W skrócie: Audyt 28 miejskich domen wykazał wzorzec: tagi reklamowe i analityczne uruchamiają się w przeglądarce mieszkańca, zanim zdąży on kliknąć w banner zgody. Sprawa jest procedowana od listopada 2025: zawiadomienie do UODO z 9 zarzutami, zawiadomienie UKE, zawiadomienie do prokuratury, uzupełnienia, oraz audyt 28 miejskich domen, który wykazał wzorzec. To nie jest spór o źle ustawiony banner albo cookies, tylko o architekturę, która łączy publiczną komunikację, reklamę i profilowanie w jeden trudny do rozliczenia mechanizm.
Spis treści
Mieszkaniec w sidłach monetyzacji
Jako mieszkaniec Łodzi objęty procedurą MPZP od dłuższego czasu używałem serwisu mpu.lodz.pl, a także innych serwisów miejskich i BIP. Wchodzę, sprawdzam dokumenty, czytam wyłożenia. Banner cookies wygląda tu jak żart redakcyjny: jeden guzik „OK", brak realnego wyboru. Dzisiaj, gdy już wiem co się z tym wiąże, nie klikam.
Jednak jak wykazałem w audycie z perspektywy użytkownika nic się nie dzieje… Z perspektywy serwera - wręcz przeciwnie. Już w pierwszej sekundzie sesji, zanim zdążę cokolwiek przeczytać, do infrastruktury Google leci sygnał, że „użytkownik wyraził pełną zgodę marketingową". Nie wyraziłem. Bannera jeszcze nie widziałem.
Jednocześnie na telefon dostawałem SMS-y z nachalnymi reklamami inwestycji deweloperskich. Miałem też Kartę Łodzianina, której regulamin wprost przewiduje profilowanie według wieku, zainteresowań i sposobu korzystania z oferty. Synchroniczność to akurat zbieg okoliczności - ale skala wiedzy, jaką Urząd Miasta Łodzi zbiera i najprawdopodobniej konsumuje przez swoje spółki i wehikuły (Stowarzyszenia o nazwie Łódzka Organizacja Turystyczna), jest zatrważająca.
Krytyczne spojrzenie i analiza nie jest atakiem na Łódź, na miasto i jego mieszkańców - jak próbuje się to przedstawiać. Miasto to my, mieszkańcy. Nie jesteśmy elementem dekoracji do biznesu ani towarem do monetyzacji. Dysponuję wiedzą i środkami, żeby zweryfikować pewne obszary wdrożeń, więc się temu przyjrzałem. Problem dotyczy Łodzi i sposobu w jaki samorząd dominuje nie tylko na rynku informacji ale także reklamy…
Co zostało zgłoszone i gdzie sprawa jest dziś
Pierwszy artykuł ujawniający architekturę śledzenia w miejskich serwisach opublikowałem 18 maja 2025 roku. Materiał był mocny i mógł stanowić gotowe otwarcie dla aktywistów lub watchdogów. Liczyłem, że ktoś go podejmie. Nikt nie podjął - ani formalnie, ani merytorycznie. Skończyło się na uściskach ręki. Wtedy zacząłem proceduralnie.
6 listopada 2025 złożyłem główne zawiadomienie do Prezesa UODO. Pogrupowałem ustalenia w dziewięć systemowych zarzutów (szczegóły w suplemencie).
11 grudnia 2025 Prokuratura Okręgowa w Łodzi wszczęła - niezależnie i bez mojej wiedzy - śledztwo dotyczące nieprawidłowości przy przetargach reklamowych wokół lodz.pl i miejskich festiwali (sygnatura 4197-4.Ds.2398.2025). Dowiedziałem się z publikacji prasowych w lutym 2026. Sprawa zyskała dla mnie tym samym drugi wymiar - finansowy i strukturalny.
25 lutego 2026 uzupełniłem zawiadomienie do UODO o nowe okoliczności: przepływy finansowe, konfiguracja ról decyzyjnych (m.in. Łukasz Goss - Prezes Holdingu Łódź sp. z o.o., Przewodniczący Rady Programowej ŁOT, uprzednio Dyrektor Biura Promocji i Nowych Mediów UMŁ), regulamin Karty Łodzianina.
6–9 marca 2026 - przygotowałem potężny audyt techniczny domen miejskich i serwisów wraz ze specyfikacją CMP oraz Consent. Wiedza tam zawarta będzie przedstawiana na łamach serwisu dadalo.pl w sekcji TECH.
10 marca 2026 złożyłem do UODO pełen materiał dowodowy z audytu - twarde logi sieciowe potwierdzające wymuszanie zgód marketingowych jednocześnie publikując je online w serwisie dowody.dadalo.pl
13 marca 2026 skierowałem do Prezesa UKE odrębne zawiadomienie dotyczące naruszenia art. 399 Prawa komunikacji elektronicznej (bezprawna instalacja cookies bez zgody). Przekazując dostępy do serwisu dowody.dadalo.pl
27 marca 2026 UKE oficjalnie potwierdził rejestrację sprawy i analizę pod kątem wszczęcia kontroli. Kilka dni później upubliczniłem dowody, tak aby były do zweryfikowania przez wszystkie strony.
20 kwietnia 2026 złożyłem ponaglenie na bezczynność UODO w sprawie z 6 listopada 2025 roku.
23 kwietnia 2026 UODO odpowiedział, że ponieważ postępowanie prowadzone jest z urzędu, nie przysługuje mi w nim status strony. Tego samego dnia złożyłem nowe zawiadomienie do UODO dotyczące naruszeń systemowych w platformie BASE System obsługującej Zoo Łódź. Informacje na ten temat już niedługo.
Pierwotnie nie chciałem być stroną postępowania. Złożyłem zawiadomienie jako sygnał obywatelski. Dziś modyfikuję tę strategię. Jestem w trakcie nawiązywania kontaktu z organizacjami pozarządowymi zajmującymi się naruszeniami prywatności i dziennikarstwem śledczym - także europejskimi.
Bardzo zagmatwana architektura przetwarzania i partnerów
Oficjalnie administratorem portalu lodz.pl jest Biblioteka Miejska w Łodzi. Z dokumentów i analizy infrastruktury wynika jednak, że w ekosystem zaangażowane są także Urząd Miasta Łodzi, Łódzka Organizacja Turystyczna oraz jej marka Łódź Media Group, która oferuje reklamodawcom dostęp do miejskiego zasięgu i danych o odbiorcach. Jednym z podstawowych zarzutów postawionych w zawiadomieniu nie jest więc samo śledzenie, lecz brak przejrzystego ujawnienia, kto faktycznie współdecyduje o celach i sposobach przetwarzania danych mieszkańców.
Portal lodz.pl jest zmonetyzowany przez Google AdSense i własną infrastrukturę reklamową Biblioteki - ads.biblioteka.lodz.pl, czyli profesjonalny Revive Adserver. Innymi słowy: miejski serwis finansowany ze środków publicznych jest sprzęgnięty z komercyjnym obiegiem danych i powierzchni reklamowej, a także chroniony prawem prasowym jako wydawca.
Dzisiaj już wiem, że w ramach Partnerstwa Publiczno Prywatnego w 2020 roku na 10 lat UMŁ podpisał umowę na obsługę karty łodzianina, karty turysty oraz model SaaS i dostarczanie rozwiązań informatycznych w zamian za monetyzowanie danych mieszkańców. Ten niepozorny fakt ma kolosalne znaczenie dla miasta. Konsorcjum stworzyło Łódzka Organizacja Turystyczna wraz z dostawcą rozwiązań QB sp. z o.o. Jednak to ŁOT jest problemem, ponieważ jako Stowarzyszenie jest poza kontrolą, a ostatnio coraz głośniej podnosi się kwestie przejrzystości wydatkowania, zasilania pieniędzmi spółek miejskich. To jest rdzeń mojego zarzutu o współadministrowaniu. Oficjalne dokumenty, w tym “Opis Postępowania” z przetargu z 2020 roku, stanowią, że całkowitym wynagrodzeniem partnera prywatnego jest “prawo do pobierania pożytków w związku z prawem do eksploatacji systemu”. Z dokumentów wynika, że partner prywatny na mocy umowy uzyskał prawo do tego, by „prowadzić działania marketingowe oraz reklamowe”.
W przypadku reklam Adsense dane są przekazywane do systemu aukcyjnego BID w którym poddawane są zautomatyzowanemu przetwarzaniu, profilowaniu, dzięki czemu możliwe jest zarabianie na reklamach.
Ale to nie jedyny problem i nie kończy się tylko na lodz.pl. Według mojej najlepszej wiedzy stary identyfikator Universal Analytics UA-25825547-40 - formalnie wycofany przez Google w 2023 roku - pozostaje aktywny i wstrzykuje tagi z lodz.pl do innych miejskich serwisów. Skala tego mechanizmu i jego rola w architekturze całego ekosystemu jest przedmiotem osobnej sekcji. Aktywne pozostawanie wycofanego od dwóch lat narzędzia Google w infrastrukturze generującej milionowe zasięgi - w połączeniu z ujawnionym w 2025 roku Microsoft Clarity, którego status w obecnym audycie wymaga osobnego wyjaśnienia ze strony administratora - nie wystawia dobrego świadectwa podejściu miasta do danych mieszkańców, ani najprawdopodobniej do partnerstwa publiczno-prywatnego, w ramach którego część tych systemów jest realizowana. Przy takiej skali przetwarzania te systemy i przetwarzane dane powinny być przedmiotem szczególnej troski.
Ustalmy jedno. Osoby decyzyjne nie muszą się znać na technologiach, one mają odbierać technologie i protokoły, którymi zatwierdza się odpowiednią ich jakość.
Objaśnienie ilustracji
Na obrazku widać szczegóły techniczne sesji na portalu lodz.pl zarejestrowane przez Google TagAssistant. Widzimy tam:
- Tagi Google Ads (AW-11108391222, AW-557285855, AW-665139254): Bezpośredni dowód na obecność rozbudowanej infrastruktury reklamowej na publicznym portalu. Tagi te służą do śledzenia konwersji i remarketingu, co potwierdza zarzut o komercyjnym wykorzystywaniu danych mieszkańców.
- gcd (13l3l3l2l1l1): Powielony wzorzec wymuszonej zgody marketingowej („granted”). System raportuje do Google pełne uprawnienia do profilowania reklamowego, zanim użytkownik zdąży wejść w interakcję z jakimkolwiek mechanizmem zgody na stronie.
- tid (AW-557285855): Identyfikator wskazujący, że dane z tej konkretnej odsłony trafiają bezpośrednio do systemu aukcyjnego reklam Google.
- dt (ŁÓDŹ.PL): Potwierdzenie, że proces profilowania odbywa się na głównym portalu informacyjnym miasta, łącząc konsumpcję treści publicznych z komercyjnym ekosystemem AdTech.
Dlaczego BIP-y i strony informacyjne typu MPU są osobnym problemem?
Najbardziej jaskrawym przypadkiem są serwisy BIP oraz strony pełniące funkcję faktycznego dostępu do informacji publicznej (dla przykładu MPU nie ma statusu BIP, ale jest kanałem informacji w postępowaniach planistycznych). Na bip.uml.lodz.pl, bip.zlm.lodz.pl i mpu.lodz.pl obywatel nie ma realnej alternatywy dla pozyskania tych samych informacji. Mówienie tu o „dobrowolnej zgodzie" w rozumieniu art. 399 PKE jest, jak wykazałem, fikcją.
Uruchamianie trackingu reklamowego przed zgodą na takich stronach oznacza, że państwo de facto każe mieszkańcowi zapłacić danymi za dostęp do informacji, do której ma ustawowe prawo. Nie jest to detal techniczny ani sprawa, którą można zbyć uspokajającym komentarzem urzędnika. To problem relacji obywatel–władza. Kwestia zaufania.
Jeżeli wejście na stronę urzędu, BIP-u albo serwisu planistycznego uruchamia mechanizmy reklamowe i analityczne przed zgodą, to mieszkańcowi odbiera się realną kontrolę nad jego danymi dokładnie tam, gdzie powinien mieć ją najsilniejszą. Jeżeli zaś dane trafiają do systemu, w którym nie działa żaden sensowny mechanizm „zapomnienia", w imię optymalizacji miejskich kosztów powstaje rozwiązanie etycznie co najmniej wątpliwe. Mieszkaniec przeglądający serwisy planistyczne albo artykuły o inwestycjach z dużym prawdopodobieństwem zostaje zaklasyfikowany semantycznie wraz z sygnałami dotyczącymi zakupów i innych przeglądanych serwisów jako obiekt wartościowy. Taka wiedza w skali miasta jest na wagę złota. A mamy przecież jeszcze cały segment HoReCa wraz z kombinatem eventowo-turystycznym.
Karta Łodzianina i głębszy wymiar sprawy
Głębszy wymiar sprawy dotyczy programu Karta Łodzianina, z którego korzystają setki tysięcy osób, oraz powiązanego programu Karty Turysty, otwierającego transgraniczny wymiar sprawy. Regulamin Karty Łodzianina przewiduje zautomatyzowane profilowanie według wieku, zainteresowań i sposobu korzystania z oferty. Jednocześnie do weryfikacji uprawnień program zbiera dokumenty ujawniające szeroki obraz sytuacji finansowej, zawodowej i społecznej mieszkańca: PIT-y, zaświadczenia z ZUS, z urzędu pracy, dokumenty związane z niepełnosprawnością.
Powiem to wprost, żeby nie było nieporozumienia. Nie mam problemu z weryfikacją uprawnień do programu socjalnego. Mam problem z zaufaniem do sposobu, w jaki UMŁ realnie przetwarza te dane w kontekście Partnerstwa Publiczno-Prywatnego (ŁOT + QB jako operatorów Karty), w architekturze, która łączy targetowanie semantyczne, behawioralne i demograficzne, komunikację miejską, reklamę, profilowanie i publiczne pieniądze w jeden trudny do rozliczenia mechanizm. Jak już wiemy Stowarzyszenie ŁOT jest poza kontrolą. A wiedza dotycząca szczegółowej demografii, pozycji społecznej połączona z targetowaniem reklamowym jest na wagę złota. To zasoby, inventory, mogą być monetyzowane i używane nie tylko do reklam komercyjnych ale także wyborczych (tzw. mikrotargetowanie).
Jestem zdania, iż konfiguracja, w której decyzja o transferze publicznych środków zapada po jednej stronie umowy, a po drugiej stronie tej samej umowy zasiada ta sama osoba w organie programowym, wymaga osobnej, rzeczowej analizy. To nie jest podejrzenie - to opis stanu faktycznego, który podałem w uzupełnieniu zawiadomienia z 25 lutego 2026 roku.
Stanowisko ŁOT i co z nim zrobić?
W marcu 2026 roku Tomasz Koralewski, prezes Łódzkiej Organizacji Turystycznej, udzielił wypowiedzi dla „Gazety Wyborczej", w której stwierdził między innymi, że dane Karty Łodzianina nie są udostępniane Bibliotece Miejskiej i odwrotnie, że portal lodz.pl podpięty jest pod Google Analytics w zakresie standardowych informacji o ruchu, oraz że działalność gospodarcza ŁOT jest legalna i „nie stanowi w dzisiejszych realiach żadnej enigmatycznej formuły".
Te wypowiedzi opisują stan rzeczy na poziomie deklaracji organizacyjnej oraz PRowej. Materiał dowodowy złożony do UODO i UKE dotyczy warstwy dokumentów i sieciowej: jakie tagi i kontenery uruchamiają się w przeglądarce, jakie identyfikatory są przesyłane do podmiotów trzecich, w którym momencie sesji użytkownika, na co wyraził zgodę, co deklarują dokumenty. Zestawienie deklaracji organizacyjnej z obserwowalną praktyką techniczną - wraz z analizą regulaminów i polityk - należy do organów prowadzących postępowania. Brak transparentności tego układu doprowadził m.in. do wszczęcia w grudniu 2025 r. śledztwa przez Prokuraturę Okręgową w Łodzi w sprawie przetargów reklamowych i eventowych, a radni i media coraz ostrzej kwestionują wyciąganie publicznych pieniędzy do tworu działającego w „szarej strefie”.
Objaśnienie ilustracji
Na obrazku widać moment debugowania strony mpu.lodz.pl za pomocą narzędzia Google Tag Assistant. Widzimy tam:
- gcd (13l3l3l2l1l1): Sygnał pełnej zgody marketingowej („granted”) przesyłany do Google w pierwszej sekundzie sesji, zanim użytkownik wejdzie w interakcję z bannerem.
- UA-25825547-40: Przestarzały identyfikator Universal Analytics współdzielony z portalem
lodz.pl, służący do śledzenia użytkownika między domenami (cross-domain tracking). - G-30F084ZHSL: Tag GA4 wspólny dla
mpu.lodz.plorazuml.lodz.pl, integrujący dane o aktywności obywatela z różnych jednostek miejskich w jednym profilu. - dl (Document Location): Rejestracja wejścia na precyzyjny adres URL dotyczący procedury planistycznej MPZP (rejon ul. Tuwima i Wodnej), co pozwala na bezpośrednie przypisanie zainteresowań inwestycyjnych do konkretnego użytkownika.
- cid: Unikalny identyfikator przeglądarki, umożliwiający Google trwałe powiązanie tej wizyty z historią aktywności użytkownika w sieci.
- Współdzielenie identyfikatorów
UA-25825547-40iG-30F084ZHSLwraz z identycznym sygnałem wymuszonej zgodygcd=13l3l3l2l1l1na domenachmpu.lodz.plilodz.plstanowi techniczny dowód na zunifikowaną architekturę śledzenia, która łączy dane z serwisów informacyjnych i urzędowych w jeden komercyjny profil reklamowy mieszkańca.
Audyt techniczny domen miejskich
Między 6 a 9 marca 2026 roku przeprowadziłem zautomatyzowany audyt techniczny 28 domen miejskich i powiązanych - w sterylnych sesjach przeglądarki, z czystą sesją bez zapisanych ciasteczek, bez historii i bez jakiejkolwiek interakcji z bannerem zgody. Najpierw ręcznie, potem w sposób zautomatyzowany, każdy wynik poddany weryfikacji. Pełne logi sieciowe, eksporty HAR i NDJSON, snapshoty polityk prywatności i payloady żądań są publicznie dostępne pod adresem dowody.dadalo.pl/lodz-rodo-2025/.
Wynik: na 28 domenach miejskich tracking Google (Analytics + Ads) uruchamiał się przed jakąkolwiek zgodą użytkownika. Dotyczyło to między innymi lodz.pl, uml.lodz.pl, bip.uml.lodz.pl, mpu.lodz.pl, serwisów Karty Łodzianina, Aquaparku Fala, Orientarium i lodz.travel.
Na większości żądania zawierały parametr gcd=13l3l3l2l1l1, który w ekosystemie Google oznacza „użytkownik udzielił pełnej zgody marketingowej". Sygnał szedł zanim ktokolwiek miał szansę tę zgodę wyrazić.
Czym jest gcd=13l3l3l2l1l1? To parametr Google Consent Mode v2 - mechanizmu, który ma informować Google, czy użytkownik wyraził zgodę na poszczególne typy przetwarzania (analitykę, reklamy spersonalizowane, personalizację itd.). Cyfra „3" oznacza granted (zgoda udzielona). Wartość domyślna powinna być denied (1), dopóki użytkownik nie kliknie „Zgadzam się". W łódzkich serwisach było odwrotnie: system od razu raportował pełną zgodę - jeszcze zanim banner w ogóle się pojawił. Pełna tabela referencyjna formatu GCD wraz z interpretacją kolejnych pozycji oraz kontekstem audytowym znajduje się w sekcji „Dekodowanie parametru GCD" na dowody.dadalo.pl/lodz-rodo-2025/.
Po stronie ruchu sieciowego widać połączenia do google-analytics.com, googletagmanager.com, googleads.g.doubleclick.net, ustawianie identyfikatorów trackingowych i transmisję payloadów - w stanie sesji, w którym użytkownik nie wyraził żadnej zgody. To są fakty obserwowalne w przeglądarce każdej osoby, która powtórzy ten test. Zero magii. Jest to oczywiście trudne, ale możliwe do prześledzenia z poziomu fotela w domu.
Materiał dowodowy pokazuje też coś, co bywa pomijane: nawet jeśli część cookies jest później usuwana, gdy użytkownik kliknie „Nie zgadzam się", wcześniejsza transmisja danych do podmiotów trzecich już nastąpiła. Z perspektywy użytkownika jest nieodwracalna. W ekosystemie aukcji reklamowych nie istnieje realna procedura „zapomnienia" zasobu, który już został wystawiony.
Nie przekonuje mnie potencjalna linia obrony, która sprowadza całą sprawę do „poprawnie wdrożonego Advanced Consent Mode" albo do „cookieless pings". Przy poprawnym wdrożeniu domyślny stan blokuje przetwarzanie marketingowe i nie ustawia identyfikatorów reklamowych przed zgodą. Tutaj tagi uruchamiały się normalnie, a dane - w tym cookies - szły do Google i Meta zanim użytkownik podjął jakąkolwiek decyzję. To nie jest błąd konfiguracji jednego serwisu. To powtarzalny wzorzec. Mówimy o stanie, który trwa już latami.
Wzorzec wdrożeniowy, a nie wypadek przy pracy
Po stronie obrony można się spodziewać czterech standardowych odpowiedzi: „to było wdrożenie zewnętrznego wykonawcy", „każda jednostka ma własną politykę prywatności", „mamy certyfikowany CMP", „to są niezależne podmioty z odrębnymi administratorami", albo nawet piątej bardziej bezczelnej - “przecież to powszechna praktyka i wszyscy tak robią”. Repozytorium dowodowe pod adresem dowody.dadalo.pl/lodz-rodo-2025/ pozwala każdą z tych linii obrony rozłożyć na czynniki pierwsze.
Po pierwsze - różny hosting, ten sam payload. Domeny miejskie utrzymywane są w co najmniej trzech odrębnych środowiskach infrastrukturalnych. Rdzeń administracji (uml.lodz.pl, BIP-y, mpu.lodz.pl, mosir.lodz.pl) siedzi w sieci LODMAN - łódzkiej miejskiej sieci metropolitalnej. Stack komercyjny (lodz.pl, orientarium.lodz.pl, panel reklamowy Biblioteki) jest na niemieckim hostingu Hetzner. atlasarena.pl (spółka MAKiS sp. z o.o., 100% miasta) działa na IONOS. Trzy różne środowiska, trzy różne decyzje infrastrukturalne, trzy różne prawdopodobnie zespoły wdrożeniowe - i ten sam payload gcd=13l3l3l2l1l1 produkowany przed zgodą. To wyklucza tezę o przypadkowym błędzie konfiguracji jednego wykonawcy.
Po drugie - powtarzające się identyfikatory na domenach różnych administratorów. Kontener Universal Analytics UA-25825547-40 aktywuje się na sześciu domenach należących formalnie do co najmniej pięciu różnych administratorów danych: Biblioteki Miejskiej, Urzędu Miasta Łodzi, Miejskiej Pracowni Urbanistycznej, Zarządu Lokali Miejskich, Miejskiego Ośrodka Sportu i Rekreacji. Property GA4 G-30F084ZHSL jest współdzielone między portalem komercyjnym lodz.pl (Biblioteka Miejska) a oficjalną stroną Urzędu Miasta uml.lodz.pl. Identyfikatory Google Ads AW-10940984035 i AW-665139254 pojawiają się równolegle na uml.lodz.pl, lodz.pl i orientarium.lodz.pl. To w praktyce jest cross-domain tracking nieujawniony w żadnej polityce prywatności, w żadnym dokumencie współadministrowania w rozumieniu art. 26 RODO.
| Domena (administrator) | Hosting | Powtarzające się identyfikatory |
|---|---|---|
lodz.pl (Biblioteka Miejska) | Hetzner | UA-25825547-40, G-30F084ZHSL, AW-665139254, AW-557285855, AW-11108391222 |
uml.lodz.pl (UMŁ) | LODMAN | UA-25825547-40, G-30F084ZHSL, AW-790142032, AW-10940984035 |
bip.uml.lodz.pl (UMŁ) | LODMAN | UA-25825547-40 |
mpu.lodz.pl (MPU) | LODMAN | UA-25825547-40, G-W8F2064SGL |
bip.zlm.lodz.pl (Zarząd Lokali Miejskich) | LODMAN | UA-25825547-40 |
mosir.lodz.pl (MOSiR) | LODMAN | UA-25825547-40, GTM-K44FPW9 |
orientarium.lodz.pl (ZOO) | Hetzner | AW-10940984035, AW-665139254, GTM-NVTJSXK |
aquapark.lodz.pl | LODMAN | UA-25825547-40 |
lodz.travel (ŁOT) | Hetzner | UA-25825547-40 |
kartalodzianina.pl (ŁOT) | Hetzner | własny CMP, gcd=13p3p3p2p5l1 |
atlasarena.pl (MAKiS sp. z o.o.) | IONOS | G-RJ3LFRYX2R |
ads.biblioteka.lodz.pl (Biblioteka, panel Revive Adserver) | Hetzner | infrastruktura komercyjna; bez śledzenia w sterylnej sesji |
Pełna lista 28 domen z naruszeniami i 11 domen czystych - wraz z surowymi logami, payloadami i snapshotami polityk - w repozytorium dowody.dadalo.pl/lodz-rodo-2025/.
Po trzecie - odbiorcy danych są niemal identyczni na każdej domenie z naruszeniem. Lista zewnętrznych podmiotów odbierających dane w sterylnej sesji powtarza się z monotonią, która sama w sobie jest dowodem: connect.facebook.net, googleads.g.doubleclick.net, region1.analytics.google.com, stats.g.doubleclick.net, www.google-analytics.com, w niektórych przypadkach www.facebook.com i www.googleadservices.com. Meta dostaje sygnał z Biuletynu Informacji Publicznej Urzędu Miasta Łodzi. Z serwisu Miejskiej Pracowni Urbanistycznej. Z BIP-u Zarządu Lokali Miejskich. Adres IP plus URL strony plus moment wizyty trafiają do Meta Platforms, zanim mieszkaniec zdąży kliknąć cokolwiek. Każdy kto wdrażał Google Tag opakowujący skrypty np. META wie, iż można im ustawić uruchomienie dopiero w momencie sygnału CONSENT / Zgody (czyli kliknięcia TAK).
Po czwarte - CMP (bannery cookies) są w tej architekturze dekoracją.
Według mojej najlepszej wiedzy część domen ma wdrożone mechanizmy zarządzania zgodą - od własnych bannerów po rozwiązania komercyjnych dostawców. Inne - bip.uml.lodz.pl, mpu.lodz.pl, bip.zlm.lodz.pl, mosir.lodz.pl - nie mają żadnego zaawansowanego CMP, tylko proste bannery typu „klikam OK". I wszystkie produkują ten sam payload gcd=13l3l3l2l1l1 przed jakąkolwiek interakcją użytkownika. Konkretne implementacje per domena są udokumentowane w repozytorium dowodowym - każdy może sprawdzić, jaki mechanizm zgody widać w kodzie strony, a jaki sygnał faktycznie leci do Google. To znaczy, że obecność CMP nie ma w tym wdrożeniu znaczenia funkcjonalnego. Sygnał granted leci niezależnie od tego, czy istnieje mechanizm zgody, czy go nie ma.
Cztery linie obrony zamknięte tym samym materiałem dowodowym. Hostingi się różnią - payload jest podobny. Administratorzy się różnią - kontenery są wspólne. Polityki prywatności się różnią - odbiorcy danych są ci sami. CMP się różnią - granted leci tak samo. To nie jest błąd jednego wykonawcy. To jest powielany model konfiguracji, który wymaga ustalenia, kto go zaprojektował, kto go odbierał technicznie i kto przez lata czerpał z niego korzyści. Domagam się inwentaryzacji i weryfikacji, a w przypadku naruszeń prawa wyciągnięcia konsekwencji. Skala jest ogromna.
Charakter transgraniczny i co z tego wynika
Sprawa ma charakter transgraniczny w rozumieniu RODO. W zakresie dotyczącym mieszkańców Łodzi UODO pozostaje wiodącym organem nadzorczym. Ale udokumentowane przetwarzanie obywateli innych państw UE odwiedzających serwisy turystyczne (orientarium.lodz.pl, aquapark.lodz.pl, lodz.travel) - odbywające się dokładnie według tego samego wzorca, z tymi samymi parametrami zgody zaszytymi przed kliknięciem - otwiera ścieżkę współpracy między krajowymi organami ochrony danych w UE.
Repozytorium dowodowe jest udostępnione w wersjach wielojęzycznych nie z powodów PR-owych, lecz dlatego, że sprawa powinna zostać oceniona również poza polskim porządkiem nadzorczym. Działam również w tym kierunku o czym poinformuję publicznie w stosownym czasie.
Jak można to samodzielnie zweryfikować
Nie chcę, żeby ktokolwiek wierzył mi na słowo. Wystarczy:
- czysta sesja przeglądarki w trybie incognito,
- otwarta zakładka „Network" w narzędziach deweloperskich,
- wejście na dowolną z domen miejskich, bez klikania w banner,
- obserwacja, jakie żądania wychodzą do
google-analytics.com,googletagmanager.com,googleads.g.doubleclick.neti z jakimi wartościami parametrugcd.
Można też skorzystać z oficjalnego narzędzia Google: tagassistant.google.com. Sygnały w logach są takie same niezależnie od tego, kto je rejestruje.
Audyt realizowałem w marcu i pełne dane dowodowe w postaci plików HAR, osi czasu cookies, payloadów żądań i trace’ów sesji są publicznie dostępne pod adresem dowody.dadalo.pl/lodz-rodo-2025/ zachęcam do weryfikacji.
Cisza przed prawdziwą burzą?
W czasach, gdy mówimy o suwerenności cyfrowej od organów państwa oczekuję teraz nie ogólnych deklaracji, lecz konkretnych czynności w celu ochrony obywateli: zabezpieczenia historii wersji kontenerów GTM, konfiguracji Consent Mode, logów aktywności Microsoft Clarity, konfiguracji Revive Adserver oraz dokumentacji wdrożeniowej i odbiorowej dla badanych serwisów. Spodziewam się, że zamiast merytorycznej odpowiedzi na pytania o standardy bezpieczeństwa danych pojawi się narracja o „szukaniu dziury w całym" albo o atakowaniu sukcesów miasta. Liczę, że ta linia obrony tym razem nie zadziała - bo na stole leżą weryfikowalne fakty, a nie subiektywne oceny.
Materiał techniczny będę dalej rozkładał na czynniki pierwsze w osobnych tekstach - także dla specjalistów od cyberbezpieczeństwa. Bo gdy sygnał zgody jest zmanipulowany - żeby nie powiedzieć mocniej, sfałszowany, w tym sensie, że wartość parametru technicznego rozjeżdża się z faktyczną decyzją użytkownika - w konsekwencji dane trafiają do ekosystemu aukcji reklamowych. Poszkodowani są wtedy nie tylko mieszkańcy, ale również uczestnicy rynku reklamowego, którzy kupują zafałszowane zasoby. To wątek na osobny tekst, który ukaże się lada moment.
Suplement: dziewięć zarzutów z zawiadomienia do UODO
Pierwotne zawiadomienie z 6 listopada 2025 roku zawiera dziewięć systemowych zarzutów. Operuje ono na trzech warstwach dowodu, które wzajemnie się uzupełniają: analiza polityk prywatności i klauzul informacyjnych, analiza regulaminów programów, mapowanie infrastruktury oraz audyt techniczny ruchu sieciowego. Część zarzutów wynika głównie z analizy dokumentów (regulamin Karty Łodzianina, polityki prywatności, struktura współadministrowania), część z audytu technicznego (mechanizm Consent Mode, kontenery GTM, payloady żądań), a część z połączenia obu warstw. Audyt z marca 2026 roku, którego materiał dowodowy stanowi załącznik do zawiadomienia uzupełniającego z 10 marca 2026, jest dopełnieniem - nie zastępuje analizy regulacyjnej, lecz dokłada do niej twardą warstwę pomiarową. Pełne uzasadnienia, podstawy prawne i dowody znajdują się w treści zawiadomienia oraz w pismach uzupełniających. Poniżej skrót.
1. Ukryte współadministrowanie danymi użytkowników portalu lodz.pl. Oficjalnie administratorem jest Biblioteka Miejska. Z analizy infrastruktury, ofert handlowych i przepływu danych wynikają podstawy do uznania, że cele i sposoby przetwarzania są faktycznie ustalane wspólnie z Łódzką Organizacją Turystyczną i marką Łódź Media Group, Urzędem Miasta Łodzi oraz Google Poland. Publicznie nie ujawniono żadnych formalnych uzgodnień o współadministrowaniu. W praktyce obywatel chcący wykonać prawa z RODO nie wie, do którego podmiotu skierować wniosek.
2. Stosowanie narzędzia do nagrywania sesji bez zgody (zarzut z 2025 r., status w 2026 r. wymaga wyjaśnienia). W okresie poprzedzającym pierwszą publikację (maj 2025) portal lodz.pl wykorzystywał Microsoft Clarity w dwóch instancjach, w tym funkcję Session Replays rejestrującą ruchy myszy, kliknięcia i przebieg sesji użytkownika, bez skutecznego mechanizmu uprzedniej zgody. Po publicznym ujawnieniu sprawy sugeruje się, że dane było to tylko testowe wdrożenie - pytanie dlaczego było ponad rok w serwisach? Dlaczego narzędzie było używane w dwóch instancjach jednocześnie, w jakich celach, na jakich subdomenach, oraz czy nagrania zebrane w okresie aktywności zostały usunięte zgodnie z art. 17 RODO. Skala dotyczy ok. 1 mln użytkowników miesięcznie. Tego typu narzędzia pozwalają zawęzić analizę do wybranych obszarów serwisu. Warto byłoby ujawnić powody wdrożenia oraz dlaczego pomimo rzekomego niewykorzystania nie usunięto zgodnie z prawem kodu?
3. Komercjalizacja portalu publicznego. Portal finansowany ze środków publicznych jest zmonetyzowany przez Google AdSense oraz własny serwer reklamowy Biblioteki Miejskiej (ads.biblioteka.lodz.pl, Revive Adserver). Sprzedaż powierzchni reklamowej nie wpisuje się w katalog zadań publicznych biblioteki, a portal nie pozyskuje skutecznej zgody użytkowników. Dane zebrane w celu informowania mieszkańców są wykorzystywane do targetowania reklam komercyjnych - Łódź Media Group otwarcie oferuje takie usługi na stronie media.lodz.pl.
4. Masowe śledzenie użytkowników. Audyt wykazał obecność co najmniej siedmiu systemów śledzenia: dwóch instancji Microsoft Clarity, Google Analytics, Google Tag Manager, Google AdSense, Facebook Pixel oraz własnego serwera reklamowego Biblioteki. Na podstronie mpu.lodz.pl dodatkowo aktywne są tagi konwersji Google Ads, mechanizm Google Signals (remarketing międzyurządzeniowy) oraz parametry zgody marketingowej. Tak rozległa infrastruktura wykracza poza standardową analitykę portalu informacyjnego.
5. Naruszenie obowiązku informacyjnego. Polityka prywatności portalu nie wskazuje pełnej listy odbiorców danych, nie podaje okresów przechowywania dla poszczególnych systemów ani nie wyjaśnia podstawy prawnej dla komercyjnego przetwarzania. Występuje też fundamentalna sprzeczność: oficjalne klauzule informacyjne IOD na BIP-ie deklarują, że „dane nie będą przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania", podczas gdy analiza techniczna potwierdza aktywację Google Signals, tagów remarketingowych i parametrów zgody marketingowej.
6. Prawdopodobne śledzenie międzydomenowe i profilowanie. Konfiguracja narzędzi śledzących na portalach lodz.pl, mpu.lodz.pl, kartalodzianina.pl i innych subdomenach miejskich tworzy warunki do śledzenia tego samego użytkownika między domenami. Otwiera to drogę do korelacji danych behawioralnych z danymi demograficznymi pochodzącymi z Karty Łodzianina. W żadnej z polityk prywatności nie ujawniono mechanizmu cross-domain tracking ani nie pozyskano osobnej zgody na łączenie danych między portalami.
7. Brak oceny skutków dla ochrony danych (DPIA). Charakter przetwarzania na portalu lodz.pl spełnia co najmniej trzy kryteria obligujące administratora do przeprowadzenia DPIA: systematyczne ocenianie aspektów osobistych użytkowników, przetwarzanie na dużą skalę (1 mln użytkowników miesięcznie), systematyczne monitorowanie obszaru dostępnego publicznie. Według wytycznych UODO i EROD spełnienie dwóch z dziewięciu kryteriów obliguje do DPIA. Brak takiej analizy stanowi rażące zaniedbanie.
8. Eksploatacja danych w programie Karta Łodzianina. Program prowadzony przez Łódzką Organizację Turystyczną obejmuje ponad 350 tysięcy aktywnych uczestników. Regulamin (§IX pkt 9) wprost przewiduje zautomatyzowane profilowanie według wieku, zainteresowań i sposobu korzystania z oferty. Łódź Media Group otwarcie oferuje targetowanie reklamowe z wykorzystaniem danych z Karty. Do weryfikacji uprawnień program zbiera dokumenty ujawniające szeroki obraz sytuacji finansowej, zawodowej i zdrowotnej mieszkańca - w tym informacje o stanie zdrowia uczestników i osób pozostających pod ich opieką.
9. Przestarzały kod jako mechanizm wstrzykiwania tagów komercyjnych. W kodzie portalu lodz.pl i serwisu mpu.lodz.pl nadal aktywny jest identyfikator Google Universal Analytics (UA-25825547-40), mimo że narzędzie zostało wycofane przez Google w 2023 roku. Dekompilacja kontenerów GTM wykazała, że nie jest to martwy artefakt: kontener UA funkcjonuje jako kontener strefowy, którego konfiguracja instruuje GTM do ładowania kontenera GA4 z portalu lodz.pl wraz z aktywnymi tagami Google Ads, funkcją Google Signals i regułami konwersji dla kampanii komercyjnych. W efekcie użytkownik odwiedzający stronę administracji publicznej jest włączany w komercyjną infrastrukturę remarketingową portalu lodz.pl.
Sprawa pozostaje otwarta, pudrowanie niczego nie da. Postępowania przed UODO i UKE są w toku. Materiał dowodowy w repozytorium dowody.dadalo.pl jest sukcesywnie uzupełniany.
Suplement: oferta handlowa ŁMG i ŁOT
1. Oferta Łódź Media Group
| Kategoria | Narzędzie / Kanał | Charakterystyka i Zasięg |
|---|---|---|
| Digital (Direct) | Aplikacja łódź.pl | 100 000 aktywnych użytkowników. Powiadomienia push z pełnym targetowaniem (wiek, płeć, zainteresowania, lokalizacja). |
| Digital (Direct) | E-mail Marketing | Baza 174 000 adresów. Kampanie z precyzyjnym profilowaniem odbiorców. |
| Digital (Direct) | Kampanie SMS | Baza 170 000 numerów telefonów z możliwością targetowania. |
| Digital (Display) | Portal łódź.pl | 1 mln użytkowników i 8 mln odsłon miesięcznie. Formaty display, artykuły sponsorowane, dane o profilach. |
| Outdoor | Słupy i billboardy | Billboardy, siatki, reklamy w windach. Słupy reklamowe w 5 miastach (Łódź, Kraków, Gdańsk, Poznań, Warszawa). |
| Outdoor (Transit) | Komunikacja miejska (MPK) | 300 citylightów, 280 autobusów, 80 tramwajów, 680 ekranów LCD, 650 biletomatów. |
| Prasa | Gazeta łódź.pl | Nakład 60 000 egz. (pon-śr-pt). 220 000 czytelników, ponad 200 punktów dystrybucji. |
| Video | Produkcja filmowa | Formy korporacyjne, reportaże, SoMe content, teledyski, spoty produktowe. |
2. Oferta Łódzkiej Organizacji Turystycznej (ŁOT)
| Kategoria | Narzędzie / Kanał | Charakterystyka i Zasięg |
|---|---|---|
| Digital Marketing | Portal lodz.travel | Serwis turystyczny i biznesowy (Convention). Prezentacja atrakcji i produktów turystycznych. |
| Digital Marketing | Social Media | Profile: Informacja Turystyczna (11 tys. fanów), ŁOT (2 tys.), Łódź Convention Bureau (2,2 tys.). |
| System Lojalnościowy | Karta Łodzianina | Ponad 350 000 użytkowników. Push, SMS, e-mail, banery, artykuły sponsorowane. Targetowanie demograficzne i behawioralne. |
| Prasa Lokalna | Gazeta łódź.pl | Bezpłatna gazeta, zasięg do 100 tys. odbiorców dziennie. Dystrybucja m.in. wewnątrz pojazdów MPK. |
| Komunikacja Miejska | Nośniki MPK Łódź | Reklama całopojazdowa, fullback, ramki wewnątrz, citylighty na przystankach, monitory LCD, biletomaty. |
| Portale Miejskie | Strona łódź.pl | Kampanie display i content marketingowe; wsparcie działań SEO. |
Źródła do tej tabeli: oficjalna strona Łódź Media Group oraz podstrony ŁOT dotyczące digital marketingu i oferty reklamowej w Łodzi, w tym reklamy w gazecie Łódź.pl, Karcie Łodzianina, MPK Łódź i na portalu Łódź.pl.
Chcesz pomóc? Masz jakieś informacje w sprawie?
Jeśli jesteś z branży cyberbezpieczeństwa, interesujesz się AI, prywatnością, masz potwierdzone portfolio albo rekomendacje osób z branży i chciałbyś pomóc w analizie aplikacji android, debugowaniu przepływów danych i dalszej analityce systemu - zachęcam do współpracy. Możemy działać w sposób zdecentralizowany.
Jeśli dysponujesz informacjami, które dotyczą wątków PPP, ŁOT, QB sp. z o.o. (Karta Łodzianina, Karta Turysty), Łódź Media Group, wątków reklamowych albo innych dotyczących serwis Łódź.pl, Biblioteki jako wydawcy serwisu i operatora reklam, kolejnych wątków tej sprawy, to napisz do redakcji w zakładce kontakt znajduje się
Co pisały media o sprawie?
Fakt — „Informatyk oskarża Łódź o śledzenie mieszkańców. UODO bada sprawę”
Autor: Mikołaj Szewczyk
Materiał opisuje zawiadomienie złożone do UODO przez Macieja Lesiaka, który zarzuca Łódzkiej Organizacji Turystycznej i Bibliotece Miejskiej nielegalne profilowanie mieszkańców oraz wykorzystywanie narzędzi śledzących bez świadomej zgody. Tekst podkreśla, że urząd potwierdził analizę sprawy, a strona miasta i jej operatorzy odpierają zarzuty, wskazując na odrębność danych i zgód marketingowych. Artykuł akcentuje też skalę całego ekosystemu ŁOT, Karty Łodzianina i miejskich mediów, sugerując, że spór dotyczy nie tylko prywatności, ale i modelu finansowania oraz reklamy. To ważny sygnał, że sprawa wyszła poza ramy pojedynczej skargi i stała się tematem publicznej debaty.
Gazeta Wyborcza — „Setki tysięcy Łodzian śledzonych na ogromną skalę”. Reklamowe kombinacje ŁOT
Autorzy: Piotr Brzózka, Alicja Zboińska
„Wyborcza” przedstawia sprawę szerzej, koncentrując się na relacji między ŁOT, Kartą Łodzianina, portalem Łódź.pl i miejską infrastrukturą reklamową. Tekst pokazuje, że spór dotyczy nie tylko samego śledzenia użytkowników, lecz także sposobu, w jaki publiczne i półpubliczne podmioty łączą promocję, dane i przychody reklamowe. Dziennik opisuje zawiadomienie do UODO jako element większego konfliktu o transparentność i granice działalności samorządowych mediów. W tle pojawiają się też pytania o przetargi, faktury i możliwe powiązania między instytucjami miejskimi.
Pytania do Google
Skierowałem do Google zestaw szczegółowych pytań prasowych - o egzekwowanie polityki EU User Consent Policy, o działanie Google Consent Mode v2, o odpowiedzialność platformy za sygnały zgody generowane maszynowo przed interakcją użytkownika z bannerem, oraz o status wdrożeń, w których stary identyfikator Universal Analytics służy do wstrzykiwania tagów na serwisach administracji publicznej.
Czekam na odpowiedź.
1. Publisher audits under the EU User Consent Policy:
What is Google’s standard procedure for auditing high-traffic publishers or groups of domains operating on shared infrastructure in the EEA? In particular, what typically triggers such audits, and how quickly are remedial measures applied once a potentially non-compliant pattern is detected?
2. Consent signals in Google Ads systems:
When Google receives a consent signal indicating granted consent for ads or analytics, does Google validate that signal against any independent indicator of actual user interaction, or is the publisher’s declaration treated as authoritative for auction and ad-tech processing purposes?
3. Advanced Consent Mode v2 and certified CMPs:
Under a compliant implementation of Advanced Consent Mode v2, is it permissible for Google tags to transmit data to Google endpoints before the user has interacted with the CMP banner? If not, what observable characteristics distinguish a compliant implementation from a non-compliant one?
4. Certified CMPs and actual enforcement:
Does Google assess only the presence of a certified CMP, or also its actual operational effect in preventing premature consent signals before user interaction?
5. Legacy UA identifiers in GTM zone configurations:
Is the continued use of legacy Universal Analytics identifiers in GTM zone or container logic consistent with Google’s current policies where such configurations still govern the loading of GA4 or Google Ads-related tags?
–
Podmiotom wymienionym w tym tekście - Urzędowi Miasta Łodzi, Bibliotece Miejskiej, osobom pełniącym funkcje decyzyjne w opisywanym ekosystemie, a także spółkom - pozostawiam możliwość przedstawienia stanowiska. Każda merytoryczna odpowiedź odnosząca się do udokumentowanych zarzutów zostanie opublikowana na łamach serwisu.
