„Dark patterns” a RODO

  • 20.07.2022

  • Autor: Alicja Pomorska

  • News

Europejska Rada Ochrony Danych Osobowych (EROD) 03 marca 2022 r. opublikowała „Wytyczne 3/2022 w sprawie tzw. dark patterns w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać”[1]. Dokument jest obecnie na etapie konsultacji publicznych. Kwestia wykorzystywania „dark patterns”, znanych w świecie UX design jest ciekawym problemem w kontekście naruszenia przepisów Ogólnego Rozporządzenia o Ochronie Danych[2] (dalej RODO), na który zwrócił uwagę EROD, dostrzegając potrzebę wydania wytycznych w tym przedmiocie.

 

Ciemna strona świata UX – czym są tzw. dark patterns?

Warto zacząć od wyjaśnienia czym właściwie są „dark patterns”. Tym terminem określa się praktyki stosowane w dziedzinie user experience (UX). Są to różnego rodzaju rozwiązania z zakresu user experience oraz interfejsy projektowane po to, by wymusić na użytkowniku określone działanie poprzez wprowadzenie go w błąd. Nie­któ­re z nich mogą wy­glą­dać na błędy w pro­jek­to­wa­niu, ale w rze­czy­wi­sto­ści są to za­pla­no­wa­ne dzia­ła­nia ma­ją­ce na celu zdo­by­cie ad­re­su e-mail czy in­nych da­nych albo wymuszające określone zachowanie użytkownika, przykładowo dodatkowy zakup produktu. Tego rodzaju praktyki UX stosowane są w rozmaitych sektorach gospodarczych, przykładowo w e- commerce, na witrynach firm ubezpieczeniowych, czy chociażby w systemach operacyjnych.

Wprowadzenie w błąd użytkownika często przybiera postać niejasno sformułowanych komunikatów. Pożądane akcje mogą być również sugerowane wielkością i kolorystyką, np. przycisk „Tak, składam zamówienie” jest dużo większy i kolorowy, a „Nie, dziękuję” zdecydowanie mniej widoczny  i niewyróżniający się. Coraz bardziej popularnym działaniem jest również tzw. „confirmshaming”. Jest to metoda, w ramach której grając na emocjach użytkownika, w szczególności na poczuciu winy próbuje się go zmusić do określonej akcji. Przykładowo, przy zamawianiu np. karmy dla zwierzęcia, mamy do wyboru opcje w stylu: „Tak, zamawiam” albo „Rezygnuję, nie chcę dbać o zdrowie mojego zwierzęcia”. Innym przykładem może być tzw. bait and switch, schemat polegający na zwodzeniu odbiorcy poprzez wdrożenie nietypowego i nieintuicyjnego dla odbiorcy interfejsu, który jest odmienny od poprzednio przyjętego w praktyce i powszechnie znanego. Projektanci stron internetowych wprowadzają w ten sposób użytkowników w błąd, „łapiąc” ich na intuicyjne, powtarzalne ruchy, np. kliknięcie X w prawym górnym rogu, które dla większości użytkowników jest równoznaczne z zamknięciem okna. Sztandarowym przykładem „ciemnego wzoru” jest także domyślnie zaznaczony checkbox zgody na przetwarzanie danych osobowych.

Obszerną listę przykładów wraz objaśnieniem można odnaleźć we wspomnianych wytycznych EROD. Wytyczne EROD dotyczące „dark patterns” mogą być pomocne nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter, dostarczają wiedzy na temat „dark patterns” oraz wskazują na kontekst prawny ochrony danych osobowych, który musi być znany wszystkim podmiotom stosującym tego typu działania.

Wśród głównych typów „dark patterns”, które wyróżnił EROD mieszczą się następujące kategorie:

  1. Przeładowywanie (Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli by sobie tego życzył.
  2. Opuszczanie (Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych.
  3. Zamieszanie (Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych.
  4. Utrudnianie (Hindering): przeszkadzanie lub blokowanie użytkowników w procesie zdobywania informacji lub zarządzania danymi poprzez utrudnianie lub uniemożliwianie wykonania działania.
  5. Fałszywy, zwodniczy (Fickle): projekt interfejsu jest niespójny i  niezbyt przejrzysty, co utrudnia użytkownikom poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu przetwarzania danych.
  6. Pozostawiony w niewiedzy (Left in the dark): interfejs jest zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawia użytkowników w niepewności co do tego, jak przetwarzane są ich dane i jaki rodzaj kontroli nad nimi mogą mieć w zakresie korzystania z przysługujących im praw.

RODO w kontekście „dark patterns”

Stosowanie „dark patterns” jest kontrowersyjne, ponieważ rodzi ryzyka naruszenia różnych przepisów RODO. Wszystko zależy od stosowanego rodzaju „ciemnego wzoru”, a także sposobu jego prezentacji, niemniej wśród potencjalnych wymogów RODO, które mogą zostać naruszone na skutek używania „dark patterns” trzeba wskazać na poniższe aspekty zgodności z RODO.

  • Zasady przetwarzania danych określone w art. 5 ust. 1 RODO.

Niewątpliwie stosowanie „dark patterns” może być uznane za praktykę godzącą w  podstawowe zasady określone w art. 5 ust. 1 RODO, przede wszystkim zasadę zgodności z prawem, rzetelności i przejrzystości. Nie można także zapominać, że dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu) oraz adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych). W przypadku stosowania różnych typów „dark patterns” istnieje duże ryzyko, że wspomniane zasady zostaną naruszone. Europejska Rada Ochrony Danych  w  wytycznych dotyczących „dark patterns” podkreśla znaczenie zasady rzetelności („fairness”), wskazując, że wszystkie „ciemne wzory” nie byłyby zgodne z tą zasadą niezależnie od przestrzegania innych zasad ochrony danych. Zasada ta jest nadrzędna i wymaga, by dane osobowe nie były przetwarzane w sposób szkodliwy, dyskryminujący, nieoczekiwany lub wprowadzający w błąd osobę, której dane dotyczą.

  • Warunki wyrażenia zgody (art. 7 RODO).

Zastosowanie interfejsu nakierowanego na wymuszenie zgody w rozumieniu RODO poprzez jego nietransparentną formę, niepozostawiającą użytkownikowi dobrowolności w zakresie wyrażenia zgody prowadzić będzie wprost do naruszenia art. 7 RODO i opisanych w nim warunków wyrażenia zgody. Często bowiem, tego typu „zwodnicze” interfejsy są stosowane, by właśnie pozyskać zgodę użytkownika na określone przetwarzanie przy braku jego świadomości na co się godzi i braku spełnienia przesłanki dobrowolności.

  • Zasada przejrzystości (art. 12 RODO).

Istotna w kontekście stosowania „ciemnych wzorców” jest zasada przejrzystości szczegółowo opisana w art. 12 ust. 1 RODO. W szczególności zgodnie z tą zasadą wymagane jest, by informacje lub komunikacja były dostarczane podmiotom danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Należy używać jasnego i prostego języka i ów wymóg ma szczególne znaczenie, jeżeli informacje są kierowane do dziecka. Nie należy zapominać, że jakość, dostępność i zrozumiałość informacji jest tak samo ważna jak rzeczywista jej treść dostarczana osobom, których dane dotyczą[3].

Z samego więc założenia rozwiązania typu „dark patterns” naruszają wskazaną regulację, ponieważ ich stosowanie właśnie zmierza do zaciemnienia przekazu, wprowadzenia w błąd użytkownika tak, aby podjął działanie, którego w normalnych warunków nie podjąłby.

  • Zasada rozliczalności (art. 5 ust.2 RODO).

Nie można zapomnieć także o zasadzie rozliczalności, która powinna być realizowana w mediach społecznościowych za pomocą wprowadzonych na stronach internetowych rozwiązań graficznych i narzędzi. Projektowane interfejsy powinny służyć jako dowody realizacji obowiązków nałożonych przez RODO na administratora. Przykładowo, interfejs użytkownika i ścieżka użytkownika mogą być używane jako narzędzie dokumentacji służące wykazaniu, że użytkownicy, podczas swoich aktywności na platformie mediów społecznościowych zapoznali się i brali pod uwagę ochronę danych osobowych i z łatwością mogli skorzystać ze swoich praw. Innym przykładem realizacji zasady rozliczalności jest zaprojektowany panel do wyrażenia zgody na przetwarzanie danych osobowych, który pozwala na wykazanie prawidłowego, dobrowolnego i świadomego wyrażenia zgody przez podmiot danych.

  • Privacy by design i privacy by default (art. 25 RODO).

Trzeba też wspomnieć o uwzględnianiu zasady privacy by design (ochrona danych w fazie projektowania) oraz zasady privacy by default (domyślnej ochrony danych) na etapie konstruowania rozmaitych interfejsów. Administrator powinien wybrać i odpowiadać za wdrożenie domyślnych ustawień ochrony danych i opcji w taki sposób, aby jedynie przetwarzanie, które jest ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu, było realizowane domyślnie. W takim przypadku administratorzy muszą polegać na swojej ocenie konieczności (niezbędności) przetwarzania w odniesieniu do podstaw prawnych art. 6 ust. 1 RODO. Oznacza to, że domyślnie administrator danych nie gromadzi większej liczby danych niż jest to niezbędne. Projektując rozwiązania w szczególności powinien zadbać o realizację wszystkich zasad określonych w RODO. Przykładowo, kluczowe elementy uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych w stosunku do zasady przejrzystości mogą obejmować:

  • Jasność – informacje są podawane jasnym i prostym językiem, są zwięzłe i zrozumiałe.
  • Semantykę – komunikacja ma jasne znaczenie dla danej grupy odbiorców;.
  • Dostępność – informacje są łatwo dostępne dla osoby, której dane dotyczą.
  • Kontekst – informacje są przekazywane w odpowiednim czasie i w odpowiedniej formie.
  • Zrozumiałość – osoby, których dane dotyczą, muszą dokładnie rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, szczególnie w przypadku, gdy osobami, których dane dotyczą, są dzieci lub członkowie innych grup szczególnie wrażliwych.
  • Warstwowość – informacje powinny być ułożone warstwowo w sposób, który rozwiązuje problem napięcia między kompletnością a zrozumieniem, przy jednoczesnym uwzględnieniu uzasadnionych oczekiwań osób, których dane dotyczą. [4]

Dobre praktyki

Warto nadmienić dobre praktyki pozwalające na unikanie stosowania „dark patterns”, na które wskazuje EROD we wspomnianych w artykule wytycznych. Są to przykładowo następujące mechanizmy:

  • W polityce prywatności dla każdej informacji o ochronie danych osobowych należy podać linki, które bezpośrednio przekierowują do stron poświęconych ochronie danych osobowych na platformie społecznościowej.
  • Gdy platforma mediów społecznościowych jest dostępna za pośrednictwem różnych urządzeń (np. komputer, smartfony itp.), ustawienia i informacje związane z ochroną danych powinny być zlokalizowane w tych samych przestrzeniach w różnych wersjach i powinny być dostępne za pośrednictwem tych samych elementów interfejsu (menu, ikony itp.).
  • Sformułowania i definicje użyte w polityce prywatności powinny być spójne z tymi zastosowanymi w pozostałych miejscach na stronie internetowej.

Podsumowując, praktyka stosowania „ciemnych wzorców” prowadzi do naruszenia obowiązujących przepisów o ochronie danych osobowych. Pamiętajmy, że naruszenie zasad RODO, w tym warunków wyrażenia zgody może stanowić podstawę nałożenia przez organ nadzorczy kar pieniężnych. Z sankcjami może również  spotkać się nieuwzględnienie w ramach prowadzonych działań zasady privacy by design oraz privacy by default. Twórcy interfejsów, projektując rozwiązania dla użytkowników sieci powinni zatem brać pod uwagę kontekst ochrony danych. Pomocne w unikaniu błędów w ramach projektowanych interfejsów mogą być właśnie wskazówki EROD, które szczegółowo zarysowują otoczenie prawne dla praktyk „dark patterns” oraz wskazują na przykładowy zestaw dobrych praktyk. 

[1] https://edpb.europa.eu/

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] Wytyczne Grupy Roboczej art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01

[4] Wytyczne EROD nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Wersja 2.0 przyjęte 20 października 2020 r.

Autor

Alicja Pomorska

Radca prawny z kilkuletnim doświadczeniem w obsłudze prawnej, w szczególności podmiotów z sektora farmaceutycznego. Posiada doświadczenie zawodowe w obszarze ochrony danych osobowych, które zdobywała w ramach współpracy z kancelariami prawnymi oraz jako prawnik wewnętrzny spółek.