Предприниматель Антон Библя нашел баг на сайте «Электронного кабинета налоговой службы». Этот сервис позволяет проверить, действительно ли вам выдали подлинный чек. Оказалось, что он позволяет узнать и обо всех продажах нужной точки.
Как это работает
- Зайдите на сайт «Электронного кабинета налоговой службы» в раздел «Поиск фискального чека».
- Введите фискальный номер продавца (его можно найти на чеке), любую дату и время. В поле с номером конкретного чека можно поставить «0».
- Нажмите «Найти». На сайте отобразится содержимое одного или нескольких чеков, оформленных в этот срок.
Журналист AIN.UA проверил, работает ли баг — и смог получить случайные чеки, использовав лишь фискальный номер продавца. AIN.UA запросил комментарий у Государственной налоговой службы, но на момент публикации материала не получил ответа.
Что можно сделать
Как отмечает Библя, такую возможность могут использовать конкуренты, получив историю продаж через серию запросов. Но поскольку при повторном поиске на сайте появляется капча, реализовать это будет не так просто:
Все зависит от подхода. Если мы говорим об автоматизированном, то капча создаст сложности. Существуют сервисы для обхода капчи, но я уверен, что это будет нелегально.
Если мы говорим о ручном сборе — то есть, найдем пару человек, которые сядут за ПК и будут заполнять форму — этот подход будет вполне законным (исходя из возможностей сервиса). Собрать все чеки за сутки не займет слишком много времени.
Позиция юриста
Денис Береговой, партнер юридической компании Axon Partners, отмечает, что некорректная работа сайта налоговой — не повод для юридических разбирательств. Приводим его комментарий.
Если смотреть на это глазами юриста, то поводов возмущаться, помимо здравого смысла, меньше. Почему?
Это не конфиденциальная информация. Закон «Об информации» говорит, что конфиденциальной является информация про физ. лицо либо информация, доступ к которой физ. или юр. лицо ограничили.
Сказать, что фискальный чек — носитель информации про физ. лицо можно при определенном уровне абстракции, но маловероятно, что информация о сорте хлеба, который вы приобрели, является именно конфиденциальной информацией.
При этом, не путайте с персональными данными — об этом отдельно поговорим. Более того, даже если предположить, что такая информация конфиденциальная, например, согласно внутренним распоряжениям продавца, то все равно эта информация может распространяться в случаях, предусмотренных законом.
- Четко описанных требований к системе проверки чеков законодательство не предусматривает, но есть презумпция, что ГФС действует в данном случае в рамках своих полномочий.
- «Свежеподписанные» законы про РРО также говорят о том, что сервис будет работать так, как посчитают нужным фискалы.
Персональные данные. Данные о покупательских привычках действительно могут быть персональными данными (не верите, читайте GDPR).
- Но, во-первых, их надо объединить с какими-то другими данными, чтобы действительно иметь возможность идентифицировать человека. Например, у продавца такие данные есть. Но вот в реестре номер вашей карты программы лояльности не бьется. Так что прямой угрозы покупателю здесь нет.
- Во-вторых, надо понимать, что наш закон «О защите персональных данных» (да и тот же строжайший GDPR) предусматривает, что закон является основанием для использования персональных данных. Опять же, сбор данных РРО и публикация этих данных основаны на требованиях действующего законодательства.
Коммерческая тайна — тоже мимо. Да, коммерческая информация предприятия может охраняться как коммерческая тайна при условии, что продавец предпримет адекватные меры для сохранения такой информации в секрете и эта информация не предполагается как общедоступная.
Но есть постановление КМУ №611, которое определяет, что точно не является коммерческой тайной. Среди прочего там сказано о «данных, которые необходимы для проверки расчета и уплаты налогов и других обязательных платежей». Подвести под это определение данные фискального чека — несложно.