Právní oddělení společnosti Oracle

Ochrana osobních údajů ve společnosti Oracle
Zásady ochrany osobních údajů pro Služby společnosti Oracle

Tyto Zásady ochrany osobních údajů pro služby společnosti Oracle (dále jen „Zásady ochrany osobních údajů pro Služby“) jsou uspořádány do tří oddílů:

I. V prvním oddílu (Podmínky zpracování osobních údajů ze služeb) jsou popsány postupy ochrany osobních údajů a zabezpečení, které společnost Oracle Corporation a její přidružené společnosti (“společnost Oracle”) používá, když nakládá s osobními údaji ze služeb (jež jsou definované níže) při poskytování technické podpory, poradenství a cloudových nebo jiných služeb (“Služby”) svým zákazníkům (“Vy” nebo “Váš”) po dobu platnosti Vaší objednávky Služeb.

Osobní údaje ze Služeb tvoří osobní údaje, které jste poskytli společnosti Oracle nebo které jsou uloženy v systémech a prostředí společnosti Oracle, zákazníka nebo třetí strany a které Vaším jménem zpracovává společnost Oracle při poskytování Služeb. Osobní údaje ze služeb mohou podle druhu Služby obsahovat informace o rodině, životním stylu a sociálních podmínkách, zaměstnání, finanční údaje, online identifikátory, jako jsou identifikátory mobilních zařízení a IP adresy, a také údaje první strany o chování online a zájmech. Osobní údaje ze služeb se mohou vztahovat k Vašim zástupcům a koncovým uživatelům, jako jsou Vaši zaměstnanci, uchazeči o zaměstnání, smluvní dodavatelé, spolupracovníci, partneři, dodavatelé, zákazníci a klienti.

II. Druhý oddíl (Podmínky zpracování provozních dat systémů) popisuje praxi při ochraně a zabezpečení osobních údajů, které se nezáměrně staly součástí provozních dat systémů, jež vznikají při komunikaci mezi (koncovými) uživateli našich Služeb (“Uživatelé”) a systémy a sítěmi společnosti Oracle, které slouží k sledování, ochraně a poskytování Služeb našim zákazníkům.

Provozní data systémů tvoří soubory protokolů, událostí a další trasovací a diagnostické soubory, a rovněž statistické a agregované informace o použití a provozu našich Služeb a o systémech a sítích, na kterých se tyto Služby provozují.

III. Třetí oddíl (Komunikace a oznámení pro zákazníky a Uživatele) se vztahuje jak na osobní údaje ze Služeb, tak na osobní údaje obsažené v provozních datech systémů, přičemž popisuje způsob, jak společnost Oracle řeší žádosti o sdělení informací vyžadovaných zákonem, a způsoby, jak můžete Vy i Uživatelé komunikovat s globálním pověřencem společnosti Oracle pro ochranu osobních údajů, či jak podat stížnost.

Do definice osobních údajů ze Služeb a provozních dat systémů nespadají kontaktní a související údaje Vaše ani Uživatelů, které byly shromážděné při používání webových stránek společnosti Oracle nebo při komunikaci společnosti Oracle s Vamiás či s Uživateli při sjednávání smlouvy. To, jak společnost Oracle s těmito údaji nakládá, upravují Obecné zásady ochrany osobních údajů společnosti Oracle.

I. PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ZE SLUŽEB

Se všemi osobními údaji ze Služeb nakládá společnost Oracle v souladu s podmínkami oddílů I a III těchto Zásad a Vaší objednávky Služeb.

Při rozporu mezi těmito Zásadami ochrany osobních údajů pro Služby a podmínkami ochrany osobních údajů uvedenými ve Vaší objednávce Služeb, včetně Smlouvy společnosti Oracle o zpracování osobních údajů, budou mít přednost příslušná ustanovení o ochraně osobních údajů ve vaší objednávce Služeb.

1. Poskytování Služeb

Společnost Oracle může osobní údaje ze Služeb zpracovávat v rámci činností zpracování, které jsou nezbytné k poskytování Služeb, což zahrnuje i testování a použití nové verze produktu nebo systému, opravy, aktualizace a upgrade, a rovněž řešení chyb a dalších problémů, které společnosti Oracle ohlásíte.

2. Pokyny zákazníka

Správcem osobních údajů ze Služeb, které společnost Oracle při poskytování Služeb zpracovává, jste Vy. Společnost Oracle bude Vaše osobní údaje ze Služeb zpracovávat v souladu s Vaší objednávkou Služeb a s Vašimi písemně dokumentovanými pokyny v potřebném rozsahu tak, aby mohla (i) plnit své povinnosti zpracovatele podle příslušných zákonů na ochranu osobních údajů nebo (ii) pomáhat Vám s plněním povinností správce podle příslušných zákonů na ochranu osobních údajů, které se vztahují na Vaše využívání Služeb. Dojdeme-li k odůvodněnému názoru, že Vaše pokyny porušují příslušné zákony na ochranu osobních údajů, bude Vás společnost Oracle neprodleně informovat. Mohou zde být účtovány další poplatky.

3. Práva fyzických osob

Kontrolu nad přístupem Vašich koncových uživatelů k osobním údajům ze Služeb vykonáváte Vy, přičemž případné požadavky ohledně svých osobních údajů ze služeb by Vaši koncoví uživatelé měli směřovat rovněž na Vás. Tam, kde tento přístup nemáte, poskytne společnost Oracle přiměřenou součinnost při řešení žádostí fyzických osob o zajištění přístupu k osobním údajům ze služeb, jejich vymazání, odstranění, omezení použití, opravu, doručení a odeslání, zablokování přístupu a vznesení námitky proti jejich zpracování v systémech společnosti Oracle.

4. Zabezpečení a mlčenlivost

Společnost Oracle zavedla a bude udržovat technická a organizační opatření na ochranu osobních údajů ze Služeb proti jejich náhodnému nebo protiprávnímu zničení, ztrátě, pozměnění a neoprávněnému zpřístupnění. Tato opatření, která jsou obecně v souladu s normou ISO/IEC 27001:2013, se uplatní ve všech oblastech zabezpečení Služeb, včetně fyzického přístupu, přístupu do systémů, přístupu k údajům, jejich přenášení, zadávání, dohledu nad zabezpečením a včetně vynucování pravidel.

Zaměstnanci společnosti Oracle jsou povinni zachovat ohledně osobních údajů mlčenlivost. Povinnosti zaměstnanců upravují písemné smlouvy o mlčenlivosti, pravidelná školení o ochraně údajů a dodržování zásad společnosti při ochraně důvěrných informací.

Podrobnosti ke konkrétním bezpečnostním opatřením pro Služby uvádějí bezpečnostní postupy Služeb, včetně úpravy uchování a vymazání dat, které jsou k dispozici.

5. Řešení incidentů a oznámení o porušení zabezpečení údajů.

Incidenty, které zakládají podezření na neoprávněný přístup či manipulaci s osobními údaji ze Služeb, nebo jsou jejich dokladem, společnost Oracle neprodleně vyhodnocuje a reaguje na ně.

Jestliže se společnost Oracle dozví o incidentu, který se týká osobních údajů ze Služeb a který představuje porušení jejich zabezpečení vedoucí k jejich odcizení nebo náhodnému či protiprávnímu zničení, ztrátě, pozměnění nebo neoprávněnému zpřístupnění, či nějaký incident takto vyhodnotí, přičemž se předmětné osobní údaje ze Služeb přenášely, byly uloženy nebo se jinak zpracovávaly v systémech společnosti Oracle, a tento incident narušil zabezpečení, důvěrnost či integritu zmíněných osobních údajů ze Služeb, pak Vás společnost Oracle bude o tomto porušení zabezpečení neprodleně informovat.

V rozsahu, ve kterém společnost Oracle informace o tomto porušení zabezpečení shromáždí nebo jí budou jiným přiměřeným způsobem zpřístupněny, a v rozsahu, ve kterém to umožní zákon, Vám společnost Oracle o tomto porušení zabezpečení poskytne další podstatné informace, které jí budou známy nebo zpřístupněny.

6. Dílčí zpracovatelé

Dílčí zpracovatelé z řad třetích stran, které společnost Oracle zjedná a umožní jim přístup k osobním údajům ze služeb, aby se podíleli na poskytování Služeb, budou v tomto rozsahu povinni zajistit stejnou úroveň ochrany a zabezpečení osobních údajů, kterou od společnosti Oracle vyžadují podmínky Vaší objednávky Služeb. Společnost Oracle odpovídá za to, že její dílčí zpracovatelé dodrží podmínky Vaší objednávky Služeb.

Společnost Oracle povede seznamy svých přidružených společností a dílčích zpracovatelů, kteří mohou osobní údaje ze služeb zpracovávat. Doplňující informace jsou Vám k dispozici prostřednictvím podpory My Oracle Support (https://support.oracle.com), ID dokumentu 2121811.1, případně v dalších příslušných nástrojích primární podpory ke Službám.

7. Přeshraniční předání údajů

Společnost Oracle může při poskytování Služeb předávat osobní údaje ze služeb, přistupovat k nim a ukládat je po celém světě.

Pokud při tomto globálním přístupu dochází k předání osobních údajů ze Služeb s původem v Evropském hospodářském prostoru a ve Velké Británii (“EHP”) a/nebo ve Švýcarsku do některé přidružené společnosti či dílčímu zpracovateli z řad třetích stran společnosti Oracle umístěnému v zemi mimo EHP či Švýcarsko, pro kterou nebylo vydáno závazné rozhodnutí Komise či příslušného národního úřadu pro ochranu osobních údajů v EHP o odpovídající ochraně, pak toto předání podléhá příslušným závazným mechanismům předání, jež zajistí odpovídající úroveň ochrany podle příslušných zákonů o ochraně osobních údajů, tj. např. standardními smluvními doložkami EU.

Společnost Oracle rovněž dodržuje ustanovení Rámce štítu EU–USA na ochranu soukromí a Rámce štítu Švýcarsko–USA na ochranu soukromí („Privacy Shield Framework“), jak je stanovilo ministerstvo obchodu USA, ohledně shromažďování, používání a uchovávání osobních údajů ze Služeb, pokud jste se se společností Oracle smluvně dohodli, že se předávání takových údajů z EHP nebo Švýcarska bude provádět a zpracovávat podle Štítu na ochranu soukromí pro příslušné Služby. Společnost Oracle pak bude odpovídat za to, aby třetí strany jednající jako její zástupci postupovaly stejně.

Společnost Oracle doložila svou certifikací ministerstvu obchodu o tom, že dodržuje principy Štítu na ochranu soukromí. Při rozporu mezi těmito Zásadami ochrany osobních údajů pro služby a principy Štítu na ochranu soukromí, budou mít přednost principy Štítu. Chcete-li o programu Rámce pro ochranu osobních údajů zjistit více a zobrazit si naši certifikaci, navštivte stránku https://www.privacyshield.gov/list.

Seznam právních subjektů, které spadají pod autocertifikaci společnosti Oracle podle Štítu na ochranu soukromí, najdete na webové stránce Štítu na ochranu soukromí. Pokud jde o osobní údaje ze služeb obdržených nebo předaných podle Rámce štítu na ochranu soukromí, podléhá společnost Oracle regulační pravomoci Federální obchodní komise USA a zavazuje se spolupracovat s orgány EU pro ochranu osobních údajů a švýcarským Federálním komisařem pro ochranu dat a údajů (FDPIC).

8. Právo na provedení auditu

V rozsahu upraveném Vaší objednávkou Služeb můžete výlučně na své náklady provést audit k zjištění, zda společnost Oracle dodržuje podmínky těchto Zásad ochrany osobních údajů pro Služby, přičemž musíte společnosti Oracle zaslat písemnou žádost s podrobným plánem auditu nejméně šest týdnů před navrženým datem auditu. Finální plán auditu určíte a dohodnete ve spolupráci se společností Oracle.

Tento audit by neměl proběhnout víc než jednou za období dvanácti měsíců, a to v obvyklé pracovní době a podle zásad a předpisů společnosti Oracle pro její pracoviště, přičemž nesmí nepřiměřeně narušit její obchodní činnosti. Chcete-li provedením auditu pověřit třetí stranu, musí tohoto auditora schválit obě strany, přičemž tento auditor musí uzavřít písemnou dohodu o mlčenlivosti přijatelnou pro společnost Oracle. Po dokončení auditu poskytnete společnosti Oracle kopii auditní zprávy, která bude podle Vaší dohody se společností Oracle vedena jako důvěrná informace.

Společnost Oracle se na auditu bude podílet tím, že Vám poskytne informace a přiměřenou součinnost k jeho provedení, včetně poskytnutí relevantních záznamů o činnostech zpracování, které se Služeb týkají. Je-li rozsah požadovaného auditu předmětem již provedeného auditu podle standardů SOC 1 nebo SOC 2, ISO, NIST, PCI DSS, HIPAA nebo podobné auditní zprávy, kterou vydal kvalifikovaný auditor-třetí strana v předcházejícím dvanáctiměsíčním období, a společnost Oracle Vám tuto zprávu poskytne s potvrzením, že v kontrolovaných opatřeních nedošlo k podstatným změnám, zavazujete se přijmout zjištění uvedená v této zprávě namísto požadavku na audit opatření uvedených v této zprávě. Další podmínky auditu mohou být součástí Vaší objednávky na Služby.

9. Vymazání nebo vrácení osobních údajů ze Služeb

Nebude-li v objednávce Služeb či zákonem stanoveno jinak, pak při ukončení Služeb nebo na Vaši žádost vymaže společnost Oracle vaše produkční údaje o zákaznících umístěné v jejích počítačích, a to způsobem, který zajistí, aby k nim nebylo možné rozumně získat přístup či je přečíst, ledaže se na společnost Oracle vztahuje právní povinnost, která jí brání část nebo všechny tyto údaje vymazat. Další informace o možnostech vymazání údajů před skončením služeb Vám při konzultaci sdělí Vaše kontaktní osoba pro Služby společnosti Oracle.

II. PODMÍNKY ZPRACOVÁNÍ PROVOZNÍCH DAT SYSTÉMŮ

1. Odpovědnost za zpracování osobních údajů a jeho účely

Za zpracování osobních údajů, které se nezáměrně staly součástí provozních dat systémů podle oddílů II a III těchto Zásad, odpovídá společnost Oracle Corporation a její přidružené společnosti. Zde si můžete prohlédnout seznam právních subjektů společnosti Oracle. Adresa sídla a kontaktní údaje právních subjektů společnosti Oracle se Vám zobrazí po výběru příslušného regionu a země.

Provozní data systémů můžeme shromažďovat nebo generovat k následujícím účelům:

• a) pro zabezpečení našich Služeb, včetně sledování zabezpečení a řízení identit,
• b) k vyšetřování a prevenci podvodů či nezákonných činností týkajících se našich systémů a sítí, včetně prevence kybernetických útoků, a také k odhalování botů,
• c) k administraci našich plánů a zásad obnovy provozu po katastrofě,
• d) k ověřování souladu s podmínkami licencí a dalších podmínek užití (kontrola dodržování licenčních podmínek),
• e) pro účely výzkumu a vývoje, včetně analýz, rozvoje, zlepšování a optimalizace našich Služeb,
• f) k naplňování požadavků příslušných zákonů a předpisů a vedení našeho podnikání, včetně zákonem vyžadovaných hlášení, sdělování informací nebo jiných požadavků právních řízení, pro účely fúzí a akvizic, při správě financí a účetnictví, při archivaci, pro účely pojištění, právního a obchodního poradenství a při řešení sporů.

U osobních údajů obsažených v provozních datech systémů shromážděných v EU je právním základem pro jejich zpracování náš oprávněný zájem na poskytování, údržbě a zabezpečení našich produktů a služeb a vedení našeho podnikání účelným a řádným způsobem. Osobní údaje se mohou rovněž zpracovávat na základě právních závazků či oprávněného zájmu na jejich dodržování.

2. Sdílení osobních údajů

Osobní údaje obsažené v provozních datech systémů se mohou sdílet v rámci celé globální organizace společnosti Oracle. Seznam právních subjektů společnosti Oracle je k dispozici výše.

Osobní údaje můžeme rovněž sdílet s těmito třetími stranami:

• třetí strany, které poskytují služby (např. poskytovatelé služeb IT, právníci a auditoři), účelem je umožnit těmto poskytovatelům Služeb, aby zajišťovali podnikové funkce jménem společnosti Oracle,
• příslušné třetí strany v případě reorganizace, fúze, prodeje, vytvoření společného podniku, postoupení, převodu nebo jiné operace s celým naším podnikem, nebo jeho některou částí, našimi aktivy nebo akciemi, včetně operací v souvislosti s úpadkem nebo podobným řízením,
• podle zákona, například abychom vyhověli předvolání nebo jinému právnímu řízení, kdy se v dobré víře domníváme, že sdělit údaje je nutné k ochraně našich práv, naší bezpečnosti či bezpečnosti jiných osob, k vyšetření podvodu, na žádost orgánu veřejné moci, včetně veřejných a vládních úřadů ze zemí mimo zemi vašeho bydliště, pro ochranu národní bezpečnosti nebo k vymáhání práva.

Pokud dostane přístup k osobním údajům obsaženým v provozních datech systémů třetí strana, podnikneme příslušné smluvní, technické a organizační kroky, aby byly osobní údaje zpracovány např. pouze v nezbytném rozsahu a v souladu s těmito Zásadami ochrany osobních údajů a příslušnými zákony.

3. Přeshraniční předání údajů

Při předání osobních údajů obsažených v provozních datech systémů příjemci ve společnosti Oracle v zemi, jež nezajišťuje odpovídající úroveň ochrany osobních údajů, přijme společnost Oracle opatření k zajištění odpovídající ochrany údajů Vašich a o Uživatelích, např. zajistí, aby toto předání bylo v souladu se standardními smluvními doložkami EU.

4. Zabezpečení

Společnost Oracle zavedla náležitá technická, fyzická a organizační opatření podle Firemních postupů zabezpečení společnosti Oracle na ochranu Vašich osobních údajů proti jejich náhodnému nebo protiprávnímu zničení či náhodné ztrátě, poškození, pozměnění a neoprávněnému zpřístupnění, jakož i proti ostatním protiprávním způsobům zpracování (včetně např. bezúčelného shromažďování) nebo rozšířenému zpracování.

5. Možnosti volby pro Uživatele

Uživatelé mají právo, v míře upravené příslušnými zákony a v určitých případech, požadovat přístup k osobním údajům obsaženým v provozních datech systémů, jejich opravu, aktualizaci nebo vymazání, případně uplatnit ohledně svých osobních údajů jiné možnosti vyplněním formuláře dotazů.

III. KOMUNIKACE A OZNÁMENÍ PRO ZÁKAZNÍKY A UŽIVATELE

1. Právní požadavky.

Je možné, že bude společnost Oracle povinna ze zákona zpřístupnit osobní údaje ze Služeb a osobní údaje obsažené v provozních datech systémů, například na to, aby vyhověla předvolání nebo jinému právnímu řízení, kdy se v dobré víře domníváme, že je nutné sdělit předmětné údaje k ochraně našich práv, naší či Vaší bezpečnosti či bezpečnosti některého Uživatele a jiných osob, k vyšetření podvodu, na žádost orgánu veřejné moci, včetně veřejných a vládních úřadů ze zemí mimo zemi Vašeho bydliště či bydliště Uživatele, pro ochranu národní bezpečnosti nebo k vymáhání práva.

Nebude-li zákon vyžadovat jinak, bude Vás společnost Oracle neprodleně informovat o žádostech o poskytnutí přístupu k osobním údajům ze Služeb.

2. Globální pověřenec pro ochranu osobních údajů

Společnost Oracle ustanovila svého Pověřence pro ochranu osobních údajů. Pokud se Vy nebo Uživatel domníváte, že k použití osobních údajů došlo v rozporu s těmito Zásadami ochrany osobních údajů nebo pokud máte vy či Uživatel další dotazy, připomínky či návrhy k tomu, jak společnost Oracle nakládá s osobními údaji ze Služeb či s osobními údaji obsaženými v provozních datech systémů, obraťte se prosím na Pověřence pro ochranu osobních údajů prostřednictvím formuláře dotazů.

Písemné dotazy pro Pověřence pro ochranu osobních údajů lze zasílat na adresu:

Oracle Corporation
Globální pověřenec pro ochranu osobních údajů
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
U.S.A.

Písemné dotazy týkající se osobních údajů shromážděných UVNITŘ EU nebo EHP, určené pro Pověřence pro ochranu osobních údajů EU, lze posílat na adresu:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / Mnichov
Německo
E-mail: mail@legislator.de

3. Řešení sporů a podání stížnosti

Máte-li Vy či Uživatel stížnost ohledně toho, jak dodržujeme postupy ochrany a zabezpečení osobních údajů, obraťte se prosím nejprve na nás. Záležitost prošetříme a pokusíme se každou stížnost nebo spor ohledně našich postupů ochrany osobních údajů vyřešit.

Uživatelé, kteří mají nevyřešený problém týkající se ochrany osobních údajů nebo využívání dat, by měli kontaktovat třetí stranu-našeho partnera pro řešení sporů, který sídlí v USA (můžete tak učinit bezplatně) na webové stránce https://feedback-form.truste.com/watchdog/request.

Za určitých podmínek, které jsou blíže popsány na webové stránce Štítu na ochranu soukromí, může Uživatel zahájit závaznou arbitráž, pokud byly vyčerpány ostatní postupy řešení sporu. Pokud Uživatel sídlí v členském státě Evropské unie, má také právo podat stížnost u příslušného úřadu pro ochranu údajů.

4. Změny těchto Zásad ochrany osobních údajů pro Služby

Poslední aktualizace těchto Zásad ochrany osobních údajů proběhla 25. března 2019. Zásady ochrany osobních údajů pro Služby se mohou časem měnit, například proto, aby vyhověly požadavkům zákona nebo měnícím se potřebám podniku. Aktuální verze je na této webové stránce. V případě podstatných změn Vás rovněž budeme informovat dalším vhodným způsobem (například upozorněním v automaticky otevíraném okně nebo prohlášením o změnách na naší webové stránce) ještě předtím, než změny začnou platit.