Państwo dzieli się danymi obywateli z internetowymi korporacjami. Trzeba to zmienić!
Internetowe Konto Pacjenta, serwis o uzależnieniach behawioralnych Krajowego Centrum Przeciwdziałania Uzależnieniom, strona telefonu zaufania prowadzonego przez NASK, oficjalny portal miasta Wrocław – to tylko kilka przykładów stron, które za pośrednictwem skryptów śledzących i plików cookie przekazują dane osób odwiedzających zewnętrznym firmom. A te mogą je wykorzystać m.in. w celach reklamowych. Fundacja Panoptykon i Fundacja „Internet. Czas działać!” zaapelowały do Ministra Cyfryzacji o uporządkowanie sytuacji.
Dlaczego państwo polskie nie powinno przekazywać naszych danych komercyjnym firmom. Petycja do Ministra Cyfryzacji
„Nie widzimy uzasadnienia dla wykorzystywania na stronach podmiotów publicznych skryptów śledzących, za pośrednictwem których informacje o odwiedzających trafiają do zewnętrznych podmiotów” – wyjaśnia Agnieszka Rapcewicz z Fundacji „Internet. Czas działać!”. „W wielu przypadkach użytkownicy nie są w ogóle pytani o zgodę na to, żeby ich dane zasilały bazy podmiotów żyjących ze śledzenia ich w sieci. To niezgodne z prawem telekomunikacyjnym, a także z przepisami o ochronie danych osobowych” – dodaje.
Panoptykon i „Internet. Czas działać!” zwróciły się do Ministra Cyfryzacji Krzysztofa Gawkowskiego z petycją. Apelują w niej o zbadanie tego problemu i przygotowanie wytycznych, które pozwolą ograniczyć przesyłanie danych na zewnątrz w sposób niezgodny z prawem.
„Państwo nie powinno karmić big techów danymi swoich obywatelek i obywateli. W tej sprawie chodzi też o zaufanie. Osoby wchodzące na takie witryny, jak Internetowe Konto Pacjenta czy strona telefonu zaufania 116 sos.pl mają prawo oczekiwać poufności” – podkreśla Mateusz Wrotny z Fundacji Panoptykon. „Tymczasem dziś nie mogą mieć pewności, że wrażliwe informacje na ich temat, w tym te o ich słabościach, nie będą wykorzystane w celach reklamowych” – wskazuje.
Przegląd wykonany przez fundacje wykazał, że szczególnie popularną wśród podmiotów publicznych zewnętrzną usługą wmontowaną w strony internetowe jest Google Analitycs. Oczywiście, analizowanie ruchu na stronach to abecadło komunikacji w Internecie. Ale wykorzystanie do tego celu Google Analytics oznacza, że informacje o aktywności osób odwiedzających stronę trafią do i tak ogromnej bazy danych o ludziach amerykańskiego giganta – który na tych danych opiera cały swój biznes.
Korzystanie z narzędzia Google rodzi też kolejne wyzwanie prawne – dotyczące legalności przesyłania danych do USA.
„Już dwa porozumienia między Unią Europejską a Stanami Zjednoczonymi w sprawie przekazywania danych za ocean zostały unieważnione ze względu na niezgodność z Kartą praw podstawowych Unii Europejskiej. Od 10 lipca 2023 r. obowiązuje co prawda porozumienie EU–US Data Privacy Framework, ale ono również jest kontestowane i może trafić do kosza” – wyjaśnia Wrotny.
Jakie dane przesyłane są przez strony internetowe
Wejście na dowolną stronę internetową wymaga przesłania danych w dwie strony. W dużym uproszczeniu: przeglądarka informuje serwer odwiedzanej strony o podstawowych parametrach, np. rozdzielczości ekranu i języku, żeby strona mogła wyświetlić się prawidłowo. Jeśli strona wymaga logowania, przesyłane są dane autoryzacyjne.
Przeciętna strona w sieci jednak nie poprzestaje na przesyłaniu danych niezbędnych. Poza nimi na zewnętrzne serwery trafiają adresy IP, dane lokalizacyjne, a przede wszystkim – informacje o tym, jak poruszamy się po stronie i w co klikamy (w przypadku narzędzi do analizy ruchu na stronach).
„Oczywiście, najbardziej śledzą strony komercyjne, np. portale newsowe. Rekordziści przesyłają dane nawet 1400 podmiotom zewnętrznym, w tym Google, Amazonowi, Mecie i ByteDance, czyli właścicielowi TikToka” – wyjaśnia Wrotny. „Na stronach urzędów i instytucji, którym się przyglądaliśmy, nie było na szczęście aż tak źle, ale nie widzimy powodu, żeby państwo karmiło naszymi danymi choćby pojedyncze podmioty”.
Dane trafiają do zewnętrznych podmiotów także wtedy, gdy w serwisie umieszczone (embedowane) są materiały wideo hostowane poza nim, np. na YouTubie.
Polityki prywatności do zmiany
W petycji aktywiści wskazują też na drugi problem: informowania przez administratorów o tym, jakie dane trafiają do jakich podmiotów – i w jakim celu to się dzieje. Informacje te powinny być zamieszczone w polityce prywatności serwisu, jednak zdarza się, że są one ogólnikowe, niepełne bądź nie ma ich w ogóle. Dlatego przygotowując petycję, eksperci posiłkowali się wtyczką Rentgen zaimplementowaną przez deweloperów Fundacji „Internet. Czas działać!”.
Rentgen jest wtyczką dla przeglądarki Mozilla Firefox. Pozwala sprawdzić, jakim domenom i subdomenom badana strona internetowa udostępniła dane dotyczące osoby odwiedzającej (w tym dane pozyskane z cookies).
„Wtyczka jest w stanie analizować także dane przekształcone, np. wielokrotne kodowanie base64. Ten proces nazywany jest obfuskacją i ma na celu utrudnienie analizy. Dzięki temu możemy ustalić, dokąd strona wysyła dane osobowe, czy twórca strony nadał osobie sztuczny identyfikator (jeśli jest on unikalny, może stanowić daną osobową), a także, czy historia przeglądania została udostępniona podmiotom trzecim” – wyjaśnia Arkadiusz Wieczorek z Fundacji „Internet. Czas działać!”.
Petycja została skierowana do Ministra Cyfryzacji 22 kwietnia 2024 r. Zgodnie z prawem o petycjach ministerstwo ma 3 miesiące na odpowiedź. Organizacje oczekują, że Ministerstwo Cyfryzacji nie będzie zwlekało z przygotowaniem wytycznych dla administratorów stron.
Treść petycji tutaj.
Źródło: Fundacja Panoptykon