Informacje prawne Oracle

Prywatność w Oracle
Polityka prywatności w zakresie usług Oracle

Niniejsza Polityka prywatności w zakresie usług Oracle („Polityka prywatności w zakresie Usług”) podzielona jest na trzy działy:

I. Punkt pierwszy (Warunki przetwarzania Usługowych Danych Osobowych) opisuje praktyki Oracle Corporation i jej podmiotów powiązanych („Oracle”) w zakresie ochrony prywatności i bezpieczeństwa, które są stosowane podczas przetwarzania Usługowych Danych Osobowych (według definicji poniżej) w przypadku świadczenia usług wsparcia technicznego (Technical Support), usług konsultingowych, usług w chmurze czy innych usług („Usługi”) świadczonych na rzecz klientów Oracle („Państwo”) w okresie ważności złożonego przez Państwa zamówienia na Usługi.

Usługowe dane osobowe to dane osobowe, które Państwo dostarczyli, przechowywane w systemach i środowiskach Oracle, klienta lub osoby trzeciej, przetwarzane przez Oracle w Państwa imieniu w celu realizacji Usług. Usługowe dane osobowe mogą obejmować, w zależności od Usługi: informacje dotyczące rodziny, stylu życia i sytuacji socjalnej; informacje dotyczące zatrudnienia; informacje dotyczące finansów; identyfikatory internetowe, jak np. identyfikatory urządzeń mobilnych i adresy IP, oraz dane wewnętrzne dotyczące zachowań w Internecie i zainteresowań. Usługowe dane osobowe użytkownika mogą odnosić się do Państwa przedstawicieli i użytkowników końcowych, takich jak pracownicy, osoby ubiegające się o pracę, wykonawcy, współpracownicy, partnerzy, dostawcy i klienci.

II. Rozdział drugi (Warunki przetwarzania systemowych danych operacyjnych) opisuje praktyki w zakresie prywatności i bezpieczeństwa znajdujące zastosowanie do danych osobowych, które mogą być przypadkowo zawarte w systemowych danych operacyjnych, generowanych w wyniku interakcji użytkowników (końcowych) Usług Oracle („Usługi”) z systemami i sieciami Oracle wykorzystywanych do monitorowania, ochrony i świadczenia Usług dla klientów Oracle.

Systemowe dane operacyjne mogą obejmować pliki dziennika systemowego i dziennika zdarzeń, a także inne pliki śledzenia i diagnostyczne oraz informacje statystyczne i zagregowane, dotyczące wykorzystania i funkcjonowania Usług Oracle oraz systemów i sieci, na jakich te Usługi działają.

III. Rozdział trzeci (Komunikaty i powiadomienia dla klientów i użytkowników) dotyczy zarówno Usługowych Danych Osobowych, jak i informacji zawartych w systemowych danych operacyjnych, opisuje, w jaki sposób Oracle odpowiada na uzasadnione żądania ujawnienia i informuje Państwa i Użytkowników, w jaki sposób można kontaktować się z Globalnym inspektorem ochrony danych Oracle lub złożyć skargę.

Zakres definicji Usługowych Danych Osobowych i systemowych danych operacyjnych nie obejmuje danych kontaktowych ani powiązanych informacji Państwa lub Użytkownika, zbieranych na podstawie korzystania ze stron internetowych Oracle bądź Państwa lub Użytkownika interakcji z Oracle podczas procesu zawierania umowy. Przetwarzanie takich danych przez Oracle podlega warunkom Ogólnej polityki prywatności w Internecie.

I. WARUNKI PRZETWARZANIA USŁUGOWYCH DANYCH OSOBOWYCH

Oracle traktuje wszystkie Usługowe Dane Osobowe zgodnie z postanowieniami działu I i III niniejszej Polityki i Państwa zamówieniem na Usługi.

W przypadku jakichkolwiek rozbieżności pomiędzy niniejszą Polityką prywatności w zakresie Usług i postanowieniami dotyczącymi prywatności zawartymi w Państwa zamówieniu na Usługi, w tym Umową przetwarzania danych Oracle, stosowne postanowienia dotyczące prywatności zawarte w Państwa zamówieniu na Usługi będą mieć przeważające znaczenie.

1. Realizacja Usług

Oracle może przetwarzać Usługowe Dane Osobowe na potrzeby operacji przetwarzania koniecznych do realizacji Usług, w tym do testowania i stosowania nowych wersji produktów lub systemów, łatek, aktualizacji i ulepszeń, do rozwiązywania błędów i innych problemów, o jakich powiadomili Państwo Oracle.

2. Instrukcje niestandardowe

Są Państwo administratorem Usługowych Danych Osobowych przetwarzanych przez Oracle w celu realizacji Usług. Oracle będzie przetwarzać Państwa Usługowe Dane Osobowe w sposób określony w Państwa zamówieniu na Usługi oraz dodatkowych, udokumentowanych poleceniach wyrażonych na piśmie w zakresie, w jakim jest to konieczne, żeby Oracle (i) mógł zrealizować swoje obowiązki w zakresie przetwarzania zgodnie z obowiązującym prawem ochrony danych lub (ii) pomóc Państwu w realizacji Państwa obowiązków administratora zgodnie z obowiązującym prawem ochrony danych znajdującym zastosowanie do wykorzystania Usług przez Państwa. Oracle niezwłocznie poinformuje Państwa, jeśli w zasadnej opinii Oracle Państwa polecenia naruszają obowiązujące prawo ochrony danych. Może się to wiązać z dodatkowymi opłatami.

3. Prawa osób fizycznych

Mają Państwo kontrolę nad dostępem do Usługowych Danych Osobowych przez Państwa użytkowników końcowych. Użytkownicy końcowi powinni kierować wszelkie żądania związane z ich Usługowymi Danymi Osobowymi do Państwa. W zakresie, w jakim taki dostęp nie został Państwu przyznany, Oracle zapewni zasadne wsparcie w przypadku żądań osób fizycznych uzyskania dostępu do, usunięcia lub skasowania, ograniczenia, sprostowania, otrzymania i przesłania, zablokowania dostępu lub wyrażenia sprzeciwu wobec przetwarzania Usługowych Danych Osobowych w systemach Oracle.

4. Bezpieczeństwo i poufność

Oracle wdrożył i będzie utrzymywać środki techniczne i organizacyjne w celu ochrony Usługowych Danych Osobowych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, uszkodzeniem, modyfikacją, nieuprawnionym ujawnieniem lub dostępem. Środki te zostały zasadniczo dostosowane do standardu ISO/IEC 27001:2013 i mają zastosowanie do wszystkich obszarów bezpieczeństwa związanych z Usługami, w tym dostępu fizycznego, dostępu do systemów, dostępu do danych, przekazywania, wprowadzania, nadzoru nad bezpieczeństwem i egzekwowania prawa.

Pracownicy Oracle są zobowiązani do zachowania poufności danych osobowych. Obowiązki pracowników obejmują zawieranie pisemnych umów o zachowaniu poufności, regularne szkolenia z ochrony informacji oraz postępowanie zgodne z politykami spółki w zakresie ochrony danych osobowych.

Dodatkowe informacje dotyczące konkretnych środków bezpieczeństwa, które mają zastosowanie do Usług, są podane w praktykach bezpieczeństwa dla takich Usług, w tym w zakresie przechowywania i usuwania danych.

5. Zarządzanie incydentami i powiadomienia o naruszeniu ochrony danych.

Oracle dokonuje natychmiastowej oceny i reaguje na przypadki, które wywołują podejrzenie nieuprawnionego dostępu bądź przetwarzania usługowych danych osobowych lub wskazują na nieuprawniony dostęp bądź przetwarzanie Usługowych Danych Osobowych.

Jeśli Oracle dowie się i stwierdzi, że incydent obejmujący Usługowe Dane Osobowe kwalifikuje się jako naruszenie bezpieczeństwa prowadzące do przywłaszczenia bądź przypadkowego lub niezgodnego z prawem zniszczenia, utraty, uszkodzenia, modyfikacji, nieuprawnionego ujawnienia lub dostępu do Usługowych Danych Osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w systemach Oracle, w sposób, który narusza bezpieczeństwo, poufność lub integralność takich usługowych danych osobowych, Oracle powiadomi Państwa niezwłocznie o takim naruszeniu.

W miarę jak Oracle będzie gromadzić dane dotyczące naruszenia lub uzyska do nich zasadny dostęp oraz w zakresie dozwolonym przez prawo, Oracle dostarczy Państwu dodatkowe istotne informacje dotyczące naruszenia, które są znane Oracle lub do których Oracle ma dostęp.

6. Podwykonawcy

W zakresie, w jakim Oracle korzysta z usług podwykonawców, zapewniając im dostęp do Usługowych Danych Osobowych w celu otrzymania ich wsparcia w realizacji Usług, tacy podwykonawcy będą podlegać takiemu samemu poziomowi ochrony danych i bezpieczeństwa, co Oracle na podstawie Państwa zamówienia na Usługi. Oracle ponosi odpowiedzialność za swoich podwykonawców.

Oracle przechowuje listę podmiotów powiązanych i podwykonawców Oracle, którzy mogą przetwarzać Usługowe Dane Osobowe. Dodatkowe informacje w tym zakresie można uzyskać w My Oracle Support (https://support.oracle.com), nr dokumentu 2121811.1, lub przy wykorzystaniu innego narzędzia wsparcia dla Usług.

7. Transgraniczne przekazywanie danych

Oracle jest ogólnoświatową korporacją prowadzącą działalność w ponad 80 krajach, w związku z czym Usługowe Dane Osobowe mogą być przetwarzane w skali globalnej, zgodnie z wymaganiami niniejszej Polityki. Jeżeli Usługowe Dane Osobowe są przekazywane do odbiorcy Oracle w kraju, który nie zapewnia odpowiedniego stopnia ochrony danych osobowych, Oracle podejmie działania w celu zagwarantowania odpowiedniego stopnia ochrony Usługowych Danych Osobowych, np. zapewniając, że takie przekazywanie podlega wzorcowym klauzulom UE lub innym właściwym mechanizmom dotyczącym przekazywania danych, zgodnie z obowiązującymi przepisami o ochronie danych.

W przypadku, gdy umowa o świadczenie usług pomiędzy Państwem a Oracle odwołuje się do umowy przetwarzania danych Oracle w związku ze świadczeniem usług Oracle („DPA”), dalsze szczegóły dotyczące odpowiedniego mechanizmu transferu danych, który ma zastosowanie do Państwa zamówienia na usługi Oracle, są dostępne w Umowie przetwarzania danych Oracle w związku ze świadczeniem usług Oracle. W szczególności, w przypadku Usługowych Danych Osobowych przekazywanych z Europejskiego Obszaru Gospodarczego („EOG”), Szwajcarii lub Wielkiej Brytanii („UK”), takie transfery podlegają Wiążącym zasadom korporacyjnym Oracle w zakresie podmiotów przetwarzających dane („Binding Corporate Rules for Processors”, „BCR-P”) lub warunkom wzorcowych klauzul UE.

8. Uprawnienia kontrolne

W zakresie określonym w Państwa zamówieniu na Usługi mogą Państwo na swój koszt skontrolować przestrzeganie przez Oracle postanowień niniejszej Polityki prywatności w zakresie Usług, wysyłając do Oracle pisemne żądanie zawierające szczegółowy plan kontroli, na co najmniej sześć tygodni przed sugerowaną datą kontroli. Oracle będzie współpracować w Państwem przy ustalaniu ostatecznego planu kontroli.

Kontrola może mieć miejsce nie częściej niż raz na dwanaście miesięcy, w zwykłych godzinach pracy, z zastrzeżeniem obowiązujących w Oracle polityk i regulacji, i nie może bezzasadnie zakłócać prowadzenia działalności gospodarczej. Jeśli chcą Państwo skorzystać z usług osoby trzeciej w celu przeprowadzenia kontroli, strony wspólnie wyznaczą takiego niezależnego kontrolera, zaś taki niezależny kontroler będzie mieć obowiązek zawarcia pisemnej umowy o zachowaniu poufności, którą Oracle zaakceptuje. Po zakończeniu kontroli dostarczą Państwo kopię sprawozdania z kontroli, który stanowić będzie informację poufną zgodnie z umową zawartą między Państwem a Oracle.

Oracle będzie uczestniczyć w takich kontrolach, dostarczając Państwu informacje i wsparcie, jakie jest zasadnie konieczne w celu przeprowadzenia kontroli, w tym wszelkie stosowne rejestry operacji przetwarzania dotyczących Usług. Jeśli zakres żądanej kontroli pokrywa się ze sprawozdaniem SOC 1 lub SOC 2, ISO, NIST, PCI DSS, HIPAA lub podobnym sprawozdaniem z kontroli wydanym przez upoważnionego niezależnego kontrolera w przeciągu ostatnich dwunastu miesięcy, a Oracle dostarczył Państwu takie sprawozdanie, potwierdzając, że w zakresie, którego dotyczyła kontrola, nie nastąpiły żadne istotne zmiany, zobowiązują się Państwo zaakceptować ustalenia przedstawione w sprawozdaniu niezależnego kontrolera zamiast żądać przeprowadzenia audytu w zakresie objętym takim sprawozdaniem. Państwa zamówienie na Usługi może zawierać dodatkowe postanowienia dotyczące kontroli.

9. Usunięcie lub przywrócenie Usługowych Danych Osobowych

Z wyjątkiem przypadków wyraźnie określonych w zamówieniu dotyczącym usług lub w przepisach prawa, w momencie zaprzestania świadczenia usług lub na Państwa żądanie, Oracle usunie Państwa produkcyjne dane konsumenckie zlokalizowane na komputerach Oracle w sposób mający zapewnić, że nie można w racjonalny sposób uzyskać dostępu do takich danych ani ich odczytać, chyba że na Oracle nałożono obowiązek prawny uniemożliwiający Oracle usunięcie wszystkich lub części takich danych. Przed zakończeniem realizacji usługi mogą Państwo skontaktować się z osobą kontaktową ds. usług Oracle w celu uzyskania dodatkowych informacji na temat usuwania danych.

II. ZASADY PRZETWARZANIA SYSTEMOWYCH DANYCH OPERACYJNYCH

1. Odpowiedzialność za przetwarzanie danych osobowych i cele takiego przetwarzania

Oracle Corporation i jej podmioty powiązane są odpowiedzialne za przetwarzanie danych osobowych, które mogą być przypadkowo zawarte w systemowych danych operacyjnych, zgodnie z działem II i III niniejszej Polityki. Patrz lista podmiotów Oracle. Proszę wybrać region i kraj, żeby wyświetlić adres siedziby i dane kontaktowe podmiotu lub podmiotów Oracle w danym kraju.

Oracle może zbierać lub generować systemowe dane operacyjne w następujących celach:

• a) aby zapewnić bezpieczeństwo Usług Oracle, w tym na potrzeby monitoringu bezpieczeństwa i zarządzania tożsamością;
• b) aby przeprowadzić dochodzenia w sprawie potencjalnych oszustw lub działalności przestępczej z wykorzystaniem systemów i sieci Oracle, w tym przeciwdziałać cyberatakom, i aby wykrywać boty;
• c) aby zarządzać planami zapewnienia ciągłości działania w razie awarii;
• d) aby potwierdzić zgodność z warunkami licencyjnymi i innymi warunkami użytkowania (monitorowanie zgodności z licencjami);
• e) dla celów badawczych i rozwojowych, w tym na potrzeby analizy, rozwoju, poprawy i optymalizacji Usług Oracle;
• f) w celu zapewnienia zgodności z obowiązującymi przepisami prawa, a także w celu prowadzenia działalności, w tym w celu realizacji uzasadnionych żądań sprawozdawczych, ujawnienia i innych żądań wynikających z przepisów prawa, na potrzeby fuzji i przejęć, w celach finansowych i rachunkowych, archiwizacji i ubezpieczenia, doradztwa prawnego i biznesowego oraz w kontekście rozstrzygania sporów.

W przypadku danych osobowych zawartych w systemowych danych operacyjnych, które zostały zebrane w UE, podstawą prawną przetwarzania takich danych przez Oracle jest prawnie uzasadniony interes Oracle w dostarczaniu, utrzymywaniu i zabezpieczaniu produktów i usług Oracle oraz w prowadzeniu działalności w efektywny i właściwy sposób. Dane osobowe mogą być również przetwarzane na podstawie obowiązków prawnych lub prawnie uzasadnionych interesów w celu realizacji takich obowiązków prawnych.

2. Udostępnianie danych osobowych

Dane osobowe zawarte w systemowych danych operacyjnych mogą być udostępniane w ramach struktury organizacyjnej Oracle na całym świecie. Lista podmiotów Oracle dostępna jest pod adresem wskazanym powyżej.

Oracle może także udostępnić takie dane osobowe następującym osobom trzecim:

• zewnętrznym dostawcom usług (np. dostawcom usług IT, prawnikom i audytorom), aby umożliwić im realizację ich funkcji biznesowych dla Oracle;
• w przypadku zmiany organizacyjnej, połączenia, sprzedaży, utworzenia spółki joint venture, cesji, przeniesienia lub złożenia innej dyspozycji w związku z całością lub częścią naszego przedsiębiorstwa, majątku lub udziałów (w tym w związku z wszelkimi postępowaniami upadłościowymi i podobnymi postępowaniami);
• jeśli jest to wymagane przepisami prawa, np. żeby podporządkować się wezwaniu sądu lub innemu żądaniu sądu, jeśli Oracle w dobrej wierzy uważa, że takie ujawnienie jest konieczne do ochrony praw Oracle, bezpieczeństwa Państwa bądź innych osób, do przeprowadzenia dochodzenia w sprawie oszustwa, do odpowiedzi na żądanie urzędu, w tym urzędów publicznych i państwowych poza Państwa krajem zamieszkania, na potrzeby dla bezpieczeństwa narodowego lub organów ścigania.

Kiedy osoby trzecie uzyskują dostęp do danych osobowych zawartych w systemowych danych operacyjnych, Oracle podejmie odpowiednie środki umowne, techniczne i organizacyjne w celu zapewnienia na przykład, że dane osobowe są przetwarzane wyłącznie w zakresie, w jakim takie przetwarzanie jest konieczne, w zgodzie z niniejszą Polityką prywatności i obowiązującym prawem.

3. Transgraniczne przekazywanie danych

Jeżeli dane osobowe zawarte w systemowych danych operacyjnych są przekazywane do odbiorcy Oracle w kraju, który nie zapewnia odpowiedniego stopnia ochrony danych osobowych, Oracle podejmie działania w celu zagwarantowania odpowiedniego stopnia ochrony danych takich Użytkowników, np. zapewniając, że takie przekazywanie podlega wzorcowym klauzulom UE.

4. Bezpieczeństwo

Oracle wdrożył odpowiednie środki techniczne, fizyczne i organizacyjne zgodnie z Praktykami ochrony danych Oracle w celu ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem bądź przypadkową utratą, uszkodzeniem, modyfikacją, nieuprawnionym ujawnieniem lub dostępem, a także wszelkimi innymi formami przetwarzania w sposób niezgodny z prawem (w tym m.in. zbędnym zbieraniem) lub dalszym przetwarzaniem.

5. Opcje użytkownika

W zakresie określonym przez obowiązujące przepisy prawa Użytkownicy mogą w określonych wypadkach zażądać dostępu do danych osobowych zawartych w systemowych danych operacyjnych, sprostować je, zaktualizować lub usunąć bądź zrealizować swoje inne prawa w zakresie swoich danych osobowych, wypełniając formularz zapytania.

III. KOMUNIKATY I POWIADOMIENIA DLA KLIENTÓW I UŻYTKOWNIKÓW

1. Wymagania prawne.

Oracle może mieć obowiązek zapewnienia dostępu do Usługowych Danych Osobowych i do danych osobowych zawartych w systemowych danych operacyjnych zgodnie z wymogami prawa, np. żeby podporządkować się wezwaniu sądu lub innemu żądaniu sądu, jeśli działając w dobrej wierze uważa, że takie ujawnienie jest konieczne do ochrony praw Oracle, bezpieczeństwa Państwa, Użytkownika bądź innych osób, do przeprowadzenia dochodzenia w sprawie oszustwa, do odpowiedzi na żądanie organów administracji publicznej, w tym urzędów publicznych i państwowych poza Państwa krajem zamieszkania lub krajem zamieszkania Użytkownika, na potrzeby dla bezpieczeństwa narodowego lub organów ścigania.

Oracle niezwłocznie powiadomi Państwa o żądaniu dostępu do Usługowych Danych Osobowych, o ile przepisy prawa nie stanowią inaczej.

2. Globalny inspektor ochrony danych.

W Oracle powołano Globalnego inspektora ochrony danych, który jest również Dyrektorem ds. Prywatności w Oracle. Jeśli Państwo lub Użytkownik uważają, że dane osobowe zostały wykorzystane w sposób, który nie jest zgodny z niniejszą Polityką prywatności, lub jeśli mają dalsze pytania, uwagi lub sugestie dotyczące sposobu, w jaki Oracle przetwarza usługowe dane osobowe lub dane osobowe zawarte w systemowych danych operacyjnych, należy skontaktować się z Inspektorem ochrony danych, wypełniając formularz zapytania.

Pisemne zapytania do Globalnego inspektora ochrony danych można wysyłać na poniższy adres:

Oracle Corporation
Globalny inspektor ochrony danych.
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
USA

W przypadku danych osobowych gromadzonych NA TERENIE UE/EOG pisemne zapytania do Inspektora ochrony danych w UE można wysyłać na adres:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Niemcy

W przypadku danych osobowych gromadzonych NA TERENIE Brazylii pisemne zapytania do Brazylijskiego inspektora ochrony danych można wysyłać na adres:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, Brazylia

3. Rozstrzyganie sporów lub składanie skarg

Jeżeli mają Państwo lub jeśli Użytkownik ma jakiekolwiek skargi dotyczące zgodności z praktykami Oracle w zakresie prywatności i bezpieczeństwa, należy w pierwszej kolejności skontaktować się z Oracle. Oracle przeprowadzi dochodzenie w tej sprawie i podejmie próbę rozstrzygnięcia wszelkich skarg i sporów dotyczących praktyk Oracle w zakresie prywatności.

W przypadku nierozstrzygniętych zastrzeżeń Użytkowników związanych z prywatnością lub korzystaniem z danych, których nie omówiono w wystarczający sposób, należy skontaktować się z zewnętrznym amerykańskim podmiotem zajmującym się rozstrzyganiem sporów (bezpłatnie) pod adresem https://feedback-form.truste.com/watchdog/request.

W określonych przypadkach, Użytkownicy mogą wystąpić o wiążący arbitraż, jeśli pozostałe procedury rozstrzygania sporów zostały wykorzystane. Użytkownicy mający miejsce zamieszkania w państwie członkowskim Unii Europejskiej mają także prawo do złożenia skargi do właściwego urzędu ochrony danych.

4. Zmiany w Polityce prywatności w zakresie Usług

Niniejsza Polityka prywatności została zaktualizowana po raz ostatni dnia 9 kwietnia 2021 r. Niemniej jednak Polityka prywatności w zakresie Usług może ulec zmianie z biegiem czasu, na przykład w celu zapewnienia zgodności z wymogami prawnymi lub w celu sprostania zmieniającym się potrzebom biznesowym. Najbardziej aktualną wersję niniejszej Polityki prywatności można znaleźć na tej stronie internetowej. W przypadku istotnych zmian będziemy też informować Państwa w inny odpowiedni sposób (na przykład poprzez wyskakujące okienka lub oświadczenie dotyczące zmiany w naszej witrynie internetowej), zanim zmiany wejdą w życie.

Poprzednie wersje: 19.01.21 | 20.10.20 | 07.03.19 | 14.02.19