- Zasysanie informacji o tym, że ktoś korzysta np. z serwisu wspierającego ofiary przemocy domowej, może się stać cennym klockiem w profilach budowanych przez big techy - mówi Katarzyna Szymielewicz,​​​​​​​ prezes Fundacji Panoptykon. - Obywatelom, którzy nie chcą iść na X, Facebook czy inne platformy, państwo powinno zapewnić możliwość równie funkcjonalnego dostępu do informacji - dodaje Wojciech Klicki,​​​​​​​ specjalista ds. monitoringu i rzecznictwa w Fundacji Panoptykon, członek Społecznego Zespołu Ekspertów przy prezesie UODO.
W odpowiedzi na petycję Fundacji Panoptykon i Fundacji „Internet. Czas działać!” Ministerstwo Cyfryzacji przyznaje, że „operator serwisu gov.pl/samorzad.gov.pl nie ma wpływu na przetwarzanie przez Google danych (np. do celów profilowania), stąd podjęto decyzję o zmianie narzędzia analitycznego”. Co to oznacza dla osób odwiedzających strony internetowe administracji publicznej?
ikona lupy />
Wojciech Klicki,​​​​​​​ specjalista ds. monitoringu i rzecznictwa w Fundacji Panoptykon, członek Społecznego Zespołu Ekspertów przy prezesie UODO / Materiały prasowe / fot. Lech Zych/Materialy prasowe
ikona lupy />
Katarzyna Szymielewicz,​​​​​​​ prezes Fundacji Panoptykon / Materiały prasowe / fot. Materiały prasowe

Wojciech Klicki: Jeśli ministerstwo zrealizuje nasz postulat, aby na stronach administracji publicznej nie zbierano więcej danych, niż to potrzebne, to z perspektywy użytkownika będzie to znaczyło, że będzie mógł bezpieczniej i z większym zaufaniem z tych stron korzystać. I to jest nasz cel. Taka odpowiedź na naszą petycję to sygnał, że w ministerstwie jest zrozumienie dla tego problemu i gotowość, żeby pójść dalej. Na razie dostaliśmy zaproszenie na spotkanie – zobaczymy, co z niego wyniknie.

Jaka jest skala tego zjawiska? Czy na wszystkich stronach administracji publicznej jest Google Analytics, który zbiera nasze dane i przekazuje je big techowi?

W.K.: Mieliśmy pierwotnie taki plan, żeby to sprawdzić na wszystkich stronach. Ale ponieważ jest ich bardzo dużo, to wykonanie kompleksowego przeglądu przerasta nasze możliwości. Bez wątpienia stwierdziliśmy jednak przypadki, gdy danych zbiera się więcej, niż potrzeba. Na przykład na stronie dotyczącej uzależnień behawioralnych administrator informuje w polityce prywatności, że ciasteczka mogą być wykorzystywane przez sieci reklamowe, w szczególności sieć Google. Podobnie na stronach miejskich czy stronie 116sos.pl.

Postulowaliście audyt używania ciasteczek na stronach gov.pl i opracowanie wytycznych dla ich administratorów. Na razie MC przeprowadziło wewnętrzne konsultacje.

W.K.: Skonsultowali się z Urzędem Ochrony Danych Osobowych i Urzędem Komunikacji Elektronicznej. Wprawdzie MC odpowiada za te strony, ale UODO odpowiada za dane osobowe, a UKE powinien weryfikować przestrzeganie prawa telekomunikacyjnego, czyli także stosowanie ciasteczek.

Katarzyna Szymielewicz: Aż dziw, że te dwa urzędy wcześniej nie były zaangażowane w takie ustalenia. Chciałoby się myśleć, że państwo, organizując system informatyczny, konsultuje się z tymi urzędami. W każdym razie włączenie ich w sprawę odebraliśmy teraz jako sygnał poważnego potraktowania tematu, a nie unikania reakcji.

Zastanawia mnie, że te organy nie interweniowały wcześniej, nie czekając na petycję. Z waszego przeglądu wynika przecież, że część stron administracji publicznej albo wcale nie uzyskuje zgody na śledzenie, albo zakłada, że jest nią brak zmiany domyślnych ustawień przeglądarki – co, jak wskazujecie w petycji, stoi w sprzeczności z RODO, prawem telekomunikacyjnym i orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej.

W.K.: To prawda. Z tym że jednostkowa interwencja UODO, np. w kontekście jakiejś strony jednostki samorządu gminnego, nie doprowadzi do tej zmiany, na której nam zależy. Skarga i postępowanie przed Urzędem Ochrony Danych Osobowych, z włączeniem w to jeszcze sądu administracyjnego I i II instancji, to jest proces, który będzie trwał lata – i wydaje mi się, że też z poziomu urzędu jest dostrzegalna konieczność systemowego spojrzenia. Jeśli jako obywatele nie chcemy zasypać UODO tysiącami skarg – a my absolutnie nie chcemy tego robić, bo to jest nieskuteczne – to rozwiązanie problemu musi przyjść z góry.

K.S.: Po odpowiedzi ministerstwa na naszą petycję widzimy, że państwo jest otwarte na dialog w tej sprawie, więc dlaczego mielibyśmy marnować zasoby szeroko pojętej machiny państwa na rozwiązywanie problemu na pojedynczych stronach, zamiast zająć się nim systemowo? Oczywiście, jeżeli ktoś jest zaniepokojony tym, jak jego dane są przetwarzane na stronie rządowej, to może wnieść skargę, ale my w tym momencie tego nie rekomendujemy.

A co powinno się znaleźć w wytycznych i zestawie dobrych praktyk, czyli tym systemowym rozwiązaniu problemu?

W.K.: To nie jest tak, że my już dokładnie wiemy, co w tych wytycznych ma być. Każda strona, każdy administrator może mieć różne potrzeby i oczekiwania. To musi być coś, co zostanie wypracowane przez wszystkie zainteresowane urzędy. My możemy ten proces wspierać i zachęcać administrację, żeby to zrobiła. Natomiast nie mamy jasnych odpowiedzi na temat tego, że coś jest dopuszczalne, a coś nie jest. Zależy nam po prostu na tym, by strony internetowe instytucji publicznych działały zgodnie z prawem i stanowiły wzór dla sektora prywatnego w zakresie ochrony prywatności, w tym ochrony danych osobowych użytkowników i użytkowniczek.

Jaka jednak powinna być myśl przewodnia dotycząca obecności administracji publicznej w internecie?

K.S.: „Co najmniej nie szkodzić”. Wszelkie państwowe aplikacje, bazy danych, z którymi kontaktują się obywatele, strony informacyjne, media społecznościowe nie powinny dodawać problemów, lecz je rozwiązywać. I absolutnie muszą być czyste od zewnętrznych, komercyjnych rozwiązań. To jest obszar, gdzie nie zadbano o minimum bezpieczeństwa, którego byśmy oczekiwali: żeby nie działy się żadne rzeczy naruszające prywatność i zaganiające użytkowników w sieć śledzenia i profilowania przez wielkie firmy technologiczne na potrzeby reklamowe. Bo w ten sposób buduje się klatka na użytkownika. I administracja publiczna absolutnie nie powinna do tego przykładać ręki.

W.K.: Ten problem ciągle się potęguje, bo państwo zachęca obywateli do internetowej formy kontaktu. Czyli jedną ręką zachęca, a drugą wpycha obywateli, ich dane w ręce big techów.

KS: Bardzo łatwo jest zrobić stronę internetową. Dużo trudniej jest nie korzystać przy tym z komercyjnych rozwiązań – jak Google Analytics – pozornie niezbyt kosztownych i nieskomplikowanych. Przyzwyczajenie się do nich, stworzenie takiej zależności jest niebezpieczne. Nie wiemy przecież, jakie skoki technologiczne nas czekają i jakie możliwości śledzenia ludzi w sieci za chwilę się pojawią. Państwo niekontrolujące tego, jakie rozwiązania technologiczne i w jakim celu są stosowane na jego stronach internetowych, wiele ryzykuje.

Komu i do czego służą dzisiaj dane zbierane na stronach administracji publicznej?

K.S.: Podstawowe dane statystyczne oczywiście są potrzebne administratorom stron, i my to rozumiemy. Taka podstawowa analityka pokazuje, jaki jest ruch na stronie, skąd ludzie na nią wchodzą, czego szukają i gdzie na tej stronie się gubią. Bez niej trudno projektować funkcjonalne usługi i poprawiać błędy. Obawiamy się jednak, że wielkie firmy technologiczne mają sposoby, żeby przy okazji zbierać więcej danych lub by te podstawowe dane łączyć z profilami marketingowymi użytkowników, co zdecydowanie nie jest niezbędne do funkcjonowania strony, ale ma wartość rynkową. Zasysanie informacji o tym, że ktoś korzysta np. z serwisu wspierającego ofiary przemocy domowej czy osoby cierpiące na konkretną przypadłość oraz o tym, czego tam szuka, może się stać cennym klockiem w profilach budowanych przez big techy.

Z odpowiedzi ministerstwa wynika, że śledzące skrypty Google’a znikną. Ale czy wiecie kiedy?

W.K.: Nie wiemy. To będzie przedmiotem dalszych prac. Nie wiemy też, jakie narzędzia zastąpią Google Analytics. Nie jest jednak tak, aby do wyboru było tylko Google albo własne narzędzie stworzone przez Centralny Ośrodek Informatyki (COI podlega Ministerstwu Cyfryzacji – red.). Są na rynku narzędzia służące do zbierania informacji na temat aktywności na stronie, które są mniej lub bardziej śledzące.

To zresztą może być clou problemu, że decyzje administratorów stron o wyborze narzędzia analitycznego zapadają dość bezrefleksyjnie. Wszyscy znają Google Analytics, więc po to sięgają. A czy to narzędzie zbiera więcej danych, niż potrzeba, czy jest na tej stronie konieczne – nad tym pewnie wielu administratorów po prostu się nie zastanawia.

Państwo nie tylko zachęca nas do kontaktu online, lecz także wychodzi do nas online. Obrady Sejmu stały się hitem na YouTubie. Konferencje prasowe premiera też są transmitowane na tej platformie, a także w mediach społecznościowych – na X i Facebooku. Przy czym o ile Sejm umożliwia też oglądanie posiedzeń na swojej stronie, o tyle konferencji premiera nie ma na stronie KPRM. Żeby uczestniczyć w nich online, trzeba więc udostępnić swoje dane osobowe któremuś big techowi.

W.K.: Administracja państwowa chce być tam, gdzie są ludzie – i to jest uzasadnione. Jednak, jak mówiliśmy przed chwilą, wpycha ich w ten sposób pośrednio w ręce big techów. Moim zdaniem przykład Sejmu to minimum, jakie administracja powinna wykonywać. To znaczy tym obywatelom, którzy nie chcą iść na X, Facebook czy inne platformy, zapewnić możliwość równie funkcjonalnego dostępu do informacji – np. na swojej stronie internetowej. Sejm transmitujący obrady i u siebie, i na YouTubie jest moim zdaniem OK. Kancelaria premiera nie jest.

K.S.: Skoro Panoptykon.org może na swojej stronie osadzić ekranik z nagraniem, to to samo może zrobić administracja publiczna. Ale bezpieczne korzystanie z platform cyfrowych jest szerszym problemem. Tego dotyczy reforma, którą Unia Europejska zaczęła kilka lat temu i która przybrała już prawny kształt dwóch dużych regulacji: aktu o usługach cyfrowych (DSA) i aktu o rynkach cyfrowych (DMA). Mamy w nich takie elementy jak zakaz wykorzystywania manipulacyjnych interfejsów, podniesienie standardu ochrony danych osobowych – np. w kontekście reklamy profilowanej – i obowiązkową dla big techów ocenę negatywnego wpływu na bezpieczeństwo i prawa użytkowników oraz logicznie z niej wynikający obowiązek przeciwdziałania tym ryzykom. To są wciąż świeże regulacje, więc problemy nie zostały jeszcze rozwiązane. Gdyby big techy naprawdę zaczęły dbać o to, żeby ich interfejsy nie manipulowały i nie uzależniały, żeby śledzenie użytkowników było ograniczone do rozsądnego minimum, żeby systemy rekomendacyjne nie proponowały treści nienawistnych i polaryzujących – to obudzilibyśmy się w innym świecie. Wtedy decyzję KPRM, żeby komunikować się również przez te platformy – podkreślam: również, nie wyłącznie – ocenilibyśmy zupełnie inaczej.

Takie zmiany wymagają jednak czasu. Scenariusz, w którym administracja publiczna i my wszyscy możemy korzystać z wielkich platform internetowych bez karmienia ich swoimi danymi i bez nakręcania ich szkodliwego modelu biznesowego, jest realistyczny, ale w mojej ocenie wymaga kilku lat pracy z nowymi regulacjami. Na przykład wyobrażam sobie scenariusz, w którym konto KPRM istnieje na YouTubie, ale nie jest wpięte w system reklamowy tej platformy i nie pozwala na śledzenie użytkowników.

Czy wystarczy poczekać na efekty unijnych regulacji, żeby tak się stało, czy jednak są też potrzebne działania państwa zmierzające do osiągnięcia neutralności technologicznej?

K.S.: Zdecydowanie aktywność państwa na tym polu jest bardzo potrzebna. Myślę, że tym zagadnieniom powinien być poświęcony cały rozdział nowej strategii cyfryzacji państwa (konsultacje społeczne w tej sprawie odbyły się 20 czerwca na PGE Narodowym – red.). Z tego, co wiem, jej pierwsza wersja ma zostać wkrótce opublikowana. Kiedy Ministerstwo Cyfryzacji pytało organizacje społeczne o kierunkowe postulaty, odpowiedzieliśmy, że wśród fundamentów powinny być właśnie suwerenność technologiczna i świadoma polityka administracji publicznej w stosunku do big techów.

Drugim obszarem, w którym bardzo liczymy na aktywność państwa, jest wdrażanie nowych unijnych regulacji. Wystarczy wejść na dowolną platformę internetową, by się przekonać, jak wiele jest do zrobienia. Do znudzenia powtarzamy, że wielkie platformy muszą zmienić swoje ustawienia domyślne na takie, które gwarantują ludziom bezpieczeństwo i poszanowanie ich praw. A dopóki to się nie wydarzy, musimy wspólnie edukować użytkowników o tym, co mogą zmienić w swoim zachowaniu na platformach internetowych, żeby przynajmniej ograniczyć ich szkodliwość.

I to jest kolejne ważne zadanie dla państwa. Skoro jest obecne w internecie, prowadząc własne strony i konta na komercyjnych platformach, powinno przynajmniej wykorzystać te kanały do kampanii edukacyjnych. Na przykład kancelaria premiera na swoim kanale na YouTubie mogłaby zachęcać użytkowników tej konkretnej platformy do zmiany ustawień na bezpieczniejsze i skorzystania z możliwości, jakie się pojawiły w związku z DSA. Uważam też, że absolutnym minimum, którego powinniśmy oczekiwać od serwisu utrzymywanego przez państwo z pieniędzy podatników, jest stosowanie takich narzędzi, które nie eksploatują naszych danych i naszej uwagi, a przeciwnie – udowadniają, że bezpieczeństwo i prywatność w sieci są możliwe. To powinien być priorytet przy projektowaniu publicznych serwisów i cyfrowych usług.

By podsumować: jak oceniacie efekt waszej petycji o okiełznanie ciasteczek na stronach administracji publicznej?

W.K.: Wskazany przez nas problem został dostrzeżony i jest zapowiedź tego, że będzie poszukiwane rozwiązanie. Dlatego w tym momencie oceniamy reakcję ministerstwa pozytywnie i jesteśmy ciekawi ciągu dalszego. Mam tylko nadzieję, że nie skończy się na rozmowach i ministerstwo nie tylko zadeklaruje zrozumienie, lecz także podejmie się rozwiązania problemu.

K.S.: Ważnym momentem w naszym dialogu z rządem będzie opublikowanie strategii cyfryzacji, bo ona pokaże, czy administracja poważnie traktuje szeroko pojętą suwerenność technologiczną i prawa obywateli w przestrzeni cyfrowej. ©℗

Rozmawiała Elżbieta Rutkowska