Group-Weisung Nr. 1.9

Transkript

1 Group-Weisung Nr. 1.9 Gegenstand: Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen Gültig ab: 1. Juli 2012 Herausgeber: Legal & Compliance Chief Security Officer Geltungsbereich: Alle 100%-Gesellschaften von SIX sowie SIX Interbank Clearing AG 0. Grundlagen Die rechtlichen Grundlagen in der Schweiz sind: Art. 13 der Bundesverfassung, der festlegt, dass jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehr sowie auf Schutz vor Missbrauch ihrer persönlichen Daten hat. Das Bundesgesetz über den Datenschutz (DSG) sowie die entsprechende Verordnung (VDSG), welche die Einzelheiten regelt. Art. 957 ff. Obligationenrecht (OR) sowie die Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung; GeBüV) Wesentliche Dokumente des internen Rechts im Zusammenhang mit dieser Weisung sind: Reglement des SIX Verwaltungsrats betreffend Sicherheitspolitik Geschäftsgeheimnisse: Group Weisung Nr. 1.5 «Geheimhaltung im Konzern» Personendaten: Group Weisung Nr «Behandlung und Schutz von Personendaten» Systeme, Anlagen und Gebäude, insbesondere von Archiven, IT-Einrichtungen und Kommunikationsmitteln: Group Weisung Nr. 5.2 «Integrale Sicherheit» inkl. Anhänge. Das ausländische Recht kennt vergleichbare Bestimmungen und hat für die ausländischen Gesellschaften Vorrang. 1. Grundsätzliches 1.1. Regelungsbereich und Zweck Diese Weisung bildet die Basis für die gesetzes- und ordnungsgemässe Behandlung und den Schutz von geschäftlichen Informationen und Geschäftsunterlagen von SIX. Sie bezieht sich auf alle Phasen des Informationszyklus (Ziffer 1.3) Schutzobjekte Schutzobjekte dieser Weisung sind: Geschäftliche Informationen (nachfolgend kurz: «Informationen»): sämtliche Mitteilungen und Daten, in denen Äusserungen und Angaben gemacht werden, die die geschäftliche Tätigkeit betreffen Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 1/6

2 Geschäftsunterlagen: Geschäftsbücher, Buchungsbelege, Geschäftskorrespondenz sowie sämtliche Datenträger (Papier, Festplatte, USB-Stick, CD-ROM, DVD, Magnetbänder etc.), in denen schriftliche, bildliche, akustische oder digitale Informationen aufgezeichnet sind, die im Rahmen der geschäftlichen Tätigkeit erhoben, bearbeitet, weitergeleitet und bekanntgegeben werden; insbesondere auch entsprechende s. Keine Geschäftsunterlagen im Sinne dieser Weisung sind persönliche und/oder provisorische Notizen, Lehr- und Lernmaterialien sowie sämtliche rein privaten Dokumente und elektronischen Aufzeichnungen. Sie unterliegen deshalb den nachfolgenden Bestimmungen nicht Informationszyklus Die Informationen und Geschäftsunterlagen durchlaufen die folgenden Phasen: Erhebung: jede Beschaffung und Erschliessung eines Zuganges zu Informationen und Geschäftsunterlagen. Bearbeitung: jede Form der aktiven Bearbeitung von Informationen und Geschäftsunterlagen, insbesondere auswerten/analysieren und verändern/veredeln. Weiterleitung und Bekanntgabe: jede Form der Offenlegung und Übertragung von Informationen und Geschäftsunterlagen an eine andere interne oder externe Person oder Stelle. Ablage: jede Form der Aufbewahrung und Speicherung von Geschäftsunterlagen auf einem beliebigen Datenträger in der Phase der Bearbeitung. Archivierung: jede Form der unveränderbaren Aufbewahrung von Geschäftsunterlagen auf einem Datenträger nach Abschluss der Bearbeitung bis zur Vernichtung. Vernichtung / Löschung: die irreversible Vernichtung von Geschäftsunterlagen durch physische Zerstörung des Datenträgers bzw. irreversible Löschung der Daten. 2. Weisung 2.1. Verwantwortlichkeit Mitarbeitende Jeder Mitarbeitende von SIX ist verantwortlich für die richtige Behandlung und den Schutz von Informationen und Geschäftsunterlagen, die sich in seinem Einflussbereich befinden. Insbesondere ist er zuständig für: die Einhaltung der in Ziffer 2.2 beschriebenen Verhaltensregeln. die Klassifizierung von Informationen und Geschäftsunterlagen gemäss Group Weisung 1.13 Klassifizierung und Handhabung von Informationen bezüglich Vertraulichkeit, sowie die Ablage allfälliger private Dokumente in einem separaten, als Privat gekennzeichneten Ordner im U:drive. Die Dokumente in diesem Ordner werden grundsätzlich inhaltlich nicht ausgewertet Information Owner Bestimmung des Information Owner Für jede Informationssammlung ist ein Information Owner zu bestimmen. Eine Informationssammlung ist ein Bestand von Informationen und Geschäftsunterlagen, der nach bestimmten Kriterien abgrenz- und darstellbar ist sowie in der Regel systematisch (z.b. nach Zeitablauf) geordnet werden kann. Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 2/6

3 Der Division bzw. Group CEO bestimmt Mitglieder aus seinem unmittelbaren Führungskreis als Information Owner Verantwortlichkeiten des Information Owner Der Information Owner ist verantwortlich für die Behandlung und den Schutz der Informationen und Geschäftsunterlagen, welche der ihm anvertrauten Informationssammlung angehören. Insbesondere ist er zuständig für: die Bestimmung der Klassifizierung und die Festlegung von allfälligen erhöhten Sicherheitsanforderungen bezüglich der Informationssammlung (siehe auch Ziffer 2.2.4), die bedarfsgerechte Erteilung und Löschung der Zugriffs- und Zutrittsberechtigungen zur Informationssammlung gemäss «Need to know-prinzip» (siehe auch Ziffer 2.2.3), den Erlass einer Arbeitsinstruktion (Regelung der Einzelheiten der Verwaltung der Geschäftsunterlagen für die jeweilige Informationssammlung) in Absprache mit einem Compliance Officer. Folgende Punkte sind in der Arbeitsinstruktion zu regeln: die Arten der Geschäftsunterlagen der betreffenden Informationssammlung, die Einsichts- und Zugriffsberechtigungen auf die einzelnen Arten, die Form (physisch oder elektronisch) der Aufbewahrung der einzelnen Arten, die Klassifizierung der Vertraulichkeit sowie allenfalls erhöhte Anforderungen an die Verfügbarkeit und Integrität der einzelnen Arten, die Dauer der Aufbewahrung (siehe Ziffer ) sowie der Ort der Archivierung für jede einzelne Art. die jährliche Überprüfung der Arbeitsinstruktion bezüglich Aktualität Archivverantwortliche Bestimmung der Archivverantwortlichen Der Division bzw. Group CEO ist verantwortlich für die Bestimmung der Archivverantwortlichen in seiner Division bzw. Group Function Verantwortlichkeiten des Archivverantwortlichen Der/der Archivverantwortliche ist verantwortlich für die organisatorischen und technischen Belange der Verwaltung von Geschäftsunterlagen, welche in das ihm anvertraute Archiv eingestellt werden. Insbesondere ist er zuständig für: die Koordination und Überwachung der physischen und/oder elektronischen Archivierung der Geschäftsunterlagen, die Erstellung des Archivplans in Absprache mit dem Physical Security Officer bzw. dem Division Security Officer. Folgende Punkte sind im Archivplan zu regeln: die Systematik des Archivs inkl. Inventar, die Gewährleistung der Wiederauffindbarkeit der Geschäftsunterlagen (z.b. thematisch oder chronologisch), der Prozess über das Einliefern und das Ausleihen von Dokumenten aus dem Archiv sowie die Regelung wie Archivzutritte und zugriffe aufgezeichnet werden. Diese Aufzeichnungen unterliegen denselben Aufbewahrungsfristen wie die Geschäftsunterlage (siehe GeBüV Art. 8). Dabei sind die Anweisungen der Information Owner gemäss Ziffer (Arbeitsinstruktion) einzuhalten. die Sicherstellung des Schutzes der archivierten Geschäftsunterlagen in Absprache mit dem Physical Security Officer bzw. dem Division Security Officer, Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 3/6

4 die Vornahme von Umlagerungen bzw. Umspeicherungen (Konversionen, Migrationen) bei Bedarf die Vernichtung bzw. Löschung der archivierten Geschäftsunterlagen nach Ablauf der Aufbewahrungsfristen oder gemäss den Instruktionen des Information Owner in Absprache mit dem Physical Security Officer, die jährliche Überprüfung und Aktualisierung der Stati bei den Originalverträgen (siehe Ziff ) sowie die Beschriftung der Dossier mit Inhaltsbeschreibung, dem Namen des Information Owners, der Vertraulichkeitsstufe sowie dem Vernichtungsdatum Division bzw. Group CEO Der Division bzw. Group CEO ist verantwortlich für: die Ernennung der Information Owner (siehe Ziffer ) sowie der Archivverantwortlichen (siehe Ziffer ) in seiner Division / Group Function und die Sicherstellung der entsprechenden Übergabe- und Nachfolgeregelungen sowie die Bestimmung der zentralen Archive seiner Division / Group Function in Absprache mit dem Physical Security Officer bzw. dem Division Security Officer Grundlegende Verhaltensregeln Für die Behandlung und den Schutz von Informationen und Geschäftsunterlagen gelten die folgenden Verhaltensregeln: Richtigkeit und Vollständigkeit Informationen und Geschäftsunterlagen müssen richtig und vollständig sein. Richtigkeit und Vollständigkeit bedeuten, dass die Informationen und Geschäftsunterlagen im Zeitpunkt der Bearbeitung den Tatsachen entsprechen und diese soweit geschäftlich angemessen - umfassend wiedergeben müssen. Bei wiederholter Bearbeitung ist die Richtigkeit und Vollständigkeit zu überprüfen und allfällige eingetretene Änderungen zu berücksichtigen Notwendigkeit und Zweckbindung Informationen und Geschäftsunterlagen sind nur in dem Umfang und in der Weise zu erheben, zu bearbeiten, weiterzuleiten oder bekanntzugeben sowie abzulegen und zu archivieren, wie es für die Erreichung des geschäftlichen Zwecks notwendig ist «Need to know-prinzip» und Zugriffsberechtigungen Informationen und Geschäftsunterlagen sind nur denjenigen Stellen und Personen weiterzuleiten oder bekanntzugeben, welche diese für ihre geschäftliche Tätigkeit und aufgrund ihrer Zuständigkeit auch wirklich benötigen. Der Zugang bzw. Zugriff zu den Informationssammlungen, Ablagen und Archiven ist durch geeignete Massnahmen (z.b. Schlüssel, Badges, Passwörter) nur den berechtigten Personen zu ermöglichen. Die Regelung der Zugangs- und Zugriffsberechtigungen obliegt dem Information Owner (Ziffer ). Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 4/6

5 Klassifizierung Group Weisung Nr regelt die Klassifizierung von Informationen bezüglich deren Vertraulichkeit. Group Weisung Nr. 5.2 Anhang 7 regelt die Klassifizierung von Informationen bezüglich Integrität, Verfügbarkeit und Verbindlichkeit Verwaltung der Geschäftsunterlagen Allgemeines Geschäftsunterlagen sind ordnungsgemäss und systematisch zu verwalten, d.h. aufzubewahren, zu archivieren und zu vernichten bzw. zu löschen. Insbesondere ist sicherzustellen, dass sie im Anschluss an die Erhebung und Bearbeitung wieder aufgefunden werden können (z.b. über Metadaten mittels eines Dokumentenverwaltungs-Systems) Originale Originale von Verträgen von SIX, von SIX Management AG und der Verträge, die mehrere Gesellschaften von SIX betreffen, sind in das Archiv von Legal & Compliance einzuliefern. Eine Kopie verbleibt bei der Linienstelle, welche für die Vertragsüberwachung verantwortlich ist. Verträge im Zusammenhang mit der zentralen Beschaffung werden bei Procurement Services aufbewahrt und überwacht. Originale von Verträgen der Divisionen und ihrer Gesellschaften sind lokal aufzubewahren und zu überwachen. Es wird eine möglichst zentrale Lösung empfohlen. Originale von Verträgen sind mit einem Status zu versehen. Status 1: In Kraft / Angabe der Vertragsdauer, sofern möglich Status 2: Ausser Kraft / Dauer der Aufbewahrung / Datum der Vernichtung Im Übrigen richtet sich die Verwaltung von Originalen nach den Arbeitsinstruktionen der Information Owner (siehe Ziffer ) Überprüfung beim Einscannen Geschäftsunterlagen, die elektronisch aufbewahrt werden, müssen beim Einscannen auf Vollständigkeit und Lesbarkeit überprüft werden Aufbewahrung und Archivierung Geschäftsunterlagen, die nicht mehr aktiv bearbeitet werden, sind von den produktiven Daten und Unterlagen zu trennen und entweder in ein Archiv zu legen oder sofort zu vernichten. Dabei sind die Anweisungen der Information Owner gemäss Ziffer (Arbeitsinstruktion) einzuhalten. Die Aufbewahrungsfristen der einzelnen Geschäftsunterlagen bestimmen sich entweder nach Gesetz oder Vertrag (v.a. in internationalen Verhältnissen) oder wo keine Vorschriften bestehen durch Entscheid des Information Owner (siehe auch Ziffer ). Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 5/6

6 Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenz sind von Gesetzes wegen während zehn Jahren aufzubewahren (OR 962). Geschäftsbücher sind Geschäftsunterlagen, die notwendig sind, um die Vermögensverhältnisse und die mit dem geschäftlichen Betrieb von SIX und ihrer Tochtergesellschaften zusammenhängenden Schuldund Forderungsverhältnisse sowie die Ergebnisse der einzelnen Geschäftsjahre festzustellen. Beispiele hierfür sind (nicht abschliessende Aufzählung): Ein- und ausgehende Briefe, Verträge, Rechnungen und Lieferscheine, Quittungen und Bankbelege, Fax und s. Die Aufbewahrungsfrist beginnt mit dem Ablauf des Geschäftsjahres, in dem die letzten Eintragungen vorgenommen wurden, die Buchungsbelege entstanden sind und die Geschäfts-korrespondenz ein- oder ausgegangen ist. Bei Verträgen beginnt die Aufbewahrungsfrist mit Ablauf oder Kündigung des Vertrages. Die allgemeine Aufbewahrungsfrist von 10 Jahren ist als Minimalaufbewahrungsfrist zu verstehen, da es einerseits spezialgesetzliche Aufbewahrungsfristen (bspw. Art. 70 Abs. 3 MwStG) gibt, die eine längere Aufbewahrungsfrist vorsehen, anderseits betriebliche Interessen vorhanden sein können, die eine längere Aufbewahrung rechtfertigen Vernichtung bzw. Löschung Geschäftsunterlagen sind nach Ablauf der Aufbewahrungsfrist zu vernichten bzw. zu löschen. Vernichtung bzw. Löschung bedeutet die Zerstörung einer Geschäftsunterlage, so dass die darin aufgezeichneten Informationen nicht mehr erkenn- und rekonstruierbar sind. 3. Kontaktstellen Legal & Compliance geben Auskunft zu Fragen im Zusammenhang mit dieser Weisung Compliance-Helpline@six-group.com 4. Geltungsbereich Diese Weisung gilt für alle 100%-Gesellschaften von SIX sowie SIX Interbank Clearing AG unter Berücksichtigung der jeweils nationalen Gesetzgebung. 5. Inkrafttreten Diese Weisung tritt am in Kraft und ersetzt die Weisung vom Sie ersetzt sämtliche Weisungen der einzelnen Gruppengesellschaften in Bezug auf die durch sie geregelten Themenbereiche. Die bestehenden Regelungen der Gruppengesellschaften, welche diese Weisung konkretisieren (z.b. bezüglich Archivierung), werden in die Arbeitsinstruktionen der Information Owner (Ziffer 4.5.6) integriert. Zürich, Dr. Urs Rüegsegger Group CEO Grundlagen der Behandlung und des Schutzes von Informationen und Geschäftsunterlagen 6/6