Analiza niektórych stron administracji publicznej dokonana narzędziem Rentgen opracowanym przez Fundację „Internet. Czas działać!” wykazała użycie wielu skryptów śledzących, które wysyłają dane użytkowników do innych podmiotów, często zagranicznych. Zwróciliśmy się więc do Ministra Cyfryzacji o zbadanie tego i przygotowanie wytycznych wskazujących dobre praktyki w tym zakresie, przy udziale Urzędu Komunikacji Elektronicznej i Urzędu Ochrony Danych Osobowych. Mamy nadzieję, iż dzięki temu działanie stron internetowych instytucji publicznych nie będzie budziło wątpliwości od strony prawnej i iż staną się one wzorem do naśladowania dla sektora prywatnego w zakresie ochrony prywatności, w tym ochrony danych osobowych użytkowników i użytkowniczek.
Treść petycji w sprawie wykorzystywania technologii śledzących na stronach internetowych prowadzonych przez organy administracji publicznej.
Naruszenia RODO oraz prawa telekomunikacyjnego
Nie widzimy uzasadnienia dla wykorzystywania na stronach podmiotów publicznych skryptów śledzących, za pośrednictwem których informacje o odwiedzających trafiają do zewnętrznych podmiotów. W wielu przypadkach użytkownicy nie są w ogóle pytani o zgodę na to, żeby ich dane zasilały bazy podmiotów żyjących ze śledzenia ich w sieci. To niezgodne z prawem telekomunikacyjnym, a także z przepisami o ochronie danych osobowych.
Minister Krzysztof Gawkowski osobiście potwierdził na platformie X, iż petycja wpłynęła i Ministerstwo Cyfryzacji podejmie działania w tej sprawie.
Jeżeli jesteś administratorem strony, a twoja strona wymaga audytu i wdrożenia zmian skontaktuj się z nami i/lub skorzystaj z naszej wtyczki Rentgen.
Przykładowe naruszenie
Czy często odwiedzasz strony internetowe prowadzone przez instytucje publiczne? Wiele z nich przekazuje twoje dane do zewnętrznych firm, bez wyrażenia zgody.
Kiedy przeglądamy jakąkolwiek stronę internetową, powinniśmy zdawać sobie sprawę z tego, iż nasze dane mogą być przekazywane do różnych miejsc. Nie tylko na serwery, gdzie znajduje się sama strona, ale również do firm trzecich, włączając w to te, które specjalizują się w gromadzeniu danych o naszej aktywności online, takich jak Google. Niestety, dane te są również przekazywane przez strony prowadzone przez instytucje publiczne.
Powyższy przykład przedstawia fragment analizy rządowej strony Internetowego Konta Pacjenta, gdzie dane przesyłane są do zewnętrznego dostawy chatbota opartego na sztucznej inteligencji. W tej sytuacji strona nawiązuje komunikację z zewnętrznym dostawcą i przekazuje dane użytkownika bez jego zgody. Taka praktyka jest niezgodna z obowiązującymi przepisami prawnymi. Ponadto uważamy, iż umieszczanie chatbotów opartych na sztucznej inteligencji, p szczególnie tam, gdzie prowadzone są rozmowy na tematy dotyczące poufnych danych tj. zdrowie obywatela, nie powinno mieć miejsca.
Jeżeli jesteś zainteresowany jak szczegółowe informacje pozyskują witryny o użytkownikach i jakie dane można na ich podstawie ustalić zachęcamy do zapoznania się z naszym przeglądem technologii śledzących:
Jak zidentyfikować informacje, które są przekazywane poprzez stronę internetową?
Informacje na temat przekazywanych danych, celów przetwarzania i ich odbiorców (podmiotów trzecich) powinny być uwzględnione w polityce prywatności witryny. Niestety, czasami te informacje są zbyt ogólne, niekompletne lub wręcz brak ich w ogóle. Dlatego, przy tworzeniu petycji, wykorzystaliśmy przygotowane przez nas narzędzie Rentgen.
Czym jest Rentgen?
Rentgen jest wtyczką dla przeglądarki Mozilli Firefox, która analizuje i wizualizuje ruch sieciowy generowany przez odwiedzaną witrynę. Podczas analizy możemy zobaczyć listę domen i subdomen, których właścicielom badana strona internetowa „udostępniła” dane dotyczące użytkownika, w tym dane pozyskane z Cookies. Dodatek przeprowadza wstępną ocenę istotności danych, a następnie wskazuje rekordy, które mogą stanowić dane osobowe. Wtyczka jest odporna na liczne metody ukrywania pozyskanych danych (jak np. wielokrotne kodowanie dzięki base64). Użytkownik, korzystając z zebranych danych, może ustalić, dokąd wysyłane są jego dane osobowe, czy twórca strony nadał mu sztuczny identyfikator, który może być daną osobową oraz czy jego historia przeglądania została udostępniona podmiotom trzecim np. za pośrednictwem nagłówka Referer.
Ponadto Rentgen umożliwia wygenerowanie raportu z analizy witryny. Użytkownicy mogą wygenerować Rentgenem wiadomość e-mail do administratora z pytaniami o tożsamość podmiotów i podstawę prawną przetwarzania danych, a administratorzy mogą wygenerować raport zawierający listę potencjalnych obszarów roboczych pod kątem zgodności z RODO. Raport jest oparty o zebrane automatycznie dane oraz odpowiedzi na pytania dotyczące „miękkich” aspektów witryny, których nie można przeanalizować automatycznie, takich jak:
• Czy polityka prywatności wskazuje, jaka podstawa prawna jest wykorzystywana do takiego przetwarzania danych?
• Czy pole z prośbą o wyrażenie zgody daje możliwość jej odrzucenia?
Treść wygenerowanej wiadomości e-mail lub raportu łączy zatem dane z przechwytywania sieci wraz z tym, jak człowiek postrzega witrynę.
Co można zrobić z witryną, która narusza prywatność?
W przypadku zidentyfikowania naruszenia warto przesłać przygotowaną wiadomość do administratora strony i/lub skargę do Urzędu Ochrony Danych Osobowych (UODO).
Składając skargi możemy zwrócić uwagę UODO na obszary, gdzie uważamy, iż działania są potrzebne. Warto pamiętać, iż urzędy są zobowiązane do rozpatrzenia każdej adekwatnie złożonej skargi. W przypadku otrzymania wystarczającej liczby skarg urząd będzie zmotywowany do podjęcia działań mających na celu zapobieżenie powtarzającym się naruszeniom.
Państwo powinno świecić przykładem
Państwo powinno być przykładem w zakresie ochrony prywatności obywateli. Stosowanie technologii śledzących na stronach internetowych instytucji publicznych budzi w nas poważne obawy co do prywatności i bezpieczeństwa danych użytkowników. Uważamy, iż strony rządowe powinny być wolne od technologicznych gigantów takich jak np. Google czy Meta.
W kontekście stron internetowych, prowadzonych przez organy administracji publicznej, kwestia zbierania informacji o użytkownikach i użytkowniczkach ma szczególny wymiar. Państwo nie może kierować się tą samą logiką, co właściciele prywatnych witryn internetowych zbierający dane w celu realizacji swoich celów biznesowych. Po stronie państwa leży szczególny ciężar i obowiązek troski o prywatność osób odwiedzających prowadzone przez administrację publiczną strony internetowe, zwłaszcza iż za ich pośrednictwem przetwarzane są często wrażliwe dane (np. informacje o stanie zdrowia czy dane podatkowe).