Jak śledzą nas strony internetowe partii politycznych? Wybory 2023

1 rok temu
autor ilustracji: Jan Kryciński

Przygotowaliśmy raport dla wszystkich z Was, którzy dbają o swoją prywatność i chcą wiedzieć, jak partie polityczne podchodzą do tej kwestii. Raport zawiera wyniki analizy stron internetowych podmiotów wchodzących w skład ogólnopolskich komitetów wyborczych.

Pobierz nasz raport


Co poddaliśmy analizie?

Wzięliśmy pod lupę wszystkie ogólnopolskie komitety wyborcze i następujące strony internetowe:

  1. https://bezpartyjnisamorzadowcy.pl
  2. https://www.trzeciadroga.org
  3. https://polska2050.pl
  4. https://www.psl.pl
  5. https://lewica.org.pl
  6. https://partiarazem.pl
  7. https://pis.org.pl
  8. https://konfederacja.pl
  9. https://platforma.org
  10. https://koalicjaobywatelska.pl

Zweryfikowaliśmy na stronach internetowych kwestie prawne, jak i techniczne:

  1. sposób informowania użytkowników o stosowaniu cookies i podobnych technologii, jak również kwestię odbierania zgód na stosowanie tych technologii,
  2. zakres zbieranych danych osobowych w różnego rodzaju formularzach na stronach internetowych,
  3. treść polityk prywatności i polityk cookies,
  4. zakres informacji faktycznie zapisywanych lub do których uzyskiwany jest dostęp przy pierwszych odwiedzinach strony internetowej przez użytkownika.

Analizy techniczne wykonywaliśmy dzięki narzędzia Rentgen.

Rentgen - prześwietl stronę internetową i wygeneruj maila do administratora
Z euforią ogłaszamy premierę owocu ostatnich miesięcy naszej ciężkiej pracy: wtyczki do Firefoxa, która analizuje skrypty na stronach i na podstawie zebranych danych ułatwia sformułowanie maila do administratora strony opisującego potencjalne problemy ze zgodnością z RODO.
Fundacja Internet. Czas działać!Arkadiusz Wieczorek

Wyniki weryfikacji podsumowujemy poniżej, a szczegółowy raport w postaci pliku PDF załączamy na końcu artykułu.

Podsumowanie wyników

Komitet wyborczyAnalizowana stronaNieprawidłowości dot. bannera o cookieLiczba domen trzecich odczytujących cookiesLiczba domen trzecich otrzymujących część historii przeglądania użytkownikaNieprawidłowości dot. Polityki prywatnościFormularze wymagające więcej danych, niż potrzeba
Bezpartyjni Samorządowcy bezpartyjnisamorzadowcy.pl x 4 7 x x
Trzecia Droga trzeciadroga.org x 0 0 x
polska2050.pl x 7 5 x x
psl.pl x 4 5 x x
Nowa Lewica lewica.org.pl x 0 6 x
partiarazem.pl x 0 0 x x
Prawo i Sprawiedliwość pis.org.pl x 2 6 x
Konfederacja Wolność i Niepodległość konfederacja.pl x 4 9 x
Koalicja Obywatelska koalicjaobywatelska.pl x 4 10 x
platforma.org x 9 19 x x

Nieszczęsne cookies

Podstawową niezgodnością, którą stwierdziliśmy w przypadku wszystkich stron internetowych jest nieprawidłowy sposób odbierania zgód na stosowanie cookies lub podobnych technologii śledzących (albo całkowity brak odbierania zgód).

W pierwszej kolejności wyjaśniamy, iż zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne stosowanie cookies i podobnych technologii innych niż niezbędne do prawidłowego działania strony internetowej wymaga uprzedniego wyrażenia zgody przez użytkownika danej strony. To wymaganie dotyczy wszystkich przypadków, gdy strona wykorzystuje cookies czy podobne technologie do celów innych niż zapewnienie jej działania – niezależnie, czy przetwarzane dane kwalifikują się jako dane osobowe, czy nie. W obu przypadkach zgoda powinna spełniać wymagania wynikające z przepisów o ochronie danych osobowych (RODO), a więc:

  1. powinna być wyraźna – tj. dokonana poprzez wyraźne działanie użytkownika, np. kliknięcie w określony przycisk, przesunięcie „suwaka” wyboru; zgody nie mogą być domyślnie zaznaczone;
  2. powinna dać się wyraźnie odróżnić od innych kwestii, tj. użytkownik nie może być zmuszany do wyrażenia jednej zgody na stosowanie cookies w kilku różnych celach. Użytkownik musi mieć możliwość podjęcia decyzji odrębnie zarówno co do plików statystycznych, jak i marketingowych lub innych;
  3. powinna realizować zasadę rozliczalności, tzn. administrator musi być w stanie wykazać fakt udzielenia zgody o określonej treści przez danego użytkownika wraz z dokładną datą jej udzielenia, jak również fakt wycofania zgody przez danego użytkownika (w praktyce, w systemach zarządzania zgodami na stosowanie cookies, konkretnemu użytkownikowi jest przypisywany identyfikator pozwalający na zarządzanie zgodami użytkownika w zakresie cookies);
  4. użytkownik powinien mieć możliwość równie łatwego wycofania zgody na stosowanie cookies, jak jej udzielenie;
  5. zgoda musi być dobrowolna, tj. użytkownik nie może doświadczać negatywnych konsekwencji z powodu odmówienia zgody;
  6. użytkownikowi należy udzielić wszelkich informacji o administratorze danych oraz stosowanych cookies przed podjęciem przez użytkownika decyzji co do stosowania cookies;
  7. treści dotyczące zgody muszą być zrozumiałe, sformułowane w przystępny sposób, jasnym i prostym językiem.

W przypadkach, gdy strona korzysta z cookiesów lub podobnych technologii do celów innych niż konieczne do działania strony, to powyższe zasady dotyczące udzielania zgód powinny być realizowane w następujący sposób:

  1. Na stronie internetowej, przy pierwszych jej odwiedzinach, użytkownikowi powinna zostać przekazana informacja o stosowanych cookies wraz z informacją o administratorze danych osobowych (jeśli stosowanie cookies wiąże się z przetwarzaniem danych osobowych), odnośnikiem do Polityki prywatności/Polityki cookies oraz przyciskami umożliwiającymi podjęcie decyzji co do akceptacji wszystkich bądź wybranych cookies albo do odrzucenia wszystkich cookies. Użytkownik powinien dostać możliwie dokładny opis stosowanych cookies, w tym ich funkcje (cele), informację o podmiotach je dostarczających, informacje o czasie przechowywania poszczególnych cookies.
  2. Użytkownik odwiedzający stronę internetową powinien móc zapoznać się z Polityką prywatności/Polityką cookies bez konieczności uprzedniego podejmowania decyzji co do stosowanych na stronie internetowej cookies lub innych technologii. Banner cookie nie powinien uniemożliwiać lub utrudniać przeczytania Polityki prywatności/Polityki cookies.
  3. Przyciski do podjęcia przez użytkownika decyzji co do stosowania cookies nie mogą sugerować użytkownikowi wybrania konkretnej opcji, a w szczególności opcji „Zaakceptuj wszystkie” (wyróżnienie takiej opcji stanowiłoby naruszenie dobrowolności zgody, użytkownik miałby bowiem sugerowaną opcję, którą ma wybrać – jest to rodzaj dark pattern).
  4. Użytkownik musi mieć możliwość zmiany w każdej chwili swojej decyzji co do stosowania cookies na stronie internetowej, w tym do wycofania zgody na stosowanie cookies. Wycofanie zgody musi być równie łatwe jak jej udzielenie, co w praktyce oznacza, iż użytkownik w łatwy sposób musi mieć dostęp np. do przycisku pozwalającego mu na wyświetlenie panelu do zmiany preferencji odnośnie do stosowania cookies.

Udzielone lub odmówione przez użytkownika zgody na cookies muszą zostać prawidłowo wdrożone, tzn. zostać uwzględnione w skryptach strony internetowej. Inaczej mówiąc niedopuszczalna jest sytuacja, w której po dokonaniu przez użytkownika wyboru co do odrzucenia wszystkich lub wybranych cookies, są one przez cały czas aktywne na stronie internetowej. Niedopuszczalne jest również uruchamianie skryptów śledzących przed otrzymaniem zgody użytkownika.

Na stronach internetowych, które przeanalizowaliśmy, bannery cookies (o ile występowały) zawierają jedynie informację o tym, iż cookies lub podobne technologie są stosowane, a użytkownik ma tylko możliwości kliknięcia przycisku typu „Ok”, „Zgoda”, „Zamknij” czy „Akceptuję”. W informacji zamieszczonej w bannerze jest odnośnik do Polityki prywatności/Polityki cookies, w której użytkownik jest informowany, iż preferencje dotyczące cookies może zmienić w ustawieniach przeglądarki. W wielu przypadkach w Politykach prywatności/Politykach cookies jest wskazane, iż w związku ze stosowaniem tych technologii nie są przetwarzane dane osobowe, co naszym zdaniem, po przeprowadzeniu analizy technicznej stron internetowych, po prostu nie jest prawdą.

Zestawienie treści bannerów z ogólnymi wymaganiami prawnymi opisanymi wyżej pokazuje czarno na białym, iż partie polityczne naruszają przepisy Prawa telekomunikacyjnego i RODO w zakresie dotyczącym zapisywania informacji i uzyskiwania dostępu do informacji zapisywanych na urządzeniach końcowych użytkowników.

Jak wspomnieliśmy, strony internetowe zostały przez nas także „prześwietlone” pod kątem technicznym – naszą wtyczką Rentgen. Analiza wykazała, iż na prawie każdej ze stron internetowych bez wyrażenia zgody przez użytkownika (mamy na myśli zgodę wynikającą z Prawa telekomunikacyjnego odpowiadającą wymaganiom RODO) dochodzi do odczytu cookies podmiotów trzecich, ujawnienia m. in. historii przeglądania podmiotom trzecim lub do stosowania własnych cookies, w których przechowywane są informacje o ID konta użytkownika na facebooku ( _fbp, c_user), losowy identyfikator (charitable_session) lub część historii przeglądania – adres strony, za pośrednictwem której użytkownik trafił na stronę danej partii/komitetu.

Na tle przeanalizowanych stron internetowych wyróżnia się strona https://partiarazem.pl. Strona nie ustawia i nie odczytuje żadnych cookiesów. Nie przechowuje też nic dzięki Local Storage lub podobnych technologii. Strona korzysta jedynie z Plausible Analytics. Za sprawą skryptów tej firmy historia przeglądania jest wysyłana do plausible.io. Dane są oczywiście opatrzone adresem IP użytkownika, ale użytkownikowi nie są przypisywane żadne dodatkowe identyfikatory. Co ciekawe, linki są opatrzone atrybutem noreferrer, dzięki czemu strony, do których prowadzą odnośniki, nie zostaną poinformowane o tym, iż użytkownik przyszedł ze strony partiarazem.pl.

Zbieranie danych osobowych „na zapas”

Kolejną ze stwierdzonych przez nas nieprawidłowości na stronach internetowych komitetów wyborczych jest zbieranie zbyt dużej ilości danych osobowych za pośrednictwem formularzy dostępnych na tych stronach.

Czy można uznać, iż do wysyłania newslettera konieczne jest podanie przez użytkownika imienia i nazwiska oraz numeru telefonu (skoro newsletter ma być wysyłany mailowo)? Czy przekazanie przez użytkownika darowizny na cele związane z działalnością partii politycznych powinno wiązać się z obowiązkiem wskazania swoich danych kontaktowych? Czy zasadnym jest wymaganie od użytkownika kandydującego na członka partii politycznej wskazania odnośnika do swojego profilu prowadzonego w mediach społecznościowych?

Odpowiedź na zadane pytania brzmi: „nie”. Wynika to z treści art. 5 RODO. Zgodnie z nim dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”), a także muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). Oznacza to, iż administrator danych osobowych powinien ocenić, jakie dane są niezbędne do realizacji określonego celu przetwarzania i przeprowadzania planowanego procesu. Czasami katalog danych określony jest wprost w przepisach prawa, w większości przypadków administrator musi jednak samodzielnie przeprowadzić taką analizę. Nie może zatem wymagać od użytkownika, aby podał szerszy zakres informacji z uwagi na to, iż mogą się one przydać administratorowi do jakichś innych celów.

Określenie, iż podanie danych osobowych przez użytkownika jest obowiązkowe bądź dobrowolne musi znaleźć odzwierciedlenie w rzeczywiście prowadzonych działaniach oraz musi być uzasadnione.

Polityka prywatności jako dokument – wydmuszka?

Administrator danych osobowych prowadzący stronę internetową i oferujący za jej pośrednictwem różnorodne funkcjonalności powinien, w trosce o poufność oraz ochronę prywatności użytkowników z niej korzystających, opisać procesy przetwarzania danych osobowych, które mają miejsce w związku z korzystaniem z serwisu internetowego. Opis tych procesów powinien być ujęty w treści dokumentu publikowanego na stronie internetowej i dostępnego dla użytkownika, często tytułowanego jako Polityka prywatności czy Polityka cookies.

Użytkownikowi powinny zostać przedstawione następujące informacje:

  • informacje o administratorze danych osobowych oraz o możliwościach podjęcia z nim kontaktu,
  • dane kontaktowe inspektora ochrony danych (o ile został powołany),
  • wskazanie w ramach jakich procesów prowadzonych na stronie internetowej przetwarzane są dane osobowe użytkownika oraz w jakim celu i na jakiej podstawie są one przetwarzane,
  • wskazanie okresów przechowywania danych oraz ich odbiorców;
  • określenie uprawnień użytkownika wynikających z RODO oraz doprecyzowanie w jaki sposób mogą oni je realizować;
  • opis stosowanych na stronie cookies;
  • wskazanie, czy dochodzi do transferu danych poza EOG oraz zautomatyzowanego przetwarzania danych osobowych.

Uwzględnienie powyżej wymienionych zagadnień w politykach prywatności publikowanych na stronach internetowych stanowi gwarancję transparentnego informowania użytkownika o przetwarzaniu jego danych osobowych.

Na stronach internetowych komitetów wyborczych dokumenty te były formułowane wybiórczo – nie wskazywano w nich należytego opisu stosowanych cookies, pomijano aspekt związany z transferem danych poza EOG. Najczęściej jednak zauważalne było niedostosowanie opisu przetwarzania danych osobowych do funkcjonalności dostępnych dzięki strony internetowej, co czyniło te dokumenty abstrakcyjnymi.

Wnioski

Z przeprowadzonej przez nas analizy wynika, iż niestety dla prawie wszystkich partii/komitetów kwestia prywatności użytkowników na stronie internetowej nie jest istotna. Partie nie odbierają w sposób wymagany przez prawo zgód na stosowanie cookies i podobnych technologii, nie informują prawidłowo o przetwarzaniu danych osobowych lub zbierają zbyt szeroki zakres danych. Szczególnie niepokojące są dla nas praktyki polegające na ustawianiu na stronach internetowych własnych cookies przechowujących identyfikatory Facebooka. W związku z taką praktyką ruch na danej stronie może być korelowany z danym profilem na Facebooku, choćby gdy użytkownik powróci na tę stronę po wylogowaniu z Facebooka.

Treść raportu

Raport: Jak partie polityczne „szanują” Twoją prywatność na swoich stronach internetowych. Badania przeprowadzone przez Fundację „Internet. Czas działać!” w dniach 01.10.2023 r. – 08.10.2023 r. na podstawie dziesięciu stron internetowych sześciu ogólnopolskich komitetów wyborczych.

Pobierz nasz raport


Użyte narzędzia

Rentgen — pobierz to rozszerzenie do 🦊 Firefoksa (pl)
Rentgen to wtyczka, która automatycznie wizualizuje, jakie dane zostały ~~wykradzione~~ wysłane do podmiotów trzecich przez odwiedzane strony. Pozwala wygenerować raport lub treść maila, który można wysłać do administratora strony i/lub UODO.
“Internet. Time to act!” Foundation
Nasza wtyczka Rentgen dla przeglądarki Mozilla Firefox
Pobierz najszybszego Firefoksa w historii
Szybsze wczytywanie stron, mniejsze zużycie pamięci i mnóstwo funkcji w nowym Firefoksie.
Mozilla
Przeglądarka Mozilla Firefox
Firefox Developer Edition
Firefox Developer Edition to oszałamiająco wydajna przeglądarka, oferująca nowoczesne narzędzia dla programistów i najnowsze funkcje, takie jak obsługa CSS Grid i debugowanie bibliotek
Mozilla
Przeglądarka Mozilla Firefox w wersji Developer Edition
What are browser developer tools? - Learn web development | MDN
Every modern web browser includes a powerful suite of developer tools. These tools do a range of things, from inspecting currently-loaded HTML, CSS and JavaScript to showing which assets the page has requested and how long they took to load. This article explains how to use the basic functions of yo…
MDN Web Docs
Narzędzia deweloperskie przeglądarki Firefox
Idź do oryginalnego materiału