欧盟委员会、英国信息专员办公室以及瑞士联邦数据保护和信息专员 (FDPIC) 分别批准和/或发布了新版标准合同条款 (SCC)，作为从欧洲经济区 (EEA)、英国 (UK) 和瑞士合法传输个人数据的机制。

据此，自 2022 年 12 月 27 日起，EEA 将不再将您与 IBM 签订的现有合同（您的合同）中包含的标准合同条款的先前版本视为有效的传输机制，英国为 2024 年 3 月 22 日起，瑞士为 2022 年 12 月 31 日起，此外，这些旧版本必须由新条款取代，以确保遵守适用的数据保护法。有关新变化的更多说明，请查阅常见问题解答。

作为向您提供服务的供应商，IBM 可能会代表您处理个人数据，我们了解，随着全球各地颁布新的数据保护法，我们对您的义务的性质也在不断变化。

IBM 代表您处理个人数据时应用的条款和条件已在《IBM 数据处理附录》(DPA) 中进行说明。我们希望您能知晓，IBM 已将 DPA 和相关附件的适用性扩展到 IBM 条款网站上列出的所有数据保护法。当我们代表您处理个人数据时，这些法律会对我们提出类似的要求。

IBM 认为，对企业而言，最好的结果是，英国退出欧盟（“脱欧”）当下的谈判将带来一个过渡期，以及未来可为企业提供支持的安排。但是，英国可以在没有退出协议的情况下退出欧盟和欧洲经济区。

保护客户数据对 IBM 而言至关重要。贵公司可能与 IBM 集团公司签订了协议，以提供涉及处理个人数据的服务。为了协助确保您和 IBM 遵守适用的数据保护法，自英国脱欧之日起，以下规定将即刻生效：

1.     适用合同中提及的《通用数据保护条例》(GDPR) 将包括英国《2018 年数据保护法》，以其适用范围为限。其他提及欧盟或欧洲经济区立法的内容，在相关范围内将包括任何执行或等效的英国法案。

2.     个人数据从欧洲经济区传输到英国将被归类为国际传输。为了让这些数据传输获准得以不间断继续执行，如果 GDPR 将此类传输视为传输到“不充分”国家或地区，则适用以下规定：

• 根据您所在的司法管辖区和现有的欧盟标准合同条款，作为处理者或辅助处理者的 IBM UK 实体将被添加为数据导入者。
• 位于英国并在与您签订的现有协议中被列为辅助处理者的外部供应商将受到 IBM 的约束，并遵守适用的欧盟标准合同条款对 IBM 施加的相同义务。

对个人和企业而言，个人数据及其保护的重要性与日俱增。如您所知，欧盟已通过《通用数据保护条例》(GDPR)，自 2018 年 5 月 25 日起生效。GDPR 旨在确保在处理自然人数据时对其权利和自由提供一致的保护，并在整个欧洲经济区 (EEA) 建立一套统一的数据保护规则。

GDPR 适用于设立在 EEA 境内的所有组织，但也适用于设立在 EEA 境外的组织，前提是这些组织的处理活动与向 EEA 境内的个人提供商品和服务相关，或与监控 EEA 境内的个人行为有关。

IBM 致力于遵守 GDPR 的规定。

贵公司可能与 IBM 集团公司或附属机构（以下简称“IBM”）签订了一项或多项协议，而 IBM 根据这些协议为您提供的服务会涉及到 IBM 处理您的个人数据。

因此，IBM 将充当您的个人数据的处理者。根据 GDPR（第 28 条），控制者和处理者都有义务签订管理个人数据处理的协议。GDPR 对此类协议的内容做出了明确规定。

为了遵守这项法定要求，IBM 制定了《IBM 数据处理附录》(DPA) 和适用的 DPA 附件，以修正我们现有的合同。这适用于 IBM 在 GDPR 范围内处理个人数据的情况。如果与现有的数据隐私或安全条款有任何冲突，则以 DPA 和适用的 DPA 附件为准。