Logując się na Internetowe Konto Pacjenta, nieświadomie przekazujesz swoje dane podmiotom w Stanach Zjednoczonych. Takie zarzuty stawiają witrynom organów administracji rządowej fundacja Panoptykon i fundacja „Internet. Czas działać!”. Organizacje wystosowały petycję, w której wnioskują, by ministerstwo cyfryzacji zbadało sprawę i przygotowało odpowiednie wytyczne co do przetwarzania danych Polaków.
Powiadomienie u dołu ekranu, by udzielić zgody na przetwarzanie danych to stały element internetowej rzeczywistości Polaków, na który adekwatnie odruchowo klikamy, udzielając zgody. Element ten dobrze przyjął się także na stronach organów administracji rządowej. Na tyle dobrze, iż na oficjalnej stronie miasta Wrocław zadomowiły się skrypty YouTube.
Z kolei pacjent.gov.pl pozyskuje dane niezbędne narzędziom Google do wyświetlania bardziej dopasowanych do użytkownika reklam. Sprawę naświetliły dwie polskie fundacje, które wystosowały do ministra cyfryzacji petycję z prośbą o przyjrzenie się tej kwestii.
Strony rządowe także korzystają z plików cookie. Ale przetwarzają je jak każdy
22 kwietnia fundacja Panoptykon przy współpracy z fundacją „Internet. Czas działać!” wystosowały petycję do ministra cyfryzacji Krzysztofa Gawkowskiego. Autorzy petycji wnioskują o dokonanie przez ministerstwo cyfryzacji przeglądu praktyk dotyczących śledzenia Polaków z wykorzystaniem ciasteczek i skryptów śledzących na stronach organów administracji publicznej oraz przygotowanie konkretnych wytycznych postępowania ze zgromadzonymi danymi.
Jak twierdzą obie organizacje, pomimo istnienia odpowiednich rozporządzeń prawnych (Prawo telekomunikacyjne – Dz. U. z 2024 r. poz. 34 oraz RODO). Niektóre strony internetowych polskich instytucji publicznych albo w ogóle nie pozyskują zgody na stosowanie technologii śledzących (o czym ma świadczyć brak wyświetlania baneru z zapytaniem o zgodę), albo ich administratorzy przyjmują, iż „zgodą” jest brak zmiany przez użytkownika ustawień przeglądarki (przeglądarka domyślnie przyjmuje pliki cookie i śledzące skrypty. A to z kolei jest niezgodne z zarówno Prawem telekomunikacyjnym, RODO, jak i orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej.
Na stronach organów administracji rządowej, do której należą m.in. strona Krajowego Centrum Przeciwdziałania Uzależnieniom, portal Internetowe Konto Pacjenta czy strona telefonu zaufania prowadzona przez NASK, odwiedzający przekazują ich operatorom wrażliwe dane, z którymi w interakcję – poprzez pliki cookie i skrypty – wchodzą także firmy trzecie.
Z Polityki prywatności oraz analizy danych z wykorzystaniem wtyczki Rentgen [przygotowanej przez fundację „Internet. Czas działać!” wynika, iż strona Internetowe Konto Pacjenta korzysta m.in. z Google Analytics oraz skryptu Google Tag Manager. Google Analytics to narzędzie do śledzenia i analizowania interakcji użytkowniczek i użytkowników z witryną i aplikacją. Google Tag Manager to system zarządzania tagami (kodami śledzenia), który ułatwia ich dodawanie i edytowanie. W polityce prywatności wskazuje się, iż dane przekazywane do Google Analytics dotyczą m.in. „identyfikacji urządzenia, na którym [użytkownik korzysta] z serwisu pacjent.gov.pl lub aplikacji mobilnej mojeIKP”.
Podobna adnotacja widnieje w polityce prywatności strony uzaleznieniabehawioralne.pl, której administratorem jest Krajowe Centrum Przeciwdziałania Uzależnieniom. Informuje ona, iż „pliki cookie mogą być wykorzystane przez sieci reklamowe, w szczególności sieć Google, do wyświetlenia reklam dopasowanych do sposobu, w jaki użytkownik korzysta z serwisu. W tym celu mogą zachować informację o ścieżce nawigacji Użytkownika lub czasie pozostawania na danej stronie”. Podobne skrypty znajdują się również na stronach należących do samorządów, w tym choćby skrypty YouTube, które można znaleźć na stronie internetowej miasta Wrocław.
„W obecnej sytuacji użytkownicy i użytkowniczki stron internetowych nie mają pełnej wiedzy, jakie informacje na ich temat zbierają administratorzy stron publicznych.”
Jak zastrzega fundacja Panoptykon oraz fundacja „Internet. Czas działać!”, choć istnieją odpowiednie przepisy prawne, które regulują przesyłanie danych pochodzących z państw Wspólnoty na serwery znajdujące się w Stanach Zjednoczonych (EU-US Data Privacy Framework), to eksperci poddają w wątpliwość, czy specjalnie powołany Sąd ds. Ochrony Danych, jako organ administracji rządowej USA będzie egzekwował zapisy prawne zawarte w porozumieniu.
Wykorzystywanie przez strony administracji publicznej narzędzi dostarczanych przez firmy z branży ad-tech jest de facto wspieraniem tych firm w ich działalności biznesowej – i to poprzez przekazywanie wskazanym podmiotom danych o Polkach i Polakach.
Zaznaczają przedstawiciele fundacji w treści petycjiZdjęcie główne: Grand Warszawski / Shutterstock
