נותני שירותים במידע פיננסי
חוק השירותים במידע פיננסי שנחקק בשנת 2021 מתווה את אופן הפעולה של מחזיקי הרישיון השונים. על מחזיקי הרישיון חלים תנאים והגבלות רבות.
רשאי לקבל רישיון למתן שירות מידע פיננסי מי שמתקיימים לגביו כל התנאים המצטברים הללו:
גוף המוגדר כחברה כהגדרתה בחוק החברות או שהוא רשום כחברת חוץ על פי חוק החברות
השליטה על עסקיו וניהולם מופעלים בישראל, ואם אינם מופעלים בישראל – ביכולתו לקיים את כל ההוראות לפי חוק זה, וניתן לאכוף אותן לגביו
התכנית העיסקית וההצהרה על האמצעים הכספיים שלו מעידים על יכולתו לתת את שירות המידע הפיננסי שהוא מבקש לתת ולעמוד בהוראות לפי חוק זה
הוא עומד בדרישות לעניין ביטוח, הון עצמי מזערי או בטוחה אחרת, כנדרש מבעל רישיון
לא מונה לו כונס נכסים או ציווי על פירוק ע"י בית המשפט והמבקש לא החליט על פירוקו מרצון
אם קיים בעל שליטה – מתקיימים בו התנאים לקבלת היתר שליטה לפי סעיף 9 לחוק שירות מידע פיננסי
בעל אמצעים טכנולוגיים מתאימים לשם מתן שירות המידע הפיננסי, ובכלל זה ההוראות הנוגעות להגנת הפרטיות, אבטחת מידע, הגנת סייבר וניהול סיכונים
קצת רקע חוק הגנת הפרטיות, התשמ"א-1981, פוגש את חוק נותני שירותים במידע פיננסי בצורה ישירה, כאשר מחזיק הרישיון למתן מידע פיננסי נדרש לרמה גבוהה של אבטחת מידע והגנת הפרטיות. מחזיק הרישיון אוגר מידע פיננסי המוגדר כרגיש כגון: תנועות (זיכויים וחיובים) בחשבון העו"ש של הלקוח ועלות ניהול החשבון של הלקוח (דמי ניהול חשבון); מידע אודות האשראי של הלקוח, ובכלל זה סך האשראי שהלקוח נטל והריביות שהוא משלם בגינו; מידע על חסכונות הלקוח, ובכלל זה היקף החיסכון של הלקוח וריביות שהוא מקבל בעדו; מידע על תיק ניירות הערך שמחזיק הלקוח והעמלות שהוא משלם עבור פעולות קנייה ומכירה של ניירות ערך וכיוצא בזה.
סעיף 2(ט) לטיוטת ההוראה קובע: " אישור על רישום בפנקסי מאגרי המידע לפי חוק הגנת הפרטיות וכן הצהרה של המבקש בדבר עמידתו בהוראות חוק הגנת הפרטיות והתקנות מכוחו".
מתוך שורה זאת נגזרות התחייבויות רבות של בעל הרישיון: רישום המאגר, הכנת מסמך הגדרות, מיפוי המערכות ועוד ועוד.
מתי נדרשים נותני שירותים במידע פיננסי להגן על הפרטיות?
מחזיקים ברישיון של מידע פיננסי נדרשים לאבטח ולהגן על פרטיות לקוחותיהם למשך כל תקופת מתן השירות ולאחריה. כמו כן, מחוייב נותן השירות לשמירת סודיות על לקוחותיו. כלשון החוק, עליו לשמור בסוד כל מידע על לקוחותיו, לרבות המסמכים שהועברו לרשותו ותוכנם, וכל פרט אחר המתייחס לפעולות שביצע במסגרת מתן השירות ללקוח. למרות זאת יש סייג ומצב בו מתאפשר לנותן שירות רשאי לגלות מידע אודות הלקוח וזאת לפי צו בית משפט או לפי דרישה שקיבל מגורם המוסמך לכך לפי דין.
הפרת חוק הגנת הפרטיות בחוק שירות מידע פיננסי
אם מתקיימת הפרה של חוק הגנת הפרטיות, הרי שמתקיימת הפרה של חוק שירות מידע פיננסי. על פי הוראות חוק השירות הפיננסי, מפר שהוא יחיד שהוא עובד של בעל רישיון ואינו נושא משרה בכירה בו – בסכום מרבי של 25,000 שקלים חדשים; מפר שהוא יחיד אחר – ייקנס בסכום מרבי של 1,000,000 שקלים חדשים; מפר שהוא תאגיד – ייקנס בסכום מרבי של 5,000,000 שקלים חדשים.
שימוש לא ראוי במידע פיננסי של לקוחות
מי שניגש, דרך עיסוקו, אל מידע פיננסי אודות לקוח, הנמצא ברשות מקור מידע, באמצעות מערכת מקוונת, תוך שימוש בפרטי הגישה של הלקוח אל חשבונו שנועדו לאמת את זהותו בפני מקור המידע, לשם מתן שירות ללקוח הנוגע להתנהלותו הכלכלית, בניגוד להוראות סעיף 60, דינו – מאסר שנה או קנס כאמור בסעיף 61(א)?(4) לחוק העונשין, ואם הוא תאגיד – כפל הקנס האמור.
אירוע אבטחה חמור
על פי לשון החוק, אם אירע אירוע אבטחה חמור על פי סעיף 36 לחוק הגנת הפרטיות, יודיע על כך נותן השירות באופן מיידי למאסדר נותן השירות הנוגע בדבר (הרשות להגנת הפרטיות), למקור המידע שאירוע האבטחה אירע לגבי מידע שהתקבל ממנו ולרשם כהגדרתו בסעיף 7 לחוק הגנת הפרטיות (הרשם), וכן ידווח למאסדר נותן השירות ולרשם על הצעדים שנקט בעקבות האירוע; קיבל נותן השירות את המידע מנותן שירות אחר שאסף אותו, בהתאם להוראות סעיף 29(א)(3) – יודיע על כך באופן מיידי גם לנותן השירות שממנו קיבל את המידע; קיבל מקור המידע הודעה לפי סעיף קטן זה, ידווח על כך ללא דיחוי למאסדר מקור המידע.
(ב) הרשם, לאחר התייעצות עם ראש מערך הסייבר הלאומי ועם מאסדר נותן השירות, יורה לנותן השירות להודיע על אירוע האבטחה כאמור בסעיף קטן (א) גם ללקוח שיש חשש לפגיעה ממשית בפרטיותו בשל האירוע או למקורות מידע נוספים הנותנים לנותן השירות גישה למידע פיננסי; ואולם הרשם רשאי שלא להורות בדבר מסירת הודעה כאמור או להורות שתימסר במועד כפי שיורה, והכול בשל נסיבות הנוגעות להתמודדות עם אירוע האבטחה או משיקולים מיוחדים שנוגעים לפגיעה ממשית בלקוחות נותן השירות; מקור מידע שקיבל הודעה לפי סעיף קטן זה, ידווח על כך למאסדר מקור המידע ללא דיחוי; לעניין זה, "מערך הסייבר הלאומי" – מערך הסייבר הלאומי שהוקם על פי החלטת הממשלה ופועל בהתאם להחלטותיה.
מה ניתן לעשות?
רשות ניירות ערך, כמו גם רגולטורים אחרים, מכירה בתוכניות אכיפה פנימיות של גופים מפוקחים, ככלי משמעותי ביצירת תרבות ארגונית של ציות, ולכן במקרה של הפרה היא עשויה להתחשב בקיומה של תוכנית כאמור. תוכנית אכיפה פנימית הינה מנגנון שנועד למפות את החשיפות של הארגון בתחום הציות ולנהלן באופן שיפחית את הסיכון להפרה.
שירותי הגנת הפרטיות שמשרדנו מספק לנותני שירות מידע פיננסי
עריכת סקרי ציות בתחום הגנת הפרטיות
כתיבת נהלים שמטרתם למנוע הפרות עתידיות של הגנת הפרטיות
עריכת תוכנית אכיפה פנימית
הטמעת תוכנית האכיפה בארגון (ביצוע הדרכה, בקרות וכדו')
ייעוץ משפטי בנושא הגנת הפרטיות
מעוניינים לשמור על העסק שלכם? צריכים עזרה משפטית? אנחנו כאן כדי לסייע לכם! למשרדנו ניסיון בסיוע לגופים בשמירה על תקנות הגנת הפרטיות. אל תחכו לקנס/מאסר, חשיפה לתביעות ופגישה במוניטין! צרו קשר עוד היום עם עו"ד מיכאל גילינסקי, ראש תחום רגולציה אצלנו במשרד.
מייל: michaelg@audit-fa.co.il
טלפון נייד: 052-4326617