Avtale om Dropbox Business

Offentliggjort: 14. september 2016

Denne avtalen om Dropbox Business («avtalen») er en avtale mellom Dropbox International Unlimited Company dersom organisasjonen din holder til utenfor USA, Canada og Mexico («Nord-Amerika») eller, dersom organisasjonen holder til i Nord-Amerika, med Dropbox, Inc., som er et Delaware-basert selskap (begge «Dropbox») og organisasjonen som godtar disse vilkårene («kunden»). Denne avtalen styrer tilgang til og bruk av Dropbox Business-klientprogramvaren og -tjenestene (samlet, «Dropbox Business»), samt de betatjenestene som er gjort tilgjengelig for deg (samlet, med Dropbox Business, «Tjenestene»). Ved å klikke på «Jeg samtykker», signere kontrakten for tjenestene eller bruke tjenestene godtar du denne avtalen som kunde.

I den grad Dropbox, Inc., på vegne av kunden, behandler kundedata som er underlagt nasjonale lover som implementerer EUs personverndirektiv (95/46/EF) («EUs personvernlover"), sier du deg enig i EUs standardkontraktbestemmelser med Dropbox, Inc. for overføring av personopplysninger til behandlingsenheter som er angitt i vedlegg 1, ved å klikke på «Jeg samtykker».

Hvis du godtar denne avtalen og Tillegg 1 (hvis aktuelt) for en organisasjons bruk av tjenestene, godtar du disse på vegne av den organisasjonen. Du må ha autoritet til å binde organisasjonen til disse vilkårene, ellers kan du ikke registrere deg for tjenestene.

1. Tjenester.
   1. Tjenesteytelse. Kunde og brukere av kundes servicekonto («sluttbrukere») kan åpne og bruke tjenestene i henhold til denne avtalen.
   2. Lokaler og databehandling. Dropbox vil som et minimum bruke tekniske og organisatoriske sikkerhetsforanstaltninger av industristandard for å overføre, lagre og behandle kundedata. Disse foranstaltningene er utformet for å beskytte integriteten til kundedata og beskytte mot uautorisert og urettmessig tilgang til, bruk og behandling av kundedata. Kunden godtar at Dropbox kan overføre, lagre og behandle kundedata i USA og andre steder enn i kundens land. I den grad kundedata er underlagt EUs personvernlover og behandles av Dropbox som en databehandler som opptrer på vegne av kunden (som datakontrollør), vil Dropbox bruke og behandle slike kundedata på den måten kunden instruerer for å levere tjenestene og oppfylle Dropbox' forpliktelser under avtalen. «Kundedata» betyr lagret data og kontodata. «Lagret data» betyr filene og strukturerte data som sendes inn til tjenestene av kunde eller sluttbrukere. «Kontodata» betyr kontoen og kontaktinformasjonen som sendes inn til tjenestene av kunde eller sluttbrukere.
   3. Endringer av tjenestene. Dropbox kan oppdatere tjenestene av og til. Hvis Dropbox endrer tjenestene på en måte som i stor grad reduserer funksjonaliteten deres, vil Dropbox informere kunden via e-postadressen som er knyttet til kontoen.
   4. Programvare. Noen tjenester lar kunden laste ned Dropbox-programvare som kan oppdateres automatisk. Kunden kan kun bruke programvaren for å få tilgang til tjenestene. Hvis noen del av programvaren tilbys under en åpen kilde-lisens, vil Dropbox gjøre lisensen tilgjengelig for kunden og bestemmelsene i den lisensen kan uttrykkelig tilsidesette noen av vilkårene i denne avtalen.
   5. Betatjenester. Dropbox kan tilby funksjoner og produkter som fortsatt er under testing og evaluering. Disse produktene og funksjonene kjennetegnes som alfa, beta, forhåndsvisning, tidlig tilgang eller evaluering (eller ord eller setninger med liknende betydning) (samlet kalt «betatjenester»). Uavhengig av hva som måtte stå i denne avtalen eller i Tillegg 1, gjelder følgende vilkår for alle betatjenester: (a) du kan bruke eller avslå å bruke enhver betatjeneste; (b) betatjenester støttes kanskje ikke og kan endres når som helst uten varsel; (c) betatjenester vil ikke alltid være like pålitelige eller tilgjengelige som Dropbox Business; (d) betatjenester har ikke blitt underlagt de samme sikkerhetstiltakene og kontrollgjennomgangene som Dropbox Business; og (e) DROPBOX VIL IKKE HA NOE ANSVAR SOM FØLGE AV ELLER I FORBINDELSE MED BETATJENESTER – BRUKES PÅ EGET ANSVAR.
2. Kundens forpliktelser.
   1. Overholdelse. Kunden er ansvarlig for sine sluttbrukeres bruk av tjenestene. Kunden og sluttbrukerne til kunden må bruke tjenestene i samsvar med retningslinjene for akseptabel bruk. Kunden skal skaffe ethvert samtykke fra sluttbrukerne som er nødvendig for at administrator skal kunne påta seg aktivitetene som beskrives i denne avtalen, og Dropbox skal kunne levere tjenestene. Kunden skal overholde aktuelle lover og bestemmelser som gjelder for kundens bruk av tjenestene.
   2. Kundens administrering av tjenestene. Kunden kan spesifisere sluttbrukere som «administratorer» via administratorverktøyet. Administratorer kan ha muligheten til å åpne, gi videre, begrense eller fjerne kundedata i eller fra tjenestekontoer. Administratorer kan også ha evnen til å overvåke, begrense og avslutte tilgang til tjenestekontoer. Ansvaret til Dropbox omfatter ikke intern styring eller administrering av tjenestene. Kunden er ansvarlig for: (i) opprettholdelse av taushetsplikt for passord og administratorkontoer; (ii) forvaltning av tilgang til administratorkontoer; og (iii) å sikre at administratorens bruk av tjenestene overholder denne avtalen. Kunden erkjenner at hvis kunden kjøper tjenestene gjennom en videreforhandler, og gjør noen av videreforhandlerens personell til administrator for kundens tjenestekonto, kan en slik forhandler kunne kontrollere kontoinformasjon, inklusive kundedata, og få tilgang til kundens tjenestekonto – som nærmere beskrevet ovenfor.
   3. Uautorisert bruk og tilgang. Kunden vil forhindre uautorisert bruk av tjenestene av sluttbrukerne sine og avslutte enhver uautorisert bruk av eller tilgang til tjenestene. Tjenestene er ikke ment for sluttbrukere under 13 år. Kunden vil sørge for at den ikke lar noen personer under 13 år bruke tjenestene. Kunden vil raskt varsle Dropbox om enhver uautorisert bruk av eller tilgang til tjenestene.
   4. Begrensede bruksområder. Kunden vil ikke (i) selge, selge videre eller leie ut tjenestene; (ii) bruke tjenestene for aktiviteter der bruk eller svikt av tjenestene kan føre til fysisk skade, død eller personskade; eller (iii) foreta omvendt utvikling av tjenestene eller forsøke å assistere noen andre som gjør det, med mindre denne begrensningen er forbudt iht. gjeldende lovgivning.
   5. Tredjeparts-forespørsler.
      1. «Tredjeparts-forespørsler» betyr en forespørsel fra en tredjepart om register med en sluttbrukers bruk av tjenestene, inkludert informasjon i eller fra en sluttbruker eller kundens tjenestekonto. Tredjeparts-forespørsler kan inkludere gyldige ransakningsordre, rettskjennelser eller stevninger, eller enhver annen forespørsel der det er skriftlig samtykke fra sluttbruker som tillater fremlegging.
      2. Kunden er ansvarlig for å svare på tredjeparts-forespørsler via dens egen tilgang til informasjon. Kunden vil be om å få informasjon som er nødvendig for å svare på tredjeparts-forespørsler og vil kun kontakte Dropbox hvis slik informasjon ikke kan fås til tross for grundige anstrengelser.
      3. Dropbox vil, i den grad gjeldende lovgivning og vilkårene til tredjeparts-forespørselen tillater det, gjøre kommersielt rimelige anstrengelser for å: (A) varsle kunden raskt om mottak av en tredjeparts-forespørsel; (B) overholde kundens kommersielt rimelige forespørsler med tanke på dens anstrengelser for å motsette seg en tredjeparts-forespørsel; og (C) gi kunden informasjon eller verktøy som er nødvendig for at kunden skal kunne svare på tredjeparts-forespørselen (hvis kunden ellers ikke er i stand til å skaffe informasjonen). Hvis kunden unnlater å svare raskt på enhver tredjeparts-forespørsel, kan Dropbox gjøre det, men er ikke forpliktet til det.
3. Tredjeparts-tjenester. Hvis kunden bruker en tredjeparts-tjeneste (f.eks. en tjeneste som bruker en Dropbox-API) med tjenestene, (a) vil Dropbox ikke være ansvarlig for eventuelle handlinger eller utelatelse av tredjeparten, inkludert tredjepartens tilgang til eller bruk av kundedata og (b) garanterer eller støtter Dropbox ikke noen tjenester som leveres av tredjeparten.
4. Suspensjon
   1. Av sluttbrukerkontoer av Dropbox. Hvis en sluttbruker (i) bryter denne avtalen eller (ii) bruker tjenestene på en måte som Dropbox har rimelig grunn til å tro vil forårsake ansvar, kan Dropbox be om at kunden suspenderer eller avslutter den gjeldende sluttbrukerkontoen. Hvis kunden unnlater å suspendere eller avslutte sluttbrukerkontoen raskt, kan Dropbox gjøre det.
   2. Sikkerhetskriser. Til tross for alt annet i denne avtalen kan Dropbox suspendere bruken av tjenestene automatisk hvis det oppstår en sikkerhetskrise. Dropbox vil gjøre kommersielt rimelige anstrengelser for å begrense suspensjonen til det som er nødvendig for å forhindre eller avslutte sikkerhetskrisen. «Sikkerhetskrise» betyr: (i) bruk av tjenestene som avbryter eller kan avbryte tjenestene, andre kunders bruk av tjenestene eller infrastrukturen som brukes for å levere tjenestene (ii) uautorisert tredjeparts tilgang til tjenestene.
5. Opphavsrett.
   1. Forbehold av rettigheter. Unntatt som uttrykkelig forklart heri, gir ikke denne avtalen (i) Dropbox noen opphavsrett til kundedata eller (ii) kunden noen opphavsrett til tjenestene eller Dropbox' varemerker eller merkefunksjoner. «Opphavsrett» betyr nåværende og fremtidige globale rettigheter under patent, copyright, forretningshemmelighet, varemerke, ideelle rettigheter og andre lignende rettigheter.
   2. Begrenset tillatelse. Kunden gir Dropbox kun de begrensede tillatelsene som er nødvendige innen rimelighetens grenser for at Dropbox skal kunne tilby tjenestene (f.eks. hosting av lagret data). Denne tillatelsen gjelder også våre partnere og betrodde tredjeparter som Dropbox samarbeider med, for å tilby tjenestene (f.eks. betalingsleverandør som brukes til å behandle betaling av avgifter).
   3. Forslag. Dropbox kan etter eget forgodtbefinnende og til ethvert formål bruke, endre og innlemme all feedback, kommentarer eller forslag som kunder eller sluttbrukere sender til Dropbox eller poster på Dropbox' forum inn i produktene, tjenestene, lisens og underlisens uten noen forpliktelser overfor kunden.
   4. Kundeliste. Dropbox kan inkludere kundens navn i en liste over Dropbox-kunder på Dropbox-nettstedet eller i reklamemidler.
6. Avgifter og betaling.
   1. Avgifter. Kunden vil betale, og gir autorisasjon til Dropbox eller kundens videreforhandler til å fakturere alle aktuelle avgifter med kundens valgte betalingsmetode. Avgifter refunderes ikke, med unntak av det som kreves iht. gjeldende lovgivning. Kunden er ansvarlig for å gi fullstendig og nøyaktig fakturerings- og kontaktinformasjon til Dropbox eller kundens videreforhandler. Dropbox kan suspendere eller avslutte tjenestene hvis avgiftene ikke er betalt innen forfallsdato.
   2. Automatisk fornyelse og prøveperioder. HVIS KUNDENS KONTO ER STILT PÅ AUTOMATISK FORNYELSE ELLER ER I EN PRØVEPERIODE, KAN DROPBOX (ELLER KUNDENS VIDEREFORHANDLER) BELASTE KONTOEN AUTOMATISK PÅ SLUTTEN AV PRØVEPERIODEN ELLER VED FORNYELSE MED MINDRE KUNDEN VARSLER DROPBOX (ELLER KUNDENS VIDEREFORHANDLER, HVIS AKTUELT) OM AT KUNDEN ØNSKER Å AVBRYTE ELLER DEAKTIVERE AUTOMATISK FORNYELSE. Dropbox kan revidere tjenestesatsene ved å gi kunden minst 30 dagers forhåndsvarsel før neste fakturering.
   3. Merverdiavgift. Kunden er ansvarlig for alle merverdiavgifter. Dropbox eller kundens videreforhandler vil fakturere merverdiavgift når dette kreves. Hvis kunden må forskuddstrekke noen avgifter iht. gjeldende lovgivning, må kunden gi Dropbox eller kundens videreforhandler en offisiell kvittering eller annen egnet dokumentasjon.
   4. Kjøpsordre. Hvis kunden krever bruk av en kjøpsordre eller kjøpsordrenummer, må kunden (i) oppgi kjøpsordrenummeret ved kjøpstidspunktet og (ii) godta at eventuelle vilkår og betingelser på kundens kjøpsordre ikke vil gjelde denne avtalen og erklæres ugyldig. Hvis kunden kjøper gjennom en videreforhandler, vil vilkår og betingelser fra kundens videreforhandler eller i en kjøpsordre mellom kunden og dens videreforhandler som står i motstrid med avtalen for Dropbox Business, være ugyldig og regnes som ikke rettskraftig.
7. Periode og avslutning.
   1. Periode. Denne avtalen vil forbli i kraft til kundens abonnementet på tjenesten utløper eller opphører eller til avtalen avsluttes.
   2. Avslutning ved brudd. Enten Dropbox eller kunden kan avslutte denne avtalen hvis: (i) den andre parten i vesentlig grad misligholder avtalen og unnlater å råde bot på det bruddet innen 30 dager etter mottak av skriftlig varsel eller (ii) den andre parten stanser forretningsdriften sin eller blir underlagt insolvensbehandling og behandlingene ikke heves innen 90 dager.
   3. Virkning av avslutning. Hvis denne avtalen avsluttes: (i) opphører rettighetene som gis til kunden av Dropbox umiddelbart (med unntak av det som er forklart i denne delen); (ii) Dropbox kan gi kunden tilgang til dens konto til daværende avgifter slik at kunden kan eksportere lagret data; og (iii) etter en kommersielt rimelig tidsperiode kan Dropbox slette eventuelle lagrede data vedrørende kundens konto. De følgende delene vil overleve utgang eller avslutning av denne avtalen: 2(e) (Tredjeparts-forespørsler), 5 (Opphavsrett), 6 (Avgifter og betaling), 7(c) (Virkning av avslutning), 8 (Skadeløsholdelse), 9 (Ansvarsfraskrivelser), 10 (Ansvarsbegrensning), 11 (Tvister) og 12 (Diverse).
8. Skadeløsholdelse.
   1. Av kunde. Kunden vil skadeløsholde, forsvare og holde Dropbox skadeløs fra og mot alt ansvar, skader og kostnader (inkludert forlikskostnader og rimelige advokatavgifter) som oppstår fra ethvert krav av en tredjepart mot Dropbox og dets partnere angående: (i) Kundedata; (ii) Kundens bruk av tjenestene i overtredelse av denne avtalen; eller (iii) sluttbrukers bruk av tjenesten i brudd med denne avtalen.
   2. Av Dropbox. Dropbox vil skadeløsholde, forsvare og holde kunden skadeløs fra og mot alt ansvar, skader og kostnader (inkludert forlikskostnader og rimelige advokatavgifter) som oppstår fra ethvert krav av en tredjepart mot kunden til den grad det er basert på en anklage om at Dropbox' teknologi som brukes for å gi tjenestene til kunden krenker eller misbruker en opphavsrett, forretningshemmelighet, amerikansk patent eller varemerkerettighet til tredjeparten. Dropbox har under ingen omstendigheter noen forpliktelse eller ansvar under denne delen som oppstår fra: (i) bruk av enhver tjeneste i endret form eller i kombinasjon med materialer som ikke leveres av Dropbox og (ii) ethvert innhold, informasjon eller data som gis av kunde, sluttbrukere eller andre tredjeparter.
   3. Mulig krenkelse. Hvis Dropbox mener at tjenestene krenker eller kan hevdes å krenke en tredjeparts opphavsrett, kan Dropbox: (i) erverve retten for kunden, for Dropbox' regning, til å fortsette å bruke tjenestene, (ii) levere et ikke-krenkende substitutt som tilsvarer funksjonaliteten; eller (iii) endre tjenestene slik at de ikke lenger krenker. Hvis Dropbox ikke synes alternativene som beskrives i denne delen er kommersielt rimelige, kan Dropbox suspendere eller avslutte kundens bruk av kundene som påvirkes (med en andelsvis tilbakebetaling av forhåndsbetalte avgifter for tjenestene).
   4. Generelt. Parten som søker skadeløsholdelse, vil raskt varsle den andre parten om kravet og samarbeide med den andre parten i forsvaret mot kravet. Den skadeløsholdende parten vil ha full kontroll og autoritet over forsvaret, med unntak av: (i) eventuelle forlik som krever at parten som søker skadeløsholdelse, krever foregående skriftlig samtykke for å medgi ansvar, noe som ikke skal bli overdrevet tilbakeholdt eller forsinket og (ii) den andre parten kan bli med i forsvaret med egne forsvarere for egen regning. SKADELØSHOLDELSENE OVENFOR ER DROPBOX' OG KUNDENS ENESTE RETTSMIDDEL UNDER DENNE AVTALEN FOR DEN ANDRE PARTENS BRUDD AV EN TREDJEPARTS OPPHAVSRETT.
9. Ansvarsfraskrivelse. TJENESTENE BLIR GITT "SOM DE ER" TIL DEN GRAD DET TILLATES IFØLGE LOVEN, MED UNNTAK AV DET SOM UTTRYKKELIG ERKLÆRES I DENNE AVTALEN, VERKEN KUNDEN ELLER DROPBOX OG DETS PARTNERE, LEVERANDØRER OG DISTRIBUTØRER GIR NOEN GARANTI AV NOEN FORM, ENTEN UTTRYKKELIG, UNDERFORSTÅTT, LOVBESTEMT ELLER PÅ ANNEN MÅTE, INKLUDERT GARANTIER OM SALGBARHET, EGNETHET FOR EN SPESIELL BRUK ELLER UKRENKELIGHET. KUNDEN ER ANSVARLIG FOR Å VEDLIKEHOLDE OG SIKKERHETSKOPIERE ALL LAGRET DATA.
10. Ansvarsbegrensning.
    1. Begrensning av indirekte ansvar. I DEN GRAD DET TILLATES AV GJELDENDE LOVGIVNING, MED UNNTAK AV DROPBOX' OG KUNDENS PLIKT TIL SKADELØSHOLDELSE, VIL VERKEN KUNDEN ELLER DROPBOX OG DETS PARTNERE, LEVERANDØRER ELLER DISTRIBUTØRER UNDER DENNE AVTALEN VÆRE ANSVARLIGE FOR (I) INDIREKTE, SPESIELLE, TILFELDIGE ELLER FØLGENDE SKADER ELLER STRAFFEERSTATNING, ELLER (II) TAP AV BRUK, DATA, FORRETNING, OMSETNING ELLER FORTJENESTE (I HVERT TILFELLE HVORVIDT DIREKTE ELLER INDIREKTE), SELV OM PARTEN VISSTE ELLER BURDE VISST AT SLIKE SKADER VAR MULIGE OG SELV OM ET BOTEMIDDEL MISLYKKES I DET GRUNNLEGGENDE FORMÅLET SITT.
    2. Begrensning av ansvarsbeløp. I DEN GRAD DET TILLATES AV GJELDENDE LOVGIVNING VIL DROPBOX' SAMLEDE ANSVAR UNDER DENNE AVTALEN IKKE OVERSKRIDE DET LAVESTE AV USD 100.000 ELLER BELØPET KUNDEN BETALTE FOR TJENESTENE HERUNDER I LØPET AV DE TOLV MÅNEDENE FØR HENDELSEN SOM GIR UTSPRING TIL ANSVAR.
11. Tvister.
    1. Uformell løsning. Dropbox ønsker å ta opp bekymringene dine uten å ty til en formell rettssak. Før en fordring anmeldes, godtar alle parter å prøve å løse tvisten ved å kontakte den andre parten gjennom varselprosedyrene i del 12(e). Hvis en tvist ikke løses innen 30 dager fra varsel, kan kunden eller Dropbox anlegge en formell sakførsel.
    2. Avtale om megling. Kunden og Dropbox avtaler å løse ethvert krav angående denne avtalen eller tjenesten via endelig og bindende megling, med unntak av som forklart nedenfor. The American Arbitration Association (AAA) vil bestyre meglingen under sine kommersielle meglingsregler. Meglingen vil finne sted i San Francisco (CA) eller en annen beliggenhet begge parter godtar skriftlig.
    3. Unntak fra avtalen om megling. Hvilken som helst av partene kan føre et søksmål for den føderale eller statlige retten i San Francisco County, California kun for rettspåbud for å stoppe uautorisert bruk eller misbruk av tjenestene eller krenkelse av opphavsrett uten først å ta del i den uformelle prosessen for tvistvarsel som beskrives ovenfor. Både kunden og Dropbox gir samtykke til rettssted og personlig domsmakt der.
    4. INGEN GRUPPESØKSMÅL. Kunden kan kun løse tvister med Dropbox på et individuelt grunnlag og ikke føre en sak i gruppe-, samlet eller representativt søksmål. Gruppemegling, gruppesøksmål, generelle søksmål med egen advokat og samling med andre meglinger er ikke tillatt.
12. Diverse.
    1. Endring av vilkår. Dropbox kan revidere denne avtalen fra tid til annen, og den nyeste versjonen vil alltid bli publisert på nettstedet til Dropbox Business. Hvis Dropbox mener revideringen er viktig, vil Dropbox varsle kunden (ved for eksempel å sende en e-post til e-postadressen som er knyttet til den gjeldende kontoen). Andre revideringer kan offentliggjøres på Dropbox' blogg- eller vilkårside, og kunden er ansvarlig for å sjekke slike offentliggjøringer regelmessig. Ved å fortsette å åpne eller bruke tjenestene etter at revideringer trer i kraft, godtar kunden å være bundet av den reviderte avtalen. Hvis kunden ikke godtar den reviderte avtalen, kan kunden avslutte tjenestene innen 30 dager etter mottak om varsel om endringen.
    2. Hele avtalen. Denne avtalen, inklusive kundens faktura- og bestillingsskjema med Dropbox (hvis aktuelt), utgjør hele avtalen mellom kunden og Dropbox med tanke på innholdet i denne avtalen og avløser og erstatter alle tidligere eller samtidige forståelser og avtaler, enten skriftlige eller muntlige med tanke på innholdet i denne avtalen. Hvis det er konflikt mellom dokumentene som utgjør denne avtalen, vil dokumentene reguleres i følgende rekkefølge: Dropbox-fakturaen, Dropbox-bestillingsskjemaet, avtalen.
    3. Gjeldende lov. DENNE AVTALEN REGULERES AV LOVEN I CALIFORNIA MED UNNTAK AV KONFLIKTER MED LOVPRINSIPPER.
    4. Alvorlighet. Uforutsette bestemmelser blir endret for å gjenspeile partenes hensikt og kun til den grad det er nødvendig for å la dem bli håndhevet, og de gjenværende bestemmelsene i avtalen vil forbli i full effekt.
    5. Varsel. Varsler må sendes via førsteklasses luftpost eller ilbud og anses for overrakt når de mottas. Varsler til kunden kan også sendes til den gjeldende kontoens e-postadresse og anses som overrakt når de sendes. Varsler til Dropbox må sendes til Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, med en kopi til juridisk avdeling.
    6. Kravsfrafall. Et kravsfrafall for enhver misligholdelse er ikke et kravsfrafall for noen følgende misligholdelser.
    7. Tildeling. Kunden kan ikke tildele eller overføre denne avalen eller noen rettigheter eller forpliktelser under denne avtalen uten skriftlig samtykke fra Dropbox. Dropbox kan ikke tildele denne avtalen uten å gi varsel til kunden, med unntak av at Dropbox kan tildele denne avtalen eller enhver rettighet eller plikt under denne avtalen til et tilknyttet selskap eller i forbindelse med en fusjon, overtagelse, omorganisering av konsern eller salg av alle eller hovedsakelig alle aktiver uten å gi varsel. Alle andre forsøk på overføring eller tildeling er ugyldige.
    8. Ingen innvirkning. Dropbox og kunden er ikke juridiske partnere eller agenter, men uavhengige kontraktører.
    9. Uovervinnelig hindring. Med unntak av betalingsplikt vil verken Dropbox eller kunden være ansvarlig for utilstrekkelig ytelse til den grad det forårsakes av tilstander som var utenfor partens rimelige kontroll (f.eks. naturkatastrofe, krigs- eller terrorhandlinger, opprør, arbeidsforhold, statlig handling og Internett-forstyrrelser).
    10. Ingen tredjepartsbegunstigede. Det er ingen tredjepartsbegunstigende til denne avtalen. Uten begrensning av denne delen, er ikke en kundes sluttbruker tredjepartsbegunstigende til kundens rettigheter under denne avtalen.
    11. Eksportrestriksjoner. Eksport og gjeneksport av kundedata via tjenestene kan være styrt av bestemmelsene til United States Export Administration eller andre gjeldende eksportrestriksjoner eller handelsforbud. Tjenestene kan ikke brukes i Cuba, Iran, Nord-Korea, Sudan eller Syria eller noe annet land som er underlagt et handelsforbud av USA, og kunden kan ikke bruke tjenestene i brudd med noen eksportrestriksjoner eller handelsforbud i USA eller andre gjeldende domsmakter. I tillegg må kunden sørge for at tjenestene ikke blir gitt til personer på United States Table of Denial Orders, Entity List eller List of Specially Designated Nationals.

For anvendelse av artikkel 26(2) i direktiv 95/46/EF for overføring av personopplysninger til behandlere etablert i tredjestater, som ikke sikrer en tilstrekkelig grad av databeskyttelse

Navn på organisasjonen som eksporterer data: Kunden som er med i Dropbox Business-avtalen sammen med Dropbox International Unlimited Company
(dataeksportør)

Og

Navn på organisasjonen som importerer data: Dropbox, Inc.
Address: 333 Brannan Street, San Francisco, CA 94107, USA
(dataimportøren)

som hver er en «part»; sammen «partene»,

HAR BLITT ENIGE om følgende kontraktsklausuler (klausuler) for å anføre tilstrekkelige sikringstiltak med hensyn til beskyttelse av personvern og grunnleggende rettigheter og friheter til enkeltpersoner for overføringen av dataeksportøren til dataimportør av personopplysningene som er angitt i Vedlegg 1.

Ved anvendelsen av klausulene:

1. «personopplysninger», «spesielle opplysningskategorier», «behandle/behandling», «kontrollør», «behandler», «dataemne» og «tilsynsmyndighet» har samme betydning som i Europaparlamentets og rådets direktiv 95/46/EF fra 24. oktober 1995 om beskyttelse av individer i forbindelse med behandling av personopplysninger og om fri utveksling av sådanne opplysninger¹;
2. «dataeksportør» betyr kontrolløren, som overfører personopplysningene
3. «dataimportør» betyr den behandleren som godtar å motta personopplysninger fra dataeksportøren ment for behandling på dataeksportørens vegne etter overføringen, i overensstemmelse med dataeksportørens instrukser og standardbestemmelsene, og som ikke er underlagt en tredjestats system, som sikrer et tilstrekkelig beskyttelsesnivå, som omhandlet i artikkel 25(1), i direktiv 95/46/EF;
4. «underbehandleren» betyr enhver behandler, som etter avtale med dataimportøren eller av en av dataimportørens øvrige underbehandlere godtar å motta fra dataimportøren eller en av dataimportørens øvrige underbehandlere personopplysninger utelukkende ment for behandling på dataeksportørens vegne etter overføringen, i overensstemmelse med dataeksportørens instrukser, bestemmelsene i klausulene og vilkårene i den skriftlige underkontrakten;
5. «den gjeldende databeskyttelseslovgivning» betyr den lovgivning som beskytter individers grunnleggende rettigheter og frihet, især deres rett til beskyttelse av privatlivets fred, med hensyn til behandling av personopplysninger, og som gjelder for en datakontrollør i den medlemsstat hvor dataeksportøren holder til;
6. «tekniske og organisatoriske sikkerhetstiltak» betyr de tiltak som har til formål å beskytte personopplysninger mot utilsiktet eller ulovlig tilintetgjørelse, utilsiktet tap, uautoriseret overføring eller adgang, især der behandlingen omfatter overføring av opplysninger over et nettverk, samt mot enhver annen form for ulovlig behandling.

Detaljerte opplysninger om overføringen og især de spesielle kategorier av personopplysninger, hvor dette er relevant, er nærmere spesifisert i Vedlegg 1, som er en vesentlig del av klausulene.

1. Den registrerte kan som begunstiget tredjepart håndheve denne klausulen, klausul 4 (b) til (i), klausul 5(a) til (e) og (g) til (j), klausul 6(1) og (2), klausul 7, klausul 8(2) og klausul 9 til 12 overfor dataeksportøren.
2. Den registrerte kan håndheve denne klausulen, klausul 5(a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausul 9 til 12 overfor dataimportøren i tilfeller der dataeksportøren faktisk eller rettslig sett har opphørt å eksistere, med mindre en eventuell etterfølger har påtatt seg alle dataeksportørens rettslige forpliktelser i henhold til kontrakt eller i henhold til lovgivning, og som et resultat av dette overtar dataeksportørens rettigheter og forpliktelser, noe som fører til at den registrerte kan håndheve dem overfor en slik etterfølger.
3. Den registrerte kan håndheve denne klausulen, klausul 5(a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausul 9 til 12 overfor underbehandleren i tilfeller der både dataeksportøren og dataimportøren faktisk eller rettslig sett har opphørt å eksistere eller har blitt insolvent, med mindre en eventuell etterfølger har påtatt seg alle dataeksportørens rettslige forpliktelser i henhold til kontrakt eller i henhold til lovgivning, og som et resultat av dette overtar dataeksportørens rettigheter og forpliktelser, noe som fører til at den registrerte kan håndheve dem overfor en slik etterfølger. Slikt tredjepartsansvar skal begrenses til egne behandlingsoperasjoner under klausulene.
4. Partene kommer ikke med innvendinger mot at den registrerte, så fremt det uttrykkelig ytres ønske om det, og det er tillatt i henhold til nasjonal rett, lar seg representere av en forening eller andre organer.

Dataeksportøren godtar og garanterer:

1. at behandlingen av personopplysningene, herunder selve overføringen, har vært, og fortsatt vil være i overensstemmelse med de relevante bestemmelsene i gjeldende lov om databeskyttelse (og, når det er aktuelt, har blitt varslet til de kompetente myndighetene i medlemsstaten hvor dataeksportøren holder til), og at behandlingen ikke er i strid med denne stats relevante bestemmelser;
2. at han har instruert, og under behandlingen av personopplysningene vil instruere, dataimportøren om å kun behandle de overførte personopplysninger på dataeksportørens vegne og i overensstemmelse med gjeldende lovgivning om databeskyttelse og klausulene;
3. at dataimportøren vil stille tilstrekkelige garantier med hensyn til de tekniske og organisatoriske sikkerhetstiltak, som er nærmere angitt i Vedlegg 2 til denne kontrakten;
4. at sikkerhetstiltakene, etter å ha blitt vurdert i forhold til kravene i den gjeldende lovgivningen for databeskyttelse, er tilstrekkelige til å beskytte personopplysninger mot utilsiktet eller ulovlig tilintetgjørelse, utilsiktet tap, endring, uautorisert overføring eller adgang, især når behandlingen omfatter dataoverføring over et nettverk, samt mot enhver annen form for ulovlig behandling, og at disse tiltakene gir et passende databeskyttelsesnivå i forhold til de risikoer som er forbundet med behandlingen og arten av opplysningene som skal beskyttes, tatt i hensyn det aktuelle tekniske nivået og de omkostninger som er forbundet med deres iverksettelse;
5. at han vil sikre at disse sikkerhetstiltakene overholdes;
6. at den registrerte i tilfeller der overføringen omfatter spesielle kategorier av opplysninger, har blitt informert eller innen eller raskest mulig etter overføringen vil bli informert om, at deres opplysninger kan bli overført til en tredjestat, som ikke sikrer et tilstrekkelig databeskyttelsesnivå som omhandlet i direktiv 95/46/EF;
7. at han vil sende meddelelser, som han mottatt fra dataimportøren eller en eventuell underbehandler i henhold til klausul 5(b) og 8 (3), videre til myndigheten for databeskyttelse, hvis han beslutter å fortsette overføringen eller oppheve suspensjonen;
8. at han etter anmodning vil stille følgende til rådighet for den registrerte: et eksemplar av klausulene, bortsett fra Vedlegg 2, og en kortfattet beskrivelse av sikkerhetstiltakene samt et eksemplar av enhver kontrakt om underbehandling av tjenester, som må inngås i henhold til klausulene, med mindre klausulene eller kontrakten inneholder kommersielle opplysninger, som han i så fall kan utelate;
9. at behandlingen, når foretatt av en underbehandler, gjennomføres i henhold til klausul 11 av en underbehandler, som tilbyr minst det samme beskyttelsesnivå for den registrertes personopplysninger og rettigheter som dataimportøren i henhold til klausulene; og
10. at han vil sørge for at klausul 4(a) til (i) overholdes.

Dataimportøren godtar og garanterer:

1. at han utelukkende vil behandle personopplysningene på dataeksportørens vegne og i overensstemmelse med dennes instrukser og klausulene. Dersom han av en hvilken som helst grunn ikke er i stand til å sikre slik overensstemmelse, godtar han å straks underrette dataeksportøren om dette, hvoretter dataeksportøren i så fall har rett til å suspendere dataoverføringen og/eller oppheve kontrakten;
2. at han ikke har grunn til å tro at aktuell lovgivning han er underlagt, forhindrer han i å følge instruksene han har mottatt fra dataeksportøren, og at han skal overholde sine forpliktelser i henhold til kontrakten, og at han, såfremt denne lovgivning endres, som sannsynligvis vil få en vesentlig negativ innvirkning på de garantier og forpliktelser der oppnås ved hjelp av klausulene, straks sier fra til dataeksportøren om endringen, så snart han får kjennskap til den, hvoretter dataeksportøren i så fall har rett til å suspendere dataoverføringen og/eller oppheve kontrakten;
3. at han, før han behandler de overførte personopplysninger, har iverksatt de tekniske og organisatoriske sikkerhetstiltak som er nærmere angitt i Vedlegg 2;
4. at han straks vil gi dataeksportøren meddelelse om:
   1. rettshåndhevende myndighets rettslig bindende anmodninger om overføring av personopplysninger, med mindre dette på annen måte er forbudt, som for eksempel ved et forbud ifølge strafferettsloven med henblikk på å sikre fortrolighet i etterforskningssaker
   2. enhver utilsiktet eller uautorisert adgang og
   3. anmodninger, som mottas direkte fra de registrerte, og som han ikke har besvart, med mindre han på annen måte er bemyndiget til det
5. at han straks og på en ordentlig måte vil behandle alle dataeksportørens forespørsler vedrørende sin behandling av de overførte personopplysninger og følge tilsynsmyndighetens anbefalinger med hensyn til behandling av de overførte opplysninger
6. at han på dataeksportørens anmodning lar fasilitetene hvor data behandles inspiseres, som omfatter den omhandlede databehandlingen i klausulene, og som foretas av dataeksportøren eller et inspiserende organ bestående av uavhengige medlemmer med taushetsplikt, som er i besittelse av de nødvendige faglige kvalifikasjoner, og som utpekes av dataeksportøren, i enighet med tilsynsmyndigheten
7. at han etter anmodning vil stille et eksemplar av klausulene eller eksisterende kontrakt for underbehandlere til rådighet for den registrerte, med mindre klausulene eller kontrakten inneholder kommersielle opplys ninger, som han i så fall kan utelate, bortsett fra Vedlegg 2, som erstattes av en kortfattet beskrivelse av sikkerhetstiltakene i de tillfeller hvor den registrerte ikke kan få utlevert et eksemplar fra dataeksportøren;
8. at, i tilfeller med underbehandling, han på forhånd har underrettet dataeksportøren og innhentet hans skriftlige samtykke dertil;
9. at behandlingstjenestene av underbehandleren vil skje i henhold til klausul 11;
10. at han straks vil sende dataeksportøren et eksemplar av avtaler med underbehandler han inngår i henhold til klausulen.

1. Partene er enige om at alle registrerte som har lidt skade som følge av en parts eller en underbehandlers overtredelse av sine forpliktelser, som er omhandlet i klausul 3 eller 11, har rett til erstatning fra dataeks­portøren for den lidte skade.
2. Hvis et registrert tilfelle, der dataimportøren eller hans underbehandler overtreder sine forpliktelser i henhold til klausul 3 eller 11, ikke er i stand til å fremsette erstatningskrav mot dataeksportøren i henhold til paragraf 1, fordi dataeksportøren faktisk eller rettslig sett har opphørt å eksistere eller har blitt insolvent, godtar dataimportøren at den registrerte kan fremsette krav mot dataimportøren, som om han var dataeksportøren, med mindre en eventuell rettslig etterfølger har påtatt seg alle dataeksportørens forpliktelser i henhold til kontrakt eller i henhold til lovgivning. Hvis det er tilfelle, kan den registrerte i så fall påberope seg sine rettigheter overfor en slik rettslig etterfølger.
   Dataimportøren kan ikke legge grunn at en underbehandler har brutt sine forpliktelser til å unngå eget ansvar.
3. Hvis et registrert tilfelle, der underbehandleren overskrider sine forpliktelser i henhold til klausul 3 eller 11, ikke er i stand til å fremsette erstatningskrav mot dataeksportøren eller dataimportøren i henhold til paragraf 1 og 2, fordi både dataeksportøren og dataimportøren faktisk eller rettslig sett ikke lenger eksisterer eller har blitt insolvente, godtar underbehandleren at den registrerte kan fremsette krav mot underbehandleren med hensyn til dennes egen behandling i henhold til klausulene, som om han var dataeksportøren eller dataimportøren, med mindre en eventuell rettslig etterfølger har påtatt seg alle av dataeksportørens eller dataimportørens rettslige forpliktelser i henhold til kontrakt eller i henhold til lovgivning. Hvis det er tilfelle, kan den registrerte i så fall påberope seg sine rettigheter overfor en slik rettslig etterfølger. Ansvaret til underbehandleren skal begrenses til egne behandlingsoperasjoner under klausulene.

1. Hvis den registrerte gjør tredjepartsløftet gjeldende overfor dataimportøren og/eller krever skadeserstatning i henhold til klausulene, vil dataimportøren godta den registrertes beslutning om:
   1. å henvise saken til megling foretatt av en uavhengig person eller, når det er aktuelt, tilsynsmyndigheten;
   2. å henvise saken til domstolene i den medlemsstat der dataeksportøren holder til.
2. Partene er enige om at den registrertes valg ikke har noen innvirkning på den registrertes materielle eller prosessuelle rettigheter til å søke forholdet avhjulpet i overensstemmelse med andre bestemmelser i nasjonal eller internasjonal rett.

Klausul 8

Samarbeid med tilsynsmyndighetene

1. Dataeksportøren godtar å deponere et eksemplar av denne kontrakt hos tilsynsmyndigheten, hvis denne anmoder om det, eller hvis det kreves i henhold til den gjeldende lovgivningen om databeskyttelse.
2. Partene godtar at tilsynsmyndigheten har rett til å foreta en inspeksjon av dataimportøren og en eventuell underbehandler med samme formål og på de samme betingelser som en inspeksjon av dataeksportøren i henhold til den gjeldende lovgivningen om databeskyttelse.
3. Dataimportøren skal straks underrette dataeksportøren om at han, eller en eventuell underbehandler, er underlagt lovgivning som forhindrer en inspeksjon av ham eller en eventuell underbehandler i henhold til paragraf 2. I så fall har dataeksportøren rett til å benytte seg av tiltakene fastsatt i klausul 5(b).

Klausulene er underlagt lovgivningen i den medlemsstat der dataeksportøren holder til.

Partene forplikter seg til ikke å endre klausulene. Dette forhindrer ikke partene i å legge til klausuler om forretningsmessige spørsmål, hvis det er nødvendig, så lenge de ikke strider mot klausulen.

1. Dataimportøren skal ikke kontrahere bort noen av behandlingsoperasjonene utført på vegne av dataeksportøren i henhold til klausulene, uten dataeksportørens forutgående skriftlige samtykke. Når dataimportøren med dataeksportø­rens samtykke kontraherer bort sine forpliktelser i henhold til klausulene, skjer dette utelukkende ved inngåelse av en skriftlig avtale med underbehandleren, som herved pålegges de samme forpliktelser som forpliktelsene dataimportøren har i henhold til klausul³. Hvis underbehandleren ikke oppfyller sine forpliktelser når det gjelder å beskytte data i henhold til en slik skriftlig avtale, er dataimportøren fullt ut ansvarlig overfor data eksportøren for at underbehandlerens forpliktelser i henhold til slik avtale oppfylles.
2. Den forutgående skriftlige kontrakten mellom dataimportøren og underbehandleren inneholder også et tredjepartsløfte, fastsatt i klausul 3, for tilfeller hvor den registrerte ikke kan fremsette erstatningskrav som anført i paragraf 1 i klausul 6 mot dataeksportøren eller dataimportøren, fordi de faktisk eller rettslig sett har opphørt med å eksistere eller har blitt insolvente, og ingen rettslig etterfølger har påtatt seg alle dataeksportørens eller dataimportørens rettslige forpliktelser i henhold til kontrakt eller i henhold til lovgivning. Slikt tredjepartsansvar skal begrenses til egne behandlingsoperasjoner under klausulene.
3. Bestemmelsene om aspekter ved databeskyttelse ved underbehandling av kontrakten, som er omhandlet i paragraf 1, er underlagt lovgivningen i medlemsstaten der dataeksportøren holder til.
4. Dataeksportøren skal føre en liste over underbehandlingsavtaler, som er inngått i henhold til klausulene og meddelt av dataimportøren i henhold til klausul 5(j), og listen skal ajourføres minst én gang i året. Listen er tilgjengelig for dataeksportørens datatilsynsmyndighet.

Forpliktelser etter avsluttet databehandling av personopplysninger

1. Partene er enige om at dataimportøren og underbehandleren, når databehandlingen av personopplysningene er avsluttet, etter dataeksportørens ønske, enten returnerer alle overfører personopplysninger og eksemplarer herav til dataeksportøren, eller destruerer alle personopplysninger og attesterer dette overfor dataeksportøren, med mindre den lovgivning som dataimportøren er underlagt forhindrer ham i å returnere eller destruere alle eller en del av de overførte personopplysninger. Dataimportøren garanterer i så fall at han vil sikre fortroligheten til de overførte personopplysningene, og at han ikke aktivt vil foreta ytterligere behandling av disse.
2. Dataimportøren og underbehandleren garanterer at de på dataeksportørens og/eller tilsynsmyn­dighetens anmodning vil godta inspeksjon av anlegget hvor databehandlingen foregår, med det formål å kontrollere de tiltak som er omhandlet i paragraf 1.

Uttrykk med stor forbokstav brukt i seksjon A til C og Vedleggene, men som ikke er definert i klausulene, skal ha den betydning som er angitt i Dropbox Business-avtalen mellom dataeksportøren og Dropbox International Unlimited Company.

1. Sikkerhetskontroll. Dataimportøren opprettholder ISO/IEC 27001:2013- og ISO/IEC 27018:2014-sertifiseringen, som er utstedt av en uavhengig tredjeparts kontrollør. Dataimportøren vil fortsette å gjennomgå regelmessige ISO/IEC 27001:2013- og ISO/IEC 27018-kontroller som er nødvendig for å opprettholde slike sertifiseringer for tjenestene i løpet av avtaleperioden. Dataimportøren skal også jevnlig gjennomgå Service Organization Control 2 (SOC 2) Type II-kontorller. Med forbehold om dataimportørens taushetsplikt, og ikke mer enn én gang i året, vil dataimportør gi dataeksportøren en kopi av SOC 2 Type II-rapporten etter skriftlig anmodning. Dataimportøren vil gjøre nye SOC 2-rapporter tilgjengelig etter hvert som de ferdigstilles, underlagt dataimportørens taushetsplikt. Dataimportøren gjennomgår jevnlig dens tredjeparts underorganisasjoner, som gjennomgår Standards for Attestation Engagements No. 16 (SSAE 16) / International Standard on Assurance Engagements No. 3402 (ISAE 3402) Service Organization Control 1 (SOC 1) Type II eller Service Organization Control 2 (SOC 2) Type II-kontroller som evaluere utformingen og effektiviteten av sikkerhetsrutiner, prosedyrer og kontroller.

   Dataeksportøren er enig i at dataimportørens plikter fastsatt i dette avsnitt A helt ut oppfyller overvåkningsrettighetene i henhold til klausul 5(f) og klausul 12(2) av klausulene.

2. Underbehandling. Dataimportøren kan engasjere andre selskaper for å tilby begrensede deler av tjenestene (inkludert støttetjenester) på dataimportørens vegne, og dataeksportøren samtykker i at dataimportøren kontraherer bort behandlingen av personopplysninger til slike underbehandlere som beskrevet i klausulene. Dataimportøren vil sikre at eventuelle underbehandlere kun får tilgang til og bruker personopplysningene til å levere tjenestene som angitt i en skriftlig avtale mellom dataimportøren og underbehandleren. Dataeksportøren erkjenner at eventuelle krav som gjelder for dataimportøren i henhold til klausulene i forhold til avtaler med underbehandlerem skal være oppfylt i sin helhet forutsatt at avtalen for underbehandlere mellom dataimportøren og underbehandleren gir minst det samme nivået med databeskyttelse som kreves i henhold til Dropbox Business-avtalen.
3. Erstatningsansvar. Klausulene skal være underlagt begrensningene og unntakene for ansvar som finnes i «Ansvarsbegrensning»-delen av Dropbox Business-avtalen, slik at det totale ansvar for dataimportør og Dropbox International Unlimited Company samlet ikke skal overstige de begrensninger som følger av Dropbox Business-avtalen. For å unngå tvil, skal dataeksportøren ikke ha rett til å få erstatning fra både dataimportøren og Dropbox International Unlimited Company for samme tap.

Dette vedlegget utgjør en del av klausulene, og må være komplett og signert av partene.

Medlemsstatene kan fullføre eller spesifisere, i henhold til deres nasjonale prosedyrer, ytterligere nødvendig informasjon som skal være i dette vedlegget.

Dataeksportør

Dataeksportøren er (gi en kortfattet beskrivelse av deres aktiviteter som er relevante for overføringen):

Kunden i Dropbox Business-avtalen med Dropbox International Unlimited Company.

Dataimportør

Dataimportøren er (gi en kortfattet beskrivelse av deres aktiviteter som er relevante for overføringen):

Dropbox, Inc., en global leverandør av skytjenester for enkeltpersoner og næringsliv. Dropbox, Inc., og dets partnere, tilbyr et nettsted, programvare og mobile apper som lar personer lagre filer, synkronisere filer på tvers av flere enheter og samarbeide med andre. Dropbox, Inc. sine tjenester kan også nås via programmeringsgrensesnitter (API-er).

Registrerte

De overførte personopplysninger vedrører følgende kategorier av registrerte (spesifiser nærmere):

Dataeksportøren og dataeksportørens partneres sluttbrukere, inkludert ansatte, konsulenter og entreprenører knyttet til dataeksportøren, samt alle enkeltpersoner som samarbeider eller deler med disse sluttbrukerne ved hjelp av tjenestene som tilbys av dataimportøren.

Kategorier med opplysninger

De overførte personopplysninger vedrører følgende kategorier av opplysninger (spesifiser nærmere):

Sluttbrukere som identifiserer informasjons- og organisasjonsdatadata (både onling og offline) samt dokumenter, bilder og annet innhold eller data i elektronisk form som er lagret eller som overføres av sluttbrukere via dataimportørens tjenester.

Behandlingsoperasjoner

De overførte personopplysninger vil utsettes for følgende grunnleggende behandlingsaktiviteter (spesifiser nærmere):

Dataimportøren eller hans underbehandlere vil bruke og behandle personopplysninger, og dataeksportøren instruerer dataimportøren å bruke og behandle personopplysninger for å kunne levere tjenestene i henhold til Dropbox Business-avtalen.

Dette vedlegget utgjør en del av klausulene, og må være komplett og signert av partene.

Beskrivelse av de tekniske og organisatoriske sikkerhetstiltaken iverksatt av dataimportør, omhandlet i klausul 4(d) og 5(c) (eller dokument/lovgivning vedlagt):

Kontakt for datavern

Kontaktpersonen for datavern hos dataimportøren kan nås på privacy@dropbox.com

Sikkerhetstiltak

Dataimportøren har iverksatt og vil opprettholde nødvendige administrative, tekniske og fysiske sikkerhetstiltak for å beskytte personopplysninger som nærmere beskrevet i Sikkerhetshvitebok for Dropbox Business (tilgjengelig fra og med ikrafttredelsesdatoen på: https://www.dropbox.com/…/Security_Whitepaper.pdf) og i tillegg angitt nedenfor. Dataimportøren kan oppdatere disse sikkerhetstiltakene fra tid til annen. Den nyeste versjonen er tilgjengelig på nettadressen ovenfor (eller annen nettadresse som formidles av dataimportøren), forutsatt at dataimportøren varsler dataeksportøren dersom dataimportøren oppdaterer sikkerhetstiltaken på en måte som i vesentlig grad reduserer den administrative, tekniske eller fysiske sikkerhetsfunksjonene beskrevet deri eller i dette vedlegg 2.

1. Tjenestesikkerhet
   1. Dropbox-arkitektur. Dataimportørens tjeneste er utformet med flere lag av beskyttelse som dekker dataoverføring, kryptering, nettverkskonfigurasjon og nivåkontroller for applikasjonen – alt fordelt på en skalerbar, sikker infrastruktur. Sluttbrukere av dataimportørens tjeneste kan få tilgang til filer og mapper når som helst fra skrivebordet, nett og mobile klienter. Alle disse klientene kan kobles til sikre tjenester for å gi tilgang til filer, tillate fildeling med andre og oppdatere tilknyttede enheter når filer legges til, endres eller slettes. Tjenesten er tilgjengelig og kan benyttes på en rekke grensesnitt. Hvert grensesnitt har sikkerhetsinnstillinger og funksjoner som behandler og beskytter dataene og samtidig sikrer enkel tilgang. 
   2. Pålitelighet. Dataimportørens tjeneste er utviklet med flere lag av redundans for å beskytte mot tap av data og for å sikre tilgjengelighet.
   3. Kryptering. For å beskytte dataene under overføring mellom dataeksportøren og dataimportøren, brukerdataimportøren Secure Sockets Layer (SSL)/Transport Layer Security (TLS) for dataoverføring, som oppretter en sikker tunnel beskyttet av 128-bits AES-kryptering eller høyere. Fildata er kryptert med 256-bit Advanced Encryption Standard (AES). Dataimportørens krypterte infrastruktur for nøkkelbehandling er konstruert med operasjonelle, tekniske og prosedyremessige sikkerhetskontroller med svært begrenset direkte tilgang til nøkler. Generering, utveksling og lagring av krypteringsnøkler blir distribuert for desentralisert behandling.
   4. Administrasjonsfunksjoner for brukere. Sluttbrukerne av dataimportørens tjeneste kan gjenopprette tapte filer og ubegrenset gjenopprette tidligere versjoner av filene, for å sikre at de filene kan spores og gjenopprettes. Dataimportørens tjeneste tillater bruk av en to-trinns godkjenningsprosedyre som legger til et ekstra lag med beskyttelse.
   5. Datasentre. Dataimportørens bedrifts- og produksjonssystemer er plassert på tredjeparts subservice-organisasjoners datasentre som befinner seg i USA. Dataimportøren går gjennom alle subservice-organisasjoners datasentres Service Organization Control (SOC)-rapporter og/eller SOC 2-rapporter minst én gang i året for tilstrekkelige sikkerhetskontroller. 
2. Informasjonssikkerhet.
   1. Retningslinjer. Dataimportæren har etablert et grundig sett med sikkerhetsretningslinjer som dekker områdene informasjonssikkerhet, fysisk sikkerhet, respons ved uhell, logisk tilgang, fysisk produksjonstilgang, endringsledelse og støtte. Disse retningslinjene gjennomgås og godkjennes minst en gang i året. Dataimportørens personell blir varslet om oppdateringer av disse retningslinjene og blir gitt sikkerhetsopplæring.
   2. Personalpolitikk og tilgang. Dataimportørens interne retningslinjer krever igangsettingsprosedyrer som omfatter bakgrunnssjekk (i den grad det tillates av lokal lovgivning), anerkjennelse av sikkerhetsretningslinjer, meddelelse av oppdateringer av sikkerhetsretningslinjer og taushetserklæring. All personelltilgang fjernes umiddelbart når en ansatt eller leverandør forlater selskapet. Dataimportøren anvender tekniske tilgangskontroller og interne retningslinjer som forbyr de ansatte eller leverandører fra vilkårlig tilgang til fildata. Dette begrenser tilgangen til metadata og annen informasjon om sluttbrukernes kontoer. For å beskytte sluttbrukers personvern og sikkerhet har vi kun et lite antall ansatte eller leverandører som har tilgang til miljøet der sluttbrukerfiler lagres. En oppføring for tilgangsforespørsel, rettferdiggjørelse og godkjenning blir registrert av ledelsen, og tilgang blir gitt av egnede personer.
   3. Nettverkssikkerhet. Dataimportøren vedlikeholder metoder for nettverkssikkerhet og overvåking som er utviklet for å gi flere lag med beskyttelse og forsvar. Dataimportørens ansatte benytter standardiserte beskyttelsesteknikker, inkludert brannmurer, overvåking av nettverkssikkerhet og systemer for oppdagelse av inntrenging for å sikre at bare kvalifisert trafikk er i stand til å nå infrastrukturen til dataimportøren.
   4. Endringsledelse. Dataimportøren sørger for at sikkerhetsrelaterte endringer godkjennes før implementering i produksjonsmiljøer. Endringer på kildekode er initiert av utviklere som ønsker å forbedre en applikasjonen eller tjenesten levert av dataimportøren. Endringer i dataimportørens infrastruktur er begrenset til autorisert personell. Endringer på programmnivå av tgjenestene er pålagt å gå gjennom automatiserte testprosedyrer for kvalitetskontroll for å sikre at sikkerhetskravene oppfylles. Vellykket gjennomføring av kvalitetsprosedyrer fører til at endringen gjennomføres.
   5. Overholdelse. Det blir regelmessig foretatt en gjennomgang av sikkerheten til dataimportøren, hans datasenterleverandører og hans administrert tjenesteleverandør. Disse gjennomgangene er utført av en uavhengig tredjepart. Dataimportøren vil fortsette å delta i vanlig ISO/IEC 27001:2013 og ISO/IEC 27018:2014-gjennomganger. Dataimportøren gjennomgår også SOC 1 og/eller SOC 2-rapporter for alle subservice-organisasjoner. Hvis en subservice-organisasjons SOC 1 og/eller SOC 2-rapport er utilgjengelig, utfører dataimportøren sikkerhetsbefaringer for å kontrollere at gjeldende fysiske, miljømessige og operative sikkerhetskontroller tilfredsstiller kontrollkriterier og kontraktsmessige krav. Dataimportøren vurderer ytterligere sertifiseringer og attester om overholdelse som er gjort tilgjengelig for dataimportøren av undertjenesteleverandører på en kontinuerlig basis.
3. Fysisk sikkerhet
   1. Infrastruktur. Fysisk tilgang til subservice-organisasjonsfasiliteter der produksjonssystemer er plassert, er begrenset til personell autorisert av dataimportøren som trenger tilgang for å utføre arbeidspliktene sine. Eventuelle enkeltpersoner som krever ytterligere tilgang til fasiliteter knyttet til produksjonsmiljøer, gis tilgang gjennom eksplisitt godkjenning av en egnet administrator.
   2. Kontor. Dataimportøren har et fysiske sikkerhetsteam som er ansvarlig for å håndheve fysiske sikkerhetsretningslinjer og kontrollere sikkerheten på dataimportørens kontor. Tilgang til områder med bedriftstjenester er begrenset til autorisert personell via forhøyede roller gitt gjennom skilttilgangssystemet.