Avtal för Dropbox Business

Publicerat: 14 september 2016

Detta avtal för Dropbox Business (”Avtalet”) har slutits mellan Dropbox International Unlimited Company, om din organisation är baserad utanför USA, Kanada och Mexiko (”Nordamerika”) eller, om din organisation är baserad i USA, med Dropbox, Inc., ett företag i Delaware (båda benämns ”Dropbox”), och organisationen som godkänner villkoren (”Kunden”). Detta avtal reglerar såväl åtkomst och användning av Dropbox Business-klient och tjänster (tillsammans ”Dropbox Business”) som de betatjänster som görs tillgängliga för dig (tillsammans med Dropbox Business, ”Tjänster”). Genom att klicka på "Jag godkänner", underteckna avtalet för tjänster eller använda tjänsterna, godkänner du som kund detta avtal.

I den omfattning Dropbox, Inc. åt kunden bearbetar kunduppgifter som lyder under nationella lagar som implementerar EU:s dataskyddsdirektiv (95/46/EC) (”EU:s dataskyddslagar”), godkänner du EU:s standardavtalsklausuler med Dropbox Inc. för överföringen av personuppgifter till bearbetare som anges i Schema 1 när du klickar på ”Jag godkänner”.

Om du godkänner detta avtal och schema 1 (om tillämpligt) för användning av tjänsterna för en organisations räkning, godkänner du detta avtal på uppdrag av den organisationen. Du måste ha behörighet att binda organisationen till dessa villkor, annars får du inte registrera dig för tjänsterna.

1. Tjänster.
   1. Tillhandahållande av tjänster. Kunden och användare av kundens tjänste-konto ("Slutanvändare ") kan få åtkomst till och använda tjänsterna i enlighet med detta avtal.
   2.  Anläggningar och databehandling.. Dropbox kommer att använda åtminstone tekniska och organisatoriska säkerhetsåtgärder enligt branschstandard för att överföra, lagra och bearbeta kunddata. Dessa åtgärder är utformade för att skydda kunddatas integritet och skydda mot obehörig eller olaglig åtkomst till, användning och bearbetning av kunddata. Kunden godkänner att Dropbox kan överföra, lagra och bearbeta kunddata i USA och på andra platser än i kundens land. I den omfattning kunddata lyder under EU:s dataskyddslagar och behandlas av Dropbox som uppgiftsbearbetare, på uppdrag av kunden (som uppgiftskontrollant), använder och bearbetar Dropbox sådana kunduppgifter enligt kundens instruktioner för att tillhandahålla tjänsterna och uppfylla Dropbox förpliktelser enligt avtalet. Med ”Kunddata” avses lagrade data- och kontouppgifter. Med ”lagrade data” avses de filer och strukturerade data som lämnats in till de tjänster som kunder eller slutanvändare. Med ”Kontodata” avses kontot och kontaktuppgifterna som lämnas till tjänsterna av kunder eller slutanvändare.
   3. Ändringar av tjänsterna. Dropbox kan uppdatera tjänsterna från tid till annan. Om Dropbox ändrar tjänsterna på ett sätt som väsentligt minskar deras funktionalitet, kommer Dropbox att informera kunden via e-postadressen som är kopplad till kontot.
   4. Programvara. Vissa tjänster låter kunden ladda ner Dropbox programvara som kan uppdateras automatiskt. Kunden får använda programvaran endast för att få åtkomst till tjänsterna. Om någon del av programvaran erbjuds med en öppen källkodslicens kommer Dropbox att göra licensen tillgänglig för kunden och bestämmelserna i denna licens kan uttryckligen åsidosätta några av villkoren i detta avtal.
   5. Betatjänster. Dropbox kan tillhandahålla funktioner eller produkter som vi fortfarande testar och utvärderar. Dessa produkter och funktioner identifieras som alfa, beta, förhandsversion, tidig åtkomst eller utvärdering (eller ord eller fraser med liknande innebörd) (tillsammans ”Betatjänster”). Även om det finns något som talar emot något i detta avtal eller i Schema 1 gäller följande villkor för alla Betatjänster: (a) du kan använda eller avböja att använda Betatjänster; (b) Betatjänster kanske inte stöds och kan ändras när som helst utan att du meddelas; (c) Betatjänster är kanske inte lika tillförlitliga eller tillgängliga som Dropbox Business; (d) för Betatjänster har inte samma säkerhetsåtgärder och granskning vidtagits som för Dropbox Business; och (e) DROPBOX HAR INGEN ANSVARSSKYLDIGHET SOM UPPKOMMER FRÅN ELLER SAMMANHÄNGER MED BETATJÄNSTER – ANVÄND PÅ EGEN RISK.
2. Kundens förpliktelser.
   1. Efterlevnad.Kunden ansvarar för slutanvändarnas användning av tjänsterna. Kunden och dess slutanvändare måste använda tjänsterna i enlighet med användningspolicyn. Kunden ska erhålla eventuella samtycken från slutanvändare för att tillåta att administratörer ska bedriva den verksamhet som beskrivs i detta avtal och tillåta Dropbox att tillhandahålla tjänsterna. Kunden kommer att följa de lagar och regler som gäller för kundens användning av tjänsterna, om det finns några.
   2. Kundens administration av tjänsterna. Kunden kan ange slutanvändare som ”Administratörer” genom administrationspanelen. Administratörer kan ha möjlighet att komma åt, avslöja, begränsa eller ta bort kunddata i eller från tjänsternas konton. Administratörer kan också ha möjlighet att övervaka, begränsa eller säga upp åtkomsten till tjänsternas konton. Dropbox ansvar sträcker sig inte till den interna förvaltningen eller administrationen av tjänsterna. Kunden ansvarar för att: (i) att upprätthålla sekretessen för lösenord och administratörskonton, (ii) att hantera åtkomsten till administratörskonton och (iii) se till att administratörens användning av tjänsterna görs i enlighet med detta avtal. Kunden erkänner att om kunden köper tjänsterna via en återförsäljare och utser en sådan återförsäljares personal till administratörer av kundens konto för tjänsterna kan en sådan återförsäljare kontrollera kontoinformationen, inklusive kunddata och få åtkomst till kundens konto för tjänsterna enligt det som beskrivs ovan.
   3. Otillåten användning och åtkomst. Kunden kommer att förhindra obehörig användning av tjänsterna genom sina slutanvändare och avsluta all obehörig användning av eller åtkomst till tjänsterna. Tjänsterna är inte avsedda för slutanvändare under 13 år. Kunden ska se till att den inte tillåter personer under 13 använda tjänsterna. Kunden kommer omedelbart att meddela Dropbox vid obehörig användning eller åtkomst av tjänsterna.
   4. Begränsad användning. Kunden kommer inte att (i) sälja, sälja vidare, eller hyra ut tjänsterna; (ii) använda tjänsterna för verksamhet där användning eller fel på tjänsterna kan leda till fysiska skador, dödsfall eller personskada eller (iii) återskapa tjänsterna och inte heller försöka eller hjälpa någon annan att göra det, om inte denna begränsning är förbjudet enligt lag.
   5. Förfrågan från tredje part.
      1. " Förfrågan från tredje part " avses en förfrågan från en tredje part för handlingar tillhörande en slutanvändares användning av tjänsterna inklusive information i eller från en slutanvändare eller kunds konto för tjänsterna. Förfrågan från tredje part kan inkludera giltiga beslut om husrannsakan, domstolsbeslut eller stämningar, eller någon annan förfrågan för vilket det finns ett skriftligt medgivande från slutanvändaren som tillåter ett avslöjande.
      2. Kunden ansvarar för att svara på tredje parts förfrågan via sin egen åtkomst till information. Kunden kommer att försöka få fram den information som krävs för att svara på tredje parts förfrågan och kommer endast att kontakta Dropbox om den inte kan erhålla sådan information trots ihärdiga ansträngningar.
      3. Dropbox kommer att göra kommersiellt rimliga ansträngningar, i den mån det är tillåtet enligt lag och villkoren i förfrågan från tredje part, för att: (A) omedelbart meddela kunden om Dropbox mottagit en förfrågan från tredje part, (B) uppfylla kundens kommersiellt rimliga krav avseende sina insatser för att motsätta en förfrågan från tredje part, och (C) förser kunden med information eller verktyg som krävs för att kunden ska kunna svara på förfrågan från tredje part (om kunden annars inte kan erhålla informationen). Om kunden inte omedelbart svarar på alla förfrågningar från tredje part kan Dropbox, men är inte skyldig, att göra det.
3. Tjänster från tredje part.Om kunden använder någon tredjepartstjänst (t.ex. en tjänst som använder en Dropbox API) med tjänsterna kommer (a) Dropbox inte att vara ansvarig för någon handling eller underlåtenhet av tredje part, inklusive tredje parts åtkomst till eller användning av kunddata och (b) Dropbox garanterar inte och stödjer inte någon tjänst som tillhandahålls av tredje part.
4. Avstängning.
   1. Av slutanvändarkonton genom Dropbox. Om en slutanvändare (i) bryter mot detta avtal eller (ii) använder tjänster på ett sätt som Dropbox rimligen tror kommer att leda till skyldighet, kan Dropbox begära att kunden avbryter eller avslutar det tillämpliga slutanvändarkontot. Om kunden inte omedelbart stänger av eller avslutar slutanvändarkontot, kan Dropbox komma att göra det.
   2. Akuta säkerhetssituationer.Trots vad som står i detta avtal kan Dropbox vid en eventuell akut säkerhetssituation automatiskt stänga av användningen av tjänsterna. Dropbox kommer att göra kommersiellt rimliga ansträngningar för att restriktivt anpassa avstängningen som behövs för att förhindra eller avsluta akuta säkerhetssituationer. Med " Akut säkerhetssituation. " avses: (i) användning av de tjänster som kan eller skulle kunna störa tjänsterna, övriga kunders användning av tjänsterna, eller den infrastruktur som används för att tillhandahålla tjänsterna och (ii) obehörig åtkomst till tjänsterna av tredje part.
5. Immateriella rättigheter.
   1. Reservationer för rättigheter. Förutom vad som uttryckligen anges häri, beviljar detta avtal inte (i) Dropbox eventuella immateriella rättigheter till kunddata eller (ii) kunden immateriella rättigheter i tjänsterna eller Dropbox varumärken och varumärkesfunktioner. Med " Immateriella rättigheter " avses nuvarande och framtida rättigheter i hela världen under patent, upphovsrätt, affärshemligheter, varumärken, moraliska rättigheter och andra liknande rättigheter.
   2. Begränsat tillstånd. Kunden beviljar Dropbox endast de begränsade rättigheter som rimligen är nödvändiga för att Dropbox ska kunna erbjuda tjänster (t.ex. vara värd för lagrade data). Detta tillstånd omfattar även våra dotterbolag och betrodda tredje parter som Dropbox arbetar med för att erbjuda tjänster (t.ex. betalningsleverantör som används för att bearbeta betalning av avgifter).
   3. Förslag. Dropbox kan, efter eget gottfinnande och för alla typer av ändamål, använda, modifiera, och införliva i sina produkter och tjänster, licenser och underlicensier, all feedback, kommentarer, eller förslag som kunden eller slutanvändaren skickar till Dropbox eller postar i Dropbox forum utan skyldighet till kunden.
   4. Kundlista. Dropbox kan inkludera kundens namn i en lista med Dropbox kunder på Dropbox webbplats eller i reklammaterial.
6. Avgifter och betalning.
   1. Avgifter. Kunden kommer att betala och ger Dropbox eller kundens återförsäljare tillstånd att debitera enligt kundens valda betalningsmetod, för alla gällande avgifter. Avgifter återbetalas inte förutom om det krävs enligt lag. Kunden är ansvarig för att tillhandahålla fullständiga och korrekta fakturerings- och kontaktuppgifter till Dropbox eller kundens återförsäljare. Dropbox kan stänga av eller avsluta tjänsterna om avgifterna inte har betalats i tid.
   2. Automatiska förnyelser och provperioder. OM KUNDENS KONTO ÄR INSTÄLLT PÅ AUTOMATISK FÖRNYELSE ELLER HAR EN PROVPERIOD KAN DROPBOX (ELLER KUNDENS ÅTERFÖRSÄLJARE) AUTOMATISKT DEBITERA KUNDEN I SLUTET AV PROVPERIODEN ELLER FÖR FÖRNYELSEN, OM INTE KUNDEN MEDDELAR DROPBOX (ELLER KUNDENS ÅTERFÖRSÄLJARE BEROENDE PÅ VAD SOM ÄR TILLÄMPLIGT) ATT KUNDEN VILL AVBRYTA ELLER INAKTIVERA DEN AUTOMATISKA FÖRNYELSEN. Dropbox kan revidera tjänsternas priser genom att ge kunden minst 30 dagars varsel innan nästa debitering.
   3. Skatter. Kunden är ansvarig för alla skatter. Dropbox eller kundens återförsäljare kommer att ta ut skatt när detta krävs. Är kunden enligt lag skyldig att hålla inne eventuella skatter måste kunden ge Dropbox eller kundens återförsäljare ett officiellt skattekvitto eller annan lämplig dokumentation.
   4. Inköpsorder. Om kunden kräver användning av inköpsorder eller ordernummer, måste kunden (i) tillhandahålla ordernumret vid köptillfället och (ii) godkänna att villkoren för kundens ordernummer inte gäller för detta avtal utan är ogiltiga. Om kunden köper genom en återförsäljare ogiltigförklaras alla villkor från kundens återförsäljare eller i en inköpsorder mellan kunden och återförsäljaren som står i konflikt med avtalet för Dropbox Business.
7. Villkor och uppsägning.
   1. Villkor.Detta avtal gäller tills kundens prenumeration på tjänsterna löper ut eller upphör, eller till dess att avtalet sägs upp.
   2. Uppsägning på grund av brott. . Antingen Dropbox eller kunden kan säga upp avtalet om: (i) den andra parten har brytit mot avtalet och underlåter att rätta till brotett inom 30 dagar efter att ha tagit emot ett skriftligt meddelande eller (ii) den andra parten upphör med sin verksamhet eller blir föremål för ett insolvensförfarande och förfarandet inte avfärdas inom 90 dagar.
   3. Effekter av uppsägning . Om detta avtal upphör: (i) kommer de rättigheter som följer av Dropbox till kunden att omedelbart upphöra (utöver vad som anges i detta avsnitt), (ii) Dropbox kan ge kunden åtkomst till sitt konto till aktuella avgifter, så att kunden kan exportera sina lagrade data, och (iii) efter en kommersiellt rimlig tidsperiod, kan Dropbox radera lagrade data avseende kundens konto. Följande avsnitt kommer att överleva upphörande eller uppsägning av detta avtal: 2 (e) (tredje part begär), 5 (Intellectual Property Rights), 6 (Avgifter och betalning), 7 (c) (Effekter av Uppsägning), 8 (Skadeersättning) , 9 (Förbehåll), 10 (Ansvarsbegränsning), 11 (tvister) och 12 (Diverse).
8. Ersättning .
   1. Av kund. Kunden kommer att gottgöra, försvara och hålla Dropbox från och mot alla skulder, skador och kostnader (inklusive förlikningskostnader och rimliga advokatkostnader) som härrör från anspråk från tredje part mot Dropbox och dess dotterbolag avseende: (i) Kunddata; (Ii) Kundens användning av tjänsterna i strid med detta avtal, eller (iii) Slutanvändares användning av tjänsterna i strid med detta avtal.
   2. Av Dropbox . Dropbox kommer att gottgöra, försvara och hålla kunden från och mot alla skulder, skador och kostnader (inklusive förlikningskostnader och rimliga advokatkostnader) som härrör från anspråk från tredje part gentemot kunden i den utsträckning dessa grundas på ett påstående om att Dropbox teknik som används för att tillhandahålla tjänsterna till kunden gör intrång eller eller förskingrar upphovsrätt, affärshemligheter, amerikanskt patent eller varumärkesrätt för den tredje parten. Dropbox har under inga omständigheter skyldigheter eller ansvar i detta avsnitt som följer av: (i) användning av någon tjänst i en modifierad form eller i kombination med material som inte tillhandahålls av Dropbox och (ii) allt typ av innehåll, information eller data som tillhandahålls av kunden , slutanvändare eller annan tredje part.
   3. Möjlig överträdelse.. Om Dropbox tror att tjänsterna överträder eller kan misstänkas överträda tredje parts immateriella rättigheter, kan Dropbox: (i) erhålla rättigheten för kundens räkning, på Dropbox bekostnad, för att fortsätta använda tjänsterna; (Ii) tillhandahålla en funktionell likvärdig ersättning som inte överträder; eller (iii) ändra tjänsterna så att de inte längre överträder. Om Dropbox inte tror att alternativen som beskrivs i det här avsnittet är kommersiellt rimliga kan Dropbox stänga av eller avsluta kundens användning av de berörda tjänsterna (med en proportionell återbetalning av förbetalda avgifter för tjänsterna).
   4. Allmänt.Den part som begär gottgörelse ska omedelbart underrätta den andra parten om anspråket och samarbeta med den andra parten vid försvarandet av anspråket. Den part som begär gottgörelse kommer att ha full kontroll och auktoritet över försvaret, förutom att: (i) någon uppgörelse som kräver att parten söker gottgörelse för att erkänna ansvar kräver föregående skriftligt medgivande, som inte oskäligen hålls inne eller fördröjs och (ii) den andra parten kan delta i försvaret med sin egen advokat på egen bekostnad. GOTTGÖRELSEN OVAN ÄR DROPBOX OCH KUNDENS ENDA GOTTGÖRELSE ENLIGT DETTA AVTAL FÖR DEN ANDRA PARTENS ÖVERTRÄDELSE AV IMMATERIELLA RÄTTIGHETER.
9. Ansvarsfriskrivning.TJÄNSTERNA TILLHANDAHÅLLS "SOM DE ÄR” I DEN UTSTRÄCKNING SOM LAGEN TILLÅTER FÖRUTOM VAD SOM UTTRYCKLIGEN ANGES I DETTA AVTAL, VARKEN KUNDEN ELLER DROPBOX OCH DESS PARTNERS, LEVERANTÖRER OCH DISTRIBUTÖRER GER NÅGRA SOM HELST GARANTIER, VARE SIG UTTRYCKLIGEN, UNDERFÖRSTÅTT, LAGSTADGAT ELLER ANDRA, INKLUSIVE GARANTIER FÖR SÄLJBARHET, LÄMPLIGHET FÖR VISST ÄNDAMÅL ELLER ICKE-ÖVERTRÄDELSE. KUNDEN ANSVARAR FÖR ATT UNDERHÅLLA OCH SÄKERHETSKOPIERA ALL LAGRAD DATA.
10. Ansvarsbegränsning.
    1. Begränsning av indirekt ansvar . SÅ LÅNGT LAGEN TILLÅTER, FÖRUTOM NÄR DET GÄLLER DROPBOX ELLER KUNDENS GOTTGÖRELSESKYLDIGHETER, KOMMER INGEN KUND ELLER DROPBOX OCH DESS PARTNERS, LEVERANTÖRER OCH DISTRIBUTÖRER ATT ANSVARA ENLIGT DETTA AVTAL FÖR (I) INDIREKT, SÄRSKILD, TILLFÄLLIG, EFTERFÖLJANDE, FÖRHÖJT, ELLER BESTRAFFANDE SKADOR ELLER (II) FÖRLUST AV ANVÄNDNING, DATA, AFFÄRER, INTÄKTER ELLER VINST (VAR SIG DIREKT ELLER INDIREKT), ÄVEN OM PARTEN KÄNDE TILL ELLER BORDE HA KÄNT TILL ATT SÅDANA SKADOR VAR MÖJLIGA OCH ÄVEN OM EN ERSÄTTNING INTE UPPFYLLER SITT GRUNDLÄGGANDE SYFTE.
    2. Begränsning av ansvaret. SÅ LÅNGT LAGEN TILLÅTER KOMMER DROPBOX TOTALA ERSÄTTNINGSSKYLDIGHET ENLIGT DETTA AVTAL INTE ATT ÖVERSTIGA DET LÄGSTA AV 100 000 USD ELLER DET BELOPP SOM KUNDEN HAR BETALAT FÖR TJÄNSTERNA UNDER DE TOLV MÅNADER FÖRE HÄNDELSEN SOM LETT TILL ERSÄTTNINGSSKYLDIGHET.
11. Tvister.
    1. Informellt upplösning . Dropbox vill ta upp saken utan att använda en formell rättsak. Innan en anmälan görs, går alla parter med på att försöka lösa tvisten genom att kontakta den andra parten genom meddelandeproceduren i avsnitt 12 (e). Om en tvist inte har lösts inom 30 dagar efter meddelande, kan kunden eller Dropbox inleda ett formellt förfarande.
    2. Avtal att avgöra genom skiljedom. Kunden och Dropbox är överens om att lösa eventuella anspråk relaterade till detta avtal eller tjänsterna genom ett slutligt och bindande skiljeförfarande, med undantag för vad som anges nedan. Den amerikanska skiljedomsföreningen (AAA) kommer att sköta skiljedomsförfarandet enligt de kommersiella skiljedomsreglerna. Skiljeförfarandet kommer att hållas i San Francisco (CA), eller på någon annan plats som båda parter skriftligt kommer överens om.
    3. Undantag från skiljedomsavtal.. Vardera parten kan ta en rättegångsprocess till de federala eller statliga domstolarna i San Francisco County, Kalifornien enbart för förelägganden för att stoppa obehörig användning eller missbruk av tjänsterna eller överträdelse av immateriella rättigheter utan att först delta i den informella processen om meddelande av tvist som beskrivs ovan. Både kunden och Dropbox samtycker till platsen och den personliga jurisdiktionen där.
    4. INGEN KOLLEKTIV TALAN. Kunden får endast lösa tvister med Dropbox på individuell basis och kommer inte att göra några anspråk med en kollektiv, konsoliderad, eller representativ talan. Kollektivt skiljeförfarande, kollektiv talan, allmänna åtgärder med privat advokat och konsolidering med andra skiljeförfaranden är inte tillåtna.
12. Diverse.
    1. Ändringar av villkor . Dropbox kan komma att ändra detta avtal från tid till annan och den senaste versionen kommer alltid att läggas ut på Dropbox Business webbplats. Om en ändring av Dropbox betraktas som väsentlig kommer Dropbox att meddela kunden (genom att till exempel skicka ett meddelande till den mejladress som är kopplad till det gällande kontot). Andra ändringar kan läggas upp på Dropbox blogg eller på villkorssidan och kunden ansvarar för att kontrollera sådana inlägg regelbundet. Genom att fortsätta att gå till eller använda tjänsterna efter att ändringarna har börjat gälla, godkänner kunden att den är bunden till det ändrade avtalet. Om kunden inte accepterar de ändrade villkoren i avtalet kan kunden säga upp tjänsterna inom 30 dagar efter att ha fått meddelandet om ändringen.
    2. Hela avtalet. Detta avtal, inklusive kundens faktura och beställningsformulär med Dropbox (om tillämpligt), utgör hela avtalet mellan kunden och Dropbox med avseende på föremålet för detta avtal och ersätter alla tidigare överenskommelser och avtal, vare sig skriftliga eller muntliga, med avseende på föremålet för detta avtal. Uppstår en konflikt mellan de dokument som ingår i detta avtal kommer dokumenten att gälla i följande ordning: Dropbox-fakturan, Dropbox-ordersedeln, avtalet.
    3. Tillämplig lag . AVTALET REGLERAS AV KALIFORNIENS LAG MED UNDANTAG FÖR DESS PRINCIPER SOM BERÖR LAGKONFLIKTER.
    4. Avskiljning. Ogenomförbara bestämmelser kommer att ändras för att återspegla parternas vilja och endast i den utsträckning som krävs för att göra dem verkställbara och resten av bestämmelserna i avtalet gäller med full effekt.
    5. Meddelande. . Meddelanden måste skickas via första klass, flygpost eller expressbud och anses ges när de tas emot emot. Meddelanden till kunden kan också skickas till visst konto e-postadress och anses givet när de skickas. Meddelanden till Dropbox ska skickas till Dropbox, Inc., PO Box 77767, San Francisco, CA 94107, med kopia till den juridiska avdelningen.
    6. Upphävande . Ett upphävande av någon typ av standard är inte ett upphävande av någon påföljande standard.
    7. Tilldelning . Kunden får inte överlåta detta avtal eller några rättigheter eller skyldigheter enligt detta avtal utan skriftligt medgivande från Dropbox. Dropbox får inte överlåta detta avtal utan att meddela kunden, förutom att Dropbox kan överlåta detta avtal eller några rättigheter eller skyldigheter enligt detta avtal till ett dotterbolag eller i samband med fusion, förvärv, omorganisation eller försäljning av alla eller alla dess huvudsakliga tillgångar utan att meddela detta. Alla andra försök att överföra eller tilldela är ogiltiga.
    8. Ingen byrå. Dropbox och kunden inte är juridiska partners eller agenter, utan är oberoende entreprenörer.
    9. Force Majeure. Med undantag för betalningsskyldigheter kommer varken Dropbox eller kunden att bli ansvariga för otillräckliga resultat i den utsträckning orsakas av ett tillstånd som var utanför partens rimliga kontroll (till exempel naturkatastrofer, krigshandling eller terrorism, upplopp, arbetskonflikter, statliga ingripanden och Internetstörningar).
    10. Inga tredjepartsförmånstagare.. Det finns inga tredjepartsförmånstagare till detta avtal. Utan att det inskränker detta avsnitt är en kunds slutanvändare inte tredjepartsförmånstagare till kundens rättigheter enligt detta avtal.
    11. Exportrestriktioner. Export och återexport av kunddata via tjänsterna kan kontrolleras av amerikansk exportlagstiftning eller andra restriktioner som gäller export eller embargo. Tjänsterna får inte användas på Kuba, i Iran, Nordkorea, Sudan, Syrien eller något annat land som är föremål för ett embargo från USA och kunden får inte använda tjänsterna i strid med exportrestriktion eller embargo från USA eller annan tillämplig jurisdiktion. Dessutom måste kunden se till att tjänsterna inte tillhandahålls personer på förbudslistan, företagslistan eller listan över speciellt utvalda medborgare.

För artikel 26(2) i direktiv 95/46/EC:s ändamål vad gäller överföring av personuppgifter till bearbetare i tredje länder och som inte garanterar tillräcklig nivå av dataskydd

Namn på den organisation som exporterar data: Kunden som är part i Dropbox Business-avtalet med Dropbox International Unlimited Company
(datautföraren)

Och

Namn på organisation som importerar data: Dropbox, Inc.
Adress: 333 Brannan Street, San Francisco, CA 94107 USA
(dataimportören)

vardera en ”part”, tillsammans ”parterna”,

HAR GODKÄNT följande kontraktsmässiga klausuler (klausulerna) för att ge tillräckligt med skydd vad gäller skydd av sekretess och grundläggande rättigheter och friheter för individer för dataexportörens överföring till dataimportören de personuppgifter som anges i Bilaga 1.

För klausulernas ändamål:

1. ”personuppgifter”, ”särskilda kategorier av uppgifter”, ”behandling/bearbetning”, ”registeransvarig”, ”registerförare”, ”registrerad” ochtillsynsmyndighet: samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter¹
2. ”uppgiftsutförare: den registeransvarige som överför personuppgifterna
3. ”uppgiftsinförare: den registerförare som går med på att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med uppgiftsutförarens instruktioner och villkoren i klausulerna, och som inte omfattas av ett system i tredjeland som garanterar ett adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG.
4. ”underentreprenör”: registerförare som anlitats av uppgiftsinföraren eller av en annan av uppgiftsinförarens underentreprenörer och som går med på att från uppgiftsinföraren eller en annan av uppgiftsinförarens underentreprenörer ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifter för uppgiftsutförarens räkning i enlighet med uppgiftsutförandens instruktioner, villkoren i klausulerna samt villkoren i det skriftliga underentreprenörsavtalet
5. ”tillämplig uppgiftsskyddslagstiftning:” sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad
6. ”tekniska och organisatoriska säkerhetsåtgärder”: åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling.

Information om överföringen, och i förekommande fall om särskilda kategorier av personuppgifter, anges i tillägg 1, vilket utgör en integrerad del av klausulerna.

1. Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4 b–i, 5 a–e och 5 g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.
2. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5 a–e och 5 g, klausulerna 6, 7, 8.2 samt klausulerna 9–12 i de fall då uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.
3. Den registrerade kan gentemot underentreprenören åberopa denna klausul, klausulerna 5 a–e och 5 g, 6, 7, 8.2 samt klausulerna 9–12 i de fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta övertar uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna enhet. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.
4. Parterna har inget att invända mot att en registrerad företräds av sammanslutningar eller andra organ om denne uttryckligen så önskar och i den mån detta är tillåtet enligt nationell rätt.

Uppgiftsutföraren godtar och garanterar

1. att behandlingen, inbegripet själva överföringen, av personuppgifterna har skett och även i fortsättningen kommer att ske i enlighet med tillämplig uppgiftsskyddslagstiftning (och i förekommande fall anmäls till behöriga myndigheter i den medlemsstat där uppgiftsutföraren är etablerad) och inte strider mot gällande lagar eller andra författningar i den medlemsstaten
2. att han instruerat och under behandlingen av personuppgifter kommer att instruera uppgiftsinföraren att behandla de överförda personuppgifterna endast för uppgiftsutförarens räkning och i enlighet med tillämplig uppgiftsskyddslagstiftning och klausulerna
3. att uppgiftsinföraren kommer att ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 till detta avtal
4. att han, mot bakgrund av tillämplig uppgiftsskyddslagstiftning, har funnit säkerhetsåtgärderna lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling, med hänsyn tagen till teknikens ståndpunkt, kostnaden för vidtagande av åtgärderna och de risker behandlingen innebär och karaktären hos de uppgifter som ska behandlas
5. att han kommer att se till att säkerhetsåtgärderna följs
6. att, om överföringen avser särskilda kategorier av uppgifter, de registrerade har informerats eller informeras senast när överföringen sker eller så snart som möjligt därefter om att deras uppgifter kan komma att överföras till ett tredjeland som inte tillhandahåller adekvat skydd i den mening som avses i direktiv 95/46/EG
7. att vidarebefordra anmälningar från uppgiftsinföraren eller eventuella underentreprenörer i enlighet med klausul 5 b och klausul 8.3 till tillsynsmyndigheten om uppgiftsutföraren beslutar att fortsätta överföringen eller häva avbrottet,
8. att på begäran tillhandahålla de registrerade en kopia av klausulerna, med undantag för tillägg 2, och en sammanfattande beskrivning av säkerhetsåtgärderna, samt en kopia av eventuella underentreprenörsavtal som måste ingås enligt klausulerna, såvida inte klausulerna eller avtalet innehåller affärsinformation, i vilket fall han kan ta bort dessa uppgifter,
9. att uppgiftsbehandlingen vid en eventuell utläggning på entreprenad utförs i enlighet med klausul 11 av en underentreprenör som tillhandahåller åtminstone samma skyddsnivå för personuppgifter och den registrerades rättigheter som uppgiftsinföraren ska göra enligt klausulerna, och
10. att han kommer att se till att klausul 4 a–i följs.

Uppgiftsinföraren godtar och garanterar

1. att behandla personuppgifter för uppgiftsutförarens räkning och enlighet med dennes instruktioner samt dessa klausuler; om han av något skäl inte kan fullgöra detta krav går han med på att omedelbart informera uppgiftsutföraren om detta, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,
2. att han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt detta avtal; om lagstiftningen ändras på ett sätt som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, ska han anmäla ändringen till uppgiftsutföraren, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet;
3. att han har vidtagit de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de överförda personuppgifterna behandlas;
4. att han utan dröjsmål kommer att underrätta uppgiftsutföraren om
   1. varje rättsligt bindande begäran från rättsliga myndigheter om utlämnande av personuppgifterna, om inte detta är förbjudet på grund av exempelvis ett straffrättsligt förbud som syftar till att bevara sekretessen vid brottsutredningar,
   2. varje oavsiktlig eller otillåten åtkomst, och
   3. varje förfrågan direkt från de registrerade, utan att svara på dem om han inte givits tillstånd till det,
5. att utan dröjsmål och korrekt handlägga alla frågor från uppgiftsutföraren om behandling av sådana personuppgifter som överförs och att rätta sig efter tillsynsmyndighetens rekommendationer med avseende på behandlingen av de uppgifter som överförs,
6. att på uppgiftsutförarens begäran ställa sin databehandlingsutrustning till förfogande för granskning av den uppgiftsbehandling som dessa klausuler avser; granskningen ska genomföras av uppgiftsutföraren eller av ett inspektionsorgan med oberoende och sakkunniga ledamöter; de av tystnadsplikt bundna ledamöterna utses av uppgiftsutföraren, i förekommande fall enligt överenskommelse med tillsynsmyndigheten,
7. att på begäran förse de registrerade med en kopia av klausulerna eller av eventuella befintliga underentreprenörsavtal, såvida inte klausulerna eller kontraktet innehåller känslig affärsinformation; i vilket fall uppgiftsinföraren kan ta bort dessa uppgifter; denna skyldighet omfattar dock inte tillägg 2, som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan erhålla en kopia från uppgiftsutföraren;
8. att han, om uppgiftsbehandlingen läggs ut på entreprenad, i förväg har underrättat uppgiftsutföraren och utverkat skriftligt förhandstillstånd från denne;
9. att den uppgiftsbehandling som utförs av underentreprenören utförs i enlighet med klausul 11;
10. att omedelbart översända en kopia av eventuella underentreprenörsavtal som ingåtts enligt klausulerna till uppgiftsutföraren.

1. Parterna är överens om att en registrerad som lidit skada till följd av att en part eller en parts underentreprenör brutit mot de skyldigheter som avses i klausul 3 eller klausul 11 har rätt till ersättning från uppgiftsutföraren.
2. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underentreprenör bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsinföraren som om denne var uppgiftsutföraren, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet.
   Uppgiftsinföraren kan inte åberopa att en underentreprenör har brustit i sina skyldigheter för att undvika eget ansvar.
3. Om en registrerad, i situationer där en underentreprenör har brutit mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta ett skadeståndsanspråk mot uppgiftsutföraren eller uppgiftsinföraren i enlighet med punkt 1 och 2 på grund av att såväl uppgiftsutföraren som uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska underentreprenören godta att den registrerade kan rikta ett skadeståndsanspråk mot underentreprenören, med avseende på dennes egen behandling av personuppgifter i enlighet med klausulerna, som om denne var uppgiftsutföraren eller uppgiftsinföraren, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens eller uppgiftsinförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.

1. Uppgiftsinföraren samtycker till att, om den registrerade åberopar tredje parts rättigheter och/eller kräver ersättning för skador i enlighet med klausulerna, godta den registrerades beslut att
   1. inleda medling av tredje part eller, i tillämpliga fall, av tillsynsmyndigheten,
   2. hänskjuta tvisten till domstol i den medlemsstat där uppgiftsutföraren är etablerad.
2. Parterna är överens om att den registrerades val inte påverkar dennes materiella eller processuella rätt att söka gottgörelse i enlighet med andra bestämmelser i nationell eller internationell lagstiftning.

Klausul 8

Samarbetet med tillsynsmyndigheterna

1. Uppgiftsutföraren åtar sig att deponera ett exemplar av detta avtal hos tillsynsmyndigheten, om så föreskrivs i tillämplig uppgiftsskyddslagstiftning eller om tillsynsmyndigheten begär det.
2. Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och uppgiftsinförarens eventuella underentreprenörer i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.
3. Uppgiftsinföraren ska omedelbart underrätta uppgiftsutföraren om uppgiftsinföraren och dennes eventuella underentreprenörer omfattas av lagstiftning som förhindrar att de blir föremål för inspektion i enlighet med punkt 2. I sådant fall ska uppgiftsutföraren ha rätt att vidta de åtgärder som anges i klausul 5 b.

Klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad.

Parterna åtar sig att inte ändra klausulerna. Detta hindrar inte parterna från att om nödvändigt lägga till klausuler om affärsrelaterade frågor, så länge dessa inte står i strid med någon klausul.

1. Uppgiftsinföraren får inte utan uppgiftsutförarens föregående samtycke på entreprenad lägga ut någon del av den behandling som uppgiftsinföraren utför för uppgiftsutförarens räkning i enlighet med klausulerna. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, lägger över sina skyldigheter enligt dessa klausuler på en underentreprenör, får detta ske endast genom ingående av skriftligt avtal med underentreprenören, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren³. Om underentreprenören inte uppfyller sina skyldigheter i fråga om uppgiftsbehandling enligt ett sådant avtal ska uppgiftsinföraren förbli fullt ansvarig gentemot uppgiftsutföraren för underentreprenörens uppfyllande av sina skyldigheter enligt avtalet.
2. Det på förhand ingångna skriftliga avtalet mellan uppgiftsutföraren och uppgiftsinföraren ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 3 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med klausul 6.1 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har till fullo övertagit uppgiftsutförarens eller uppgiftsinförares rättsliga skyldigheter enligt avtal eller lag. Skadeståndsansvaret ska i sådana fall vara begränsat till underentreprenörens egen behandling av uppgifter enligt klausulerna.
3. Bestämmelserna om uppgiftsskyddsaspekter vid utläggning på entreprenad av det kontrakt som avses i punkt 1 på en underentreprenör ska omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad.
4. Uppgiftsutföraren ska föra en förteckning över entreprenadavtal som ingåtts enligt klausulerna och anmälts av uppgiftsinföraren i enlighet med klausul 5 j. Förteckningen ska uppdateras minst en gång om året. Förteckningen ska vara tillgänglig för uppgiftsutförarens dataskyddsmyndighet.

Skyldigheter efter det att behandlingen av personuppgifter har upphört

1. Parterna är överens om att uppgiftsinföraren och eventuella underentreprenörer efter behandlingens upphörande och beroende på vad uppgiftsutföraren beslutar antingen ska återlämna alla överförda personuppgifter och kopior av dessa till uppgiftsutföraren, eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att så skett, såvida inte den på uppgiftsinföraren tillämpliga lagstiftningen helt eller delvis hindrar honom från att återlämna eller förstöra de överförda personuppgifterna. I så fall ska uppgiftsinföraren garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte aktivt behandla de överförda personuppgifterna ytterligare.
2. Uppgiftsinföraren och underentreprenörer garanterar att de på datautförarens och/eller övervakande myndighets begäran, skall utsätta dess databearbetningsanläggningar för revision av de åtgärder som hänvisas till i paragraf 1.

Termer i versaler som används i delarna A till C och bilagorna, men som inte har definierats i klausulerna har den betydelse som anges i Dropbox Business-avtal mellan datautföraren och Dropbox International Unlimited Company.

1. Säkerhetsrevision. Datainföraren upprätthåller certifieringarna för ISO/IEC 27001:2013 and ISO/IEC 27018:2014, som ges ut av en självständig granskare från tredje part. Datainföraren fortsätter att genomgå de regelbundna revisioner enligt ISO/IEC 27001:2013 och ISO/IEC 27018 som krävs för att uppträtthålla sådana certifikationer för tjänsterna under avtalsperioden. Datainföraren genomgår även regelbundet revisioner av typen Service Organization Control 2 (SOC 2) typ II. Enligt datainförarens konfidentialitetsplikt och högst en gång om året ska datainföraren ge datautföraren en kopia av SOC 2 typ II-rapporten på skriftlig begäran. Datainföraren gör nya SOC 2-rapporter tillgängliga när de är klara enligt datainförarens konfidentialitetskrav. Datainföraren granskar regelbundet tredje parts underordnade organisationer, vilka genomgår revisioner av typen Standard om bestyrkandeuppdrag nr. 16 (SSAE 16)/Internationell standard om bestyrkandeuppdrag nr. 3402 (ISAE 3402) serviceorganisationskontroll 1 (SOC 1) typ II eller serviceorganisationskontroll 2 (SOC 2) typ II som utvärderar utformningen och effektiviteten av säkerhetsprinciper, procedurer och kontroller.

   Datautföraren godkänner att datainförarens plikter som presenteras i denna del A helt tillmötesgår revisionsrättigheterna enligt klausul 5(f) och klausul 12 (2) i klausulerna.

2. Utläggning på entreprenad. Uppgiftsinföraren får inte utan uppgiftsutförarens föregående samtycke lägga ut på entreprenad någon del av den behandling som uppgiftsinföraren utför för uppgiftsutförarens räkning i enlighet med klausulerna. Uppgiftsinföraren garanterar att alla entreprenörer får åtkomst till och använder personuppgifter endast för att tillhandahålla tjänsterna enligt det som anges i det skriftliga avtalet mellan uppgiftsinföraren och entreprenören. Uppgiftsutföraren erkänner att alla krav som gäller för uppgiftsinföraren enligt klausulerna vad gäller avtal med entreprenörer skall uppfyllas till fullo, förutsatt att entreprenörsavtalet mellan uppgiftsinföraren och entreprenören ger åtminstone den nivå av dataskydd som krävs enligt Dropbox Business-avtalet.
3. Ansvar. Klausulerna ska följa de begränsningar och exkluderingar avseende skyldighet som finns i delen ”Ansvarsbegränsning” i Dropbox Business-avtalet, så att datainförarens och Dropbox International Unlimited Companys totala ansvar tillsammans inte överskrider begränsningarna i Dropbox Business-avtalet. För att undvika tvivel skall datautföraren inte ha rätt att täcka samma förlust från både datainföraren och Dropbox International Unlimited Company.

Detta tillägg är en del av klausulerna och ska fyllas i och undertecknas av parterna.

Medlemsstaterna kan i enlighet med sina egna nationella förfaranden ange de eventuella ytterligare upplysningar som måste lämnas i tillägget.

Uppgiftsutföraren

Uppgiftsutföraren är (ange verksamhet av betydelse för överföringen):

Kunden till Dropbox Business-avtalet med Dropbox International Unlimited Company.

Uppgiftsinföraren

Uppgiftsinföraren är (ange verksamhet av betydelse för överföringen):

Dropbox, Inc., en global leverantör av molntjänster för individer och företag. Dropbox, Inc. och dess dotterbolag erbjuder en webbplats, programvara och mobila applikationer som möjliggör fillagring, filsynkronisering på flera enheter och samarbete med andra. Dropbox, Inc:s tjänst kan också nås via Application Programming Interfaces (API:er).

Uppgiftsämnen

De personuppgifter som överförs gäller följande uppgiftsämneskategorier (var god ange):

Slutanvändarna till uppgiftsutförarens och uppgiftsinförarens dotterbolag, inklusive anställda, konsulter och kontraktsanställda till uppgiftsutföraren, samt alla individer som samarbetar med eller delar med dessa slutanvändare med hjälp av datainförarens tjänster.

Uppgiftskategorier

Personuppgifterna som överförs gäller följande uppgiftskategorier (var god ange):

Slutanvändare som identifierar information och organisationsuppgifter (både online och offline), samt dokument, bilder och annat innehåll eller uppgifter i elektroniskt format som lagras eller överförs av slutanvändare via uppgiftsinförarens tjänster.

Bearbetningsåtgärder

Personuppgifterna som överförs utsätts för följande grundläggande bearbetningsaktiviteter (var god ange):

Uppgiftsinföraren eller dess underentreprenörer använder och bearbetar personuppgifter och uppgiftsutföraren instruerar uppgiftsinföraren att använda och bearbeta personuppgifter för att tillhandahålla tjänsterna som lyder under Dropbox Business-avtalet.

Detta tillägg är en del av klausulerna och ska fyllas i och undertecknas av parterna.

Redogörelse för de tekniska och organisatoriska säkerhetsåtgärder som uppgiftsinföraren vidtagit i enlighet med klausulerna 4 d och 5 c (eller bifogade handlingar/bestämmelser):

Dataskyddskontakt

Uppgiftsinförarens dataskyddskontakt kan nås på privacy@dropbox.com

Säkerhetsåtgärder

Uppgiftsinföraren har implementerat och upprätthåller lämpliga administrativa, tekniska och fysiska skydd för att skydda personuppgifter enligt det som beskrivs i Dropbox Business säkerhetsfaktablad (tillgängligt från publiceringsdatumet på: https://www.dropbox.com/…/Security_Whitepaper.pdf) och som presenterades nedan. Uppgiftsinföraren kan uppdatera dessa säkerhetsåtgärder från tid till annan och den senaste versionen finns alltid tillgänglig på ovanstående URL (eller annan URL som uppgiftsinföraren anger), förutsatt att uppgiftsinföraren meddelar uppgiftsutföraren om uppgiftsinföraren uppdaterar säkerhetsåtgärderna på ett sätt som avsevärt minskar de administrativa, tekniska eller fysiska säkerhetsfunktioner som beskrivs däri eller i detta tillägg 2.

1. Tjänstens säkerhet
   1. Dropbox arkitektur. Uppgiftsinförarens tjänst är utformad med flera skyddslager som omfattar dataöverföring, kryptering, nätverkskonfiguration och kontroller på applikationsnivå som distribueras över en skalbar och säker infrastruktur. Slutanvändarna av uppgiftsinförarens tjänst kan nå filer och mappar när som helst från datorn, webben och mobila klienter. Alla dessa klienter ansluter till säkra servrar för att ge åtkomst till filer, möjliggöra fildelning med andra och uppdatera kopplade enheter när filer läggs till, ändras eller raderas. Tjänsten kan användas och nås via ett antal olika gränssnitt. Alla har säkerhetsinställningar och funktioner som bearbetar och skyddar användardata samtidigt som de är lätta att komma åt. 
   2. Tillförlitlighet. Uppgiftsinförarens tjänst är utvecklad med flera redundanta lager för att skydda mot dataförlust och garantera tillgänglighet.
   3. Kryptering. Uppgiftsinföraren använder Secure Sockets Layer (SSL)/Transport Layer Security (TLS) vid överföring av data för att skydda data i rörelse mellan uppgiftsutföraren och uppgiftsinföraren. Detta skapar en säker tunnel som skyddas av Advanced Encryption Standard-kryptering (AES) om 128 bitar eller högre. Fildata i vila krypteras med 256-bitars AES-kryptering. Uppgiftsinförarens infrastruktur för nyckelhantering är utformad med säkerhetskontroller för drift, teknik och rutiner, med mycket begränsad direktåtkomst till nycklar. Generering, utbyte och lagring av krypteringsnycklar distribueras för decentraliserad bearbetning. 
   4. Användarfunktioner. Alla slutanvändare av uppgiftsinförarens tjänst har möjlighet att återskapa förlorade filer och återställa ett obegränsat antal tidigare filversioner. Detta garanterar att ändringar av dessa filer kan spåras och hämtas. Uppgiftsinförarens tjänst tillåter användningen av en procedur för tvåstegsverifiering som ger extra skydd.
   5. Datacenter. Uppgiftsinförarens företags- och produktionssystem förvaras hos tredjepartsleverantörers datacenter i USA. Uppgiftsinföraren granskar alla rapporter för SOC1 och/eller SOC2 för underleverantörernas datacenter minst en gång om året för att säkerställa tillräckliga säkerhetskontroller. 
2. Informationssäkerhet.
   1. Policyer. Uppgiftsinföraren har upprättat en omfattande uppsättning säkerhetspolicyer inom områdena informationssäkerhet, fysisk säkerhet, incidenthantering, logisk åtkomst, fysisk produktionsåtkomst, förändringshantering och support. Dessa riktlinjer granskas och godkänns minst en gång per år. Uppgiftsinförarens personal meddelas om uppdateringar av dessa policyer och får säkerhetsutbildning.
   2. Personalpolicy och åtkomst. Uppgiftsinförarens interna policyer kräver rutiner när medarbetare börjar eller slutar hos oss som omfattar bakgrundskontroller (enligt vad lokala lagar tillåter), godkännande av säkerhetspolicyer, att kommunicera uppdateringarna av säkerhetspolicyer samt sekretessavtal. All medarbetaråtkomst återkallas omedelbart när en medarbetare eller kontraktsanställd lämnar företaget. Uppgiftsinföraren använder tekniska åtkomstkontroller och interna rutiner för att förhindra medarbetare eller kontraktsanställda från att godtyckligt komma åt filer och för att begränsa åtkomsten till metadata och andra uppgifter om slutanvändarnas konton. För att skydda slutanvändarnas sekretess och säkerhet har endast ett mindre antal anställda eller kontraktsanställda åtkomst till miljön där användarnas filer lagras. En kopia av av åtkomstförfrågan, motivering och godkännande registreras av ledningen och åtkomsten beviljas av lämpliga personer.
   3. Nätverkssäkerhet. Uppgiftsinföraren upprätthåller teknik för nätverkssäkerhet och övervakning som är utformad till att ge ett skydd som består av flera lager. Uppgiftsinföraren använder skyddstekniker som följer branschstandard, som brandväggar, nätverkssäkerhetsövervakning samt intrångsdetekteringssystem, för att säkerställa att endast behörig trafik får tillgång till uppgiftsinförarens infrastruktur. 
   4. Förändringshantering. Uppgiftsinföraren säkerställer att alla säkerhetsrelaterade ändringar har auktoriserats innan de implementeras i produktionsmiljöerna. Källkodsändringar initieras av utvecklare som vill förbättra uppgiftsinförarens app eller tjänst. Ändringar i uppgiftsinförarens infrastruktur är begränsade till behörig personal. Ändringar av tjänsternas applikationsnivå måste genomgå automatiserad kvalitetskontroll (”QA”) för att kontrollera att säkerhetskraven uppfylls. När QA-testen godkänts implementeras ändringen. 
   5. Efterlevnad. Uppgiftsinföraren, dess datacenterleverantörer och hanterade tjänsteleverantör genomgår regelbundna säkerhetskontroller som utförs av en fristående tredje part. Uppgiftsinföraren fortsätter att delta i regelbundna kontroller för ISO/IEC 27001:2013 och ISO/IEC 27018:2014. Uppgiftsinföraren granskar även SOC1- och/eller SOC2-rapporter för alla underleverantörer. Om en SOC1- och/eller SOC2-rapport inte skulle finnas tillgänglig utför uppgiftsinföraren säkerhetskontroller på plats på nya anläggningar. Därmed kan vi verifiera att de fysiska, miljömässiga och operativa säkerhetskontrollerna uppfyller kontrollkriterier och avtalskrav. Uppgiftsinföraren utvärderar kontinuerligt ytterligare certifieringar och efterlevnadsintyg så snart de blir tillgängliga för uppgiftsinföraren av undertjänsteleverantörerna.
3. Fysisk säkerhet
   1. Infrastruktur. Fysisk åtkomst till underleverantörernas anläggningar för produktionssystem är begränsat till personal som auktoriserats av uppgiftsinföraren för att kunna utföra sina arbetsuppgifter. Alla individer som behöver ytterligare åtkomst till produktionsanläggningar tilldelas endast detta efter uttryckligt godkännande från ansvarig ledning. 
   2. Kontor. Uppgiftsinföraren upprätthåller ett team för fysisk säkerhet som bär ansvaret för att genomdriva den fysiska säkerhetspolicyn och att övervaka säkerheten på kontoret.  Åtkomst till områden som innehåller företagstjänster begränsas till behörig personal via upphöjda roller tilldelade genom ikonåtkomstsystemet.