Aftale for brug af Dropbox Business

Offentliggjort: 14. september 2016

Denne aftale om brug af Dropbox Business ("Aftalen") indgås mellem Dropbox International Unlimited Company, hvis din virksomhed er baseret uden for USA, Canada og Mexico ("Nordamerika"), eller Dropbox, Inc., en virksomhed registreret i Delaware, hvis din virksomhed er baseret i Nordamerika, (begge "Dropbox") og den organisation, der accepterer disse vilkår ("Kunden"). Aftalen regulerer adgang til og brug af Dropbox Business-softwaren og -tjenesterne (samlet kaldet "Dropbox Business") samt de betatjenester, der stilles til rådighed for dig (kaldet "Tjenesterne" sammen med Dropbox Business). Når du klikker på "Jeg accepterer", underskriver du din kontrakt i forhold til tjenesterne eller benytter tjenesterne, accepterer du samtidigt denne aftale som kunde.

I det omfang, hvor Dropbox, Inc. på vegne af Kunden, behandler Kundedata, der er underlagt national lovgivning, som implementerer EU-direktivet om databeskyttelse (95/46/EC), vil du, når du klikker på "Jeg accepterer", også acceptere EU's standardkontraktbestemmelser med Dropbox, Inc. for overførsel af personlige data til de databehandlere, der er angivet i Plan 1.

Hvis du accepterer denne Aftale og Plan 1 (hvis relevant) med henblik på en organisations benyttelse af Tjenesterne, accepterer du denne aftale på vegne af den pågældende organisation. Du skal være bemyndiget til at binde den pågældende organisation til disse betingelser. I modsat fald må du ikke tilmelde dig Tjenesterne.

1. Tjenester.
   1. Levering af tjenester. Kunden og brugerne af kundens konto med tjenester ("slutbrugere") har adgang til og kan benytte tjenesterne i overensstemmelse med denne aftale.
   2. Faciliteter og databehandling. Dropbox anvender, som minimum, branchens standardmæssige tekniske og organisatoriske sikkerhedsforanstaltninger ved overførsel, lagring og behandling af Kundedata. Disse foranstaltninger er skabt til at sikre integriteten af ​​Kundedata og beskytte mod uautoriseret eller ulovlig adgang til, brug af og behandling af Kundedata. Kunden accepterer, at Dropbox muligvis overfører, lagrer og behandler Kundedata i USA og andre steder uden for Kundens eget land. I det omfang, hvor Kundedata, der er underlagt EU-direktivet om databeskytte, behandles af Dropbox som databehandler på vegne af Kunden (som datacontroller), vil Dropbox bruge og behandle disse Kundedata ifølge Kundens instruktioner for at kunne levere Tjenesterne og opfylde Dropbox' forpligtelser ifølge Aftalen. "Kundedata" vil sige Lagrede data og Kontodata. "Lagrede data" vil sige de filer og strukturerede data, der er indsendt til Tjenesterne af Kunden eller Slutbrugerne. "Kontodata" vil sige de konto- og kontaktoplysninger, der er indsendt til Tjenesterne af Kunden eller Slutbrugerne.
   3. Ændring af tjenesterne. Dropbox kan opdatere tjenesterne fra tid til anden. Hvis Dropbox ændrer tjenesterne på en måde, der i væsentlig grad reducerer deres funktionalitet, vil Dropbox informere kunden herom via den e-mailadresse, der er knyttet til kontoen.
   4. Software. Nogle tjenester giver kunden mulighed for at downloade Dropbox-software, som muligvis opdateres automatisk. Kunden må kun bruge denne software til at få adgang til tjenesterne. Hvis nogen af ​​softwarens komponenter tilbydes under en open source-licens, vil Dropbox stille licensen til rådighed for Kunden, og bestemmelserne for den licens kan udtrykkeligt tilsidesætte nogle af vilkårene i denne aftale.
   5. Betatjenester. Dropbox kan tilbyde funktioner eller produkter, som vi stadig er ved at teste og evaluere. Disse produkter og funktioner betegnes som alfa, beta, forhåndsvisning, tidlig adgang eller evaluering (eller ord eller udtryk med en lignende betydning) (under et kaldet "Betatjenester"). Uanset, hvad der ellers er anført i denne Aftale eller Plan 1, gælder følgende vilkår for alle Betatjenester: (a) Du må bruge eller undlade at bruge Betatjenester. (b) Der ydes måske ikke support til betatjenester, og de kan når som helst blive ændret uden varsel. (c) Betatjenester er muligvis ikke lige så stabile eller tilgængelige som Dropbox Business. (d) Betatjenester er ikke omfattet af samme sikkerhedsforanstaltninger og overvågning som Dropbox Business. (e) DROPBOX KAN IKKE IFALDE ANSVAR PÅ GRUND AF ELLER I FORBINDELSE MED BETATJENESTER. DE BRUGES PÅ EGET ANSVAR.
2. Kundens forpligtelser.
   1. Overholdelse. Kunden er ansvarlig for dennes slutbrugeres benyttelse af tjenesterne. Kunden og dennes slutbrugere skal benytte tjenesterne i henhold til politikken for acceptabel brug. Kunden skal indhente det samtykke fra slutbrugerne, der er nødvendigt for at tillade administratorer at udføre de aktiviteter, som er beskrevet i denne aftale, og give Dropbox mulighed for at levere tjenesterne. Kunden skal overholde eventuelle love og bestemmelser, der måtte gælde for kundens brug af tjenesterne.
   2. Kundens administration af Tjenesterne. Kunden kan angive Slutbrugere som "Administratorer" via administratorpanelet. Administratorer kan have mulighed for at få adgang til, offentliggøre, begrænse eller fjerne Kundedata i eller fra konti med Tjenester. Administratorer kan også være i stand til at overvåge, begrænse eller ophæve adgang til Tjenestekonti. Dropbox' ansvar strækker sig ikke til kundens interne styring eller administration af Tjenesterne. Kunden er ansvarlig for: (i) at opretholde fortrolighed omkring adgangskoder og Administratorkonti; (ii) at styre adgang til Administratorkonti og (iii) at sikre, at Administratorerne benytter Tjenesterne i overensstemmelse med denne Aftale. Kunden accepterer, at hvis Kunden køber Tjenesterne gennem en forhandler og udpeger en eller flere af forhandlerens medarbejdere som Administratorer for Kundens Tjenestekonto, kan denne forhandler styre kontooplysninger, herunder Kundedata, og få adgang til Kundens Tjenestekonto som nærmere beskrevet ovenfor.
   3. Uautoriseret brug og adgang. Kunden skal forhindre dennes slutbrugeres uautoriserede brug af tjenesterne og bringe enhver uautoriseret brug af eller adgang til tjenesterne til ophør. Tjenesterne er ikke beregnet til slutbrugere under 13 år. Kunden skal sikre sig, at denne ikke tillader personer under 13 år at bruge tjenesterne. Kunden skal straks give Dropbox besked i tilfælde af uautoriseret brug af eller adgang til tjenesterne.
   4. Begrænsning af brug. Kunden må ikke (i) sælge, videresælge eller udleje tjenesterne, (ii) bruge tjenesterne til aktiviteter, hvor tjenesternes anvendelse eller svigt kan føre til fysisk skade, dødsfald eller personskade eller (iii) dekompilere tjenesterne, eller forsøge på eller hjælpe andre med at gøre dette, medmindre denne begrænsning ikke er tilladt af loven.
   5. Anmodninger fra tredjeparter.
      1. "Anmodninger fra tredjeparter" vil sige en anmodning fra en tredjepart om registrerede oplysninger vedrørende en slutbrugers benyttelse af tjenesterne, herunder oplysninger i eller fra en slutbrugers eller kundes konto med tjenester. Anmodninger fra tredjeparter kan omfatte gyldige ransagningskendelser, retskendelser eller stævninger, eller enhver anden anmodning, hvor der foreligger skriftligt samtykke fra slutbrugeren om tilladelse til offentliggørelse.
      2. Kunden er ansvarlig for at besvare anmodninger fra tredjeparter via dennes egen adgang til oplysninger. Kunden skal forsøge at indhente de oplysninger, der kræves for at reagere på anmodninger fra tredjeparter, og vil kun kontakte Dropbox, hvis det ikke er muligt at indhente disse oplysninger trods en ihærdig indsats.
      3. Dropbox vil gøre forretningsmæssigt rimelige bestræbelser på, i det omfang det er tilladt ved lov og i henhold til vilkårene for tredjepartens anmodning, at: (A) underrette kunden øjeblikkeligt om Dropbox' modtagelse af en tredjepartsanmodning, (B) respektere kundens forretningsmæssigt rimelige anmodninger i forhold til dennes bestræbelser på at modsætte sig en tredjepartsanmodning og (C) hjælpe kunden med oplysninger eller værktøjer, der kræves til kundens svar på tredjepartens anmodning (hvis kunden ikke på anden måde kan indhente oplysningerne). Hvis kunden ikke straks svarer på en tredjepartsanmodning, kan Dropbox gøre dette, men er ikke forpligtet hertil.
3. Tredjepartstjenester. Hvis kunden anvender en tredjepartstjeneste (f.eks. en tjeneste, der benytter en Dropbox API) sammen med tjenesterne, (a) er Dropbox ikke ansvarlig for nogen handling eller undladelse fra denne tredjepart, herunder tredjepartens adgang til eller brug af kundedata og (b) garanterer Dropbox ikke for og understøtter ikke tjenester, der leveres af tredjeparten.
4. Suspendering
   1. af slutbrugerkonti udført af Dropbox. Hvis en slutbruger (i) overtræder denne aftale eller (ii) bruger tjenesterne på en sådan måde, at Dropbox med rimelighed kunne mene, at dette udgjorde en belastning, kan Dropbox kræve, at kunden suspenderer eller bringer den pågældende slutbrugerkonto til ophør. Hvis kunden ikke straks suspenderer eller bringer slutbrugerens konto til ophør, vil Dropbox muligvis gøre dette.
   2. i sikkerhedsmæssige nødsituationer. Uanset hvad der ellers er anført i denne aftale, kan Dropbox automatisk suspendere brug af tjenesterne, hvis der skulle opstå en sikkerhedsmæssig nødsituation. Dropbox vil gøre sig forretningsmæssigt rimelige bestræbelser på præcist at tilpasse suspenderingen, som det måtte være nødvendigt for at forebygge eller afslutte den sikkerhedsmæssige nødsituation. "Sikkerhedsmæssig nødsituation" vil sige: (i) brug af tjenesterne, der har forstyrret eller kan forstyrre tjenesterne, andre kunders brug af tjenesterne eller den infrastruktur, der anvendes til at levere tjenesterne, og (ii) tredjeparters uautoriserede adgang til tjenesterne.
5. Immaterielle rettigheder.
   1. Forbehold af rettigheder. Bortset fra de tilfælde, som udtrykkeligt er angivet heri, giver denne aftale ikke (i) Dropbox nogen immaterielle rettigheder til kundedata eller (ii) kunden nogen immaterielle rettigheder til tjenesterne eller Dropbox' varemærker og brand-egenskaber. "Immaterielle rettigheder" vil sige nuværende og fremtidige globale rettigheder i henhold til patent, ophavsret, forretningshemmelighed, varemærke samt ideelle rettigheder og andre lignende rettigheder.
   2. Begrænset tilladelse. Kunden tildeler udelukkende Dropbox de begrænsede rettigheder, der er rimeligt nødvendige for, at Dropbox kan levere tjenesterne (f.eks. hosting af opbevarede data). Denne tilladelse omfatter også vores tilknyttede selskaber og betroede tredjeparter, som Dropbox samarbejder med i forbindelse med levering af tjenesterne (f.eks. den betalingsudbyder, som anvendes til at behandle betaling af ​​gebyrer).
   3. Forslag. Dropbox kan, efter eget skøn og til ethvert formål, anvende, ændre og indarbejde alle former for feedback, kommentarer og forslag, som kunden eller slutbrugerne sender til Dropbox eller offentliggør i Dropbox' fora, i virksomhedens produkter og tjenester, eller give licens og underlicens hertil, uden nogen forpligtelse over for kunden.
   4. Kundeliste. Dropbox kan inkludere kundens navn på en liste over Dropbox' kunder på Dropbox' website eller i markedsføringsmateriale.
6. Gebyrer og betaling.
   1. Gebyrer. Kunden betaler og tillader Dropbox eller kundens forhandler at benytte kundens valgte betalingsmetode til at opkræve alle gældende gebyrer. Gebyrer refunderes ikke, medmindre dette er påkrævet ved lov. Kunden er ansvarlig for at give fuldstændige og nøjagtige afregnings- og kontaktoplysninger til Dropbox eller kundens forhandler. Dropbox kan suspendere eller bringe tjenesterne til ophør, hvis betalingsfristen overskrides.
   2. Automatiske fornyelser og prøveperioder. HVIS KUNDENS KONTO ER INDSTILLET TIL AUTOMATISK FORNYELSE ELLER ER I EN PRØVEPERIODE, KAN DROPBOX (ELLER KUNDENS FORHANDLER) AUTOMATISK FORETAGE OPKRÆVNING VED SLUTNINGEN AF PRØVEPERIODEN ELLER FOR FORNYELSEN, MEDMINDRE KUNDEN UNDERRETTER DROPBOX (ELLER I RELEVANTE TILFÆLDE KUNDENS FORHANDLER) OM, AT KUNDEN ØNSKER AT ANNULLERE ELLER DEAKTIVERE AUTOMATISK FORNYELSE. Dropbox kan revidere taksterne for tjenesten ved at give kunden mindst 30 dages varsel forud for den næste opkrævning.
   3. Skatter og afgifter. Kunden er ansvarlig for alle skatter og afgifter. Dropbox eller kundens forhandler opkræver skatter og afgifter, når dette er påkrævet. Hvis loven forpligter kunden til at tilbageholde visse skatter og afgifter, skal kunden udlevere en officiel kvittering fra skattevæsenet eller anden relevant dokumentation til Dropbox eller kundens forhandler.
   4. Købsordrer. Hvis kunden har brug for at benytte en købsordre eller et købsordrenummer, skal kunden (i) oplyse købsordrenummeret på købstidspunktet og (ii) acceptere, at eventuelle vilkår og betingelser på kundens egen købsordre ikke gælder for denne aftale og er ugyldige. Hvis kunden foretager køb via en forhandler, er alle vilkår og betingelser fra kundens forhandler eller i en købsordre mellem kunden og kundens forhandler, som er i strid med aftalen for brug af Dropbox Business, ugyldige.
7. Periode og ophævelse.
   1. Periode. Denne aftale forbliver gyldig, indtil kundens abonnement på tjenesterne udløber eller ophører, eller indtil aftalen bringes til ophør.
   2. Ophør ved misligholdelse. Både Dropbox og kunden kan opsige aftalen, såfremt: (i) den anden part i væsentlig grad misligholder aftalen og undlader at afhjælpe denne overtrædelse inden for 30 dage efter modtagelse af skriftlig meddelelse eller (ii) den anden part ophører med sin forretningsdrift eller kommer under konkursbehandling, og sagen ikke bliver afvist inden for 90 dage.
   3. Følger af ophør. Hvis denne aftale bringes til ophør: (i) vil de rettigheder, som Dropbox har givet kunden, straks ophøre (bortset fra som angivet i dette afsnit); (ii) kan Dropbox give kunden adgang til dennes konto, mod de på det tidspunkt gældende gebyrer, således at kunden kan eksportere sine lagrede data og (iii) kan Dropbox, efter en forretningsmæssigt rimelig tid, slette alle lagrede data med tilknytning til kundens konto. De følgende afsnit gælder også efter udløb eller ophør af denne aftale: 2(e) (Anmodninger fra tredjeparter), 5 (Immaterielle rettigheder), 6 (Gebyrer og betaling), 7(c) (Følger af ophør), 8 (Skadesløsholdelse), 9 (Ansvarsfraskrivelser), 10 (Ansvarsbegrænsning), 11 (Tvister) og 12 (Diverse).
8. Skadesløsholdelse.
   1. Kunden. Kunden skal forsvare og holde Dropbox skadesløs fra og mod alle forpligtelser, skader og omkostninger (herunder bilæggelsesomkostninger og rimelige advokatsalærer), der måtte udspringe af krav fra en tredjepart mod Dropbox og dennes tilknyttede selskaber i forhold til: (i) kundedata, (ii) kundens brug af tjenesterne i strid med denne aftale eller (iii) slutbrugeres anvendelse af tjenesterne i strid med denne aftale.
   2. Dropbox. Dropbox skal forsvare og holde kunden skadesløs fra og mod alle forpligtelser, skader og omkostninger (herunder bilæggelsesomkostninger og rimelige advokatsalærer), der måtte udspringe af krav fra en tredjepart mod kunden, i det omfang og i henhold til en påstand om, at Dropbox' teknologi, der anvendes til at levere tjenesterne til kunden, overtræder eller misbruger ophavsret, forretningshemmeligheder, amerikansk patent eller varemærkerettigheder tilhørende tredjeparten. Dropbox er under ingen omstændigheder forpligtet eller ansvarlig, ifølge denne paragraf, i forbindelse med: (i) brug af tjenester i modificeret form eller i kombination med materialer, der ikke er leveret af Dropbox, eller (ii) indhold, oplysninger og data leveret af kunden, slutbrugere eller andre tredjeparter.
   3. Eventuel overtrædelse. Hvis Dropbox mener, at tjenesterne krænker eller kan hævdes at krænke en tredjeparts immaterielle rettigheder, kan Dropbox: (i) skaffe kunden rettighed til, for Dropbox' regning, at fortsætte med at bruge tjenesterne; (ii) levere en ikke-krænkende funktionelt tilsvarende erstatning eller (iii) ændre tjenesterne, så de ikke længere er krænkende. Hvis Dropbox ikke mener, at de muligheder, der er beskrevet i denne paragraf, er forretningsmæssigt rimelige, kan Dropbox suspendere eller bringe kundens brug af de pågældende tjenester til ophør (med en pro rata-tilbagebetaling af forudbetalte gebyrer for tjenesterne).
   4. Generelt. Den part, der søger erstatning, skal straks meddele den anden part om kravet og samarbejde med den anden part i forsvar af kravet. Erstatningsgiveren vil have fuld kontrol og myndighed over forsvaret, bortset fra at: (i) ethvert forlig, der kræver, at parten, som søger erstatning, skal indrømme ansvar, kræver forudgående skriftligt samtykke, der ikke er urimeligt tilbageholdt eller forsinket og (ii) den anden part kan tilslutte sig forsvaret med sin egen advokat for egen regning. OVENNÆVNTE SKADESLØSHOLDELSE ER DROPBOX' OG KUNDENS ENESTE RETSMIDLER I HENHOLD TIL DENNE AFTALE I FORBINDELSE MED DEN ANDEN PARTS OVERTRÆDELSE AF EN TREDJEPARTS IMMATERIELLE RETTIGHEDER.
9. Ansvarsfraskrivelser. TJENESTERNE LEVERES "SOM DE ER". I DET OMFANG LOVEN TILLADER, UNDTAGEN SOM UDTRYKKELIGT ANGIVET I DENNE AFTALE, GIVER HVERKEN KUNDEN ELLER DROPBOX OG DENNES TILKNYTTEDE SELSKABER, LEVERANDØRER ELLER DISTRIBUTØRER GARANTI AF NOGEN ART, HVERKEN UDTRYKKELIGT, UNDERFORSTÅET, LOVMÆSSIGT ELLER PÅ ANDEN MÅDE, HERUNDER GARANTI FOR SALGBARHED, EGNETHED TIL ET BESTEMT FORMÅL ELLER IKKE-KRÆNKELSE. KUNDEN ER ANSVARLIG FOR AT VEDLIGEHOLDE OG SIKKERHEDSKOPIERE ALLE LAGREDE DATA.
10. Ansvarsbegrænsning.
    1. Begrænsning af indirekte ansvar. I DET OMFANG LOVEN TILLADER, BORTSET FRA DROPBOX' ELLER KUNDENS FORPLIGTELSER I FORHOLD TIL SKADESLØSHOLDELSE, VIL HVERKEN KUNDEN ELLER DROPBOX OG DENNES TILKNYTTEDE SELSKABER, LEVERANDØRER ELLER DISTRIBUTØRER VÆRE ANSVARLIGE I HENHOLD TIL DENNE AFTALE FOR (I) INDIREKTE, SPECIELLE, HÆNDELIGE, PØNALE SKADER ELLER FØLGESKADER ELLER (II) TAB AF BRUG, DATA, INDTÆGTER ELLER OVERSKUD (HVAD ENTEN DIREKTE ELLER INDIREKTE), SELV HVIS PARTEN HAVDE KENDSKAB TIL ELLER BURDE HAVE HAFT KENDSKAB TIL, AT SÅDANNE SKADER VAR MULIGE, OG SELV HVIS EN AFHJÆLPNING IKKE OPFYLDER SIT VÆSENTLIGE FORMÅL.
    2. Begrænsning af erstatningsbeløb. I DET OMFANG LOVEN TILLADER, VIL DROPBOX' SAMLEDE ANSVAR I HENHOLD TIL DENNE AFTALE IKKE OVERSTIGE DET LAVESTE BELØB AF ENTEN $100.000 ELLER DET BELØB, SOM KUNDEN HAR BETALT FOR TJENESTERNE HERUNDER I LØBET AF DE TOLV MÅNEDER, DER ER GÅET FORUD FOR DEN HÆNDELSE, SOM HAR GIVET ANLEDNING TIL ERSTATNINGSPLIGT.
11. Tvister.
    1. Uformel løsning. Dropbox ønsker at løse problemer uden at ty til formelle retssager. Begge parter accepterer, at de før en eventuel sagsanlæggelse skal forsøge at løse tvisten ved at kontakte den anden part via meddelelsesprocedurerne i paragraf 12(e). Hvis en tvist ikke er løst inden for 30 dage efter meddelelsen, kan kunden eller Dropbox anlægge en formel retssag.
    2. Voldgiftsaftale. Kunden og Dropbox accepterer at løse eventuelle krav vedrørende denne aftale eller tjenesterne gennem endelig og bindende voldgift, med undtagelse af det nedenfor angivne. American Arbitration Association (AAA) skal administrere voldgiften i henhold til instansens kommercielle voldgiftsregler. Voldgiften afholdes i San Francisco (CA), eller på en hvilken som helst anden beliggenhed, som begge parter har accepteret skriftligt.
    3. Undtagelse til voldgiftsaftale. Begge parter kan bringe en retssag for de føderale eller statslige domstole i San Francisco County, Californien, udelukkende med henblik på udstedelse af forbud mod uautoriseret brug eller misbrug af tjenesterne eller krænkelse af immaterielle rettigheder, uden først at benytte sig af den uformelle meddelelsesproces for tvister, der er beskrevet ovenfor. Både kunden og Dropbox giver samtykke til værneting og personlig jurisdiktion på nævnte sted.
    4. INGEN KOLLEKTIVE SØGSMÅL. Kunden kan kun løse konflikter med Dropbox på individuelt plan og må ikke fremsætte krav i kollektive, konsoliderede eller repræsentative søgsmål. Kollektive voldgiftssager, kollektive søgsmål, private søgsmål af særlig offentlig interesse og konsolidering med andre voldgiftssager er ikke tilladt.
12. Diverse.
    1. Ændring af vilkår. Dropbox kan muligvis revidere denne aftale fra tid til anden, og den seneste version vil altid kunne ses på Dropbox Business' website. Hvis en ændring, efter Dropbox' eget skøn, er væsentlig, giver Dropbox kunden besked (ved f.eks. at sende en e-mail til den e-mailadresse, der er tilknyttet den pågældende konto). Andre ændringer kan blive lagt ud på Dropbox' blog eller side med vilkår, og kunden er ansvarlig for at tjekke sådanne indlæg regelmæssigt. Ved fortsat at logge på og bruge tjenesterne, efter at ændringerne er trådt i kraft, accepterer kunden at være bundet af den reviderede aftale. Hvis kunden ikke accepterer de ændrede aftalevilkår, kan kunden bringe tjenesterne til ophør inden for 30 dage efter modtagelse af besked om ændringen.
    2. Hele aftalen. Denne aftale, herunder kundens faktura og bestillingsformular hos Dropbox (hvis det er relevant), udgør hele aftalen mellem kunden og Dropbox med hensyn til indholdet af denne aftale og erstatter alle tidligere eller samtidige overenskomster og aftaler, hvad enten de er skriftlige eller mundtlige, med hensyn til indholdet af denne aftale. I tilfælde af konflikt mellem de dokumenter, der udgør denne aftale, vil dokumenterne være prioriteret i følgende rækkefølge: Dropbox' faktura, Dropbox' bestillingsformular, aftalen.
    3. Gældende lov. AFTALEN REGULERES AF LOVEN I CALIFORNIEN MED UNDTAGELSE AF DENS PRINCIPPER FOR INTERNATIONAL PRIVATRET.
    4. Adskillelighed. Bestemmelser, der ikke kan håndhæves, vil blive justeret for at afspejle parternes hensigt, og kun i det omfang, dette er nødvendigt for at kunne håndhæve disse. Alle andre bestemmelser i aftalen forbliver fuldt ud gyldige.
    5. Meddelelser. Meddelelser skal sendes med almindelig post, luftpost eller kurer, og anses som værende givet, når de er modtaget. Meddelelser til kunden kan også sendes til den pågældende kontos e-mailadresse, og anses som værende givet, når de er afsendt. Meddelelser til Dropbox skal sendes til Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, med en kopi til den juridiske afdeling (Legal Department).
    6. Frafaldelse. En frafaldelse i forhold til en hvilken som helst misligholdelse er ikke ensbetydende med frafaldelse ved efterfølgende misligholdelse.
    7. Overdragelse. Kunden kan ikke overdrage eller overføre denne aftale eller nogen rettigheder eller forpligtelser i denne aftale uden skriftligt samtykke fra Dropbox. Dropbox kan ikke overdrage denne aftale uden at meddele kunden herom. Dog kan Dropbox overdrage denne aftale eller enhver rettighed eller forpligtelse i denne aftale til et tilknyttet selskab eller i forbindelse med en fusion, opkøb, omstrukturering af virksomheden eller salg af alle eller hovedparten af sine aktiver uden at meddele herom. Alle andre forsøg på overførsel eller overdragelse er ugyldige.
    8. Intet repræsentationsforhold. Dropbox og kunden er ikke juridiske partnere eller repræsentanter, men er uafhængige kontrahenter.
    9. Force majeure. Bortset fra når det gælder betalingsforpligtelser, vil hverken Dropbox eller kunden hæfte for utilstrækkelig ydeevne i en situation forårsaget af betingelser uden for parternes rimelige kontrol (f.eks. naturkatastrofer, krigshandlinger eller terrorisme, oprør, arbejdskonflikt, statslig indgriben og internetforstyrrelser).
    10. Ingen begunstigede tredjeparter. Der findes ingen begunstigede tredjeparter i denne aftale. Uden begrænsning af denne paragraf, er kundens slutbrugere ikke begunstigede tredjeparter i forhold til kundens rettigheder i henhold til denne aftale.
    11. Eksportrestriktioner. Eksport og reeksport af kundedata via tjenesterne kan være underlagt United States Export Administration Regulations eller andre gældende eksportrestriktioner eller embargo. Tjenesterne må ikke bruges i Cuba, Iran, Nordkorea, Sudan eller Syrien eller noget andet land, der er omfattet af amerikansk embargo, og kunden må ikke bruge tjenesterne i strid med nogen eksportrestriktion eller embargo udstedt af USA eller en anden gældende jurisdiktion. Herudover skal kunden sikre, at tjenesterne ikke leveres til personer anført på de amerikanske lister "United States Table of Denial Orders", "Entity List" eller "List of Specially Designated Nationals".

I henhold til artikel 26(2) i direktiv 95/46/EF for videregivelse af personoplysninger til tredjelande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau

Navnet på den organisation, der eksporterer dataene: Den kunde, som har indgået Dropbox Business-aftalen med Dropbox International Unlimited Company
(dataeksportøren)

Og

Navnet på den organisation, der importerer dataene: Dropbox, Inc.
Adresse: 333 Brannan Street, San Francisco, CA 94107, USA
(dataimportøren)

hver især en "part"; tilsammen "parterne"

HAR ACCEPTERET følgende kontraktbestemmelser (Bestemmelserne) for at kunne anføre tilstrækkelige sikkerhedsforanstaltninger med henblik på at kunne beskytte persondata og grundlæggende rettigheder for enkeltpersoner for overførsel af dataeksportøren til dataimportøren vedrørende de persondata, der er angivet i tillæg 1.

Følgende definitioner gælder for standardbestemmelserne:

1. 'personoplysninger', 'særlige kategorier af oplysninger', 'behandle/behandling', 'registeransvarlig', 'registerfører', 'den registrerede' og 'tilsynsmyndighed' har samme betydning som i direktiv 95/46/EF fra Europa-Parlamentet og Rådets direktiv fra den 24. oktober 1995 om beskyttelse af enkeltpersoner med hensyn til behandling af persondata og den frie bevægelighed af disse data¹
2. 'dataeksportør': den registeransvarlige, der overfører personoplysningerne
3. 'dataimportør': den registerfører, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og denne afgørelse, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF
4. 'underkontraheret registerfører': enhver registerfører, der efter aftale med dataimportøren eller af en af dataimportø­rens øvrige underkontraherede registerførere indvilliger i fra dataimportøren eller en af dataimportørens øvrige underkontraherede registerførere at modtage personoplysninger udelukkende med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser, de standardkontraktbestemmelser, der er anført i bilaget, og betingelserne i den skriftlige udliciteringskontrakt
5. 'den gældende databeskyttelseslovgivning': den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret
6. 'tekniske og organisatoriske sikkerhedsforanstaltninger': de foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter videregivelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

De nærmere oplysninger om videregivelsen og især de særlige kategorier af personoplysninger, hvor dette er relevant, er nærmere angivet i tillæg 1, der er en integrerende del af standardbestemmelserne.

1. Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren.
2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.
3. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for den underkontraherede registerfører i tilfælde, hvor både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.
4. Parterne gør ingen indsigelse mod, at de registrerede, såfremt de udtrykkeligt ytrer ønske herom, og det er tilladt i henhold til national ret, lader sig repræsentere af en forening eller andre organer.

Dataeksportøren accepterer og garanterer

1. at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser
2. at han har instrueret og under behandlingen af personoplysninger vil instruere dataimportøren om kun at behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med den gældende databeskyttelseslovgivning og standardbestemmelserne
3. at dataimportøren vil stille tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2 til denne kontrakt
4. at sikkerhedsforanstaltningerne, efter at være blevet vurderet i forhold til kravene i den gældende databeskyttelseslovgivning, er tilstrækkelige til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et net, samt mod enhver anden form for ulovlig behandling, og at disse foranstaltninger giver et passende databeskyttelsesniveau i forhold til de risici, der er forbundet med behandlingen og arten af de oplysninger, der skal beskyttes, under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse
5. at han vil sikre, at disse sikkerhedsforanstaltninger overholdes
6. at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i direktiv 95/46/EF
7. at videresende enhver meddelelse, der modtages fra dataimportøren eller en anden underkontraherende i henhold til Standardbestemmelse 5, litra b) og Standardbestemmelse 8, stk. 3), til tilsynsmyndighederne for datasikkerhed, hvis dataeksportøren beslutter at fortsætte overførslen eller at fjerne suspenderingen,
8. at stille følgende til rådighed for de registrerede ved anmodning: en kopi af Standardbestemmelserne, med undtagelse af Tillæg 2, og en opsummerende beskrivelse af sikkerhedsforanstaltningerne samt en kopi af enhver kontrakt om udlicitering, som er indgået i overensstemmelse med Standardbestemmelserne, medmindre Standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger. I sådanne tilfælde kan disse kommercielle oplysninger fjernes,
9. at behandlingen i tilfælde af udlicitering gennemføres i henhold til standardbestemmelse 11 af en underkontraheret registerfører, der frembyder mindst samme beskyttelsesniveau for den registreredes personoplysninger og rettigheder som dataimportøren i henhold til standardbestemmelserne, og
10. at han vil sikre, at standardbestemmelse 4, litra a)-i), overholdes.

Dataimportøren accepterer og garanterer:

1. at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne; såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten
2. at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten
3. at han, inden han behandler de videregivne personoplysninger, har iværksat de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2
4. at han straks vil give dataeksportøren meddelelse om:
   1. retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager
   2. enhver utilsigtet eller uautoriseret adgang og
   3. anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil
5. at han straks og behørigt vil behandle alle dataeksportørens forespørgsler vedrørende sin behandling af de videregivne personoplysninger og følge tilsynsmyndighedens anbefalinger med hensyn til behandling af de videregivne oplysninger
6. at han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling, og som foretages af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer med tavshedspligt, der er i besiddelse af de nødvendige faglige kvalifikationer, og som udpeges af dataeksportøren, i givet fald efter aftale med tilsynsmyndigheden
7. at han efter anmodning vil stille et eksemplar af standardbestemmelserne eller eksisterende udliciteringskontrakter til rådighed for den registrerede, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade, bortset fra tillæg 2, der erstattes af en kortfattet beskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke kan få udleveret et eksemplar fra dataeksportøren
8. at han i tilfælde af udlicitering på forhånd har underrettet dataeksportøren og indhentet hans skriftlige samtykke dertil
9. at den underkontraherede registerførers behandling vil ske i henhold til standardbestemmelse 11
10. at han straks vil sende dataeksportøren et eksemplar af de udliciteringsaftaler, som han indgår i henhold til standardbestemmelserne.

1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.
2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor.
   Dataimportøren kan ikke unddrage sig sit ansvar ved at påberåbe sig en underkontraheret registerførers misligholdelse af sine forpligtelser.
3. Hvis en registreret i tilfælde, hvor den underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren eller dataimportøren i henhold til stk. 1 og 2, fordi både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, accepterer den underkontraherede registerfører, at den registrerede kan fremsætte krav mod den underkontraherede registerfører med hensyn til dennes egen behandling i henhold til standardbestemmelserne, som om han var dataeksportøren eller dataimportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

1. Hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning i henhold til standardbestemmelserne, vil dataimportøren acceptere den registreredes beslutning om:
   1. at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden
   2. at henvise sagen til domstolene i den medlemsstat, hvor dataeksportøren er etableret.
2. Parterne er enige om, at den registreredes valg ikke har nogen indvirkning på den registreredes materielle eller processuelle rettigheder til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret.

Standardbestemmelse 8

Samarbejdet med tilsynsmyndighederne

1. Dataeksportøren accepterer at deponere et eksemplar af denne kontrakt hos tilsynsmyndigheden, hvis denne måtte anmode herom, eller hvis det kræves i henhold til den gældende databeskyttelseslovgivning.
2. Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser som en inspektion af dataeksportøren i henhold til den gældende databeskyttelseslovgivning.
3. Dataimportøren underretter straks dataeksportøren om, at han eller en eventuel underkontraheret registerfører er underlagt en lovgivning, der forhindrer en inspektion af ham eller en eventuel underkontraheret registerfører i henhold til stk. 2. I så fald har dataeksportøren ret til at træffe de foranstaltninger, der er fastsat i standardbestemmelse 5, litra b).

Standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

Parterne forpligter sig til ikke at ændre standardbestemmelserne. Dette forhindrer ikke parterne i at indføje bestemmelser om forretningsmæssige spørgsmål, hvis det er nødvendigt, så længe de ikke strider mod standardbestemmelsen.

1. Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportø­rens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne³. Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er dataimportøren fuldt ansvarlig over for dataeksportøren for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes.
2. Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.
3. Bestemmelserne om databeskyttelsesaspekter ved udlicitering i den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.
4. Dataeksportøren fører en liste over udliciteringsaftaler, der er indgået i henhold til standardbestemmelserne og meddelt af dataimportøren i henhold til standardbestemmelse 5, litra j), og listen ajourføres mindst en gang om året. Listen er tilgængelig for dataeksportørens datatilsynsmyndighed.

Forpligtelser efter afsluttet databehandling af personoplysninger

1. Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer ham i at returnere eller destruere alle eller en del af de videregivne personoplysninger. Dataimportøren garanterer i så fald, at han vil sikre fortroligheden af de videregivne personoplysninger og ikke aktivt vil foretage yderligere behandling af disse.
2. Dataimportøren og den underkontraherede registerfører garanterer, at de på dataeksportørens og/eller tilsynsmyndighedens anmodning vil lade deres databehandlingsfaciliteter underkaste en inspektion med henblik på kontrol af de foranstaltninger, der er omhandlet i stk. 1.

De udtryk, der skrives med stort begyndelsesbogstav i afsnit A til C og i tillæggene, men som ikke er defineret i Standardbestemmelserne, har den betydning, som er angivet i Dropbox Business-aftalen mellem dataeksportøren og Dropbox International Unlimited Company.

1. Sikkerhedskontroller. Dataimportøren overholder ISO/IEC 27001:2013- og ISO/IEC 27018:2014-certificeringerne, som er tildelt af en uafhængig tredjepartskontrollør. Dataimportøren vil fortsat undergå de regelmæssige ISO/IEC 27001:2013- og ISO/IEC 27018-kontroller, som er nødvendige for Tjenesterne i Aftalen. Dataimportøren undergår også regelmæssigt SOC 2 Type II-kontroller (Service Organization Control 2 ). I henhold til dataimportørens forpligtelser om fortrolighed – og højst én gang om året – vil dataimportøren udlevere en kopi af SOC 2 Type II-rapporten til dataeksportøren, hvis der anmodes om det. Dataimportøren vil gøre nye SOC 2-rapporter tilgængelige, så snart de er færdiggjort, i henhold til dataimportørens krav om fortrolighed. Dataimportøren gennemgår regelmæssigt deres tredjepartsunderleverandører, som er underlagt standarderne for SSAE 16 (Attestation Engagements No. 16)/ISAE 3402 (International Standard on Assurance Engagements No. 3402), SOC 1 (Service Organization Control 1 ) Type II- eller SOC 2 (Service Organization Control 2 ) Type II-kontroller, som evaluerer udformningen og effektiviteten af deres sikkerhedspolitikker, -procedurer og -kontroller.

   Dataeksportøren accepterer dataimportørens forpligtelser som angivet i dette Afsnit A i overensstemmelse med kontrolrettighederne under Standardbestemmelse 5, litra f) og Standardbestemmelse 12, stk. 2 i Standardbestemmelserne.

2. Udlicitering. Dataimportøren må benytte andre virksomheder til at levere begrænsede dele af Tjenesterne (herunder supporttjenester) på vegne af dataimportøren, og dataeksportøren giver sit samtykke til, at dataimportøren udbyder behandlingen af personlysninger til sådanne underkontraherende registerførere som beskrevet i Standardbestemmelserne. Dataimportøren sikrer, at enhver underkontraherende registerfører kun får adgang til og bruger de personoplysninger, som kræves for at tilbyde Tjenesterne som angivet i en skriftlig aftale mellem dataimportøren og den underkontraherende registerfører. Dataeksportøren anerkender, at ethvert krav for dataimportøren under Standardbestemmelserne i henhold til aftalerne med de underkontraherende registerførere, skal opfyldes til fulde, forudsat, at aftalen om udlicitering mellem dataimportøren og den underkontraherende registerfører omfatter mindst det niveau af beskyttelse af oplysningerne, som er krævet ifølge Dropbox Business-aftalen.
3. Erstatningsansvar. Standardbestemmelserne er omfattet af de begrænsninger og fraskrivelse af erstatningsansvar, som er angivet i afsnittet "Ansvarsbegrænsning" i Dropbox Business-aftalen, så det samlede erstatningsansvar for dataimportøren og Dropbox International Unlimited Company ikke kan overskride de begrænsninger, der er angivet i Dropbox Business-aftalen. For at undgå tvivlstilfælde er dataeksportøren ikke berettiget til erstatning fra både dataimportøren og Dropbox International Unlimited Company for det samme tab.

Dette tillæg udgør en integrerende del af standardbestemmelserne og skal udfyldes og underskrives af parterne.

Medlemsstaterne kan i overensstemmelse med deres nationale procedurer tilføje eller nærmere angive yderligere nødvendige oplysninger, som skal fremgå af tillægget.

Dataeksportør

Dataeksportøren er (giv en kort beskrivelse af de af Deres aktiviteter, der er relevante for videregivelsen af oplysninger):

Kunden til Dropbox Business-aftalen med Dropbox International Unlimited Company.

Dataimportør

Dataimportøren er (giv en kort beskrivelse af de af Deres aktiviteter, der er relevante for videregivelsen af oplysninger):

Dropbox, Inc. er en global udbyder af cloudtjenester til enkeltpersoner og virksomheder. Dropbox, Inc. og dets datterselskaber stiller et website, software og mobilapps til rådighed, som brugerne kan anvende til at gemme filer, synkronisere filer på tværs af flere enheder og samarbejde med andre. Tjenesten fra Dropbox, Inc. kan også anvendes via API'er (Application Programming Interfaces).

Registrerede

De videregivne personoplysninger vedrører følgende kategorier af registrerede (angiv nærmere):

Dataeksportøren og slutbrugerne hos dataeksportørens relaterede virksomheder omfatter medarbejdere, konsulenter og leverandører til dataeksportøren samt de enkeltpersoner, der samarbejder med og deler med disse slutbrugere ved hjælp af de tjenester, der stilles til rådighed af dataimportøren.

Kategorier af oplysninger

De videregivne personoplysninger omfatter følgende kategorier af oplysninger (angiv nærmere):

Slutbrugerne identificerer oplysninger og organisationsdata (både online og offline) samt de dokumenter, billeder og andet indhold eller oplysninger i elektronisk format, der gemmes eller overføres af slutbrugerne ved hjælp af dataimportørens tjenester.

Behandling

De videregivne personoplysninger vil blive genstand for følgende grundlæggende behandling (angiv nærmere):

Dataimportøren eller de underkontraherede registerførere bruger og behandler personoplysningerne, og dataeksportøren instruerer dataimportøren i brugen og behandling af personoplysningerne for at kunne tilbyde Tjenesterne i Dropbox Business-aftalen.

Dette tillæg udgør en integrerende del af standardbestemmelserne og skal udfyldes og underskrives af parterne.

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der iværksættes af dataimportøren i henhold til standardbestemmelse 4, litra d), og standardbestemmelse 5, litra c) (eller vedlagt dokument/lovgivning):

Kontakt for beskyttelse af personoplysninger

Dataimportørens kontakt for beskyttelse af personoplysninger kan kontaktes på privacy@dropbox.com

Sikkerhedsforanstaltninger

Dataimportøren har implementeret og vil vedligeholde passende administrative, tekniske og fysiske sikkerhedsforanstaltninger for at beskytte personoplysninger som beskrevet i Hvidbog om sikkerhed i Dropbox Business (fås fra ikrafttrædelsesdatoen på: https://www.dropbox.com/…/Security_Whitepaper.pdf) og som yderligere angivet nedenfor. Dataimportøren kan ændre disse sikkerhedsforanstaltninger fra tid til anden. Den seneste version vil være tilgængelig på ovennævnte URL-adresse (eller på en anden URL-adresse, som oplyses af dataimportøren. Dataimportøren vil oplyse dataeksportøren, hvis dataimportøren ændrer sikkerhedsforanstaltningerne på en sådan måde, at det reducerer de administrative, tekniske eller fysiske sikkerhedsforanstaltninger, der er beskrevet heri eller i dette tillæg 2.

1. Tjenestesikkerhed
   1. Dropbox-arkitektur. Dataimportørens tjeneste er udstyret med adskillige beskyttelseslag, som dækker dataoverførsel, kryptering, netværkskonfiguration og kontroller på applikationsniveau, alt sammen fordelt på tværs af en skalerbar og sikker infrastruktur. Slutbrugerne til dataimportørens tjeneste kan til enhver tid få adgang til filer og mapper fra computer, internet og mobilapps. Alle disse klienter er forbundet til sikre tjenester for at give adgang til filer, muliggøre deling af filer med andre og opdatere forbundne enheder, når filer tilføjes, ændres eller slettes. Tjenesten kan bruges og åbnes gennem flere forskellige grænseflader. Alle har sikkerhedsindstillinger og -funktioner, som behandler og beskytter dataene, samtidig med at de sikrer nem adgang. 
   2. Pålidelighed. Dataimportørens tjeneste er udviklet med flere lag af redundans for at beskytte mod tab af data og for at sikre tilgængeligheden.
   3. Kryptering. Til beskyttelse af data under overførsel mellem dataeksportøren og dataimportøren, bruger dataimportøren Secure Sockets Layer (SSL)/Transport Layer Security (TLS) til dataoverførslen. Det skaber en sikker kanal, som er beskyttet af 128-bit eller højere Advanced Encryption Standard-kryptering (AES). Inaktive fildata krypteres ved hjælp af 256-bit AES-kryptering. Dataimportørens infrastruktur til nøgleadministration er udviklet med driftsmæssige, tekniske og proceduremæssige sikkerhedskontroller med meget begrænset direkte adgang til nøgler. Generering, udveksling og opbevaring af krypteringsnøgler fordeles med henblik på decentraliseret behandling. 
   4. Brugerstyringsfunktioner. Slutbrugerne af dataimportørens tjeneste kan gendanne mistede filer og gendanne tidligere versioner af filer. Det sikrer, at ændringer i filerne kan spores og genskabes. Dataimportørens tjeneste gør det muligt at anvende totrinsbekræftelse, hvilket giver et ekstra lag af beskyttelse.
   5. Datacentre. Dataimportørens erhvervs- og produktionssystemer er placeret i eksterne underleverandørers datacentre i USA. Dataimportøren gennemgår alle SOC 1- og/eller SOC 2-rapporter (Service Organization Control) for underleverandørens datacentre mindst én gang årligt for at sikre, at den nødvendige sikkerhed opretholdes.
2. Informationssikkerhed.
   1. Politikker. Dataimportøren har etableret et omfattende sæt sikkerhedspolitikker, der dækker områderne informationssikkerhed, fysisk sikkerhed, reaktion på hændelser, logisk adgang, adgang til fysisk produktion, ændringsstyring og support. Disse politikker gennemgås og godkendes mindst én gang om året. Dataimportørens medarbejdere holdes orienteret om ændringer i disse politikker og uddannes i sikkerhed.
   2. Politikker for medarbejdere og adgang. Dataimportørens interne politikker for ansættelsesprocedurer omfatter baggrundstjek (som tilladt ifølge den lokale lovgivning), sikkerhedspolitisk godkendelse, kommunikation af opdateringer til sikkerhedspolitikker samt aftaler om fortrolighed. Al medarbejderadgang fjernes med det samme, når en medarbejder eller leverandør forlader virksomheden. Dataimportøren benytter teknisk adgangskontrol og interne politikker til at forhindre medarbejdere eller leverandører i at opnå vilkårlig adgang til fildata og til at begrænse adgang til metadata og andre oplysninger om slutbrugeres konti. For at beskytte slutbrugernes personlige oplysninger og sikkerhed er det kun et lille antal medarbejdere eller leverandører, der har adgang til det miljø, hvor slutbrugernes filer opbevares. En registrering af anmodningen om adgang, begrundelsen herfor og godkendelsen heraf udføres af ledelsen, og de relevante personer giver adgang.
   3. Netværkssikkerhed. Dataimportøren vedligeholder teknikker til netværkssikkerhed og -overvågning, som er beregnet til at give adskillige lag af beskyttelse og forsvar. Dataimportøren bruger branchens standardbeskyttelsesteknikker, herunder firewalls, overvågning af netværkssikkerhed og systemer til opdagelse af indtrængen, for at sikre, at kun berettiget trafik er i stand til at nå dataimportørens infrastruktur. 
   4. Ændringsstyring. Dataimportøren sikrer, at sikkerhedsrelaterede ændringer er blevet godkendt, inden de implementeres i produktionsmiljøer. Ændring af kildekode påbegyndes af de udviklere, der skal foretage en forbedring af dataimportørens app eller tjeneste. Ændring af dataimportørens infrastruktur er begrænset til autoriseret personale. Ændringer på programniveau i tjenesterne skal undergå automatiske testprocedurer til kvalitetskontrol for at bekræfte, at sikkerhedskravene er overholdt. Hvis procedurerne til kvalitetskontrol gennemføres uden problemer, implementeres ​​ændringen. 
   5. Overholdelse. Dataimportøren, dataimportørens datacenterudbydere og den administrerede tjenesteudbyder er underlagt regelmæssige sikkerhedskontroller, som udføres af en uafhængig tredjepart. Dataimportøren vil fortsat deltage i regelmæssige ISO/IEC 27001:2013- og ISO/IEC 27018:2014-kontroller. Dataimportøren gennemgår desuden SOC 1- og/eller SOC 2-rapporter for alle underleverandørorganisationer. Hvis en underleverandørorganisation ikke kan stille en SOC 1- og/eller SOC 2-rapport til rådighed, udfører dataimportøren sikkerhedsbesøg for at bekræfte, at de anvendte sikkerhedskontroller for fysisk adgang, for miljøet og for driftssikkerheden opfylder kriterierne og de aftalemæssige krav. Dataimportøren evaluerer yderligere certificeringer og attester for overholdelse af regler, når de stilles til rådighed for dataimportøren af underleverandørerne. Dette sker løbende.
3. Fysisk sikkerhed
   1. Infrastruktur. Fysisk adgang til underleverandørers faciliteter, hvor produktionssystemerne findes, er begrænset til personale, der er autoriseret af dataimportøren, efter behov for at udføre deres jobfunktion. Enkeltpersoner, der kræver yderligere adgang til produktionsmiljøets faciliteter, opnår denne adgang gennem udtrykkelig godkendelse fra den relevante ledelse. 
   2. Kontor. Dataimportøren opretholder et fysisk sikkerhedsteam, der er ansvarlige for at håndhæve politikken for fysisk sikkerhed og føre tilsyn med sikkerheden på dataimportørens virksomhedskontorer. Det er udelukkende autoriseret personale på de højeste niveauer i adgangskortsystemet, der har adgang til de områder, hvor virksomhedens tjenester befinder sig.