Webové stránky veřejných institucí často obsahují kód, který sleduje chování uživatelů. Úřady se brání, že jde o běžnou praxi – ta však může ohrožovat soukromí návštěvníků.

Tento článek je více než rok starý.

Internet 7:05 13. října 2020 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Když zájemce o pomoc veřejného ochránce práv zavítá na webovou stránku úřadu, jeho návštěva se zaznamená. A to nejenom na serverech instituce, ale i v systémech společností Adobe, Alpabeth (dříve Google), MediaMath a Oracle.

Do webového prohlížeče uživatele se navíc uloží unikátní identifikátor, který těmto a dalším poskytovatelům reklamních služeb umožní návštěvníka sledovat i napříč dalšími stránkami, které později navštíví.

Na webu jde o běžnou praxi, kterou využívají online obchody pro lepší zacílení reklamy. Zatímco ale informace o tom, jakou televizi si zákazník vybral v e-shopu, není zvlášť citlivá, hledání pomoci na webu ombudsmana o uživateli prozradí více.

Jak vysvětlil Hynek Trojánek z organizace Iuridicum Remedium, která se ochranou soukromí zabývá, taková data „mohou být zneužita, když by se dostala třeba k zaměstnavateli či pojišťovně“.

„Je to paradoxní, že zrovna u ombudsmana se toho našlo tolik,“ dodal pro iROZHLAS.cz s odkazem na nástroj Blacklight, který analyzuje sledovací technologie nasazené na jednotlivých webech.

Na stránkách veřejného ochránce práv našel osm sledovacích skriptů a dalších 17 identifikátorů, takzvaných cookies, pro sledování napříč webem.

Cílená reklama

Nejčastěji se sledovací kódy dostanou na webovou stránku jako součást některého z bezplatných nástrojů pro analýzu návštěvnosti webu. Nejznámější je Google Analytics, ale podobné propojení nabízí například i sociální síť Facebook.

Tvůrci webových stránek nástroje používají, aby získali lepší představu o tom, jak se návštěvníci na jejich webu chovají, přičemž informace nedostávají jen oni, ale i firma, která nástroj vyrobila.

Nejoblíbenější Google Analytics jsou na webu všudypřítomné a společnost Google tak má velmi přesnou představu, jak se uživatelé na síti chovají. Díky tomu je může řadit do nejrůznějších kategorií, na základě kterých jim pak nabízí personalizovanou reklamu.

Reklamní systémy mají díky seznamu navštívených webů poměrně přesný obrázek o zájmech a problémech uživatele. Lidé na internetu hledají informace o svém onemocnění, volnočasových zálibách, případně navštěvují stránky, které se týkají jejich sexuálních preferencí.

Používání takových informací k cílení reklamy by v Evropě mělo být tabu, ale informace zveřejněné Irskou radou pro lidská práva (Irish Council for Civil Liberties) ukázaly, že společnost Google skrze prostředníka zasílala inzerentům v rámci svého reklamního systému informace o uživatelově sexuální orientaci, politickém přesvědčení, zda je dotyčný HIV pozitivní, trpí cukrovkou, bolestmi, užívá drogy, anebo má rakovinu.

V rámci služby „vlastní publika“ umožňuje Google marketérům, aby zaměřili svou reklamu na lidi, kteří se na internetu chovají stejně jako návštěvníci konkrétní stránky. Reklamní systém vychází z toho, jací uživatelé na stránku chodí, a proto potřebuje, aby na ni její tvůrce umístil sledovací kód.

Ukázky cílení reklamy podle webových stránek

„Problematika online sběru dat u nás ještě není tak horkým tématem a není příliš zdůrazňována, je proto možné, že trackery (sledovací kódy, pozn. red.) jsou na webu ombudsmana zkrátka proto, že se bohužel zcela běžně používají,“ vysvětlil Trojánek s tím, že tvůrci webů tyto zákonitosti ne vždy plně chápou.

To naznačuje i reakce mluvčí ombudsmana Ivy Hrazdílkové, podle které úřad nasadil sledování návštěvníků kvůli přípravě nového webu. „Dočasně byly nastavené měřící kódy, které zkoumaly, jakým způsobem se na něm návštěvníci pohybují, jaké informace na něm hledají, abych mohli nový web přizpůsobit přímo pro ně. To bylo dočasné, někdy na přelomu roku to měření bylo vypnuto,“ napsala v prvním vyjádření.

Poté, co ji server iROZHLAS upozornil, že zmíněné kódy stále odesílají informace na servery do zahraničí, nechala věc prověřit.

„Naši informatici na váš popud aplikaci prošli a zjistili, že toto všechno souvisí s odkazy na sociální sítě, které máme na webu. Je to dáno technologickou zastaralostí toho webu, proto jsou tam i nástroje, které informace sbírají. Není tak dostatečně zabezpečený,“ vysvětlila nakonec.

Dodala, že jiné veřejné instituce „to nemají, ale je to tím, že mají novější weby“. „Náš se dělal ještě za doktora Motejla (Otakar Motejl byl ombudsmanem do května 2010, pozn. red.)“.

Server iROZHLAS.cz se věnoval i dalším webům veřejné správy a nestátním institucím, které sdílí informace o svých návštěvnících.

Sledovací kód Google Analytics obsahuje například i náborová stránka Vojenského zpravodajství, podle mluvčí Alžběty Riethofové „pro zjištění návštěvnosti webových stránek a identifikaci zájmů návštěvníků, abychom pro ně mohli lépe vytvářet obsah“.

Redakce serveru iROZHLAS.cz se rovněž ptala, zda není rizikové posílat informace o návštěvnících webu tajné služby zahraniční společnosti, k jejímž datům navíc v minulosti přistupovaly tajné služby USA. „Jsme si samozřejmě vědomi i rizik spojených s touto aplikací a z tohoto pohledu a s obezřetností k tomuto nástroji také přistupujeme,“ ujistila.

Že by nemělo jít o zásadní problém, v tomto případě potvrzuje i bezpečnostní expert Michal Špaček. „Data o tom, že určitá IP adresa (unikátní adresa počítače v síti internet, pozn. red.) byla na webu tu a tu a pak na stránce o kariéře u rozvědky, nejsou moc detailní a cenná,“ myslí si. Že tyto nástroje na svých webech nepoužívají například německé tajné služby je podle něj způsobené tím, že je nepotřebují, než že by představovaly bezpečnostní riziko.

Měření návštěvnosti

Používání Google Analytics za běžnou praxi považuje Vojtěch Kozlík z organizace Sananim, která poskytuje služby drogově závislým. „Že spolupracujeme s Google Analytics? Ano. To je pravda. Stejně jako všichni ostatní,“ napsal a dodal, že „veřejné weby společnosti jsou monitorovány experty, striktně oddělujeme klientská data a ta nejsou nikde veřejná“. Podle něj tak únik osobních dat nehrozí. 

Sledovací kódy na svých stránkách mají i další organizace, které se věnují zranitelným klientům. Od Bílého kruhu bezpečí, který pomáhá obětem násilí, přes centrum pro týrané ženy ROSA až po Anonymní alkoholiky či organizaci Rozkoš bez rizika, která pomáhá sexuálním pracovníkům a pracovnicím. Podobně jako Sananim pro monitorování stastik o návštěvnosti webu. 

Nejsou tím nijak výjimečné, jak ukázala analýza Privacy International z roku 2019, podobné technologie na svých stránkách používají organizace zaměřené na duševní zdraví v Británii, Německu i Francii.

Na ochranu soukromí v Česku dohlíží Úřad pro ochranu osobních údajů, a i on měl ještě donedávna na svých stránkách sledovací kód společnosti Gemius. Po dotazech serveru iROZHLAS.cz ho úřad smazal. „Ano, došlo k jeho odstranění. V této souvislosti se patří Vám poděkovat, že jste nás na něj upozornili,“ vzkázal redakci zástupce mluvčího úřadu Vojtěch Marcín.

Nela Krawiecová, Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít