Po prawie roku od petycji aktywistów o zrewidowanie podejścia administracji publicznej do technologii Google i innych big techów okazuje się, że najskuteczniejszym sposobem ochrony danych obywateli jest osobista interwencja ministra.

rozwiń

Fundacja „Internet. Czas działać!” w ubiegłym tygodniu wykonała analizę strony gov.pl za pomocą narzędzia Rentgen. – Analiza wykazała, że strona korzysta z Matomo (oprogramowanie open-source – red.) jako zamiennika Google Analytics. Jednak strona wykorzystuje Google Tag Manager (system zarządzania tagami – red.), więc Google jest informowany o każdych odwiedzinach na tej stronie – informuje nas Kuba Orlik, prezes Fundacji „Internet. Czas działać!”.

Co aktywiści chcieli zmienić na stronach administracji publicznej?

Z tego wynika, że sytuacja wcale się nie poprawiła od zeszłego roku, gdy Fundacja Panoptykon i Fundacja „Internet. Czas działać!” zwróciły się do Ministerstwa Cyfryzacji z petycją w sprawie wykorzystywania technologii zbierających dane o internautach na stronach prowadzonych przez podmioty administracji publicznej. Apel był efektem analizy stron w domenach gov.pl i samorzad.gov.pl. Wynikało z niej, że odwiedziny na tych stronach w wielu przypadkach wiążą się z koniecznością ujawniania danych takim firmom jak Google – które przetwarzają i wykorzystują do własnych celów biznesowych wszelkie informacje o naszej aktywności w internecie. Obejmuje to także dane osobowe. Fundacje wystąpiły z tą petycją w kwietniu ub.r.

Jak Ministerstwo Cyfryzacji zareagowało na petycję?

W odpowiedzi ministerstwo latem ub.r. poinformowało m.in., że podjęto decyzję o zmianie narzędzia do sprawdzania statystyk oglądalności stron z Google Analytics na inne.

– Byliśmy później na spotkaniu w Ministerstwie Cyfryzacji. Uczestniczyli w nim też przedstawiciele Urzędu Komunikacji Elektronicznej i Urzędu Ochrony Danych Osobowych. Była mowa o tym, że powstaną wytyczne dla administratorów stron, dotyczące wykorzystania narzędzi analitycznych i ciasteczek – relacjonuje Wojciech Klicki z Panoptykonu. – Być może jakieś zmiany rzeczywiście zostały potem poczynione, ale my nie zostaliśmy o nich poinformowani – dodaje.

Na tym dialog z resortem cyfryzacji się urwał.

Co Google może zrobić z naszymi danymi?

- Na szczęście w społeczeństwie rośnie świadomość, że Google i inne wielkie korporacje mają nie tylko możliwość profilowania użytkowników internetu na bazie odwiedzanych stron, ale mogą identyfikować ich z imienia i nazwiska – stwierdza Tomasz Zieliński, programista i autor bloga Informatyk Zakładowy. - Gdy zdamy sobie z tego sprawę, dostrzeżemy istotę problemu. Skoro Jan Kowalski wielokrotnie odwiedzał stronę szpitala onkologicznego, to ile za taką informację gotów będzie zapłacić ubezpieczyciel wyceniający jego polisę na życie? Zamiast liczyć na etykę i uczciwość big techów, lepiej prewencyjnie odciąć je od takich informacji – podkreśla.

On sam zabiega o usunięcie ze stron administracji publicznej reCaptcha - usługi Google’a do weryfikacji, czy użytkownik nie jest robotem. Uzasadnia, że reCaptcha idzie krok dalej niż Google Analytics. - Państwo przekazuje w ręce zagranicznej megakorporacji prawo do decydowania, który obywatel załatwi swoją sprawę urzędową, a który odejdzie z kwitkiem. Bez wytłumaczenia, dlaczego, bez prawa do odwołania, bez kontroli sądowej. To tak, jakby przed drzwiami urzędu stał Amerykanin i arbitralnie decydował, który z petentów ma prawo wejść do środka – uważa.

reCaptcha, która niczego nie weryfikuje

- O reCaptchy na stronach Portalu Informacyjnego Sądów pisałem do ministerstwa kilkukrotnie. Regularnie komentowałem też bezsens jego użycia, pisząc o tym w mediach społecznościowych – dodaje Tomasz Zieliński.

Zabezpieczenie znikało ze strony i wracało na nią parę razy. Na początku marca Tomasz Zieliński wykazał, że reCaptcha w wyszukiwarce raportów z systemu losowego przydziału spraw w serwisie Ministerstwa Sprawiedliwości nie spełnia swojej funkcji. Można było wysyłać cokolwiek, a żądany dokument i tak się pobierał. W efekcie służyła tylko do wysyłania do Google’a informacji o tym, kto, kiedy i skąd korzysta ze strony rządowej.

W ubiegłym tygodniu po interwencji wiceministra cyfryzacji Michała Gramatyki reCaptcha zniknęła z serwisu MS. - To jest jakiś mały sukces. Jednak my apelowaliśmy o systemowe spojrzenie na problem stosowania technologii big techów przez administrację publiczną i tego się jeszcze nie doczekaliśmy – mówi Wojciech Klicki. - Nie wątpię, że Ministerstwo Cyfryzacji dostrzega i rozumie problem, ale obawiam się, że w tej chwili nie jest to ich priorytet – dodaje.

Czy administracja publiczna potrzebuje takich narzędzi jak reCaptcha?

Tomasz Zieliński zaznacza, że w przestrzeni publicznej nie ma zbyt wielu kategorii danych, które administracja powinna chronić przed automatami. - Wręcz przeciwnie - to właśnie użycie automatów jest sygnałem, że dane należy publikować do pobrania w wygodniejszy sposób. Tak stało się z raportami SLPS (system losowego przydziału spraw – red.). Tam zaś, gdzie faktycznie potrzebne są zabezpieczenia w rodzaju reCaptchy, należy użyć rozwiązań krajowych lub europejskich albo wymagać od obywateli uwierzytelnienia Profilem Zaufanym – stwierdza Tomasz Zieliński.

Czy administracja publiczna powinna korzystać z technologii big techów?

- Z perspektywy technicznej są to sprawdzone rozwiązania i nie widzę przeciwwskazań dla wykorzystywania ich przez administrację publiczną – mówi Przemysław Polański, prof. nadzw. Akademii Leona Koźmińskiego, ekspert prawa nowych technologii. - Szczególnie jeśli chodzi o chmurę obliczeniową, to zakres usług hostingu oferowany przez big techy – takie firmy jak Microsoft, Google czy Amazon – jest szerszy od tego, co mogą zaproponować lokalni dostawcy – porównuje.

Zastrzega, że odrębny problem stanowi strona prawna i transfer danych osobowych. - Z tej perspektywy możemy się zastanawiać nad celowością korzystania z technologii big techów – stwierdza.

Na jakiej podstawie nasze dane płyną za ocean

Podstawą prawną przesyłania danych osobowych za ocean jest obecnie porozumienie między Unią Europejską a Stanami Zjednoczonymi – tzw. umowa ramowa DPF (od angielskiej nazwy Data Privacy Framework) i wydana w oparciu o to decyzja Komisji Europejskiej z lipca 2023 r. potwierdzająca, że dane Europejczyków są w USA chronione na poziomie porównywalnym z tym, jaki w UE zapewnia RODO.

- Wcześniej Unia Europejska dwukrotnie podpisywała podobne umowy z USA i dwukrotnie zostały one podważone przez Trybunał Sprawiedliwości UE – przypomina Przemysław Polański. Umowy ramowe Bezpieczna przystań i Tarcza prywatności trybunał unieważnił po skargach Maxa Schremsa (w 2015 r. i 2020 r.). Jednym z głównych argumentów było to, że inwigilacja prowadzona przez służby USA nie wymaga spełnienia obiektywnego kryterium uzasadniającego ingerencję w prywatność obywateli, a więc nie jest zgodna z prawem UE.

- Skoro najlepsi prawnicy UE nie byli w stanie zawrzeć umowy, która zapewniłaby zgodność z RODO, to wywołuje to stan niepewności prawnej. Tym bardziej że Max Schrems już zapowiadał, że rozważa zaskarżenie trzeciej umowy. Dlatego z prawnego punktu widzenia lepiej wykorzystywać lokalne narzędzia – mówi prof. Polański.

- Nasze usługi publiczne generalnie są dość proste - dodaje. - To tradycyjna informatyka i tradycyjne serwisy, które nie wymagają zaawansowanych chmur obliczeniowych. W większości przypadków administracja publiczna może więc polegać na lokalnych dostawcach. Natomiast jeżeli będziemy chcieli wprowadzać bardziej innowacyjne usługi publiczne, to wtedy nieuniknionym wyborem będą big techy, które dają możliwości, jakich nie są w stanie zapewnić lokalni dostawcy – uważa Przemysław Polański.

Kolejka do Google’a

Spytaliśmy Ministerstwo Cyfryzacji o narzędzia analityczne i wytyczne dla administratorów stron rządowych oraz samorządowych, a także audyt, o który apelowały fundacje. Do zamknięcia tego wydania DGP nie otrzymaliśmy jednak odpowiedzi.

- W naszej ocenie ministerstwo nie wykonało zdecydowanych działań w kierunku rozwiązania powszechnego problemu, jakim są skrypty śledzące na stronach instytucji publicznych – komentuje Kuba Orlik. Przyznaje, że przejście stron gov.pl i samorzad.gov.pl z Google Analytics na Matomo jest krokiem w dobrą stronę. - Ale mając na uwadze skalę problemu - to kropla w morzu. Stworzenie oficjalnych wytycznych dla wszystkich instytucji publicznych – o co zabiegamy – jest konieczne, aby państwowe strony stanowiły wzór dla sektora prywatnego pod względem szacunku dla prywatności użytkowników – podkreśla.

- Korporacje z definicji zrobią tyle zła, ile będą mogły, oraz tyle dobra, ile będą musiały – uważa Tomasz Zieliński. Jak wylicza, Google dostał w ub.r. niemal 3 mld dol. różnych kar, generując równocześnie 350 mld dol. przychodów i 100 mld dol. zysku. - Kiedy ostatni raz zdarzyło się, by prezes któregoś z cyfrowych gigantów odpowiedział osobiście za złamanie przepisów antymonopolowych albo pogwałcenie prywatności użytkowników? W krajach, w których na prezesa Google czeka kolejka polityków ustawiających się do wspólnego zdjęcia, żadne trudne pytania raczej nie padną – podsumowuje.

OPINIA

Jak udało się usunąć reCaptcha ze strony Ministerstwa Sprawiedliwości

Michał Gramatyka, sekretarz stanu w Ministerstwie Cyfryzacji:

To był dość niszowy problem. Zobaczyłem publikację w mediach społecznościowych (na profilu Informatyka Zakładowego – red.), zadzwoniłem najpierw do wiceministra, potem do dyrektorki odpowiedzialnej za ten obszar. Grzecznie poprosiłem, zwróciłem uwagę na to, dlaczego weryfikacja nie powinna być w taki sposób realizowana. Udało się. Dobrze się stało. Mam ograniczone zaufanie do big techów. Uważam, że powinniśmy korzystać z rozwiązań, które są albo szyte na naszą miarę, albo napisane w ogóle przez nas.