länge som det behövs för ovannämnda ändamål och i den utsträckning som krävs enligt tillämplig lokal lagstiftning. Efter det kommer personuppgifterna att raderas effektivt eller anonymiseras. Du kan be om mer detaljerad information gällande tidslinjerna för datalagring från din KONE-värd eller personaldatarequest@kone.com.

    7. Datasäkerhet

    KONEs globala policy för informationssäkerhet definierar de säkerhetsåtgärder som gäller för alla informationsresurser och relaterade processer som hanteras, ägs eller hanteras av KONE. Denna policy kräver också att externa parter, såsom leverantörer, partners och tjänsteleverantörer är bundna av KONEs informationssäkerhetskrav, där så är lämpligt, genom avtalsarrangemang, lämpliga revisionsprocesser och andra lämpliga metoder.

    8. De registrerades rättigheter

    De olika rättigheter som externa medarbetare har som registrerade kan variera från land till land beroende på tillämplig integritetslagstiftning. De nedan beskrivna rättigheterna tillämpas i Europeiska unionen, Storbritannien och Schweiz, men KONE strävar efter att implementera liknande rättigheter även i andra jurisdiktioner. Dessutom kommer KONE alltid att respektera de rättigheter för registrerade som gäller i den lokala jurisdiktionen där den externa medarbetaren i fråga befinner sig.

    • Registrerade personer kan när som helst kontakta KONE och begära tillgång till sina personuppgifter. KONE kommer på den registrerades begäran att rätta eller radera alla felaktiga eller föråldrade personuppgifter.

    • Då behandlingen baseras på samtycke har den registrerade rätt att när som helst återkalla sitt samtycke. Om behandlingen baseras på KONE:s legitima intresse kan den registrerade invända mot sådan behandling på basis av en specifik individuell omständighet. Den registrerade måste specifiera en sådan omständighet i samband med begäran om invändning.

    • Den registrerade kan också ha rätt att begära att databehandlingen begränsas, t.ex. i väntan på KONE:s svar på begäran om radering eller invändning mot behandlingen.

    • Om de registrerade har frågor eller anmärkningar angående KONEs förfaranden för behandling har de också rätt att lämna in ett klagomål till en lokal behörig tillsynsmyndighet.

    Ytterligare information om de registrerades rättigheter finns på intranätet och kan begäras från personaldatarequest@kone.com.

    KONE kan avslå en begäran eller ta ut en rimlig avgift för att uppfylla en begäran om begäran är uppenbart ogrundad eller orimlig eller om KONE har en annan rättslig grund för att avslå begäran.

External workers privacy policy

We use cookies to optimize site functionality and to give you the best possible experience while browsing our site. If you are fine with this and accept all cookies, just click the 'Accept' button. You can also review our privacy statement.