רגולציה וסריקת מסמכים
סריקת מסמכים לצורך ארכיון דיגיטלי היא לא רק שאלה של נוחות. החוק מגדיר תנאים ברורים לגבי איך לסרוק מסמכים, מתי מותר להשמיד את המקור, כמה זמן לשמור את הקבצים, ואיך להגן על המידע. עמוד זה מסכם את עיקרי הדרישות הרגולטוריות הרלוונטיות לסריקת מסמכים עסקיים.
עמוד זה נועד למתן מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לגבי המצב הספציפי של העסק שלכם, מומלץ להתייעץ עם רואה חשבון או יועץ משפטי.
תקנות מס הכנסה - סריקת מסמכים וארכיון דיגיטלי
בדצמבר 2012 פורסם תיקון להוראות ניהול פנקסי חשבונות (תקנה 36, נספחים ו' ו-ז'), שנכנס לתוקף ב-1 בינואר 2013. התיקון, שפורט בחוזר מס הכנסה 9/2013, מאפשר לסרוק מסמכים חשבונאיים ולשמור אותם בארכיון דיגיטלי במקום בגרסה הפיזית.
אילו מסמכים ניתן לסרוק?
התיקון חל על תיעוד חוץ בלבד - מסמכים שהתקבלו מספקים ומגורמים חיצוניים:
- חשבוניות וחשבוניות מס
- קבלות
- תעודות משלוח
- הודעות זיכוי
- הזמנות רכש
תיעוד פנים ידני (מסמכים שנוצרו בתוך הארגון בכתב יד) אינו נכלל בהסדר זה. מסמכים פנימיים שהופקו במחשב אינם דורשים עותק פיזי מלכתחילה.
תהליך הסריקה התקני
כדי שסריקה תיחשב תקינה לפי ההוראות, נדרשים כל השלבים הבאים:
- רישום במערכת החשבונות - כל מסמך שנסרק חייב להירשם במערכת הנהלת החשבונות של הנישום
- סימון כמסמך סרוק - הקובץ הסרוק חייב לשאת את הסימון "מסמך סרוק", כדי להבחין בינו לבין מסמך מודפס רגיל
- חתימה אלקטרונית ראשונה - הקובץ נחתם בחתימה אלקטרונית מאושרת של הנישום או מי מטעמו, כאישור לכך שמסמך המקור נסרק בשלמותו
- חתימה אלקטרונית שנייה - אדם נוסף מאמת שהמסמך המקורי זהה לקובץ הסרוק וחותם בחתימה אלקטרונית מאושרת נפרדת
- אבטחת הקובץ - נקיטת אמצעי הגנה סבירים מפני חדירה לקובץ ומפני שיבוש שעלול לפגום בנאמנות הקובץ למקור
שתי החתימות האלקטרוניות חייבות להיות חתימות מאושרות בהתאם לחוק חתימה אלקטרונית, התשס"א-2001. החתימה הראשונה יכולה להיות אוטומטית. החתימה השנייה חייבת להיות של אדם נפרד שמאמת את ההתאמה בין המקור לסריקה.
תקופת שמירה
כל מסמך חשבונאי - בין אם פיזי או דיגיטלי - חייב להישמר למשך 7 שנים ממועד הגשת הדוח השנתי לרשויות המס.
תנאים להשמדת המקור
גם אחרי שהסריקה בוצעה כהלכה, מותר להשמיד את המסמך המקורי רק כאשר מתקיימים כל התנאים הבאים:
- הסריקה עומדת בכל דרישות האיכות
- הארכיון הדיגיטלי נשמר כראוי
- הוגש דוח שנתי למס הכנסה (לפי סעיף 131) לשנת המס הרלוונטית
- דוח ניכוי מס במקור מספקים (טופס 856) הוגש
- אין הרשעות קודמות בעבירות רלוונטיות
- הנהלת החשבונות אושרה או שאין השגות תלויות
דרישות הארכיון הדיגיטלי
הארכיון הדיגיטלי עצמו חייב לעמוד בדרישות מוגדרות:
- מנגנון חיפוש מתקדם - אפשרות לאתר מסמך לפי סוג, תאריך, מספר ספק ופרמטרים נוספים
- ממשק גרפי עם אפשרות דפדוף בתיקיות
- יכולת ייצוא בפורמטים קבועים
- גיבויים סדירים
- המשכיות טכנולוגית - אמצעים סבירים להבטחת נאמנות הקבצים בעת מעבר בין טכנולוגיות
חוק הגנת הפרטיות - תיקון 13
תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, אושר באוגוסט 2024 ונכנס לתוקף תוך שנה ממועד אישורו. מדובר בתיקון המשמעותי ביותר לחוק מאז חקיקתו. לתיקון יש השלכות ישירות על כל גורם שמטפל במסמכים המכילים מידע אישי.
הגדרת מידע אישי
התיקון מרחיב את ההגדרה של מידע אישי: כל מידע הנוגע לאדם מזוהה או ניתן לזיהוי. זה כולל שמות, מספרי זהות, נתונים ביומטריים, נתוני מיקום ומזהים מקוונים.
חובות בעת טיפול במסמכים
ארגון שמטפל במסמכים של לקוחות - כולל סריקה ודיגיטציה - חייב לעמוד בדרישות הבאות:
- הגבלת מטרה - אסור לעבד מידע אישי מעבר למטרה שלשמה נאסף
- חובת גילוי - לפני איסוף מידע אישי, יש ליידע את בעל המידע על מטרת האיסוף, זהות הגורם האוסף, ופרטים נוספים
- אבטחת מידע - חובה ליישם אמצעי אבטחה בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017
- הודעה על אירוע אבטחה - חובת דיווח לרשות להגנת הפרטיות ולנפגעים במקרה של פריצה או דליפת מידע
מינוי ממונה על הגנת מידע (DPO)
התיקון מחייב מינוי ממונה על הגנת מידע במקרים הבאים:
- גופים ציבוריים
- מאגרי מידע לצורך שיווק ישיר הכוללים מעל 10,000 אנשים
- ארגונים שעיסוקם העיקרי כולל ניטור שיטתי של אנשים בהיקף משמעותי
- ארגונים שמעבדים מידע רגיש בהיקף נרחב (בנקים, בתי חולים, חברות ביטוח)
אכיפה וסנקציות
התיקון מעניק לרשות להגנת הפרטיות סמכויות אכיפה רחבות: ביצוע ביקורות, הוצאת צווים לעצירת עיבוד בלתי חוקי, מינוי מפקחים חיצוניים, והטלת קנסות כספיים. תקופת ההתיישנות לתביעות אזרחיות הורחבה מ-2 ל-7 שנים.
חוק הארכיונים
חוק הארכיונים, התשט"ו-1955, מהווה את המסגרת המשפטית לניהול ארכיונים במדינה. החוק רלוונטי בעיקר לגופים ציבוריים ומוסדות מדינה, אך קובע עקרונות חשובים לגבי שמירה וביעור של חומר ארכיוני.
תיקונים אחרונים לחוק מאפשרים סריקה של חומר ארכיוני במהלך תקופת השמירה וביעור המקור, בתנאי שהסריקה עומדת בדרישות שנקבעו להבטחת אבטחת המידע ושמירה על הפרטיות.
איך PlinerSpec עוזרת לעמוד בדרישות
שירות הסריקה שלנו תוכנן מהיסוד כדי לתמוך בעמידה בדרישות הרגולטוריות:
- עיבוד מקומי ולא מקוון - כל עיבוד המסמכים מתבצע על ציוד מקומי, ללא העלאה לענן או לשרתים חיצוניים. המידע שלכם לא עובר ברשת ולא נחשף לסיכוני צד שלישי
- שיתוף פעולה עם ספקי חתימה דיגיטלית - אנחנו עובדים עם ספקי חתימה אלקטרונית מאושרים כדי לוודא שהמסמכים הסרוקים עומדים בדרישת שתי החתימות
- ארכיון מאורגן ובר-חיפוש - כל מסמך עובר OCR ונשמר בארכיון מובנה שתומך בחיפוש לפי סוג, תאריך ופרמטרים נוספים - בדיוק כפי שהתקנות דורשות
- סודיות וטיפול מקצועי - כל פרויקט מלווה בהסכם שמגדיר בדיוק איך מטפלים במסמכים שלכם, מי נחשף אליהם, ומה קורה איתם בכל שלב
- תיעוד מלא - אנחנו מתעדים את כל תהליך הסריקה כדי שתוכלו להוכיח עמידה בדרישות בעת ביקורת
שאלות נפוצות בנושא רגולציה
כן, אם המטרה היא להשמיד את המסמך המקורי ולהסתמך על הגרסה הדיגיטלית בלבד. התקנות דורשות שתי חתימות אלקטרוניות מאושרות: אחת של הסורק שמאשרת שהמסמך נסרק בשלמותו, ושנייה של אדם נוסף שמאמת את ההתאמה בין המקור לסריקה.
הסריקה עצמה אינה בעייתית - הבעיה מתחילה אם משמידים את המקור בלי לעמוד בתנאים. במקרה כזה, ייתכן שרשויות המס לא יכירו במסמכים הסרוקים, מה שעלול לגרום לבעיות בעת ביקורת או שומה.
תקנות מס הכנסה קובעות חובת שמירה של 7 שנים מיום הגשת הדוח השנתי לשנת המס הרלוונטית. חובה זו חלה הן על מסמכים פיזיים והן על מסמכים דיגיטליים.
התקנות שנכנסו לתוקף ב-2013 חלות על תיעוד חוץ בלבד - מסמכים שהתקבלו מספקים וגורמים חיצוניים. מסמכים פנימיים שהופקו במחשב לא דורשים שמירה פיזית מלכתחילה. מסמכים פנימיים שנכתבו בכתב יד אינם נכללים בהסדר הסריקה הנוכחי.
חתימה אלקטרונית מאושרת מונפקת על ידי גורם מאשר (CA) שקיבל רישיון לפי חוק חתימה אלקטרונית, התשס"א-2001. לפרטים נוספים ולהנפקת חתימה, ניתן לפנות אלינו ונפנה אתכם לספק המתאים.
סריקה רגילה יוצרת עותק דיגיטלי של המסמך. סריקה תואמת רגולציה כוללת בנוסף: רישום במערכת חשבונאית, סימון כמסמך סרוק, שתי חתימות אלקטרוניות מאושרות, אמצעי אבטחה, ושמירה בארכיון דיגיטלי שעומד בדרישות חיפוש ואחזור. רק סריקה תואמת מאפשרת להשמיד את המקור.
צריכים עזרה עם עמידה בדרישות?
יש לכם שאלות לגבי סריקה תואמת רגולציה? פנו אלינו ונסביר בדיוק איך התהליך עובד עבור הארגון שלכם.
- אימייל: contact@plinerspec.com