המדריך המלא לרואי חשבון: תיקון 13 לחוק הגנת הפרטיות

המידע האישי הוא הנכס היקר ביותר של רואי החשבון. במקביל, הוא מהווה את הסיכון המשפטי המשמעותי ביותר. משרדי רואי חשבון, המנהלים מדי יום הררי מידע פיננסי רגיש, השאלה האם המידע האישי שמור ומאובטח אינה נחלתם של אנשי המחשוב בלבד: זוהי שאלה משפטית, עסקית ואתית מהמעלה הראשונה, הנוגעת ללב ליבה של חובת הנאמנות שלכם כלפי הלקוח. תיקון 13 לחוק הגנת הפרטיות אינו רק שינוי קוסמטי בנוסח החוק; זוהי מהפכה רגולטורית, החושפת את רואה החשבון ומסכנת את העסק.

המהפכה כבר כאן: תיקון 13 נכנס לתוקף

ביום 14 באוגוסט 2025 נכנס לתוקפו המלא תיקון 13 לחוק הגנת הפרטיות, תשמ״א-1981, אשר מהווה נקודת מפנה רגולטורית בדיני המידע בישראל. אין מדובר בעדכון טכני או בהקשחת חובות קיימות בלבד, אלא בשינוי תפיסתי יסודי, המעביר את מרכז הכובד מן הרובד התפעולי־טכנולוגי אל הרובד הניהולי־משפטי. המחוקק הישראלי אימץ, הלכה למעשה, את גישת האחריותיות המוגברת המקובלת בדיני הגנת הפרטיות במשפט האירופי (GDPR), כעקרון-על, החולש על כלל מחזור חיי המידע.

משמעותו המעשית של עיקרון זה היא כי האחריות להגנת המידע האישי אינה ניתנת להאצלה. נושאי משרה, שותפים ובעלי שליטה בגוף המחזיק או המעבד מידע, נדרשים ליכולת להוכיח, באופן פוזיטיבי ומתמשך, עמידה בדין. אין עוד די בהתקשרות עם ספק IT, חברת ענן או יועץ אבטחת מידע, ואין עוד הגנה בטענה של כשל ספק או טעות אנוש חיצונית. האחריות חלה על הגוף עצמו כ״נאמן המידע״, ועל מנהליו כמי שמופקדים אישית על שלמותו, סודיותו וזמינותו.

בהקשר זה, תיקון 13 מחדד כי שרשרת העיבוד כולה, החל מאיסוף הנתונים, דרך אחסונם, עיבודם והעברתם, ועד למחיקתם, מצויה תחת אחריות משפטית אחת רציפה. זליגת מידע אצל ספק חיצוני, פרצת אבטחה במערכת הנהלת חשבונות, שימוש לא מבוקר בממשקי רשויות המס או אחסון בלתי מוסדר בשרתי ענן, אינם מהווים אירועים חיצוניים למשרד, אלא כשלי ציות המיוחסים לו במישרין.

מדוע משרדי רואי חשבון נמצאים “על הכוונת” של הרשות להגנת הפרטיות?

משרד רואי חשבון אינו עוד גורם תומך בפעילות העסקית של לקוחותיו, אלא מהווה בפועל צומת מידע מרכזי ורב־שכבתי, שבו מתנקזים נתונים פיננסיים, אישיים ורגישים. היקף ועומק המידע המצוי בידי משרד רואי חשבון מהווה “נכס נפיץ”, מידע בעל רגישות מיוחדת:

• נתונים פיננסיים: מחזורים, מאזנים, דו”חות כספיים, חובות, רישומי הלוואות והצהרות הון המגלות את כל מצבת הנכסים של אדם. לעיתים נתונים אלו כוללים מחזורי עסקאות, חובות, הסכמים מסחריים, אישורים הנדרשים לצורך פעילות בהון, בעלות על נכסים ועסקאות שנמצאות בשלב קריטי של משא ומתן (ומשכך, זליגה של נתונים אלו עלולה להוביל לחשיפת מידע סודי ואסטרטגי).
• נתוני שכר וצדדי ג’: כאשר אתם מנהלים או מבצעים עיבוד שכר שכר עבור לקוחותיכם, אתם מחזיקים במידע אישי על צדדי ג’ – עובדי הלקוח , שמעולם לא נתנו לכם הסכמה ישירה להחזקת המידע. המידע אף כולל מספרי תעודות זהות, פרטי חשבונות בנק, תשלומים פנסיוניים, טפסי 106 ו-101, הפרשות סוציאליות וכו’. לעיתים מדובר גם בנתונים רגישים שנאספים במהלך טיפול בעזבונות, נאמנויות או העברת נכסים בין-דורית.
• מידע רפואי וזכויות: מידע זה מגיע משרד רואה החשבון, לעיתים קרובות, באופן עקיף לצורך מיצוי זכויות והטבות מס. הנתונים כוללים מידע רפואי, אחוזי נכות במקרה של זכאות להטבות מס או פטורים שונים. נזכיר שוב כי חוק הגנת הפרטיות, ותיקון 13, מחמירים מאוד עם החזקת מידע רפואי, והדבר מהווה קריטריון מרכזי בחובת המינוי של ממונה הגנת פרטיות (DPO).
• נתונים שנאספו מכוח חובה חוקית: לדוגמה, מידע שנאסף מכוח חובות ‘הכר את הלקוח’, אישורים מכוח החוק לאיסור הלבנת הון, אישורים סטטוטוריים המתייחסים לעוסק מורשה, ועוד.
• נתוני התנהגות ותקשורת: כחלק מהניהול השוטף, נשמרים במשרד פרטי כרטיסי אשראי, רישיונות רכב, והתכתבויות דואר אלקטרוני. עצם העברת המידע מהלקוח אליכם אינה מהווה הסכמה אוטומטית לעיבודו, להפצתו, לשימוש בו ע”י צדדי ג’ (לרבות בתוכנה או ע”י רואה חשבון הנותן שירות כפרילנסר), או לשימוש בו מעבר למטרה המוגדרת.

ממונה הגנת הפרטיות (DPO): האם אתם חייבים במינוי?

אחד החידושים הדרמטיים בתיקון 13 הוא המעמד החוקי של ממונה על הגנת הפרטיות (Data Protection Officer). חובת המינוי חלה כעת במקרים של עיבוד מידע ברגישות מיוחדת בהיקף ניכר, או כאשר פעילות המשרד כוללת ניטור שיטתי של אנשים.

הממונה על הגנת הפרטיות אינו “פקיד ציות” ואינו גורם סמלי. תפקידו כולל גיבוש והטמעה של מדיניות הגנת מידע, ביצוע ביקורות תקופתיות, ליווי תהליכים עסקיים עתירי סיכון, פיקוח על התקשרויות עם ספקים חיצוניים, והכנת הארגון להתמודדות עם אירועי אבטחת מידע. מעמדו הייחודי נועד לאפשר לו עצמאות מקצועית, גישה ישירה להנהלה, ויכולת להתריע על כשלים גם כאשר הדבר אינו נוח ניהולית.

מתי חלה חובת מינוי ממונה הגנת הפרטיות (DPO) על רואה חשבון?

• עיבוד מידע ברגישות מיוחדת בהיקף ניכר: אם המשרד מנהל מאגרי מידע הכוללים נתונים פיננסיים או אישיים רגישים בקנה מידה רחב.
• ניטור שיטתי: גופים המבצעים מעקב או ניטור שוטף אחר בני אדם.
• סחר במידע: כאשר מאגר המידע נועד למסירת מידע לצדדים שלישיים כחלק מהפעילות העסקית.

רשימת צעדי חובה לרואה החשבון (צ’ק ליסט אסטרטגי)

1. מיפוי העסק ואפיון: ביצוע סקר מקיף לזיהוי מקורות המידע במשרד – מה נשמר על השרת המקומי, מה נמצא בענן של חברת התוכנה ומה בגיבויים. בנוסף, כיצד עובד המשרד, כמה עובדים, מה תחומי העיסוק, מי הלקוחות וכיוצ”ב.

2. חובת דיווח ורישום: בחינה מחדש של מאגרי המידע, והודעה לרשות להגנת הפרטיות בתוך 30 יום על כל שינוי העונה על קריטריוני התיקון.

3. ניהול ספקים ומיקור חוץ: האחריות על המידע נשארת אצלכם גם כשהוא מאוחסן בענן או מעובד על ידי תוכנות חיצוניות. חובה לוודא שכל ספק (מיקור חוץ) עומד בתקני אבטחת מידע ומחויב חוזית (DPA) להגנה על הפרטיות. האחריות על המידע נשארת אצלכם.

4. כתיבת מדיניות פרטיות, ונהלי אבטחה: גיבוש מדיניות ונהלים.

5. מינוי ממונה הגנת הפרטיות (חיצוני או פנימי).
6. שדרוג מערכות האבטחה: יש להטמיע טכנולוגיות המאפשרות תיעוד פעולות (Audit Log), הצפנה והפרדה בין מאגרים כדי למנוע זליגת מידע ופגיעה בזכות הפרטיות.

7. הדרכות עובדים פרו-אקטיביות: הגורם האנושי הוא החוליה החלשה. חובתכם להעלות את מודעות צוות המשרד לשמירה על סודיות כחלק מהאתיקה המקצועית והרגולציה.

8. טכנולוגיה מאובטחת: מעבר לפתרונות מחשוב המאפשרים הפרדה לוגית בין לקוחות ועמידה בתקני אבטחה מחמירים.

האם ספקי התוכנה מגנים על רואה החשבון – או רק על עצמם?

רוב משרדי רואי החשבון בישראל נשענים על תוכנות לניהול שכר, הנהלת חשבונות (“חשבשבת”, “שקל”), שירותי ענן (Dropbox, Google Drive), תיבות דוא”ל חינמיות (Gmail), ומערכות דיוור.

החובה המשפטית, ונדמה שגם האתית, אינה מסתיימת בלחיצה על אישור תנאי השימוש (Terms of Service) הגנריים של חברות הענן או התוכנה. הסכמים אלו מנוסחים בדרך כלל כדי להגן על הספק ולצמצם את אחריותו במקרה של דליפת מידע. לפיכך, תקנות הגנת הפרטיות (תקנה 15) מחייבת את המשרד לנסח הסכם משפטי – DPA, המוודא שהספק החיצוני מתחייב לשמור על אותה רמת אבטחת מידע ופרטיות, החלה על רואה החשבון. החל אמצעים מקובלים לשמירת ואבטחת המידע, חובת דיווח מיידית אליכם על אירוע אבטחה, פירוט אמצעי ההצפנה והפרדת המידע, ביצוע ביקורות תקופתיות על אופן שמירת המידע, ועוד.

זכרו: כשהרשות להגנת הפרטיות תחקור דליפת מידע, שארעה באופן מכוון או בטעות, היא לא תסתפק בתירוץ ‘זה שמור בענן’. היא תבקש לראות את ה-DPA החתום שמוכיח כי ביצעתם ‘בדיקת נאותות’ (Due Diligence) לפרטיות. ללא הסכם מותאם אישית שמעגן את אחריות הספק, המשרד שלכם נותר בחזית המשפטית לבדו, חשוף לעיצומים כספיים, לתביעות נזיקין, ללא יכולת שיבוב אפקטיבית כלפי הספק.

הטמעת “פרטיות כברירת מחדל” (Privacy by Design) 

תיקון 13 אינו מסתפק ב”פלסטר” של נהלים משפטיים חיצוניים; הוא דורש מרואה החשבון לאמץ את גישת ה-Privacy by Design. משמעות הדבר היא שכל תהליך עבודה במשרד – דוגמת מקליטת לקוח חדש, עדכון לקוחות ותיקים, חידוש אתר האינטרנט, העברת דו”חות לרשויות, אימוץ מערכות תוכנה חדשות (דוגמת CRM) וכו’ – חייב להיבנות מראש תוך התחשבות במזעור הפגיעה בפרטיות. עבור משרד רואי החשבון, זהו שינוי דרמטי בשיטות העבודה: לא עוד שמירת מסמכים “ליתר ביטחון”, אלא יישום עקרון מזעור הנתונים.

בנוסף לכך, יש לבצע תסקיר השפעה על הפרטיות (DPIA) לפני הטמעת כל כלי טכנולוגי חדש. לדוגמה, אם המשרד החליט להשתמש בבינה מלאכותית (AI) לניתוח מאזנים, או לעבור למערכת CRM המנהלת את קשרי הלקוחות – האחריות המקצועית שלכם היא לבחון מראש היכן המידע נשמר, למי יש גישה אליו, וכיצד הוא נמחק כשאינו נחוץ עוד. משרד עו”ד וולר ושות’ מסייע לכם להפוך את הציות לחלק בלתי נפרד מתזרים העבודה (Workflow), כך שהגנת הפרטיות לא תפגע ביעילות, אלא תהווה תו איכות מקצועי המבטיח ללקוח שהנתונים הרגישים שלו נמצאים בידיים המאובטחות ביותר.

פרוטוקול “תגובה לאירוע”: חובת הדיווח במקרה של פגיעה באבטחת המידע / הפרטיות

אחת החובות המחמירות ביותר בחוק הגנת הפרטיות, היא חובת הדיווח על אירוע אבטחה חמור. דמיינו מצב שבו תיבת הדוא”ל של אחד השותפים נפרץ במהלך סוף שבוע, או שדיסק-און-קי המכיל הצהרות הון של לקוחות אסטרטגיים אובד, או שספק התוכנה מודיע שהיתה פריצה לשרת שלו/שלכם, והוא נתון תחת מתקפת כופר. במקרה כזה, השעון מתחיל לתקתק. החוק דורש דיווח לרשות להגנת הפרטיות בלוחות זמנים קצרים מאוד. ואי-עמידה בחובה זו עלולה להפוך לסנקציות פליליות וקנסות מנהליים כבדים, עד כדי השבתת הפעילות של המשרד.

משרד רואי חשבון ללא פרוטוקול תגובה לאירוע, כתוב ומוטמע, דומה לבניין ללא מטפי כיבוי. הפרוטוקול שאנו בונים עבורכם מגדיר במדויק מי הגורם במשרד שמרכז את הטיפול, באילו מקרים חלה חובת דיווח לרשות (וללקוחות), וכיצד מתעדים את הפעולות שננקטו כדי לצמצם את הנזק. הוכחת קיומו של נוהל כזה היא ההגנה הטובה ביותר שלכם מול הרגולטור. היא מוכיחה שפעלתם באחריות, ולא ברשלנות. מטרתנו היא לוודא שב”שעה הראשונה” של המשבר, המשרד שלכם יפעל כמכונה משומנת, הממזערת חשיפה משפטית ופגיעה במוניטין שצברתם לאורך שנים.

האתיקה המקצועית פוגשת את החוק

תקנות האתיקה של רואי החשבון בישראל עיגנו מאז ומתמיד חובת סודיות קפדנית, הנגזרת מיחסי האמון שבין בעל המקצוע ללקוח. חובת הסודיות נתפסה לאורך שנים כחובה נורמטיבית־מקצועית, שהפרתה נבחנת בעיקר במישור המשמעתי, באמצעות מנגנוני הביקורת והאכיפה של מועצת רואי החשבון. תיקון 13 לחוק הגנת הפרטיות משנה מן היסוד את נקודת האיזון הזו, ומעביר את חובת הסודיות מעולם האתיקה בלבד אל זירת הציות הרגולטורי המחייב.

במצב המשפטי החדש, אותה התנהלות שבעבר הייתה עשויה להוביל להליך משמעתי פנימי, עלולה כיום להיחשב כהפרה של הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. המשמעות המעשית היא הרחבת מעגל החשיפה של המשרד: לא עוד אחריות מקצועית כלפי המועצה בלבד, אלא גם אחריות מנהלית ואף פלילית, הנתונה לסמכויות האכיפה של הרשות להגנת הפרטיות. סמכויות אלו כוללות דרישות לתיקון ליקויים, עיצומים כספיים משמעותיים, פרסום פומבי של הפרות, ובמקרים חמורים גם פתיחה בהליכים אישיים נגד נושאי משרה.

השילוב בין האתיקה של רואי החשבון, לדין הרגולטורי, יוצר סטנדרט חדש של אחריות. רואה החשבון אינו נמדד עוד רק בשאלה האם פעל ביושר מקצועי, אלא האם המשרד ניהל בפועל מערך מסודר של הגנת מידע: מדיניות כתובה, בקרות, הסכמים עם ספקים, הרשאות גישה, תיעוד והדרכה. תיקון 13 מטשטש את הגבול בין “טעות מקצועית” לבין “כשל ניהולי”, ומבהיר כי שמירה על סודיות אינה עקרון ערכי בלבד, אלא חובת ציות אקטיבית, הנבחנת בעיני רגולטור חיצוני ובסטנדרטים מחמירים של ממשל תאגידי.

לסיכום

משרדי רואי חשבון הפועלים כיום ללא מיפוי מלא של מאגרי המידע, ללא נהלי עבודה עדכניים וללא גורם אחראי מובהק להגנת הפרטיות, חשופים לסיכון מצטבר. סיכון זה אינו מתמצה בקנסות או בסנקציות פורמליות, אלא כולל פגיעה במוניטין, אובדן לקוחות והעמדת נושאי המשרה במצב של אחריות אישית. תיקון 13 מבהיר כי ציות אינו תגובה לאירוע, אלא תהליך מתמשך של ניהול, בקרה והוכחת אחריות.

משרד עורכי הדין וולר ושות’ מלווה משרדי רואי חשבון וגורמים מקצועיים נוספים בגיבוש מעטפת ציות מלאה: מיפוי וסיווג מאגרי מידע, ניסוח והטמעת נהלי פרטיות ואבטחת מידע, ליווי בהתקשרויות עם ספקים חיצוניים, וכן מינוי והפעלת ממונה על הגנת הפרטיות, בהתאם להיקף הפעילות ולמאפייני הסיכון של המשרד. אנו מזמינים אתכם לפגישת ייעוץ אסטרטגית, שמטרתה בחינת רמת המוכנות הרגולטורית של המשרד, זיהוי פערים והצגת פתרונות ישימים.