Oracle Legal

Oracle-nedladdningar
Juridiska meddelanden

Sekretess hos Oracle
Oracles sekretesspolicy för tjänster

Oracles sekretesspolicy för tjänster (sekretesspolicyn för tjänster) är indelad i tre avsnitt:

I. Det första avsnittet (Villkor för behandling av tjänstrelaterade personuppgifter) beskriver vi de rutiner kring sekretess och säkerhet som Oracle Corporation och våra dotterbolag (Oracle) följer när vi hanterar tjänstrelaterade personuppgifter (vilka definieras nedan) för att kunna tillhandahålla teknisk support, konsulttjänster, molntjänster och andra tjänster (tjänsterna) till Oracles kunder (du) i samband med att du använder dig av tjänsterna.

Tjänstrelaterade personuppgifter är personuppgifter som du har tillhandahållit, som finns i system eller miljöer som tillhör Oracle, våra kunder eller tredje part och som behandlas av Oracle å dina vägnar i syfte att utföra tjänsterna. Tjänstrelaterade personuppgifter kan beroende på tjänsterna omfatta: information rörande familj, livsstil och sociala omständigheter, anställningssituation, finansiella uppgifter, onlineidentifierare som ID för mobila enheter, IP-adresser och förstapartsinformation om onlinebeteenden och intressen. Tjänstrelaterade personuppgifter kan vara kopplade till dina representanter och slutanvändare, till exempel anställda, arbetssökande, entreprenörer, samarbetspartner, partner, leverantörer, kunder och klienter.

II. I det andra avsnittet (Villkor för uppgiftsbehandling kopplad till systemdrift) beskriver vi de rutiner kring sekretess och säkerhet som gäller för personuppgifter som tillfälligtvis kan finnas i systemdriftsdata som skapas när användare och slutanvändare av tjänsterna (Användarna) interagerar med de Oracle-system och nätverk som används till att övervaka och skydda tjänsterna och tillhandahålla dem till vår kundbas.

Systemdriftsdata kan omfatta loggfiler, händelsefiler och andra filer kopplade till spårning och diagnostik samt statistik och aggregerad information kopplad till användningen och driften av tjänsterna, samt systemen och nätverken som tjänsterna körs via.

III. Det tredje avsnittet (Kommunikation och meddelanden till kunder och användare) gäller både tjänstrelaterade personuppgifter och personuppgifter som finns i systemdriftsdata. Här beskriver vi hur Oracle behandlar lagstadgade begäranden om avslöjande. Vi informerar dessutom dig och användare om hur det går till att kommunicera med Oracles globala dataskyddsombud (Global Data Protection Officer) och att lämna in klagomål.

Snabblänkar till villkoren för behandling av systemdriftsdata

Definitionerna av tjänstrelaterade personuppgifter och systemdriftsdata omfattar inte dina eller användares kontaktuppgifter eller relaterad information som samlas in vid användningen av Oracle-webbplatser, eller din och användares interaktion med oss under avtalsprocessen. Oracles hantering av den här informationen faller under villkoren i Oracles allmänna sekretesspolicy.

I. VILLKOR FÖR BEHANDLING AV TJÄNSTRELATERADE PERSONUPPGIFTER

Oracle behandlar alla tjänstrelaterade personuppgifter i enlighet med villkoren i avsnitten I och III i den här policyn och din beställning av tjänster.

Om en konflikt uppstår mellan villkoren i den här sekretesspolicyn för tjänster och några andra sekretessvillkor som införlivas i din beställning av tjänster, inklusive Oracles databehandlingsavtal, har de relevanta sekretessvillkor som hör till din beställning av tjänster företräde.

1. Utförandet av tjänsterna

Oracle kan behandla tjänstrelaterade personuppgifter för den behandling som krävs för att utföra tjänsterna. Det kan vara för testning och användning av nya produkt- och systemversioner, korrigeringar, uppdateringar och uppgraderingar, och för att lösa buggar och andra problem som du har rapporterat till Oracle.

2. Kundinstruktioner

Du är uppgiftsansvarig för tjänstrelaterade personuppgifter som behandlas av Oracle i syfte att utföra tjänsterna. Oracle behandlar tjänstrelaterade personuppgifter enligt specifikationerna i din beställning av tjänster och dina dokumenterade ytterligare skriftliga instruktioner i den utsträckning som är nödvändig för att Oracle ska kunna (i) efterleva sina skyldigheter som behandlare enligt gällande dataskyddslagar eller (ii) hjälpa dig att efterleva dina skyldigheter som uppgiftsansvarig enligt gällande dataskyddslagar som är relevanta för din användning av tjänsterna. Oracle informerar dig omgående om dina instruktioner, enligt vår rimliga uppfattning, bryter mot gällande dataskyddslagar. Ytterligare avgifter kan tillkomma.

3. Enskilda personers rättigheter

Du styr tillgången till tjänstrelaterade personuppgifter för dina slutanvändare, och dina slutanvändare ska rikta alla förfrågningar som rör deras tjänstrelaterade personuppgifter till dig. Om du inte har sådan tillgång tillhandahåller Oracle rimlig hjälp med förfrågningar från individer om att få tillgång till, ta bort eller radera, begränsa, åtgärda, ta emot och överföra, blockera tillgång till eller motsätta sig behandlingen av tjänstrelaterade personuppgifter i Oracle-system.

4. Säkerhet och sekretess

Oracle har implementerat och kommer att upprätthålla tekniska och organisatoriska åtgärder för att förhindra oavsiktlig eller olaglig förstörelse av eller oavsiktlig förlust av, skada på, ändringar av, otillåtet avslöjande av eller tillgång till tjänstrelaterade personuppgifter. De här åtgärderna, vilka generellt efterlever standarden ISO/IEC 27001:2013, styr alla områden av säkerhet som är tillämpliga för tjänsterna, exempelvis fysisk åtkomst, systemåtkomst, dataåtkomst, överföring, inmatning, säkerhetsöversyn och verkställighet.

Oracles anställda är skyldiga att upprätthålla sekretessen för personuppgifter. Anställdas skyldigheter inkluderar skriftliga sekretessavtal, regelbunden utbildning om informationsskydd och efterlevnad av företagets policy vad gäller skydd av konfidentiell information.

Ytterligare information om vilka säkerhetsåtgärder som gäller för tjänsterna fastställs i säkerhetsrutinerna för tjänsterna. Informationen rör bland annat lagring och borttagning av data och finns att läsa här.

5. Incidenthantering och anmälan om dataöverträdelse

Oracle utvärderar och svarar omgående på incidenter som orsakar misstankar om otillåten tillgång till eller hantering av tjänstrelaterade personuppgifter.

Om Oracle får vetskap om en incident som omfattar tjänstrelaterade personuppgifter och bedömer att den bör kvalificeras som en säkerhetsöverträdelse som leder till missbruk, oavsiktlig eller olaglig förstörelse, förlust, ändringar eller otillåten spridning av eller tillgång till tjänstrelaterade personuppgifter som överförs, lagras eller på annat sätt behandlas i Oracle-system, och att överträdelsen äventyrar säkerheten, sekretessen eller integriteten hos sådana tjänsterelaterade personuppgifter, rapporterar Oracle överträdelsen till dig utan onödigt dröjsmål.

När Oracle samlar in eller på annat rimligt sätt får tillgång till information om överträdelsen tillhandahåller Oracle, i den utsträckning lagen tillåter, dig ytterligare relevant information rörande överträdelsen, inom vad som rimligen känns till eller är tillgängligt för Oracle.

6. Underbiträden

Oracle kan anlita tredjepartsunderbiträden för att få tillgång till tjänstrelaterade personuppgifter i syfte att tillhandahålla tjänster. I de här fallen ska sådana underbiträden omfattas av samma nivå av dataskydd och säkerhet som Oracle enligt villkoren för din beställning av tjänster. Oracle ansvarar för att dess underbiträden efterlever villkoren för din beställning av tjänster.

Oracle underhåller listor över Oracle-dotterbolag och underbiträden som kan behandla tjänstrelaterade personuppgifter. Du kan få ytterligare information via My Oracle Support (https://support.oracle.com), dokument-ID 2121811.1, och andra tillämpliga primära supportverktyg för tjänsterna.

7. Överföring av data mellan länder

Oracle kan överföra, komma åt och lagra tjänstrelaterade personuppgifter globalt på det sätt som krävs för att utföra tjänsterna.

Global åtkomst kan omfatta en överföring av tjänstrelaterade personuppgifter med ursprung i Europeiska ekonomiska samarbetsområdet (EES) eller Schweiz till Oracle-dotterbolag eller tredjepartsunderbiträden i länder utanför EES eller Schweiz som inte har mottagit något bindande beslut om adekvat skyddsnivå av EU-kommissionen eller en behörig nationell dataskyddsmyndighet hemmahörande inom EES. I de här fallen omfattas sådana överföringar av bindande och lämpliga mekanismer för överföring som ger en adekvat skyddsnivå som uppfyller gällande dataskyddslagar, exempelvis EU:s modellklausuler.

Oracle efterlever vidare EU-U.S. Privacy Shield Framework och Swiss-U.S. Privacy Shield Framework som har upprättats av Department of Commerce i USA angående insamling, användning och lagring av tjänstrelaterade personuppgifter när du och Oracle har avtalat om att överföringar av sådan information från EES eller Schweiz ska överföras och behandlas i enlighet med Privacy Shield för de berörda tjänsterna. Oracle kommer sedan att ansvara för att se till att tredje part som agerar för Oracles räkning gör detsamma.

Oracle har certifierat till Department of Commerce att Oracle följer Privacy Shield-principerna. Om det finns någon konflikt mellan villkoren i den här sekretesspolicyn för tjänster och Privacy Shield-principerna har Privacy Shield-principerna företräde. Mer information om Privacy Shield-programmet och Oracles certifiering finns på https://www.privacyshield.gov/list.

En lista med de enheter som omfattas av Oracles självcertifiering för Privacy Shield finns på webbplatsen för Privacy Shield. När det gäller tjänstrelaterade personuppgifter som har mottagits eller överförts i enlighet med Privacy Shield Framework är Oracle föremål för de reglerande tillsynsbefogenheterna hos Federal Trade Commission i USA och har förbundit sig att samarbeta med EU:s dataskyddsmyndigheter.

8. Granskningsrättigheter

I den mån det finns i din beställning av tjänster kan du på egen bekostnad granska hur Oracle efterlever villkoren i den här sekretesspolicyn för tjänster genom att skicka en skriftlig begäran till Oracle, inklusive en detaljerad granskningsplan, minst sex veckor före det föreslagna granskningsdatumet. Du och Oracle samarbetar för att enas om en slutgiltig granskningsplan.

Granskningen får utföras högst än en gång per tolvmånadersperiod, måste utföras under ordinarie arbetstid, faller under Oracles lokala policyer och förordningar och får inte på ett orimligt sätt störa affärsverksamheten. Om du vill använda en tredje part för att genomföra granskningen ska parterna muntligen komma överens om tredjepartsgranskaren. Tredjepartsgranskaren måste utfärda ett skriftligt sekretessavtal som är godtagbart för Oracle. När granskningen är klar ska du förse Oracle med en kopia av granskningsrapporten, vilken är klassificerad som sekretessbelagd information enligt villkoren i ditt avtal med Oracle.

Oracle bidrar till sådana granskningar genom att ge dig den information och assistans som rimligen är nödvändig för att utföra granskningen, inklusive alla relevanta register över behandling som är tillämpliga för tjänsterna. Om den begärda granskningsomfattningen behandlas i en granskningsrapport av typen SOC 1 eller SOC 2, ISO, NIST, PCI DSS, HIPAA eller liknande som utfärdats av en behörig tredjepartsgranskare inom tolv månader, och Oracle tillhandahåller sagda rapport och bekräftar att det inte finns några väsentliga ändringar i de granskade kontrollerna, samtycker du till att godta de här resultaten i stället för att begära en granskning av samma kontroller som omfattas av rapporten. Ytterligare granskningsvillkor kan ingå i din beställning av tjänster.

9. Radering och återlämnande av tjänstrelaterade personuppgifter

Om inget annat angivits i beställningen av tjänsterna eller krävs enligt lag tar Oracle bort de produktionskunddata som finns på Oracles datorer på ett sätt som är utformat för att se till att de inte rimligen kan kommas åt eller läsas. Det här gäller såvida det inte finns någon rättslig förpliktelse som förhindrar Oracle från att ta bort alla eller delar av de här uppgifterna. Du kan ta kontakt med Oracles tjänstkontakt om du vill veta mer om databorttagning innan tjänsten slutförs.

II. VILLKOR FÖR BEHANDLING AV SYSTEMDRIFTSDATA

1. Ansvar och ändamål vid behandling av personuppgifter

Oracle Corporation och dess dotterbolag ansvarar för behandlingen av personuppgifter som tillfälligtvis kan finnas i systemdriftsdata i enlighet med avsnitten II och III i den här policyn. En lista med Oracle-enheter finns här. Välj en region och ett land om du vill visa den registrerade adressen och kontaktuppgifterna till den eller de Oracle-enheter som finns i varje land.

Vi kan samla in eller generera systemdriftsdata för att:

  • a) skydda våra tjänster, inklusive för säkerhetsövervakning och identitetshantering
  • b) undersöka och förhindra potentiella bedrägerier och olaglig verksamhet som omfattar våra system och nätverk, bland annat att förhindra cyberattacker och upptäcka robotar
  • c) administrera återställningsplaner och policyer
  • d) bekräfta att licensvillkoren och andra användarvillkor är uppfyllda (övervakning av licensefterlevnad)
  • e) gynna forskning och utveckling, exempelvis i syfte att analysera, utveckla, förbättra och optimera våra tjänster
  • f) följa gällande lagar och förordningar och driva verksamheten, bland annat i syfte att uppfylla lagstadgade krav på rapportering, avslöjande eller andra begäranden rörande rättsliga processer, för fusioner och förvärv, finansiering och redovisning, arkiverings- och försäkringssyften samt i samband med tvistlösning.

För personuppgifter som ingår i systemdriftsdata som samlas in inom EU är vår rättsliga grund för behandling av sådan information vårt berättigade intresse av att utföra, underhålla och skydda våra produkter och tjänster och driva vår verksamhet på ett effektivt och lämpligt sätt. Personuppgifter kan också behandlas baserat på vår rättsliga förpliktelse eller vårt berättigade intresse av att efterleva sådana rättliga förpliktelser.

2. Dela personuppgifter

Personuppgifter som finns i systemdriftsdata kan delas i hela Oracles globala organisation. En lista med Oracle-enheter finns tillgänglig som anges ovan.

Vi kan också dela sådana personuppgifter med följande tredje parter:

  • tredjepartsleverantörer (exempelvis leverantörer av IT-tjänster, advokater och revisorer) för att de här tjänsteleverantörerna ska kunna utföra affärsfunktioner på uppdrag av Oracle
  • relevanta tredjepartsaktörer i händelse av omorganisation, fusion, försäljning, samriskföretag, överlåtelse, överföring eller annan disposition av hela eller någon del av vår verksamhet, resurser eller lager (inklusive i samband med en konkurs eller liknande förfarande)
  • som krävs enligt lag, till exempel för att efterleva ett domstolsföreläggande eller andra rättsliga processer, när vi i god tro tror att ett avslöjande är nödvändigt för att skydda våra rättigheter, skydda din säkerhet eller andras säkerhet, undersöka bedrägerier, eller svara på begäranden från myndigheter, inklusive offentliga och statliga myndigheter utanför ditt hemland, för nationell säkerhet eller brottsbekämpning.

När tredje part ges tillgång till personuppgifter som finns i systemdriftsdata vidtar vi lämpliga kontraktsmässiga, tekniska och organisatoriska åtgärder för att säkerställa exempelvis att personuppgifterna endast behandlas i den utsträckning som är nödvändig, i enlighet med den här sekretesspolicyn och i enlighet med tillämplig lagstiftning.

3. Överföring av data mellan länder

Om personuppgifter som finns i systemdriftsdata överförs till en Oracle-mottagare i ett land som inte tillhandahåller en adekvat skyddsnivå för personuppgifter vidtar Oracle åtgärder för att skydda information om användare, till exempel att se till att sådana överföringar omfattas av villkoren i EU:s modellklausuler.

4. Säkerhet

Oracle har implementerat lämpliga tekniska, fysiska och organisatoriska åtgärder i enlighet med Oracles säkerhetsrutiner för företag. De är utformade för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, skada, ändringar, otillåten spridning eller åtkomst samt alla andra former av olaglig behandling (inklusive men inte begränsat till onödig insamling) och vidare behandling.

5. Användarens val

I den omfattning som föreskrivs i tillämpliga lagar kan användare i vissa fall begära att få tillgång till, korrigera, uppdatera och ta bort personuppgifter som finns i systemdriftsdata eller på annat sätt utöva sina valmöjligheter när det gäller personuppgifter genom att fylla i ett förfrågningsformulär.

III. KOMMUNIKATION OCH MEDDELANDEN TILL KUNDER OCH ANVÄNDARE

1. Lagstadgade krav

Oracle kan avkrävas tillgång till tjänstrelaterade personuppgifter och till personuppgifter som finns i systemdriftsdata enligt lag, exempelvis för att efterleva ett domstolsföreläggande eller andra rättsliga processer, när vi i god tro tror att ett avslöjande är nödvändigt för att skydda våra rättigheter, skydda din eller en användares säkerhet eller andras säkerhet, undersöka bedrägerier, eller svara på begäranden från myndigheter, inklusive offentliga och statliga myndigheter utanför ditt eller en användares hemland, för nationell säkerhet eller brottsbekämpning.

Oracle informerar dig omgående om begäranden om tillgång till personuppgifter, om inte annat krävs enligt lag.

2. Global Data Protection Officer

Oracle har utsett ett globalt dataskyddsombud: Global Data Protection Officer. Om du eller en användare tror att personuppgifter har använts på ett sätt som inte är förenligt med den här sekretesspolicyn, eller om du eller en användare har vidare frågor, kommentarer eller förslag rörande Oracles behandling av tjänstrelaterade personuppgifter eller personuppgifter som finns i systemdriftsdata, kan du kontakta det globala dataskyddsombudet genom att fylla i ett förfrågningsformulär.

Skriftliga förfrågningar till det globala dataskyddsombudet kan ställas till:

Oracle Corporation
Global Data Protection Officer
10 Van de Graaff Drive
Burlington, MA 01803
USA

3. Tvistlösning och inlämning av klagomål

Om du eller en användare har klagomål rörande hur vi efterlever våra rutiner kring sekretess och säkerhet ber vi dig att i första hand kontakta oss. Vi undersöker och försöker lösa eventuella klagomål och tvister rörande våra sekretessrutiner.

Användare som har ett olöst sekretess- eller dataproblem som vi inte har behandlat på ett tillfredsställande sätt kan kontakta Oracles tredjepartsleverantör för tvistlösning (kostnadsfritt) i USA via https://feedback-form.truste.com/watchdog/request.

Under vissa förhållanden, som beskrivs på Privacy Shield-webbplatsen, kan användare åberopa bindande skiljedom när andra tvistlösningsförfaranden har uttömts. Användare har också rätt att lämna in klagomål till en behörig dataskyddsmyndighet om de är bosatta i någon av EU:s medlemsstater.


Mer information