Informacje prawne Oracle

Materiały Oracle do pobrania
Noty prawne

Prywatność w Oracle
Polityka prywatności w zakresie usług Oracle

Niniejsza Polityka prywatności w zakresie usług Oracle („Polityka prywatności w zakresie Usług”) podzielona jest na trzy działy:

I. Punkt pierwszy (Warunki przetwarzania usługowych danych osobowych) opisuje praktyki Oracle Corporation i jej podmiotów powiązanych („Oracle”) w zakresie ochrony prywatności i bezpieczeństwa, które są stosowane podczas przetwarzania usługowych danych osobowych (według definicji poniżej) w przypadku świadczenia usług wsparcia technicznego, konsultingu, chmury czy innych usług („Usługi”) świadczonych na rzecz klientów Oracle („Państwo”) w okresie ważności złożonego przez Państwa zamówienia na Usługi.

Usługowe dane osobowe to dane osobowe, które Państwo dostarczyli, przechowywane w systemach i środowiskach Oracle, klienta lub osoby trzeciej, przetwarzane przez Oracle na Państwa rzecz w celu realizacji Usług. Usługowe dane osobowe mogą obejmować, w zależności od Usługi: informacje dotyczące rodziny, stylu życia i sytuacji socjalnej; informacje dotyczące zatrudnienia; informacje dotyczące finansów; identyfikatory internetowe, jak np. identyfikatory urządzeń mobilnych i adresy IP, oraz dane wewnętrzne dotyczące zachowań w Internecie i zainteresowań. Usługowe dane osobowe użytkownika mogą odnosić się do Państwa przedstawicieli i użytkowników końcowych, takich jak pracownicy, osoby ubiegające się o pracę, wykonawcy, współpracownicy, partnerzy, dostawcy i klienci.

II. Rozdział drugi (Warunki przetwarzania systemowych danych operacyjnych) opisuje praktyki w zakresie prywatności i bezpieczeństwa znajdujące zastosowanie do danych osobowych, które mogą być przypadkowo zawarte w systemowych danych operacyjnych, generowanych w wyniku interakcji użytkowników (końcowych) Usług Oracle („Usługi”) z systemami i sieciami Oracle wykorzystywanych do monitorowania, ochrony i świadczenia Usług dla klientów Oracle.

Systemowe dane operacyjne mogą obejmować pliki dziennika systemowego i dziennika zdarzeń, a także inne pliki śledzenia i diagnostyczne oraz informacje statystyczne i zagregowane, dotyczące wykorzystania i funkcjonowania Usług Oracle oraz systemów i sieci, na jakich te Usługi działają.

III. Rozdział trzeci (Komunikaty i powiadomienia dla klientów i użytkowników) dotyczy zarówno usługowych danych osobowych, jak i informacji zawartych w systemowych danych operacyjnych, opisuje, w jaki sposób Oracle odpowiada na uzasadnione żądania ujawnienia, i informuje Państwa i Użytkowników, w jaki sposób można kontaktować się z Globalnym inspektorem ochrony danych Oracle lub złożyć skargę.

Szybkie łącza dla Warunków przetwarzania systemowych danych operacyjnych

Zakres definicji usługowych danych osobowych i systemowych danych operacyjnych nie obejmuje danych kontaktowych ani powiązanych informacji Państwa lub Użytkownika, zbieranych na podstawie korzystania ze stron internetowych Oracle bądź Państwa lub Użytkownika interakcji z Oracle podczas procesu zawierania umowy. Przetwarzanie takich danych przez Oracle podlega warunkom Ogólnej polityki prywatności w Internecie.

I. WARUNKI PRZETWARZANIA USŁUGOWYCH DANYCH OSOBOWYCH

Oracle traktuje wszystkie usługowe dane osobowe zgodnie z warunkami działu I i III niniejszej Polityki i Państwa zamówieniem na Usługi.

W przypadku jakichkolwiek rozbieżności pomiędzy warunkami niniejszej Polityki prywatności w zakresie Usług i warunkami dotyczącymi prywatności zawartymi w Państwa zamówieniu na Usługi, w tym Umową przetwarzania danych Oracle, stosowne warunki dotyczące prywatności zawarte w Państwa zamówieniu na Usługi będą mieć przeważające znaczenie.

1. Realizacja Usług

Oracle może przetwarzać usługowe dane osobowe na potrzeby operacji przetwarzania koniecznych do realizacji Usług, w tym do testowania i stosowania nowych wersji produktów lub systemów, łatek, aktualizacji i ulepszeń, do rozwiązywania bugów i innych problemów, o jakich powiadomili Państwo Oracle.

2. Instrukcje niestandardowe

Są Państwo administratorem usługowych danych osobowych przetwarzanych przez Oracle w celu realizacji Usług. Oracle będzie przetwarzać dotyczące Państwa usługowe dane osobowe w sposób określony w Państwa zamówieniu na Usługi oraz dodatkowych, udokumentowanych instrukcjach wyrażonych na piśmie w zakresie, w jakim jest to konieczne, żeby Oracle (i) mogło zrealizować swoje obowiązki w zakresie przetwarzania zgodnie z obowiązującym prawem ochrony danych lub (ii) pomóc Państwu w realizacji Państwa obowiązków administrowania na zgodnie z obowiązującym prawem ochrony danych znajdującym zastosowanie do wykorzystania Usług przez Państwa. Oracle niezwłocznie poinformuje Państwa, jeśli w zasadnej opinii Oracle Państwa instrukcje naruszają obowiązujące prawo ochrony danych. Może się to wiązać z dodatkowymi opłatami.

3. Prawa osób fizycznych

Mają Państwo kontrole nad dostępem do usługowych danych osobowych przez Państwa użytkowników końcowych. Użytkownicy końcowi powinni kierować wszelkie żądania związane z ich usługowymi danymi osobowymi do Państwa. W zakresie, w jakim taki dostęp nie został Państwu przyznany, Oracle zapewni zasadne wsparcie w przypadku żądań uzyskania dostępu do, usunięcia lub skasowania, ograniczenia dostępu do, sprostowania, uzyskania i przekazania, zablokowania dostępu do usługowych danych osobowych w systemach Oracle w przypadku lub wyrażenia sprzeciwu wobec przetwarzania usługowych danych osobowych w systemach Oracle.

4. Bezpieczeństwo i poufność.

Oracle wdrożyła i będzie utrzymywać środki techniczne i organizacyjne w celu ochrony usługowych danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, uszkodzeniem, modyfikacją, nieuprawnionym ujawnieniem lub dostępem. Środki te, które zostały zasadniczo dostosowane do standardu ISO/IEC 27001:2013, mają zastosowanie do wszystkich obszarów bezpieczeństwa związanych z Usługami, w tym dostępu fizycznego, dostępu do systemów, dostępu do danych, przekazywania, wprowadzania, nadzoru nad bezpieczeństwem i egzekwowania prawa.

Pracownicy Oracle są zobowiązani do zachowania poufności danych osobowych. Obowiązki pracowników obejmują podpisywanie pisemnych umów o zachowaniu poufności, regularne szkolenia z ochrony informacji oraz postępowanie zgodnie z politykami spółki w zakresie ochrony danych osobowych.

Dodatkowe informacje dotyczące konkretnych środków bezpieczeństwa, które stosują się do Usług, są podane w praktykach bezpieczeństwa dla takich Usług, w tym w zakresie zatrzymywania i usuwania danych; dostępne są one do wglądu tutaj.

5. Zarządzanie incydentami i powiadomienia o naruszeniu ochrony danych.

Oracle dokonuje natychmiastowej oceny i reaguje na przypadki, które wywołują podejrzenie nieuprawnionego dostępu bądź przetwarzania usługowych danych osobowych lub wskazują na nieuprawniony dostęp bądź przetwarzanie usługowych danych osobowych.

Jeśli Oracle dowie się i stwierdzi, że incydent obejmujący usługowe dane osobowe kwalifikuje się jako naruszenie bezpieczeństwa prowadzące do przywłaszczenia bądź przypadkowego lub niezgodnego z prawem zniszczenia, utraty, uszkodzenia, modyfikacji, nieuprawnionego ujawnienia lub dostępu do usługowych danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w systemach Oracle, w sposób, który narusza bezpieczeństwo, poufność lub integralność takich usługowych danych osobowych, Oracle powiadomi Państwa niezwłocznie o takim naruszeniu.

W miarę jak Oracle będzie gromadzić dane dotyczące naruszenia lub uzyska do nich zasadny dostęp oraz w zakresie dozwolonym przez prawo, Oracle dostarczy Państwu dodatkowe istotne informacje dotyczące naruszenia, które są znane Oracle lub do których Oracle ma dostęp.

6. Podwykonawcy

W zakresie, w jakim Oracle korzysta z usług podwykonawców, zapewniając im dostęp do usługowych danych osobowych, na potrzeby otrzymania wsparcia w zakresie realizacji Usług, tacy podwykonawcy będą podlegać takiemu samemu poziomowi ochrony danych i bezpieczeństwa, co Oracle na podstawie warunków Państwa zamówienia na Usługi. Oracle ponosi odpowiedzialność za stosowanie się przez jej podwykonawców do warunków Państwa zamówienia na Usługi.

Oracle przechowuje listę podmiotów powiązanych i podwykonawców Oracle, którzy mogą przetwarzać usługowe dane osobowe. Dodatkowe informacje można uzyskać w My Oracle Support (https://support.oracle.com), nr dokumentu 2121811.1, lub przy wykorzystaniu innego narzędzia wsparcia dla Usług.

7. Transgraniczne przekazywanie danych

Oracle może przekazać usługowe dane osobowe, uzyskać do nich dostęp i przechowywać w dowolnym miejscu na świecie, jeśli jest to konieczne do realizacji Usług.

W zakresie, w jakim taki dostęp pociąga za sobą przekazanie usługowych danych osobowych pochodzących z Europejskiego Obszaru Gospodarczego („EOG”) lub Szwajcarii na rzecz podmiotów powiązanych Oracle lub niezależnych podwykonawców znajdujących się w krajach EOG lub Szwajcarią, które nie otrzymały wiążącej decyzji Komisji Europejskiej lub właściwego urzędu ochrony danych w kraju EOG stwierdzającej odpowiedni poziom ochrony, takie przekazanie będzie podlegać wiążącym i odpowiednim mechanizmom przekazania, które zapewniają odpowiedni poziom ochrony zgodnie z obowiązującym prawem ochron danych, takim jak wzorcowe klauzule UE.

Oracle przestrzega postanowień Tarczy Prywatności UE-USA (EU-U.S. Privacy Shield Framework) oraz Tarczy Prywatności Szwajcaria-USA (Swiss-U.S. Privacy Shield Framework) zgodnie z ustaleniami Departamentu Handlu USA w zakresie zbierania, wykorzystywania i zatrzymania usługowych danych osobowych, w przypadku gdy Państwo i Oracle zawarli porozumienie w formie umowy, która zapewnia, że przekazywanie danych osobowych z EOG lub Szwajcarii będzie wykonywane i przetwarzane zgodnie z Tarczą Prywatności dla odpowiednich Usług. W takim przypadku Oracle będzie odpowiedzialna za upewnienie się, że osoby trzecie działające jako pośrednik w imieniu Oracle będą stosować się do tych samych zasad.

Oracle złożyła oświadczenie w Departamencie Handlu USA o stosowaniu się do Zasad Tarczy Prywatności. W przypadku jakiejkolwiek rozbieżności pomiędzy postanowieniami niniejszej Polityki prywatności i Zasadami Tarczy Prywatności, zastosowanie mają Zasady Tarczy Prywatności. Aby dowiedzieć się więcej o programie Tarczy Prywatności i zapoznać się z certyfikatem Oracle należy przejść na stronę https://www.privacyshield.gov/list.

Aby uzyskać listę podmiotów podlegających procedurze certyfikacji własnej Oracle w ramach programu Tarczy Prywatności, należy odwiedzić stronę internetową Tarczy Prywatności. W odniesieniu do usługowych danych osobowych otrzymanych lub przekazanych zgodnie z Zasadami Tarczy Prywatności Oracle podlega pod uprawnienia wykonawcze Federalnej Komisji Handlu jako organu regulacyjnego.

8. Uprawnienia kontrolne

W zakresie określonym w Państwa zamówieniu na Usługi mogą Państwo na swój koszt skontrolować przestrzeganie przez Oracle postanowień niniejszej Polityki prywatności w zakresie Usług, wysyłając Oracle pisemne żądanie zawierające szczegółowy plan kontroli, na co najmniej sześć tygodni przed sugerowaną datą kontroli. Oracle będzie współpracować w Państwem przy ustalaniu ostatecznego planu kontroli.

Kontrola może mieć miejsce nie częściej niż raz na dwanaście miesięcy, w zwykłych godzinach pracy, z zastrzeżeniem obowiązujących w zakładzie Oracle polityk i regulacji, i nie może bezzasadnie zakłócać prowadzenia działalności gospodarczej. Jeśli chcą Państwo skorzystać z usług osoby trzeciej w celu przeprowadzenia kontroli, strony wspólnie wyznaczą takiego niezależnego kontrolera, zaś taki niezależny kontroler będzie mieć obowiązek zawarcia pisemnej umowy o zachowaniu poufności, którą Oracle zaakceptuje. Po zakończeniu kontroli dostarczą Państwo kopię sprawozdania z kontroli, który stanowić będzie informację poufną zgodnie z warunkami zawartej między Państwem a Oracle umowy.

Oracle będzie uczestniczyć takich kontrolach, dostarczając Państwu informacje i wsparcie, jakie jest zasadnie konieczne w celu przeprowadzenia kontroli, w tym wszelkie stosowne rejestry operacji przetwarzania dotyczących Usług. Jeśli zakres żądanej kontroli pokrywa się ze sprawozdaniem SOC 1 lub SOC 2, ISO, NIST, PCI DSS, HIPAA lub podobnym sprawozdaniem z kontroli wydanym przez upoważnionego niezależnego kontrolera w przeciągu ostatnich dwunastu miesięcy, zaś Oracle dostarczyła Państwu takie sprawozdanie, potwierdzając, że w zakresie, którego dotyczyła kontrola, nie nastąpiły żadne istotne zmiany, zobowiązują się Państwo zaakceptować ustalenia przedstawione w sprawozdaniu niezależnego kontrolera zamiast żądać przeprowadzenia audytu w zakresie objętym takim sprawozdaniem. Państwa zamówienie na Usługi może zawierać dodatkowe warunki dotyczące kontroli.

9. Usunięcie lub przywrócenie usługowych danych osobowych

Z wyjątkiem przypadków wyraźnie określonych w zamówieniu dotyczącym usług lub w przepisach prawa, w momencie zaprzestania świadczenia usług lub na Państwa żądanie, Oracle usunie dotyczące Państwa produkcyjne dane konsumenckie zlokalizowane na komputerach Oracle w sposób mający zapewnić, że nie można zasadnie uzyskać dostępu do takich danych ani ich odczytać, chyba że na Oracle nałożono obowiązek prawny uniemożliwiający Oracle usunięcie wszystkich lub części takich danych. Przed zakończeniem realizacji usługi mogą Państwo skontaktować się z osobą kontaktową ds. usług Oracle w celu uzyskania dodatkowych informacji na temat usuwania danych.

II. WARUNKI PRZETWARZANIA SYSTEMOWYCH DANYCH OPERACYJNYCH

1. Odpowiedzialność za przetwarzanie danych osobowych i cele takiego przetwarzania

Oracle Corporation i jej podmioty powiązane są odpowiedzialne za przetwarzanie danych osobowych, które mogą być przypadkowo zawarte w systemowych danych operacyjnych, zgodnie z działem II i III w niniejszej Polityce. Lista podmiotów Oracle dostępna jest tutaj. Proszę wybrać region i kraj, żeby wyświetlić adres siedziby i dane kontaktowe podmiotu lub podmiotów Oracle w danym kraju.

Oracle może zbierać lub generować systemowe dane operacyjne w następujących celach:

  • a) żeby zapewnić bezpieczeństwo Usług Oracle, w tym na potrzeby monitoringu bezpieczeństwa i zarządzania tożsamością;
  • b) żeby przeprowadzić dochodzenia w sprawie potencjalnych oszustw lub działalności przestępczej z wykorzystaniem systemów i sieci Oracle, w tym przeciwdziałać cyberatakom, i żeby wykrywać boty;
  • c) żeby zarządzać planami zapewnienia ciągłości działania w razie awarii;
  • d) żeby potwierdzić zgodność z warunkami licencyjnymi i innymi warunkami użytkowania (monitorowanie zgodności z licencjami);
  • e) dla celów badawczych i rozwojowych, w tym na potrzeby analizy, rozwoju, poprawy i optymalizacji Usług Oracle;
  • f) w celu zapewnienia zgodności z obowiązującymi przepisami ustawowymi i wykonawczymi, a także w celu prowadzenia działalności, w tym w celu realizacji uzasadnionych żądań sprawozdawczych, ujawnienia i innych żądań wynikających z postępowania prawnego, na potrzeby fuzji i przejęć, w celach finansowych i rachunkowych, archiwizacji i ubezpieczenia, doradztwa prawnego i biznesowego oraz w kontekście rozstrzygania sporów.

W przypadku danych osobowych zawartych w systemowych danych operacyjnych, które zostały zebrane w UE, podstawą prawną przetwarzania takich danych przez Oracle jest prawnie uzasadniony interes Oracle w dostarczaniu, utrzymywaniu i zabezpieczaniu produktów i usług Oracle oraz w prowadzeniu działalności w efektywny i właściwy sposób. Dane osobowe mogą być również przetwarzane na podstawie obowiązków prawnych lub prawnie uzasadnionych interesów w celu realizacji takich obowiązków prawnych.

2. Udostępnianie danych osobowych

Dane osobowe zawarte w systemowych danych operacyjnych mogą być udostępniane w ramach struktury organizacyjnej Oracle na całym świecie. Lista podmiotów Oracle dostępna jest pod adresem określonym powyżej.

Oracle może także udostępnić takie dane osobowe następującym osobom trzecim:

  • zewnętrznym dostawcom usług (np. dostawcom usług IT, prawnikom i audytorom), aby umożliwić im realizację funkcji biznesowych dla Oracle;
  • w przypadku zmiany organizacyjnej, połączenia, sprzedaży, utworzenia spółki joint venture, cesji, przeniesienia lub złożenia innej dyspozycji w związku z całością lub częścią naszego przedsiębiorstwa, majątku lub udziałów (w tym w związku z wszelkimi postępowaniami upadłościowymi i podobnymi postępowaniami);
  • jeśli jest to wymagane przepisami prawa, np. żeby podporządkować się wezwaniu sądu lub innemu żądaniu sądu, jeśli Oracle w dobrej wierzy uważa, że takie ujawnienie jest konieczne do ochrony praw Oracle, bezpieczeństwa Państwa bądź innych osób, do przeprowadzenia dochodzenia w sprawie oszustwa, do odpowiedzi na żądanie urzędu, w tym urzędów publicznych i państwowych poza Państwa krajem zamieszkania, na potrzeby dla bezpieczeństwa narodowego lub organów ścigania.

Kiedy osoby trzecie uzyskują dostęp do danych osobowych zawartych w systemowych danych operacyjnych, Oracle podejmie odpowiednie środki umowne, techniczne i organizacyjne w celu zapewnienia na przykład, że dane osobowe są przetwarzane wyłącznie w zakresie, w jakim takie przetwarzanie jest konieczne, w zgodzie z niniejszą Polityką prywatności i obowiązującym prawem.

3. Transgraniczne przekazywanie danych

Jeżeli dane osobowe zawarte w systemowych danych operacyjnych są przekazywane do odbiorcy Oracle w kraju, który nie zapewnia odpowiedniego stopnia ochrony danych osobowych, Oracle podejmie działania w celu zagwarantowania odpowiedniego stopnia ochrony danych na temat Użytkowników, np. zapewniając, że takie przekazywanie podlega wzorcowym klauzulom UE.

4. Bezpieczeństwo

Oracle wdrożyła odpowiednie środki techniczne, fizyczne i organizacyjne zgodnie z Praktykami ochrony danych Oracle w celu ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem bądź przypadkową utratą, uszkodzeniem, modyfikacją, nieuprawnionym ujawnieniem lub dostępem, a także wszelkimi innymi formami przetwarzania w sposób niezgodny z prawem (w tym m.in. zbędnym zbieraniem) lub dalszym przetwarzaniem.

5. Opcje użytkownika

W zakresie określonym przez obowiązujące przepisy prawa Użytkownicy mogą w określonych wypadkach zażądać dostępu do danych osobowych zawartych w systemowych danych operacyjnych, sprostować je, zaktualizować lub usunąć bądź zrealizować swoje inne prawa w zakresie swoich danych osobowych, wypełniając formularz zapytania.

III. KOMUNIKATY I POWIADOMIENIA DLA KLIENTÓW I UŻYTKOWNIKÓW

1. Wymagania prawne.

Oracle może mieć obowiązek zapewnienia dostępu do usługowych danych osobowych i do danych osobowych zawartych w systemowych danych operacyjnych zgodnie z wymogami prawa, np. żeby podporządkować się wezwaniu sądu lub innemu żądaniu sądu, jeśli w dobrej wierze uważa, że takie ujawnienie jest konieczne do ochrony praw Oracle, bezpieczeństwa Państwa, Użytkownika bądź innych osób, do przeprowadzenia dochodzenia w sprawie oszustwa, do odpowiedzi na żądanie urzędu, w tym urzędów publicznych i państwowych poza Państwa krajem zamieszkania lub krajem zamieszkania Użytkownika, na potrzeby dla bezpieczeństwa narodowego lub organów ścigania.

Oracle niezwłocznie powiadomi Państwa o żądaniu dostępu do usługowych danych osobowych, o ile przepisy prawa nie stanowią inaczej.

2. Globalny inspektor ochrony danych.

Oracle powołała Globalnego inspektora ochrony danych. Jeśli Państwo uważają lub jeśli Użytkownik uważa, że dane osobowe zostały wykorzystane w sposób, który nie jest zgodny z niniejszą Polityką prywatności, lub jeżeli mają Państwo lub Użytkownik ma dalsze pytania, uwagi lub sugestie dotyczące sposobu, w jaki Oracle przetwarza usługowe dane osobowe lub dane osobowe zawarte w systemowych danych operacyjnych, należy skontaktować się z Globalnym inspektorem ochrony danych, wypełniając formularz zapytania.

Pisemne zapytania do Globalnego inspektora ochrony danych można wysyłać na poniższy adres:

Oracle Corporation
Globalny inspektor ochrony danych.
10 Van de Graaff Drive
Burlington, MA 01803
U.S.A.

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Niemcy
Email: mail@legislator.de

3. Rozstrzyganie sporów lub składanie skarg

Jeżeli mają Państwo lub jeśli Użytkownik ma jakiekolwiek skargi dotyczące zgodności z praktykami Oracle w zakresie prywatności i bezpieczeństwa, należy w pierwszej kolejności skontaktować się z Oracle. Oracle przeprowadzi dochodzenie w tej sprawie i podejmie próbę rozstrzygnięcia wszelkich skarg i sporów dotyczących praktyk Oracle w zakresie prywatności.

W przypadku nierozstrzygniętych zastrzeżeń Użytkowników związanych z prywatnością lub korzystaniem z danych, których nie omówiono w wystarczający sposób, należy skontaktować się z zewnętrznym amerykańskim podmiotem zajmującym się rozstrzyganiem sporów (bezpłatnie) pod adresem https://feedback-form.truste.com/watchdog/request.

W określonych przypadkach, które zostały szczegółowo opisane na stronie internetowej Tarczy Prywatności, mogą Państwo wystąpić o wiążący arbitraż, jeśli pozostałe procedury rozstrzygania sporów zostały wykorzystane. Użytkownicy mający miejsce zamieszkania w państwie członkowskim Unii Europejskiej mają także prawo do złożenia skargi do właściwego urzędu ochrony danych.


Dowiedz się więcej