Zapisi in dokumenti iz področja prava, človekovih pravic in tehnologije.

Šifriranje med končnimi točkami ali centralizacija šifriranja?

Šifriranje celotne komunikacijske poti, znano tudi kot šifriranje med končnimi točkami oz. z angleškim izrazom end-to-end encryption, je koncept, ki je sicer znan že dolgo časa, a popularnost je pričel pridobivati šele v zadnjih letih. Vendar pa na področju šifriranja komunikacij obstajata dva koncepta.

Centralizirana šifrirana infrastruktura

Prvi koncept predvideva centralizirano šifrirno infrastrukturo. Komunikacija med uporabniki oziroma končnimi napravami (terminali) tam poteka preko centralnega strežnika (lahko jih je tudi več, bistveno je, da so med seboj ustrezno usklajeni). Šifrirna seja se vzpostavi med napravo in centralnim strežnikom, strežnik nato poskrbi za povezavo z drugimi končnimi napravami in z vsakim parom (končna naprava – strežnik), se vzpostavi ločena šifrirana seja.

Tak način šifriranja uporabljajo med drugim tudi ponudniki spletne elektronske pošte in nekateri ponudniki internetne telefonije. Poglejmo si tipičen primer. Ko uporabnik A želi z odjemalcem internetne telefonije (VoIP) poklicati uporabnika B, ki je prijavljen na isto telefonsko centralo, komunikacija poteka takole:

  • med VoIP odjemalcem uporabnika A in VoIP strežnikom se vzpostavi TLS šifrirana komunikacijska seja;
  • po tej šifrirani povezavi uporabnik na strežnik pošlje zahtevo za klic uporabnika B;
  • sporočilo se na strežniku dešifrira in strežnik začne klicati uporabnika B;
  • ko uporabnik B odgovori na klic, se med njegovim VoIP odjemalcem in VoIP strežnikom vzpostavi druga šifrirana komunikacijska seja;
  • podatki (govorna komunikacija) sedaj v šifrirani obliki tečejo od uporabnika A do VoIP strežnika ter nato od tam dalje do uporabnika B – in obratno (ker je komunikacija seveda dvosmerna).

Komunikacija torej poteka preko centralnega strežnika, šifriranje pa poteka od prve naprave do centralnega strežnika, na strežniku se komunikacija dešifrira in nato ponovno šifrira za drugo napravo, kamor se komunikacijski paketki na koncu tudi pošljejo.

Ta sistem zato predvideva, da uporabniki zaupajo centralnemu strežniku oziroma, da ima upravljavec ta strežnik pod lastnim nadzorom. Centralni strežnik namreč v tem primeru predstavlja “točko zloma” (angl. single point of failure), saj je na strežniku mogoče prisluškovanje komunikacijam. Poleg tega strežnik lahko beleži prometne podatke – kdo komunicira s kom, kdaj in koliko časa.

To pa pravzaprav lahko ugotovi tudi napadalec, ki nima dostopa do strežnika. Če namreč napadalec uspe prisluškovati komunikacijam centralnega strežnika, bo lahko ugotovil kdaj je npr. nek odjemalec internetne telefonije s telefonskim strežnikom vzpostavil šifrirano povezavo, v naslednjem trenutku pa je VoIP strežnik poiskal drugo napravo ter z njo vzpostavil drugo šifrirano sejo. S pomočjo korelacijske analize bo nato opazoval količino podatkov, ki se pretaka med uporabnikom A in strežnikom ter jo primerjal s količino podatkov, ki se pretaka med uporabnikom B in VoIP strežnikom. Čeprav so podatki šifrirani, bo napadalec lahko z veliko gotovostjo ugotovil kdo komunicira s kom in tudi v kakšnem obsegu. To je še posebej enostavno, če je komunikacijskih sej na strežniku razmeroma malo in če je komunikacijska infrastruktura močno centralizirana (torej da se uporablja samo en centralni strežnik in ne na primer oblak več, med seboj povezanih strežnikov).

Šifriranje med končnimi točkami

Precej drugačen pa je koncept šifriranja pri šifriranju celotne komunikacijske poti oziroma šifriranju med končnimi točkami. Tam se šifrirana seja vzpostavi med posameznima končnima točkama (terminaloma), kar pomeni, da so komunikacije šifrirane na celotni komunikacijski poti od uporabnika A do uporabnika B. Zato jim ne more prisluškovati ne ponudnik omrežne infrastrukture, niti ponudnik komunikacijske storitve (operater).

Komunikacija v tem primeru lahko poteka čez centralni strežnik ali pa tudi ne. Tovrstni sistemi za vzpostavitev povezave med končnimi napravami sicer večinoma uporabljajo centralno infrastrukturo, a centralna infrastruktura lahko služi zgolj za iskanje naprav in njihovo povezavo (deluje kot nekakšen telefonski imenik). Mimogrede, komunikacija med odjemalcem in strežnikom, kjer klicoči odjemalec strežnik prosi za povezavo z odjemalcem, ki ga kliče, ravno tako poteka šifrirano. Vsa nadaljnja komunikacija, tako izmenjava šifrirnih ključev, kot tudi izmenjava šifriranih sporočil nato lahko poteka neposredno med posameznimi napravami (tim. peer-to-peer, P2P). Korelacijsko analizo je zato precej težje izvesti, še zlasti, če je na strežniku veliko prometa.

Nekateri sistemi pa sploh ne predvidevajo centralne infrastrukture, pač pa iskanje tim. omrežnih vrstnikov (angl. peer) poteka popolnoma decentralizirano (navadno s pomočjo sistema DHT – Distributed Hash Table). Taki sistemi omogočajo tudi neovirano komunikacijo med napravami, ki se nahajajo v povsem izoliranem omrežju.

Pri takih sistemih prisluškovanje komunikacijam na vmesni infrastrukturi (torej kjerkoli med končnimi napravami) ni mogoče, oteženo pa je tudi beleženje prometnih podatkov. Centralni strežnik sicer lahko vidi kateri dve posamezni napravi sta se povezali in kdaj, a če nadaljnja komunikacija med njima poteka neposredno, centralni strežnik ne more ugotoviti časa trajanja komunikacije in količine prenesenih podatkov. Pri popolnoma P2P komunikaciji pa niti to ni mogoče oziroma je v najslabšem primeru bistveno oteženo.

Če tak sistem omogoča uporabo anonimnih identitet in če uporabniki do sistema dostopajo preko posredniških strežnikov ali anonimizacijskega omrežja, je celotna komunikacija med uporabniki ne samo šifrirana, pač pa tudi (skoraj) povsem anonimna (popolno anonimnost je sicer težko doseči).

V tem primeru ponudnik dostopa do interneta ve zgolj to, da se je uporabnik povezal v anonimizacijsko omrežje (ali na posredniški strežnik oziroma v VPN omrežje), ne ve pa kam se je nato povezal naprej. Na drugi strani pa ponudnik komunikacijske storitve pa ne ve pravega IP naslova iz katerega prihaja uporabnik niti njegove resnične identitete (če uporabnik uporablja anonimno identiteto). Komunikacija med uporabniki je tako ali tako šifrirana, ponudnik komunikacijske storitve sicer lahko beleži prometne podatke a ne ve komu pripadajo, ponudnik dostopa do interneta pa ne ve katere storitve uporabnik sploh uporablja. Na tem mestu je seveda potrebno dodati, da ima tako visoka stopnja anonimnosti tudi svojo ceno. Le-ta se v tem primeru kaže v obliki visoke latence (zakasnitve pri prenosu komunikacijskih paketov preko omrežja), kar onemogoča govorno komunikacijo v realnem času. Je pa na ta način mogoče brez večjih težav pošiljati tekstovna in multimedijska sporočila, oziroma posneta zvočna sporočila.

V primeru šifriranja med končnimi točkami je torej centralizirano upravljanje s šifrirnimi ključi nepotrebno, saj se za vsak komunikacijski par uporabljajo drugi šifrirni ključi. Res pa je, da morajo varnost posamezne seje v tem primeru preveriti uporabniki sami. Zato tovrstne rešitve zahtevajo preverjanje digitalnega podpisa sejnega šifrirnega ključa oziroma identitete komunikacijskega partnerja, saj lahko le s tem zagotovimo, da med dvema uporabnikoma ne poteka napad s posrednikom (tim. MITM napad). Za to preverjanje se uporabljajo različne tehnike. Odjemalci varne VoIP telefonije (ki poteka preko protokola ZRTP) uporabljajo tim. SAS – short authentication string. Gre za to, da se obema komunikacijskima partnerjema na zaslonu izpišeta dve kratki besedi, ki predstavljata digitalni podpis njunega skupnega šifrirnega ključa – če se besedi ujemata, to pomeni, da je povezava med uporabnikoma varna in ne poteka MITM napad. Aplikacija Signal uporablja podoben mehanizem in sicer tim. varnostna števila. Ideja tam je podobna – uporabnika preverita ali se varnostna števila pri obeh sogovornikih ujemajo in če se, je komunikacija varna.

Je pa seveda mogoče vzpostaviti sistem, ki omogoča, da se vanj vključijo samo overjeni uporabniki. V tem primeru upravljavec sistema potrebuje centralni strežnik zgolj za digitalno overjanje uporabnikov, podobno kot delujejo overitelji spletnih digitalnih potrdil. To seveda pomeni, da ima upravljavec sistema nad svojimi uporabniki nekaj dodatnega nadzora, med drugim lahko njihovo overitev prekliče ter jim s tem onemogoči dostop do sistema oziroma uporabo šifrirane komunikacije. Ta sistem seveda ne izključuje uporabe šifriranja med končnimi komunikacijskimi točkami.

Ali je centralizacija res rešitev?

Čeprav se ideja, da ima upravljavec sistema celotno šifrirno infrastrukturo ali vsaj njen strežniški del po svojim izključnim nadzorom zdi precej privlačna, pa po globljem premisleku lahko ugotovimo, da centralizacija le nima takšnih prednosti, kot se morda kaže na prvi pogled.

Da bi bil sistem res v popolnem nadzoru upravljavca, bi le-ta moral imeti pod nadzorom tudi vse komunikacijske poti preko katerih njegovi uporabniki dostopajo do centralnih strežnikov. To pa je danes praktično nemogoče. Ne gre samo za to, da se uporabniki lahko nahajajo v tujini, gre tudi za to, da za komunikacijo, ki poteka med dvema točkama znotraj posamezne države ni nujno, da bo tekla zgolj po ozemlju te države. Podatkovni paketi na internetu se namreč ne ozirajo na nacionalne meje, pač pa povezave potekajo po v danem trenutku najbolj optimalnih povezavah. Poleg tega je z določenimi napadi povezave med točkami v omrežju mogoče tudi preusmeriti na poljubno komunikacijsko pot.

Centralizacija šifrirne infrastrukture ima pravzaprav le eno pomembno prednost. Upravljavcu sistema omogoča prisluškovanje komunikacijam njegovih uporabnikov – in to ekskluzivno (to je morda pomembno v kakšnih zaprtih organizacijah, kjer znotraj takšnega omrežja poteka zgolj službena komunikacija). A hkrati prinaša tudi veliko tveganje. Kot rečeno centralni strežnik predstavlja “točko zloma”, zato v primeru njegovega kompromitiranja (pa naj bo to zaradi ranljivosti v programski ali strojni opremi ali zaradi podkupljenih ali premalo skrbnih sistemskih administratorjev sistema), z enim zamahom pade varnost celotnega sistema.

Če torej želi napadalec kompromitirati sistem, bo v primeru centralizacije to najlažje dosegel z napadom na centralno infrastrukturo ali njene upravitelje, v primeru decentralizirane infrastrukture pa bo moral napasti vsako končno točko posebej. To pa je zamudno in drago.

Iz tega razloga sodobni šifrirni sistemi čedalje bolj uporabljajo šifriranje med končnimi točkami. Hkrati gre trend v smer komuniciranja preko P2P, torej neposredno med napravami, kar poleg večje anonimizacije tudi razbremenjuje centralno infrastrukturo.

Sodobni šifrirni sistemi uporabljajo tudi tehnologije poudarjene zaupnosti (tim. perfect forward secrecy). V tem primeru komunikacija med posameznima napravama ni šifrirana vedno z istim šifrirnim ključem, pač pa se šifrirni ključi z vsako novo sejo oziroma na določeno časovno obdobje samodejno spreminjajo. Če napadalcu uspe razbiti enega izmed teh šifrirnih ključev, bo lahko dešifriral le promet, ki je bil šifriran v tej seji in med danima dvema napravama. Za razbitje katerikoli druge šifrirne seje bo moral kriptoanalizo izvesti zopet od začetka. Poudarjena zaupnost sicer ščiti šifrirane komunikacije tudi če napadalcu kdaj kasneje uspe pridobiti glavno digitalno potrdilo.

V primeru uporabe poudarjene zaupnosti in šifriranja med končnimi točkami napadalcu torej ne preostane drugega kot (dolgotrajen in mukotrpen) napad na posamezne končne točke v sistemu. Povedano drugače – z vdorom na strežnik napadalec ne doseže praktično nič, vdreti mora na vse mobilne naprave, ki ta strežnik uporabljajo. To je sicer izvedljivo, a zahteva bistveno večja sredstva in traja bistveno več časa.

Iz navedenih razlogov se je potrebno otresti mitov o tem, da z nadzorom komunikacijske infrastrukture lahko zagotovimo varnost celotnega sistema. Tak sistem je bolj ranljiv, saj centralni strežnik oziroma osebje ki zanj skrbi, predstavlja najbolj ranljivo točko v sistemu.

Poleg tega je ideja, da mora biti strežnik pod nadzorom in v upravljanju upravljavca sistema nekoliko pomanjkljiva. V primeru centralizacije šifrirne infrastrukture je strežnik sicer lahko pod nadzorom upravljavca, a problem je, da upravljavec ne nadzoruje tudi omrežja preko katerega odjemalci komunicirajo s strežnikom oziroma komunikacijskih poti med njimi.

Zato je šifriranje med končnimi točkami inovacija, ki varnost centralnega strežnika ter omrežne infrastrukture naredi nepomembno. Zaradi te inovacije tudi lastništvo omrežne in komunikacijske infrastrukture postane nepomembno, saj varnost ne temelji več na lastništvu in nadzoru, pač pa se zagotavlja na povsem drugačen način. Seveda ima tudi centralizacija določene prednosti, a pri odločitvi kateri sistem bomo uporabili je potrebno o varnosti razmišljati celovito in uporabiti prave argumente.

In kot smo videli, argument, da lastništvo centralnega strežnika zagotavlja njegovo varnost, ni med njimi.

Zasebnost v slovenskih bolnišnicah

Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana namenjeno naročanju pacientov na preglede preko spleta ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov, ki določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri prenosu zdravstvenih podatkov preko spleta se je Informacijski pooblaščenec lotil že pred vsaj nekaj leti. Po dostopu do informacij javnega značaja smo namreč pridobili odločbo številka 0612-190/2010/ z dne 1. 3. 2011, kjer je IP-RS neznanemu zavezancu (iz odločbe izhaja, da gre za bolnišnico) odredil, da mora pri elektronskem naročanju na spletni strani zavarovati prenos osebnih podatkov z uporabo uveljavljenih kriptografskih metod.

Državni nadzornik je v okviru inšpekcijskega pregleda ugotovil, da spletna stran zavezanca za elektronsko naročanje ne uporablja uveljavljenih kriptografskih metod za zagotovitev zaupnosti in celovitosti podatkov, se ne izkazuje z zaupanja vrednim digitalnim potrdilom, sam prenos podatkov med brskalnikom uporabnika in spletnih strežnikom zavezanca pa ni
zavarovan HTTPS. Zato po mnenju IP-RS zavarovanje osebnih podatkov pri elektronskem naročanju med prenosom ni
bilo skladno z zahtevami zakona o varstvu osebnih podatkov.

Tako leta 2011. In kakšno je stanje danes?

Hiter pregled spletnih strani slovenskih bolnišnic razkrije, da HTTPS šifriranja pri naročanju pacientov preko spleta ne uporabljajo vsaj tri bolnišnice. Posledično lahko pridemo do zaključka, da se v zadnjih šestih letih na tem področju ni prav veliko spremenilo.

Splošna bolnišnica Celje

Prva bolnišnica, ki ne uporablja HTTPS povezav je Splošna bolnišnica Celje. Med obveznimi podatki, ki jih morajo vnesti pacienti, ki se želijo prijaviti na posege in preglede je med drugim tudi zdravstvena diagnoza. Seveda poleg imena, priimka, naslova, kontaktov ter številke kartice zdravstvenega zavarovanja.

Splošna bolnišnica Celje uporablja samo HTTP.

Splošna bolnišnica Celje uporablja samo HTTP.

Spletna stran sicer sploh nima podpore za HTTPS; če do spletne strani Splošne bolnišnice Celje skušamo dostopati preko HTTPS, nas strežnik preusmeri na spletno stran Inženirske zbornice Slovenije.

Psihiatrična bolnišnica Ormož

Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož.

Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož nima HTTPS podpore.

Psihiatrična bolnišnica Ormož nima HTTPS podpore.

Pri njih je poleg ostalih podatkov potrebno obvezno vnesti tudi EMŠO. Tudi ta spletni strežnik sploh nima podpore za HTTPS. Če skušamo dostopati do korena spletnega strežnika, pa se znajdemo na privzetem Plesk Parallels panelu.

Dostop do korena spletnega strežnika preko HTTPS...

Dostop do korena spletnega strežnika preko HTTPS…

Bolnišnica Postojna

Bolnišnica Postojna uporablja samo HTTP.

Bolnišnica Postojna uporablja samo HTTP.

Tretja bolnišnica, ki smo jo “zalotili” brez HTTPS podpore pa je Bolnišnica Postojna. Pri njih je pri naročanju preko spleta poleg imena, priimka, datuma rojstva, ipd. potrebno obvezno vnesti še datum zadnje menstruacije ter predvideni rok poroda.

Nepodpora HTTPS pri Bolnišnici Postojna.

Nepodpora HTTPS pri Bolnišnici Postojna.

Tudi ta strežnik nima podpore za HTTPS povezave, v primeru, da želimo do korena spletišča dostopati preko HTTPS, pa nas strežnik preusmeri na Plesk upravljalski vmesnik.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran.

Prioritete, prioritete…

Po naših neuradnih podatkih, naj bi Informacijski pooblaščenec na področju zdravstva po našem prvem članku na temo HTTPS v zdravstvu že pričel s preverjanjem ali slovenske zdravstvene ustanove v primeru naročanja na preglede preko spleta uporabljajo HTTPS šifriranje. To je vsekakor dobrodošla novost, saj so pri Informacijskem pooblaščencu do sedaj imeli drugačne prioritete.

Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43). Da se Informacijski pooblaščenec precej ukvarja s spletnimi piškotki je sicer vidno tudi iz dejstva, da so leta 2013 izdali tudi Smernice o uporabi piškotkov na spletnih straneh. Zdi se torej, da so bili za IP-RS (vsaj do nedavnega) spletni piškotki eden glavnih problemov zasebnosti na spletu.

Po drugi strani pa na spletni strani IP-RS najdemo tudi Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic. Podrobno branje dokumenta razkrije, da v njem HTTPS šifriranje ni nikjer omenjeno, dolžnost zavarovanja prenosa zdravstvenih podatkov preko spleta pa je omenjena zgolj na splošno.

Bolnisnica Postojna - obvestilo o piškotkih.

Bolnisnica Postojna – obvestilo o piškotkih.

Splošna bolnišnica Celje - obvestilo o piškotkih.

Splošna bolnišnica Celje – obvestilo o piškotkih.

Prioritete našega uradnega varuha zasebnosti smo lahko opazili tudi pri našem pregledu. Dve izmed treh bolnišnic, ki pri naročanju pacientov ne uporabljajo HTTPS, sta na spletu imeli obvestilo o spletnih piškotkih. Obvestila nima le Psihiatrična bolnišnica Ormož, res pa je, da uporablja zgolj sejne piškotke.

Sejni piškotki v Psihiatrični bolnišnici Ormož.

Sejni piškotki v Psihiatrični bolnišnici Ormož.

Očitno so pretekle aktivnosti Informacijskega pooblaščenca v zvezi s piškotki dosegle svoj namen. Zdaj pa je morda čas, da vodstvo IP-RS posveti tudi drugim vidikom spletne varnosti in morda pripravi tudi kakšne smernice na področju uporabe šifrirnih mehanizmov na spletu. Vprašanje je namreč, ali je naša zasebnost na področju zdravstva zaradi obvestil o piškotkih kaj bolj zaščitena, kot bi bila, če obvestil ne bi bilo. Kaj pomaga zagrinjanje oken z zavesami, če pa so vrata odprta na stežaj?

 

Tu pa pridete na vrsto vi. Če je kdo od vas/vaših bližnjih pri kateri od navedenih bolnišnic preko spleta oddal svojo napotnico, potem lahko na Informacijskega pooblaščenca poda prijavo.

 

Članek je bil objavljen na portalu Slo-Tech pod naslovom Piškotki kot dimna zavesa spletne varnosti in zasebnosti.

Ali smejo davčne številke po spletu potovati nešifrirane?

Finančna uprava RS je 31. marca zavezancem poslala prvi sveženj informativnih izračunov dohodnine za leto 2016. Na svoji spletni strani so zavezancem omogočili, da preverijo ali je bil njihov informativni izračun dohodnine že odpremljen. Preverjanje poteka tako, da zavezanci v okence vpišejo svojo davčno številko, ki se posreduje spletišču eDavki, ki nato sporoči ali je bil informativni izračun že odpremljen ali še ne.

A težava je v tem, da je spletišče FURS (fu.gov.si) dostopno samo preko nešifrirane, HTTP povezave. Ko na to povezavo vpišemo davčno številko, se – kot je razvidno iz izvorne kode spletne strani – posreduje na nešifrirano različico portala eDavki. Če je davčna številka 10000003, je HTTP klic na eDavke sledeč: “http://edavki.durs.si/OpenPortal/Pages/Faq/Faq.aspx?qq=10000003“.

Preverjanje odpreme informativnih izračunov za dohodnino na FURS.

Preverjanje odpreme informativnih izračunov za dohodnino na FURS.

Spletišče eDavki sicer nato samodejno preklopi v HTTPS šifriran način, a sama davčna številka je do tja v osnovi poslana nešifrirano. Hkrati nato spletišče – sicer šifrirano, a za to ni potrebna nikakršna prijava z digitalnim potrdilom – uporabniku razkrije, ali je oseba z vpisano davčno številko prejela informativni izračun dohodnine, ali ne.

To sicer načeloma ni problem, saj gre pri tem zgolj za preverjanje “naključne” 8-mestne številke (povsem naključna sicer ni, saj za njeno ustvarjanje obstajajo določena pravila).

A po drugi strani je davčna številka po mnenju Informacijskega pooblaščencatako kot EMŠO, enolični identifikacijski znak, ki posameznika nedvoumno določi”.

Še več, če bi nekdo računalniško zgeneriral vse možne davčne številke in jih samodejno posredoval na spletišče eDavki. Pri tem je zanimiv zlasti podatek kdaj je bil neki davčni številki izdan informativni izračun. Glede na FURS-ovo sporočilo za javnost so bili namreč v prvi tranši informativni izračuni izdani rezidentom Republike Slovenije, ki so zavezanci za vložitev dohodninskih napovedi in niso uveljavljali vzdrževanih družinskih članov ali niso dosegali dohodkov iz dejavnosti ali nimajo katastrskih dohodkov. Na podlagi časa izdaje informativnega izračuna je torej mogoče sklepati tudi na nekatere “lastnosti” davčnega zavezanca – ali so uveljavljali vzdrževane družinske člane, ali so dosegali dohodke iz dejavnosti ter ali imajo katastrske dohodke.

Če bi preostale možne davčne številke preveril še po pošiljanju druge tranše informativnih izračunov, bi s tem dobil vse veljavne davčne številke fizičnih oseb. Številke poslovnih subjektov pa so tako ali tako že javne.

A še vedno, gre vendarle zgolj za golo številko, brez imena ali ostalih identifikacijskih podatkov, kajne?

No, zadeva morda le ni tako preprosta. Konec lanskega februarja je namreč Informacijski pooblaščenec bivšega in sedanjega predsednika Komisije za preprečevanje korupcije (KPK) Gorana Klemenčiča in Borisa Štefaneca ter generalno direktorico uprave za javna plačila Aleksandro Miklavčič oglobil zaradi neupravičenega posredovanja oziroma pridobivanja številk transakcijskih računov (TRR) fizičnih oseb, katerih transakcije so bile zabeležene pri upravi za javna plačila.

Pri tem je bilo zanimivo dejstvo, da transakcijski računi v Supervizorju niso bili povezani z imeni posameznikov. Uprava za javna plačila je namreč KPK v primerih fizičnih oseb posredovala le številko transakcijskega računa, proračunskega uporabnika, ki je denar nakazal na ta račun, datum transakcije ter znesek in namen plačila. Imen in priimkov prejemnikov in njihovih davčnih številk pa v primeru fizičnih oseb ni posredovala.

Nekateri smo se zato javno spraševali ali je lahko zgolj neka številka brez kakršnihkoli drugih identifikacijskih podatkov in brez povezave s konkretno osebo, res osebni podatek, ki zahteva pravno varstvo?

Informacijski pooblaščenec je takrat zavzel stališče, da je temu tako. Zdaj pa imamo na FURS podobno situacijo. S pomočjo preprostega preverjanja je mogoče za neko 8-mestno številko – sicer brez identifikacijskih podatkov – ugotoviti ali gre za davčno številko fizične osebe ali ne, ter za kakšnega dohodninskega zavezanca gre.

Zato bo nadvse zanimivo videti, ali bo Informacijski pooblaščenec tudi tokrat z enako vnemo ukrepal proti Finančni upravi RS. Konec koncev gre vendarle za “neselektivno posredovanje vseh davčnih številk, ki se beležijo pri FURS,” kajne?