歐洲執委會、英國資訊委員辦公室和瑞士聯邦資料保護及資訊委員會 (FDPIC) 均已核准和/或已發表新的標準契約條款 (“SCC”)，以分別作為歐洲經濟區 ("EEA")、英國 (UK) 和瑞士等地區的傳輸個人資料之合法機制。

自 2022 年12 月27 日起，您與 IBM 的現有合約（您的合約）中所包含的標準契約條款的先前版本，將不再被 EEA 視為有效的傳輸機制，自 2024 年 3 月 22 日起，不再被英國視為有效的傳輸機制，自 2022 年 12 月 31 日起，不再被瑞士視為有效的傳輸機制。因此，必須用這些新條款取代，以確保與所適用的資料保護法令一致。 有關新變更的進一步說明，請參考常見問題 (FAQ)。

作為可能涉及 IBM 代表您處理個人資料的服務供應商，我們瞭解隨著全球新的資料保護法令的頒布施行，我們的義務會隨之變化。

IBM 代表您處理個人資料的適用條款，詳述於 IBM 資料處理附錄 (DPA) 中。 我們以書面通知您，IBM 已將 DPA 和相關附件的適用性擴充到 IBM 條款網站上列出的所有資料保護法。 當代表您處理個人資料時，這些法律強制賦予我們類似的要求。

IBM 相信，對企業來說最好的結果是，目前英國脫離歐盟 (“Brexit”) 的相關協商將帶來一個過渡期和未來支援企業的安排。 然而，英國可以脫離歐盟和歐洲經濟區，但無需退出協議。

保護客戶資料對於 IBM 來說至關重要。 您的公司可以備妥與 IBM 集團公司簽訂之關於提供涉及個人資料處理之服務的協議。 為了協助確保您和 IBM 均遵循所適用的資料保護法令，在英國脫離歐盟日之前，下述條款將生效：

1. 於適用合約中對《一般資料保護規範》(GDPR) 的引用，將納入《2018 年英國資料保護法》（如適用）。 對歐盟或歐洲經濟區的法規的其他引用，將納入有關於任何實施或相等於英國法規之部分。
2. 自歐洲經濟區傳輸至英國的個人資料，將被歸類為國際傳輸。 為了允許這些資料持續傳輸不被中斷，下列條款適用於此類傳輸，並被視為傳輸至 GDPR 下的「非適足性」國家或地區：

• 根據您適用的管轄區域，按現存的歐盟標準契約條款，IBM 英國實體作為處理者或再處理者將新增為資料匯入者。
• 那些位於英國並與您簽訂的現存協議，且列為再處理者的外部供應商，將受到 IBM 根據適用的歐盟標準契約條款對 IBM 施加的相同義務的約束。