Analiza: skrypty śledzące Google’a, Mety i innych w polskich aptekach internetowych i serwisach medycznych

Niniejszy artykuł powstał we współpracy z Fundacją „Internet. Czas działać!”. Za pomoc dziękujemy w szczególności Wiktorowi Dudkowi oraz Antoniemu Malinowskiemu. Kod źródłowy skryptu użytego do masowej analizy znajdziesz tutaj.

Niedawna analiza przeprowadzona przez redakcję „Kontrabandy” we współpracy z ekspertami z Fundacji „Internet. Czas działać!” ujawnia, że co najmniej 101 witryn działających w Polsce aptek internetowych oraz punktów medycznych prowadzących własne strony internetowe uruchamiało zewnętrzne skrypty Big Techów bez uprzedniego uzyskania świadomej zgody użytkownika.

„Big Techy” to kolokwialne określenie na czołowe amerykańskie firmy z sektora technologicznego. W poczet Big Techów zazwyczaj zalicza się firmy takie jak Google, Apple, Amazon, Microsoft czy Meta/Facebook.

Podobne śledztwo w ostatnich miesiącach przeprowadzili także dziennikarze AVROTROS-u (holenderskiego nadawcy publicznego) we współpracy z redakcją portalu śledczego Investico.

Holenderscy dziennikarze wykazali, że zarówno apteki, jak i drogerie internetowe uruchamiały zewnętrzne skrypty analityczne i marketingowe bez świadomej zgody użytkowników, w tym w kontekście zakupów związanych ze zdrowiem.

– Dotyczy to również danych wskazujących na zakup m.in. testów medycznych do samodzielnego przeprowadzenia – napisano na stronie AVROTROS-u.

Jak wypadają na tym tle polskie apteki i punkty medyczne?

Każda apteka oraz podmiot prowadzący działalność w zakresie farmacji szpitalnej musi posiadać odpowiedni wpis w prowadzonym przez Ministerstwo Zdrowia rejestrze aptek – nawet jeżeli dystrybucja leków nie stanowi głównego obszaru ich działalności (w takiej sytuacji odpowiedni wpis jest oznaczony jako „dział farmacji szpitalnej”).

Choć w bazie danych znajdowały się ponad 23 tysiące wpisów, ostatecznie udało się nam ustalić, że zaledwie ok. 330 placówek posiada aktywną stronę internetową.

Na podstawie tej próby ustaliliśmy, że znaczna część stron internetowych prowadzonych przez apteki czy punkty medyczne – bo 231 spośród zbadanych podmiotów – nie wykorzystuje żadnych skryptów śledzących. Niemniej nie można wykluczyć, że na części witryn występowały błędy techniczne, uniemożliwiające rzetelną ocenę sytuacji.

Kolejnym krokiem było zidentyfikowanie, jakie dokładnie skrypty pojawiają się na działających stronach. Dzięki temu mogliśmy odróżnić elementy techniczne, niezbędne do funkcjonowania witryny, od tych, które potencjalnie śledzą użytkowników i przesyłają dane do podmiotów zewnętrznych.

Zasoby zewnętrzne najczęściej pochodziły od firmy Google (np. czcionki z serwisu Google Fonts, skrypt analityczny Google Analytics, czy ramki interaktywne z serwisu YouTube), natomiast na części stron wykorzystywane były również skrypty należące do Mety (Facebooka).

Obecność zewnętrznych zasobów sama w sobie nie stanowi naruszenia prawa, jednak uruchamianie skryptów bez świadomej zgody użytkownika rodzi pytania o zgodność z przepisami o ochronie danych osobowych i prywatności internautów.

Jak to sprawdziliśmy?

Listy adresów domenowych

Żeby sprawdzić, który zasób jest potencjalnym skryptem śledzącym, skorzystaliśmy z tworzonych przez społeczność list niepożądanych domen dostępnych na stronie EasyList, które są szeroko wykorzystywane we wtyczkach do blokowania m.in. takich właśnie skryptów. Choć podejście to pozwoliło na przeprowadzenie analizy, wiąże się ono z określonymi ograniczeniami.

Niektóre zasoby, które mogą być rzeczywiście przydatne do funkcjonowania strony, mogą zostać błędnie uznane za technologię wykorzystywaną do śledzenia użytkowników. I w drugą stronę: narzędzia oparte o gotowe listy mogą nie pokrywać pewnych przypadków.

Na przykład na podstawowej liście EasyList nie znaleźliśmy pozycji pozwalającej zablokować domenę facebook.net, mimo że jest ona regularnie wykorzystywana przez firmę Meta do śledzenia aktywności użytkowników poza Facebookiem.

Połączenie ze sobą trzech list dało nam (po usunięciu duplikatów) już prawie 110 tysięcy adresów domenowych, które mogliśmy wykorzystać do sprawdzania na bieżąco, które skrypty śledzące i na których stronach były ładowane.

Lista stron aptek internetowych i punktów medycznych

Wiele aptek i punktów medycznych z listy Ministerstwa Zdrowia nie miało zdefiniowanej strony internetowej, lecz posiadało swoje adresy e-mail. Te skrzynki pocztowe były jednak zazwyczaj rejestrowane w usługach należących do serwisów takich jak Onet czy Wirtualna Polska.

Ponieważ witryny te nie są w żaden sposób bezpośrednio powiązane z aptekami czy punktami medycznymi, naturalną koleją rzeczy było pominięcie ich na liście podmiotów do sprawdzenia. Osiągnęliśmy to poprzez zdefiniowanie listy adresów domenowych, w których można bezpłatnie rejestrować swoje skrzynki pocztowe.

Które skrypty były najczęściej wykorzystywane i na jaką skalę?

Wcześniej w tekście wspomnieliśmy o ponad 230 witrynach aptek internetowych oraz punktów medycznych, na których nie udało się nam znaleźć żadnego skryptu śledzącego.

Niemniej na 101 kolejnych stron znaleźliśmy skrypty od co najmniej jednego podmiotu, które aktywowały się nawet bez wyrażonej świadomie przez użytkownika zgody.

W trakcie badania nie analizowaliśmy treści stron internetowych ani skutków dalszego przetwarzania danych – rejestrowaliśmy wyłącznie fakt ładowania zasobów oraz wysyłania zapytań do zewnętrznych domen, bez dokonywania jakiejkolwiek dalszej akcji.

Najczęściej wykorzystywane skrypty należały do firmy Google (której zasoby były wykorzystywane na badanych przez nas stronach w 89 przypadkach). Na drugim miejscu znajdują się skrypty Facebooka (11 przypadków).

W szczególności na stronie internetowej prowadzonej przez pewien punkt medyczny w Rzeszowie przeglądarka musiała odpytać aż dwanaście adresów domenowych należących do podmiotów trzecich, kontrolowanych głównie przez Google’a czy Metę.

Nie wiemy, czy konfiguracja strony internetowej była wynikiem świadomej decyzji placówki, czy działania ze strony zewnętrznego dostawcy technologicznego.

Ponieważ nie byliśmy w stanie odnaleźć dedykowanego adresu e–mail do obsługi zapytań medialnych, czy też danych kontaktowych do inspektora ochrony danych osobowych, zdecydowaliśmy się poprosić o komentarz dyrektorkę szpitala. Zadaliśmy następujące pytania:

1. W jakim celu wykorzystywane są skrypty pochodzące z wyżej wymienionych adresów domenowych?
2. Jaka jest podstawa prawna przetwarzania tych danych (w szczególności w kontekście zgody użytkownika)?
3. Czy mogą Państwo wyjaśnić, dlaczego wskazane wyżej skrypty są inicjowane już na etapie pierwszego załadowania strony, tj. przed wyrażeniem przez użytkownika zgody za pośrednictwem mechanizmu zarządzania plikami cookies?
4. Kto w strukturze podmiotu odpowiada za kwestie związane z ochroną danych osobowych i prywatnością użytkowników?

Do momentu publikacji tekstu nie otrzymaliśmy odpowiedzi.

Czemu śledzenie, o którym użytkownik nie wie, może być problemem?

W tym kontekście warto odwołać się do motywu 32 RODO, którego fragment brzmi:

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny […] oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

W świetle tego motywu – jak również art. 6 ust. 1 lit. a RODO – można argumentować, że skrypty pochodzące od podmiotów zewnętrznych można aktywować wyłącznie pod warunkiem pozyskania od użytkownika świadomej zgody.

Dodatkowy kontekst w tej sprawie wnosi wyrok C-21/23, Lindenapotheke Trybunału Sprawiedliwości Unii Europejskiej, dotyczący warunków sprzedaży leków przez apteki internetowe.

Trybunał wskazał, że dane pozyskiwane od klientów aptek internetowych w związku z zakupem leków — nawet jeżeli same w sobie nie zawierają informacji medycznych — mogą, ze względu na swój kontekst, ujawniać informacje o stanie zdrowia użytkownika.

W takich okolicznościach dane te mogą zostać zakwalifikowane jako dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO, a tym samym podlegać szczególnej ochronie prawnej.

Redakcja „Kontrabandy” zwróciła się o stanowisko do Ministerstwa Zdrowia oraz do Urzędu Ochrony Danych Osobowych. Do momentu publikacji tekstu nie otrzymaliśmy odpowiedzi.

Źródła

Zdjęcie tytułowe zostało stworzone własnoręcznie. Do stworzenia artykułu wykorzystaliśmy wyłącznie źródła własne.