Elektronický podpis v daňové správě

Elektronický podpis v daňové správě Michal Faltýnek Ministerstvo financí Ústřední finanční a daňové ředitelství Lazarská 7 110 00 Praha 1 e-mail: [email protected] Tomáš Hůlek IBM Česká republika s.r.o. Murmanská 4/1475 100 00 Praha 10 e-mail: [email protected] Pavel Rozsypal IBM Česká republika s.r.o. Murmanská 4/1475 100 00 Praha 10 e-mail: [email protected]

Klíčová slova: elektronický podpis, certifikační autorita, státní správa, daňová správa, kryptografie, elektronické daňové řízení Shrnutí: Článek se týká aplikace zákona o elektronickém podpisu v daňové správě České republiky, konkrétně v daňovém informačním systému ADIS. Je popsáno tzv. elektronické daňové řízení, které definuje bezpečnou vzájemnou komunikaci daňového poplatníka a příslušného správce daně. Jsou diskutovány technické, právní a organizační aspekty tohoto řešení. Článek uvádí přibližnou, neúplnou a pro účel konference „Systémová integrace 2001“ velmi zjednodušenou představu společného řešitelského týmu projektu ADIS (Automatizovaný daňový informační systém) – tj. Ministerstva financí a IBM - o možné variantě aplikace Zákona o elektronickém podpisu v daňové správě ČR. Popsaná koncepce odpovídá znalosti problému v březnu r. 2001. Žádným způsobem nepředjímá způsob, etapy, dobu realizace ani skutečnou konečnou podobu systému ADIS po zavedení Zákona o elektronickém podpisu, resp. zákonů, vyhlášek a předpisů souvisejících.

1. Aplikace zákona o elektronickém podpisu v daňové správě ČR V létě roku 2000 byl parlamentem České republiky schválen zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu, dále jen ZEP), který stanoví základní legislativní rámec použití různých moderních technologií pro vytváření a používání elektronicky uchovávaných dokumentů, které jsou rovnocenné s papírovými písemnostmi. Byl tím učiněn první nezbytný krok k rozvoji bezpečné a právně prokazatelné elektronické interakce občanů se státem, resp. obecněji jakýchkoliv jiných subjektů navzájem. Zákon stanoví nejen pravidla pro stanovení konkrétních technických požadavků na elektronický podpis a na nástroje k jeho vytváření a ověřování, ale též právní rámec procesů akreditace poskytovatelů certifikačních služeb, kteří budou působit ve státní správě. I když se elektronickým

SYSTEMS INTEGRATION 2001

401

MICHAL FALTÝNEK, TOMÁŠ HŮLEK, PAVEL ROZSYPAL

podpisem nejčastěji rozumí použití dnes široce rozšířených prostředků moderní digitální kryptografie, zákon se záměrně nezmiňuje o konkrétních technologiích. Vzhledem k současnému stavu technologie se tento dokument bude zabývat převážně aspekty spojenými s aplikací digitální kryptografie. Je důležité si uvědomit, že ZEP zdaleka legislativně neřeší všechny otázky (a to ani rámcově!) spojené s právně uznatelným používáním elektronických písemností, ale soustředí se výhradně na vlastní podepisování elektronických datových zpráv. Zejména neřeší otázku autentizace (tj. prokázání totožnosti) při elektronické komunikaci subjektů a její právní prokazatelnosti (princip neodmítnutelnosti elektronicky provedených operací), ani se nijak nezabývá důvěrností zpráv (např. kryptografickou ochranou šifrováním).1 Daňová správa určitě představuje důležitý komunikační bod mezi občanem – daňovým poplatníkem a státem. Stát požaduje po občanovi, resp. daňovém subjektu placení daní a ten naopak potřebuje kvalitní, rychlé a dobře zabezpečené služby styku s orgány daňové správy. Po schválení ZEP se (zejména méně informovaným novinářům) zdálo, že zavedení bezpečné elektronické komunikace s finančním úřadem (dále jen FÚ) je pouze otázkou několika málo měsíců a navíc otázkou čistě technickou. Bohužel ZEP je pouze (v řadě oblastí neúplným) rámcovým dokumentem, který bude muset být mnohem podrobněji rozpracován pro účely konkrétních použití ve veřejné správě v ČR. Pro používání elektronických písemností je zapotřebí stanovit výklad dosavadních ustanovení zákonných norem, které upravují používání písemných dokumentů. Toto není jen formální požadavek - od výkladu pojmů pro nové prostředí se budou odvíjet veškeré právní důsledky. Jedná se zejména o vyjasnění pojmů jako je podání daňových subjektů a účinnost podání, vydávání potvrzení podání, obecně problém doručování (tj. komunikace směrem k daňovému subjektu), definice procesů pro manipulaci s elektronickými písemnostmi včetně spisového řádu atd. Nejedná se o žádnou složitou překážku, nicméně řádná metodická příprava před nasazením je naprosto nezbytná. Technologie, které se v současné době pro provádění elektronického podpisu používají, jednoznačně určují, jaká detailní pravidla implementace bezpečnostní infrastruktury jednotlivé segmenty veřejné správy budou muset stanovit. Jsou to zejména: •

vybudování vlastní certifikační autority (dále jen CA) ve shodě s požadavky ZEP, resp. pověření jiné CA k výkonu činností akreditovaného poskytovatele certifikačních služeb (v souladu s § 10 ZEP) a její akreditace u Úřadu pro ochranu osobních údajů

•

bezpečnostní politika – zejména ve vazbě na Certifikační politiku použité CA (tzv. Certification Practice Statement), přesné stanovení typů certifikátů a jejich určení, podmínek jejich užití, pravidla procesu vystavování certifikátů, období jejich platnosti, jejich zneplatňování a režim zveřejňování seznamu zneplatněných certifikátů (CRL = Certificate Revocation List)

•

doplňkové údaje kvalifikovaného certifikátu (tzv. „zvláštní znaky podepisující osoby“ – viz § 12, ZEP) pro specifický účel daného certifikátu; např. specializovaný certifikát pro daňovou správu může obsahovat DIČ (Daňové Identifikační Číslo), nebo obecně certifikát pro fyzickou osobu zastupující právnickou osobu může obsahovat jednoznačnou identifikaci právnické

1

Některé informace jsou klasifikované jako utajované skutečnosti podle zvláštních předpisů (zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých dalších zákonů) a jsou pro ně stanovována pravidla pro zajištění důvěrnosti. Pro řadu dalších informací, pro které z jiných zákonných norem plyne nutnost ochrany (např. dle § 24 zákona č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů), však žádná pravidla pro zajištění důvěrnosti elektronických dokumentů neexistují.

402


ELEKTRONICKÝ PODPIS V DAŇOVÉ SPRÁVĚ

osoby a rozsah oprávnění, v rámci kterých může podepisující osoba danou právnickou osobu zastupovat. •

případná omezení hodnot transakcí, pro které lze certifikát použít (viz § 12 ZEP); např. horní hranice celkové částky příjmu na daňovém přiznání

•

způsob potvrzení identity podepisující osoby v případě rozporu mezi identifikačními údaji v certifikátu a v příslušném informačním systému – např. rozpor s Registrem daňových subjektů

•

způsob vzájemné autentizace (tj. právně relevantní vzájemné prokázání totožnosti) elektronicky komunikujících subjektů (vymezení příslušných protokolů); např. v daňové správě bude při komunikaci poplatníka se správcem daně po Internetu nutné, aby se příslušný server (tj. technické zařízení reprezentující podatelnu/výpravnu) autentizoval vůči poplatníkovi a ten tak měl jistotu, že je připojen opravdu k podatelně FÚ; naopak při on-line komunikaci poplatníka se správcem daně (např. při nahlížení do spisu) musí mít server správce daně jistotu, komu data poskytuje; jak bylo již zmíněno, autentizaci ZEP neřeší vůbec, ačkoliv je pro ni elektronický podpis základním prostředkem (např. podpis náhodného řetězce znaků zaslaného druhou stranou, popř. doplněného o vlastní řetězec znaků)

•

režim potvrzování časových údajů (timestamps) přijetí resp. odeslání datové zprávy (tj. např. elektronické písemnosti v daňovém řízení) k zajištění neodmítnutelnosti přijetí, resp. prokazatelnosti jejího odeslání

•

režim podepisování a zasílání potvrzení o přijetí elektronických písemností v případě hromadného příjmu automatizovaným systémem; např. podepisování potvrzení o doručení daňových přiznání zaslaných po Internetu příslušným serverem elektronické podatelny

•

případné trestní sankce (definované příslušnými zákony) při zneužití elektronického podpisu podepisující osobou (sankce v ZEP se vztahují pouze na akreditovaného poskytovatele certifikačních služeb); např. krádež dat pro vytváření elektronického podpisu (tajného klíče) a jeho případné následné zneužití, padělání certifikátu (jakkoliv se to nyní může zdát technicky „nemožné“) atd.

•

podmínky technické infrastruktury, které musejí splnit obě strany, jež si vyměňují elektronicky podepsané zprávy (zde se míní nejen nástroje elektronického podpisu ve smyslu ZEP, ale další, zejména komunikační nástroje, které umožní auditovatelnou výměnu zpráv ve smyslu bezpečného transakčního doručování zpráv a autentizace komunikujících stran)

•

předepsání struktury a popis významu položek elektronicky podepsaných zpráv. Zde je nutné klást důraz na možnost automatizovaného zpracování vyměňovaných dokumentů, která např. u nestrukturovaných informací je v podstatě vyloučena.

V oblasti daňové správy vyžaduje zavedení ZEP pro účel komunikace s poplatníky detailní definici procesů, které budeme v následujícím textu označovat jako Elektronické daňové řízení.

2. Elektronické daňové řízení Začněme velmi stručným a schematickým popisem základních procesů správy daní z pohledu interakce daňového subjektu a správcem daně (tj. FÚ a jeho podatelnou). Tento popis je znázorněn na Obr. 1.2

2

V dalším textu se serverem FÚ rozumí server speciálně určený pro vnější komunikaci po Internetu, nikoliv server aplikace ADIS.


403


Dnešní podoba daňového řízení Podávání písemností poplatníkem

Fin. úřad

Česká pošta Daň. přiznání

Podatelna Daňové přiznání

Daň. přiznání

Daňové přiznání Potvrzená kopie DaP

Správce daně

Poplatník (daň. poradce)

Podací lístek

St yk Př pře ím s ý po sty št k u

Obr. 1: Dvě nynější možnosti podání: 1. fyzickým předáním na podatelně (komunikace znázorněna pomocí přerušované čáry), 2. doručení prostřednictvím držitele poštovní licence (Česká pošta, komunikace znázorněna pomocí plné čáry) Obrázek ukazuje dva klasické způsoby podávání daňových přiznání (DaP): první je osobním doručením na podatelnu FÚ, druhý pak poštou – zpravidla doporučeně. Podstatné je, že v obou případech poplatník předá daňové správě jím autorizovaný (tj. klasicky podepsaný) listinný dokument, jemuž je přiděleno podatelnou datum přijetí a jehož převzetí je poplatníkovi zpětně potvrzeno. Analogicky můžeme postupovat při definici elektronického daňového řízení – viz Obr. 2. Automatizovaný výpočetní systém, který písemnosti na straně správce daně přijímá, potvrzuje a vydává dále nazýváme elektronická podatelna. Poplatník vyplní elektronický daňový formulář (DaP), který elektronicky podepíše, opatří svým certifikátem a odešle na podatelnu FÚ. Podatelna formulář přijme, přiřadí mu podací číslo a zaznamená datum přijetí, vystaví jím podepsané elektronické potvrzení a zašle je zpět poplatníkovi s platným certifikátem přejímajícího pracovníka podatelny. Elektronické potvrzení může popř. obsahovat celé podané DaP (stejně jako klasicky je potvrzována a předávána kopie DaP). Poté je DaP převzato do systému ADIS a zachází se s ním zcela analogicky, jako s listinným tiskopisem. Elektronické daňové řízení však může jít ještě dál a to ve smyslu možnosti elektronické komunikace správce daně s poplatníkem, při které je správce daně jejím iniciátorem (např. zaslání daňové písemnosti poplatníkovi) – viz Obr. 3. V tomto případě je situace výrazně komplikovanější, protože poplatník samozřejmě nemusí být trvale on-line připojen (na rozdíl od FÚ) k síti. Předpokládáme, že napřed FÚ vyšle e-mailem výzvu poplatníkovi (notifikaci), že tento má na elektronické podatelně připravenu písemnost k vyzvednutí.

404



Elektronické daňové řízení (1) Podávání písemností poplatníkem Fin. úřad

E-mail Browser

Elektronická podatelna

Dig. podpis Certifikát Poplatník (daň. poradce)

Daň. přiznání

Certifikát Privátní klíč

Internet

Dig. podpis Certifikát Potvrzení FÚ o přijetí písemnosti

Obr. 2 Scénář komunikace s poplatníkem, nutný pro realizaci elektronického podání pomocí internetového rozhraní elektronické podatelny. Potřebná funkcionalita je zabezpečena například prostřednictvím WWW aplikace poskytnuté poplatníkovi elektronickou podatelnou Poplatník, který obdržel výzvu, se připojí k serveru podatelny FÚ, zašle mu podepsanou žádost písemnost (kvůli ověření své totožnosti vůči FÚ) a v rámci téhož připojení (session) písemnost podepsanou správcem daně převezme. Příslušný program (např. applet stažený do poplatníkova prohlížeče) pak automaticky potvrdí FÚ přijetí písemnosti poplatníkem prostřednictvím podepsaného potvrzení přijetí písemnosti (tj. vystaví a na podatelnu FÚ odešle jím podepsanou „elektronickou doručenku“). Protože není na 100% zaručeno, že poplatník výzvu e-mailem skutečně obdrží (chybná e-mail adresa, poruchy sítě, poplatník se delší dobu k síti nepřipojil atd.), je možné např. výzvu zaslat elektronicky 3x a pokud není elektronická písemnost ve stanovené lhůtě vyzvednuta, lze a pak ji poslat klasicky poštou jako listinný dokument (na doručenku). Vzhledem k tomu, že dalším důležitým institutem daňového řízení je právo poplatníka nahlédnout do svého spisu, je možné též uvažovat o jeho elektronické podobě, především s výhledem na dálkový přístup. Příslušné schéma je uvedeno na Obr. 4. Je samozřejmé, že elektronické nahlédnutí do spisu se může týkat pouze písemností archivovaných v elektronické podobě (tj. data v databázi, popř. digitální „images“ listinných dokumentů) a tudíž plně nerealizuje klasické nahlédnutí. Elektronické nahlédnutí do spisu bude opět začínat poplatníkem podepsanou žádostí (ověřením totožnosti tazatele), přes vlastní odeslání požadovaných dat ze serveru FÚ až po přijetí potvrzení na FÚ o jejich převzetí poplatníkem.


405


Elektronické daňové řízení (2) Zasílání písemností poplatníkovi finančním úřadem Fin. úřad Výzva k převzetí písemnosti

Žádost o písemnost Poplatník (daň. poradce)


Písemnost od FÚ

Internet

Potvrzení přijetí písemnosti

Ověření totožnosti

Obr. 3 Scénář komunikace při elektronickém doručování poplatníkovi. Potřebná funkcionalita je docílena pomocí kombinace elektronické pošty zaslané poplatníkovi („Výzva k převzetí písemnosti“), a WWW aplikace podatelny, která následně poplatníkovi umožní písemnosti převzít (proti prokázaní totožnosti a potvrzení převzetí)

3. Praktická realizace bezpečné komunikace poplatníka s daňovou správou 3.1

Základní předpoklady

Při technické realizaci můžeme vyjít z následujících předpokladů: 1) Jde o komunikaci jedné organizace s velkým počtem „drobných klientů“. Tito klienti nemají v zásadě jiné technické vybavení než jsou osobní počítače a připojení k Internetu běžně dostupným aplikačním programovým vybavením a komunikačními protokoly. Klienti sami nemají žádnou motivaci k investicím do technické infrastruktury. 2) Jedná se o těsné sepětí s pojmy, které definuje zákon, proto i veškeré náležitosti certifikátů a použitých komunikačních prostředků musejí sledovat zákonné normy (na rozdíl od např. bank, které mají možnost definovat vlastní procesy pro účely elektronické komunikace s klienty). 3) Pro komunikaci je používán Internet, který poskytuje řadu služeb, za které nedává žádná osoba konkrétní garanci. To definuje dostupnost služeb (tj. např. zda je někdo odpovědný za doručení zprávy), registraci adres (tj. zda existuje možnost svázat spolehlivě elektronickou adresu s fyzickou či právnickou osobou), důvěrnost spojení atd. Z dostupných protokolů a technických prostředků je nutno vybrat takové, které splní nároky na výše popsaný účel elektronického daňového řízení. Z těchto předpokladů vychází následující návrh na technické řešení.

406



Elektronické daňové řízení (3) Nahlédnutí poplatníka do spisu na FÚ

Ověření totožnosti

Fin. úřad Žádost o nahlédnutí do spisu Poplatník (daň. poradce)

Podepsané elektronické dokumenty

Elektronický dokument

Internet

Potvrzení o převzetí dokumentu

Obr. 4 Scénář komunikace při nahlédnutí poplatníka do elektronického spisu s dálkovým přístupem. Potřebná funkcionalita je zabezpečena například pomocí WWW aplikace, která poplatníkovi umožní vyplnit formulář s žádostí, elektronicky tuto žádost podepsat, a po kontrole zpřístupní poplatníkovi příslušný spis

3.2 Certifikační autorita a certifikáty účastníků Pro daňovou správu by bylo zcela jednoznačně výhodné, aby sama měla pod kontrolou certifikační autoritu, která by vydávala certifikáty všem účastníkům elektronického daňového řízení. V tom případě by bylo možné, aby byly definovány vlastnosti certifikátu přesně tak, jak daňové řízení vyžaduje (tj. především označení účelu certifikátu s ohledem na potřeby daňového řízení – viz § 12, odst. 1, písm. i ZEP a jednoznačná identifikace poplatníka či správce daně v certifikátu). Dále by bylo možné svázat proces vydání certifikátu přímo s registrací daňového subjektu u správce daně. Je třeba pamatovat, že ve smyslu ZEP jsou vždy certifikáty vydávány fyzickým osobám (nikoli právnickým osobám či jiným organizacím). V případě využití certifikátů vydaných nezávislou certifikační autoritou lze nejjednodušeji splnit požadavek na jednoznačnou identifikaci poplatníka tím, že v certifikátu bude uvedeno daňové identifikační číslo (DIČ). Toto číslo bude ověřeno tak, že poplatník v procesu certifikace bude muset předložit registrační osvědčení vydané správcem daně. Existuje i jiná možnost, a sice že certifikát nebude určen specificky pro použití v daňové správě, nicméně umožní jednoznačné určení totožnosti podepisující osoby pouze na základě údajů obsažených v certifikátu. Např. u běžné fyzické osoby by certifikát obsahoval číslo sociálního pojištění (nyní zvažované jako perspektivní náhrada rodného čísla), u fyzické osoby-podnikatele by certifikát obsahoval obchodní jméno a IČO, u fyzické osoby zastupující právnickou osobu by obsahoval identifikaci fyzické osoby, obchodní jméno a IČO organizace a rozsah, ve kterém je podepisující osoba zmocněna zastupovat tuto organizaci. Že toto není jen požadavek státní správy ukazuje vznik certifikačních autorit v soukromé sféře, které se řídí podobnou politikou (např. certifikační autorita KPNQWEST Czechia a její politika na adrese https://ca.kpnqwest.cz/apl/CAU/manual.pdf).


407


V případě, že v certifikátu nebudou dostatečné informace pro určení totožnosti podepisující osoby, je možné tuto situace řešit tím, že daňová správa bude evidovat (zřejmě v rámci registru daňových subjektů), který certifikát je používán kterým poplatníkem (daňovým poradcem). To by zřejmě vyžadovalo, aby poplatník tuto skutečnost nějakým způsobem hlásil či prokázal. Přesto, že role e-mailu bude v daňovém řízení omezena (pouze notifikační oznámení), bude vhodné, aby adresa elektronické pošty byla součástí certifikátu a aby certifikační autorita tuto adresu ověřila. Potom bude zajištěno zasílání notifikací správcem daně na registrovanou adresu a navíc bude možno zajistit důvěrnost zpráv pomocí formátu S/MIME (a ten elektronickou adresu v certifikátu vyžaduje). Bude zřejmě nutností, aby privátní klíče používané fyzickými osobami k vytváření zaručeného elektronického podpisu byly vysoce bezpečně uloženy. Tomuto požadavku mohou při požadovaném masovém nasazení dobře vyhovět kryptografické čipové karty. Zajímavý je v tomto ohledu požadavek v návrhu prováděcí vyhlášky k ZEP, který předložil Úřad pro ochranu osobních údajů k mezirezortnímu připomínkovému řízení, Tento návrh požaduje, aby data pro vytváření elektronického podpisu byla uložena na nosiči, který bude hodnocen podle Federal Information Processing Standard (FIPS) 140-1 na úroveň bezpečnosti 2 (§ 16 odst. 3). Řešení bezpečnosti bude navíc vyžadovat, aby mimo vlastního elektronického podpisu fyzických osob byly vydány certifikáty pro následující účely: • pro daňovou správu pro elektronický podpis autorizovaného WWW software, který bude poplatník spouštět na svém počítači při připojení k WWW serveru podatelny FÚ • pro server elektronické podatelny tak, aby poplatník měl jistotu, že podání (a tedy důvěrné informace) předává opravdu daňové správě (tedy skutečnému správci daně).

3.3 Datové rozhraní Pokud má být elektronické daňové řízení opravdu cestou vpřed, je nutno vyvrátit veškeré neuvážené představy o tom, že podání budou moci mít formu libovolného nestrukturovaného elektronicky podepsaného textu. Vhodné by bylo, aby Ministerstvo financí vydalo jednotný soubor předpisů pro tvar elektronických podání, např. použitím jazyka XML a předpisem tvaru dokumentů pomocí XMLSchema pro všechna podání. Poplatník bude mít potom možnost buď vytvoření podání v požadovaném formátu přímo z jeho interního informačního systému, nebo (pokud takovou možnost nemá), využije WWW aplikaci s inteligentním interaktivním formulářem, kterou na Internet dá za účelem pořízení podání k dispozici Ministerstvo financí.

3.4 Komunikační protokoly Ideální by samozřejmě bylo, pokud by byl k dispozici spolehlivý systém pro doručování zpráv (včetně doručování asynchronního) mezi poplatníkem a daňovou správou. Takové systémy jsou však díky své náročnosti na investice a další zdroje víceméně omezeny na oblast elektronické komunikace B2B (tedy Business-to-Business, neboli mezi dvěma organizacemi). Protokol SMTP, který je jako jediný široce dostupný a použitelný na Internetu pro asynchronní předávání zpráv však potřebné vlastnosti nemá (zejména spolehlivost a možnost zaručení transakčního charakteru komunikace). Jeho použití proto bude omezené na nezávazné notifikace. Zbývá tedy v podstatě nutnost On-line komunikace. Zde v současnosti masově používané protokoly HTTP a HTTPS vyhoví v podstatě v plném rozsahu. Pomocí HTTPS (kde obě strany komunikace se budou prokazovat svými certifikáty a privátními klíči) bude možno splnit bezpečnostní principy důvěrnosti zpráv a autentizace komunikujících stran. Tímto protokolem lze předávat elektronicky podepsané a chráněné zprávy a další informace, které navíc mohou zajistit větší ochranu (principy autorizace, celistvosti, neodmítnutelnosti).

408



3.5 Programové vybavení a jeho rozhraní Pro předání hotových podání odpovídajících věcně i technicky požadavkům může dát Ministerstvo financí k dispozici veřejné WWW rozhraní elektronické podatelny. Předpokládá se komunikace dle zveřejněného scénáře, který bude zahrnovat předání elektronického podání v požadovaném tvaru a s patřičnou identifikací, základní kontrolu na straně elektronické podatelny, v případě chyb vrácení protokolu o chybách a v případě úspěchu vrácení elektronicky podepsaného potvrzení podání pro potřeby poplatníka. Celá řada drobných poplatníků nebude mít možnost vytvářet vlastními prostředky elektronická podání se všemi náležitostmi. Pro tyto účely bude Ministerstvo financí dávat na svém WWW serveru k dispozici aplikaci, která umožní poplatníkovi vyplnit dané podání (např. daňové přiznání), provede patřičné kontroly a poté vytvoří soubor požadované struktury a předá jej elektronické podatelně. Další scénář bude stejný jako v předchozím odstavci, tj. poplatník obdrží v případě úspěšného podání elektronicky podepsané potvrzení podání. WWW aplikace bude elektronicky podepsaná Ministerstvem financí, což zaručí poplatníkovi, že používá správný a autorizovaný program. Omezená forma tohoto řešení (tj. bez elektronického podpisu dat a předávání podání elektronické podatelně) funguje již více než rok pro daňové přiznání daně silniční (http://adis.mfcr.cz/adis/idsl). V každém případě projde podání před přijetím alespoň jednou aplikační kontrolou (ať už autorizovaným software ve WWW prohlížeči poplatníka, nebo v podatelně při příjmu v případě, že podání předává aplikace třetí strany). Potvrzení takové kontroly je vhodné k samotnému podání přiložit ve formě elektronického podpisu aplikace, která kontrolu provedla.

3.6 Práce elektronické podatelny Elektronická podatelna musí logicky provádět práci analogickou podatelně klasické, tj. provést základní kontrolu podání, zaevidovat a přidělit identifikaci došlé písemnosti, na základě aktuálního data a času vytvořit (pokud je požadováno) potvrzení o přijetí pro poplatníka a nakonec předat písemnost k dalšímu řízení správci daně. Řada těchto úkonů je zřejmá, je však třeba upozornit na některé problémy. 3.6.1

„Daňový čas“ a „elektronický notář“

Elektronická podatelna musí mít k dispozici referenční údaj o přesném čase, který bude vkládán jako časové razítko do potvrzení přijetí a do evidence písemností. Bude nutné, aby tento čas byl prohlášen za referenční i vzhledem k poplatníkovi. S tím bude těsně souviset nutnost vést referenční evidenci elektronických písemností. Pokud by to umožnil spisový řád, bylo by vhodné, aby ke každé elektronické písemnosti procházející podatelnou byla vytvořena kopie opatřená elektronicky podepsanými informacemi definujícími okolnosti podání a poté tato kopie byla uložena v bezpečném archivačním zařízení. Tento archiv by bylo možné použít kdykoli, kdyby došlo ke ztrátě písemnosti na jedné z komunikujících stran nebo by byly pochybnosti o provedení či obsahu podání. Velkou pozornost je třeba věnovat řešení kolizních situací, například při velké zátěží serveru podatelny obrovským počtem požadavků na konci lhůty pro podání daňového přiznání (ekvivalent fronty na finančním úřadě či na poště) nebo v případě, že některý uživatel se pokusí poškodit server tím, že jej zahltí velkým množstvím formálních či nekorektních podání. Pro tyto případy existují známá více či méně dokonalá technická řešení. Co však není vyřešeno, jsou legislativní a metodické výklady pro takovou situaci (za jakých okolností bude uživatel odmítnut v případě, že opakovaně podává písemnost; co ještě je a co už není - co se obsahu týče - platné podání; jak budou řešeny případné spory atd.).


409


3.6.2

Potvrzení podání

Dle zákona č. 337/1992 Sb. o správě daní a poplatků ve znění pozdějších předpisů má poplatník právo na potvrzení podání. Takové potvrzení vydává správce daně a technicky je provádí pracovník podatelny. Toto potvrzení je písemnost a v případě elektronické formy musí být elektronicky podepsána v souladu se ZEP. Zároveň ZEP říká, že podepisující osobou je fyzická osoba (§ 1), že prostředek pro bezpečné vytváření elektronického podpisu musí zajistit, aby data pro vytváření elektronického podpisu (zde privátní klíč) se vyskytla pouze jednou a byla chráněna proti zneužití třetí osobou, a že prostředek pro bezpečné vytváření elektronického podpisu nesmí zabraňovat tomu, aby podepisovaná data byla předložena podepisující osobě (§ 17 ZEP). Z toho vyplývá, že vydávání potvrzení podání není možné plně automatizovat (tj. vydávat potvrzení bez lidské obsluhy), protože elektronická potvrzení podepisuje pracovník podatelny svým klíčem, který je chráněný, a vydávání potvrzení musí být pod kontrolou podepisující osoby. Jak je patrno, takové požadavky zásadním způsobem ovlivní činnost elektronické podatelny co se týká technického řešení, personálního zabezpečení a operativnosti práce podatelny (např. situace, kdy v poslední minutě zákonné lhůty je podáno obrovské množství podání). Poplatník 1 Pořízení údajů podání

stažení autorizované aplikace k DS, předání souboru DAP na MF ČR, převzetí potvrzení podání či jiné písemnosti

Přijetí podání, kontrola, zaevidování pod číslem a časem podání, vydání potvrzení, předání podání k dalšímu zpracování

WWW prohlížeč WWW formulář podání, předání podání podatelně a příjem písemností zpět

https

MF

https

Bezpečný archiv

Poplatník 2

Interní informační systém poplaníka generuje podání v požadovaném tvaru, je schopen převzít písemnosti od správce daně

smtp

smtp


Daňová správa Správce daně

ADIS

Notifikační zprávy (mohou být el. podepsané a šifrované)

Obr. 5 Zjednodušené schéma technologického provedení celého řešení elektronické podatelny a její napojení na poplatníka DS = daňový subjekt. DAP = daňové přiznání.

410



3.6.3 Veřejné rozhraní podatelny Podatelna může kromě samotného přijímání podání také poskytovat informační servis poplatníkům. Jako minimum takové služby lze jistě implementovat možnost, aby poplatník nahlížel do evidence vlastních písemností (tj. aby sledoval zpracování jím podaných elektronických písemností). V budoucnu by bylo možné toto rozhraní rozšířit o kompletní WWW servis pro poplatníky, včetně možností průvodců daňovými povinnostmi poplatníka, sledování vlastního daňového řízení poplatníka a nahlížení do spisu s dálkovým přístupem, automatické notifikace poplatníkům, kterým se blíží lhůta pro podání DAP, a podobně. Tato problematika však přesahuje zaměření tohoto příspěvku.

3.7 Celkové schéma komunikace poplatníka s daňovou správou Obr. 5 ukazuje ve zjednodušené podobě technické schéma komunikace poplatníka a správce daně. Celková problematika je pochopitelně mnohem složitější. V obrázku není znázorněna vazba na použitou certifikační autoritu a její procesy, doplněna by mohla být další manipulace s písemnostmi u správce daně apod.

Literatura 1.

DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Community framework for electronic signatures, http://europa.eu.int/comm/internal_market/en/media/sign/Dir99-93-ecEN.pdf

2.

Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), http://www.mvcr.cz/sbirka/2000/sb068-00.pdf

3.

Zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, další daňové zákony a vyhlášky

4.

Návrh Vyhlášky Úřadu pro ochranu osobních údajů o povinnostech poskytovatelů vydávajících kvalifikované certifikáty a o požadavcích, které musí splňovat nástroje elektronického podpisu, verze ze dne 9. března 2001, http://www.uoou.cz/vyhlaska.pdf

Summary Possible strategies for the adoption of electronic signature in the taxation administration in the Czech Republic are discussed, primarily in connection with the Czech Electronic Signature Bill. The discussion focuses on the optimal implementation of the taxpayer-to-taxation administration communication scenarios and their links to the Automated Taxation Information System. Taking into account the existing legislative conditions and the state of computer technology and digital cryptography, the requirements for electronic taxation process are formulated,. While all the necessary standards(mainly legislative and administrative) are not yet fully effective, it is possible to formulate the main features of a solution which would satisfy the inevitable legal requirements, use a technology accessible to the general public and, at the same time, improve the efficiency of processing in the taxation administration. Such a solution is proposed and described.


411


412


Elektronický podpis v daňové správě

Recommend Documents