EET – další dotazy na Finanční správu

V návaznosti na předchozí dotazy z ledna jsem poslal v souladu se zákonem o svobodném přístupu k informacím č. 106/1999 Sb. Finanční správě dne 26.2.2017 další dotazy s poznámkou, že dotazy i odpovědi zveřejním. Slib plním a zveřejňuji i odpovědi ze dne 14.3.2017.

Dotaz 1
Na daňovém portálu je stránka určená k ověření účtenky, kam lze zadat falešné údaje, a to i na DIČ existující firmy, která však nemá povinnost evidovat tržby. Tímto způsobem je možné se dopustit trestného činu pomluvy (§ 184 tr. z. č. 40/2009 Sb.), nebo křivého obvinění (§ 345 tr.z.). Jakým způsobem postupuje váš úřad, aby se nestal účastníkem trestného činu podle § 24 odst. 1 tr.z. tím, že jiným umožní a usnadní spáchání jmenovaných trestných činů? Tím spíše, že existence takové stránky je daná zákonem.

Odpověď
Předestřenou situaci Finanční správa ČR dosud neřešila, neboť nemá informace o tom, že by daná situace v praxi nastala. Z tohoto důvodu není tato problematika upravena v žádném materiálu a neexistuje ani jiný obdobný záznam, který by se dané záležitosti týkal. Informace z ověření účtenky Finanční správa ČR využívá k analytické činnosti.

Můj komentář
Zákon je zjevně hurá akce (plyne i z odpovědi na předchozí dotaz), při které nikdo neřešil související dopady.

Dotaz 2
Protože odesílání datových zpráv na portál finanční správy zajišťují soukromé subjekty (výrobci pokladen atp.), dochází (nebo může snadno docházet) k duplicitnímu sběru citlivých dat on-line u těchto subjektů. Tedy je zde vysoké riziko, že dojde k trestnému činu podle § 255 tr. z. Zákon ukládá povinnost evidovat hotovostní tržby tímto způsobem a poplatník nemá v drtivé většině případů žádnou možnost se vyhnout riziku zneužití údajů o svém provozu. Stát tímto umožňuje a usnadňuje jiným subjektům získávat ve velkém citlivá a zneužitelná data, ke všemu ještě on-line. Tedy stát se v takovém případě může stát účastníkem trestného činu podle § 24 odst. 1 tr. z. Jaká opatření finanční správa přijala, aby se nestala účastníkem trestného činu?

Odpověď
Jelikož pokladní a platební systémy existovaly i před zavedením EET, tato otázka nijak nesouvisí s elektronickou evidencí tržeb. Přístup soukromého subjektu k datům jiného soukromého subjektu je záležitostí smluvního vztahu mezi nimi. Finanční správě jsou zasílány pouze informace o celkové výši tržby a případně sazbách DPH. I tato rozsahem značně omezená data jsou přitom přenášena zabezpečeným šifrovaným přenosem a uložena v Národním datovém centru SPCSS (tedy nikoliv pod kontrolou soukromého, ale státního subjektu). Toto datové centrum je režimovým pracovištěm s řízeným přístupem, tedy zabezpečeno před přístupem neoprávněných osob (ozbrojená ochranka, kamerový systém apod.) Ochrana proti útokům z internetu je zajištěna řadou bezpečnostních opatření v návrhu sítě a systému. Provoz systému je sledován systémem bezpečnostního dohledu v souladu s požadavky zákona o kybernetické bezpečnosti. Přístup k datům má pouze malá skupina analytiků, s bezpečnostní prověrkou Národního bezpečnostního úřadu, a jejich přístupy do systému jsou striktně zaznamenávány.

Můj komentář
Už první věta je v daném kontextu nepravdivá, protože až od zavedení EET je připojení pokladen k internetu povinné. S tím pak úzce souvisí možnost stahování dat souběžně se zasíláním do datového centra a tedy i možnost jejich zneužití. Zabezpečený přenos do datového centra znamená jen to, že je chráněna komunikace proti odposlechu na lince, nikoliv proti souběžnému stahování dat výrobcem software pro pokladny. Zákon tak otevřel nové, obtížně dokazatelné možnosti pro kriminalitu podle § 255 tr. z. (zneužití informace a postavení v obchodním styku).

Dotaz 3
Jak finanční správa postupuje v případě, že se poplatník nemohl vyhnout porušení zákona? Zákon ukládá v § 22 písm. a) povinnost zaslat datovou zprávu do 48 hodin v případě poruchy spojení. Zároveň však ukládá v § 16 povinnost zacházet s autentizačními údaji a certifikátem tak, aby nemohlo dojít k jejich zneužití. V případě, že se nepodaří během pátku odeslat data a o víkendu je provozovna uzavřená, nelze splnit obě podmínky naráz. Protože buďto poplatník neodešle ve stanovené lhůtě data, nebo nesplní povinnost zacházení s autentizačními údaji a certifikátem tak, aby nemohlo dojít ke zneužití. Ponechání zařízení v chodu a opuštění provozovny je porušením § 16 zákona.

Odpověď
Podle § 30 odst. 3 zákona č. 112/2016 Sb., o evidenci tržeb, v platném znění (dále jen „zákon o evidenci tržeb“): „Právnická osoba a podnikající fyzická osoba za správní delikt neodpovídá, prokáže-li, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.“ Většina zařízení je přizpůsobena tak, že údaje odesílá okamžitě. V případě, že zařízení nefunguje správným způsobem a chyby se opakují, pak je na uživateli takovéto zařízení reklamovat případně změnit dodavatele.

Můj komentář
Podle popsané situace nemá poplatník možnost vyhnout se správnímu deliktu. Protože buďto neodešle data do stanovené lhůty, nebo nezajistí autentizační údaje nebo certifikát pro evidenci tržeb tak, aby nemohlo dojít k jejich zneužití. Tedy má na výběr v rámci § 29 odst. 2 mezi body a) nebo d). Delikt podle bodu d) je levnější a poplatník může doufat, že nedojde ke zneužití a tedy se na delikt nepřijde. Tristní situace…

Dotaz 4
Jakým způsobem lze postupovat vůči státnímu úředníkovi, který nabádá k porušování zákona například tím, že nabádá poplatníky k ponechání zařízení v chodu během víkendu (problém zabezpečení z předchozího bodu), aby zařízení mohlo odeslat datovou zprávu do 48 hodin automaticky po obnovení spojení?

Odpověď
V případě nesouhlasu s jednáním úředníka můžete podat stížnost podle § 261 zákona č. 280/2009 Sb. – proti nevhodnému chování úředních osob správce daně nebo proti postupu tohoto správce daně, neposkytuje-li daňový zákon jiný prostředek ochrany. Více informací naleznete na internetu Finanční správy – přímý odkaz http://www.financnisprava.cz/cs/informace-podle-zakona-106-1999sb/podani-opravnehoprostredku.

Můj komentář
Jedná se o reakci na odpověď uvedenou zde, v čase 21.2.2017 11:53. Dle mého názoru každý, komu taková situace hrozí, by měl podat stížnost pro ohrožení jeho podnikání. Šéf Finanční správy má problém řešit, nikoliv nabádat k porušování zákona.

Dotaz 5
Jak postupuje finanční správa v situaci, kdy poplatník není schopen nebo není způsobilý splnit nějakou zákonnou povinnost? Zákon ukládá v § 16 povinnost zacházet s autentizačními údaji a certifikátem tak, aby nemohlo dojít k jejich zneužití. Většina podnikatelů, zejména těch nejmenších, nechápe povahu autentizačních údajů a certifikátu a nemůže se vyhnout nepřiměřenému riziku tím, že svobodně posoudí rizika a evidence tržeb se nezúčastní. Z jejich pohledu je dostatečným zabezpečením zajištění zařízení proti krádeži. Takové zajištění však není dostačující – ke zneužití může dojít i po předání zařízení do servisu, nebo při instalaci nové verze software druhou osobou. Většina uživatelů nemá dostatečné znalosti ani schopnosti pro to, aby příslušné soubory uměli odstranit ze zařízení před servisním zásahem a opětovně je nainstalovat po servisním zásahu.

Odpověď
Podle § 28 odst. 1 a 2 zákona o evidenci tržeb: „Fyzická osoba se dopustí přestupku tím, že závažným způsobem úmyslně ztíží nebo zmaří evidenci tržeb. Za přestupek podle odstavce 1 lze uložit pokutu do 500 000 Kč.“ Viz odpověď na dotaz č. 2.

Můj komentář
Správná odpověď na dotaz je v § 29 odst. 2 bod d). Poplatník je tak vystaven hrozbě sankce za něco, co není v jeho silách ani možnostech ovlivnit. Zákon je tedy minimálně nemravný, protože pod hrozbou sankce ukládá povinnost, která je pro většinu lidí nesplnitelná.

Dotaz 6
Kolik procent úředníků finanční správy pracujících s počítačem umí prakticky ochránit certifikáty uložené v počítači v situaci, kdy je nutno zapnutý počítač zpřístupnit druhé osobě? A to v případě, že je úředník přítomen, ale i v případě, kdy se počítač dostává mimo dohled úředníka. Pokud takový průzkum nemáte, pak žádám o jeho provedení.

Odpověď
Všichni úředníci Finanční správy jsou povinni v oblasti bezpečnosti informací dodržovat vnitřní předpisy, tak aby nemohlo dojít k neoprávněnému zpřístupnění počítače druhé osobě. Oblast bezpečnosti informací je ošetřena vnitřními předpisy, které jsou povinni pracovníci dodržovat.

Můj komentář
Na to jsem se přece neptal. 🙂

 

Napsat komentář