תיקון 13 לחוק הגנת הפרטיות: מדריך ליועצי מס

בדיקת נאותות וציות לתיקון 13 יועצי מס - הגנת פרטיות ואבטחת מידע פיננסי במשרד עו

תיקון 13 לחוק הגנת הפרטיות – מה יועצי מס חייבים לדעת ולעשות

עו"ד רועי וולר, מומחה לדיני הגנת פרטיות, מנהל סיכונים בכיר ו-DPO מוסמך, מסביר כיצד תיקון 13 משנה את חובות יועצי המס בכל הנוגע לאבטחת מידע פיננסי רגיש של לקוחות.

תיקון 13 לחוק הגנת הפרטיות מסווג נתוני שכר, רווחי הון ומצב משפחתי כ"מידע בעל רגישות מיוחדת". נתונים אלו מחייבים קבלת הסכמה למסירה ולעיבוד מידע מאת הלקוח, ואבטחת מידע מוגברת. יועץ מס שלא עומד בדרישות חשוף לסנקציות מינהליות ואזרחיות, של מיליוני ש"ח. משרד וולר ושות', BDI ו-Dun's 100 לשנת 2026, פועל מאז 1965, מלווה ארגונים ויועצי מס בציות לתיקון 13.

תיקון 13 לחוק הגנת הפרטיות: מצפן ליועץ המס

סטטוס המידע: נתוני שכר, רווחי הון ומצב משפחתי מסווגים כעת כ"מידע בעל רגישות מיוחדת" המחייב אבטחה.
חובת יידוע: גילוי נאות מלא ללקוח במועד איסוף המידע הוא הכרח משפטי (מטרה, חובה חוקית וזהות צדדים שלישיים).
ממונה הגנת פרטיות (DPO): חובה לבחון מינוי ממונה (פנימי או במיקור חוץ) למשרדים המנהלים מאגרי מידע בהיקף משמעותי.
ניהול ספקים (DPA): אחריות בעל המאגר להסדרת רמת הגנת המידע מול ספקי ענן, תוכנות שכר, הנהלת חשבונות ויועצים פרילנסרים.
חשיפה כלכלית: סיכון מוגבר לעיצומים כספיים כבדים ותביעות אזרחיות (פיצוי ללא הוכחת נזק) בגין הפרות מהותיות וטכניות.

מהו מידע "בעל רגישות מיוחדת"?

תיקון 13 מגדיר מחדש את עצם המהות של המידע המופקד בידי יועץ המס. המידע האישי הופך מ"נתון טכני" המשמש לדיווח, לנכס בעל רגישות מיוחדת. עבור יועץ המס, המשמעות היא שכל פריט מידע במשרד – פירוט הכנסות, הון ועושר אישי, צילום תעודות זהות, הוצאות רפואיות, משכנתאות, נתונים על קצבאות, חלוקת רכוש בגירושין, או נתונים משפחתיים מורכבים המשפיעים על חבויות המס – מסווג כעת תחת קטגוריית המידע המחמירה ביותר בדין הישראלי.

שינוי סטטוס זה גוזר חובת אבטחה אקטיבית. כעת, נדרש ניהול הרשאות קשיח המבטיח כי החשיפה למידע תוגבל אך ורק לצרכים מקצועיים הכרחיים, תוך תיעוד מלא של כל גישה ושימוש בנתונים. מעבר להיבט הטכנולוגי, התיקון מעביר את מרכז הכובד אל האחריות האישית והמנהלית של בעל המקצוע; דליפת מידע או חריגה מהרשאה אינן נתפסות עוד ככשל תפעולי גרידא, אלא כהפרה רגולטורית שעשויה לגרור עיצומים כספיים כבדים ותביעות אזרחיות ללא הוכחת נזק. אימוץ נהלים ברורים, עדכון הסכמי ההתקשרות והדרכת צוות העובדים אינם רק דרישות חוק, אלא תעודת הביטוח החיונית ביותר לשמירה על המוניטין המקצועי ועל חסינותו הכלכלית של המשרד.

איך מקבלים הסכמה לשימוש במידע מהלקוח?

אם בעבר האיסוף התבסס על עיקרון ההסכמה, מכוח הסכם בין הצדדים (או מעצם פתיחת התיק ומתן השירותים), הרי שעם כניסתו לתוקף של תיקון 13, השקיפות הופכת לחובה אקטיבית, מפורטת ומתועדת. חובה זו אינה המלצה אתית, אלא תנאי סף חוקי שבלעדיו איסוף המידע עשוי להיחשב כהפרה הגוררת עיצומים כספיים.

נדגיש: הסכמה תקפה אינה מסתכמת בחתימה טכנית על טופס, אלא נשענת על "הבנה מהותית" של הלקוח לגבי גורל המידע שלו. כדי שהסכמה תיחשב למחייבת בבית המשפט או מול הרשות להגנת הפרטיות, עליה להיות חופשית, ספציפית ומיודעת. המשמעות עבור יועץ המס היא חובה להציג את המידע בשפה פשוטה ונגישה, תוך הפרדה ברורה בין הסכמה לביצוע השירות המקצועי לבין הסכמה לשימושים נוספים במידע.

הגדרת מטרת האיסוף: תיחום השימוש במידע

על יועץ המס להבהיר במדויק מה ייעשה במידע. לא די באמירה כללית כמו "לצורך טיפול בתיק". עליכם לפרט כי המידע נדרש לצורך מתן השירותים, לצרכים חשבונאיים (כגון עריכת דו"חות כספיים), צרכים משפטיים (כגון ייצוג מול רשויות המס), ועוד. שימוש במידע למטרה אחרת מזו שהוצהרה (למשל, שיווק שירותים נוספים) ללא הסכמה מפורשת נוספת, עלול להוות הפרה של "עקרון צמידות המטרה" שבחוק.

חובת המסירה: הבחנה בין "רשות" ל"חובה"

זהו אחד המוקשים המורכבים ביותר עבור יועץ המס. התיקון מחייב לציין בפני הלקוח האם חלה עליו חובה חוקית למסור את המידע, או שמא המסירה הנה מכוח ההסכם שבין הצדדים. על יועץ המס להבהיר ללקוח הפוטנציאלי את התוצאות של אי-מסירת המידע (למשל: "אי-מסירת נתוני הקצבה תמנע מאיתנו לבצע עבורך אופטימיזציה של נקודות הזיכוי").

צדדים שלישיים: שרשרת האספקה של המידע

בעידן הדיגיטלי, יועץ המס הוא רק חוליה אחת בשרשרת הטיפול בלקוח. הלקוח זכאי לדעת מי עוד "נוגע" במידע שלו. לדוגמה –

גופים ציבוריים: למשל, לצורך מתן השירות, ביצוע דיווחים מכוח חוק, הוצאת אישורים וכו'.
ספקי ענן ותוכנה: עליכם לציין כי המידע נשמר בשרתי ענן (למשל של חברות כמו "חשבשבת", ספקי אחסון חיצוניים).
קבלני משנה: אם המשרד נעזר במחלקות שכר חיצוניות, ביועצי פנסיה, בעורכי דין או ברואי חשבון חיצוניים לצורך ביקורת או בקרה, יש להצהיר על כך מראש.
העברת מידע לחו"ל: אם שרתי הענן נמצאים מחוץ לגבולות ישראל, חלות חובות גילוי והסדרה מיוחדות לפי תקנות העברת מידע אל מחוץ לגבולות המדינה.

גילית חוסרים בבדיקת הנאותות? אל תחכה לעיצום הכספי הראשון. צוות משרד עו"ד וולר ושות' כאן כדי להבטיח את חסינות המשרד שלך. לתיאום פגישת ניהול סיכונים וציות (Compliance)

ממונה הגנת פרטיות (DPO) – הכרח או המלצה?

התיקון קובע חובה למינוי ממונה הגנת פרטיות (Data Protection Officer) בגופים המעבדים מידע בהיקף משמעותי או כאלו המבצעים ניטור שיטתי של נושאי מידע.

משרדי יועצי מס המנהלים מאגרי מידע הכוללים מאות ואלפי לקוחות (על בני משפחותיהם ועובדיהם), נמצאים ב"מרחב החשיפה" המחייב בחינה מקצועית של מינוי ממונה. ממונה הגנת הפרטיות במיקור חוץ (אאוטסורסינג) הוא הפתרון המקצועי המותאם לצרכי המשרד, ועומד בדרישות החוק.

🔒

סיכום ביניים

תיקון 13 ליועצי מס – עיקרי הדברים

נתוני שכר, רווחי הון ומצב משפחתי של לקוחות – כעת "מידע בעל רגישות מיוחדת". יועץ מס שלא יישם את הדרישות חשוף לסנקציות. הציות אינו אופציה – הוא חובה חוקית.

✦ מידע פיננסי של לקוחות = מידע רגיש לפי תיקון 13
✦ חובת מינוי ממונה הגנת מידע — בהתאם לסף העסקים
✦ סנקציות מינהליות ואזרחיות על אי-ציות

עו"ד רועי וולר | הגנת פרטיות | DPO | BDI ו-Dun's 100 לשנת 2026

וולר ושות'

📞 04-8661537
💬 WhatsApp

ניהול סיכונים ואכיפה מנהלית

הדרמטיות של תיקון 13 נעוצה, בין היתר, ב"שיניים" הרגולטוריות שהוענקו לרשות להגנת הפרטיות. הרשות מחזיקה כעת בסמכות להטיל עיצומים כספיים כבדים, המהווים קנסות מנהליים לכל דבר ועניין. החידוש המרכזי הוא היעדר הצורך בהוכחת נזק; די בכך שיועץ המס לא עמד בחובות (כגון אי רישום מאגר מידע, היעדר מסמך הגדרות מאגר או כשל בניהול הרשאות), כדי לגבש עילה להטלת עיצום. עבור משרד יועץ המס, מדובר בסיכון תקציבי שעלול להגיע למאות אלפי ש"ח, בגין הפרות שנחשבו בעבר ל"טכניות".

במקביל לאפיק המנהלי, התיקון מעניק "שיניים" ללקוחות, באמצעות מסלול של פיצויים אזרחיים ללא הוכחת נזק. היינו, כל פניה, דליפת מידע או העברת נתונים לא מורשית לצד שלישי מסכנת את העסק. בראייה אסטרטגית של ניהול סיכונים, החשיפה הכפולה, מול הרגולטור מחד ומול הלקוח מאידך, מחייבת את יועצי מס לאמץ הגנה משפטית וטכנולוגית הרמטית.

הארכת תקופת ההתיישנות

תקופת ההתיישנות לתביעות אזרחיות בגין פגיעה בפרטיות הוארכה משנתיים, ל-7 שנים.

בשורה התחתונה, מה צריך לעשות כדי להגן על הפרטיות במשרד יועצי מס?

היערכות משרדים לעמידה בדיני הגנת הפרטיות ואבטחת המידע

החמרת דרישות הדין בתחום הגנת הפרטיות ואבטחת המידע מחייבת משרדים מקצועיים, ובכלל זה משרדי ייעוץ, ראיית חשבון וייעוץ מס, לנקוט צעדים יזומים, סדורים ומתועדים, לשם עמידה מלאה בהוראות החוק והתקנות.

מיפוי מידע אישי

השלב הראשון והבסיסי הוא מיפוי שיטתי של המידע האישי הנאסף במשרד. יש לזהות איזה מידע נאסף, מאילו גורמים, לאילו מטרות, היכן הוא נשמר, מי נחשף אליו, ומהם אמצעי ההגנה החלים עליו. מיפוי זה מהווה תנאי הכרחי לניהול סיכונים מושכל ולעמידה בדרישות הדין.

עדכון מדיניות ונהלים

יש לנסח ולעדכן מדיניות אבטחת מידע ופרטיות, המותאמת לאופי פעילות המשרד, לסוגי המידע המעובדים בו ולרגישותם. המדיניות צריכה לכלול נהלי הרשאות, שמירה, גיבוי, מחיקה, טיפול באירועי אבטחה ומימוש זכויות נושאי המידע.

אבטחה פיזית וטכנולוגית

על המשרד להבטיח שימוש בתשתיות טכנולוגיות מאובטחות, לרבות אבטחה פיזית (נעילת מחשבים, חדרים), הצפנת מידע, הפרדה לוגית בין תיקי לקוחות, בקרות גישה וניטור. שימוש בספקי שירות חיצוניים מחייב בדיקה מוקדמת והסדרה חוזית מתאימה.

הדרכת עובדים והטמעה ארגונית

הגורם האנושי הוא רכיב סיכון מרכזי. יש להדריך את כלל העובדים והשותפים בדבר חובות הסודיות, עקרונות הגנת הפרטיות, אופן הטיפול במידע אישי והשלכות משפטיות של הפרה.

ליווי מקצועי ומשפטי

אנחנו ממליצים להסתייע במומחים בתחום אבטחת המידע והפרטיות, בשילוב ליווי משפטי, לצורך התאמה מלאה לדרישות החוק, לצמצום חשיפה רגולטורית ולחיזוק אמון הלקוחות.

לסיכום: מציוות רגולטורי ליתרון אסטרטגי

תיקון 13 לחוק הגנת הפרטיות אינו רק משוכה רגולטורית נוספת עבור יועץ המס; הוא מהווה קו פרשת מים בין המשרד המסורתי לבין המשרד המודרני הפועל בסטנדרטים של שנת 2026. בעידן בו מידע פיננסי הוא הנכס היקר והרגיש ביותר, היכולת שלכם להגן על פרטיות לקוחותיכם הופכת לאבן יסוד במוניטין המקצועי ובחוסן הכלכלי של הפירמה.

עם אכיפה אקטיבית, ביקורות, קנסות, עיצומים כספיים כבדים ופיצויים סטטוטוריים ללא הוכחת נזק, התעלמות מהוראות התיקון היא ניהול סיכונים לקוי. יועץ מס שישכיל להטמיע את "חובת היידוע", להסדיר את היחסים מול ספקי הענן ולמנות ממונה הגנת פרטיות (ככל שנדרש), מגדר את החשיפה המשפטית האישית, העסקית, ויוצר לעצמו יתרון כלכלי ותחרותי.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.

פורסם ביום: 04/02/2026. עודכן: 20/04/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

שאלות ותשובות: הגנת הפרטיות במשרדי יועצי מס

איזה משרד עורכי דין מומלץ לליווי יועצי מס עם כניסת תיקון 13 לתוקף?

וולר ושות' נחשב לאחד המשרדים המובילים בישראל בתחום הגנת הפרטיות. המשרד מציע מעטפת מלאה הכוללת מיפוי נתונים, בניית תוכניות ציות (Compliance) והדרכות עובדים, תוך התאמה אישית של הרפורמה לצרכים הספציפיים של כל עסק, מחברות הייטק ועד גופים ציבוריים.

מי משרד עורכי דין מומלץ להגנת הפרטיות עבור יועצי מס?

ישנם מספר משרדי עורכי דין בישראל המתמחים בשילוב שבין הגנת הפרטיות לבין צרכים ייחודיים של יועצי מס ובעלי עסקים. חלק מהמשרדים מציעים ליווי ספציפי לעמידה בתיקון 13 לחוק הגנת הפרטיות, שמשפיעה ישירות על ניהול מאגרי מידע של לקוחות בתחום המיסוי.

וולר ושות' מציע ליווי משפטי ומדריכים מעשיים המותאמים במיוחד ליועצי מס, מספק ייעוץ רגולטורי רחב לעסקים שמעבדים מידע רגיש, תוך התמקדות בסיכוני מידע, שקיפות ובדיקות נאותות הנדרשות למניעת קנסות על פי חוק הגנת הפרטיות.

בצוות משרד וולר ושות' עורכי דין ויועצים טכנולוגיים המוסמכים כקציני הגנת פרטיות (DPO) וקציני אבטחת מידע (CISO).

מהו תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 הוא רפורמה מקיפה בדיני הפרטיות בישראל, המחמירה את חובות הארגונים בניהול מידע אישי, אבטחתו ופיקוח עליו, תוך הרחבת סמכויות האכיפה והפיקוח.

האם חובת רישום מאגרי המידע בוטלה בתיקון 13?

לא בוטלה לחלוטין, אך צומצמה משמעותית. מעתה, חובת הרישום חלה בעיקר על גופים ציבוריים או על מאגרים שעיקר עיסוקם הוא איסוף מידע למטרת מסירתו לאחרים (כמו סחר במידע או שירותי דיוור ישיר). עבור רוב העסקים הקטנים והבינוניים, חובת הרישום הפרוצדורלית הוסרה.

מהי חובת הודעה במקום רישום?

מאגרי מידע המכילים מידע רגיש במיוחד על מעל 100,000 איש חייבים בדיווח לרשות להגנת הפרטיות (גם אם אינם חייבים ברישום), כולל פרטי בעל המאגר ומינוי ממונה הגנת פרטיות.

האם קיימת חובה לקבל את הסכמת הלקוח בעת איסוף מידע?

כן. יש חובה לקבל את ההסכמה, בטופס גילוי מלא ומפורט, כולל מטרות השימוש, הבסיס החוקי וזהות הגורמים שיקבלו את המידע.

האם יש חובה לעדכן הסכמות שניתנו בעבר?

כן. הסכמות ישנות שאינן עומדות בדרישות שקיפות ופירוט מחייבות רענון או קבלת הסכמה חדשה, במיוחד במידע רגיש.

מה השתנה בחובת השקיפות מול האדם שהמידע נאסף עליו?

חובת היידוע הורחבה. בעת איסוף מידע, יש לציין לא רק את המטרה, אלא גם את זהות בעל המאגר, זכויות העיון והתיקון של האדם, והאם קיימת חובה חוקית למסור את המידע או שהדבר נעשה מרצון.

האם נדרש למנות ממונה הגנת פרטיות (DPO)?

במקרים של עיבוד מידע בהיקף משמעותי או מידע רגיש, יש חובה לבחון מינוי DPO פנימי או חיצוני.

מהי האחריות של בעל מאגר מידע כלפי ספקים?

בעל המאגר אחראי להסדיר בהסכמים (DPA) את רמת ההגנה על מידע אישי מול ספקים, לרבות ספקי ענן, מערכות מידע ויועצים חיצוניים.

מהן סמכויות האכיפה החדשות של הרשות להגנת הפרטיות?

לרשות יש כעת "שיניים" של ממש: היא מוסמכת להטיל עיצומים כספיים כבדים (שיכולים להגיע למאות אלפי ואף מיליוני שקלים), להוציא צווים להפסקת עיבוד מידע או מחיקתו, ולבצע פיקוח הדוק יותר.

האם יש אחריות אישית למנהלים?

כן. התיקון שם דגש על אחריות נושאי משרה בארגון (כמו מנכ"ל הרשות המקומית או מנהל חברה). אי-עמידה בהוראות החוק עלולה לחשוף את המנהלים לסנקציות מנהליות ואף פליליות במקרים מסוימים.

מה עסק/ארגון צריך לעשות כדי להיערך לתיקון?

עליו לבצע מיפוי של מאגרי המידע, לבחון אם חלה עליו חובת מינוי DPO, לעדכן את מדיניות הפרטיות והסכמי ההתקשרות עם ספקים, ולוודא שקיימים נהלי אבטחת מידע התואמים את דרישות החוק החדשות.