RODO w projektowaniu stron internetowych – „dark patterns”

RODO

W kontekście przepisów dotyczących ochrony danych osobowych każdy administrator powinien przestrzegać podstawowych zasad, takich jak rzetelność, przejrzystość komunikatu, czy dobrowolność udzielonej zgody. W przypadku stron internetowych czy aplikacji wciąż jednak mamy do czynienia z pewnymi praktykami manipulacji zachowań użytkownika, które te zasady naruszają. W projektowaniu interfejsów wykorzystywane jest m.in. programowanie neurolingwistyczne, czyli NLP. Opiera się ono na założeniu związku myśli i wyrażeń językowych z konkretnymi intuicyjnymi lub wyuczonymi zachowaniami użytkownika. Może ono przy tym naruszać przepisy RODO, jeśli ma na celu pozyskanie lub przetwarzanie danych osobowych użytkownika w określonych celach.

Czym są „dark patterns”?

W odniesieniu do interfejsów i doświadczeń użytkownika internetu, „dark patterns” to zastosowanie takiej metody projektowania, aby wymusić na użytkowniku akcję lub działanie, którego jednak w istocie użytkownik nie chce. Jest to swego rodzaju oszukanie użytkownika, aby skłonić go do określonego zachowania. Jest to świadomy i celowy zabieg ze strony firmy, dzięki któremu uzyskuje ona pewne korzyści, takie jak np. zapis do newslettera, czy dodatkowy zakup.

Przykłady „dark patterns”

Wprowadzenie w błąd użytkownika często przybiera postać niejasno sformułowanych komunikatów, które w dodatku mogą posługiwać się podwójną negacją. Konfuzję użytkownika wzbudzają również treści, których znaczenie zależy np. wyłącznie od właściwego umiejscowienia przecinka w zdaniu, np. z jednej strony „Nie, chcę zamówić”, a z drugiej strony „Nie chcę zamówić”. Pożądane akcje mogą być również sugerowane wielkością i kolorystyką, np. przycisk „Tak, zamawiam” jest odpowiednio większy i kolorowy, a „Nie, dziękuję” mniejszy i szary. Zdarzają się również oszukańcze reklamy, które na pierwszy rzut oka wydają się przyciskiem pożądanym, np. „Pobierz”. Po kliknięciu w niego użytkownikowi wyświetlana jest reklama, bo w rzeczywistości pobieranie umożliwiał zupełnie inny przycisk, mniejszy i niewyróżniający się, bądź w ogóle sprowadzający się do małego symbolu pobierania. Dark patternem jest również automatyczne dodawanie do koszyka zakupowego w sklepie internetowym produktów powiązanych z produktem, który użytkownik chce kupić. W efekcie, jeżeli użytkownik nie przyjrzy się dokładnie zamówieniu, może przypadkowo dokonać zakupu większej ilości rzeczy niż zamierzana. Coraz bardziej popularnym działaniem jest również tzw. „confirmshaming”, który opiera się na wywołaniu u użytkownika określonej reakcji emocjonalnej, najczęściej poczucia winy, i powiązaniu jej z zamierzonym działaniem użytkownika. Przykładowo, przy zamawianiu np. kociej karmy, mamy do wyboru opcje „Tak, zamawiam” albo „Rezygnuję, nie chcę dbać o zdrowie mojego kota”. Stosowane są również mechanizmy, które mają utrudnić użytkownikowi niepożądaną akcję, jak np. wypisanie się z newslettera, poprzez ukrywanie opcji umożliwiającej wypisanie w labiryncie przekierowań albo wymuszających więcej działań niż jest to konieczne.

„Dark patterns” a zasady przetwarzania danych osobowych

Wejście w życie RODO nieco ograniczyło stosowanie „dark patterns”, jednak nie wyeliminowało procederu w sposób całkowity. Największe znaczenie ma przy tym art. 5 ust. 1 lit. a) rozporządzenia, który formułuje zasadę przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Kluczowa jest właśnie zasada przejrzystości opisana w art. 12 ust. 1 RODO. Informacje mają być podawane w przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Niemniej ważną regulacją jest ta, dotycząca zgody, określona w art. 7 RODO. Zgodnie z tym przepisem, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie. Cofnięcie zgody musi być w dodatku tak łatwe, jak jej wyrażenie.

RODO w kontekście „dark patterns”

Na wielu stronach internertowych istnieją mechanizmy, które mają na celu zebranie danych, które z punktu widzenia dokonywanej przez użytkownika czynności (np. zakup dostępu do treści), nie są niezbędne do realizacji celu. Mamy wówczas do czynienia z nadmiarowym zbieraniem celu i naruszeniem zasady celowości i minimalizacji. Innego rodzaju praktyki mogą z kolei skłaniać użytkownika do podania swoich danych w celu otrzymywania treści marketingowych, lub utrudniać użytkownikowi rezygnację z usługi bądź cofnięcie zgody na przetwarzanie. Koronnym przykładem „dark patternu” jest domyślnie zaznaczony checkbox zgody na przetwarzanie danych osobowych lub najwyższy wariant zakupywanej usługi.

Wytyczne EROD w sprawie „dark patterns”

Aby jeszcze bardziej ukrócić proceder stosowania „dark patterns”, Europejska Rada Ochrony Danych opracowała wytyczne w tym zakresie: Wytyczne nr 03/2022 2022 w sprawie tzw. „dark patterns” w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać. Do 2 maja 2022 r. trwały publiczne konsultacje nad projektem. Treść wytycznych przekazanych do konsultacji jest dostępna tutaj: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf