מאת איתי לוין
חוק שירותי מידע פיננסי התשפ"ב – 2021 (להלן: החוק) אשר יכנס לתוקף ביום 14 ליוני 2022, מסדיר פעולות איסוף, העברה או שימוש במידע פיננסי על-ידי גופים פיננסים שונים. כחלק מהוראות החוק, מוסדרת מערכת היחסים בין ספקי שירותי פיננסים (סולקי אשראי, מנהלי תיקי השקעות, חברות פינטק וכו') לבין מקורות המידע, כדוגמת בנקים וחברות אשראי.
גורמים שיקבלו רישיון מהרשות לניירות ערך להענקת שירותי מידע פיננסים לפי החוק, יוכלו לקבל גישה למערכת מקוונת המאפשרת קבלת מידע פיננסי של לקוחותיהם ממקורות מידע שונים ולהעביר בעצמם לאותם מקורות מידע, מידע נוסף על הלקוח באותה מערכת. הכול כמובן, כפוף להסכמת הלקוח לשימוש שלעיל.
כפי שניתן להבין, המערכת המקוונת תחיל מידע רב, ולכן, החוק מכיל רשימה לא קצרה של הוראות וחובות להסדרת אופן איסוף המידע, השימוש בו, העברתו, אבטחתו ועוד. גופים שישתמשו במערכת, או שישתמשו ב"מידע פיננסי" כהגדרתו בחוק, יצטרכו לעמוד בחובות החוק ולעדכן את נהלי השימוש ואבטחת המידע שלהם.
על מנת להכיר את המאפיינים הבסיסיים ביותר בנוגע לחובות הקשורות למידע המפורטות בחוק, להלן מדריך ראשוני קצר, הכולל כמה מהעקרונות שיש לעבוד לפיהם עם מידע פיננסי.
איסוף ושימוש במידע בכפוף למטרה
החוק מגדיר כי איסוף או שימוש במידע פיננסי במסגרת מתן שירותים פיננסים ללקוח יעשה לשם מתן שירות ללקוח הנוגע להתנהלותו הכלכלית של הלקוח בלבד (ראו סעיף 25 (א) לחוק). החוק מפרט בדבר המטרות המוכרות לשם מתן שירות שכזה:
- ריכוז מידע פיננסי בעבור הלקוח;
- ריכוז מידע פיננסי והעברתו לגוף שניתן להעביר לו מידע לפי סעיף 29 לחוק, לשם שימוש במידע על ידי אותו גוף, בעבור הלקוח, למטרה כאמור באותו סעיף.
- השוואת עלויות.
- תיווך.
- ייעוץ בדבר התנהלות כלכלית.
- מתן הצעה מטעם נותן השירות להתקשרות עם הלקוח לגבי מוצר פיננסי או שירות פיננסי.
שימוש או איסוף מידע פיננסי של הלקוח, יכול לעשות רק בצמוד למטרה שאליה הסכים הלקוח וכפי שעוגן בהסכם עימו.
הסכמה מפורשת של הלקוח למתן שירות מידע פיננסי
שימוש או איסוף מידע פיננסי אישי חייב להיות כפוף להסכמה מפורשת בכתב של הלקוח. סעיף 26 לחוק מגדיר כיצד הסכמה שכזו תינתן: "נותן שירות יתקשר עם הלקוח בהסכם בכתב למתן שירות מידע פיננסי (בסעיף זה – ההסכם); בטרם ההתקשרות ימסור נותן שירות ללקוח, בשפה פשוטה וברורה ובאופן תמציתי, מידע על אודות מהות השירות, ובכלל זה שמירת המידע לפי סעיף 27(ג);"
בנוסף בהסכם זה על נותן השירות לאפשר ללקוח:
- לבחור את סוג שירות המידע הפיננסי שייתן נותן השירות ללקוח ואת השימושים שיעשה במידע (המטרה שלשמה נמסר המידע).
- לבחור את מקורות המידע (מהיכן יישאב המידע אודות הלקוח במערכת הפיננסית המקוונת), החשבונות וסלי המידע שלגביהם מסכים הלקוח לתת לנותן השירות גישה למידע פיננסי.
- לבחור אם הגישה למידע הפיננסי תהיה גישה חד-פעמית או גישה מתמשכת לתקופה שנקבעה (התקופה לא תעלה על שלוש שנים).
החזקת מידע פיננסי ומחיקתו
החוק קובע כי על נותן שירות מידע פיננסי להחזיק במידע שנאסף בידיו או במידע שהוא משתמש בו, למשך התקופה הקצרה ביותר לשם מתן השירות. לאחר תקופה זו, על נותן השירות למחוק את המידע הפיננסי אודות הלקוח (סעיף 27 לחוק). בכל אופן, החזקת המידע לא תהיה יותר משלוש שנים.
העברת מידע לאחרים
נותן השירות רשאי להעביר את המידע הפיננסי של הלקוח לצדדים שלישיים לשם מתן שירות או הצעה לשירות לאותו לקוח. העברת מידע זה כפופה להסכמת הלקוח ולכך שהצדדים שאליהם מועבר המידע עומדים בחובות המפורטות בחוק למען שמירת המידע, אבטחתו ומניעת גורמים שאינם מרשים לגשת למידע (ראו סעיף 29 לחוק).
אבטחת מידע, ניהול סיכונים והגנת סייבר
החוק מחיל על נותני שירות המידע הפיננסי חובות ומנגנונים להגנת המידע ולמניעת הדלפתו. החוק מרחיב את החובה הקיימת לעניין זה מחוק הגנת הפרטיות ודורש כי בקרות אירוע חמור, ידווח נותן שירות המידע הפיננסי גם לרגולטור המפקח עליו ויפרט את הצעדים שנקט.
כאמור, החוק מאסדר את השימוש במידע פיננסי אך יש להוסיף על הוראות אלה גם את הוראות חוק הגנת הפרטיות, שכן מדובר בהסדרים שחלים במקביל והם אינם גורעים זה מזה, אלא מוסיפים. עוד נציין כי ייתכן ובעתיד חוק הגנת הפרטיות אף יפורש לפי החובות החלות בחוק זה, ולכן חשוב להכיר אותו ולקיים את החובות הקיימות בו.
מדריך זה מהווה את הנקודות הבסיסיות ביותר בנוגע לחובות החלות על גופים המשתמשים במידע פיננסי.
