ציות לחוק הגנת הפרטיות במשרדי רואי חשבון

מאת: אלי דורון, עו"ד

24/8/2025

עמידה בחוק הגנת הפרטיות במשרדי ראיית חשבון

חוק הגנת הפרטיות וחובת הציות במשרדי רו”ח

מידע רגיש בידי רואי חשבון - הדגשים ייחודיים למשרדי רו”ח

הנחיות מפתח לציות – מה חייבים ליישם במשרד רו”ח?

• רישום מאגרי מידע: כל מאגר מידע ממוחשב המכיל מידע אישי על אנשים (למשל רשימת לקוחות, רשומות שכר, נתוני עובדים) חייב ברישום אצל רשם מאגרי המידע שבrהרשות להגנת הפרטיות, אלא אם כן חל פטור ספציפי. בפועל, מרבית משרדי רו”ח המחזיקים רשימות ממוחשבות אכן מחויבים ברישום מאגר. חשוב לציין שברפורמה חדשה (תיקון 13, אוגוסט 2025) צומצמה חובת הרישום – מעתה רק מאגרים גדולים במיוחד, ציבוריים או כאלה המכילים נתונים רגישים במיוחד יחויבו ברישום, ואחרים יחויבו במתן דיווח בלבד לרשות . למרות ההקלה הצפויה, אין בכך כדי לבטל את שאר החובות: יש להמשיך ולרשום או לדווח כנדרש, ולהגן על המידע ללא פשרות. אי-רישום מאגר כשנדרש מהווה itself הפרת חוק.
• אבטחת מידע במאגרי הלקוחות: על פי החוק ותקנות הגנת הפרטיות (אבטחת מידע), שחלו החל ממאי 2018, חייב כל ארגון לנקוט אמצעי אבטחה הולמים – מנהליים, פיזיים וטכנולוגיים – כדי למנוע דליפת מידע, גישה בלתי מורשית או שימוש לרעה במידע האישי שבידיו. התקנות מגדירות שלוש רמות אבטחה (בסיסית, בינונית וגבוהה) לפי רגישות וכמות המידע; משרד רו”ח, המטפל כאמור בנתונים פיננסיים ואישיים בהיקף משמעותי, ייפול לרוב תחת קטגוריית אבטחה בינונית או גבוהה, ומחויב בדרישות מחמירות יחסית. בין היתר יש ליישם בקרות גישה (סיסמאות חזקות, הרשאות לפי תפקיד), להצפין מידע רגיש, לגבות נתונים באופן מאובטח, להתקין אמצעי הגנה מפני פריצות (כגון חומת אש, אנטי-וירוס) ולנהל יומן אירועים במערכת המידע. אמצעים אלו ועוד נכללים בתוכנית הגנת הסייבר שחובה להטמיע במשרד. זכרו: סעיף 17 לחוק מטיל על בעל מאגר חובת אבטחה סבירה, ועמידה בדרישות התקנות נבחנת כיום בקפידה על ידי הרשות להגנת הפרטיות.
• שקיפות וחובת יידוע: עיקרון השקיפות דורש ליידע כל אדם שהמידע שלו נאסף במהלך איסופו. חובה זו, הקרויה גם חובת הודעת פרטיות, מחייבת את המשרד למסור לנושאי המידע (לקוחות, עובדים וכו’) הודעה הכוללת את פרטי הבעלים של המאגר, מטרות איסוף המידע, למי יימסר המידע, ואילו זכויות יש לאותו אדם ביחס למידע. לדוגמה, כאשר לקוח חדש מצטרף ומוסר לכם פרטים אישיים, יש לספק לו במעמד זה (או במסמך ההתקשרות) הודעה מסודרת על מדיניות הפרטיות: מה אתם עושים במידע, כמה זמן תשמרו אותו, האם תעבירו אותו לגורם שלישי (למשל לרשות המסים או לשירות עיבוד שכר חיצוני) וכיו”ב. תיקוני החוק האחרונים אף הרחיבו את חובת הגילוי – כיום מצופה לפרט בהודעה גם פרטים כמו בסיס החוקיות לעיבוד המידע ופרטי קשר לממונה הפרטיות, במידה ומונה כזה בארגון. שקיפות בונה אמון: לקוחות יעריכו משרד שמתקשר עימם בגלוי לגבי השימוש בנתוניהם.
• הסכמה של הלקוחות: איסוף ועיבוד מידע צריכים להיעשות בהסכמת נושא המידע, למעט במקרים בהם החוק מתיר עיבוד ללא הסכמה (כגון למילוי חובה חוקית) . באופן מעשי, כשלקוח מוסר לכם מרצונו מידע לצורך קבלת שירותי ראיית חשבון, הסכמתו לעיבוד למטרה זו היא בגדר “הסכמה מכללא”. אולם, אם תרצו להשתמש במידע למטרה נוספת – למשל לשלוח ללקוח חומר שיווקי, להעביר את פרטיו לשותף עסקי, או לפרסם case study המבוסס על נתוניו – תידרשו לקבל ממנו הסכמה מפורשת ונפרדת. בכל מקרה, ההסכמה צריכה להיות מדעת (כלומר אחרי שנמסר לאדם מידע כנדרש על מהות העיבוד) ובכתב במצבים רגישים. הכלל הוא פשוט: מה שלא הוסכם עליו – אסור לעשות. עדיף להתייעץ מראש ולקבל אישור מאשר לעמוד בפני טענה של פגיעה בפרטיות בדיעבד.
• זכויות הלקוחות במידע: לפי חוק הגנת הפרטיות, לכל אדם יש זכויות לגבי המידע האישי עליו במאגריכם. בין הזכויות: זכות עיון – הזכות לדעת אם שמו כלול במאגר ואם כן לעיין בו; זכות תיקון – לבקש תיקון או עדכון פרטים שגויים; זכות מחיקה – במקרים מסוימים, למשל אם המידע משמש לדיוור ישיר, אדם יכול לבקש להסירו (נקראת “זכות להתנגד לדיוור” או “זכות להישכח” בהשראת ה-GDPR). חובתכם היא לאפשר ללקוחות לממש זכויות אלה בקלות ובמהירות. יש למנות איש קשר במשרד לטיפול בפניות כאלה, לתעד כל בקשה ולטפל בה במסגרת הזמן הקבוע בחוק. גם את זכויות הלקוח יש לכלול בהודעת הפרטיות שניתנת לו בעת איסוף המידע. התעלמות מבקשת לקוח לעיין או לתקן מידע עלולה להוביל לצעדים משפטיים נגד המשרד, ולכן רצוי להיערך לנושא מבעוד מועד עם נוהל טיפול מסודר.
• הסכמים עם צדדים שלישיים: משרדי רו”ח רבים מסתמכים על שירותים חיצוניים – למשל שירותי עיבוד שכר, ספקי תוכנות הנהלת חשבונות בענן, שירותי אחסון וגיבוי, מיקור חוץ של IT וכן הלאה. חשוב להבין כי בכל מקרה שבו גורם חיצוני מקבל גישה למידע אישי מהמשרד (אפילו זמנית), המשרד נשאר האחראי הראשי כלפי הלקוח. לכן, חובה לוודא בהסכם עם כל ספק חיצוני כזה שהוא מתחייב לעמוד בכל דרישות חוק הגנת הפרטיות ותקנותיו. למעשה, תקנות אבטחת המידע מגדירות ספק חיצוני כ”מחזיק” במאגר המידע, והן קובעות שורה של חובות גם עליו. אך אתכם כלקוחות של אותו ספק מעניין להבטיח שהספק יקיים: אבטחה נאותה (לדוגמה, הצפנת הנתונים בענן), שימוש במידע רק למטרה שלשמה נמסר לו, אי-העברה של המידע לאחר ללא אישור, מחיקה והחזרה של המידע בתום ההתקשרות, וסיוע לכם בעמידה בדרישות החוק. ודאו שהסכמי השירות שלכם עם חברות תוכנה, שירותי ענן וספקי משנה כוללים סעיפי סודיות והגנת פרטיות מפורטים, ואף שקלו להחתים ספקים מרכזיים על נספח “עיבוד מידע” מיוחד. צעד זה יגן עליכם במקרה של תקלה או דליפה כתוצאה ממחדל של הספק.
• הדרכת עובדים ומודעות: בסופו של דבר, החוליה החלשה ביותר בכל שרשרת אבטחה היא הגורם האנושי. עובדי המשרד נחשפים ביום-יום למידע רגיש של לקוחות, ולכן עליהם להפנים את אחריותם לשמור עליו בסודיות ובזהירות. מומלץ לקיים הדרכות תקופתיות לצוות בנושאי הגנת פרטיות ואבטחת מידע – ללמד על נהלי המשרד בנושא, על איסורים (כמו להוציא מידע מהמשרד ללא הרשאה, או להשתמש במידע של לקוח לצרכים אישיים), על דרכי זיהוי הונאות ופישינג, ועל פעולות מיידיות במקרה של חשש לאירוע אבטחה. תרבות ארגונית של ציות מתחילה בהעלאת מודעות העובדים לחשיבות השמירה על פרטיות הלקוחות. דרישה מכל עובד לחתום על הסכם סודיות היא צעד הכרחי, אבל לא מספק – יש לוודא שהם גם מבינים ומיישמים אותו הלכה למעשה. השקעה בהדרכות ובמשמעת פרטיות פנימית תקטין מאוד את הסיכון לדליפת מידע אנושית (למשל, שליחת מייל שגוי עם מידע רגיש).

סנקציות ואכיפה: מה קורה אם לא מצייתים?

• קנסות מנהליים ועיצומים כספיים: לאחר הרפורמה העדכנית, הרשות להגנת הפרטיות מוסמכת להטיל עיצומים כספיים גבוהים על מפרי החוק, אפילו ללא הליך משפטי מלא. לפי תיקון 13 לחוק (2025), גובה הקנס המנהלי יכול להגיע למיליוני שקלים במקרים החמורים. בעבר, הקנס המנהלי המקסימלי עמד על 25,000 ש”ח לעבירה; אך החוק תוקן דרמטית וכיום ניתן להטיל קנסות בסכומי עתק שמשקפים את חומרת ההפרה וגודל הארגון. למשל, דליפת מידע רפואי או פיננסי רגיש או הפרה שיטתית של חובות שקיפות עלולות להצדיק קנס קרוב למקסימום. חשוב: בחלק מהעיצומים אין לרשות חובה לתת למפר הזדמנות “לתקן את ההפרה” לפני הקנס , מה שמגביר את הצורך במניעה מוקדמת.
• תביעות אזרחיות ופיצויים לנפגעים: חוק הגנת הפרטיות מאפשר לכל אדם שנפגע מהפרת פרטיותו לתבוע פיצויים, ובמקרים מסוימים אף פיצוי ללא הוכחת נזק (עד 50,000 ש”ח לכל הפרה, סכום שמתעדכן מעת לעת). המשמעות היא שגם אם הלקוח לא יכול לכמת נזק כספי ישיר מדליפת פרטיו – בית המשפט רשאי לפסוק לו פיצוי על עצם הפגיעה בפרטיות ובסודיות. בתי המשפט بالفعل פסקו בשנים האחרונות פיצויים נכבדים במקרים של פרסום פרטים אישיים ללא רשות, דיוור ספאם בניגוד לחוק, וכדומה. בנוסף, תובענות ייצוגיות מהוות איום ממשי: קבוצה גדולה של נפגעים (למשל, כל הלקוחות שהמידע שלהם דלף) יכולה להתאגד ולהגיש תביעה ייצוגית בעילת פגיעה בפרטיות. בתביעה כזו הסיכון למשרד גבוה מאוד – גם בגלל הפיצויים המצטברים שעשויים להגיע למיליונים, וגם בגלל החשיפה הציבורית. ואכן, אירועי אבטחת מידע במשרדים כבר הובילו לתובענות ייצוגיות על רשלנות והפרת פרטיות. כל משרד צריך לשאול את עצמו: האם אנחנו רוצים להיות הכותרת הבאה בעיתון בנושא דליפת מידע?
• אחריות פלילית: החוק מונה מספר מעשים כהפרות פליליות, כגון: שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה (עבירה לפי סעיף 5 לחוק), מסירת מידע כוזב לרשם המאגרים, הפרת חובת סודיות שמוטלת על בעל המאגר, האזנת סתר וכד’. במקרים חמורים כאלה עשוי המשרד עצמו (כאישיות משפטית) והאורגנים האחראים בו למצוא עצמם נחקרים ואף מועמדים לדין. הרשות להגנת הפרטיות מפעילה יחידת חוקרים ופקחים בעלי סמכות של שוטרים לעניין עבירות החוק, והם רשאים לפתוח בחקירה פלילית ולהעביר תיקים לתביעה. העונשים הקבועים בחוק נעים בין קנסות כבדים ועד 5 שנות מאסר (למשל עבור האזנת סתר). אמנם, תסריט של העמדה פלילית שמור למקרים קיצוניים או להתנהגות זדונית, אך עצם האפשרות צריכה להדליק נורה אדומה לכל משרד.
• פגיעה במוניטין העסקי: לצד הסנקציות המשפטיות, הפרת פרטיות עלולה להסב למשרד נזק שקשה לכימות – אובדן אמון הלקוחות והציבור. משרד רו”ח שמתפרסם כמי ש”זלג” ממנו מידע סודי או שלא הגן כראוי על פרטיות לקוחותיו, מסתכן בנטישת לקוחות, בקושי למשוך לקוחות חדשים ובפגיעה ארוכת טווח במותג המקצועי שבנה. בענף מבוסס מערכות יחסים ואמון כמו ראיית חשבון, יש למשבר כזה השלכות רחבות. לכן, הציות לחוק הוא לא רק עניין פורמלי של “להימנע מקנס”, אלא חלק מהותי מניהול מוניטין וסיכונים של הפירמה. משרד שמקפיד על פרטיות מאותת ללקוחותיו שהוא מקצועי, אחראי ואמין, וזה כשלעצמו יתרון שיווקי.

שימוש בענן ובתוכנות הנהלת חשבונות – דרישות מיוחדות

• בחירת ספק ענן אמין: ראשית, יש לבחור בקפידה את ספק שירותי הענן או התוכנה. ספק מוכר שמיישם סטנדרטים גבוהים של אבטחת מידע ופרטיות (למשל חברות גדולות עם תקני ISO בתחום האבטחה) יכול דווקא לשפר את רמת ההגנה . ואולם, גם ספק מוביל אינו חסין מתקלות – ולכן חובה לוודא בחוזה שהוא מתחייב לעמוד בכללי אבטחת המידע לפי החוק הישראלי . ודאו שספקית התוכנה מצהירה במדיניות השירות שלה שהיא עומדת בחוק הגנת הפרטיות, ושהיא נוקטת אמצעי הגנה הולמים (הצפנה, בקרת גישה, מנגנוני מניעה מפני דלף וכיו”ב).
• מיקום הנתונים והעברת מידע לחו”ל: שימוש בענן פירושו לעיתים שהמידע נשמר בשרתים מרוחקים, ייתכן שאפילו מחוץ לישראל. לפי חוק הגנת הפרטיות, העברת מידע אישי לחוץ לארץ מותרת רק למדינות עם רמת הגנה הדומה לישראל, או בכפוף להבטחות חוזיות מתאימות, או בהסכמת האדם שעליו המידע. לכן, אם תוכנת הנהלת החשבונות שלכם מתארחת בענן שממוקם מחוץ למדינה, יש לוודא שהעברת המידע עומדת בתנאי החוק. ניתן לברר עם הספק היכן נמצאים השרתים ואם המדינה מוכרת כ”מדינה בטוחה” ע”י הרשות להגנת הפרטיות. במידת הצורך – יש להשיג מהלקוחות הסכמה מדעת להעברת המידע (לדוגמה, להוסיף סעיף לכך בהודעת הפרטיות או בטופס פתיחת הלקוח).
• הסכם עיבוד מידע עם הספק: כפי שצוין, התקשרות עם ספק חיצוני דינה כמסירת מידע למחזיק/מעבד. חובתכם לוודא שהספק חותם על הסכם הגנת מידע שמכסה את כל הדרישות: שמירת סודיות מוחלטת, שימוש במידע רק למטרות שהגדרתם, יידוע המשרד על כל אירוע אבטחה או דרישת מידע שהוא מקבל, מחיקת המידע בסיום ההתקשרות, אפשרות שלכם לבצע ביקורת או לקבל דו”חות עמידה בתקנים, ועוד . למעשה, הרשות להגנת הפרטיות אף פרסמה טיוטות הנחיה לגבי התקשרויות בענן, המדגישות את הצורך בהסכמים מפורטים. אל תסתפקו במדיניות שימוש כללית של הספק – דרשו לראות הסכם ולחתום עליו באופן אקטיבי.
• הגדרות ותצורה בטוחה: האחריות על הגנת הפרטיות לא מסתיימת בחתימת החוזה. משרדים חייבים להקפיד גם על הגדרה נכונה של המערכות והנוהלים הפנימיים בעבודה עם הכלים הדיגיטליים. למשל: ודאו שרק מי שצריך יש לו גישה למערכת (ניהול משתמשים והרשאות), החליפו סיסמאות ברירת מחדל בסיסמאות חזקות, הפעילו אימות דו-שלבי אם אפשר, עדכנו באופן שוטף את התוכנה לגרסאות מאובטחות, ואל תשמרו מידע רגיש בענן בתיקיות ציבוריות או בלי הצפנה. כמו כן, קבעו נוהל כיצד עובדי המשרד מורידים נתונים מהענן (האם מותר לשמור עותק מקומי? כיצד להעביר ללקוח חומר מאובטח?). הטמעת נהלים וטכנולוגיות משלימים סביב שירות הענן היא תנאי הכרחי להבטיח שהענן יהיה פתרון בטוח ולא חוליה חלשה.
• מעקב ופיקוח שוטף: לבסוף, המשימה אינה חד-פעמית. יש לפקח באופן שוטף על עמידת ספקי התוכנה והענן בהתחייבויותיהם. כדאי לדרוש דוחות תקופתיים על אבטחת מידע מהספק, ולסקור אותם. בנוסף, המשרד צריך להפעיל כלים משלו לניטור גישה למידע בענן – כך שתהיו ערים לכל גישה חריגה. אם חלילה מתרחש אירוע אבטחה אצל הספק (פריצה, דלף נתונים וכו’), יש לטפל בכך באופן מיידי בשיתוף איתו, ולשקול דיווח לרשות להגנת הפרטיות וללקוחות בהתאם לחומרת המקרה. האחריות הסופית כלפי הלקוחות נשארת של המשרד, גם אם הטעות הייתה של חברת התוכנה, ולכן עליכם לגלות Proactive approach ולא לסמוך בעיניים עצומות.

הליווי המשפטי המקצועי – מיפוי, נהלים, חוזים והדרכות

• מיפוי מידע – ביצוע סקר מקיף של זרימת המידע במשרד: אילו סוגי מידע אישי אתם מחזיקים, היכן הוא נשמר (במחשבי המשרד, בענן, אצל ספקי משנה), מי נגיש אליו, ול jakie מטרות הוא נאסף ומשמש. שלב המיפוי חיוני כדי לזהות סיכונים ולאפשר טיפול ממוקד בכל נקודת תורפה. במסגרת זו גם נבחן האם יש מאגרים שחייבים רישום או דיווח לרשות והאם מתבצעות העברות מידע לחו”ל.
• נהלים ופרוטוקולים פנימיים – גיבוש נהלי עבודה כתובים בנושאי אבטחת מידע והגנת פרטיות. למשל: נוהל אבטחת מידע (כמתחייב בתקנות) הקובע מי אחראי לכל מערכת, כיצד מנהלים סיסמאות, איך מטפלים באירוע אבטחה; נוהל מימוש זכויות לקוחות (כיצד לקבל ולתעד בקשות עיון/תיקון ומי מטפל); נוהל שמירת מידע ומחיקתו (מדיניות כמה זמן שומרים מסמכים, מתי להשמיד חומר ארכיוני המכיל מידע אישי); נוהל העברת מידע לגורם חיצוני (מתי מותר ומה התנאים). נהלים אלה אינם רק “ניירת” – הם יוצרים מסגרת פעולה ברורה לעובדים ומפחיתים טעויות. לאחר כתיבתם, יש להטמיע אותם בפועל ולעדכן מעת לעת. עדכון נהלים והיערכות לאור התיקונים האחרונים בחוק (כגון מינוי אחראי פרטיות בארגון אם נדרש) הוא צעד הכרחי בהתאמות ל-2025.
• חוזים והסכמי סודיות – סקירה ועדכון של חוזי ההתקשרות שלכם תחת עין רגולציית הפרטיות. זה מתחיל בחוזה ההתקשרות עם הלקוח: רצוי להוסיף סעיף בנושא הגנת מידע, שבו הלקוח מאשר למשרד לעבד את פרטיו למטרות השירות, מצהיר שכל מידע שיימסר מעובד לפי חוק ומתחייב לשתף פעולה בהגנת פרטיות (למשל, למסור רק מידע נחוץ). ממשיך בחוזי העסקה של עובדים: לוודא שכל עובד חותם על התחייבות לשמירת סודיות מידע לקוחות גם אחרי עזיבתו, ולהוסיף הוראות לגבי שימוש במידע לצורכי העבודה בלבד. וכאמור, כולל הסכמים עם ספקי תוכנה, IT, ענן וכל נותן שירות חיצוני – שבהם מכניסים נספח הגנת פרטיות כמפורט לעיל. משרד עורכי דין מומחה יסייע לכם לנסח ולהטמיע את ההגנות החוזיות הנדרשות, כך שהמשרד יהיה מוגן גם בחזית זו.
• הדרכות עובדים ותרבות פרטיות – עורך הדין יוכל לערוך הכשרות ייעודיות לצוות המשרד בנושאי הפרטיות, בהתאמה לעסק שלכם. ההדרכות יכללו הסברת החוק באופן פרקטי, דוגמאות מהשטח (מקרים שאירעו במשרדים אחרים), סימולציות של תרחישי דלף מידע ודיון כיצד למנוע אותם, והיכרות עם הנהלים החדשים שהוגדרו. מעבר להכשרות פורמליות, חשוב לטפח “תרבות פרטיות” – למשל למנות “נאמן פרטיות” פנימי מבין העובדים שירכז פניות ושאלות, לתת תזכורות תקופתיות באימייל על כללי DO & DON’T, ולעודד עובדים להתריע מיידית במקרה שארעה תקלה (בלי חשש “לחטוף על הראש”). עובד מודע הוא קו ההגנה הראשון של הארגון.
• דיווחים, בקרה ושיפור מתמיד – במסגרת הליווי המשפטי תקבלו גם הנחיה לגבי חובות דיווח שונות. כך למשל, אם אתם נדרשים כעת לדווח על מאגר מידע חדש לרשות – עורך הדין יוודא שהדיווח מוגש כהלכה (לאחר תיקון 13, ייתכן שתידרשו להודיע לרשות על מאגרים במקום לרשום אותם). במקרה של אירוע אבטחה חמור, ידריכו אתכם האם חלה חובת דיווח לרשות להגנת הפרטיות או ללקוחות, ואיך לבצע זאת כדי לצמצם חשיפה. בנוסף, חלק משירותי הליווי הם ביקורות תקופתיות – בדיקת פערים חוזרת אחת לשנה למשל, לוודא שהנהלים מיושמים, שהעובדים מקפידים ושלא צצו מוקדי סיכון חדשים. עולם הפרטיות מתעדכן תדיר, ולכן גם לאחר ההשקה הראשונית של תוכנית הציות, צריך “להישאר עם אצבע על הדופק”. משרד מומחה יסייע לכם להתעדכן בהנחיות חדשות של הרגולטור, בפסיקות תקדימיות, ובטכנולוגיות חדשות להגנת הפרטיות, כדי לשפר כל הזמן את מערך ההגנה.

סיכום – פרטיות כערך מוסף וקריאה לפעולה