Państwo dzieli się danymi obywateli z internetowymi korporacjami – alarmuje Panoptykon

Fundacja Panoptykon i Fundacja „Internet. Czas działać!” zaapelowały do Ministra Cyfryzacji o uporządkowanie sytuacji z dostępnością danych obywateli dla podmiotów nieuprawnionych.

Internetowe Konto Pacjenta, serwis o uzależnieniach behawioralnych Krajowego Centrum Przeciwdziałania Uzależnieniom, strona telefonu zaufania prowadzonego przez NASK, oficjalny portal miasta Wrocław. To tylko kilka przykładów stron, które za pośrednictwem skryptów śledzących i plików cookie przekazują dane osób odwiedzających zewnętrznym firmom. A te mogą je wykorzystać m.in. w celach reklamowych.

Wchodząc na dowolną stronę internetową, musimy liczyć się z tym, że nasze dane trafią w różne miejsca

Nie tylko na serwery, na których umieszczona jest odwiedzana strona. Również do podmiotów trzecich, w tym firm żyjących z gromadzenia na masową skalę danych o naszej aktywności w internecie, takich jak Google.

Nasze dane trafiają do nich również za pośrednictwem stron prowadzonych przez podmioty publiczne

– Nie widzimy uzasadnienia dla wykorzystywania na stronach podmiotów publicznych skryptów śledzących, za pośrednictwem których informacje o odwiedzających trafiają do zewnętrznych podmiotów. W wielu przypadkach użytkownicy nie są w ogóle pytani o zgodę na to, żeby ich dane zasilały bazy podmiotów żyjących ze śledzenia ich w sieci. To niezgodne z prawem telekomunikacyjnym, a także z przepisami o ochronie danych osobowych – wyjaśnia Agnieszka Rapcewicz z Fundacji „Internet. Czas działać!”.

Panoptykon i „Internet. Czas działać!” zwróciły się do Ministra Cyfryzacji Krzysztofa Gawkowskiego z petycją

Apelują w niej o:

• zbadanie tego problemu,
• przygotowanie wytycznych, które pozwolą ograniczyć przesyłanie danych na zewnątrz w sposób niezgodny z prawem.

– Państwo nie powinno karmić big techów danymi swoich obywatelek i obywateli. W tej sprawie chodzi też o zaufanie. Osoby wchodzące na takie witryny, jak Internetowe Konto Pacjenta czy strona telefonu zaufania 116 sos.pl mają prawo oczekiwać poufności. Tymczasem dziś nie mogą mieć pewności, że wrażliwe informacje na ich temat, w tym te o ich słabościach, nie będą wykorzystane w celach reklamowych – podkreśla Mateusz Wrotny z Fundacji Panoptykon.

Przegląd wykonany przez fundacje wykazał, że szczególnie popularną wśród podmiotów publicznych zewnętrzną usługą wmontowaną w strony internetowe jest Google Analitycs. Oczywiście, analizowanie ruchu na stronach to abecadło komunikacji w internecie. Ale wykorzystanie do tego celu Google Analytics oznacza, że informacje o aktywności osób odwiedzających stronę trafią do i tak ogromnej bazy danych o ludziach amerykańskiego giganta.

Korzystanie z narzędzia Google rodzi też kolejne wyzwanie prawne, dotyczące legalności przesyłania danych do USA

– Już dwa porozumienia między Unią Europejską a Stanami Zjednoczonymi w sprawie przekazywania danych za ocean zostały unieważnione ze względu na niezgodność z Kartą praw podstawowych Unii Europejskiej. Od 10 lipca 2023 r. obowiązuje co prawda porozumienie EU–US Data Privacy Framework, ale ono również jest kontestowane i może trafić do kosza – wyjaśnia Wrotny.

Przeciętna strona w sieci nie poprzestaje na przesyłaniu danych niezbędnych

Poza nimi na zewnętrzne serwery trafiają:

• adresy IP,
• dane lokalizacyjne,
• przede wszystkim – informacje o tym, jak poruszamy się po stronie i w co klikamy (w przypadku narzędzi do analizy ruchu na stronach).

– Oczywiście najbardziej śledzą strony komercyjne, np. portale newsowe. Rekordziści przesyłają dane nawet 1400 podmiotom zewnętrznym. W tym Google, Amazonowi, Mecie i ByteDance, czyli właścicielowi TikToka. Na stronach urzędów i instytucji, którym się przyglądaliśmy, nie było na szczęście aż tak źle. Nie widzimy jednak powodu, żeby państwo karmiło naszymi danymi choćby pojedyncze podmioty – wyjaśnia Wrotny.

Dane trafiają do zewnętrznych podmiotów także wtedy, gdy w serwisie umieszczone (embedowane) są materiały wideo hostowane poza nim, np. na YouTube

W petycji aktywiści wskazują też na drugi problem. Jest nim informowanie przez administratorów o tym:

• jakie dane trafiają do jakich podmiotów,
• w jakim celu to się dzieje.

Informacje te powinny być zamieszczone w polityce prywatności serwisu. Zdarza się jednak, że są one ogólnikowe, niepełne bądź nie ma ich w ogóle. Dlatego przygotowując petycję, eksperci posiłkowali się wtyczką Rentgen, którą zaimplementowali deweloperzy Fundacji „Internet. Czas działać!”. Rentgen jest wtyczką dla przeglądarki Mozilla Firefox. Pozwala sprawdzić, jakim domenom i subdomenom badana strona internetowa udostępniła dane dotyczące osoby odwiedzającej (w tym dane pozyskane z cookies).

– Wtyczka jest w stanie analizować także dane przekształcone, np. wielokrotne kodowanie base64. Ten proces nazywany jest obfuskacją i ma na celu utrudnienie analizy. Dzięki temu możemy ustalić:

• dokąd strona wysyła dane osobowe,
• czy twórca strony nadał osobie sztuczny identyfikator (jeśli jest on unikalny, może stanowić daną osobową),
• czy historia przeglądania została udostępniona podmiotom trzecim

– wyjaśnia Arkadiusz Wieczorek z Fundacji „Internet. Czas działać!”.

Petycję skierowano do Ministra Cyfryzacji 22 kwietnia 2024 r. Zgodnie z prawem o petycjach ministerstwo ma 3 miesiące na odpowiedź.