Ali smejo davčne številke po spletu potovati nešifrirane?

Matej Kovačič

1. apr 2017 ob 00:42:16

Finančna uprava RS je 31. marca zavezancem poslala prvi sveženj informativnih izračunov dohodnine za leto 2016. Na svoji spletni strani so zavezancem omogočili, da preverijo ali je bil njihov informativni izračun dohodnine že odpremljen. Preverjanje poteka tako, da zavezanci v okence vpišejo svojo davčno številko, ki se posreduje spletišču eDavki, ki nato sporoči ali je bil informativni izračun že odpremljen ali še ne.

A težava je v tem, da je spletišče FURS (fu.gov.si) dostopno samo preko nešifrirane, HTTP povezave. Ko na to povezavo vpišemo davčno številko, se - kot je razvidno iz izvorne kode spletne strani - posreduje na nešifrirano različico portala eDavki. Če je davčna številka 10000003, je HTTP klic na eDavke sledeč: "http://edavki.durs.si/OpenPortal/Pages/Faq/Faq.aspx?qq=10000003".

Spletišče eDavki sicer nato samodejno preklopi v HTTPS šifriran način, a sama davčna številka je do tja v osnovi poslana nešifrirano. Hkrati nato spletišče - sicer šifrirano, a za to ni potrebna nikakršna prijava z digitalnim potrdilom - uporabniku razkrije, ali je oseba z vpisano davčno številko prejela informativni izračun dohodnine, ali ne.

To sicer načeloma ni problem, saj gre pri tem zgolj za preverjanje "naključne" 8-mestne številke (povsem naključna sicer ni, saj za njeno ustvarjanje obstajajo določena pravila).

A po drugi strani je davčna številka po mnenju Informacijskega pooblaščenca "tako kot EMŠO, enolični identifikacijski znak, ki posameznika nedvoumno določi".

Še več, če bi nekdo računalniško zgeneriral vse možne davčne številke in jih samodejno posredoval na spletišče eDavki. Pri tem je zanimiv zlasti podatek kdaj je bil neki davčni številki izdan informativni izračun. Glede na FURS-ovo sporočilo za javnost so bili namreč v prvi tranši informativni izračuni izdani rezidentom Republike Slovenije, ki so zavezanci za vložitev dohodninskih napovedi in niso uveljavljali vzdrževanih družinskih članov ali niso dosegali dohodkov iz dejavnosti ali nimajo katastrskih dohodkov. Na podlagi časa izdaje informativnega izračuna je torej mogoče sklepati tudi na nekatere "lastnosti" davčnega zavezanca - ali so uveljavljali vzdrževane družinske člane, ali so dosegali dohodke iz dejavnosti ter ali imajo katastrske dohodke.

Če bi preostale možne davčne številke preveril še po pošiljanju druge tranše informativnih izračunov, bi s tem dobil vse veljavne davčne številke fizičnih oseb. Številke poslovnih subjektov pa so tako ali tako že javne.

A še vedno, gre vendarle zgolj za golo številko, brez imena ali ostalih identifikacijskih podatkov, kajne?

No, zadeva morda le ni tako preprosta. Konec lanskega februarja je namreč Informacijski pooblaščenec bivšega in sedanjega predsednika Komisije za preprečevanje korupcije (KPK) Gorana Klemenčiča in Borisa Štefaneca ter generalno direktorico uprave za javna plačila Aleksandro Miklavčič oglobil zaradi neupravičenega posredovanja oziroma pridobivanja številk transakcijskih računov (TRR) fizičnih oseb, katerih transakcije so bile zabeležene pri upravi za javna plačila.

Pri tem je bilo zanimivo dejstvo, da transakcijski računi v Supervizorju niso bili povezani z imeni posameznikov. Uprava za javna plačila je namreč KPK v primerih fizičnih oseb posredovala le številko transakcijskega računa, proračunskega uporabnika, ki je denar nakazal na ta račun, datum transakcije ter znesek in namen plačila. Imen in priimkov prejemnikov in njihovih davčnih številk pa v primeru fizičnih oseb ni posredovala.

Nekateri smo se zato javno spraševali ali je lahko zgolj neka številka brez kakršnihkoli drugih identifikacijskih podatkov in brez povezave s konkretno osebo, res osebni podatek, ki zahteva pravno varstvo?

Informacijski pooblaščenec je takrat zavzel stališče, da je temu tako. Zdaj pa imamo na FURS podobno situacijo. S pomočjo preprostega preverjanja je mogoče za neko 8-mestno številko - sicer brez identifikacijskih podatkov - ugotoviti ali gre za davčno številko fizične osebe ali ne, ter za kakšnega dohodninskega zavezanca gre.

Zato bo nadvse zanimivo videti, ali bo Informacijski pooblaščenec tudi tokrat z enako vnemo ukrepal proti Finančni upravi RS. Konec koncev gre vendarle za “neselektivno posredovanje vseh davčnih številk, ki se beležijo pri FURS,” kajne?