Registrační systém na antigenní testy posílá data reklamním gigantům, ministerstvo chystá audit
Řada nemocnic používá k registraci termínu na antigenní testování nástroj Reservatic, který stát poskytuje v rámci centrálního rezervačního systému. Kromě státních databází ale program posílá některé informace o uživatelích i reklamním společnostem.
Dne 13. ledna ve večerních hodinách jsme na konec článku doplnili aktuální vyjádření Chytré karantény, podle kterého již dochází k vypínání marketingových kódů na stránkách registračních formulářů.
Pokud se chcete registrovat k antigennímu testování například v pražské Ústřední vojenské nemocnici, musíte tak učinit na jejím webu.
Formulář provozuje ostravská společnost Reservatic, kterou si za tímto účelem nasmlouvala Národní agentura pro komunikační a informační technologie, jež spadá pod ministerstvo vnitra.
Samotná stránka, kam pacienti vyplňují své kontaktní údaje a rodné číslo, ovšem načítá i skripty několika reklamních společností. Ty na stránce zajišťují některé funkce, jako jsou hezčí písmo, statistiky návštěvnosti či ochranu proti spamu. Zároveň ale firmám odesílají informace o uživatelích, na jejichž základě mohou cílit reklamu.
Ombudsman i rozvědka. Úřady předávají reklamním firmám data o návštěvnících webu, často nevědomky
Číst článek
Server iROZHLAS.cz se na uvedenou praxi dotázal jak společnosti Reservatic, tak vojenské nemocnice. Odpověď přišla od podplukovníka Jana Ryšavého z integrovaného centrálního řídicího týmu ministerstva zdravotnictví.
Podle něj se „nejedná o instanci soukromého dodavatele se samostatnou smlouvu vůči zdravotnickému zařízení, nýbrž o využití nabídky MZ v rámci projektu Chytrá karanténa“.
Jinak řečeno: nemocnice formulář společnosti Reservatic dostala přímo od ministerstva, když se připojovala do Centrálního rezervačního systému, který registruje zájemce o testy.
Ryšavý dále doplnil, že firma Reservatic „plní všechny požadavky zpracovatele osobních údajů“ a informovaného souhlasu pacientů se zpracováním dat netřeba, protože k němu má stát zmocnění podle zákona o ochraně veřejného zdraví.
Rezervační systém pak údajně plní „nároky odpovídající významnému informačnímu systému ve smyslu zákona o kybernetické bezpečnosti“.
Analýza, až to bude hotové
Na opětovný dotaz, proč rezervační formulář načítá marketingové kódy od společností Google, Seznam a Facebook, Ryšavý doplnil, že „slouží výhradně k možnostem registrace uživatelů do systému Reservatic“.
Nevysvětlil ale, proč jsou skripty na stránce aktivní a odesílají data i ve chvíli, kdy se pacient do systému neregistruje.
A navíc Google Analytics, které sledují pohyb uživatelů po internetu, s registrací nijak nesouvisí: jde o nástroj, který slouží pouze k analýze návštěvnosti stránek. S ohledem na svou oblibu je na internetu de facto všudypřítomný, je vložený i do hlavní stránky centrálního rezervačního systému pro antigenní testy.
„Po nasazení všech komponent systému pro účely očkování dostane dodavatel úkol analyzovat a doložit způsoby registrace do svého portálu a jejich nezbytnost při nasazení systému v rámci ministerstva zdravotnictví,“ pokračoval Ryšavý. Mělo by tak dojít i na „celkovou úpravu domácí stránky“.
Jak se vyhnout reklamám
Pokud uživatel se svým sledováním reklamními systémy nesouhlasí, může si do svého internetového prohlížeče nainstalovat rozšíření, který sledování blokuje. Mezi spolehlivé patří Privacy Badger nebo uBlock.
K některým změnám ale došlo už po dotazech redakce iROZHLAS.cz: během pondělí z webu zmizel marketingový skript společnosti Seznam, původní verze je ale stále k nalezení ve webovém archivu.
Dotaz na užité sledovací kódy směřoval i na agenturu pro informační technologie pod ministerstvem vnitra, nicméně ta se do vydání článku nevyjádřila.
Za nic neručí
Server iROZHLAS.cz se dotazoval Úřadu pro ochranu osobních údajů, ten ale i přes urgenci nechal otázky bez odpovědi.
Otázce registračních systémů na úřadech se nicméně inspektoři věnovali těsně před Vánoci a kritizovali zejména fakt, že úřady často sbírají informace, které k rezervaci nejsou potřeba, například telefonní číslo. A také to, že se občan jasně nedozví, že jeho informace skončí v databázi soukromé firmy, která rezervační nástroj provozuje
To je i případ zmíněné registrace na antigenní testy: formulář společnosti Reservatic je součástí webů nemocnic, ne každému pacientovi je tedy zřejmé, že jeho údaje skončí v databázi této firmy. Ta navíc ve svých podmínkách užití – konkrétně v bodě 27.4 – výslovně uvádí, že neodpovídá za „ztrátu či zneužití dat“ uložených v aplikaci.
Nejhorší na světě jsme kvůli antigenním testům a nedodržování opatření, říká Blatný
Číst článek
Fakt, že formulář sbírá víc informací, než kolik je třeba, kritizuje i právník Jan Vobořil z organizace Iuridicum Remedium, která se ochranou soukromí zabývá.
Podle něj je k rezervaci potřeba „tak akorát jméno, a možná ještě datum narození“. Další údaje, jako třeba rodné číslo, může laboratoř doplnit třeba z kartičky pojištěnce ve chvíli, kdy pacienta registruje před odběrem. A například adresa či telefon potřeba nejsou vůbec, jelikož se testovaný výsledek dozví obratem na místě.
Sám Vobořil serveru iROZHLAS.cz řekl, že právě kvůli tomu si před Vánoci na test vybral pražskou motolskou nemocnici. Ta si rezervační nástroj provozuje sama a data o uživatelích marketingovým firmám neposílá.
Na zabezpečení systému rezervací, který by měl podle portálu Seznam Zprávy sloužit i pro registraci k očkování, by měl aktuálně dohlížet i Národní úřad pro kybernetickou bezpečnost.
„Neřešíme primárně legitimitu či nelegitimitu využití dat, to musí vyhodnotit správce systému,“ napsal serveru iROZHLAS.cz mluvčí úřadu Jiří Táborský s tím, že správce, v tomto případě ministerstvo zdravotnictví, je zároveň „odpovědný za své dodavatele“.
Doplnění z 13. 1. 2021 v 18:45: Ve večerních hodinách se na twitterovém účtu Chytré karantény objevilo vyjádření, podle kterého již provozovatel systému registrací odstranil sledovací kódy společností Seznam a Facebook. Zástupci Chytré karantény zároveň upřesnili, jaké údaje o uživatelích registrační systém zpracovává.
