GOV.PL bez Google Analytics. Co z pozostałymi stronami instytucji publicznych?

Ministerstwo Cyfryzacji po wewnętrznej analizie doszło do wniosku, że na portalach rządowych nie powinno osadzać się skryptów Google Analytics. Wciąż nie mamy jasnej deklaracji o sformułowaniu zaleceń używania narzędzi na innych stronach administracji publicznej. Analizujemy odpowiedź na naszą petycję.

W kwietniu razem z Fundacją „Internet. Czas działać!” wystąpiliśmy z petycją do Ministerstwa Cyfryzacji. Zwracaliśmy w niej uwagę, że na stronach internetowych wielu polskich instytucji działają skrypty, które powodują, że dane odwiedzających trafiają do zewnętrznych firm, w tym amerykańskich big techów takich jak Google. Apelowaliśmy o audyt stron i przygotowanie wytycznych dla administratorów, które położyłyby kres temu procederowi.

Co odpowiedziało Ministerstwo

Po pierwsze – Ministerstwo odpowiedziało, że przyjrzy się sprawie (podkreślamy to, bo taka postawa wcale nie jest oczywista).

Po drugie – przeprowadziło analizę, która doprowadziła do wniosku, że na stronach rządowych i samorządowych (w domenie gov.pl/samorzad.gov.pl) nie ma miejsca na Google Analytics. Powód: 

„Większość witryn internetowych wykorzystuje narzędzia analityczne do wyciągania wniosków na temat zachowania użytkowników. Najpopularniejszym z nich jest Google Analytics i z tego narzędzia w pierwszym okresie swojego funkcjonowania również korzystał Portal RP. Przeprowadzone przez Ministerstwo Cyfryzacji konsultacje w tym zakresie potwierdziły, że operator serwisu gov.pl/samorzad.gov.pl nie ma wpływu na przetwarzanie przez Google danych (np. do celów profilowania), stąd podjęto decyzję o zmianie narzędzia analitycznego”.

Fragment odpowiedzi Ministerstwa Cyfryzacji na petycję Fundacji Panoptykon i Fundacji „Internet. Czas działać!”

Resort zapowiedział też, że zastąpi analitykę Google innym narzędziem.

Image

„Strony prowadzone przez urzędy, miasta czy instytucje lokalne i centralne to ważne źródła informacji. Trudno z nich tak po prostu nie korzystać”.

W odpowiedzi na pismo Ministerstwa poprosiliśmy o informację, kiedy ze stron rządowych znikną skrypty i ciastka Google, oraz o udostępnienie wyników samej analizy, która doprowadziła do decyzji o rezygnacji z tej usługi. Czy coś stoi na przeszkodzie, żeby wnioski z niej zastosowały także inne instytucje? 

Po trzecie – Ministerstwo wskazało, że jeśli chodzi o śledzenie na stronach internetowych, zawsze możemy poskarżyć się do Prezesa UODO i Prezesa Urzędu Komunikacji Elektronicznej.

„Jednocześnie należy podkreślić, że w Polsce organem nadzorczym w sprawach ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (UODO). W przypadku występowania jakichkolwiek nieprawidłowości na stronie internetowej danego administratora, np. w zakresie kształtu polityk prywatności czy banneru zawierającego informacje o plikach cookies, każdy podmiot dostrzegający takie nieprawidłowości uprawniony jest zgłosić je do Prezesa UODO.

Podobnie w sytuacji, w której nieprzestrzegane są przepisy art. 173 ustawy Prawo telekomunikacyjne, tj. gdy informacje użytkownika lub abonenta przechowywane są bez jego zgody, uprawniony on jest do dochodzenia swoich praw przed Prezesem Urzędu Komunikacji Elektronicznej (UKE). Prezes Urzędu Komunikacji Elektronicznej może nałożyć karę pieniężną na podmiot, który nie wypełnia obowiązków uzyskania zgody abonenta lub użytkownika końcowego, o których mowa w art. 173 Prawo telekomunikacyjne”.

Fragment odpowiedzi Ministerstwa Cyfryzacji na petycję Fundacji Panoptykon i Fundacji „Internet. Czas działać!”

Doceniamy, ale zDDoSowanie UODO skargami na temat każdej śledzącej strony miasta, gminy, OSiR-u czy instytucji, które znajdziemy w sieci, traktujemy jako ostateczność. Wydaje nam się, że mamy do czynienia z niewiedzą, a nie celowym łamaniem prawa, dlatego wytyczne Ministerstwa pozwoliłyby łatwiej – i skuteczniej – wprowadzić zmiany w szerokiej skali.

Jeśli zaś chodzi o UKE, Fundacja „Internet. Czas działać!” testowała już tę drogę. I nic: Prezes UKE podejmuje jedynie sprawy z urzędu. Skarg od osób, które uważają, że ich prawa zostały naruszone, nie przyjmuje.

„Złożone przez Pana zawiadomienie w sprawie podejrzenia naruszenia przepisów ustawy Pt, ma charakter informacyjny i nie wszczyna automatycznie postępowania administracyjnego, które prowadziłoby do wydania przez Prezesa UKE decyzji administracyjnej. Zgodnie z art. 199 ust. 1 ustawy Prawo telekomunikacyjne, Prezes UKE jest organem uprawnionym do kontroli przestrzegania przepisów, wydawania decyzji oraz postanowień z zakresu telekomunikacji. Działania Prezesa UKE w tym zakresie podejmowane są z urzędu. Oznacza to, że Pana skarga nie stanowi samoistnej podstawy wszczęcia postępowania.

(…) [W] przypadku stwierdzenia nieprawidłowości w zakresie stosowania Prawa telekomunikacyjnego Prezes UKE podejmuje odpowiednie działania, zgodnie z kompetencjami organu. Osoba zawiadamiająca Prezesa UKE o naruszeniu przepisów ustawy Pt nie jest stroną dalszego postępowania. Zatem zawiadamiający nie jest informowany o przebiegu podjętych czynności w sprawie”.

Fragmenty odpowiedzi UKE na skargę prezesa Fundacji „Internet. Czas działać!” dotyczącą skryptów śledzących na stronie pewnej polskiej firmy.

I odsyła do… UODO:

„Jeżeli dane osobowe przetwarzane są niezgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), to może Pan złożyć skargę do Prezesa UODO”.

Fragmenty odpowiedzi UKE na skargę działacza Fundacji „Internet. Czas działać!” dotyczącą skryptów śledzących na stronie pewnej polskiej firmy.

Administracja analizuje śledzenie użytkowników: dobry przykład przypadek gminy Stary Sącz

Strony prowadzone przez urzędy, miasta czy instytucje lokalne i centralne to ważne źródła informacji. Trudno z nich tak po prostu nie korzystać. Jednak nie wszyscy chcą być śledzeni przez gigantyczne firmy, kiedy np. próbują dowiedzieć się, jak konkretne miasto rozlicza wywóz śmieci. Dlatego cieszą nas wszelkie jaskółki zmian. Ministerstwo Cyfryzacji przeprowadziło analizę dotyczącą Google Analytics. Gmina Stary Sącz sprawdziła, czy zgodne z przepisami jest używanie YouTube’a do transmisji sesji rady miejskiej – i doszła do wniosku, że nie. Obecnie transmituje je na hostowanej na własnym serwerze instancji PeerTube’a (https://video.starysacz.um.gov.pl/).

Image

Zrzut ekranu z filmu na kanale gminy Stary Sącz na Youtubie. Gmina przeniosła transmisje na instancję PeerTube’a.

Audyt potrzebny od zaraz

Gmina Stary Sącz jest w zdecentralizowanym Internecie (Fediwersie) jedną z pionierek polskiej administracji (konto na Mastodonie ma także Urząd Ochrony Danych Osobowych!). Przytłaczająca większość instytucji ogranicza się do korzystania z narzędzi big techowych. Nie przykładają też nadmiernej wagi do precyzyjnego informowania ludzi, co dzieje się z ich danymi. Może sami tego nie wiedzą i dlatego polityki prywatności wielu stron odsyłają do ogólnej polityki przetwarzania danych Google’a czy Mety?

W efekcie – jak pisaliśmy w petycji – „użytkownicy i użytkowniczki stron internetowych nie mają pełnej wiedzy, jakie informacje na ich temat zbierają administratorzy stron publicznych”.

Ta wiedza będzie pełniejsza, jeśli administracja będzie zobligowana do przeprowadzenia audytu. Ministerstwo Cyfryzacji ma już doświadczenie z analizą zgodności narzędzi z prawem. Publikacja schematu takiej analizy ułatwiłaby pracę kolejnym instytucjom i w ten sposób pomogła w poszanowaniu prywatności Polek i Polaków.

Ministerstwo zaprasza na spotkanie

Ministerstwo Cyfryzacji zapowiedziało już spotkanie w celu wypracowania wytycznych dotyczących śledzenia na stronach internetowych instytucji – i obiecało, że na pewno je na nas zaprosi. Doceniamy i czekamy na datę, ale uprzedzamy, że możemy co najwyżej powtórzyć nasz postulat z petycji: zróbcie audyt i wydajcie wytyczne.

„(...) doceniamy wszelkie działania ze strony organizacji pozarządowych, które wzmacniają możliwości użytkowników Internetu w realizacji swoich praw. Celem wzmocnienia ochrony danych osobowych konieczna jest współpraca organów nadzorczych z sektorem prywatnym i pozarządowym, a wszelkie przedsięwzięcia, takie jak wskazana w petycji wtyczka Fundacji »Internet. Czas Działać!« o nazwie Rentgen czy opracowywana przez Fundację aplikacja Rentgendroid ułatwiają zagwarantowanie egzekwowalności przepisów RODO. Mając na uwadze powyższe, zorganizujemy robocze spotkanie konsultacyjne, podczas którego podsumujemy zgłoszone dotychczas stanowiska. Przekażemy informację i zaproszenie w odrębnej korespondencji oraz komunikacie.

Fragment odpowiedzi Ministerstwa Cyfryzacji na petycję Fundacji Panoptykon i Fundacji „Internet. Czas działać!”