בחוק ההסדרים במשק לשנים 2021-2022 מסתתר חוק שלם, חדשני ומרחיק לכת, המיועד להגביר את התחרות במערכת הפיננסית ואגב כך לשמש בסיס לפעולתה של תעשיית הפינטק - חוק שירותי מידע פיננסי, התשפ"ב-2021 ("החוק"). בין השאר, החוק כולל הוראות מפורטות וחדשניות בנושאי פרטיות ועיבוד מידע אישי – לדוגמה, הרחבה של המידע הדרוש בעת קבלת הסכמה לעיבוד מידע אישי, הגברת השליטה של היחיד במידע שיימסר על אודותיו, השוואת הגדרת "מידע" לזו הנוהגת בחקיקה מודרנית כדוגמת ה-GDPR, קביעת תנאים לשימוש במידע סטטיסטי הנגזר ממידע אישי, הרחבת זכותו של אדם לדרוש תיקון במידע שעליו ועוד.
החוק נועד להסדיר איסוף, העברה לאחר או שימוש מקוון במידע פיננסי – אלה הם "שירותי מידע פיננסי" – ואת מערכת היחסים בין מי שמספקים את השירות בפועל ("נותני השירות") ובין מקורות המידע שלהם, כדוגמת בנקים וחברות כרטיסי אשראי ("מקורות המידע"). החוק ייכנס לתוקף בהדרגה, החל מיוני 2022 ועד לסוף שנת 2024. לפי החוק, גופים שיהיו מעוניינים להעניק שירותי מידע פיננסי יידרשו לקבל רישיון מתאים מהרשות לניירות ערך. בעל הרישיון יהיה רשאי לקבל באמצעות מערכת מקוונת ייעודית גישה למידע פיננסי של לקוחו ממקורות מידע או מגופים פיננסיים אחרים ולהעביר לאותם גופים מידע על הלקוח באמצעות אותה מערכת – והכל, בהסכמת הלקוח.
מערכת היחסים שבין נותני השירות למקורות המידע כרוכה כמובן בהעברת מידע אישי רב. החוק כולל אפוא רשימה ארוכה של הוראות הקובעות את אופן איסוף המידע, השימוש בו, שמירתו והעברתו לאחר וכן הוראות הנוגעות לאבטחת המידע, התמודדות עם אירועי אבטחה ותיקון פגמים במידע. מזכר זה מתמקד בהוראות הללו.
כללים לאיסוף מידע ולשימוש בו
החוק מיישם את העקרונות הקבועים בחוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות") והתקנות מכוחו, ובחלק מהמקרים אף מרחיב אותם, תוך שימת דגש מיוחד על עקרון ההסכמה.
הסכמה ומתן אפשרויות בחירה. נותן השירות אינו רשאי להשתמש במידע פיננסי על אודות לקוח, אלא אם התקשר עם אותו לקוח בהסכם המסביר בשפה פשוטה, ברורה ותמציתית את מהות השירות. במסגרת ההסכם נדרש נותן השירות לאפשר ללקוח לבחור, בין היתר, את השימושים שייעשו במידע שלו; את מקורות המידע שאליהם הוא מסכים לנותן השירות לגשת; ואת סוג הגישה שיקבל נותן השירות – חד פעמית או מתמשכת. אם הסכים הלקוח לתת לנותן השירות גישה מתמשכת, נותן השירות יידרש לוודא את הסכמת הלקוח אחת לשישה חודשים. בכל עת, תעמוד בפני הלקוח האפשרות לבטל את הסכמתו או לצמצמה.
הסכמת הלקוח נדרשת גם לשם מתן הרשאת הגישה אל מידע פיננסי שנמצא ברשות מקורות המידע. למעט בנסיבות חריגות, הלקוח הוא שיקבע את היקף הרשאת הגישה, ובתוך כך את סוגי סלי המידע שלגביהם תינתן הגישה, והתקופה שלאורכה תינתן הרשאת הגישה. ללא הסכמתו המפורשת של הלקוח, חל איסור מוחלט על נותן השירות לגשת אל המידע הפיננסי של הלקוח, גם אם ידועים לו פרטי הגישה האישיים של הלקוח אל חשבונו אצל מקור המידע.
צמידות המטרה. נותן השירות ישתמש במידע מזוהה של הלקוח רק לשם מתן שירות בעבור אותו לקוח, על בסיס אותו מידע. במידע סטטיסטי לא מזוהה של הלקוח יהיה רשאי להשתמש רק לשם מתן שירות מידע פיננסי לכלל הלקוחות, ובהינתן שקיבל את הסכמת הלקוח לכך. החוק מגדיר "מידע מזוהה", בדומה ל-GDPR, כמידע הכולל פרט מזהה של הלקוח (שם, מספר זהות או כל מידע אחר שיכול להביא לזיהוי הלקוח במישרין או בעקיפין) או מידע שמאפשר לזהות את הלקוח במאמץ סביר, לרבות בדרך של הצלבת המידע מול מידע אחר. זוהי הגדרה שלא קיימת בחוק הגנת הפרטיות.
שמירת המידע ומחיקתו. נותן השירות ישמור את המידע הפיננסי למשך התקופה הקצרה ביותר הנדרשת לו לשם מתן השירות ללקוח, ובכל מקרה לא יותר משלוש שנים. בתום התקופה, המידע יימחק. מידע שנותן השירות יידרש לשמור לאחר תקופה קצרה זו עקב הליך משפטי או הליך פיקוח או ביקורת, יישמר במאגר נפרד.
העברת מידע לצדדים שלישיים. בכפוף להסכמת הלקוח, נותן השירות רשאי להעביר את המידע הפיננסי של הלקוח לצדדים שלישיים (כדוגמת גופים פיננסיים אחרים, רואי חשבון או יועצי מס), לשם מתן שירות או הצעה לשירות לאותו לקוח. נותני השירות נדרשים לוודא שהגופים שאליהם מועבר המידע יעמדו במספר חובות בנוגע למידע, לרבות החובה שלא להעביר את המידע הלאה, והחובה לשמור את המידע באופן שימנע גישה לא מורשית אליו.
תיקון פגמים במידע. נותן שירות או מקור מידע שקיבלו פנייה מלקוח או שגילה בדרך אחרת בנוגע לפגם שנפל במידע הפיננסי של הלקוח, יהיו מחויבים לברר את הפנייה ולעדכן את הלקוח בתוצאות הבירור, וכמובן לתקן את הפגם במידת הצורך. זוהי הרחבה של הזכות לתיקון המידע הקבועה בסעיף 14 לחוק הגנת הפרטיות, משני היבטים: ראשית, חובת בעל מאגר המידע (נותן השירות) לבחון את הצורך בתיקון המידע חלה לא רק במקרה בו אדם ביקש מבעל המאגר לתקן את המידע על אודותיו, אלא גם במקרה בו נודע לבעל המאגר בדרך אחרת על הפגם במידע; ושנית, בעוד שתיקון המידע בחוק הגנת הפרטיות נדרש כאשר הוא "אינו נכון, שלם, ברור או מעודכן", תיקון המידע בחוק נדרש כאשר נפל בו "פגם" – מונח רחב בהרבה, הכולל גם פגם באבטחת המידע שהוביל לחשיפה המידע.
אבטחת מידע
החוק קובע חובה לדאוג לקיומם של מנגנונים לאבטחת מידע, ניהול סיכונים והגנת סייבר. בדומה לחוק הגנת הפרטיות ול-GDPR, החוק מציג דרישה עלומה לפיה אותם מנגנונים יהיו "נאותים ומתקדמים", ואינו קובע סטנדרטים מוגדרים ביחס אליהם. עם זאת, החוק דורש כי המנגנונים יבטיחו הגנה מפני דליפת מידע וגישה לא מורשית אליו, ומפני העברה, חשיפה, מחיקה, שימוש, שינוי או העתקה ללא רשות. החוק מותיר בידי הרגולטור את האפשרות לקבוע הוראות לעניין מינוי ממונה על אבטחת מידע, אופן ההזדהות של הלקוח, ואופן החזקת המידע הפיננסי.
החוק מרחיב את חובת הדיווח הקבועה בחוק הגנת הפרטיות, וקובע כי בעת קרות אירוע אבטחה חמור, יידרש נותן השירות לדווח על האירוע ועל הצעדים שננקטו בעקבותיו לא רק לרשם מאגרי המידע, אלא גם לרגולטור המפקח על נותן השירות ולמקור המידע שממנו קיבל את המידע שלגביו אירע האירוע.
סוף דבר
החוק מסדיר את ההגנה על פרטיות המידע הפיננסי של לקוחות באופן רחב וחדשני, לעתים חדשני ורחב יותר מההסדרה הכללית בחוק הגנת הפרטיות והתקנות שמכוחו. הוא עתיד להשפיע באופן נרחב על ההתנהלות של כל גוף בישראל המציע שירותים פיננסיים וצפוי להיות כפוף לרגולציה כבדה. לא מן הנמנע שישליך על כלל הסדרי הפרטיות בישראל. לכן, ישנה חשיבות רבה להיכרות עם הוראות החוק ולהיערכות מוקדמת לעמידה בהן.