top image

הגנת פרטיות לרואי חשבון: תיקון 13 – מדריך מלא

צוות רואי חשבון בישראל בחדר ישיבות מול נוף תל אביב, דנים ביישום תיקון 13 לחוק הגנת הפרטיות ואבטחת מידע פיננסי

⚖️ הגנת הפרטיות אצל רואי חשבון, בתמצית

תיקון 13 לחוק הגנת הפרטיות מטיל על משרדי רואי חשבון אחריות אישית מחמירה על מאגרי המידע — הכוללים נתוני שכר, מידע רפואי ופיננסי. חובות מינוי DPO, חתימה על הסכמי DPA וביצוע מיפוי מידע תקופתי אינן בגדר המלצה, אלא תנאי סף חוקי למניעת עיצומים כספיים וחשיפה פלילית.

ליווי משפטי אסטרטגי בניהול סיכוני מידע, פרטיות וציות.
04-8661537 📞

 

המידע האישי הוא הנכס היקר ביותר של רואי החשבון. במקביל, הוא מהווה את הסיכון המשפטי המשמעותי ביותר. משרדי רואי חשבון, המנהלים מדי יום הררי מידע פיננסי רגיש, השאלה האם המידע האישי שמור ומאובטח אינה נחלתם של אנשי המחשוב בלבד: זוהי שאלה משפטית, עסקית ואתית מהמעלה הראשונה, הנוגעת ללב ליבה של חובת הנאמנות שלכם כלפי הלקוח. תיקון 13 לחוק הגנת הפרטיות אינו רק שינוי קוסמטי בנוסח החוק; זוהי מהפכה רגולטורית, החושפת את רואה החשבון ומסכנת את העסק.

 

המהפכה כבר כאן: תיקון 13 נכנס לתוקף

ביום 14 באוגוסט 2025 נכנס לתוקפו המלא תיקון 13 לחוק הגנת הפרטיות, תשמ״א-1981, אשר מהווה נקודת מפנה רגולטורית בדיני המידע בישראל. אין מדובר בעדכון טכני או בהקשחת חובות קיימות בלבד, אלא בשינוי תפיסתי יסודי, המעביר את מרכז הכובד מן הרובד התפעולי־טכנולוגי אל הרובד הניהולי־משפטי. המחוקק הישראלי אימץ, הלכה למעשה, את גישת האחריותיות המוגברת המקובלת בדיני הגנת הפרטיות במשפט האירופי (GDPR), כעקרון-על, החולש על כלל מחזור חיי המידע.

משמעותו המעשית של עיקרון זה היא כי האחריות להגנת המידע האישי אינה ניתנת להאצלה. נושאי משרה, שותפים ובעלי שליטה בגוף המחזיק או המעבד מידע, נדרשים ליכולת להוכיח, באופן פוזיטיבי ומתמשך, עמידה בדין. אין עוד די בהתקשרות עם ספק IT, חברת ענן או יועץ אבטחת מידע, ואין עוד הגנה בטענה של כשל ספק או טעות אנוש חיצונית. האחריות חלה על הגוף עצמו כ״נאמן המידע״, ועל מנהליו כמי שמופקדים אישית על שלמותו, סודיותו וזמינותו.

בהקשר זה, תיקון 13 מחדד כי שרשרת העיבוד כולה, החל מאיסוף הנתונים, דרך אחסונם, עיבודם והעברתם, ועד למחיקתם, מצויה תחת אחריות משפטית אחת רציפה. זליגת מידע אצל ספק חיצוני, פרצת אבטחה במערכת הנהלת חשבונות, שימוש לא מבוקר בממשקי רשויות המס או אחסון בלתי מוסדר בשרתי ענן, אינם מהווים אירועים חיצוניים למשרד, אלא כשלי ציות המיוחסים לו במישרין.

 

מדוע משרדי רואי חשבון נמצאים “על הכוונת” של הרשות להגנת הפרטיות?

משרד רואי חשבון אינו עוד גורם תומך בפעילות העסקית של לקוחותיו, אלא מהווה בפועל צומת מידע מרכזי ורב־שכבתי, שבו מתנקזים נתונים פיננסיים, אישיים ורגישים. היקף ועומק המידע המצוי בידי משרד רואי חשבון מהווה “נכס נפיץ”, מידע בעל רגישות מיוחדת:

נתונים פיננסיים: מחזורים, מאזנים, דו”חות כספיים, חובות, רישומי הלוואות והצהרות הון המגלות את כל מצבת הנכסים של אדם. לעיתים נתונים אלו כוללים מחזורי עסקאות, חובות, הסכמים מסחריים, אישורים הנדרשים לצורך פעילות בהון, בעלות על נכסים ועסקאות שנמצאות בשלב קריטי של משא ומתן (ומשכך, זליגה של נתונים אלו עלולה להוביל לחשיפת מידע סודי ואסטרטגי).

נתוני שכר וצדדי ג’: כאשר אתם מנהלים או מבצעים עיבוד שכר שכר עבור לקוחותיכם, אתם מחזיקים במידע אישי על צדדי ג’ – עובדי הלקוח , שמעולם לא נתנו לכם הסכמה ישירה להחזקת המידע. המידע אף כולל מספרי תעודות זהות, פרטי חשבונות בנק, תשלומים פנסיוניים, טפסי 106 ו-101, הפרשות סוציאליות וכו’. לעיתים מדובר גם בנתונים רגישים שנאספים במהלך טיפול בעזבונות, נאמנויות או העברת נכסים בין-דורית.

מידע רפואי וזכויות: מידע זה מגיע משרד רואה החשבון, לעיתים קרובות, באופן עקיף לצורך מיצוי זכויות והטבות מס. הנתונים כוללים מידע רפואי, אחוזי נכות במקרה של זכאות להטבות מס או פטורים שונים. נזכיר שוב כי חוק הגנת הפרטיות, ותיקון 13, מחמירים מאוד עם החזקת מידע רפואי, והדבר מהווה קריטריון מרכזי בחובת המינוי של ממונה הגנת פרטיות (DPO).

נתונים שנאספו מכוח חובה חוקית: לדוגמה, מידע שנאסף מכוח חובות ‘הכר את הלקוח’, אישורים מכוח החוק לאיסור הלבנת הון, אישורים סטטוטוריים המתייחסים לעוסק מורשה, ועוד.

נתוני התנהגות ותקשורת: כחלק מהניהול השוטף, נשמרים במשרד פרטי כרטיסי אשראי, רישיונות רכב, והתכתבויות דואר אלקטרוני. עצם העברת המידע מהלקוח אליכם אינה מהווה הסכמה אוטומטית לעיבודו, להפצתו, לשימוש בו ע”י צדדי ג’ (לרבות בתוכנה או ע”י רואה חשבון הנותן שירות כפרילנסר), או לשימוש בו מעבר למטרה המוגדרת.

 

ממונה הגנת הפרטיות (DPO): האם אתם חייבים במינוי?

אחד החידושים הדרמטיים בתיקון 13 הוא המעמד החוקי של ממונה על הגנת הפרטיות (Data Protection Officer). חובת המינוי חלה כעת במקרים של עיבוד מידע ברגישות מיוחדת בהיקף ניכר, או כאשר פעילות המשרד כוללת ניטור שיטתי של אנשים.

הממונה על הגנת הפרטיות אינו “פקיד ציות” ואינו גורם סמלי. תפקידו כולל גיבוש והטמעה של מדיניות הגנת מידע, ביצוע ביקורות תקופתיות, ליווי תהליכים עסקיים עתירי סיכון, פיקוח על התקשרויות עם ספקים חיצוניים, והכנת הארגון להתמודדות עם אירועי אבטחת מידע. מעמדו הייחודי נועד לאפשר לו עצמאות מקצועית, גישה ישירה להנהלה, ויכולת להתריע על כשלים גם כאשר הדבר אינו נוח ניהולית.

מתי חלה חובת מינוי ממונה הגנת הפרטיות (DPO) על רואה חשבון?

עיבוד מידע ברגישות מיוחדת בהיקף ניכר: אם המשרד מנהל מאגרי מידע הכוללים נתונים פיננסיים או אישיים רגישים בקנה מידה רחב.

ניטור שיטתי: גופים המבצעים מעקב או ניטור שוטף אחר בני אדם.

סחר במידע: כאשר מאגר המידע נועד למסירת מידע לצדדים שלישיים כחלק מהפעילות העסקית.

אולם: גם אם משרדכם אינו מחויב פורמלית במינוי, הרשות להגנת הפרטיות ממליצה על מינוי וולונטרי כ-“Best Practice”. ממונה כזה מחזק את אמון הלקוחות, מצמצם סיכונים משפטיים ומשמש כנקודת קשר רשמית מול הרשות. במשרד וולר ושות’, אנו רואים שמינוי ממונה – בין אם פנימי ובין אם חיצוני כחלק משירותי ריטיינר – הוא הרבה מעבר לדרישת חוק יבשה. הממונה הוא הגורם המקצועי שמוודא שהמשרד עומד בסטנדרטים, עורך ביקורות תקופתיות, ומהווה “שכפ”ץ משפטי” ואמינותי מול הרשויות ומול הלקוחות. עבור משרדים המנהלים נתוני שכר של מאות עובדים, מינוי DPO הופך לעיתים מחובה מוסרית לחובה רגולטורית מובהקת.

 

רשימת צעדי חובה לרואה החשבון (צ’ק ליסט אסטרטגי)

  • בצעו מיפוי נכסי מידע ואפיון: ערכו סקר מקיף לאיתור כלל מקורות המידע במשרד. החל מהשרת המקומי, דרך התוכנות ב-“ענן” ועד לגיבויים חיצוניים. אפיינו את זרימת המידע לפי רגישות המידע, מספר מורשי הגישה, תחומי העיסוק ופרופיל הלקוחות כדי לזהות נקודות תורפה.

  • עדכנו חובות דיווח ורישום מאגרים: בצעו בחינה מחודשת של מאגרי המידע הקיימים.

  • הסדירו חוזית את ניהול הספקים (DPA): זכרו כי האחריות המשפטית נשארת אצלכם גם כשהמידע מאוחסן במיקור חוץ. חתמו על הסכם עיבוד נתונים (DPA) מחייב מול כל ספק ענן או תוכנה, המוודא עמידה בתקני אבטחה מחמירים.

  • גבשו מדיניות פרטיות ונהלי אבטחה: נסחו מסמכי מדיניות פנימיים וחיצוניים המותאמים אישית למבנה המשרד שלכם. נהלים אלו הם “קו ההגנה הראשון” שלכם מול ביקורת של הרשות להגנת הפרטיות.

  • בחנו מינוי ממונה הגנת פרטיות (DPO): העריכו האם היקף המידע הרגיש במשרדכם מחייב מינוי DPO. גם ללא חובה פורמלית, מינוי ממונה (חיצוני או פנימי) משמש כ”שכפ”ץ משפטי” ואמינותי מול הלקוחות והרגולטור.

  • שדרגו את מערכות האבטחה הטכנולוגיות: הטמיעו כלי ניטור ותיעוד פעולות, הצפנת נתונים והפרדה לוגית בין מאגרים. צעדים אלו קריטיים למניעת זליגת מידע ופגיעה בזכויות הפרטיות של הנישומים.

  • העבירו הדרכות עובדים: חזקו את החוליה האנושית במשרד. קיימו הדרכות תקופתיות להעלאת המודעות לשמירה על סודיות, כחלק בלתי נפרד מהאתיקה המקצועית ודרישות הציות החדשות.

  • אמצו טכנולוגיית “פרטיות כברירת מחדל”: עברו לפתרונות מחשוב המאפשרים הפרדה מוחלטת בין נתוני לקוחות שונים ועומדים בתקני אבטחה בינלאומיים, כדי להבטיח שכל תהליך עבודה מוגן מראשיתו.

האם כבר הסדרתם את הסכמי ה-DPA (Data Processing Agreement)?

הסדרת היחסים החוזיים מול ספקי תוכנות חישוב, הכנת דו”חות כספיים ומילוליים, תוכנות עיבוד שכר, שירותי דוא”ל ושירותים בענן – היא הדרך היחידה להסיר מכם אחריות אישית, מנהלית ופלילית.

במקרה של זליגת מידע, או אי עמידה בהוראות החוק מצד הספק החיצוני, היעדר חוזה עיבוד נתונים תקין חושף את השותפים במשרד רואה החשבון ל-

  • קנסות מנהליים כבדים (עד 800,000 ש”ח).
  • תביעות נזיקין, ללא הוכחת נזק.
  • אחריות פלילית אישית של נושאי משרה במשרד.

 

האם ספקי התוכנה מגנים על רואה החשבון – או רק על עצמם?

רוב משרדי רואי החשבון בישראל נשענים על תוכנות לניהול שכר, הנהלת חשבונות (“חשבשבת”, “שקל”), שירותי ענן (Dropbox, Google Drive), תיבות דוא”ל חינמיות (Gmail), ומערכות דיוור.

החובה המשפטית, ונדמה שגם האתית, אינה מסתיימת בלחיצה על אישור תנאי השימוש (Terms of Service) הגנריים של חברות הענן או התוכנה. הסכמים אלו מנוסחים בדרך כלל כדי להגן על הספק ולצמצם את אחריותו במקרה של דליפת מידע. לפיכך, תקנות הגנת הפרטיות (תקנה 15) מחייבת את המשרד לנסח הסכם משפטי – DPA, המוודא שהספק החיצוני מתחייב לשמור על אותה רמת אבטחת מידע ופרטיות, החלה על רואה החשבון. החל אמצעים מקובלים לשמירת ואבטחת המידע, חובת דיווח מיידית אליכם על אירוע אבטחה, פירוט אמצעי ההצפנה והפרדת המידע, ביצוע ביקורות תקופתיות על אופן שמירת המידע, ועוד.

זכרו: כשהרשות להגנת הפרטיות תחקור דליפת מידע, שארעה באופן מכוון או בטעות, היא לא תסתפק בתירוץ ‘זה שמור בענן’. היא תבקש לראות את ה-DPA החתום שמוכיח כי ביצעתם ‘בדיקת נאותות’ (Due Diligence) לפרטיות. ללא הסכם מותאם אישית שמעגן את אחריות הספק, המשרד שלכם נותר בחזית המשפטית לבדו, חשוף לעיצומים כספיים, לתביעות נזיקין, ללא יכולת שיבוב אפקטיבית כלפי הספק.

 

הטמעת “פרטיות כברירת מחדל” (Privacy by Design) 

תיקון 13 אינו מסתפק ב”פלסטר” של נהלים משפטיים חיצוניים; הוא דורש מרואה החשבון לאמץ את גישת ה-Privacy by Design. משמעות הדבר היא שכל תהליך עבודה במשרד – דוגמת מקליטת לקוח חדש, עדכון לקוחות ותיקים, חידוש אתר האינטרנט, העברת דו”חות לרשויות, אימוץ מערכות תוכנה חדשות (דוגמת CRM) וכו’ – חייב להיבנות מראש תוך התחשבות במזעור הפגיעה בפרטיות. עבור משרד רואי החשבון, זהו שינוי דרמטי בשיטות העבודה: לא עוד שמירת מסמכים “ליתר ביטחון”, אלא יישום עקרון מזעור הנתונים.

בנוסף לכך, יש לבצע תסקיר השפעה על הפרטיות (DPIA) לפני הטמעת כל כלי טכנולוגי חדש. לדוגמה, אם המשרד החליט להשתמש בבינה מלאכותית (AI) לניתוח מאזנים, או לעבור למערכת CRM המנהלת את קשרי הלקוחות – האחריות המקצועית שלכם היא לבחון מראש היכן המידע נשמר, למי יש גישה אליו, וכיצד הוא נמחק כשאינו נחוץ עוד. משרד עו”ד וולר ושות’ מסייע לכם להפוך את הציות לחלק בלתי נפרד מתזרים העבודה (Workflow), כך שהגנת הפרטיות לא תפגע ביעילות, אלא תהווה תו איכות מקצועי המבטיח ללקוח שהנתונים הרגישים שלו נמצאים בידיים המאובטחות ביותר.

 

פרוטוקול “תגובה לאירוע”: חובת הדיווח במקרה של פגיעה באבטחת המידע / הפרטיות

אחת החובות המחמירות ביותר בחוק הגנת הפרטיות, היא חובת הדיווח על אירוע אבטחה חמור. דמיינו מצב שבו תיבת הדוא”ל של אחד השותפים נפרץ במהלך סוף שבוע, או שדיסק-און-קי המכיל הצהרות הון של לקוחות אסטרטגיים אובד, או שספק התוכנה מודיע שהיתה פריצה לשרת שלו/שלכם, והוא נתון תחת מתקפת כופר. במקרה כזה, השעון מתחיל לתקתק. החוק דורש דיווח לרשות להגנת הפרטיות בלוחות זמנים קצרים מאוד. ואי-עמידה בחובה זו עלולה להפוך לסנקציות פליליות וקנסות מנהליים כבדים, עד כדי השבתת הפעילות של המשרד.

משרד רואי חשבון ללא פרוטוקול תגובה לאירוע, כתוב ומוטמע, דומה לבניין ללא מטפי כיבוי. הפרוטוקול שאנו בונים עבורכם מגדיר במדויק מי הגורם במשרד שמרכז את הטיפול, באילו מקרים חלה חובת דיווח לרשות (וללקוחות), וכיצד מתעדים את הפעולות שננקטו כדי לצמצם את הנזק. הוכחת קיומו של נוהל כזה היא ההגנה הטובה ביותר שלכם מול הרגולטור. היא מוכיחה שפעלתם באחריות, ולא ברשלנות. מטרתנו היא לוודא שב”שעה הראשונה” של המשבר, המשרד שלכם יפעל כמכונה משומנת, הממזערת חשיפה משפטית ופגיעה במוניטין שצברתם לאורך שנים.

 

האתיקה המקצועית פוגשת את החוק

תקנות האתיקה של רואי החשבון בישראל עיגנו מאז ומתמיד חובת סודיות קפדנית, הנגזרת מיחסי האמון שבין בעל המקצוע ללקוח. חובת הסודיות נתפסה לאורך שנים כחובה נורמטיבית־מקצועית, שהפרתה נבחנת בעיקר במישור המשמעתי, באמצעות מנגנוני הביקורת והאכיפה של מועצת רואי החשבון. תיקון 13 לחוק הגנת הפרטיות משנה מן היסוד את נקודת האיזון הזו, ומעביר את חובת הסודיות מעולם האתיקה בלבד אל זירת הציות הרגולטורי המחייב.

במצב המשפטי החדש, אותה התנהלות שבעבר הייתה עשויה להוביל להליך משמעתי פנימי, עלולה כיום להיחשב כהפרה של הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. המשמעות המעשית היא הרחבת מעגל החשיפה של המשרד: לא עוד אחריות מקצועית כלפי המועצה בלבד, אלא גם אחריות מנהלית ואף פלילית, הנתונה לסמכויות האכיפה של הרשות להגנת הפרטיות. סמכויות אלו כוללות דרישות לתיקון ליקויים, עיצומים כספיים משמעותיים, פרסום פומבי של הפרות, ובמקרים חמורים גם פתיחה בהליכים אישיים נגד נושאי משרה.

השילוב בין האתיקה של רואי החשבון, לדין הרגולטורי, יוצר סטנדרט חדש של אחריות. רואה החשבון אינו נמדד עוד רק בשאלה האם פעל ביושר מקצועי, אלא האם המשרד ניהל בפועל מערך מסודר של הגנת מידע: מדיניות כתובה, בקרות, הסכמים עם ספקים, הרשאות גישה, תיעוד והדרכה. תיקון 13 מטשטש את הגבול בין “טעות מקצועית” לבין “כשל ניהולי”, ומבהיר כי שמירה על סודיות אינה עקרון ערכי בלבד, אלא חובת ציות אקטיבית, הנבחנת בעיני רגולטור חיצוני ובסטנדרטים מחמירים של ממשל תאגידי.

 

ממונה הגנת הפרטיות (DPO) במיקור חוץ – הפתרון המעשי למשרדי רואי חשבון

תיקון 13 מחייב חלק ממשרדי רואי החשבון במינוי ממונה הגנת פרטיות. אולם, לא כל משרד נדרש להעסיק דמות כזו במשרה מלאה, ולא כל משרד יכול להרשות לעצמו את העלות. כאן נכנס מודל ה-DPO חיצוני (DPO as a Service): הסדר שבו עורך דין מוסמך, בעל התמחות בדיני הגנת הפרטיות, ממלא את תפקיד הממונה עבורכם — במסגרת ריטיינר קבוע, ללא עלות של עובד בכיר נוסף.

מה כולל שירות DPO חיצוני למשרד רואי חשבון?

DPO חיצוני אינו “חותמת ציות”: הוא גורם פעיל השותף לניהול המשרד. בפועל, הוא מבצע מיפוי ראשוני של מאגרי המידע (נתוני לקוחות, שכר, מס ומידע רפואי רגיש) וסיווגם לפי רמת רגישות; מנסח ומעדכן את מדיניות הפרטיות, הסכמות הלקוח, ותנאי ניהול המאגרים; בוחן ומחתים ספקים (תוכנות ענן, מערכות הנהלת חשבונות, שירותי גיבוי)  על הסכמי DPA תואמי חוק; מכין את המשרד לביקורות הרשות להגנת הפרטיות; ומשמש כנקודת קשר רשמית מול הרשות ומול לקוחות שמממשים את זכויותיהם לעיון, תיקון או מחיקת מידע. בנוסף, הוא מדריך את צוות המשרד ומוודא שכל שינוי תהליכי נבחן תחילה דרך עדשת הפרטיות.

למה DPO חיצוני עדיף על DPO פנימי למשרד רואי חשבון ממוצע?

רואה חשבון בכיר שמתמנה ל”ממונה פרטיות” מתוך הצוות הפנימי, מחזיק בניגוד עניינים מובנה: הוא אינו יכול לבקר את עצמו. DPO חיצוני מספק עצמאות מקצועית אמיתית, ידע משפטי עדכני, וניסיון רוחבי ממגוון ארגונים. אלו  יתרונות שאיש צוות פנימי לרוב אינו מסוגל לספק. עבור משרד המנהל עיבוד שכר, ייעוץ מס ועבודה עם מאגרי לקוחות – זוהי ההגנה הנכונה.

 

לסיכום

משרדי רואי חשבון הפועלים כיום ללא מיפוי מלא של מאגרי המידע, ללא נהלי עבודה עדכניים וללא גורם אחראי מובהק להגנת הפרטיות, חשופים לסיכון מצטבר. סיכון זה אינו מתמצה בקנסות או בסנקציות פורמליות, אלא כולל פגיעה במוניטין, אובדן לקוחות והעמדת נושאי המשרה במצב של אחריות אישית. תיקון 13 מבהיר כי ציות אינו תגובה לאירוע, אלא תהליך מתמשך של ניהול, בקרה והוכחת אחריות.

משרד עורכי הדין וולר ושות’ מלווה משרדי רואי חשבון וגורמים מקצועיים נוספים בגיבוש מעטפת ציות מלאה: מיפוי וסיווג מאגרי מידע, ניסוח והטמעת נהלי פרטיות ואבטחת מידע, ליווי בהתקשרויות עם ספקים חיצוניים, וכן מינוי ממונה על הגנת הפרטיות, בהתאם להיקף הפעילות ולמאפייני הסיכון של המשרד. אנו מזמינים אתכם לפגישת ייעוץ אסטרטגית, שמטרתה בחינת רמת המוכנות הרגולטורית של המשרד, זיהוי פערים והצגת פתרונות ישימים.

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כמומנה הגנת הפרטיות (D.P.O) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם ביום: 02/02/2026. עודכן ביום 26/03/2026.

תחום: הגנת הפרטיות ואבטחת מידע.

 

האם כל משרד רואי חשבון חייב במינוי DPO לפי תיקון 13?

לא כל משרד חייב פורמלית, אך חלק גדול כן. חובת המינוי חלה כאשר מתקיים אחד מאלה: עיבוד מידע ברגישות מיוחדת בהיקף ניכר; ניטור שיטתי של אנשים; או מסירת מידע לצדדים שלישיים כחלק מהפעילות העסקית. משרד המנהל עיבוד שכר לעשרות חברות – עם נתוני תעודות זהות, חשבונות בנק, מידע רפואי ואחוזי נכות – עומד בתנאים אלו ברוב המקרים. גם משרדים שאינם חייבים פורמלית, מומלץ מינוי וולונטרי כ-Best Practice.

האם תוכנת הנהלת החשבונות שלנו בענן פוטרת אותנו מאחריות?

לא. זה אחד המיתוסים המסוכנים ביותר. תיקון 13 קובע במפורש שהאחריות נשארת אצלכם כ”בעל השליטה במאגר” – גם כשהמידע מאוחסן אצל ספק ענן. אם הספק נפרץ, סבל מדליפה, או לא עמד בתקני אבטחה, האחריות המשפטית היא שלכם.

הדרך להגן על עצמכם: חתמו על הסכם DPA מחייב עם כל ספק ענן ותוכנה, הכולל ערבויות אבטחה ומנגנון דיווח על אירועים.

האם המשרד שלי עדיין חייב ברישום מאגרי מידע?

לא, חובת הרישום עבור מרבית המאגרים בוטלה. במקומה קיימת חובת הודעה לרשות להגנת הפרטיות עבור מאגרים מסוימים (כגון מאגרי מידע של גופים ציבוריים, סוחרי מידע, או מאגרים הכוללים מידע רגיש בהיקף נרחב).

מהו מידע בעל רגישות מיוחדת לפי תיקון 13?

ההגדרה הורחבה וכוללת כעת מידע על צנעת אישיותו של אדם, מצב כלכלי, נתונים גנטיים, ביומטריים, דעות פוליטיות, עבר פלילי ונתוני מיקום.

עבור רואי חשבון, מידע על מצב כלכלי ושכר עובדים נחשב למידע רגיש.

לקוח ביקש שנמחק את כל המידע שלו - מה אנחנו מחויבים לעשות?

אתם מחויבים לבחון את הבקשה ולמחוק מידע שאינו נדרש עוד לצורך המטרה שלשמה נאסף, אך לא מידע שאתם מחויבים לשמור לפי חוק (למשל, מסמכים לצורכי מס לתקופת ההתיישנות). חשוב: יש להגיב לבקשה בתוך 30 יום, לתעד את ההחלטה ואת הנימוק, ולהודיע ללקוח האם הבקשה אושרה או נדחתה ומדוע.

האם נדרשת הסכמה מפורשת לשמירת נתוני זיהוי ביומטריים של עובדים?

כן. השימוש במידע ביומטרי (כמו טביעת אצבע לשעון נוכחות) מחייב שקיפות מלאה, הסכמה חופשית ואבטחה מוגברת בשל הגדרתו כמידע רגיש במיוחד.

כיצד התיקון משפיע על ניהול מידע של עובדים לשעבר?

חלה חובה למחוק מידע שאינו נחוץ עוד למטרה שלשמה נאסף. רואי חשבון צריכים לבחון אילו מסמכים (כמו קורות חיים של מועמדים שלא התקבלו) יש למחוק ואילו לשמור לפי תקופות התיישנות סטטוטוריות.

עובד שעבד אצלנו עזב - האם אנחנו יכולים לשמור את המידע שלו?

כן, אך לא ללא הגבלה. שיקולי ההתיישנות (7 שנים) מצדיקים שמירת חלק מהמידע לצרכים משפטיים, אך עיקרון צמצום המידע מחייב למחוק מידע שאינו נדרש עוד. המלצה: גבשו מדיניות שמירה ומחיקה פורמלית הקובעת אילו מסמכים נשמרים, לכמה זמן, ומי אחראי על הביצוע. היעדר מדיניות כזו עצמו עלול להיחשב כשל ציות.

האם אנחנו צריכים לבקש הסכמה מחדש מכל לקוחות הקיימים?

לאו דווקא. אם קיבלתם הסכמה שמתאימה לדרישות תיקון 13 (ספציפית, מפורשת, מודעת לכל מטרות העיבוד), היא עשויה להיות תקפה. אם ההסכמה הקיימת מנוסחת בסעיף כללי בחוזה שירות – יש להניח שאינה עומדת בסטנדרט החדש ויש לחדש אותה. בדיקת תוקף ההסכמות הקיימות היא אחת המשימות הראשונות ש-DPO חיצוני מבצע.

מהן הדרישות החדשות לגבי הודעת פרטיות?

יש למסור לאדם הודעה מפורטת בעת איסוף המידע: מה נאסף, למרבה המטרה, למי הוא מועבר, האם קיימת חובה חוקית למסרו, ומה המשמעות אם המידע לא יימסר.

האם ניתן להשתמש במידע שנאסף לשכר למטרות שיווק או פרסום?

לא. התיקון מעגן את עיקרון צמידות המטרה. אסור להשתמש במידע למטרה שונה מזו שעבורה נאסף במקור ללא הסכמה מפורשת וחדשה.

מה קורה אם ספק חיצוני שאנחנו עובדים איתו נפרץ?

יש לדווח לרשות להגנת הפרטיות בתוך 72 שעות מרגע שנודע לכם על הפרצה – אם קיים סיכון לזכויות הנושאים. אי-דיווח בזמן עלול להוות הפרה עצמאית. בנוסף, עליכם להודיע לנושאי המידע שנפגעו, ולתעד את האירוע במלואו. לכן חשוב לכלול בכל הסכם DPA עם ספקים חובת דיווח מיידית אליכם על כל חשד לאירוע.

האם הדרכת עובדים בנושא הגנת פרטיות היא חובה?

כן. הרשות להגנת הפרטיות בוחנת האם הארגון קיים הדרכות, הטמיע נהלים ואכף אותם פנימית. כשל בהגנה על מידע שנגרם מחוסר הדרכה – יכול להיחשב כרשלנות של נושאי המשרה. המלצה: קיימו הדרכה שנתית מסודרת ותעדו את השתתפות העובדים.

האם מותר לעשות שימוש בכלי AI לניתוח מסמכי לקוחות?

שאלה שרואי חשבון רבים שואלים ב-2026 – והתשובה לא פשוטה. שימוש בכלי AI שמעלה נתוני לקוחות לשרתים חיצוניים עלול להיחשב “העברת מידע למעבד” – ודורש הסכם DPA, בחינת מדיניות הפרטיות של הספק, ובחינת מיקום השרתים. שימוש בגרסאות Enterprise עם התחייבות לאי-שימוש בנתונים לאימון, בטוח יותר, אך עדיין דורש בחינה.

הדרך הנכונה: קבלו חוות דעת משפטית לפני שמשתמשים בכלים אלו עם נתוני לקוחות.

מה גובה הסנקציה אם לא נעמוד בדרישות תיקון 13?

הרשות מוסמכת להטיל קנסות כבדים שיכולים להגיע לעד 3.2 מיליון ש”ח לתאגיד, בהתאם לחומרת ההפרה ומחזור העסקאות. בנוסף: פרסום שם הארגון המפר (“אכיפה בפרסום”) – נזק מוניטין שעלול לפגוע קשות במשרד רואי חשבון המבוסס על אמון. במקרים חמורים, הגשת כתב אישום פלילי. ומעבר לכל אלה: תביעות אזרחיות מלקוחות שנפגעו.

כמה עולה שירות DPO חיצוני למשרד רואי חשבון, ומה הוא כולל?

העלות תלויה בהיקף המשרד, מספר הלקוחות ורמת המורכבות. אך בדרך כלל מדובר בריטיינר חודשי קבוע, נמוך משמעותית מעלות עובד בכיר. השירות כולל: מיפוי מאגרים ראשוני, ניסוח מדיניות פרטיות ותנאי שירות, בחינת הסכמי ספקים (DPA), ליווי שוטף לאורך השנה, טיפול בבקשות נושאי מידע, ומענה לביקורות הרשות. לפרטים ולהצעת מחיר מותאמת — 04-8661537 או WhatsApp.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign