Contractual Privacy Statement

Privacy Statement SDX

This Privacy Statement explains how and why SDX Web3 AG, SIX Digital Exchange AG and SDX Trading AG (hereinafter collectively “SDX”) as subsidiaries of SIX Group, process personal data.

What is the purpose of this Privacy Statement?

This Privacy Statement explains how and why SDX processes personal data. It applies to all natural persons with whom we come into contact (referred to as “you” in this document). This includes employees, officers, directors, beneficial owners and other personnel of our customers as well as service providers, authorities, and other business counterparties.

Why privacy?

SDX aims at strong protection of natural persons in regards to processing of their personal data. Our services are offered to institutional customers only, nonetheless the processing of transactions might include personal data where this is necessary to ascertain the business purpose. In addition, we process personal data in the context of business contact information.

Who is responsible?

The legal entities listed below are the controllers of your personal data. They are responsible for processing your data.

SIX Digital Exchange AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

SDX Trading AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

SDX Web3 AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

Why do we process personal data?

We process personal data about you where e.g.:

It is necessary to enter into a contract or carry out a contract with our customer
It is necessary to comply with our legal obligations, or
It is in our legitimate business interests, e.g. for security compliance if you visit our office, or to protect our IT infrastructure.

We process your personal data for the following reasons:

To undertake corporate marketing
To enter into contract
To provide services and products to our customers including any communication required to render them
To ensure fair and orderly markets
To receive customer requests and improved services/products accordingly
To receive, investigate and respond to customer complaints
To inform customers, suppliers and authorities about incidents and their impacts and resolution
To manage relationships with our business partners, customers and service providers
To carry out analyses with the intention to strengthen our relationships and improve the quality of our services and products
For testing and support purposes
To operate and maintain our information technology
To establish, exercise and/or defend legal claims and rights
To protect, exercise and enforce our rights, property or safety, or to assist our customers or others to do so
For other purpose

What categories of personal data do we have?

Personal data processed by SDX is limited to basic contact information for individuals. In general this includes name, job title, position, work address, telephone number, email address. Other categories depend on the respective business product or service, e.g. beneficial owner identifiers in transaction reports.

Where do we get personal data from?

We collect data from the following sources:

Personal data obtained from customers when you
– Give us contact data for relationship management, sales or any other purpose
– Send us your data on forms, e-forms, e-mail or by post
– Send us information for client on-boarding or admission
– Provide us data to enter into a contract or service level agreement including billing
– Provide us with data during the performance of our services for issue management, collection of customer experience, service improvement and other legitimate reasons
Personal data obtained from service providers required to
– Establish and maintain a contact
– Enter into and maintain contracts, service level agreements and other types of service descriptions
– Facilitate billing and payment
– Monitor and control service delivery to ensure and enhance quality
– Collaborate on solution design and delivery
Personal data we receive from other sources
– Background information from third party providers
– Information from authorities
– Information from publicly available sources

To whom do we disclose your personal data?

Your personal data may be disclosed to and / or transferred to

Our business partners (e.g. custodians, correspondent banks) if your data is included in business transactions which need to be processed by them
Your own organization in connection with issue and problem resolution, contract management, service and billing requests, requests of your compliance office, client relationship management concerns
The Swiss National Bank (SNB)
Competent regulatory (e.g. FINMA), prosecuting or tax authorities
Our auditors and legal advisors involved in or contemplating legal proceedings
Our technology suppliers that provide support for incident handling
Other persons where disclosure is required by law

Where do we transfer your personal data to?

We may transfer your personal data to SIX Group, other subsidiaries of SIX Group, regulatory, prosecuting, tax and governmental authorities, courts and other tribunals, service providers and other business counterparties located in countries inside or outside the European Economic Area (EEA), including countries which have different data protection standards to those which apply in the EEA. When we transfer your personal data to service providers or other business counterparties in these countries, we will ensure that they protect your personal data in accordance with EEA-approved standard data transfer agreements or other appropriate safeguards.

In the international custody business data may be transferred in the countries in which the sub-custodian is located. For other services, data may be transferred to the following countries if necessary for the provision of the service: Austria, Belgium, Denmark, France, Georgia, Germany, Gibraltar, Ireland, Italy, Japan, Luxembourg, Latvia, Liechtenstein, Luxembourg, Netherlands, Monaco, Morocco, Netherlands, Norway, Poland, Romania, Poland, Spain, Singapore, Sweden, United Arab Emirates, United Kingdom, United States.

How long do we keep personal data?

As a general rule, we keep personal data as long as we have a client relationship. After a client relationship ends, we usually must keep it for a period of 10 years. In cases where the relevant client or counterparty informs us that employment of a certain persons has ceased, the retention period starts from that point in time.

What rights do you have in relation to personal data?

You can ask us to: (i) provide you with a copy of your personal data; (ii) correct your personal data; (iii) erase your personal data; or (iv) restrict our processing of your personal data. You can also opt out of the processing of your personal data for direct marketing purposes or object to our other processing of your personal data. These rights will be limited in some situations; for example, where we are required to process your personal data by law.

To exercise these rights or if you have questions about how we process your personal data, please contact us using the contact details on the last page. You can also complain to the relevant data protection authorities where you live or work or where the alleged infringement of data protection law occurred.

Updates to this Privacy Statement

This Privacy Statement was last updated on 27 October 2023. Future updates may be required in response to changing legal, technical or business developments.

How to contact us

To exercise your rights with regards to data protection please use this link.
You can also direct your queries to: SIX Group Services Ltd., Data Protection Officer, Hardturmstrasse 201, 8005 Zurich, Switzerland, E-Mail: dataprotection@six-group.com

Datenschutzerklärung SDX

Unsere Datenschutzerklärung erklärt wie und warum SDX Web3 AG, SIX Digital Exchange AG and SDX Trading AG (nachfolgend “SDX”) als Tochtergesellschaften von SIX personenbezogene Daten verarbeiten.

Wozu dient diese Datenschutzerklärung?

Unsere Datenschutzerklärung erklärt wie und warum SDX personenbezogene Daten verarbeitet. Sie kommt für alle natürlichen Personen zur Anwendung, mit denen wir in Kontakt kommen, einschliesslich Angestellten, Vorstandsmitglieder, wirtschaftlich berechtigte Personen, Mitarbeiter von Kunden und Dienstleistern sowie von Aufsichtsstellen und anderen Geschäftspartnern.

Warum setzen wir uns für Datenschutz ein?

Datenschutz hat für Securities & Exchanges einen hohen Stellenwert; dies gilt insbesondere für die Verarbeitung personenbezogener Daten.

Unsere Dienstleistungen sind institutionellen Kunden vorbehalten. Jedoch können in den Transaktionen personenbezogene Daten enthalten sein und wir benötigen Kontaktinformationen zur Erfüllung unserer Geschäftszwecke.

Wer ist verantwortlich?

Die nachfolgend benannten rechtlichen Einheiten von Securities & Exchanges sind Controller, d.h. sie sind verantwortlich für die Verarbeitung personenbezogener Daten.

SIX Digital Exchange AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

SDX Trading AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

SDX Web3 AG

Pfingstweidstrasse 110

8005 Zurich

Switzerland

Warum verarbeiten wir personenbezogene Daten?

Personenbezogene Daten werden von uns verarbeitet, wenn wir

Mit Kunden eine Vertragsaufnahme anstreben oder diese zur Erfüllung einer vertraglichen Verpflichtung benötigen
Rechtliche Anforderungen zu erfüllen haben
Ein legitimes Geschäftsinteresse verfolgen, z.B. zur Einhaltung der Sicherheitsbestimmungen für unsere Räumlichkeiten und die IT-Infrastruktur

Wir verarbeiten personenbezogene Daten aus den folgenden Gründen:

Zu Werbezwecken
Für Vertragsvereinbarungen
Zwecks Erbringung von Dienstleistungen für unsere Kunden, inklusive der hierzu erforderlichen Kommunikation
Zur Bereitstellung von fairen und ordnungsmässigen Märkten
Zur Entgegennahme von Kundenanfragen und zur Verbesserung der Dienstleistungsqualität
Zur Entgegennahme, Analyse und Beantwortung von Kundenbeschwerden
Zur Informierung der Kunden, Lieferanten bzw. Dienstleister und Aufsichtsstellen über betriebliche Vorfälle, deren Implikationen und Behebungen
Zur Pflege der Beziehungen mit Geschäftspartnern, Kunden und Dienstleistern
Zur Durchführung von Analysen, die der Stärkung der Geschäftsbeziehungen und der Verbesserung unserer Dienstleistungen dienen
Zur Durchführung von Tests und der Bereitstellung von Support-Leistungen
Zum Betrieb und zur Pflege unserer Informationstechnologie
Zur Begründung, Ausübung und Verteidigung von Rechtsansprüchen
Sowohl zum Schutz unserer Rechte, unseres Eigentums und unserer Sicherheit als auch derjenigen von Kunden, Geschäftspartnern und sonstigen Dritten
Aus anderen Gründen

Welcher Art sind die personenbezogenen Daten?

Von Securities & Exchanges verarbeitete personenbezogene Daten beschränken sich in den meisten Fällen auf Basisinformationen über Einzelpersonen. Im Allgemeinen umfassen diese Daten Name, Berufsbezeichnung, Position, Arbeitsanschrift, Telefonnummer, Mail-Adresse. Andere Datenarten sind abhängig von den jeweiligen Dienstleistungen, z.B. die Angabe der wirtschaftlich berechtigten Person in Transaktionsmeldungen.

Woher beziehen wir personenbezogenen Daten?

Wir sammeln diese Daten von:

Unseren Kunden, wenn diese uns
– Kontaktdaten für das Relationship-Management, den Vertrieb oder andere Zwecke zustellen
– Daten in (elektronischen) Formularen / Formularen in Mails oder postalisch senden
– Informationen zur Geschäftsaufnahme oder Zulassung übermitteln
– Daten für einen Vertragsabschluss oder eine Dienstleistungsvereinbarung (inklusive Rechnungsstellung) bereitstellen
– Daten zur Behebung betrieblicher Probleme, für Kundenzufriedenheitsumfragen, für Dienstleistungsverbesserungen und andere legitimierte Nutzungen geben
Unseren Dienstleistern
– Zur Kontaktaufnahme und -pflege
– Zur Aufnahme und Pflege von Verträgen, Dienstleistungsvereinbarungen und anderen Dienstleistungsbeschreibungen
– Zwecks Rechnungsstellung und -zahlung
– Zur Überwachung der Dienstleistungserbringung im Sinne der Qualitätssicherung und -verbesserung
– Zur gemeinsamen Festlegung von Lösungskonzepten und Lieferungen
Aus anderen Quellen, z.B.
– Sammlung von Informationen zur Auswahl und Beurteilung von Dienstleistern
– Informationen von Aufsichtsstellen
– Information aus öffentlichen Quellen

Wem werden die Daten offengelegt?

Personenbezogene Daten können offengelegt oder auch übertragen werden an

Unsere Geschäftspartner (z.B. Depotbank, Korrespondenzbank), falls die Daten in von den Partnern zu verarbeitenden Geschäftstransaktionen enthalten sind
Die Organisation unserer Kunden und Geschäftspartner im Kontext von Störungen und Problemlösung, Vertragswesen, Anfragen zur Dienstleistungserbringung und -verrechnung, Compliance-Anfragen sowie der Kundenbetreuung im Allgemeinen
Die Schweizerische Nationalbank (SNB)
Die zuständige Aufsichtsstelle (z.B. FINMA), Strafverfolgungs- oder Steuerbehörde
Unsere Wirtschaftsprüfer und in Gerichtsverfahren involvierte Rechtsberater
Unsere Technologielieferanten im Rahmen der Behebung betrieblicher Störungen und des Supports
Andere Personen, sofern die Offenlegung gesetzlich gefordert ist

Wohin übertragen wir Daten?

Personenbezogene Daten können an andere rechtliche Einheiten von SDX sowie die relevanten Aufsichtsstellen, Strafverfolgungs- und Steuerbehörden, Gerichte, involvierte Dienstleister und andere Geschäftspartner von SDX innerhalb und ausserhalb des europäischen Wirtschaftsraumes (EEA) übertragen werden. Dies schliesst Länder ein, deren Datenschutzstandard vom Standard der EEA abweicht. Im Falle einer Übertragung der Daten an einen Geschäftspartner in einem Land mit abweichendem Datenschutzstandard wird der Geschäftspartner von uns vertraglich zum Schutz der Daten gemäss einer in der EEA gültigen Datenübertragungsvereinbarung oder zu anderen geeigneten Sicherheitsmassnahmen verpflichtet.

Im internationalen Custody-Geschäft können Daten in Länder übermittelt werden, in welchen der Unterverwahrer ansässig ist. Für andere Dienstleistungen können Datenübermittlungen in folgende Länder erfolgen: Österreich, Belgien, Dänemark, Frankreich, Georgien, Deutschland, Gibraltar, Irland, Italien, Japan, Luxemburg, Lettland, Liechtenstein, Luxemburg, Niederlande, Monaco, Marokko, Niederlande, Norwegen, Polen, Rumänien, Polen, Spanien, Singapur, Schweden, Vereinigte Arabische Emirate, Vereinigtes Königreich, Vereinigte Staaten.

Wie lange halten wir personenbezogene Daten?

Im Allgemeinen benötigen wir personenbezogene Daten solange die Beziehung andauert. Nach Beendigung einer Kundenbeziehung sind wir verpflichtet, die Daten für weitere 10 Jahre aufzubewahren. Wenn uns ein Kunde über das Austreten eines seiner Mitarbeiter informiert, beginnt die Aufbewahrungsfrist ab diesem Zeitpunkt.

Welche Rechte haben Sie bezüglich der über Sie erhobenen Daten?

Sie können uns anfragen, (i) Ihnen eine Kopie der von Ihnen gehaltenen personenbezogenen Daten zu übermitteln; (ii) Ihre Daten zu korrigieren; (iii) Ihre Daten zu löschen; oder (iv) die Verarbeitung Ihrer Daten zu beschränken. Sie können ferner die Nutzung ihrer Daten zu Werbezwecken (opt out) und die Verarbeitung Ihrer Daten für andere Geschäftszwecke untersagen. Diese Rechte können in besonderen Fällen eingeschränkt werden, z.B. wenn die Verarbeitung Ihrer Daten aus rechtlichen Gründen erforderlich ist.

Zur Ausübung dieser Rechte oder falls Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, wenden Sie sich bitte an die unten genannte Kontaktstelle. Sie können sich ebenfalls an die für Sie zuständige Datenschutzbehörde wenden oder auch an diejenige, in deren Zuständigkeitsbereich eine angenommene Verletzung des Datenschutzgesetzes stattgefunden haben soll.

Aktualisierung der Datenschutzerklärung

Diese Datenschutzerklärung wurde zuletzt am 27.10.2023 angepasst. Zukünftige Aktualisierungen können sowohl infolge von Änderungen der rechtlichen und technischen Grundlagen als auch der Geschäftsentwicklung erforderlich sein.

Wie können Sie uns kontaktieren?

Zur Ausübung Ihrer Rechte in Bezug auf den Datenschutz verwenden Sie bitte diesen Link.
Sie können Ihre Anfrage auch an folgende Adresse richten: SIX Group Services AG, Data Protection Officer, Hardturmstrasse 201, 8005 Zürich, Schweiz, E-Mail: dataprotection@six-group.com