DocuSign 補充資料處理附錄說明

DocuSign 補充資料處理附錄

內容隱藏

1 如何執行此 DPA

2 本 DPA 如何適用

3 附表 1 當前分處理者列表

4 附表2 適用於個人數據處理的SaaS服務

如何執行此 DPA

本補充 DPA 由兩部分組成：補充 DPA 正文以及附表 1、2、3、4 和 5。

本補充 DPA 已代表自己預先簽署。
要完成本補充 DPA，客戶必須：
a. 填寫客戶名稱和客戶地址部分。
b. 填寫簽名框中的資訊並簽名。
c. 驗證附表 3 上的資訊（「處理詳細資料」）是否準確反映了要處理的資料的主題和類別。
d. 將填妥並簽署的補充 DPA 發送給自己：隱私@owndata.com.

當 Own 透過此電子郵件地址收到有效填寫的補充 DPA 後，本補充 DPA 將具有法律約束力。

在第 3 頁上簽署本補充 DPA 應被視為簽署並接受標準合同條款（包括其附錄）和英國附錄，兩者均通過引用併入本文。

本 DPA 如何適用

如果簽署本補充 DPA 的客戶實體是本協議的一方，則本補充 DPA 是本協議或現有 DPA 的附錄並構成其一部分。在這種情況下，作為本協議或現有 DPA 一方的自身實體為本 DPA 的一方。

如果簽署本補充 DPA 的客戶實體已根據本協議或現有 DPA 與自己或其關聯公司簽署了訂單，但其本身不是本協議或現有 DPA 的一方，則本補充 DPA 是該訂單的附錄，並且適用的續訂訂單，並且作為該訂單一方的自己的實體是本補充DPA 的一方。

若簽署本補充 DPA 的客戶實體既不是訂單、協議或現有 DPA 的一方，則本補充 DPA 無效且不具法律約束力。此類實體應要求作為協議或現有 DPA 一方的客戶實體執行本補充 DPA。

如果簽署補充 DPA 的客戶實體不是直接與 Own 簽訂訂單、主訂閱協議或現有 DPA 的一方，而是透過 Own 服務的授權經銷商間接成為客戶，則本補充 DPA 無效，且不具有法律約束力。此類實體應聯絡授權經銷商，討論是否需要修改與該經銷商的協議。

若本補充 DPA 與客戶與自己之間的任何其他協議（包括但不限於本協議或現有 DPA）之間存在任何衝突或不一致，則以本補充 DPA 的條款為準。

本補充資料處理附錄，包括其附表及附錄（「補充 DPA」）構成 OwnBackup Inc.（「自己」）與客戶之間上述現有資料處理附錄（「現有 DPA」）的一部分。本補充 DPA 和現有 DPA 相結合應形成完整的資料處理協議（「DPA」），以記錄雙方關於個人資料處理的協議。如果該客戶實體與自己未簽訂協議，則本 DPA 無效且不具有法律效力。

上述客戶實體為其自身簽訂本補充 DPA，如果其任何關聯公司擔任個人數據控制者，則代表這些授權關聯公司簽訂本補充 DPA。本協議中未定義的所有大寫術語應具有協議中規定的含義。

在根據協議向客戶提供 SaaS 服務的過程中，Own 可以代表客戶處理個人資料。雙方同意以下有關此類處理的補充條款。

定義
“中國反腐敗法” 指《加州消費者隱私法》，Cal.公民。法典 § 1798.100 等。 seq.，經 2020 年《加州隱私權法案》及任何實施條例修訂。
“控制器” 指確定個人資料處理的目的和方式的實體，也被視為指 CCPA 中定義的「企業」。
“顧客” 指上述實體及其附屬公司。
《資料保護法律法規》 指歐盟及其成員國的所有法律和法規
成員國、歐洲經濟區及其成員國、英國、瑞士、美國、加拿大、紐西蘭和澳洲及其各自的政治分區，適用於個人資料的處理。其中包括但不限於以下適用範圍：GDPR、英國資料保護法、CCPA、維吉尼亞州消費者資料保護法（「VCDPA」）、科羅拉多州隱私法和相關法規（「CPA」）」）、猶他州消費者隱私法（“UCPA”）和康乃狄克州《個人資料隱私和線上監控法案》（“CPDPA”）。
“資料主體” 指與個人資料相關並包含的已識別或可識別的人 “消費者” 資料保護法律法規中的定義。 “歐洲” 指歐盟、歐洲經濟區、瑞士和英國。適用於從歐洲傳輸個人資料的附加條款包含在附表 5 中。如果附表 5 被刪除，客戶保證其不會根據歐洲資料保護法律和法規處理個人資料。
“一般資料保護規範” 指歐洲議會和理事會 2016 年 679 月 27 日頒布的關於在個人資料處理和此類資料自由流動方面保護自然人的法規 (EU) 2016/95，並廢除指令 46/XNUMX /EC（通用資料保護條例）。
“自己的團體” 指參與個人資料處理的自己及其關聯公司。
“個人資料” 指與(i) 已識別或可識別的自然人以及(ii) 已識別或可識別的法人實體相關的任何資訊（根據適用的資料保護法律和法規，此類資訊與個人資料、個人資訊或個人身份資訊受到類似的保護） )，其中對於 (i) 或 (ii) 項，此類資料為客戶資料。
“個人資料處理服務” 指附表 2 中所列的 SaaS 服務，Own 可以為其處理個人資料。
“處理” 指對個人資料執行的任何操作或一組操作，無論是否透過自動方式，例如收集、記錄、組織、建置、儲存、改編或變更、檢索、諮詢、使用、透過傳輸、傳播或其他方式揭露提供、排列或組合、限制、擦除或破壞。
“處理者”是指代表控制者處理個人數據的實體，包括 CCPA 定義的任何“服務提供商”（如適用）。
《標準合約條款》 指歐盟委員會實施決定的附件
(歐盟) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) 4 年 2021 月 2016 日關於根據歐洲議會和歐盟理事會第 (EU) 679/5 號法規向第三國設立的處理者傳輸個人資料的標準合約條款，並須遵守美國要求的修訂王國和瑞士在附表XNUMX 中有進一步描述。
「分處理者」指由自己、自己集團的成員或其他分處理者聘用的任何處理者。
“監督機關” 指對客戶具有約束力的法律權力的政府或政府特許監管機構。
“英國附錄” 指歐盟委員會標準合約條款的英國國際資料傳輸附錄（自 21 年 2022 月 XNUMX 日起可在以下網址取得）： https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/)，依附表5所述填寫。
《英國資料保護法》 指歐洲議會和理事會關於在個人資料處理方面保護自然人以及此類資料自由流動的第 2016/679 號條例，該條例構成英格蘭和威爾斯、蘇格蘭和北部地區法律的一部分愛爾蘭根據《3 年歐盟（退出）法案》第2018 條（英國資料保護法律和法規可能不時修訂該法案）。
優先順序
a. 除本補充 DPA 和現有 DPA 之間存在任何不一致的情況外，應優先考慮本補充 DPA 中的標準合約條款，以現有 DPA 的條款為準。

責任限制
a. 在資料保護法律和法規允許的範圍內，各方及其所有關聯公司因本補充 DPA 產生或與之相關的責任（無論是在合約、侵權行為或任何其他責任理論下）合計起來，受本協議的「責任限制」條款以及排除或限制責任的此類其他條款的約束，並且此類條款中對一方責任的任何提及均指該方及其所有關聯方的整體責任。
轉移機制的變化
a. 如果雙方所依賴的用於促進個人資料傳輸到一個或多個國家的現有傳輸機制無法確保資料保護法律和法規含義內的充分資料保護水平，則該機制無效，則需要進行修訂或被替換的雙方將真誠地制定此類替代傳輸機制，以便能夠繼續處理本協議預期的個人資料。使用此類替代轉移機制應以各方均滿足使用此類轉移機制的所有法律要求為前提。

雙方的授權簽字人已正式簽署本協議，包括本協議中包含的所有適用的附表、附件和附錄。

時間表清單

附表1：目前子處理者列表
附表2：適用於個人資料處理的SaaS服務
附表3: 處理詳情
附表4：自己的安全控制
附表5：歐洲規定

附表 1 當前分處理者列表

子處理者名稱	子處理器地址	加工性質	處理時間	加工地點
自己備份有限公司	3 Aluf Kalman Magen StZ, 特拉維夫 6107075, 以色列	客戶支援和維護	在協議期限內。	以色列
亞馬遜 Web 服務公司*	美國華盛頓州西雅圖特里大道北 410 號 98109	應用程序託管和數據存儲	在協議期限內。	美國、加拿大、德國、英國或澳大利亞
微軟公司 (Azure)*	One Microsoft Way，雷德蒙德，華盛頓州 98052，美國	應用程序託管和數據存儲	在協議期限內。	荷蘭或美國
Elasticsearch 公司**	800 West El Camino Real, 套房 350, 山區 View，加利福尼亞州 94040，美國	索引和搜索	在協議期限內。	荷蘭或美國

* 客戶可以選擇亞馬遜 Web 服務或 Microsoft (Azure) 及其在客戶初始設置 SaaS 服務期間所需的處理位置。
** 僅適用於選擇在 Microsoft (Azure) 雲端部署的 Archive 客戶。

附表2 適用於個人數據處理的SaaS服務

立即恢復服務
恢復動力
復原 Salesforce
Salesforce 的治理增強版
檔案
自備密鑰管理
加速

附表 3 處理細節

數據導出器

法定全名：上面指定的客戶名稱
主要地址： 如上所述的客戶地址
接觸： 如果沒有另外規定，這應是客戶帳戶的主要聯絡人。
聯絡信箱： 如果沒有另外規定，這應是客戶帳戶上的主要聯絡電子郵件地址。

數據導入器

法定全名： 自己的備份公司
主要地址： 940 Sylvan Ave, 恩格爾伍德懸崖, NJ 07632, 美國
接觸： 隱私官
聯絡信箱： 隱私@owndata.com

處理的性質和目的

Own 將根據協議和訂單執行 SaaS 服務所需的個人數據，以及客戶在使用 SaaS 服務時的進一步指示處理個人資料。

處理時間

除非另有書面約定，否則自己將在協議有效期內處理個人資料。

保留

除非另有書面約定，否則 Own 將在協議有效期內保留 SaaS 服務中的個人數據，並遵守文件中指定的最長保留期限。

轉移頻率

由客戶通過使用 SaaS 服務確定。

轉移至子處理者

根據協議和訂單執行 SaaS 服務所必需的，並如附表 1 中進一步所述。

數據主體的類別

客戶可以向 SaaS 服務提交個人數據，其範圍由客戶自行決定和控制，其中可能包括但不限於與以下類別的數據主體相關的個人數據：

客戶的潛在客戶、客戶、業務夥伴和供應商（均為自然人）

客戶的潛在客戶、現有客戶、業務合作夥伴和供應商的員工或聯絡人
客戶的員工、代理人、顧問、自由工作者（自然人）客戶授權使用 SaaS 服務的客戶用戶

個人資料類型

客戶可以向 SaaS 服務提交個人數據，其範圍由客戶自行決定和控制，其中可能包括但不限於以下類別的個人數據：

名字和姓氏
標題
位置
雇主
聯絡資訊（公司、電子郵件、電話、實際營業地址）
身分資料
生涯數據
個人生活數據
在地化數據

特殊類別的資料（如果適用）

客戶可以向 SaaS 服務提交特殊類別的個人數據，其範圍由客戶自行決定和控制，為清楚起見，可能包括出於唯一目的而處理遺傳數據、生物識別數據。識別自然人或有關健康的數據。請參閱附表 4 中的措施，以了解 Own 如何保護特殊類別的資料和其他個人資料。

附表 4 自體安全管制 3.3

介紹
1. 我們自己的軟體即服務應用程式（SaaS 服務）從一開始就考慮到了安全性。 SaaS 服務採用跨多個層的各種安全控制進行架構設計，以解決一系列安全風險。這些安全控制措施可能會改變；然而，任何變化都將維持或改善整體安全狀況。
2. 以下控制說明適用於 Amazon 和 Amazon 上的 SaaS 服務實施 Web 服務 (AWS) 和 Microsoft Azure (Azure) 平台（統稱為我們的雲服務提供商或 CSP），下面加密部分中指定的除外。這些控制說明不適用於 RevCult 軟件，除非下面的“安全軟件開發”中另有規定。
審核和認證
1. SaaS 服務已通過 ISO/IEC 27001:2013（資訊安全管理系統）和 ISO/IEC 27701:2019（隱私資訊管理系統）認證。
2. Own 根據 SSAE-2 進行年度 SOC18 II 類審計，以獨立驗證其資訊安全實務、政策、程序和操作是否符合以下信託服務標準：安全性、可用性、保密性和處理完整性。
3. Own 利用全球 CSP 區域進行 SaaS 服務的運算和儲存。 AWS 和 Azure 是頂級設施，擁有多項認證，包括 SOC1 – SSAE-18、SOC2、SOC3、ISO 27001 和 HIPAA。
Web 應用程序安全控制
1. 客戶只能透過 HTTPS (TLS1.2+) 存取 SaaS 服務，從而對最終用戶與應用程式之間以及自己與第三方資料來源（例如 Salesforce）之間傳輸的資料建立加密。
2. 客戶的 SaaS 服務管理員可以根據需要設定和取消配置 SaaS 服務使用者以及關聯的存取權限。
3. SaaS 服務提供基於角色的存取控制，使客戶能夠管理多組織權限。
4. 客戶的 SaaS 服務管理員可以存取審核跟踪，包括使用者名稱、操作、時間amp和源 IP 地址字段。審計日誌可以是 view由登錄到 SaaS 服務的客戶 SaaS 服務管理員以及通過 SaaS 服務 API 編輯和導出。
5. 對 SaaS 服務的存取可以透過來源 IP 位址進行限制。
6. SaaS 服務允許客戶使用基於時間的一次性密碼啟用多重驗證來存取 SaaS 服務帳戶。
7. SaaS 服務可讓客戶透過 SAML 2.0 身分提供者啟用單一登入。
8. SaaS 服務可讓客戶啟用可自訂的密碼策略，以協助將 SaaS 服務密碼與公司策略保持一致。
加密
1. Own 提供以下用於靜態資料加密的 SaaS 服務選項：
  1. 標準產品。
    - 資料透過 FIPS 256-140 驗證的金鑰管理系統使用 AES-2 伺服器端加密進行加密。
    - 利用信封加密，主密鑰永遠不會離開硬件安全模塊 (HSM)。
    - 加密密鑰至少每兩年輪換一次。
  2. 進階金鑰管理 (AKM) 選項。
    - 資料在專用物件儲存容器中使用客戶提供的主加密金鑰 (CMK) 進行加密。
    - AKM 允許將來存檔金鑰並使用另一個主加密金鑰輪換它。
    - 客戶可以撤銷主加密金鑰，從而導致資料立即無法存取。
  3. 自帶金鑰管理系統 (KMS) 選項（僅在 AWS 上提供）。
    - 加密金鑰是使用 AWS KMS 在客戶自己單獨購買的帳戶中建立的。
    - 客戶定義加密金鑰策略，讓客戶在 AWS 上的 SaaS 服務帳戶從客戶自己的 AWS KMS 存取金鑰。
    - 資料在自己管理的專用物件儲存容器中進行加密，並配置為使用客戶的加密金鑰。
    - 客戶可以透過撤銷自己對加密金鑰的訪問來立即撤銷對加密資料的訪問，而無需與自己互動。
    - 自己的員工在任何時候都無法存取加密金鑰，也不能直接存取 KMS。
    - 所有密鑰使用活動都記錄在客戶的 KMS 中，包括專用對象存儲的密鑰檢索。
  4. SaaS 服務和第三方資料來源（例如 Salesforce）之間的傳輸加密利用具有 TLS 1.2+ 和 OAuth 2.0 的 HTTPS。
網路
1. SaaS 服務利用 CSP 網路控制來限制網路入口和出口。
2. 採用狀態安全群組來限制授權端點的網路入口和出口。
3. SaaS 服務使用多層網路架構，包含多個邏輯上獨立的 Amazon 虛擬私有雲 (VPC) 或 Azure 虛擬網路 (VNet)，利用 CSP 基礎架構內的私有區域、DMZ 和不受信任區域。
4. 在 AWS 中，每個區域都使用 VPC S3 端點限制，以僅允許來自授權 VPC 的存取。

監控和審計
1. 監控 SaaS 服務系統和網路的安全事件、系統運作狀況、網路異常和可用性。
2. SaaS 服務使用入侵偵測系統 (IDS) 來監控網路活動並向自己發出可疑行為警報。
3. SaaS 服務的使用 web 面向所有公眾的應用程序防火牆 (WAF) web 服務。
4. 自己將應用程式、網路、使用者和作業系統事件記錄到本機系統日誌伺服器和區域特定的 SIEM。這些日誌會被自動分析並重新view編輯可疑活動和威脅。任何異常情況都會酌情升級。
5. 自行利用安全資訊和事件管理 (SIEM) 系統提供 SaaS 服務網路和安全環境的持續安全分析、使用者異常警報、命令和控制 (C&C) 攻擊偵察、自動威脅偵測以及危害指標報告 (IOC) ）。所有這些功能均由自己的安全和營運人員管理。
6. 自己的事件回應團隊監控 security@owndata.com 別名並在適當時根據公司的事件回應計劃 (IRP) 進行回應。
帳戶間隔離
1. SaaS 服務使用 Linux 沙箱在處理過程中隔離客戶帳戶的資料。這有助於確保任何異常情況（例如amp文件（由於安全性問題或軟體錯誤）仍然僅限於單一自己的帳戶。
2. 租戶資料存取由擁有資料的唯一 IAM 使用者控制 tag禁止未經授權的用戶訪問租戶數據。
災難復原
1. Own 使用 CSP 物件儲存跨多個可用區儲存加密的客戶資料。
2. 對於儲存在物件儲存上的客戶數據，Own 使用具有自動老化功能的物件版本控制來支援遵守 Own 的災難復原和備份策略。對於這些對象，Own 的系統旨在支援 0 小時的復原點目標 (RPO)（即能夠恢復到任何物件在前 14 天期間存在的任何版本）。
3. 計算實例所需的任何恢復都是透過基於自己的組態管理自動化重建實例來完成的。
4. Own 的災難復原計畫旨在支援 4 小時復原時間目標 (RTO)。

漏洞管理
1. 自己定期執行 web 應用程序漏洞評估、靜態代碼分析和外部動態評估作為其持續監控計劃的一部分，以幫助確保應用程序安全控制得到正確應用和有效運行。
2. 每半年，Own 都會聘請獨立的第三方滲透測試人員來執行網路和 web 脆弱性評估。這些外部審計的範圍包括對開放的合規性 Web 應用程序安全項目 (OWASP) 前 10 名 Web 漏洞（www.owasp.org).
3. 漏洞評估結果被納入自己的軟體開發生命週期（SDLC）中，以修復已識別的漏洞。特定漏洞會被優先考慮並輸入到自己的內部票證系統中，以便透過解決方案進行追蹤。
事件回應
1. 如果發生潛在的安全漏洞，自己的事件回應團隊將對情況進行評估並制定適當的緩解策略。如果確認有潛在違規行為，Own 將立即採取行動減輕違規行為並保存取證證據，並將立即通知受影響客戶的主要聯絡人，向他們介紹情況並提供解決方案狀態更新。

安全軟體開發
1. Own 在整個軟體開發生命週期中對 Own 和 RevCult 軟體應用程式採用安全開發實務。這些實踐包括靜態程式碼分析、Salesforce 安全審查view 對於 RevCult 應用程式和安裝在客戶 Salesforce 實例中的自己的應用程序，同行重新view 代碼更改，根據最小權限原則限制源代碼存儲庫訪問，並記錄源代碼存儲庫訪問和更改。
專門的安全團隊
1. Own 擁有一支專業的安全團隊，擁有 100 多年的綜合多方面資訊安全經驗。此外，團隊成員還擁有多項業界認可的認證，包括但不限於 CISM、CISSP 和 ISO 27001 首席審核員。
隱私和資料保護
1. Own 為資料主體存取請求提供本機支持，例如刪除權（被遺忘權）和匿名化，以支援遵守資料隱私法規，包括一般資料保護規範 (GDPR)、健康保險流通和責任法案(HIPAA) 和加州消費者隱私權法(CCPA)。 Own 也提供資料處理附錄，以解決隱私和資料保護法，包括國際資料傳輸的法律要求。

背景調查
1. Own 根據員工過去七年的居住司法管轄區，根據適用法律，對可能有權存取客戶資料的人員進行一系列背景調查，包括犯罪背景調查。
保險
自己至少擁有以下保險範圍： (a) 根據所有適用法律的工傷賠償保險； (b) 非自有和租用車輛的汽車責任保險，單一限額合計為 1,000,000 美元； (c) 商業一般責任（公共責任）保險，每次事故的單一限額承保額為 1,000,000 美元，一般總計承保額為 2,000,000 美元； (d) 錯誤和遺漏（專業賠償）保險，每次事件限額為20,000,000 美元，總計20,000,000 美元，包括主要層和超額層，並包括網絡責任、技術和專業服務、技術產品、數據和網絡安全、違規回應、監管辯護和處罰、網路勒索和資料恢復責任； (e) 僱員不誠實/犯罪保險，保額為 5,000,000 美元。自己將根據要求向客戶提供此類保險的證據。

附表 5 歐洲規定

本附表僅適用於從歐洲傳輸的個人資料（包括繼續傳輸），如果不應用這些規定，將導致客戶或自己違反適用的資料保護法律和法規。

資料傳輸的傳輸機制。
a) 標準合約條款適用於根據本補充 DPA 從歐洲向無法確保資料保護法律和法規所指的充分資料保護的國家/地區進行的任何個人資料傳輸，只要此類傳輸受到約束此類資料保護法律和法規。自己作為資料導入者簽訂了標準合約條款。本附表中的附加條款也適用於此類資料傳輸。
轉讓須遵守標準合約條款。
a) 標準合約條款涵蓋的客戶。本附表中指定的標準合約條款和附加條款適用於 (i) 客戶（在客戶受歐洲資料保護法律和法規約束的情況下）以及 (ii) 其授權附屬公司。就標準合約條款和本附表而言，此類實體是「資料導出者」。
b) 模組。雙方同意，如果可選模組可以在標準合約條款中應用，則僅應應用標有「模組二：將控制者轉移到處理者」的模組。
c) 指示。雙方同意，客戶根據本協議和現有 DPA 使用個人資料處理服務將被視為客戶指示出於標準合約條款第 8.1 條的目的處理個人資料。
d) 新子處理者的任命和目前子處理者的清單。根據標準合約條款第2(a) 條的選項9，客戶同意自己可以按照現有DPA 的規定聘用新的分處理者，並且自己的關聯公司可以保留作為分處理者，並且自己和自己的關聯公司可以聘用新的分處理者。與提供資料處理服務相關的第三方分處理者。目前的子處理者清單如附表 1 所示。
e) 子處理者協定。雙方同意，向分處理者的資料傳輸可能依賴標準合約條款以外的傳輸機制（例如amp文件，具有約束力的公司規則），因此，Own 與此類分處理者的協議不得納入或反映標準合約條款，儘管標準合約條款第 9(b) 條中有任何相反規定。然而，與子處理者達成的任何此類協議所包含的資料保護義務，在適用於該子處理者提供的服務的範圍內，所包含的資料保護義務應不低於本補充DPA 中有關客戶數據保護的義務。根據標準合約條款第 9(c) 條，Own 必須向客戶提供的子處理者協議副本將僅根據客戶的書面請求由 Own 提供，並且可能包含與以下內容無關的所有商業資訊或條款：標準合約條款或同等條款，由自己事先刪除。
f) 審核和認證。雙方同意，標準合約條款第 8.9 條和第 13(b) 條中所述的審核應根據現有 DPA 的條款進行。
g) 資料擦除。雙方同意，標準合約條款第8.5 條或第16(d) 條規定的資料刪除或返還應根據現有DPA 的條款進行，且任何刪除證明均應由自己提供，且僅在客戶同意的情況下提供。要求。
h) 第三人受益人。雙方同意，根據 SaaS 服務的性質，客戶應提供所需的一切協助，以使 Own 履行標準合約條款第 3 條規定的對資料主體的義務。
i) 對影響的評估。根據標準合約條款第14條，雙方結合轉讓的具體情況，對目的地國家的法律和慣例以及具體的補充合約、組織和技術進行了分析。適用的保障措施，並根據當時合理已知的資訊確定目的地國家/地區的法律和慣例不會妨礙雙方履行標準合約條款規定的各方義務。
j) 適用法律和論壇。雙方同意，關於第 2 條的選項 17，如果資料匯出方所在的歐盟成員國不允許第三方受益權，則標準合約條款應受歐盟法律管轄。愛爾蘭。根據第 18 條，與標準合約條款相關的爭議應由協議中指定的法院解決，除非該法院不在歐盟成員國內，在這種情況下，此類爭議的法院應為愛爾蘭法院。
k) 附件。為了執行標準合約條款，附表 3：處理詳細資訊應納入附件 IA 和 IB，附表 4：自身安全控制（可能會不時更新） https://www.owndata.com/trust/）應納入附件 II，以及附表 1：目前子處理者清單（可能會不時更新） https://www.owndata.com/legal/sub-p/)須納入附件III。
l) 解釋。本附表的條款旨在澄清而非修改標準合約條款。若本附表正文與標準合約條款之間有任何衝突或不一致，則以標準合約條款為準。

適用於從瑞士轉機的規定 雙方同意，為了標準合約條款的適用性以促進從瑞士傳輸個人數據，應適用以下附加條款： (i) 對法規 (EU) 2016/679 的任何引用均應解釋為引用相應的條款瑞士聯邦數據保護法和瑞士其他資料保護法（「瑞士資料保護法」）的規定，(ii) 任何對「成員國」或「歐盟成員國」或「歐盟」的提及應解釋為提及瑞士，以及( iii) 任何提及監管機構的內容應解釋為指瑞士聯邦資料保護和資訊專員。
a) 表 1：各方、其詳細資料及聯絡方式如附表 3 所示。
b) 表 2：「核准的歐盟標準合約條款」為本附表 5 所規定的標準合約條款。
c) 表 3：附件 I(A)、I(B) 和 II 依照本附表 2 第 5(k) 節的規定填寫。
d) 表 4：自己可以行使英國附錄第 19 條所描述的可選提前終止權。