Za nějaké dva a půl měsíce to bude už šest let, co v ČR fungují datové schránky. A dosavadní trend byl takový, že možnosti jejich využívání přibývaly. Tu a tam se objevila nějaká nová možnost, jak a k čemu datovou schránku využít. Někdy se dokonce jednalo i o povinnost použít elektronickou formu, a nikoli jen o možnost.
Nyní je ale na obzoru zásadní obrat: poprvé by takováto možnost mohla naopak ubýt, resp. zaniknout. Přichází s tím resort financí, v rámci návrhu „zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o evidenci tržeb“, a který reaguje na výsledky již proběhlého připomínkového řízení k návrhu elektronické evidence tržeb.
Tento nový návrh například převádí stravovací služby ze základní sazby daně (21 %) do první snížené sazby daně (15 %). Kromě toho fyzickým osobám, které budou povinné vést elektronickou evidenci tržeb, přiznává jednorázovou slevu na dani z příjmu (ve výši až 5000 Kč).
V tomto článku se ale zaměříme na změny, které se týkají elektronizace. Přesněji: samotné elektronické formy komunikace se správcem daně. A ještě přesněji: výčtu možností takovéto komunikace, které správce daně hodlá nadále připouštět – u podání k dani z přidané hodnoty.
Přes datové schránky? Už ne!
Dnes je situace taková, že podání v elektronické formě je možné dopravit ke správci daně dvěma různými způsoby:
- přes „elektronickou podatelnu orgánů Finanční správy“, kterou je „společné technické zařízení správců daně“, známé jako „daňový portál veřejné správy“, a ve stručnosti jen jako „portál EPO“: nachází se na adrese https://adisdpr.mfcr.cz/adistc/adis/idpr_epo/epo2/uvod/vstup.faces, ale lze se na něj dostat i zkratkou přes www.daneelektronicky.cz
- skrze datovou schránku
Jak asi již tušíte z předchozí části článku, podstatou změny je vypuštění druhé možnosti. Tedy možnosti dopravit správci daně podání skrze datovou schránku. Nově by měla zůstat už jen první možnost (přes portál EPO).
Nemělo by se to ale týkat všech podání vůči správci daně, nýbrž jen podání v rámci agendy DPH (tj. podání, spadajících pod zákon č. 235/2004 Sb., o dani z přidané hodnoty). A i zde jen těch podání, které vyjmenovávají odstavce 1 a 2 paragrafu 101a zákona o dani z přidané hodnoty, kterého se změna týká (a který by měl být novelizován). Konkrétně jde o:
- daňové přiznání nebo dodatečné daňové přiznání,
- kontrolní hlášení nebo jiné hlášení, s výjimkou hlášení podle § 19,
- přílohy k daňovému přiznání, dodatečnému daňovému přiznání nebo hlášení
- souhrnné hlášení nebo následné souhrnné hlášení,
- přihlášku k registraci nebo oznámení o změně registračních údajů; to neplatí pro identifikované osoby
Celou změnu pak „zařizuje“ následující odstavec, nově vkládaný (jako odstavec 4) do zmíněného §101a zákona o DPH:
Účinky podání uvedených v odstavcích 1 a 2 nemá úkon, který je učiněn datovou zprávou odeslanou prostřednictvím datové schránky.
Další změny
Další změny pak přináší vypuštění stávajícího odstavce 3 §101a zákona o DPH. Ten dnes uděluje výjimku z povinné elektronické komunikace „malým“ plátcům DPH z řad fyzických osob (v závislosti na výši jejich obratu). Nově navrhované znění tohoto odstavce řeší něco úplně jiného – což znamená, že dosavadní výjimka pro „malé“ plátce DPH zanikne.
Nejprve si toto nově navrhované znění odstavce 3 ocitujme:
(3) Podání uvedená v odstavcích 1 a 2 lze učinit elektronicky pouze datovou zprávou ve formátu a struktuře zveřejněné správcem daně
a) podepsanou uznávaným elektronickým podpisem,
b) s ověřenou identitou podatele způsobem, kterým se lze přihlásit do jeho datové schránky,
c) s ověřenou identitou podatele prostřednictvím certifikátu pro evidenci tržeb, nebo
d) dodatečně potvrzenou za podmínek uvedených v daňovém řádu.
Zmínka o povinnosti dodržet předepsaný formát a strukturu by měla být spíše jen upřesněním, protože tato povinnost by již dnes měla vyplývat z jiných ustanovení (konkrétně z §72 daňového řádu). Jde přitom o povinnost dodržet konkrétní formát na bázi XML, jehož definice jsou zveřejněny zde.
V následném výčtu pak pochopitelně chybí zmínka o možnosti učinit podání datovou zprávou „odeslanou prostřednictvím datové schránky“ – když už správci daní nechtějí podání (k DPH) přes datové schránky přijímat, a připouští jen podání přes EPO.
Co naopak zůstává, je možnost poslat podání skrze EPO, a „podepsat ho“ pomocí přihlášení k datové schránce (viz možnost b). Tedy – v nejjednodušším, a také nejméně bezpečném případě – zadáním jména a hesla, kterým se dotyčná osoba jinak přihlašuje k datové schránce.
Tato možnost tak vlastně znamená, že datové schránky nadále „zůstávají ve hře“ – ovšem nikoli jako transportní služba (pro přenos zpráv), ale jen jako služba, umožňující identifikaci a autentizaci konkrétní osoby.
Stejně tak zůstává „ve hře“ i možnost d, s tím že podání činěné přes EPO není vůbec elektronicky podepsáno (ani přihlášením do datové schránky), ale dodatečně potvrzeno „papírově“ (doručením vlastnoručně podepsaného „papírového“ potvrzení).
Skutečnou novinkou je ale možnost c, která zmiňuje použití „certifikátu pro evidenci tržeb“. Fakticky by se jednalo o použití soukromého klíče, ke kterému byl onen certifikát pro elektronickou evidenci tržeb vystaven. Ale to je spíše technický detail.
Podstatnější je to, co ze samotné možnosti c vyplývá: že všechny subjekty, kterých se bude elektronická evidence tržeb týkat, budou muset pracovat s elektronickými podpisy, resp. elektronickými značkami, a s tomu odpovídajícími prostředky. Ostatně, ono to vyplývalo už i z dosud zveřejněných informací, podle kterých mají být jednotlivé zprávy o konkrétních tržbách elektronicky podepisovány (přesněji: opatřovány elektronickými značkami).
Jen dosud nebylo jasné, zda půjde o „silnější“ řešení v podobě uznávaných elektronických značek (resp. kvalifikovaných elektronických pečetí) – nebo zda resort financí půjde cestou „slabších“ forem elektronického podpisu/značek, které nevyžadují kvalifikované certifikáty a použití bezpečných (kvalifikovaných) prostředků.
Dnes, z citované možnosti c, je zřejmé, že finance chtějí jít právě onou cestou „slabších“ elektronických podpisů. Nejspíše proto, aby potřebné certifikáty mohli správci daně vystavovat sami, a povinným subjektům je mohli poskytovat zdarma. Potvrzuje to i důvodová zpráva k popisovanému návrhu (která říká, že i tato „slabší“ forma je stále lepší než dodatečné potvrzení „na papíře“):
Novinkou je v tomto ohledu třetí způsob autentizace, který využívá certifikát pro evidenci tržeb. Je tak zohledněno, že významná množina daňových subjektů bude muset povinně (a bezplatně) získat tento certifikát, aby mohla plnit základní evidenční povinnosti předvídané v návrhu zákona o evidenci tržeb. Jako logickým krokem z hlediska zásady hospodárnosti se tak jeví, aby zde existovala možnost využít daný certifikát i pro autentizaci podání. Ačkoli daný certifikát nezajišťuje tak vysoký standard, jako kvalifikovaný certifikát využívaný v rámci uznávaného elektronického podpisu, stále se jedná o vyšší míru ochrany (jistoty), než je dána u použití zmíněných e-tiskopisů.
Proč už ne přes datové schránky?
Vraťme se ale zpět k samotnému záměru nepoužívat datové schránky pro samotný přenos podání (k DPH). Jaké argumenty pro takovýto krok předkládají autoři návrhu? Odpověď lze nalézt v důvodové zprávě, která je jednou ze součástí zveřejněného návrhu.
Obecným argumentem navrhovatele je to, že správce daně chce být co nejvíce efektivní. Proto požaduje elektronickou formu, a to v takovém formátu, jaký si sám předepíše (viz výše, požadavek na dodržení zveřejněného formátu a struktury). Jenže ani to správci nestačí a požaduje ještě to, aby mu podání bylo učiněno „vhodným způsobem“. Takovým, aby s podáním měl „co nejméně práce“. A právě zde mu datové schránky již nevyhovují:
Druhý z uvedených způsobů odeslání datové zprávy (tj. odeslání datovou schránkou) se však z hlediska testu efektivity zpracování zmíněných formulářových podání jeví jako významně horší zejména z těchto důvodů: (i) nedostatečná kapacita, (ii) nižší ochrana údajů, (iii) nemožnost využít automatizované hlídání chyb, a to jak z hlediska dodržení požadovaného formátu a struktury, tak z hlediska některých obsahových položek.
Jedním z konkrétních argumentů je tedy to, že při posílání podání přes EPO lze provádět různé kontroly obsahu podání automatizovaně a hlavně ještě předtím, než je podání vůbec učiněno (odesláno). Takže správce dostává už jen taková podání, která úspěšně prošla takovouto kontrolou přímo na portálu EPO.
U datových schránek takovéto kontroly skutečně nejsou možné – systém datových schránek je pouze přenosovým mechanismem, který se nezajímá (a ani nesmí zajímat) o to, co je obsahem datových zpráv. Správce daně proto může obdržet skrze datovou schránku i taková podání, která neprošla (a neprošla by) jeho strojovou kontrolou, jak ostatně upozorňuje i na obrázku. No a s řešením takovýchto podání (s chybami) pak má určitou práci navíc, které se nyní chce zbavit – a to výše popisovaným úplným zákazem použití datových schránek pro podání v rámci DPH.
Byl by to sice spor s ustanovením zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi, který obecně říká, že skrze datové schránky lze činit podání vůči orgánům veřejné moci. Jenže zákon č. 235/2004 Sb., o dani z přidané hodnoty, novelizovaný výše popsaným způsobem, by vůči obecnému ustanovení v zákoně č. 300/2008 Sb. (v pozici „lex generalis“) byl v postavení „lex specialis“, a pro konkrétní (speciální) účel, kterým jsou popisovaná podání k DPH, by měl přednost.
Datové schránky nejsou dost velké
Důvodová zpráva k popisovanému návrhu ale přináší i další konkrétní argumenty pro svou snahu nepoužívat datové schránky.
Jedním z těchto argumentů má být nedostatečná velikost datové zprávy, přenášené skrze datové schránky:
Pro uvedená formulářová podání, zejména hlášení, s ohledem na jejich podstatu je charakteristická jejich značná velikost. U některých druhů podání dochází k převýšení velikosti podání přes limit 10 MB, což fakticky diskvalifikuje podávání skrze datové schránky
Zajímavé je, že samotné EPO dovoluje připojit k podání přílohy v elektronické podobě jen do celkového objemu 4 MB:
Pravdou ale je, že tato hodnota je „v jeho moci“ (nastavuje si ji sám provozovatel portálu EPO), zatímco u datových schránek by o zvětšení musel žádat jejich správce, což je jiný resort (MV ČR). Přitom zvětšení objemu datových zpráv možné je: datové zprávy, určené pro automat PVS (Portálu veřejné správy) mohou mít až 50 MB.
Datové schránky nejsou dost bezpečné?
Dalším argumentem, který uvádí důvodová zpráva, má být „ii) nižší ochrana údajů“ na straně datových schránek, oproti portálu EPO:
ii) V případě některých formulářových podání, zejména kontrolních hlášení, přináší podávání skrze daňový portál finanční správy benefit zvýšené ochrany údajů uváděných v kontrolních hlášeních. Bezpečnost a ochrana údajů je na rozdíl od jiných elektronických podání zvýšena tím, že přístup k údajům bude mít omezený počet pracovníků Finanční správy České republiky za zvýšených bezpečnostních opatření (šifrování, logování). Zvýšenou bezpečnost dat nelze zabezpečit jiným způsobem, než podáváním na společné zařízení správce daně, tj. přes zmíněný portál.
Není zde sice explicitně řečeno (napsáno), že by datové schránky byly málo bezpečné a nezajišťovaly dostatečnou ochranu údajů, ale je to (podle mého názoru) naznačováno nepřímo – jako kdyby snad správce či provozovatel datových schránek (MV ČR, resp. Česká pošta) směli vstupovat do datových schránek jiných subjektů, či nemuseli nezajišťovali náležitou míru bezpečnosti (obojí řeší odstavce 5 a 6 §14 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi).
Zde se obávám, že autoři popisovaného návrhu poněkud argumentačně „ujeli“, a vyvolají zbytečně ostrou reakci „lidí od datových schránek“. Ti nejspíše nebudou příliš nakloněni ani samotné snaze správců daně přestat přijímat podání, přicházející skrze datové schránky.
Jsou i jiné argumenty proti datovým schránkám?
Zajímavé je, že autoři návrhu mohli pádně argumentovat i jinými skutečnostmi, kvůli kterým datové schránky skutečně nemusí být vhodné pro konkrétní podání.
Jde například o to, že v případě datových schránek se příjemce nedozví, kdo konkrétně vůči němu podání činí. Dozví se pouze to, z jaké datové schránky podání přichází – ale už se nedozví, která konkrétní fyzická osoba podání do datové schránky vložila a zadala jeho odeslání. To je problém hlavně kvůli tomu, že takovéto podání nemusí být podepsáno, ale díky tzv. fikci podpisu se na něj má hledět, jako kdyby podepsáno bylo. Ale kým?
Samotný informační systém datových schránek tolik potřebnou informaci („která konkrétní osoba odeslala …“) sice má, ale příjemci ji neposkytuje. Činí tak pouze na explicitní žádost odesílatele, pokud ten při odesílání z vlastní vůle zaškrtne (jinak nezaškrtnutou) volbu, požadující vložit do odesílané datové zprávy informaci o jeho identitě.
Jinak, bez této dobrovolné volby (která se v praxi moc nevyužívá), se příjemce dozví pouze to, zda podání do příslušné datové schránky vložila osoba vystupující v postavení oprávněné osoby, nebo v postavení pověřené osoby. Ale už se nedozví, která konkrétní osoba to byla. Existuje ale ještě třetí možnost, kdy se příjemce dozví, že zprávu do datové schránky vložila nějaká aplikace (například spisová služba).
Celé je to ekvivalentní situaci, kdyby na berňák přišla firemní obálka se závazným podáním „na papíře“, které ale nemusí být nikým podepsáno. Má se příjemce zajímat o to, zda takovéto podání (které může mít opravdu závažné důsledky) vyplnil a odeslal jednatel firmy, či jen jeho sekretářka, která ale nemá oprávnění jednat jménem firmy? Nebo snad zhrzený zaměstnanec, který se chce svému zaměstnavateli za něco pomstít? Nebo úplně kdokoli, kdo má přístup ke spisové službě ve firmě (oné aplikaci)? Nebo se příjemce takovýmito „drobnostmi“ vůbec nemá zatěžovat?
Vše je přitom důsledkem ne úplně vydařené koncepce našich datových schránek, které jsou postaveny na principu komunikace mezi schránkami. Nikoli na komunikaci mezi osobami. Problém je v tom, že kolem jedné datové schránky se může „motat“ apriorně neomezený počet lidí, a to v různých rolích (hlavně oprávněných a pověřených osob). A naopak, jedna fyzická osoba se může „motat“ kolem apriorně neomezeného počtu datových schránek, a to v různých rolích. Ačkoli systém datových schránek vždy přesně ví, kdy, kdo a v jaké roli něco dělal s konkrétní datovou schránkou, raději si to nechává pro sebe. Možná proto, aby tím lidi „zbytečně“ nemátl ….
Když nyní správci daně chtějí odmítnout datové schránky jako přenosový kanál, právě popsaného problému se fakticky zbavují (byť tím neargumentují). A když nadále umožňují „podepsat“ podání skrze přihlášení k datové schránce, vlastně tím řeší i dílčí problém toho, že informační systém datových schránek si důležité informace nechává jen pro sebe (když nesděluje, kdo konkrétně pracoval s datovou schránkou při odesílání nějakého podání).
Protože když podávající na portále EPO „podepisuje“ (autentizuje) své podání způsobem, jakým se přihlašuje ke své datové schránce, pak k tomu používá své přihlašovací údaje ke konkrétní datové schránce v konkrétní roli – a EPO tyto údaje předává informačnímu systému datových schránek k ověření jejich validity. A zpět dostává jak údaje o schránce, tak i údaje o konkrétním uživateli (jejichž předání musí uživatel odsouhlasit, viz obrázek).
Díky tomu se EPO dozví i to, o koho konkrétně jde. Tedy kdo dané podání právě činí. Což by se z datové zprávy, doručené z jedné datové schránky do jiné datové schránky, dozvědět nemusel.