מדריך תיקון 13 לרואי חשבון ויועצים כספיים

רואה חשבון מחזיק מידע פיננסי רגיש: הכנסות, הוצאות, מערכות שכר, דיווח מס. תיקון 13 מחייב אבטחה במיוחד כי פרץ למערכת רו"ח = גישה למידע כלכלי של כל לקוחות.

רקע: מה זה תיקון 13?

סודיות מקצועית × תיקון 13 - שתי חובות שונות

חוק רואי חשבון דורש סוד מקצועי (אתי): אתה לא יכול לחלוק מידע פיננסי של לקוח עם אף אחד. אבל זה לא מגן מפני פריצה. תיקון 13 מוסיף חובה טכנולוגית וניהולית: אבטחו את המידע מפני גישה בלא הרשאה. הבדל קריטי: דליפה של מידע בשל מחשב לא נעול, סיסמה פשוטה, או מייל ללא הצפנה היא הפרה של תיקון 13 גם אם רו"ח לא סיפר דבר לאף אחד. שתי החובות חלות בו-זמנית וגוברות אחת על השנייה.

מידע פיננסי - הצפנה וניהול הרשאות

הכנסות של עסק, עוסק מורשה, או בן אדם היא מידע פיננסי מוגן תחת חוק רואי החשבון וגם תחת תיקון 13. רואה חשבון המחזיק קבצי אקסל או דוחות דיגיטליים עם מידע זה חייב להצפין. חשוב גם: לא כל עובד במשרד צריך לראות דוחות של כל הלקוחות. תיקון 13 דורש ניהול הרשאות: רק מי שחייב אותו לצורך עבודתו מקבל גישה. בנוסף, רו"ח משדר נתונים הלאה - רשות המסים, מערכות שכר, בנקים - ובכל העברה צריך תיקון 13 אבטחה ו-DPA.

העברת מידע ל-מערכות שכר/מס הכנסה וערוצי תקשורת מאובטחים

רו"ח משלח מידע אישי וכלכלי של עובדים (שם, ת.ז., הכנסה, ניכויים) ישירות לרשות המסים ולמערכות שכר. העברה לרשות המסים מבוצעת מכוח חוק ואינה דורשת DPA נפרד; העברה לספקי SaaS מסחריים (מערכות שכר, חשבוניות בענן) דורשת DPA. אם משתמשים בענן (חשבונית ירוקה, רווחית וכו׳) צריך לבדוק היכן נשמרים הנתונים ודרישות אבטחה של הספק (כגון ISO 27001). העברה לחו"ל דורשת הסכמה נוספת. נקודה קריטית: משלוח תלושי שכר ודוחות כספיים כנספח רגיל במייל ללא הצפנה הוא כשל אבטחה על פי תיקון 13. מומלץ להצפין קבצי PDF בסיסמה חזקה או להשתמש בקישורים מאובטחים לקבצים זמניים או בפורטלים ייעודיים בחתימת דיגיטלית.

אימות דו-שלבי ופרטיות בתוך המשרד

כל גישה לנתוני לקוחות - במערכות הענן, בחשבון דוא"ל משרדי, ובפורטלים ממשלתיים (מס הכנסה, מע"מ) - חייבת להיות מוגנת באימות דו-שלבי 2FA. זה מנע גישה בלא הרשאה אפילו אם סיסמה נחשפה. בנוסף, הגבל גישה: מנהל פרויקטים בתיק אחד לא צריך לראות דוחות של תיקי עמיתים.

ארכיון, ביעור נתונים, והודעה משפטית חשובה

רו"ח חייב לשמור תיקיות לקוחות לפחות 7 שנים לפי פקודת מס הכנסה וחוק הרו"ח. אבל אחרי 7 שנים, צריך למחוק בפעיל. רבים משכחים: הנתונים נשמרים "בענן" של המערכת ולא מחוקים. מומלץ להגדיר תאריך שנתי קבוע (למשל: ביום ראשון של ינואר) לבדיקה ומחיקה של תיקיות שעברו 7 שנים. זכור: חובת השמירה של 7 שנים על פי חוק מס הכנסה גוברת על בקשת לקוח למחיקה. אתה לא יכול למחוק מידע בתוך תקופה זו - הוא נתון לשמירה חוקית.

צ׳קליסט ציות

  • מדיניות פרטיות: הצהרה על סודיות מקצועית (חוק רו"ח) + הגנות תיקון 13 (טכנולוגיות ותיקונים) + הודעה בולטת שחובת שמירה של 7 שנים גוברת על בקשת לקוח למחיקה
  • הצפנת קבצי אקסל/נתונים כלכליים: עדיפות לאחסון מוצפן (BitLocker/FileVault) או פורטל מאובטח. סיסמת Office בלבד אינה מספיקה - היא ניתנת לפיצוח.
  • אימות דו-שלבי חובה (2FA): מערכות הענן, חשבון דוא"ל משרדי, פורטלים ממשלתיים
  • DPA עם מערכת הנהלת חשבונות, ודא שיש תקני אבטחה (ISO 27001 או דומה) של הספק
  • העברת נתונים לרשות המסים - מבוססת על חובה חוקית; ודא שהנתונים מועברים בערוץ מאובטח
  • DPA עם מערכת שכר - כולל בדיקה שהספק עומד בתקני אבטחה
  • שיטת משלוח מסמכים: איסור משלוח קבצים רגישים (תלושי שכר, דוחות כספיים) במייל בלא הצפנה. חובה להשתמש בקבצי PDF מוגנים בסיסמה, קישורים מאובטחים, או פורטל לקוחות ייעודי
  • ניהול הרשאות: לא כל עובד צריך גישה לכל דוחות הלקוחות. הגבל גישה לפי תפקיד
  • גיבוי מוצפן של תיקיות לקוחות במיקום מרוחק
  • נוהל ביעור נתונים: הגדרת תאריך שנתי קבוע (למשל ביום ראשון של ינואר) לבדיקה ומחיקה של תיקיות שעברו 7 שנים מסיום הטיפול
  • הסכם סודיות מפורש עם עובדים שיש להם גישה לקבצי לקוחות - כולל איסור להוציא מידע או להעתיק לאמצעים אחרים
  • בדיקה שנתית של ספקים: וידוא שתוכנות הנהלת חשבונות ושכר עדיין עומדות בדרישות אבטחה וחתומות על DPA
  • נוהל אירוע אבטחה: מה עושים אם מחשב נפרץ או מידע דלף - כולל דיווח מיידי לרשות להגנת הפרטיות לפי תקנות אבטחת מידע
  • מנגנון למימוש זכויות לקוח (עיון, תיקון, מחיקה) - עם הערה: מחיקה בתוך תקופת השמירה החוקית של 7 שנים אינה אפשרית

תבנית רו"ח - נספח הגנה על הפרטיות ואבטחת מידע

נספח מקצועי וקל להדפסה לצרוף להסכם ההתקשרות עם הלקוח. התבנית מכילה את כל דרישות תיקון 13 בניסוח משפטי מדויק: סודיות מקצועית, אבטחת מידע, DPA עם ספקים וחברות סליקה, תקופות שמירה סטטוטוריות (7 שנים), זכויות הלקוח, והודעות על העברת מידע לחו"ל. מעוצבת להדפסה בחתימה דו-צדדית.

⚠️ הערה חשובה: תבנית זו הינה כלי עזר בלבד ואינה מהווה ייעוץ משפטי פרטני. מומלץ להתאים את הנוסח למערכות המחשוב הספציפיות בשימוש המשרד ולקנות עצה משפטית מקצועית לפי הצורך.

בדוק את העסק שלך בחינם