הגנת הפרטיות ואבטחת מידע במשרדי רואי חשבון

 רואי חשבון, הדוחות הכספיים ערוכים בזמן, הדיווחים מוגשים לרשויות והלקוחות אפילו נהנים מחסכון במס? מצוין!

אבל מה לגבי רמת הגנת הפרטיות ואבטחת המידע של הלקוחות שלכם? איך אתם שומרים על האינטרסים של לקוחותיכם בתחום הזה?

 אין ספק שניהול משרד רו"ח כרוך בהשקעה של משאבים רבים הנדרשים לשם מתן שירות מקצועי ללקוחות, כזה שיעניק ללקוחות ערך מוסף: השקעה בעובדים מקצועיים, בתוכנות מחשב, השתלמויות וימי עיון ועוד. אבל מה לגבי שמירה על המידע הרגיש של לקוחות המשרד? 

מה יקרה אם חלילה יפרצו למאגרי המידע של המשרד? או למצלמות האבטחה בבניין, במעלית ובשטחים הציבוריים? מה יקרה אם מידע אישי על הנתונים הפיננסיים ומצבת הנכסים של לקוחות המשרד יופץ ברשת האינטרנט ויהפוך לוויראלי?…משכורות, דיבדנדים, בעלות על נכסים, עסקאות שטרם נסגרו ונמצאות בשלב הקריטי של המשא ומתן…?

מובן כי עצם העברת המידע אליכם אינה מצביעה על כך שהלקוחות  מסכימים שהמידע הרגיש שלהם  שנשמר ומאוחסן במשרד, יופץ … יש להם גם חופש והזכות לשמור על הפרטיות שלהם.

זכות הפרטיות, ברוח הביטוי שטבעו וורן וברנדייס:

 The right to be left alone"" נכונה גם בעת העברת המידע אליכם כנותני שירות ללקוחות.

חוק הגנת הפרטיות, התשמ"א-1981, והתקנות שהותקנו מכוחו מקנות זכויות משפטיות ליחידים על המידע האישי שלהם, והזכות לפרטיות אף מעוגנת בסעיף 7 לחוק יסוד: כבוד האדם וחירותו.

אין ספק שעל מנת לבצע את עבודתם המקצועית, רואי החשבון אוספים ושומרים במישרין ובעקיפין מידע אישי על לקוחותיהם, לרבות פרטי מידע כגון אי-מייל, ת.ז., גיל, מצב משפחתי, פרטי כרטיס אשראי, כתובת, רישיון רכב, מידע רפואי ואחוזי נכות במקרה של זכאות להטבות מס, הרגלי צריכה והוצאות שיש בהם כדי ללמוד על אישיותו של אדם, אמונותיו או דעותיו, נתונים פיננסיים רגישים ועוד.  מדובר במידע אישי רגיש ובעל פוטנציאל  "נפיץ" כשבהגיעו לידיים הלא נכונות עלול להזיק ללקוחות עצמם, וכן לגרום לנזקים עצומים לבעלי המשרד המטפל, לרבות נזקים כספיים בשל תביעות לקוחות, פגיעה עצומה בשמו הטוב ובמוניטין של המשרד, חשיפת מידע סודי אסטרטגי למשרדים מתחרים ועוד.

אז נכון, משרדי רואי חשבון משקיעים משאבים רבים על מנת להעניק ללקוחותיהם שירות מקצועי, אבל כמה משאבים משרדים אלו משקיעים על מנת לשמור על הנכס היקר ביותר שלהם – המידע האישי של לקוחותיהם? כמה משאבים ומאמצים מושקעים לשם העלאת המודעות של עובדי המשרד לשמירה על הפרטיות של לקוחות המשרד? על טפסי המידע? מערכות המחשב?

סיכון כפול – פלילי ואזרחי – אין לטעות – המידע על לקוחות המשרד הינו למעשה נכס רגיש של המשרד, אולי הרגיש מכל, שטומן בחובו סיכון לחשיפה משפטית ופגיעה במוניטין המשרד- שהרי מערכת האמון מול הלקוח, מבוססת, בין היתר, על שמירת פרטיות המידע הרגיש המועבר לרואה החשבון מתוקף תפקידו. בפרט כיום, כאשר קיימת מודעות רבה יותר לזכויות הפרטיות של הפרט, ולאור הגברת האכיפה של הרשות להגנת הפרטיות ובוודאי לאור אירועי אבטחת המידע הרבים התוקפים את התעשיות השונות  בשנה האחרונה, בארץ ובחו"ל.

החשש מפני אירוע אבטחת מידע אינו מתמצה רק במיליון דולר או יותר, כדרישת כופר שההאקר (פצחן) יבקש בתמורה לאי הפצה של פרטי מידע פיננסי ומידע רגיש אחר על לקוחות המשרד או שחרור הגיבוי של המידע כדי לאפשר למשרד להתאושש ולהמשיך להעניק שירות ללקוחותיו. אלא, מדובר למעשה בסיכון רחב יותר, שהרי ארוע פריצה ואבטחת מידע עלול להוביל לפגיעה נרחבת באמינות ורמת האבטחה של משרד רואי החשבון, סיכון שעלול להוביל לנזקים והפסדים רבים יותר. תובענות ייצוגיות על פגיעה בפרטיות, תביעה נזיקית פרטית, הגשת כתבי אישום וקנסות אכיפה, כל אלו מהווים "איום" משפטי המרחף מעל משרד רואי החשבון ומנהליו.

מדובר למעשה בחלק בלתי נפרד מניהול הסיכונים של משרד רואי החשבון – יש לקחת בחשבון את הסיכון וההסתברות לפגיעה בפרטיות הלקוחות והשלכותיה על העסק, מול הנזק האפשרי, תוך נקיטה באמצעים לצמצום החשיפה האפשרית והקטנת הסיכון.

אז מה עושים? מיישמים את הוראות דיני הפרטיות והגנת אבטחת המידע גם במשרדי רואי החשבון.

ויפה שעה אחת קודם!

קנס של עד 800,000 ₪

כידוע, מאז מאי 2018 עת נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, קיימות חובות בדין ליישום ושמירה על מאגרי מידע, בכפוף לרמת האבטחה הנדרשת בהם בהתאם לסיווגם על פי התקנות.

התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על הפרט שמידע אודותיו קיים במאגר המידע וקימות חובות על בעלי, מחזיקי ומנהלי מאגרי מידע.

 חוק הגנת הפרטיות קובע סנקציות ויכול למעשה להגיע לידי אכיפה מנהלית ופלילית. אכיפה זו מתבצעת על ידי חוקרים ומפקחים המוסמכים ברשות להגנת הפרטיות, ולהם סמכות להגיש כתבי אישום פליליים, שלילת האפשרות לעשות שימוש במידע במקרים של הפרת הוראות החוק והטלת קנסות מנהליים בהתאם לתקנות העבירות המנהליות (קנס מינהלי – הגנת הפרטיות), תשס"ד-200,שבמסגרת תיקון  14 העוסק בעדכון סמכויות אכיפה, ושעבר אך בחודש ינואר השנה בקריאה ראשונה,  בכלל זה, ככל שיתקבל בקריאה שניה ושלישית, יוענקו לרשות להגנת הפרטיות סמכות להטיל עיצום כספי של עד 800,000 ₪.

לקוחות משרד רואי החשבון מצפים מבעלי המשרד לעמוד בדרישות החוק:

על בעלי מאגרי מידע לבחון ולמפות מהו המידע האישי הקיים במשרד ומול ספקים שונים, ומעבדים של מידע (כן, גם מי שמחזיק עבור המשרד בשרתים), ולערוך ביקורות וליישם נוהלי אבטחה שונים ודרישות טכנולוגיות ומשפטיות.

יישום של הוראות החוק והתקנות יסייע גם במניעה של אירועי אבטחת מידע וגם יאפשר שליטה טובה הרבה יותר במקרה של אירוע אבטחת מידע, והקטנת הנזק ככל האפשר. ועוד לא הזכרנו את תחולת GDPR, הרגולציה האירופית להגנת הפרטיות שעלולה לחול על משרד רואי החשבון, במקרה בו נמנים על לקוחותיו גם לקוחות בעלי אזרחות אירופית וזאת יש לבחון במאמר נפרד, וכאן רק נזכיר שמשרד רואי חשבון המעבד נתונים אודות אזרחי האיחוד האירופי, כפוף לתקנות אלו שהקנסות בהן עלולות להגיע ל- 4% מהמחזור של המשרד או 20,000,000 אירו, לפי הגבוה מבין השניים.

ניתן להפוך את "הנטל הרגולטורי" ליתרון עסקי – שיאפשר הגנה על האינטרסים העסקיים והאישיים של לקוחות המשרד ושל בעליו.

 כיצד? יש לבצע את הפעולות הבאות:

1. אפיון העסק והגדרת המאגר.
2. רישום מאגרים.
3. סקר עמידה בדרישות התקנות.
4. כתיבת נהלי אבטחה.
5. ניהול מסמכים מול שירותי מיקור חוץ הניתנים לארגון
6. ניהול יומן ביקורות תקופתיות.
7. מינוי ממונה הגנת מידע ופרטיות חיצוני או פנימי.
8. עריכת פעילות הדרכה פרו אקטיבית במטרה להקטין את הסבירות לפגיעה ולחשיפה.
9. עריכת סקר סיכונים לזיהוי חשיפות זליגת מידע (ממוקד בסוג מידע הקריטי למשרד).
10. הטמעת טכנולוגיות אבטחת מידע והגנת הסייבר.

 הכותבים:

עו"ד יעקב עוז – יו"ר ועדת הסייבר והגנת הפרטיות בלהב, מרצה, יועץ ומייצג בתחום הגנת הפרטיות – אבטחת מידע.

עו"ד רו"ח קרן יצחק לחמן – יועצת לרגולציית הגנת הפרטיות – אבטחת מידע.