Perjanjian Dropbox Business

Ditempatkan: 14 September 2016

Perjanjian Dropbox Business ini ("Perjanjian") adalah antara Dropbox International Unlimited Company jika organisasi Anda berbasis di luar Amerika Serikat, Kanada, dan Meksiko ("Amerika Utara") atau, jika organisasi Anda berbasis di Amerika Utara, antara Dropbox, Inc., sebuah korporasi di Delaware ("Dropbox") dan organisasi yang menyetujui persyaratan ini ("Pelanggan"). Perjanjian ini mengatur akses ke dan penggunaan perangkat lunak klien dan layanan Dropbox Business (bersama-sama disebut sebagai "Dropbox Business"), serta Layanan Beta yang tersedia kepada Anda (bersama-sama dengan Dropbox Business disebut sebagai "Layanan"). Dengan mengeklik "Saya Setuju", menandatangani kontrak Layanan atau menggunakan Layanan, berarti Anda menyetujui Perjanjian ini sebagai Pelanggan.

Sejauh Dropbox, Inc. memproses Data Pelanggan, atas nama Pelanggan, yang tunduk pada peraturan nasional yang menerapkan Arahan Perlindungan Data UE [(EU Data Protection Directive, (95/46/EC) ] [("Undang-Undang Perlindungan Data UE","EU Data Protection Laws")], maka dengan mengeklik "Saya setuju," berarti Anda juga menyetujui Klausul Kontrak Standar UE (EU Standard Contractual Clauses) dengan Dropbox, Inc. untuk memindahkan data pribadi ke pemroses yang ditetapkan di dalam Lampiran 1.

Jika Anda menyetujui Perjanjian ini dan Lampiran 1 (jika berlaku) untuk penggunaan Layanan oleh sebuah organisasi, berarti Anda menyetujui Perjanjian ini atas nama organisasi tersebut. Anda harus memiliki kewenangan untuk mengikat organisasi tersebut dengan persyaratan ini; jika tidak, Anda tidak boleh mendaftar Layanan ini.

1. Layanan.
   1. Penyediaan Layanan. Pelanggan dan pengguna akun Layanan Pelanggan ("Pengguna Akhir") dapat mengakses dan menggunakan Layanan sesuai dengan Perjanjian ini.
   2. Fasilitas dan Pemrosesan Data. Dropbox sekurang-kurangnya akan menggunakan langkah-langkah keamanan teknis dan keorganisasian standar industri untuk memindahkan, menyimpan, dan memroses Data Pelanggan. Semua langkah ini dirancang untuk melindungi integritas Data Pelanggan dan menjaga dari akses tanpa izin atau tidak sah untuk menggunakan dan memproses Data Pelanggan. Pelanggan setuju bahwa Dropbox dapat memindahkan, menyimpan, dan memproses Data Pelanggan di Amerika Serikat dan lokasi di luar negara Pelanggan tersebut. Sejauh Data Pelanggan tunduk kepada EU Data Protection Laws dan diproses oleh Dropbox sebagai pemroses data yang bertindak atas nama Pelanggan (sebagai pengotrol data), Dropbox akan menggunakan dan memproses Data Pelanggan tersebut sesuai petunjuk pelanggan untuk memberikan Layanan dan memenuhi kewajiban Dropbox dalam Perjanjian ini. "Data Pelanggan" berarti Data yang Disimpan dan Data Akun. "Data yang Disimpan" berarti file dan data berstruktur yang dikirimkan ke Layanan oleh Pelanggan atau Pengguna Akhir. "Data Akun" berarti akun dan informasi kontak yang dikirimkan ke Layanan oleh Pelanggan atau Pengguna Akhir.
   3. Perubahan Layanan. Dropbox dapat memperbarui Layanan ini dari waktu ke waktu. Jika Dropbox mengubah Layanan dengan cara yang secara signifikan mengurangi fungsinya, maka Dropbox akan memberi tahu Pelanggan melalui alamat email yang terkait dengan akun.
   4. Perangkat Lunak. Sebagian Layanan memungkinkan Pelanggan mengunduh perangkat lunak Dropbox yang otomatis dapat diperbarui. Pelanggan dapat memakai perangkat lunak hanya untuk mengakses Layanan. Jika ada komponen perangkat lunak ditawarkan berdasarkan lisensi sumber terbuka, Dropbox akan menyediakan lisensi tersebut kepada Pelanggan dan penyediaan lisensi tersebut tak diragukan dapat menggantikan beberapa persyaratan Perjanjian ini.
   5. Layanan Versi Beta. Dropbox dapat menyediakan fitur atau produk yang masih kami uji dan evaluasi. Produk dan fitur ini diidentifikasi sebagai versi alfa, beta, pratinjau, akses awal, atau evaluasi (atau kata atau frasa dengan arti serupa) (bersama-sama disebut sebagai “Layanan Versi Beta”). Tanpa mengesampingkan apa pun yang bertentangan dengan Perjanjian ini atau dalam Jadwal 1, ketentuan berikut berlaku untuk semua Layanan Versi Beta: (a) Anda dapat menggunakan atau menolak menggunakan Layanan Versi Beta mana pun, (b) Layanan Versi Beta mungkin tidak didukung dan dapat berubah kapan saja tanpa pemberitahuan apa pun kepada Anda, (c) Layanan Versi Beta mungkin tidak seandal dan setersedia seperti Dropbox Business; (d) Layanan Versi Beta belum melewati tindakan keamanan dan audit yang sama seperti yang telah dilewati oleh Dropbox Business, dan (e) DROPBOX TIDAK BERTANGGUNG JAWAB ATAS HAL YANG MUNCUL KARENA ATAU TERKAIT DENGAN LAYANAN VERSI BETA - ANDA MENANGGUNG SENDIRI RISIKO SEPENUHNYA.
2. Kewajiban Pelanggan.
   1. Kepatuhan. Pelanggan bertanggung jawab atas penggunaan Layanan oleh Pengguna Akhirnya. Pelanggan dan Pengguna Akhirnya harus menggunakan Layanan ini sesuai dengan Kebijakan Penggunaan Berterima. Pelanggan harus mendapatkan persetujuan apa pun yang dianggap perlu dari Pengguna Akhir untuk mengizinkan Administrator ikut dalam aktivitas yang dijelaskan di Perjanjian ini dan mengizinkan Dropbox untuk menyediakan Layanan ini. Pelanggan harus patuh pada hukum dan peraturan yang berlaku untuk penggunaan Layanan Pelanggan, jika ada.
   2. Administrasi Pelanggan dari LayananPelanggan dapat menetapkan Pengguna Akhir sebagai "Administrator" melalui konsol administratif. Administrator dapat memiliki kemampuan untuk mengakses, mengungkap, membatasi, atau menghapus Data Pelanggan di atau dari akun Layanan. Administrator juga dapat memantau, membatasi, atau mengakhiri akses ke akun Layanan. Tanggung jawab Dropbox tidak mencakup manajemen internal atau administrasi Layanan. Pelanggan bertanggung jawab untuk: (i) memelihara kerahasiaan kata sandi dan akun Administrator; (ii) mengelola akses ke akun Administrator; dan (iii) memastikan bahwa penggunaan Layanan Administrator mematuhi Perjanjian ini. Pelanggan menyatakan bahwa jika Pelanggan membeli Layanan melalui pengecer dan mewakilkan pegawai pengecer ini sebagai Administrator akun Layanan Pelanggan, maka pengecer yang dimaksud ini mungkin dapat mengontrol informasi akun, termasuk Data Pelanggan, dan mengakses akun Layanan Pelanggan seperti dijelaskan lebih lanjut di atas.
   3. Penggunaan & Akses Tidak Sah. Pelanggan akan mencegah penggunaan Layanan yang tidak sah oleh Pengguna Akhir dan akan mengakhiri setiap penggunaan atau akses ke Layanan yang tidak sah. Layanan ini tidak dimaksudkan bagi Pengguna Akhir yang berusia di bawah 13 tahun. Pelanggan akan memastikan bahwa ia tidak akan mengizinkan siapa saja yang berusia di bawah 13 tahun untuk menggunakan Layanan. Pelanggan akan segera memberi tahu Dropbox jika terdapat penggunaan atau akses yang tidak sah ke Layanan.
   4. Pembatasan Penggunaan. Pelanggan tidak boleh (i) menjual, menjual kembali, atau menyewakan Layanan; (ii) menggunakan Layanan untuk aktivitas di mana penggunaan atau kegagalan Layanan dapat menimbulkan kerusakan fisik, kematian, atau cedera pribadi; atau (iii) merekayasa ulang Layanan, atau berupaya atau membantu siapa saja melakukannya, kecuali pembatasan ini dilarang oleh hukum.
   5. Permintaan Pihak Ketiga.
      1. "Permintaan Pihak Ketiga" berarti permintaan dari pihak ketiga untuk rekaman terkait penggunaan Layanan Pengguna Akhir, termasuk informasi di atau dari akun Layanan Pengguna Akhir atau Pelanggan. Permintaan Pihak Ketiga dapat mencakup surat perintah penggeledahan, perintah pengadilan, atau pemanggilan paksa, atau permintaan lain yang disetujui secara tertulis oleh Pengguna Akhir yang mengizinkan pengungkapan.
      2. Pelanggan bertanggung jawab menanggapi Permintaan Pihak Ketiga melalui akses informasinya sendiri. Pelanggan harus berusaha memperoleh informasi yang diperlukan untuk menanggapi Permintaan Pihak Ketiga dan harus menghubungi Dropbox hanya jika dia gagal memperoleh informasi itu meskipun sudah berusaha keras.
      3. Dropbox akan melakukan upaya yang wajar secara komersial, sejauh yang diizinkan oleh hukum dan oleh persyaratan Permintaan Pihak Ketiga, untuk: (A) segera memberi tahu Pelanggan bahwa Dropbox menerima Permintaan Pihak Ketiga; (B) memenuhi permintaan yang wajar secara komersial dari Pelanggan terkait upaya menolak Permintaan Pihak Ketiga; dan (C) memberi Pelanggan informasi dan alat yang diperlukan untuk menanggapi Permintaan Pihak Ketiga (jika Pelanggan dengan satu atau lain cara tidak mampu memperoleh informasi tersebut). Jika Pelanggan tidak dapat segera menanggapi Permintaan Pihak Ketiga, maka Dropbox dapat, namun tidak wajib melakukannya.
3. Layanan Pihak Ketiga. Jika Pelanggan menggunakan layanan pihak ketiga mana pun (misalnya, layanan yang menggunakan API Dropbox) bersama Layanan, (a) Dropbox tidak bertanggung jawab atas segala tindakan atau kealpaan pihak ketiga tersebut, termasuk akses pihak ketiga atau penggunaan Data Pelanggan dan (b) Dropbox tidak menjamin atau mendukung layanan apa pun yang diberikan oleh pihak ketiga.
4. Penghentian Untuk Sementara Waktu
   1. Atas Akun Pengguna Akhir oleh Dropbox. Jika Pengguna Akhir (i) melanggar Perjanjian ini atau (ii) menggunakan Layanan dengan cara yang masuk akal diyakini Dropbox akan mengakibatkannya memikul pertanggungan, maka Dropbox dapat meminta agar Pelanggan itu menghentikan untuk sementara waktu atau mengakhiri akun Pengguna Akhir yang berlaku. Jika Pelanggan tidak dapat menghentikan untuk sementara waktu atau mengakhiri akun Pengguna Akhir dengan segera, maka Dropbox dapat melakukannya.
   2. Darurat Keamanan. Terlepas dari semua dalam Perjanjian ini, jika terjadi Darurat Keamanan, maka Dropbox otomatis dapat menghentikan untuk sementara waktu penggunaan Layanan. Dropbox akan melakukan upaya yang wajar secara komersial untuk menyesuaikan dengan cermat penghentian sementara itu berdasarkan kebutuhan untuk mencegah atau mengakhiri Darurat Keamanan. "Darurat Keamanan" berarti: (i) penggunaan Layanan yang dapat atau berpotensi dapat mengganggu Layanan, penggunaan Layanan pelanggan lain, atau mengganggu infrastruktur yang digunakan untuk memberikan Layanan dan (ii) akses pihak ketiga ke Layanan tidak sah.
5. Hak Kekayaan Intelektual.
   1. Perlindungan Hak. Kecuali dengan jelas dinyatakan dalam dokumen ini, Perjanjian ini tidak memberi (i) Hak Kekayaan Intelektual apa pun kepada Dropbox atas Data Pelanggan atau (ii) Hak Kekayaan Intelektual apa pun kepada Pelanggan atas Layanan atau merek-merek dagang dan fitur-fitur bermerek Dropbox. "Hak Kekayaan Intelektual" berarti hak pada saat ini dan di masa mendatang di seluruh dunia berdasarkan paten, hak cipta, rahasia dagang, merek dagang, hak moral, dan hak-hak serupa lainnya.
   2. Izin Terbatas. Pelanggan hanya memberi hak terbatas kepada Dropbox yang dianggap perlu untuk menawarkan Layanan ini (misalnya, menyediakan layanan penampungan untuk Data yang Disimpan). Izin ini juga diperluas kepada afiliasi kami dan pihak ketiga tepercaya yang bekerja sama dengan Dropbox agar dapat menawarkan Layanan ini (misalnya, penyedia pembayaran yang digunakan untuk memproses pembayaran biaya).
   3. Saran. Dropbox dapat, sesuai kebijaksanaannya dan untuk keperluan apa pun, menggunakan, mengubah, atau memasukkan ke dalam produk dan layanannya, lisensi dan sub-lisensi, umpan balik apa pun, komentar, atau saran yang Pelanggan atau Pengguna Akhir kirimkan ke Dropbox atau tempatkan di forum Dropbox tanpa kewajiban apa pun kepada Pelanggan.
   4. Daftar Pelanggan. Dropbox dapat mencantumkan nama Pelanggan dalam daftar pelanggan Dropbox di situs web Dropbox atau dalam materi promosi.
6. Biaya & Pembayaran.
   1. Biaya. Pelanggan harus membayar, dan mengizinkan Dropbox atau penjual (reseller) dari Pelanggan, membebankan biaya menggunakan metode pembayaran pilihan Pelanggan, atas semua biaya yang berlaku. Biaya tidak dapat dikembalikan kecuali diwajibkan oleh hukum. Pelanggan bertanggung jawab memberikan informasi kontak dan tagihan yang lengkap serta akurat kepada Dropbox atau penjual (reseller) dari Pelanggan. Dropbox dapat menghentikan untuk sementara waktu atau mengakhiri Layanan jika terjadi keterlambatan pembayaran biaya.
   2. Perpanjangan Otomatis dan Uji Coba. JIKA AKUN PELANGGAN DITETAPKAN UNTUK PERPANJANGAN OTOMATIS ATAU BERADA DALAM MASA UJI COBA, MAKA DROPBOX (ATAU PENJUAL [RESELLER] DARI PELANGGAN) OTOMATIS DAPAT MEMBEBANKAN BIAYA DI AKHIR UJI COBA ATAU UNTUK PERPANJANGAN ITU, KECUALI JIKA PELANGGAN MEMBERI TAHU DROPBOX (ATAU PENJUAL [RESELLER] DARI PELANGGAN) BAHWA IA INGIN MEMBATALKAN ATAU MENONAKTIFKAN PERPANJANGAN OTOMATIS. Dropbox dapat merevisi tarif Layanan dengan pemberitahuan di muka setidaknya 30 hari sebelum tagihan berikutnya ke Pelanggan.
   3. Pajak. Pelanggan bertanggung jawab atas semua pajak. Dropbox, atau penjual (reseller) dari Pelanggan akan mengenakan biaya pajak bila diharuskan melakukan hal tersebut. Jika Pelanggan diharuskan oleh hukum untuk menangguhkan semua pajak, maka Pelanggan harus memberikan tanda terima pajak resmi atau dokumen lain yang sesuai kepada Dropbox atau penjual (reseller) dari Pelanggan.
   4. Pesanan Pembelian. Jika Pelanggan mewajibkan penggunaan pesanan pembelian atau nomor pesanan pembelian, Pelanggan (i) harus memberikan nomor pesanan pembelian pada saat pembelian dan (ii) setuju bahwa setiap persyaratan dan ketentuan di pesanan pembelian Pelanggan tidak akan berlaku pada Perjanjian ini dan dianggap tidak valid. Jika Pelanggan membeli melalui penjual (reseller), semua persyaratan dan ketentuan dari penjual (reseller) dari Pelanggan atau dalam pesanan pembelian antara Anda dan penjual (reseller) Anda yang bertentangan dengan Perjanjian Dropbox Business ini dianggap batal dan tidak berlaku.
7. Termin dan Pengakhiran.
   1. Termin. Perjanjian ini akan tetap berlaku hingga langganan Pelanggan ke Layanan habis waktunya atau berakhir, atau hingga Perjanjian diakhiri.
   2. Pengakhiran karena Pelanggaran. Baik Dropbox maupun Pelanggan dapat mengakhiri Perjanjian ini jika: (i) pihak lainnya melakukan pelanggaran material atas Perjanjian ini dan gagal menyelesaikan pelanggaran itu dalam waktu 30 hari setelah diterimanya pemberitahuan tertulis atau (ii) pihak lain menghentikan operasi bisnisnya atau menjalankan proses pailit dan proses pengadilannya tidak diselesaikan dalam waktu 90 hari.
   3. Efek Pengakhiran. Jika Perjanjian ini berakhir: (i) hak yang diberikan oleh Dropbox kepada Pelanggan akan langsung berhenti (kecuali sebagaimana ditetapkan dalam bagian ini); (ii) Dropbox dapat memberikan Pelanggan akses ke akun mereka sesuai biaya yang berlaku saat itu, sehingga Pelanggan dapat mengekspor Datanya yang Disimpan; dan (iii) setelah jangka waktu yang masuk akal secara komersial, Dropbox dapat menghapus semua Data Disimpan yang terkait akun Pelanggan. Bagian-bagian berikut masih tetap berlaku sekalipun Perjanjian ini sudah lewat waktunya atau berakhir: 2(e) (Permintaan Pihak Ketiga), 5 (Hak Atas Kekayaan Intelektual), 6 (Biaya & Pembayaran), 7(c) (Efek Penghentian), 8 (Ganti Rugi), 9 (Penyangkalan), 10 (Batasan Pertanggungan), 11 (Perselisihan), dan 12 (Hal-Hal Lainnya).
8. Ganti Rugi.
   1. Oleh Pelanggan. Pelanggan akan mengganti kerugian, melindungi, dan membebaskan Dropbox dari dan terhadap semua pertanggungan, kerugian, dan biaya (termasuk biaya penyelesaian dan biaya sewajarnya untuk penasihat hukum) yang timbul akibat tuntutan pihak ketiga terhadap Dropbox dan afiliasinya terkait: (i) Data Pelanggan; (ii) penggunaan Layanan Pelanggan yang melanggar Perjanjian ini; atau (iii) penggunaan Layanan Pengguna Akhir yang melanggar Perjanjian ini.
   2. Oleh Dropbox. Dropbox akan mengganti kerugian, melindungi, dan membebaskan Pelanggan dari dan terhadap semua pertanggungan, kerugian, dan biaya (termasuk biaya penyelesaian dan biaya sewajarnya untuk penasihat hukum) yang timbul akibat tuntutan apa pun dari pihak ketiga terhadap Pelanggan hingga sejauh atas dasar dugaan bahwa teknologi Dropbox yang digunakan untuk memberikan Layanan kepada Pelanggan melanggar atau menyelewengkan hak cipta, rahasia dagang, paten AS, atau hak merek dagang dari pihak ketiga yang dimaksud. Dalam hal apa pun Dropbox tidak berkewajiban atau bertanggung jawab pada bagian ini yang timbul karena (i) penggunaan Layanan mana pun dalam bentuk yang telah dimodifikasi atau dikombinasikan dengan materi yang tidak diperlengkapi oleh Dropbox dan (ii) konten, informasi, atau data apa pun yang disediakan oleh Pelanggan, Pengguna Akhir, atau pihak ketiga lainnya.
   3. Kemungkinan Pelanggaran. Jika Dropbox meyakini bahwa Layanan melanggar atau mungkin diduga melanggar Hak Kekayaan Intelektual pihak ketiga, maka Dropbox dapat: (i) mendapatkan hak agar Pelanggan, atas biaya Dropbox, dapat terus menggunakan Layanan; (ii) memberikan pengganti dengan fungsi setara yang tidak melanggar; atau (iii) mengubah Layanan agar tidak melanggar lagi. Jika Dropbox tidak yakin bahwa opsi yang diuraikan di bagian ini adalah wajar secara komersial, maka Dropbox dapat menghentikan untuk sementara waktu atau mengakhiri penggunaan Layanan terkait Pelanggan (dengan pengembalian biaya prabayar yang dihitung rata-rata untuk Layanan itu).
   4. Umum. Pihak peminta ganti rugi harus segera memberi tahu pihak satunya soal tuntutannya dan bekerja sama dengannya dalam pengajuan tuntutannya. Pihak penanggung ganti rugi akan memiliki kontrol dan wewenang penuh atas pengajuan, kecuali bahwa: (i) penyelesaian apa pun yang mensyaratkan pihak peminta ganti rugi untuk menyatakan telah menerima pertanggungan memerlukan persetujuan tertulis sebelumnya, agar tidak ditahan atau ditunda secara tidak wajar, dan (ii) pihak lainnya dapat ikun dalam pengajuan ini dengan penasihat hukumnya sendiri dan atas biayanya sendiri. GANTI RUGI DI ATAS ADALAH SATU-SATUNYA PENYELESAIAN DROPBOX DAN PELANGGAN DALAM PERJANJIAN INI UNTUK PELANGGARAN YANG DILAKUKAN PIHAK LAIN ATAS HAK KEKAYAAN INTELEKTUAL PIHAK KETIGA.
9. Penyangkalan. LAYANAN DISEDIAKAN "SEBAGAIMANA ADANYA." SEJAUH DIIZINKAN OLEH HUKUM, KECUALI DINYATAKAN DENGAN JELAS DALAM PERJANJIAN INI, BAIK PELANGGAN MAUPUN DROPBOX DAN AFILIASINYA, PEMASOK, DAN DISTRIBUTOR TIDAK MEMBUAT JAMINAN APA PUN BENTUKNYA, BAIK TERSURAT, TERSIRAT, HUKUM, ATAU LAINNYA, TERMASUK JAMINAN KELAYAKAN UNTUK DAPAT DIJUAL BELIKAN, KESESUAIAN UNTUK PENGGUNAAN KHUSUS, ATAU TANPA PELANGGARAN. PELANGGAN BERTANGGUNG JAWAB UNTUK MEMELIHARA DAN MEMBUAT CADANGAN SETIAP DATA YANG DISIMPAN.
10. Batasan Pertanggungan.
    1. Batasan atas Pertanggungan Tidak Langsung. SEJAUH YANG DIIZINKAN OLEH HUKUM, KECUALI UNTUK KEWAJIBAN GANTI RUGI DROPBOX ATAU PELANGGAN, BAIK PELANGGAN MAUPUN DROPBOX, DAN AFILIASINYA, PEMASOK, DAN DISTRIBUTOR` TIDAK BERTANGGUNG JAWAB DALAM PERJANJIAN INI ATAS (I) KERUGIAN TIDAK LANGSUNG, KHUSUS, INSIDENTAL, KONSEKUENSI, SEBAGAI PERINGATAN, ATAU PUNITIF, ATAU (II) KEHILANGAN PENGGUNAAN, DATA, BISNIS, PENDAPATAN ATAU KEUNTUNGAN (BAIK LANGSUNG ATAU TIDAK LANGSUNG DALAM SETIAP KASUS), BAHKAN JIKA ADA PIHAK YANG TAHU ATAU SEMESTINYA TELAH TAHU BAHWA KERUGIAN SEDEMIKIAN MUNGKIN TERJADI DAN BAHKAN JIKA PENYELESAIAN GAGAL MEMENUHI TUJUAN UTAMANYA.
    2. Batasan Jumlah Pertanggungan. SEJAUH YANG DIIZINKAN OLEH HUKUM, PERTANGGUNGAN KOLEKTIF DROPBOX DALAM PERJANJIAN INI TIDAK AKAN MELEBIHI JUMLAH LEBIH KECIL DARI $100.000 ATAU JUMLAH YANG DIBAYARKAN PELANGGAN UNTUK LAYANAN YANG DISEBUTKAN DALAM INI SELAMA DUA BELAS BULAN SEBELUM PERISTIWA YANG MENIMBULKAN PERTANGGUNGAN.
11. Perselisihan.
    1. Penyelesaian Informal. Dropbox ingin menanggapi kekhawatiran Anda tanpa melibatkan kasus hukum resmi. Sebelum mengajukan tuntutan, setiap pihak setuju untuk menyelesaikan perselisihan dengan menghubungi pihak lain melalui prosedur pemberitahuan di bagian 12(e). Jika perselisihan tidak diselesaikan dalam waktu 30 hari pemberitahuan, Pelanggan atau Dropbox dapat melanjutkan proses hukum secara resmi.
    2. Kesepakatan untuk Arbitrase. Pelanggan dan Dropbox setuju untuk menyelesaikan setiap tuntan yang terkait Perjanjian ini atau Layanan melalui arbitrase yang bersifat final dan mengikat, kecuali sebagaimana ditetapkan di bawah ini. American Arbitration Association (AAA) akan mengatur arbitrase sesuai Aturan Arbitrase Komersial-nya. Arbitrase akan diselenggarakan di San Fransisco (CA), atau lokasi lain mana pun yang telah disetujui secara tertulis oleh kedua belah pihak.
    3. Pengecualian Kesepakatan untuk Arbitrase. Salah satu pihak bisa mengajukan gugatan di pengadilan federal atau negara bagian San Francisco County, California khusus untuk pelarangan pengadilan untuk menghentikan penggunaan yang tidak sah atau penyalahgunaan Layanan atau pelanggaran Hak Kekayaan Intelektual tanpa terlebih dahulu melalui proses pemberitahuan perselisihan informal yang telah dijelaskan di atas. Baik Pelanggan maupun Dropbox setuju atas yurisdiksi pribadi dan tempat di lokasi tersebut.
    4. TANPA GUGATAN KELOMPOK. Pelanggan hanya boleh mengatasi perselisihan dengan Dropbox secara individu dan tidak akan mengajukan tuntutan melalui gugatan kelompok, konsolidasi, atau representatif. Arbitrase kelompok, gugatan kelompok, gugatan umum pengacara pribadi, dan konsolidasi dengan arbitrase lain tidak diizinkan.
12. Lain-lain.
    1. Perubahan Persyaratan. Dropbox dapat merevisi Perjanjian ini dari waktu ke waktu dan versi terkini akan selalu ditempatkan di situs web Dropbox Business. Jika revisinya, sesuai kebijaksanaan eksklusif Dropbox, adalah revisi material, maka Dropbox akan memberi tahu Pelanggan (misalnya melalui pengiriman email ke alamat email terkait akun yang berlaku). Revisi lain mungkin ditempatkan di blog atau halaman persyaratan Dropbox, dan Pelanggan bertanggung jawab untuk memeriksa penempatan sedemikian secara berkala. Dengan terus mengakses atau menggunakan Layanan setelah revisi diberlakukan, berarti Pelanggan setuju terikat dengan Perjanjian yang direvisi. Jika Pelanggan tidak menyetujui persyaratan Perjanjian yang direvisi, Pelanggan dapat mengakhiri Layanan setelah 30 hari menerima pemberitahuan perubahan.
    2. Keseluruhan Perjanjian. Perjanjian ini, termasuk faktur dan formulir pesanan Pelanggan dengan Dropbox (jika berlaku), merupakan keseluruhan perjanjian antara Pelanggan dan Dropbox terkait substansi Perjanjian ini dan mengambil alih serta menggantikan semua kesepahaman dan perjanjian yang ada sebelumnya atau yang bersamaan waktunya, baik tertulis maupun lisan, terkait substansi Perjanjian ini. Jika ada perbedaan antara dokumen-dokumen yang menyusun Perjanjian ini, maka urutan prioritas dokumen yang berlaku adalah sebagai berikut: faktur Dropbox, formulir pesanan Dropbox, Perjanjian.
    3. Hukum yang Mengatur. PERJANJIAN INI AKAN DIATUR OLEH HUKUM CALIFORNIA KECUALI UNTUK PERTENTANGAN PRINSIP HUKUM.
    4. Keterpisahan. Ketentuan yang tidak dapat dijalankan akan diubah untuk mencerminkan maksud para pihak dan hanya sejauh yang diperlukan untuk membuatnya dapat dijalankan, sedangkan ketentuan lain dalam Perjanjian tetap berlaku.
    5. Pemberitahuan. Pemberitahuan harus dikirim dengan pos udara kelas satu atau ekspedisi sehari sampai dan dianggap telah diberikan pada saat diterima. Pemberitahuan kepada Pelanggan juga dapat dikirimkan ke alamat email akun yang berlaku, dan dianggap telah diberikan pada saat dikirim. Pemberitahuan ke Dropbox harus dikirim ke Dropbox, Inc, P.O. Box 77767, San Francisco, CA 94107, dengan tembusan ke Legal Department.
    6. Pelepasan Tuntutan. Pelepasan atas suatu kelalaian bukanlah pelepasan atas kelalaian berikutnya.
    7. Pelimpahan. Pelanggan tidak boleh melimpahkan atau memindahkan Perjanjian ini atau hak atau kewajiban mana pun dalam Perjanjian ini tanpa persetujuan tertulis dari Dropbox. Dropbox tidak boleh melimpahkan Perjanjian ini tanpa memberikan pemberitahuan kepada Pelanggan, kecuali Dropbox boleh melimpahkan Perjanjian ini atau hak atau kewajiban mana pun dalam Perjanjian ini ke afiliasi atau dalam hal merger, akuisisi, penataan ulang perusahaan, atau penjualan seluruh atau hampir seluruh asetnya tanpa memberikan pemberitahuan. Upaya pelimpahan atau pemindahan lainnya tidak berlaku.
    8. Tanpa Keagenan. Dropbox dan Pelanggan bukan agen atau mitra hukum, melainkan kontraktor independen.
    9. Keadaan Kahar. Kecuali untuk kewajiban pembayaran, baik Dropbox maupun Pelanggan tidak bertanggung jawab atas kinerja yang tidak memadai yang disebabkan oleh kondisi yang tidak dapat dikendalikan secara wajar oleh para pihak (misalnya, bencana alam, perang atau terorisme, kerusuhan, kondisi perburuhan, tindakan pemerintah, dan gangguan Internet).
    10. Tidak Ada Ahli Waris Pihak Ketiga. Tidak ada ahli waris pihak ketiga atas Perjanjian ini. Tanpa membatasi bagian ini, Pengguna Akhir Pelanggan bukan ahli waris pihak ketiga atas hak-hak Pelanggan dalam Perjanjian ini.
    11. Pembatasan Ekspor. Ekspor dan ekspor ulang Data Pelanggan melalui Layanan mungkin dikontrol oleh Peraturan Administrasi Ekspor Amerika Serikat atau pembatasan atau embargo ekspor lainnya yang berlaku. Layanan tidak boleh digunakan di Kuba, Iran, Korea Utara, Sudan, atau Suriah atau negara lain yang dikenai embargo oleh Amerika Serikat dan Pelanggan tidak boleh menggunakan Layanan yang melanggar pembatasan atau embargo ekspor oleh Amerika Serikat atau yurisdiksi lain mana pun yang berlaku. Selain itu, Pelanggan harus memastikan bahwa Layanan tidak diberikan kepada orang yang tercantum di Tabel Perintah Penolakan Amerika Serikat (Table of Denial Orders), Daftar Entitas (Entity List), atau Daftar Kebangsaan yang Ditetapkan Khusus (List of Specially Designated Nationals).

Untuk Pasal 26(2) dari Arahan 95/46/EC terkait pemindahan data pribadi ke pemroses yang didirikan di negara ketiga yang tidak menjamin tingkat perlindungan data yang memadai

Nama organisasi pengekspor data: Pelanggan yang terlibat dalam Perjanjian Dropbox Business dengan Dropbox International Unlimited Company
(pengekspor data)

Dan

Nama organisasi pengimpor data: Dropbox, Inc.
Alamat: 333 Brannan Street, San Francisco, CA 94107 USA
(pengimpor data)

masing-masing disebut sebagai "pihak"; secara bersama-sama disebut sebagai "para pihak",

TELAH MENYETUJUI Klausul Kontrak berikut ini (Klausul) untuk menawarkan usaha perlindungan yang memadai terkait perlindungan hak privasi dan fundamental dan kebebasan individu atas pemndahan yang dilakukan oleh pengekspor data ke pengimpor data untuk data pribadi yang disebutkan secara spesifik di Apendiks 1.

Untuk maksud Klausul:

1. yang dimaksud 'data pribadi', 'kategori data khusus', 'proses/pemrosesan', 'pengontrol', 'pemroses', 'pemilik data' dan 'kewenangan pengawasan' akan memiliki makna yang sama dengan yang dimaksudkan di dalam Arahan 95/46/EC dari Parlemen dan Dewan Eropa tertanggal 24 Oktober 1995 tentang perlindungan individu terkait pemrosesan data pribadi dan tentang pemindahan bebas data seperti itu¹;
2. 'pengekspor data' bermakna pengontrol yang memindahkan data pribadi;
3. 'pengimpor data' bermakna pemroses yang setuju menerima data pribadi dari pengeskpor data yang dimaksudkan untuk diproses atas nama pengekspor setelah pemindahan sesuai petunjuk dan persyaratan Klausul pengekspor dan yang tidak tunduk pada sistem pihak ketiga yang menjamin perlindungan memadai berdasarkan makna Pasal 25(1) dari Arahan 95/46/EC;
4. 'subpemroses' bermakna semua pemroses yang dilibatkan oleh pengimpor data atau oleh subpemroses pengimpor data lainnya yang setuju menerima data pribadi dari pengimpor data atau dari subpemroses pengimpor data lainnya yang secara khusus dimaksudkan untuk aktivitas pemrosesan untuk dilakukan atas nama pengekspor data setelah pemindahan sesuai dengan petunjuknya, persyaratan Klausul dan persyaratan subkontrak tertulis dari pengekspor data;
5. 'hukum perlindungan data yang berlaku' bermakna aturan perundang-undangan yang melindungi hak-hak dasar dan kebebasan individu dan, secara khusus, hak mereka akan privasi terkait pemrosesan data pribadi yang dapat digunakan untuk pengontrol data di Negara Anggota tempat didirikannya pengekspor data;
6. 'tindakan keamanan teknis dan keorganisasian' bermakna semua tindakan yang bertujuan untuk melindungi data pribadi terhadap perusakan tida disengaja atau tidak sesuai dengan hukum atau kehilangan, perubahan tidak disengaja, pengungkapan atau akses yang tidak sah, khususnya bila pemrosesan tersebut melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang tidak sesuai dengan hukum lainnya.

Detail pemindahan dan khususnya kategori data pribadi khusus apabila berlaku ditetapkan di dalam Apendiks 1 yang membentuk bagian yang tidak terpisahkan dari Klausul ini.

1. Pemilik data dapat mewajibkan pengekspor data untuk mematuhi Klausul ini, Klausul 4(b) hingga (i), Klausul 5(a) hingga (e), dan (g) hingga (j), Klausul 6(1) dan (2), Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12 sebagai penerima pihak ketiga.
2. Pemilik data dapat mewajibkan pengimpor data untuk mematuhi Klausul ini, Klausul 5(a) hingga (e) dan (g), Klausul 6, Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12, seandainya pengekspor data sesuai fakta tidak dapat ditemukan atau secara hukum telah meninggal kecuali ada individu penerus yang mengambil alih tanggung jawab atas seluruh kewajiban legal pengekspor data berdasarkan kontrak atau berlaku demi hukum, dan karena itu ia menerima hak dan kewajiban pengekspor data, yang mana pun situasinya pemilik data dapat mewajibkan individu tersebut untuk memenuhi klausul ini.
3. Pemilik data dapat mewajibkan subpemroses untuk mematuhi Klausul ini, Klausul 5(a) hingga (e) dan (g), Klausul 6, Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12, dalam situasi di mana baik pengekspor data maupun pengimpor data sesuai fakta tidak dapat ditemukan atau secara hukum telah meninggal atau telah menjadi pailit, kecuali ada individu penerus yang mengambil alih tanggung jawab atas seluruh kewajiban legal pengekspor data berdasarkan kontrak atau berlaku demi hukum, dan karena itu ia menerima hak dan kewajiban pengekspor data, yang mana pun situasinya pemilik data dapat mewajibkan individu tersebut untuk memenuhi klausul ini. Pertanggungjawaban sub-pemroses pihak ketiga sedemikian akan dibatasi pada tindakan pemrosesannya sendiri dalam Klausul ini.
4. Para pihak tidak keberatan pada pemilik data yang diwakili oleh sebuah asosiasi atau lembaga lainnya jika pemilik data secara tegas menginginkannya dan jika diizinkan oleh hukum nasional.

Pengekspor data setuju dan menjamin:

1. bahwa pemrosesan, termasuk pemindahan itu sendiri, dari data pribadi telah dan akan terus dilaksanakan sesuai dengan ketentuan yang terkait dari hukum perlindungan data yang berlaku (dan, apabila berlaku, telah diberitahukan kepada pihak berwenang yang terkait dari Negara Anggota tempat didirikannya pengekspor data) dan tidak melanggar ketentuan yang terkait dari Negara Anggota tersebut;
2. bahwa pengekspor data telah menginstruksikan dan selama masa layanan pemrosesan data pribadi akan menginstruksikan pengimpor data untuk memproses data pribadi tersebut yang dipindahkan atas nama pengekspor data itu dan sesuai dengan hukum perlindungan data yang berlaku serta Klausul ini;
3. bahwa pengimpor data akan memberikan jaminan yang memadai terkait tindakan keamanan teknis dan keorganisasian yang ditetapkan di dalam Apendiks 2 pada kontrak ini;
4. bahwa setelah penilaian syarat-syarat hukum perlindungan data yang berlaku, tindakan keamanan adalah tepat untuk melindungi data pribadi terhadap perusakan tak disengaja atau tidak sesuai hukum, atau kehilangan, perubahan tak disengaja, pengungkapan atau akses yang tidak sah, khususnya bila pemrosesan tersebut melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang tidak sesuai hukum lainnya, dan bahwa semua tindakan ini memastikan tingkat keamanan yang tepat atas risiko yang ditimbulkan oleh pemrosesan ini dan jenis data yang akan dilindungi dengan mempertimbangkan penerapan perlindungan keamanan terbaru dan biaya;
5. bahwa pengekspor data akan memastikan kepatuhannya terhadap tindakan keamanan;
6. bahwa, jika pemindahan melibatkan kategori data khusus, pemilik data telah diberi tahu atau akan diberitahukan sebelumnya, atau sesegera mungkin setelah, memindahkan datanya yang dapat dipindahkan ke negara ketiga yang tidak menyediakan perlindungan yang memadai berdasarkan Arahan 95/46/EC;
7. untuk meneruskan setiap pemberitahuan yang diterima dari pengimpor data ke setiap subprosesor seusai dengan Klausul 5(b) dan Klausul 8(3) ke otoritas pengawasan perlindungan data jika pengekspor data memutuskan untuk meneruskan pemindahan atau mengangkat penangguhan;
8. untuk menyediakan salinan Klausul kepada pemilik data jika diminta, kecuali Apendiks 2, dan rangkuman keterangan tindakan keamanan, serta salinan setiap kontrak untuk layanan subpemrosesan yang harus dibuat berdasarkan Klausul, kecuali Klausul atau kontrak itu mengandung informasi komersial, yang jika demikian maka pengekspor data akan menghapus informasi komersial itu;
9. bahwa, terkait dengan subpemrosesan, aktivitas pemrosesan dilaksanakan sesuai dengan Klausul 11 oleh subpemroses yang menyediakan setidaknya tingkat perlindungan yang sama untuk data pribadi dan hak-hak pemilik data sebagai pengimpor data dalam Klausul ini; dan
10. bahwa pengekspor data akan menjamin kepatuhan terhadap Kalusul 4(a) hingga (i).

Pengimpor data setuju dan menjamin:

1. untuk memproses data pribadi hanya atas nama pengekspor data dan tunduk pada petunjuknya dan Klausul ini; jika karena alasan apa pun pengimpor data tidak memberikan kepatuhan seperti itu, maka ia setuju untuk langsung memberitahukan pengekspor data mengenai kegagalannya untuk patuh, bagaimana pun situasinya pengekspor data berhak menangguhkan pemindahan data dan/atau mengakhiri kontrak;
2. bahwa pengimpor data tidak beralasan untuk percaya bahwa peraturan perundang-undangan yang berlaku mencegahnya agar tidak memenuhi instruksi yang diterima dari pengekspor data dan kewajibannya dalam kontrak dan bahwa seandainya terjadi perubahan pada peraturan perundang-undangan ini yang mungkin berdampak merugikan yang serius pada jaminan dan kewajiban yang disediakan Klausul ini, pengimpor data akan langsung memberitahukan perubahan ini kepada pengekspor data sesegera mungkin setelah disadari, bagaimana pun situasinya pengekspor data berhak menangguhkan pemindahan data dan/atau mengakhiri kontrak;
3. bahwa pengimpor data telah menerapkan tindakan keamanan teknis dan keorganisasian yang ditetapkan di Apendiks 2 sebelum memproses data pribadi yang dipindahkan;
4. bahwa pengimpor data akan langsung memberitahukan pengekspor data tentang:
   1. permintaan apa pun yang mengikat secara hukum untuk pengungkapan data pribadi oleh pihak berwenang penegakan hukum kecuali sebaliknya dilarang, seperti larangan dalam hukum pidana untuk mempertahankan kerahasiaan penyelidikan penegakan hukum,
   2. akses apa saja yang tidak disengaja atau tidak sah, dan
   3. permintaan apa saja yang diterima langsung dari pemilik data tanpa menanggapi permintaan itu, kecuali telah diizinkan sebaliknya untuk dilakukan:
5. untuk menangani semua permintaan secara cepat dan tepat dari pengekspor data berkaitan dengan pemrosesan data pribadi yang dipindahkan dan mematuhi saran otoritas pengawas terkait pemrosesan pemindahan data.
6. atas permintaan pengekspor data. untuk mengizinkan audit pada fasilitas pemrosesan datanya atas aktivitas pemrosesan yang dicakup oleh Klausul ini yang audit ini akan dilaksanakan oleh pengekspor data atau badan pemeriksa yang terdiri atas anggota independen dan memiliki kualifikasi profesional yang dibutuhkan serta dibatasi oleh kewajiban kerahasiaan, diseleksi oleh pengekspor data, dan bila berlaku, atas persetujuan otoritas pengawas;
7. untuk menyediakan salinan Klausul ini kepada pemilik data bila diminta, atau kontrak apa pun yang ada untuk subpemrosesan, kecuali Klausul atau kontrak ini berisi informasi komersial, yang jika ini situasinya, maka pemilik data dapat menghapus informasi komersial ini, kecuali Apendiks 2 yang akan digantikan oleh deskripsi ringkasan tindakan keamanan dalam situasi itu di mana pemilik data tidak dapat memperoleh salinan dari pengekspor data;
8. bahwa, terkait sub-pemrosesan, pengimpor data sebelumnya telah memberi tahu pengekspor data dan mendapatkan terlebih dahulu persetujuan tertulis-nya;
9. bahwa layanan pemrosesan oleh subpemroses akan dilaksanakan sesuai dengan Klausul 11;
10. untuk segera mengirimkan salinan setiap perjanjian subpemroses yang telah diselesaikan berdasarkan Klausul ini kepada pengekspor data.

1. Para pihak setuju bahwa pemilik data mana pun, yang menderita kerugian karena pelanggaran kewajiban yang dirujuk di Klausul 3 atau di Klausul 11 oleh pihak atau subpemroses mana pun berhak menerima kompensasi dari pengekspor data atas kerugian yang dialami.
2. Jika pemilik data tidak dapat mengajukan klaim kompensasi sesuai dengan paragraf 1 kepada pengekspor data, yang terjadi sebagai akibat pelanggaran oleh pengimpor data atau subpemrosesnya atas kewajiban mereka mana pun yang dirujuk dalam Klausul 3 atau dalam Klausul 11, karena pengekspor data sesuai fakta tidak dapat ditemukan atau secara hukum telah meninggal atau telah menjadi pailit, pengimpor data setuju bahwa pemilik data ini dapat mengajukan klaim kepada pengimpor data seakan-akan ia adalah pengekspor data, kecuali ada individu penerus yang mengambil alih tanggung jawab atas seluruh kewajiban legal pengekspor data berdasarkan kontrak atau berlaku demi hukum, yang bagaimana pun situasinya pemilik data dapat menuntut haknya kepada individu tersebut.
   Pengimpor data tidak dapat membebankan pelanggaran yang dilakukan subpemroses atas kewajibannya agar ia sendiri terhindar dari pertanggungjawabannya.
3. Jika pemilik data tidak dapat mengajukan klaim kepada pengekspor data atau pengimpor data yang dirujuk dalam paragraf 1 dan 2, yang terjadi sebagai akibat pelanggaran oleh pengimpor data atau subpemrosesnya atas kewajiban mereka yang dirujuk di Klausul 3 atau di Klausul 11 karena baik pengekspor data maupun pengimpor data sesuai fakta tidak dapat ditemukan atau secara hukum telah meninggal atau telah menjadi pailit, subpemroses setuju bahwa pemilik data ini dapat mengajukan klaim kepada subpemroses terkait dengan tindakan pemrosesannya sendiri dalam Klausul ini seakan-akan ia adalah pengekspor data atau pengimpor data, kecuali ada individu penerus yang mengambil alih tanggung jawab atas seluruh kewajiban legal pengekspor data atau pengimpor data berdasarkan kontrak atau berdasarkan pemberlakuan demi hukum, yang bagaimana pun situasinya pemilik data dapat menuntut haknya kepada individu tersebut. Pertanggungjawaban subpemroses akan dibatasi pada tindakan pemrosesannya sendiri dalam Klausul ini.

1. Pengimpor data setuju bahwa jika pemilik data mengajukan kepada pengimpor data hak penerima manfaat pihak ketiga dan/atau menuntut kompensasi atas kerugian dalam Klausul-Klausul ini, pengimpor data akan menerima keputusan pemilik data tersebut:
   1. untuk merujuk perselisihan tersebut ke dalam mediasi, oleh orang yang independen atau, apabila berlaku, oleh otoritas pengawas;
   2. untuk merujuk perselisihan tersebut ke pengadilan di Negara Anggota tempat didirikannya pengimpor data.
2. Para pihak setuju bahwa pilihan yang dibuat oleh pemilik data tidak akan merugikan hak-hak substantif atau proseduralnya untuk mencari penyelesaian masalah sesuai dengan ketentuan hukum nasional atau internasional lainnya.

Klausul 8

Kerja sama dengan otoritas pengawas

1. Pengeksporter data setuju untuk menempatkan salinan kontrak ini ke otoritas pengawas jika memang diminta atau jika penempatan sedemikian diharuskan dalam peraturan perlindungan data yang berlaku.
2. Para pihak setuju bahwa otoritas pengawas tersebut memiliki hak untuk melakukan audit pengimpor data, dan subpemroses data mana pun, yang memiliki ruang lingkup yang sama dan tunduk pada persyaratan yang sama sebagaimana berlaku pada audit pengekspor data dalam peraturan perlindungan data yang berlaku.
3. Pengimpor data harus segera memberi tahu pengekspor data tentang keberadaan peraturan perundang-undangan yang berlaku atasnya atau subpemroses mana pun yang mencegah dilakukannya audit pengimpor data, atau subpemroses data mana pun, sesuai paragraf 2. Apabila situasi ini terjadi pengekspor data berhak mengambil tindakan yang disebutkan di awal pada Klausul 5 (b).

Klausul-Klausul ini diatur berdasarkan hukum Negara Anggota tempat didirikannya pengekspor data.

Para pihak memastikan bahwa tidak akan memvariasikan atau memodifikasi Klausul ini. Hal ini tidak menghalangi para pihak untuk menambahkan klausul yang berkaitan dengan permasalahan bisnis apabila dibutuhkan sejauh penambahan tersebut tidak bertentangan dengan Klausul ini.

1. Pengimpor data dilarang mensubkontrakkan semua tindakan pemrosesannya yang dilakukan atas nama pengekspor data berdasarkan Klausul-Klausul ini tanpa persetujuan tertulis dari pengekspor data. Apabila pengimpor data mensubkontrakkan kewajibannya dalam Klausul-Klausul ini, dengan persetujuan pengekspor data, ia dapat melakukannya hanya dengan cara perjanjian tertulis dengan subpemroses yang memberlakukan kewajiban yang sama pada subpemroses sebagaimana diberlakukan pada pengimpor data dalam Klausul ³. Apabila subpemroses gagal memenuhi kewajiban perlindungan datanya dalam perjanjian tertulis sedemikian, pengimpor data harus sepenuhnya bertanggung jawab pada pengekspor data atas kinerja kewajiban subpemroses tersebut dalam perjanjian ini.
2. Kontrak tertulis sebelumnya di antara pengimpor data dan subpemroses juga harus menyediakan klausul bagi penerima pihak ketiga sebagaimana diatur di Klausul 3 untuk situasi apabila pemilik data tidak dapat mengajukan klaim untuk kompensasi yang dirujuk di paragraf 1 Klausul 6 kepada pengekspor data atau pengimpor data karena mereka sesuai fakta tidak dapat ditemukan atau secara hukum telah meninggal atau telah menjadi pailit dan tidak ada individu penerus yang mengambil alih tanggung jawab atas seluruh kewajiban legal pengekspor data atau pengimpor data berdasarkan kontrak atau berdasarkan tindakan hukum. Pertanggungjawaban subpemroses pihak ketiga sedemikian akan dibatasi pada tindakan pemrosesannya sendiri dalam Klausul ini.
3. Ketentuan terkait aspek perlindungan data untuk pemrosesan kontrak yang dirujuk di paragraf 1 harus diatur oleh hukum Negara Anggota tempat didirikannya pengekspor data.
4. Pengekspor data harus menyimpan daftar perjanjian subpemrosesan yang diputuskan dalam Klausul-Klausul ini dan diberitahukan oleh pengimpor data sesuai Klausul 5 (j), yang harus diperbarui setidaknya sekali setahun. Daftar ini harus disediakan ke otoritas pengawas perlindungan data dari pengekspor data.

Kewajiban setelah pengakhiran layanan pemrosesan data pribadi

1. Para pihak setuju bahwa pada saat pengakhiran penyediaan layanan pemrosesan data, pengimpor data dan sub-pemroses harus, sesuai pilihan pengekspor data, mengembalikan semua data pribadi yang dipindahkan dan salinannya ke pengekspor data atau harus memusnahkan semua data pribadi dan mengonfirmasikan kepada pengekspor data bahwa hal itu telah dilakukan, kecuali peraturan perundang-undangan yang diberlakukan atas pengimpor data mencegahnya agar tidak mengembalikan atau memusnahkan semua atau sebagian data pribadi yang dipindahkan tersebut. Dalam situasi ini, pengimpor data menjamin bahwa ia akan memastikan kerahasiaan data pribadi yang dipindahkan tersebut dan tidak lagi secara aktif memproses data pribadi yang dipindahkan itu.
2. Pengimpor data dan subpemroses menjamin bahwa atas permintaan pengekspor data dan/atau otoritas pengawas, mereka akan mengirimkan fasilitas pemrosesan datanya untuk dilakukan audit atas tindakan yang dirujuk di paragraf 1.

Istilah yang ditulis dalam huruf besar yang digunakan di Bagian A hingga C dan Lampiran namun tidak didefiniskan di Klausul ini akan memiliki arti yang disediakan pada Perjanjian Dropbox Business di antara pengekspor data dan Dropbox International Unlimited Company.

1. Audit Keamanan. Pengimpor data mempertahankan sertifikasi ISO/IEC 27001:2013 dan ISO/IEC 27018:2014, yang diterbitkan oleh auditor pihak ketiga independen. Pengimpor data akan terus menjalani audit reguler ISO/IEC 27001:2013 dan ISO/IEC 27018 yang dibutuhkan untuk mempertahankan sertifikasi sedemikian untuk Layanan selama Masa tersebut. Pengimpor data juga rutin menjalani audit Service Organization Control 2 (SOC 2) Type II. Sesuai dengan kewajiban kerahasiaan pengimpor data dan tidak lebih dari sekali setahun, pengimpor data harus memberikan pengekspor data salinan SOC 2 Type II Report atas permintaan tertulis. Pengimpor data akan menyediakan laporan SOC 2 baru setelah mereka menyelesaikannya sesuai dengan persyaratan kerahasiaan pengimpor data. Pengimpor data secara rutin meninjau organisasi sub-layanan pihak ketiganya, yang menjalani Standar untuk audit Attestation Engagements No. 16 (SSAE 16) / International Standard on Assurance Engagements No. 3402 (ISAE 3402) Service Organization Control 1 (SOC 1) Type II or Service Organization Control 2 (SOC 2) Type II yang menilai desain dan keefektifan kebijakan, prosedur dan kontrol keamanan mereka.

   Pengekspor data setuju bahwa kewajiban pengimpor data yang ditetapkan di Bagian A ini memenuhi sepenuhnya hak-hak audit dalam Klausul 5(f) dan Klausul 12 (2) dari Klausul-Klausul ini.

2. Subpemrosesan. Pengimpor data dapat melibatkan perusahaan lain untuk menyediakan bagian tertentu dari Layanan (termasuk layanan dukungan) atas nama pengimpor data, dan pengekspor data menyetujui pengimpor data yang mensubkontrakkan pemrosesan data pribadi ke subpemroses sebagaimana dijelaskan di dalam Klausul ini. Pengimpor data akan memastikan bahwa semua subpemroses hanya akan mengakses dan menggunakan data pribadi untuk memberikan Layanan sebagaimana ditetapkan dalam perjanjian tertulis di antara pengimpor data dengan subpemroses. Pengekspor data menyatakan bahwa persyaratan apa pun yang berlaku pada pengimpor data dalam Klausul ini terkait perjanjian dengan subpemroses akan sepenuhnya memuaskan hanya jika perjanjian subpemrosesan di antara pengimpor data dan subpemroses menyediakan paling kurang tingkat perlindungan data yang diwajibkan dalam Perjanjian Dropbox Business.
3. Pertangungjawaban. Klausul ini tunduk pada pembatasan dan penghapusan pertanggungjawaban yang dituangkan di bagian "Pembatasan Pertanggungjawaban" Perjanjian Dropbox Business, sehingga pertanggungjawaban total pengimpor data dan Dropbox International Unlimited Company, kesemuanya, tidak akan melebihi pembatasan yang ditetapkan di Perjanjian Dropbox Business. Untuk menghindari keraguan, pengekspor data tidak akan berhak untuk memulihkan dari pengimpor data dan Dropbox International Unlimited Company dalam hal kerugian yang sama.

Apendiks ini membentuk bagian dari Klausul dan harus dilengkapi dan ditandatangani oleh para pihak.

Negara Anggota dapat menambahkan atau menyebutkan, berdasarkan prosedur nasional mereka, informasi penting lainnya untuk dimasukkan di dalam Apendiks ini.

Pengekspor data

Pengekspor data adalah (sebutkan secara ringkas aktivitas Anda terkait dengan pemindahan):

Pelanggan pada Perjanjian Dropbox Business dengan Dropbox International Unlimited Company.

Pengimpor data

Pengimpor data adalah (sebutkan secara ringkas aktivitas Anda terkait dengan pemindahan):

Dropbox, Inc., penyedia layanan awan global untuk perseorangan atau bisnis. Dropbox, Inc., dan afiliasinya menyediakan situs web, perangkat lunak dan aplikasi seluler yang memungkinkan orang menyimpan file, menyinkronkan file di banyak perangkat, dan berkolaborasi dengan orang lain. Layanan Dropbox, Inc. juga dapat diakses oleh Application Programming Interfaces (APIs).

Pemilik data

Data pribadi yang dipindahkan berkaitan dengan kategori pemilik data berikut ini (sebutkan):

Pengekspor data dan pengguna akhir afiliasi pengekspor data termasuk pegawai, konsultan dan kontraktor dari pengekspor data, serta semua individu yang berkolaborasi atau berbagi dengan pengguna akhir ini yang menggunakan layanan yang disediakan oleh pengimpor data.

Kategori data

Data pribadi yang dipindahkan berkaitan dengan kategori data berikut ini (sebutkan):

Pengguna akhir yang mengidentifikasi data informasi dan organisasi (baik online maupun offline) termasuk dokumen, gambar dan konten lain atau data dalam bentuk elektronik yang disimpan atau dipindahkan oleh pengguna akhir melalui layanan pengimpor data.

Tindakan pemrosesan

Data pribadi yang dipindahkan akan tunduk pada aktivitas pemrosesan dasar berikut ini (sebutkan):

Pengimpor data atau subpemroses nya akan menggunakan dan memproses data pribadi dan pengekspor data menginstruksikan pengimpor data untuk menggunakan dan memroses data pribadi untuk menyediakan Layanan dalam Perjanjian Dropbox Business.

Apendiks ini membentuk bagian dari Klausul dan harus dilengkapi dan ditandatangani oleh para pihak.

Keterangan tindakan keamanan teknis dan keorganisasian yang diterapkan oleh pengimpor data sesuai Klausul 4(d) dan 5(c) (atau dokumen/peraturan perundang-undangan terlampir):

Kontak Privasi Data

Petugas privasi data dari pengimpor data dapat dihubungi di privacy@dropbox.com

Tindakan Keamanan

Pengimpor data telah menerapkan dan akan mempertahankan pengamanan administratif, teknis dan fisik yang tepat untuk melindungi data pribadi sebagaimana lebih jauh dijelaskan di Dokumen Putih Keamanan Dropbox Business (tersedia per Tanggal Efektif di: https://www.dropbox.com/…/Security_Whitepaper.pdf) dan sebagai tambahan dinyatakan di bawah ini. Pengimpor data dapat memperbarui tindakan keamanan ini dari waktu ke waktu, dengan versi terkini tersedia di URL di atas (atau URL lain yang dikomunikasikan oleh pengimpor data), walaupun demikian sejauh bahwa pengimpor data akan memberi tahu pengekspor data jika pengimpor data memperbarui tindakan keamanan dengan cara yang sangat mengurangi fitur keamanan administratif, teknis, atau fisik yang dijelaskan dalam dokumen ini atau di Apendiks 2 ini.

1. Keamanan Layanan
   1. Arsitektur Dropdron. Layanan pengimpor data Dropbox didesain dengan perlindungan berlapis, melindugi transfer data, enkripsi, konfigurasi jaringan, dan kontrol pada tingkat aplikasi yang didistribusikan di seluruh infrastruktur yang aman dan terus berkembang. Pengguna akhir layanan pengimpor data dapat mengakses file dan folder kapan pun dari desktop, web dan klien seluler. Semua perangkat ini terhubung dengan layanan yang aman untuk memberikan akses ke file, memungkinkan berbagi file dengan orang lain, dan memperbarui semua perangkat yang ditautkan ketika file ditambahkan, diubah atau dihapus. Layanan ini dapat dimanfaatkan dan diakses melalui sejumlah antarmuka. Masing-masing memiliki pengaturan dan fitur yang memroses dan melindungi data serta menjamin kemudahan akses.
   2. Keterandalan. Layanan pengimpor data dikembangkan dengan banyak lapisan penggandaan untuk menjaga terhadap kehilangan data dan memastikan ketersediaan.
   3. Enkripsi. Untuk melindungi data dalam perjalanan antara pengekspor data dengan pengimpor data, pengimpor data menggunakan Secure Sockets Layer (SSL)/Transport Layer Security (TLS) untuk pemindahan data, menghasilkan saluran aman yang dilindungi enkripsi Advanced Encryption Standard (AES) 128-bit atau yang terbaru. Data file di tempat dienkripsi menggunakan Advanced Encryption Standard (AES) 256-bit. Infrastruktur pengelolaan kode enkripsi pengimpor data didesain dengan berbagai kontrol keamanan operasional, teknis dan prosedural dengan akses langsung yang sangat terbatas ke kode. Pembuatan, pergantian dan penyimpanan kode enkripsi didistribusikan untuk pemrosesan desentralisasi.
   4. Fitur Pengelolaan Pengguna. Pengguna akhir layanan pengimpor data memiliki kemampuan untuk memulihkan file yang hilang dan mengembalikan versi file sebelumnya, memastikan perubahan pada file itu dapat dilacak dan dipulihkan kembali. Layanan pengimpor data memungkinkan penggunaan prosedur autentikasi dua langkah yang menambahkan lapisan perlindungan ekstra.
   5. Pusat Data. Sistem korporasi dan produksi pengimpor data ditempatkan di pusat data organisasi sublayanan pihak ketiga yang berada di Amerika Serikat. Pengimpor data meninjau semua laporan pusat data organisasi sublayanan Service Organization Control (SOC) 1 dan/atau SOC 2 minimal setahun sekali untuk pengontrolan kemanan yang memadai.
2. Keamanan Informasi.
   1. Kebijakan. Pengimpor data telah mendirikan seperangkat kebijakan keamanan yang menyeluruh yang meliputi bidang keamanan informasi, keamanan fisik, respons insiden, akses logis, akses produksi fisik, pengelolaan perubahan dan dukungan. Kebijakan ini ditinjau dan disetujui minimal setiap tahun. Personel pengimpor data diberitahukan jika ada perubahan pada kebijakan-kebijakan ini dan diberikan pelatihan keamanan.
   2. Personel dan Akses Personel. Kebijakan internal pengimpor data mewajibkan prosedur penerimaan yang mencakup pengecekan latar belakang (atas izin hukum setempat), pengenalan kebijakan keamanan, pembaruan komunikasi pada kebijakan keamanan, dan perjanjian larangan pengungkapan. Semua akses personel langsung dihapus ketika pegawai atau kontraktor keluar dari perusahaan. Pengimpor data memberlakukan kontrol akses teknis dan kebijakan internal untuk mencegah karyawan atau kontraktor secara semena-mena mengakses data file dan membatasi akses ke metadata serta informasi lain tentang akun pengguna akhir. Untuk melindungi privasi dan keamanan pengguna akhir, hanya sejumlah kecil pegawai atau kontraktor memiliki akses ke lingkungan di mana file pengguna akhir disimpan. Rekaman permintaan akses, pertimbangan dan persetujuan direkam oleh manajemen dan akses diberikan oleh individu yang layak.
   3. Keamanan Jaringan. Pengimpor data mempertahankan keamanan jaringan dan teknik pemantauan yang didesain untuk kami menyediakan berlapis-lapis perlindungan dan pertahanan. Pengimpor data memberlakukan teknik perlindungan berstandar industri, termasuk firewall, pemantauan keamanan jaringan, dan sistem pendeteksian pengacauana untuk memastikan hanya lalu lintas yang memenuhi syarat yang dapat menjangkau infrastruktur pengimpor data.
   4. Pengelolaan Perubahan. Pengimpor data memastikan bahwa perubahan yang terkait keamanan telah disahkan sebelum penerapan ke lingkungan produksi. Perubahan kode sumber dimulai oleh pengembang yang ingin melakukan peningkatan pada aplikasi atau layanan pengimpor data. Perubahan pada infrastruktur pengimpor data hanya dibatasi pada personel yang disetujui. Perubahan pada tingkat layanan aplikasi diwajibkan untuk melewati prosedur pengujian jaminan kualitas otomatis ("QA) untuk memastikan persyaratan keamanan dipenuhi. Penyelesaian prosedur QA yang sukses menghasilkan penerapan perubahan ini.
   5. Kepatuhan. Pengimpor data, penyedia pusat datanya, dan penyedia layanan terkelolanya menjalani audit keamanan reguler yang dilakukan oleh pihak ketiga independen. Pengimpor data akan terus berpartisipasi dalam audit reguler ISO/IEC 27001:2013 dan ISO/IEC 27018:2014. Pengimpor data juga meninjau laporan SOC 1 dan/atau SOC 2 untuk semua organisasi sub-layanan. Apabila laporan organisasi sub-layanan SOC 1 dan/atau SOC 2 tidak tersedia, pengimpor data melakukan kunjungan situs keamanan untuk memastikan kontrol keamanan fisik, lingkungan dan operasional yang berlaku memenuhi kriteria kontrol dan persyaratan kontrak. Pengimpor data menilai sertifikasi tambahan dan pengesahan kepatuhan, sebagaimana disediakan untuk pengimpor data oleh penyedia sub-layanan, atas dasar kondisi sekarang.
3. Keamanan Fisik
   1. Infrastruktur. Akses fisik ke fasilitas organisasi sublayanan di mana sistem produksi berada dibatasi kepada personel yang disetujui oleh pengimpor data, sebagaimana diwajibkan untuk melakukan fungsi pekerjaan mereka. Individu mana pun yang membutuhkan akses tambahan ke fasilitas lingkungan produksi diberikan akses melalui persetujuan yang dinyatakan dengan jelas oleh manajemen yang layak.  
   2. Kantor. Pengimpor data menjaga tim keamanan fisik yang bertanggung jawab untuk menerapkan kebijakan keamanan fisik dan mengawasi keamanan kantor korporasi pengimpor data. Akses ke area yang berisi layanan korporasi dibatasi kepada personel yang disetujui via peranan istimewa yang diberikan melalui sistem akses lencana.