Artykuł 23.04.2024 6 min. czytania Tekst Image Odwiedzasz strony internetowe prowadzone przez instytucje publiczne? Wiele z nich przekazuje twoje dane do zewnętrznych firm, w tym amerykańskich big techów takich jak Google. Nie godzimy się na to. Internetowe Konto Pacjenta, serwis „Uzależnienia Behawioralne” Krajowego Centrum Przeciwdziałania Uzależnieniom, strona telefonu zaufania, oficjalny portal Wrocławia – to tylko kilka przykładów stron, które za pośrednictwem skryptów śledzących i plików cookie przekazują dane osób odwiedzających zewnętrznym firmom. A te mogą je wykorzystać m.in. w celach reklamowych. Fundacja Panoptykon i Fundacja „Internet. Czas działać!” zaapelowały do Ministra Cyfryzacji o uporządkowanie sytuacji. Wchodząc na dowolną stronę internetową, musimy liczyć się z tym, że nasze dane trafią w różne miejsca. Nie tylko na serwery, na których umieszczona jest strona, ale także do podmiotów trzecich, w tym firm żyjących z gromadzenia na masową skalę danych o naszej aktywności w Internecie, takich jak Google. Niestety, dane trafiają do nich również za pośrednictwem stron prowadzonych przez podmioty publiczne. „Państwo nie powinno karmić big techów danymi swoich obywatelek i obywateli. W tej sprawie chodzi też o zaufanie. Osoby wchodzące na takie witryny, jak Internetowe Konto Pacjenta czy strona telefonu zaufania 116sos.pl mają prawo oczekiwać poufności. Tymczasem dziś nie mogą mieć pewności, że wrażliwe informacje na ich temat, w tym te o ich słabościach, nie będą wykorzystane w celach reklamowych”. Mateusz Wrotny, Fundacja Panoptykon Państwo nie powinno przekazywać danych obywateli komercyjnym firmom. Petycja do Ministra Cyfryzacji Panoptykon i „Internet. Czas działać!” zwróciły się do Ministra Cyfryzacji Krzysztofa Gawkowskiego z petycją. Apelują w niej o zbadanie tego problemu i przygotowanie wytycznych, które pozwolą ograniczyć przesyłanie danych na zewnątrz w sposób niezgodny z prawem. „Nie widzimy uzasadnienia dla wykorzystywania na stronach podmiotów publicznych skryptów śledzących, za pośrednictwem których informacje o odwiedzających trafiają do zewnętrznych podmiotów. W wielu przypadkach użytkownicy nie są w ogóle pytani o zgodę na to, żeby ich dane zasilały bazy podmiotów żyjących ze śledzenia ich w sieci. To niezgodne z prawem telekomunikacyjnym, a także z przepisami o ochronie danych osobowych”. Agnieszka Rapcewicz, Fundacja „Internet. Czas działać!” Nasz przegląd wykazał, że szczególnie popularną wśród podmiotów publicznych usługą wmontowaną w strony internetowe jest Google Analitycs. Oczywiście, analizowanie ruchu na stronach to zwyczajna rzecz w Internecie. Ale wykorzystanie do tego celu narzędzia Google oznacza, że informacje o aktywności osób odwiedzających stronę trafią do gigantycznej bazy danych amerykańskiego giganta – który na tych danych opiera cały swój biznes. Image Korzystanie z narzędzia Google rodzi też kolejne wyzwanie prawne – dotyczące legalności przesyłania danych do USA. „Już dwa porozumienia między Unią Europejską a Stanami Zjednoczonymi w sprawie przekazywania danych za ocean zostały unieważnione ze względu na niezgodność z Kartą praw podstawowych Unii Europejskiej. Od 10 lipca 2023 r. obowiązuje co prawda porozumienie EU–US Data Privacy Framework, ale ono również jest kontestowane i może trafić do kosza”. Mateusz Wrotny, Fundacja Panoptykon Jakie dane przesyłane są przez strony internetowe Wejście na dowolną stronę internetową wymaga przesłania danych w dwie strony. W dużym uproszczeniu: przeglądarka informuje serwer odwiedzanej strony o podstawowych parametrach, np. rozdzielczości ekranu i języku, żeby strona mogła wyświetlić się prawidłowo. Jeśli strona wymaga logowania, przesyłane są dane do autoryzacji. Przeciętna strona w sieci jednak nie poprzestaje na przesyłaniu wyłącznie danych niezbędnych. Poza nimi na zewnętrzne serwery trafiają adresy IP, dane lokalizacyjne, a przede wszystkim – informacje o tym, jak poruszamy się po stronie i w co klikamy (w przypadku narzędzi do analizy ruchu na stronach). Dane trafiają do zewnętrznych podmiotów także wtedy, gdy w serwisie umieszczone (embedowane) są materiały wideo hostowane poza nim, np. na YouTubie. Oczywiście, najbardziej śledzą strony komercyjne, np. portale newsowe. Rekordziści przesyłają dane nawet 1400 podmiotom zewnętrznym, w tym Google, Amazonowi, Mecie i ByteDance, czyli właścicielowi TikToka. Na stronach urzędów i instytucji nie jest na szczęście aż tak źle, ale nie ma powodu, żeby państwo karmiło naszymi danymi choćby pojedyncze podmioty. Polityki prywatności do zmiany – niczego się z nich nie dowiesz W petycji aktywiści wskazują też na drugi problem: informowania przez administratorów o tym, jakie dane trafiają do jakich podmiotów – i w jakim celu to się dzieje. Informacje te powinny być zamieszczone w polityce prywatności serwisu, jednak zdarza się, że są one ogólnikowe, niepełne bądź nie ma ich w ogóle. Dlatego przygotowując petycję, eksperci posiłkowali się wtyczką Rentgen zaimplementowaną przez deweloperów Fundacji „Internet. Czas działać!”. Rentgen jest wtyczką dla przeglądarki Mozilla Firefox. Pozwala sprawdzić, jakim domenom i subdomenom badana strona internetowa udostępniła dane dotyczące osoby odwiedzającej (w tym dane pozyskane z cookies). „Wtyczka jest w stanie analizować także dane przekształcone, np. wielokrotne kodowanie base64. Ten proces nazywany jest obfuskacją i ma na celu utrudnienie analizy. Dzięki temu możemy ustalić, dokąd strona wysyła dane osobowe, czy twórca strony nadał osobie sztuczny identyfikator (jeśli jest on unikalny, może stanowić daną osobową), a także, czy historia przeglądania została udostępniona podmiotom trzecim”. Arkadiusz Wieczorek, Fundacja „Internet. Czas działać!” Petycja została skierowana do Ministra Cyfryzacji 22 kwietnia 2024 r. Zgodnie z prawem o petycjach ministerstwo ma 3 miesiące na odpowiedź. Organizacje oczekują, że Ministerstwo Cyfryzacji nie będzie zwlekało z przygotowaniem wytycznych dla administratorów stron. Anna Obem Autorka Wojciech Klicki, Agnieszka Rapcewicz, Arkadiusz WieczorekWspółpraca Linki i dokumenty Petycja w sprawie wykorzystywania technologii śledzących na stronach internetowych prowadzonych przez organy administracji publicznej240.36 KBpdf Image Działania organizacji w latach 2022-24 dofinansowane z Funduszy Norweskich w ramach programu Aktywni Obywatele – Fundusz Krajowy. Temat biznes reklamowy dane osobowe prawo Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł IAB Europe narusza RODO Irytujące wyskakujące okienka (pop-upy) naruszają RODO. Wymuszanie w taki sposób zgody na śledzenie użytkowników i użytkowniczek przez setki podmiotów po to, by serwować personalizowaną reklamę, narusza przepisy – wynika z wstępnej decyzji wydanej przez belgijski organ ochrony danych osobowych… 10.11.2021 Tekst Artykuł Po co nam niezależne organy? Państwo to ludzie. Polska konstytucja nie jest pod tym względem oryginalna: opiera się na zasadzie trójpodziału władzy między instytucjami, ale kierowanie nimi oddaje w ręce pojedynczych osób: prezesów, marszałków, prezydentów. Żadna instytucja nie działa mechanicznie, żadne przepisy nie stosują… 29.03.2019 Tekst Artykuł Kto może zajrzeć do Twojego e-PIT-a? W przededniu uruchomienia usługi Twój e-PIT Ministerstwo Finansów ostrzegało przed oszustami próbującymi nabrać podatników na płatny dostęp do usługi Twój e-PIT. Jak się jednak szybko okazało, samo niedostatecznie go zabezpieczyło: jedna z opcji logowania umożliwia dostęp do danych podatników… 20.02.2019 Tekst
Petycja w sprawie wykorzystywania technologii śledzących na stronach internetowych prowadzonych przez organy administracji publicznej240.36 KBpdf
