Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
„Dark patterns” a RODO

„Dark patterns” a RODO

20.07.2022
Autor: Alicja Pomorska
News

Europejska Rada Ochrony Danych Osobowych (EROD) 03 marca 2022 r. opublikowała „Wytyczne 3/2022 w sprawie tzw. dark patterns w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać”[1]. Dokument jest obecnie na etapie konsultacji publicznych. Kwestia wykorzystywania „dark patterns”, znanych w świecie UX design jest ciekawym problemem w kontekście naruszenia przepisów Ogólnego Rozporządzenia o Ochronie Danych[2] (dalej RODO), na który zwrócił uwagę EROD, dostrzegając potrzebę wydania wytycznych w tym przedmiocie.

Ciemna strona świata UX – czym są tzw. dark patterns?

Warto zacząć od wyjaśnienia czym właściwie są „dark patterns”. Tym terminem określa się praktyki stosowane w dziedzinie user experience (UX). Są to różnego rodzaju rozwiązania z zakresu user experience oraz interfejsy projektowane po to, by wymusić na użytkowniku określone działanie poprzez wprowadzenie go w błąd. Niektóre z nich mogą wyglądać na błędy w projektowaniu, ale w rzeczywistości są to zaplanowane działania mające na celu zdobycie adresu e-mail czy innych danych albo wymuszające określone zachowanie użytkownika, przykładowo dodatkowy zakup produktu. Tego rodzaju praktyki UX stosowane są w rozmaitych sektorach gospodarczych, przykładowo w e- commerce, na witrynach firm ubezpieczeniowych, czy chociażby w systemach operacyjnych.

Wprowadzenie w błąd użytkownika często przybiera postać niejasno sformułowanych komunikatów. Pożądane akcje mogą być również sugerowane wielkością i kolorystyką, np. przycisk „Tak, składam zamówienie” jest dużo większy i kolorowy, a „Nie, dziękuję” zdecydowanie mniej widoczny i niewyróżniający się. Coraz bardziej popularnym działaniem jest również tzw. „confirmshaming”. Jest to metoda, w ramach której grając na emocjach użytkownika, w szczególności na poczuciu winy próbuje się go zmusić do określonej akcji. Przykładowo, przy zamawianiu np. karmy dla zwierzęcia, mamy do wyboru opcje w stylu: „Tak, zamawiam” albo „Rezygnuję, nie chcę dbać o zdrowie mojego zwierzęcia”. Innym przykładem może być tzw. bait and switch, schemat polegający na zwodzeniu odbiorcy poprzez wdrożenie nietypowego i nieintuicyjnego dla odbiorcy interfejsu, który jest odmienny od poprzednio przyjętego w praktyce i powszechnie znanego. Projektanci stron internetowych wprowadzają w ten sposób użytkowników w błąd, „łapiąc” ich na intuicyjne, powtarzalne ruchy, np. kliknięcie X w prawym górnym rogu, które dla większości użytkowników jest równoznaczne z zamknięciem okna. Sztandarowym przykładem „ciemnego wzoru” jest także domyślnie zaznaczony checkbox zgody na przetwarzanie danych osobowych.

Obszerną listę przykładów wraz objaśnieniem można odnaleźć we wspomnianych wytycznych EROD. Wytyczne EROD dotyczące „dark patterns” mogą być pomocne nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter, dostarczają wiedzy na temat „dark patterns” oraz wskazują na kontekst prawny ochrony danych osobowych, który musi być znany wszystkim podmiotom stosującym tego typu działania.

Wśród głównych typów „dark patterns”, które wyróżnił EROD mieszczą się następujące kategorie:

Przeładowywanie (Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli by sobie tego życzył.
Opuszczanie (Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych.
Zamieszanie (Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych.
Utrudnianie (Hindering): przeszkadzanie lub blokowanie użytkowników w procesie zdobywania informacji lub zarządzania danymi poprzez utrudnianie lub uniemożliwianie wykonania działania.
Fałszywy, zwodniczy (Fickle): projekt interfejsu jest niespójny i niezbyt przejrzysty, co utrudnia użytkownikom poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu przetwarzania danych.
Pozostawiony w niewiedzy (Left in the dark): interfejs jest zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawia użytkowników w niepewności co do tego, jak przetwarzane są ich dane i jaki rodzaj kontroli nad nimi mogą mieć w zakresie korzystania z przysługujących im praw.

RODO w kontekście „dark patterns”

Stosowanie „dark patterns” jest kontrowersyjne, ponieważ rodzi ryzyka naruszenia różnych przepisów RODO. Wszystko zależy od stosowanego rodzaju „ciemnego wzoru”, a także sposobu jego prezentacji, niemniej wśród potencjalnych wymogów RODO, które mogą zostać naruszone na skutek używania „dark patterns” trzeba wskazać na poniższe aspekty zgodności z RODO.

Zasady przetwarzania danych określone w art. 5 ust. 1 RODO.

Niewątpliwie stosowanie „dark patterns” może być uznane za praktykę godzącą w podstawowe zasady określone w art. 5 ust. 1 RODO, przede wszystkim zasadę zgodności z prawem, rzetelności i przejrzystości. Nie można także zapominać, że dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu) oraz adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych). W przypadku stosowania różnych typów „dark patterns” istnieje duże ryzyko, że wspomniane zasady zostaną naruszone. Europejska Rada Ochrony Danych w wytycznych dotyczących „dark patterns” podkreśla znaczenie zasady rzetelności („fairness”), wskazując, że wszystkie „ciemne wzory” nie byłyby zgodne z tą zasadą niezależnie od przestrzegania innych zasad ochrony danych. Zasada ta jest nadrzędna i wymaga, by dane osobowe nie były przetwarzane w sposób szkodliwy, dyskryminujący, nieoczekiwany lub wprowadzający w błąd osobę, której dane dotyczą.

Warunki wyrażenia zgody (art. 7 RODO).

Zastosowanie interfejsu nakierowanego na wymuszenie zgody w rozumieniu RODO poprzez jego nietransparentną formę, niepozostawiającą użytkownikowi dobrowolności w zakresie wyrażenia zgody prowadzić będzie wprost do naruszenia art. 7 RODO i opisanych w nim warunków wyrażenia zgody. Często bowiem, tego typu „zwodnicze” interfejsy są stosowane, by właśnie pozyskać zgodę użytkownika na określone przetwarzanie przy braku jego świadomości na co się godzi i braku spełnienia przesłanki dobrowolności.

Zasada przejrzystości (art. 12 RODO).

Istotna w kontekście stosowania „ciemnych wzorców” jest zasada przejrzystości szczegółowo opisana w art. 12 ust. 1 RODO. W szczególności zgodnie z tą zasadą wymagane jest, by informacje lub komunikacja były dostarczane podmiotom danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Należy używać jasnego i prostego języka i ów wymóg ma szczególne znaczenie, jeżeli informacje są kierowane do dziecka. Nie należy zapominać, że jakość, dostępność i zrozumiałość informacji jest tak samo ważna jak rzeczywista jej treść dostarczana osobom, których dane dotyczą[3].

Z samego więc założenia rozwiązania typu „dark patterns” naruszają wskazaną regulację, ponieważ ich stosowanie właśnie zmierza do zaciemnienia przekazu, wprowadzenia w błąd użytkownika tak, aby podjął działanie, którego w normalnych warunków nie podjąłby.

Zasada rozliczalności (art. 5 ust.2 RODO).

Nie można zapomnieć także o zasadzie rozliczalności, która powinna być realizowana w mediach społecznościowych za pomocą wprowadzonych na stronach internetowych rozwiązań graficznych i narzędzi. Projektowane interfejsy powinny służyć jako dowody realizacji obowiązków nałożonych przez RODO na administratora. Przykładowo, interfejs użytkownika i ścieżka użytkownika mogą być używane jako narzędzie dokumentacji służące wykazaniu, że użytkownicy, podczas swoich aktywności na platformie mediów społecznościowych zapoznali się i brali pod uwagę ochronę danych osobowych i z łatwością mogli skorzystać ze swoich praw. Innym przykładem realizacji zasady rozliczalności jest zaprojektowany panel do wyrażenia zgody na przetwarzanie danych osobowych, który pozwala na wykazanie prawidłowego, dobrowolnego i świadomego wyrażenia zgody przez podmiot danych.

Privacy by design i privacy by default (art. 25 RODO).

Trzeba też wspomnieć o uwzględnianiu zasady privacy by design (ochrona danych w fazie projektowania) oraz zasady privacy by default (domyślnej ochrony danych) na etapie konstruowania rozmaitych interfejsów. Administrator powinien wybrać i odpowiadać za wdrożenie domyślnych ustawień ochrony danych i opcji w taki sposób, aby jedynie przetwarzanie, które jest ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu, było realizowane domyślnie. W takim przypadku administratorzy muszą polegać na swojej ocenie konieczności (niezbędności) przetwarzania w odniesieniu do podstaw prawnych art. 6 ust. 1 RODO. Oznacza to, że domyślnie administrator danych nie gromadzi większej liczby danych niż jest to niezbędne. Projektując rozwiązania w szczególności powinien zadbać o realizację wszystkich zasad określonych w RODO. Przykładowo, kluczowe elementy uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych w stosunku do zasady przejrzystości mogą obejmować:

Jasność – informacje są podawane jasnym i prostym językiem, są zwięzłe i zrozumiałe.
Semantykę – komunikacja ma jasne znaczenie dla danej grupy odbiorców;.
Dostępność – informacje są łatwo dostępne dla osoby, której dane dotyczą.
Kontekst – informacje są przekazywane w odpowiednim czasie i w odpowiedniej formie.
Zrozumiałość – osoby, których dane dotyczą, muszą dokładnie rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, szczególnie w przypadku, gdy osobami, których dane dotyczą, są dzieci lub członkowie innych grup szczególnie wrażliwych.
Warstwowość – informacje powinny być ułożone warstwowo w sposób, który rozwiązuje problem napięcia między kompletnością a zrozumieniem, przy jednoczesnym uwzględnieniu uzasadnionych oczekiwań osób, których dane dotyczą. [4]

Dobre praktyki

Warto nadmienić dobre praktyki pozwalające na unikanie stosowania „dark patterns”, na które wskazuje EROD we wspomnianych w artykule wytycznych. Są to przykładowo następujące mechanizmy:

W polityce prywatności dla każdej informacji o ochronie danych osobowych należy podać linki, które bezpośrednio przekierowują do stron poświęconych ochronie danych osobowych na platformie społecznościowej.
Gdy platforma mediów społecznościowych jest dostępna za pośrednictwem różnych urządzeń (np. komputer, smartfony itp.), ustawienia i informacje związane z ochroną danych powinny być zlokalizowane w tych samych przestrzeniach w różnych wersjach i powinny być dostępne za pośrednictwem tych samych elementów interfejsu (menu, ikony itp.).
Sformułowania i definicje użyte w polityce prywatności powinny być spójne z tymi zastosowanymi w pozostałych miejscach na stronie internetowej.

Podsumowując, praktyka stosowania „ciemnych wzorców” prowadzi do naruszenia obowiązujących przepisów o ochronie danych osobowych. Pamiętajmy, że naruszenie zasad RODO, w tym warunków wyrażenia zgody może stanowić podstawę nałożenia przez organ nadzorczy kar pieniężnych. Z sankcjami może również spotkać się nieuwzględnienie w ramach prowadzonych działań zasady privacy by design oraz privacy by default. Twórcy interfejsów, projektując rozwiązania dla użytkowników sieci powinni zatem brać pod uwagę kontekst ochrony danych. Pomocne w unikaniu błędów w ramach projektowanych interfejsów mogą być właśnie wskazówki EROD, które szczegółowo zarysowują otoczenie prawne dla praktyk „dark patterns” oraz wskazują na przykładowy zestaw dobrych praktyk.

[1] https://edpb.europa.eu/

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] Wytyczne Grupy Roboczej art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01

[4] Wytyczne EROD nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Wersja 2.0 przyjęte 20 października 2020 r.

Autor

Alicja Pomorska

Radca prawny z kilkuletnim doświadczeniem w obsłudze prawnej, w szczególności podmiotów z sektora farmaceutycznego. Posiada doświadczenie zawodowe w obszarze ochrony danych osobowych, które zdobywała w ramach współpracy z kancelariami prawnymi oraz jako prawnik wewnętrzny spółek.

Z tej samej kategorii

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>