Prywatność na stronie internetowej instytucji publicznej

Coraz więcej instytucji i podmiotów świadczących usługi publiczne ma własne strony internetowe. Dla obywateli bywają one znacznym ułatwieniem, ponieważ pozwalają na bardzo szybkie znalezienie przydatnych materiałów: formularzy urzędowych, informacji o ważnych wydarzeniach czy choćby rozkładów komunikacji miejskiej. Prowadząc strony internetowe, instytucje publiczne – tak jak inni administratorzy – powinny dbać o ochronę prywatności użytkowników. A nawet świecić przykładem. Czy jednak rozwiązania techniczne, które wybierają publiczni administratorzy, faktycznie sprzyjają ochronie prywatności? Jak często dzielą się oni informacjami o osobach, które odwiedzają ich strony, z Google’em lub Facebookiem?

Gdy przejrzymy polityki prywatności na stronach różnych instytucji publicznych (np. ministerstw), możemy szybko zorientować się, że wiele z nich prócz plików cookies, niezbędnych do wyświetlenia strony, odnotowania wypełnienia sondy/ankiety lub związanych z ustawieniami naszej przeglądarki (np. wielkość czcionki), wykorzystuje również aplikacje i wtyczki umożliwiające zbieranie dodatkowych informacji o użytkownikach. Najczęściej stosowanymi elementami są programy o charakterze analitycznym, które pomagają dowiedzieć się m.in. tego, jak użytkownicy korzystają ze strony, jakie informacje interesują ich przede wszystkim i w jaki sposób wyszukują konkretne treści (czy bezpośrednio na stronie czy poprzez wyszukiwarki internetowe). Statystyki odwiedzin są dla administratora bardzo przydatne, jednak oprócz nich programy analityczne mogą zbierać o wiele więcej informacji o użytkownikach, niż to niezbędne do zarządzania stroną – nawet dane pozwalające na identyfikację użytkownika.

Zbieranie nadmiernej ilości informacji to jedno, ważną kwestią jest również to, że wykorzystywane programy mogą przekazywać je dalej różnym podmiotom, w tym zagranicznym firmom. Tak jest np. w przypadku najpopularniejszej aplikacji analitycznej – Google Analytics, z której korzysta większość ministerstw, znaczna część urzędów miast czy oddziałów NFZ. Informacje na ten temat znajdziemy w politykach prywatności, ale możemy się o tym przekonać również dzięki dodatkom do przeglądarek blokującym wtyczki (np. Disconnect, Ghostery) lub pokazującym, z jakich innych serwerów jest zaciągana zawartość na danej stronie (Lightbeam). Efekt w postaci przekazywania zewnętrznemu komercyjnemu podmiotowi informacji o zainteresowaniach użytkownika pojawia się natomiast wtedy, gdy na danej stronie zainstalowana jest wtyczka firmy Google, która pełni rolę wewnętrznej wyszukiwarki. Wpisując zapytanie w okno wyszukiwarki na stronie, w rzeczywistości korzystamy z wyszukiwarki Google, co pozbawia nas możliwości sięgnięcia po alternatywne rozwiązanie. Powiększa to zbiór informacji na nasz temat, którym ta firma dysponuje (a jest on bardzo duży, choćby ze względu na popularność jej usług i fakt, że Google łączy informacje z nich pochodzące). Co ciekawe, taka wtyczka umieszczona jest np. na stronie GIODO.

Część administratorów korzysta z wtyczek portali społecznościowych, które bezpośrednio na stronie instytucji pozwalają na „polubienie” konkretnego materiału lub nawet wyświetlają treści pojawiające się na profilu danej instytucji na portalu społecznościowym (robi tak np. Ministerstwo Spraw Wewnętrznych i CBA). Jeśli podmioty o charakterze publicznym sięgają po wtyczki i dodatki łączące ich strony z zewnętrznymi serwisami, to dzielą się z nimi informacjami o sposobie korzystania z danej strony przez użytkowników, a tych ostatnich (o ile nie włączą oni odpowiednich blokad) zmuszają do akceptowania polityk prywatności komercyjnych podmiotów, z którymi mogą nie chcieć mieć do czynienia. Gdy na stronie instytucji publicznej (ale też np. gazety) pojawia się wtyczka serwisu społecznościowego, dostaje on dane o tym, co czytał użytkownik czy jak wiele czasu spędził na danej stronie. Wzbogaca to informacje o osobie, którymi dysponuje prywatny podmiot (Facebook, Google czy Twitter). Publikując coś w serwisie społecznościowym, zazwyczaj mamy świadomość, że dzielimy się z  z nim wiedzą o sobie, ale przeglądając informacje na stronie instytucji publicznej, możemy już nie zdawać sobie sprawy, że informacje o nas również tam trafiają – nawet jeśli nie mamy w tym serwisie konta.

Rzadziej, ale jednak, instytucje publiczne wykorzystują wtyczki o charakterze marketingowym, które pozwalają na określenie, jakie treści pokażą się odbiorcom z konkretnego obszaru, czy na dopasowanie do nich reklam – taką wtyczką o nazwie DoubleClick posługuje się Ministerstwo Spraw Zagranicznych. Cześć komunikatów (np. ostrzeżenia o zagrożeniach czy informacje, gdzie szukać pomocy) przygotowywanych przez Ministerstwo zapewne skierowana jest do osób przebywających na określonych terytorium. Informacje o interesujących jednostkę tematach czy miejscu, w którym przebywała, to dość łakomy kąsek, więc po raz kolejny warto się zastanowić, czy dopuszczalne jest stosowanie aplikacji, które mogą przekazywać dane podmiotom trzecim.

Korzystanie z wtyczek analitycznych czy umożliwiających dzielenie się treściami na portalach społecznościowych oferowane jest za darmo, a przynajmniej tak to wygląda na pierwszy rzut oka. W rzeczywistości opłatę stanowią informacje o użytkownikach stron, zwiększające potencjał i zyski firm internetowych, które oferują „darmowe” aplikacje. Aspekt finansowy jest ważny – przecież zależy nam na tym, by instytucje publiczne w rozsądny sposób dysponowały środkami – jednak podmioty te jako administratorzy stron internetowych powinny również uwzględnić potrzebę zachowania prywatności użytkowników i poszukać rozwiązań, które pozwalają na większą kontrolę nad informacjami, np. sięgać po mniej znane, ale i mniej śledzące rozwiązania techniczne.

Gdy włączymy strony wybranych ministerstw w dodatku do przeglądarki internetowej (Firefox) Lightbeam, przekonamy się, skąd pobierają one treści, w tym ciasteczka, i w związku z tym, z kim dzielą się informacjami o swoich użytkownikach (ilustracja obejmuje Ministerstwo Administracji i Cyfryzacji – MAiC, Ministerstwo Spraw Zagranicznych – MSZ, Ministerstwo Spraw Wewnętrznych – MSW, Ministerstwo Infrastruktury i Rozwoju – MIiR oraz Ministerstwo Sprawiedliwości – MS). Część wskazanych ministerstw przechodzi po wyborach przeobrażenia organizacyjne, co może wpłynąć na zawartość dostępnych na ich stronach treści. Może to też dobra okazja, żeby zastanowić się na tym, ile informacji instytucje te powinny udostępniać komercyjnym podmiotom?

Anna Walkowiak

Współpraca: Michał „czesiek” Czyżewski

Tym, którzy chcą uniknąć śledzenia, a także dowiedzieć się, jakie aplikacje i wtyczki wykorzystują strony instytucji publicznych oraz o czym powinni pamiętać administratorzy stron przyjaznych prywatności, polecamy:

Odzyskaj kontrolę w sieci. Odcinek II: wtyczki

Jak tworzyć strony internetowe przyjazne prywatności użytkowników