top image

תיקון 13 לחוק הגנת הפרטיות: המדריך המלא והמעשי ליועצי מס

בדיקת נאותות וציות לתיקון 13 יועצי מס - הגנת פרטיות ואבטחת מידע פיננסי במשרד עו

תיקון 13 לחוק הגנת הפרטיות: מצפן ליועץ המס

  • סטטוס המידע: נתוני שכר, רווחי הון ומצב משפחתי מסווגים כעת כ”מידע בעל רגישות מיוחדת” המחייב אבטחה.
  • חובת יידוע: גילוי נאות מלא ללקוח במועד איסוף המידע הוא הכרח משפטי (מטרה, חובה חוקית וזהות צדדים שלישיים).
  • ממונה הגנת פרטיות (DPO): חובה לבחון מינוי ממונה (פנימי או במיקור חוץ) למשרדים המנהלים מאגרי מידע בהיקף משמעותי.
  • ניהול ספקים (DPA): אחריות בעל המאגר להסדרת רמת הגנת המידע מול ספקי ענן, תוכנות שכר, הנהלת חשבונות ויועצים פרילנסרים.
  • חשיפה כלכלית: סיכון מוגבר לעיצומים כספיים כבדים ותביעות אזרחיות (פיצוי ללא הוכחת נזק) בגין הפרות מהותיות וטכניות.

 

המהפכה המושגית: מידע אישי “רגיש במיוחד”

תיקון 13 מגדיר מחדש את עצם המהות של המידע המופקד בידי יועץ המס. המידע האישי הופך מ”נתון טכני” המשמש לדיווח, לנכס בעל רגישות מיוחדת. עבור יועץ המס, המשמעות היא שכל פריט מידע במשרד – פירוט הכנסות, הון ועושר אישי, צילום תעודות זהות, הוצאות רפואיות, משכנתאות, נתונים על קצבאות, חלוקת רכוש בגירושין, או נתונים משפחתיים מורכבים המשפיעים על חבויות המס – מסווג כעת תחת קטגוריית המידע המחמירה ביותר בדין הישראלי.

שינוי סטטוס זה גוזר חובת אבטחה אקטיבית. כעת, נדרש ניהול הרשאות קשיח המבטיח כי החשיפה למידע תוגבל אך ורק לצרכים מקצועיים הכרחיים, תוך תיעוד מלא של כל גישה ושימוש בנתונים. מעבר להיבט הטכנולוגי, התיקון מעביר את מרכז הכובד אל האחריות האישית והמנהלית של בעל המקצוע; דליפת מידע או חריגה מהרשאה אינן נתפסות עוד ככשל תפעולי גרידא, אלא כהפרה רגולטורית שעשויה לגרור עיצומים כספיים כבדים ותביעות אזרחיות ללא הוכחת נזק. אימוץ נהלים ברורים, עדכון הסכמי ההתקשרות והדרכת צוות העובדים אינם רק דרישות חוק, אלא תעודת הביטוח החיונית ביותר לשמירה על המוניטין המקצועי ועל חסינותו הכלכלית של המשרד.

 

קבלת הסכמה לשימוש במידע

אם בעבר האיסוף התבסס על עיקרון ההסכמה, מכוח הסכם בין הצדדים (או מעצם פתיחת התיק ומתן השירותים), הרי שעם כניסתו לתוקף של תיקון 13, השקיפות הופכת לחובה אקטיבית, מפורטת ומתועדת. חובה זו אינה המלצה אתית, אלא תנאי סף חוקי שבלעדיו איסוף המידע עשוי להיחשב כהפרה הגוררת עיצומים כספיים.

נדגיש: הסכמה תקפה אינה מסתכמת בחתימה טכנית על טופס, אלא נשענת על “הבנה מהותית” של הלקוח לגבי גורל המידע שלו. כדי שהסכמה תיחשב למחייבת בבית המשפט או מול הרשות להגנת הפרטיות, עליה להיות חופשית, ספציפית ומיודעת. המשמעות עבור יועץ המס היא חובה להציג את המידע בשפה פשוטה ונגישה, תוך הפרדה ברורה בין הסכמה לביצוע השירות המקצועי לבין הסכמה לשימושים נוספים במידע.

הגדרת מטרת האיסוף: תיחום השימוש במידע

על יועץ המס להבהיר במדויק מה ייעשה במידע. לא די באמירה כללית כמו “לצורך טיפול בתיק”. עליכם לפרט כי המידע נדרש לצורך מתן השירותים, לצרכים חשבונאיים (כגון עריכת דו”חות כספיים), צרכים משפטיים (כגון ייצוג מול רשויות המס), ועוד. שימוש במידע למטרה אחרת מזו שהוצהרה (למשל, שיווק שירותים נוספים) ללא הסכמה מפורשת נוספת, עלול להוות הפרה של “עקרון צמידות המטרה” שבחוק.

חובת המסירה: הבחנה בין “רשות” ל”חובה”

זהו אחד המוקשים המורכבים ביותר עבור יועץ המס. התיקון מחייב לציין בפני הלקוח האם חלה עליו חובה חוקית למסור את המידע, או שמא המסירה הנה מכוח ההסכם שבין הצדדים. על יועץ המס להבהיר ללקוח הפוטנציאלי את התוצאות של אי-מסירת המידע (למשל: “אי-מסירת נתוני הקצבה תמנע מאיתנו לבצע עבורך אופטימיזציה של נקודות הזיכוי“).

צדדים שלישיים: שרשרת האספקה של המידע

בעידן הדיגיטלי, יועץ המס הוא רק חוליה אחת בשרשרת הטיפול בלקוח. הלקוח זכאי לדעת מי עוד “נוגע” במידע שלו. לדוגמה –

  • גופים ציבוריים: למשל, לצורך מתן השירות, ביצוע דיווחים מכוח חוק, הוצאת אישורים וכו’.

  • ספקי ענן ותוכנה: עליכם לציין כי המידע נשמר בשרתי ענן (למשל של חברות כמו “חשבשבת”, ספקי אחסון חיצוניים).

  • קבלני משנה: אם המשרד נעזר במחלקות שכר חיצוניות, ביועצי פנסיה, בעורכי דין או ברואי חשבון חיצוניים לצורך ביקורת או בקרה, יש להצהיר על כך מראש.

  • העברת מידע לחו”ל: אם שרתי הענן נמצאים מחוץ לגבולות ישראל, חלות חובות גילוי והסדרה מיוחדות לפי תקנות העברת מידע אל מחוץ לגבולות המדינה.

 

בדיקת נאותות: כמה אתם ערוכים לביקורת הרשות להגנת הפרטיות?

הרכת מוכנות לתיקון 13 – יועצי מס ורואי חשבון

1. ניהול וממשל (Governance)

2. שקיפות מול הלקוח

מדיניות פרטיות: האם פורסמה מדיניות פרטיות, ייעודית למשרד, ובתוקף?

3. אבטחה והרשאות

4. ניהול ספקים (DPA)

5. אירועי אבטחה

 

סיכום חשיפה רגולטורית:

0-5 סימונים: חשיפה גבוהה. סיכון מוחשי לעיצומים כספיים.
6-9 סימונים: חשיפה בינונית. נדרש טיפול ב”חורים” משפטיים.
10-11 סימונים: מוכנות גבוהה. המשרד פועל לפי עקרונות ה-Compliance.
בדיקת נאותות היא המחיצה בין התנהלות רשלנית לניהול סיכונים אחראי.

גילית חוסרים בבדיקת הנאותות? אל תחכה לעיצום הכספי הראשון. צוות משרד עו”ד וולר ושות’ כאן כדי להבטיח את חסינות המשרד שלך. לתיאום פגישת ניהול סיכונים וציות (Compliance)

 

ממונה הגנת פרטיות (DPO) – הכרח או המלצה?

התיקון קובע חובה למינוי ממונה הגנת פרטיות (Data Protection Officer) בגופים המעבדים מידע בהיקף משמעותי או כאלו המבצעים ניטור שיטתי של נושאי מידע.

משרדי יועצי מס המנהלים מאגרי מידע הכוללים מאות ואלפי לקוחות (על בני משפחותיהם ועובדיהם), נמצאים ב”מרחב החשיפה” המחייב בחינה מקצועית של מינוי ממונה. ממונה הגנת הפרטיות במיקור חוץ (אאוטסורסינג) הוא הפתרון המקצועי המותאם לצרכי המשרד, ועומד בדרישות החוק.

 

ניהול סיכונים ואכיפה מנהלית

הדרמטיות של תיקון 13 נעוצה, בין היתר, ב”שיניים” הרגולטוריות שהוענקו לרשות להגנת הפרטיות. הרשות מחזיקה כעת בסמכות להטיל עיצומים כספיים כבדים, המהווים קנסות מנהליים לכל דבר ועניין. החידוש המרכזי הוא היעדר הצורך בהוכחת נזק; די בכך שיועץ המס לא עמד בחובות (כגון אי רישום מאגר מידע, היעדר מסמך הגדרות מאגר או כשל בניהול הרשאות), כדי לגבש עילה להטלת עיצום. עבור משרד יועץ המס, מדובר בסיכון תקציבי שעלול להגיע למאות אלפי ש”ח, בגין הפרות שנחשבו בעבר ל”טכניות”.

במקביל לאפיק המנהלי, התיקון מעניק “שיניים” ללקוחות, באמצעות מסלול של פיצויים אזרחיים ללא הוכחת נזק. היינו, כל פניה, דליפת מידע או העברת נתונים לא מורשית לצד שלישי מסכנת את העסק. בראייה אסטרטגית של ניהול סיכונים, החשיפה הכפולה, מול הרגולטור מחד ומול הלקוח מאידך, מחייבת את יועצי מס לאמץ הגנה משפטית וטכנולוגית הרמטית.

הארכת תקופת ההתיישנות

תקופת ההתיישנות לתביעות אזרחיות בגין פגיעה בפרטיות הוארכה משנתיים, ל-7 שנים.

 

בשורה התחתונה, מה צריך לעשות כדי להגן על הפרטיות במשרד יועצי מס?

היערכות משרדים לעמידה בדיני הגנת הפרטיות ואבטחת המידע

החמרת דרישות הדין בתחום הגנת הפרטיות ואבטחת המידע מחייבת משרדים מקצועיים, ובכלל זה משרדי ייעוץ, ראיית חשבון וייעוץ מס, לנקוט צעדים יזומים, סדורים ומתועדים, לשם עמידה מלאה בהוראות החוק והתקנות.

מיפוי מידע אישי

השלב הראשון והבסיסי הוא מיפוי שיטתי של המידע האישי הנאסף במשרד. יש לזהות איזה מידע נאסף, מאילו גורמים, לאילו מטרות, היכן הוא נשמר, מי נחשף אליו, ומהם אמצעי ההגנה החלים עליו. מיפוי זה מהווה תנאי הכרחי לניהול סיכונים מושכל ולעמידה בדרישות הדין.

עדכון מדיניות ונהלים

יש לנסח ולעדכן מדיניות אבטחת מידע ופרטיות, המותאמת לאופי פעילות המשרד, לסוגי המידע המעובדים בו ולרגישותם. המדיניות צריכה לכלול נהלי הרשאות, שמירה, גיבוי, מחיקה, טיפול באירועי אבטחה ומימוש זכויות נושאי המידע.

אבטחה פיזית וטכנולוגית

על המשרד להבטיח שימוש בתשתיות טכנולוגיות מאובטחות, לרבות אבטחה פיזית (נעילת מחשבים, חדרים), הצפנת מידע, הפרדה לוגית בין תיקי לקוחות, בקרות גישה וניטור. שימוש בספקי שירות חיצוניים מחייב בדיקה מוקדמת והסדרה חוזית מתאימה.

הדרכת עובדים והטמעה ארגונית

הגורם האנושי הוא רכיב סיכון מרכזי. יש להדריך את כלל העובדים והשותפים בדבר חובות הסודיות, עקרונות הגנת הפרטיות, אופן הטיפול במידע אישי והשלכות משפטיות של הפרה.

ליווי מקצועי ומשפטי

אנחנו ממליצים להסתייע במומחים בתחום אבטחת המידע והפרטיות, בשילוב ליווי משפטי, לצורך התאמה מלאה לדרישות החוק, לצמצום חשיפה רגולטורית ולחיזוק אמון הלקוחות.

 

לסיכום: מציוות רגולטורי ליתרון אסטרטגי

תיקון 13 לחוק הגנת הפרטיות אינו רק משוכה רגולטורית נוספת עבור יועץ המס; הוא מהווה קו פרשת מים בין המשרד המסורתי לבין המשרד המודרני הפועל בסטנדרטים של שנת 2026. בעידן בו מידע פיננסי הוא הנכס היקר והרגיש ביותר, היכולת שלכם להגן על פרטיות לקוחותיכם הופכת לאבן יסוד במוניטין המקצועי ובחוסן הכלכלי של הפירמה.

עם אכיפה אקטיבית, ביקורות, קנסות, עיצומים כספיים כבדים ופיצויים סטטוטוריים ללא הוכחת נזק, התעלמות מהוראות התיקון היא ניהול סיכונים לקוי. יועץ מס שישכיל להטמיע את “חובת היידוע”, להסדיר את היחסים מול ספקי הענן ולמנות ממונה הגנת פרטיות (ככל שנדרש), מגדר את החשיפה המשפטית האישית, העסקית, ויוצר לעצמו יתרון כלכלי ותחרותי.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign