W kwietniu złożyliśmy razem z Fundacją Panoptykon petycję do Ministra Cyfryzacji:
Analiza dzięki Rentgena wykazała, iż liczne strony podmiotów publicznych korzystają m.in. z Google Analytics i innych skryptów śledzących od podmiotów trzecich. W petycji wnioskowaliśmy, aby Ministerstwo:
- wykonało analizę praktyk dot. skryptów śledzących na stronach instytucji publicznych oraz
- wypracowało wytyczne wskazujące dobre praktyki w tym
zakresie.
Ministerstwo udzieliło odpowiedzi 3 sierpnia, odnośnik do treści odpowiedzi.
Z lektury odpowiedzi możemy dowiedzieć się, iż Ministerstwo zrobiło analizę zasadności używania Google Analytics na stronach *.gov.pl oraz *.samorzad.gov.pl – nie mamy pewności, czy wykonanie tej analizy było spowodowane naszą petycją, czy nie. Wiemy, iż wynikiem analizy był wniosek, iż na stronach *.gov.pl i *.samorzad.gov.pl nie powinno być osadzonych skryptów Google Analytics, ponieważ administrator „nie ma wpływu na przetwarzanie przez Google danych (np. do celów profilowania)”.
Brak wytycznych
Ministerstwo nie wytworzyło wytycznych dla instytucji publicznych, w których wskazywałoby, ze używanie Google Analytics jest niewskazane na ich stronach — mimo iż nic nie wskazuje na to, iż dla tych stron wnioski mogłyby być inne.
Ministerstwo chce wypracować takie wytyczne. Napisało, iż zaprosi nas i Panoptykon na spotkanie konsultacyjne. Zaznacza także, iż w celu wzmocnienia ochrony danych osobowych konieczna jest kooperacja z sektorem prywatnym.
Ministerstwo nie wykonało audytu stron instytucji publicznych pod kątem cookiesów. Powiedziało, iż można składać indywidualne skargi do Urzędu Ochrony Danych Osobowych (UODO) i do Urzędu Komunikacji Elektronicznej (UKE), gdy znajdzie się nieprawidłowości na stronie którejś instytucji publicznej. W naszej opinii takie działanie byłoby nieskuteczne, gdyż UODO jest ewidentnie przeciążone skargami (na decyzję w choćby prostej sprawie czeka się latami), a wobec UKE nie ma trybu skargowego, który nakładałby obowiązek, aby UKE zajął się zgłoszoną sprawą.
Dlaczego to jest ważne?
Uważamy, iż branie udziału w cyfrowych aspektach życia publicznego nie powinno wymuszać na obywatelach akceptacji polityki prywatności prywatnych, zagranicznych firm. Strony publicznych instytucji powinny być nieskazitelne pod kątem prywatności i stanowić przykład dla sektora publicznego. Odgórne wytyczne sporządzone przez Ministerstwo Cyfryzacji pomogłyby administratorom stron publicznych instytucji dbać o poprawną ochronę danych osób odwiedzających te strony.
Co dalej?
Wraz z Fundacją Panoptykon sporządziliśmy odpowiedź do Ministerstwa. Weźmiemy też udział w zapowiedzianych przez Ministerstwo konsultacjach. Będziemy Was informować, gdy pojawią się nowe informacje!