רגולציית ההגנה על הפרטיות (GDPR - General Data Protection Regulation) היא מקבץ הוראות מחייבות שמטרתן להגן על תושבי האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות. אי ציות להוראות, אשר יכנסו לתוקף החל מ- 25 במאי 2018, עלול לגרור אזהרות, ביקורות תקופתיות וקנסות חמורים המגיעים לכדי 4% מהמחזור השנתי העולמי של הגוף המפר או קנס בשיעור 20 מיליון אירו.
משרדי ראיית חשבון רבים המטפלים בלקוחות שפעילותם נוגעת במידע אישי אודות תושבי האיחוד האירופי, השכילו לשווק לקהל לקוחותיהם הקיימים והפוטנציאלים שירות חדש המספק ליווי מקיף הכולל צוותי “Data protection” המורכבים מרו"ח, עו"ד, יועצים אסטרטגים ומומחי Forensic, המסייעים בהכנת הארגון וצליחתו העסקית של הרגולציה החדשה.
מעבר לחשיבות התהליך והשלכותיו על הפעילות העסקית, יכולתו של המשרד להציע שירות זה, מחזקת את הקשר עם הלקוח ומסייעת לבסס את המותג המשרדי כמקצועי, חדשני וכזה שנמצא עם "היד על הדופק".
לרגולציה החדשה צפויה להיות השפעה מרחיקת לכת על פעילותן של חברות רבות ברחבי העולם. מדינת ישראל, או בכינויה השני Startup Nation, מארחת מספר רב של חברות בינלאומיות עם פעילות במדינות האיחוד האירופי, אשר נערכות בימים אלה לכניסת ה- GDPR לתוקף.
בהתאמה, משרדי ראיית חשבון ישראלים אשר מייצגים חברות אלה, צריכים להיערך להשפעה האפשרית של הרגולציה על פעילותם ודוחותיהם הכספיים של לקוחותיהם. יתרה מכן, משרדי ראיית חשבון רבים מחזיקים בעצמם מידע אישי אודות לקוחות ועובדים הנופל תחת חסות הרגולציה.
על מי חל ה- GDPR
הפרלמנט האירופי אימץ את ה- GDPR באפריל 2016, כתחליף לדירקטיבה להגנה על נתונים משנת 1998. הרגולציה חלה על כל אדם או ארגון, ללא תלות במקום פעילותם, אשר אוספים מידע אודות תושבי האיחוד האירופי. מדובר בסטנדרט אחיד התקף על כל 28 המדינות החברות באיחוד האירופי, אשר יצריך ממרבית החברות עליהן הרגולציה חלה השקעה בהיקפים משמעותיים.
סקר של חברת Ovum משנת 2016, מצא כי שני שליש מהחברות האמריקאיות מאמינות כי ה- GDPR יצריך מהן לבחון מחדש את האסטרטגיה העסקית באירופה. 85%(!) מאמינות כי ה- GDPR ישים אותן בעמדת חולשה למול חברות אירופאיות.
איזה מידע אישי מוגן ב – GDPR
חוסר אמון מצד הציבור בנוגע לאופן בו חברות מאבטחות את המידע שנאגר אודותינו הינו בעיה מהותית במציאות הטכנולוגית המודרנית. במחקר מקיף שנערך על ידי חברת RSA הכלל נשאלים מארה"ב, צרפת, גרמניה, אנגליה ואיטליה, ענו למעלה מ- 76% מהנשאלים כי איבוד מידע פיננסי ואישי הינו דאגה עיקרית עבורם. בכדי לספק מענה הולם לחשש המשתמשים, ה- GDPR פורס רשת רחבה של מידע המוגן תחת הרגולציה:
מידע אישי "בסיסי" כדוגמת שם, כתובת או תעודת זהות
מידע מקוון כדוגמת מיקום, כתובת IP, Cookies ו- RFID
מידע בריאותי וגנטי
מידע ביומטרי
מידע אודות גזע או מוצא אתני
מידע אודות השקפה פוליטית
מידע אודות נטייה מינית
כיצד ה- GDPR משפיע על פעילותם של משרדי ראיית חשבון
משרדי ראיית חשבון שומרים במאגריהם הממוחשבים מידע רב אודות לקוחותיהם – ובמרבית המקרים, מידע זה יכיל פרטים אשר "נופלים" בהגדרת מידע אישי כפי שמופיעה ב- GDPR:
מידע אודות לקוחות המשמש לצורך מתן שירות, לדוגמה:
מידע המצוי במערכות ניהול לקוחות ארגוניות
מידע המצוי במערכות תיעוד וניהול ביקורת, מיסוי, הנהלת חשבונות, שכר וכדומה
ניירות עבודה המכילים פרטים אישיים אודות הלקוח
מידע אודות לקוחות המשמש לצורכי שיווק
דואר אלקטרוני או אמצעי התכתבות אחרים, פנימיים וחיצוניים, המתייחסים למידע אישי אודות הלקוח או עובדיו.
ה- GDPR קובע מספר כללים לפיהם גוף המחזיק מידע אישי אודות תושבי האיחוד האירופי צריך לפעול. על קצה המזלג, אלו הן הנקודות העיקריות:
גוף המחזיק ברשותו מידע אישי, כדוגמת משרד רואי חשבון, חייב שיהיה ברשותו ידע מדויק אודות הידע שהוא מחזיק ומעבד, הרכבו, מקורו הגיאוגרפי והדרך בה מידע זה מאובטח. שתי שאלות מפתח מובילות בנקודה זו הן:
האם מדובר במידע אישי או אסור של לקוח או עובד?
כיצד המידע הגיע לרשותו של הארגון – והאם זה נעשה באישור הלקוח/עובד או באישור החוק?
גוף המחזיק ברשותו מידע אישי, צריך להיות ערוך לספק פירוט אודות השימוש שנעשה במידע זה וזכויותיהם של הפרטים אודותיהם נאגר מידע.
גוף המחזיק ברשותו מידע אישי צריך להיות ערוך להציג, כאשר יתבקש, כיצד מערכות המידע שבאמצעותן הוא מנהל את המידע שברשותו פועלות בהתאם להנחיות הרגולציה.
גוף צריך להוכיח כי באפשרותו למחוק באופן מלא ומהיר מידע אישי בהתאם "לזכות להישכח" - המתירה לאדם לדרוש שימחק המידע האישי שנאסף אודותיו בנסיבות מסוימות.
גוף המחזיק ברשותו מידע אישי צריך להציע ולאפשר אחסון או המרה של מידע לפורמטים שונים בכדי להקל את העברתו לגוף אחר.
לסיכום
רגולציית ה- GDPR חושפת את משרדי רואי חשבון לשתי חזיתות במקביל – באחת, עליהם לבחון את מערכות המידע אשר ברשותם ולוודא כי המשרד עומד בהוראות עיבוד, שמירה, אבטחה והעברת מידע אישי. החזית השנייה – השפעת הרגולציה על לקוחותיהם מבחינה חשבונאית – הן בקנסות אפשריים והפרות חוק פוטנציאליות ועד להיבטי עסק חי. על משרדי רו"ח לפנות לליווי מקצועי של מומחי אבטחת מידע ומומחי GDPR בכדי לוודא כי המשרד עומד בדרישות הרגולטוריות שמחכות מעבר לפינה.
משרדי ראיית חשבון אשר יפנימו את חשיבות הרגולציה והטמעתה הנכונה בקרב לקוחותיהם, יוסיפו נדבך נוסף המסייע בבניית המותג של משרד מתקדם, אשר קשוב לרחשי השוק והטכנולוגיה. יתרה מכך, סיוע וליווי צמוד בנושא חדשני ובעל השלכות מהותיות כדוגמת ה- GDPR, יסייע לבסס את תדמיתו של המשרד כמומחה, הן בעיניי לקוחות קיימים והן בעיניי פוטנציאליים.
