0:00
0:00

0:00

Prawa autorskie: Fot. Lionel BONAVENTURE / AFPFot. Lionel BONAVENT...

Internetowe Konto Pacjenta, serwis o uzależnieniach behawioralnych Krajowego Centrum Przeciwdziałania Uzależnieniom, strona telefonu zaufania prowadzonego przez NASK, oficjalny portal miasta Wrocław – to tylko kilka przykładów stron, które za pośrednictwem skryptów śledzących i plików cookie przekazują dane osób odwiedzających zewnętrznym firmom. A te mogą je wykorzystać m.in. w celach reklamowych.

Informuje o tym Panoptykon i Fundacja „Internet. Czas działać!”

Wchodząc na dowolną stronę internetową, musimy liczyć się z tym, że nasze dane trafią w różne miejsca – wyjaśniają aktywiści. – Nie tylko na serwery, na którym umieszczona jest strona, którą odwiedzamy, ale również do podmiotów trzecich, w tym firm żyjących z gromadzenia na masową skalę danych o naszej aktywności w sieci, takich jak Google. Niestety nasze dane trafiają do nich również za pośrednictwem stron prowadzonych przez podmioty publiczne.

Dlaczego państwo polskie nie powinno przekazywać naszych danych komercyjnym firmom. Petycja do Ministra Cyfryzacji

„Nie widzimy uzasadnienia dla wykorzystywania na stronach podmiotów publicznych skryptów śledzących, za pośrednictwem których informacje o odwiedzających trafiają do zewnętrznych podmiotów” – wyjaśnia cytowana w komunikacie Agnieszka Rapcewicz z Fundacji „Internet. Czas działać!”. „W wielu przypadkach użytkownicy nie są w ogóle pytani o zgodę na to, żeby ich dane zasilały bazy podmiotów żyjących ze śledzenia ich w sieci. To niezgodne z prawem telekomunikacyjnym, a także z przepisami o ochronie danych osobowych”.

Panoptykon i „Internet. Czas działać!” zwróciły się 23 kwietnia 2024 do ministra cyfryzacji Krzysztofa Gawkowskiego z petycją.

Apelują w niej o zbadanie tego problemu i przygotowanie wytycznych, które pozwolą ograniczyć przesyłanie danych na zewnątrz w sposób niezgodny z prawem.

„Państwo nie powinno karmić big techów danymi swoich obywatelek i obywateli. W tej sprawie chodzi też o zaufanie. Osoby wchodzące na strony takie jak Internetowe Konto Pacjenta czy strona telefonu zaufania 116 sos.pl mają prawo oczekiwać poufności” – podkreśla Mateusz Wrotny z Fundacji Panoptykon. „Tymczasem dziś nie mogą mieć pewności, że wrażliwe informacje na ich temat, w tym te o ich słabościach, nie będą wykorzystane w celach reklamowych” – wskazuje.

Przeczytaj także:

Co nas śledzi?

Przegląd wykonany przez fundacje wykazał, że szczególnie popularną wśród podmiotów publicznych zewnętrzną usługą „wmontowaną” w strony internetowe jest Google Analitycs. Analizowanie ruchu na stronach to abecadło komunikacji w Internecie. Ale wykorzystanie do tego celu Google Analytics oznacza, że informacje o aktywności osób odwiedzających stronę trafiają do i tak ogromnej bazy danych o ludziach amerykańskiego giganta. Który na tych danych opiera cały swój biznes.

Korzystanie z narzędzia Google rodzi też kolejne wyzwanie prawne – dotyczące legalności przesyłania danych do USA.

„Już dwa porozumienia między Unią Europejską a USA w sprawie przekazywania danych za ocean zostały unieważnione ze względu na niezgodność z Kartą Praw Podstawowych. Od 10 lipca 2023 roku obowiązuje co prawda porozumienie EU-US Data Privacy Framework, ale ono również jest kontestowane i może trafić do kosza” – wyjaśnia Wrotny.

Jakie dane przesyłane są przez strony internetowe?

Wejście na dowolną stronę internetową wymaga przesłania danych w dwie strony. W dużym uproszczeniu: przeglądarka informuje serwer odwiedzanej strony o podstawowych parametrach, np. rozdzielczości ekranu i języku, żeby strona mogła wyświetlić się prawidłowo. Jeśli strona wymaga logowania, przesyłane są dane autoryzacyjne.

Przeciętna strona w sieci jednak nie poprzestaje na przesyłaniu danych niezbędnych. Poza nimi na zewnętrzne serwery trafiają adresy IP, dane lokalizacyjne, a przede wszystkim – informacje o tym, jak poruszamy się po stronie i w co klikamy (w przypadku narzędzi do analizy ruchu na stronach).

„Oczywiście najbardziej śledzą strony komercyjne, np. portale newsowe. Rekordziści przesyłają dane nawet 1400 podmiotom zewnętrznym, w tym Google, Amazonowi, Mecie i ByteDance [właścicielowi TikToka]” – wyjaśnia Wrotny. „Na stronach urzędów i instytucji, którym się przyglądaliśmy, nie było na szczęście aż tak źle, ale nie widzimy powodu, żeby państwo karmiło naszymi danymi choćby pojedyncze podmioty”.

Dane trafiają do zewnętrznych podmiotów także wtedy, gdy w serwisie umieszczone (embedowane) są materiały wideo hostowane poza nim, np. na YouTubie.

Polityki prywatności do zmiany

W petycji aktywiści wskazują też na drugi problem – informowania przez administratorów o tym,

  • jakie dane trafiają do jakich podmiotów
  • i w jakim celu to się dzieje.

Informacje te powinny być zamieszczone w polityce prywatności serwisu, jednak zdarza się, że informacje te są ogólnikowe, niepełne bądź nie ma ich w ogóle. Dlatego przygotowując petycję, eksperci posiłkowali się wtyczką Rentgen zaimplementowaną przez deweloperów Fundacji „Internet. Czas działać!”.

Rentgen jest wtyczką dla przeglądarki Mozilla Firefox. Pozwala sprawdzić, jakim domenom i subdomenom badana strona internetowa „udostępniła” dane dotyczące osoby odwiedzającej (w tym dane pozyskane z cookies).

„Wtyczka jest w stanie analizować także dane przekształcone np. wielokrotne kodowanie base64 [ten proces nazywany jest obfuskacją i ma na celu właśnie utrudnienie analizy]. Dzięki temu możemy ustalić, dokąd strona wysyła dane osobowe, czy twórca strony nadał osobie sztuczny identyfikator [jeśli jest on unikalny, jest daną osobową] a także, czy historia przeglądania została udostępniona podmiotom trzecim” – wyjaśnia Arkadiusz Wieczorek z Fundacji „Internet. Czas działać!”.

Petycja trafiła do Ministra Cyfryzacji 23 kwietnia 2024 roku. Zgodnie z prawem o petycjach ministerstwo ma 3 miesiące na odpowiedź. Organizacje oczekują, że Ministerstwo Cyfryzacji nie będzie zwlekało z przygotowaniem wytycznych dla administratorów stron.

Na zdjęciu u góry: Logo YouTube sfotografowane na tablecie wystawianym na targach w Tuluzie, październik 2021 (Fot. Lionel BONAVENTURE/AFP)

;
Na zdjęciu Redakcja OKO.press
Redakcja OKO.press

Jesteśmy obywatelskim narzędziem kontroli władzy. Obecnej i każdej następnej. Sięgamy do korzeni dziennikarstwa – do prawdy. Podajemy tylko sprawdzone, wiarygodne informacje. Piszemy rzeczowo, odwołując się do danych liczbowych i opinii ekspertów. Tworzymy miejsce godne zaufania – Redakcja OKO.press

Komentarze