Dark patterns to inaczej ciemne wzorce, które projektanci interfejsów na platformach internetowych lub w aplikacjach mobilnych wykorzystują w celu skłonienia użytkowników do podjęcia określonych zachowań korzystnych z punktu widzenia tych platform lub aplikacji np. do zaakceptowania domyślnego, z reguły jak najszerszego zakresu przetwarzania danych osobowych lub nierezygnowania z zamówionej wcześniej subskrypcji.
W praktyce dark patterns najczęściej spotkać można w pop-upach i banerach dotyczących przetwarzania danych osobowych np. w postaci świadomego wyróżnienia kolorystycznego przycisku, za pomocą którego wyrażana jest zgoda na umieszczenie na urządzeniu wszystkich plików cookies (w tym plików służących do śledzenia aktywności internetowej), podczas gdy przycisk służący do akceptacji jedynie niezbędnych plików cookies pozostaje znacznie mniej widoczny. Innym przykładem może być manipulowanie widocznością linku do rezygnacji z subskrypcji newsletteru lub ukrywanie opcji usunięcia konta w nieintuicyjnej dla przeciętnego użytkownika zakładce na stronie internetowej.
Rodzaje dark patterns
Techniki wykorzystywane przy konstruowaniu dark patterns są różnorodne. Tytułem przykładu można wyróżnić w tym miejscu:
przeciążenie użytkownika poprzez nieustanne ponawianie komunikatów i żądań lub oferowanie zbyt dużej ilości opcji,
pomijanie istotnych informacji np. poprzez rozpraszanie uwagi użytkowników innymi nieistotnymi informacjami i linkami,
różnicowanie widoczności poszczególnych informacji i linków np. poprzez zmianę koloru czy wielkości czcionki,
domyślne zaznaczanie checkboxów.
Dark patterns – czy są zgodne z prawem?
W związku z faktem, że dark patterns mogą przybierać różne formy, to trudno zakazać ich stosowania na poziomie ogólnym. Niemniej jednak nie oznacza to, że dark patterns w konkretnych sytuacjach nie mogą spotkać się z reakcją organów odpowiedzialnych za ochronę danych osobowych oraz ochronę konsumentów.
W przypadku interfejsów powiązanych z przetwarzaniem danych osobowych użytkowników np. banerami, za pomocą których użytkownicy mogą ustawić swoje preferencje dotyczące ochrony danych osobowych, należy zwrócić uwagę czy stosowane w ramach takich interfejsów praktyki nie naruszają ogólnego rozporządzenia o ochronie danych. 1
Dark patterns zawierające niewystarczające lub wprowadzające w błąd informacje na temat przetwarzania danych osobowych mogą być zakwalifikowane jako niezgodne z zasadą rzetelnego i przejrzystego przetwarzania określoną w art. 5 ust. 1 lit. a RODO.
Zgodnie z art. 25 RODO, administrator danych powinien uwzględniać ochronę danych już w fazie projektowania, a więc również w trakcie tworzenia interfejsów. Dodatkowo, zgodnie z art. 12 RODO, administrator danych powinien podjąć odpowiednie środki, aby zrealizować obowiązek informacyjny wobec osoby, której dane dotyczą w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Obowiązek ten zgodnie z motywem 39 RODO wszelkich informacji i komunikatów związanych z przetwarzaniem danych osobowych. Poprzez wprowadzanie do interfejsów dark patterns, administrator może dopuszczać się naruszenia tych obowiązków.
W konkretnych przypadkach zastosowane dark patterns mogą doprowadzić nawet do uznania, że wyrażona przez użytkownika pod wpływem sugestii zgoda nie spełniała kryteriów zgody z art. 4 ust. 11 RODO, a więc nie jest dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem przyzwolenia na przetwarzanie danych osobowych.
Warto nadmienić, że krajowe organy ochrony danych osobowych coraz częściej monitorują problematykę dark patterns. Karę finansową związaną z utrudnianiem użytkownikom dostępu do informacji i rezygnacji z przetwarzania danych w celu personalizacji reklam nałożył w 2019 r. na Google francuski organ ochrony danych osobowych CNIL. Uznał on bowiem, że informacje o przetwarzaniu danych w celu dostarczania reklam spersonalizowanych są nadmiernie rozproszone, a sama zgoda użytkowników na przetwarzanie danych w tym celu nie była wystarczająco świadoma. W marcu 2022 r. projekt wytycznych dotyczących dark patterns w internetowych interfejsach platform społecznościowych przedstawiła także Europejska Rada Ochrony Danych.
Dark patterns mogą naruszać także przepisy ustawy z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym. Mogą one stanowić nieuczciwą praktykę rynkową polegającą na działaniu (bądź zaniechaniu) wprowadzającym konsumenta w błąd, o ile mogą one powodować podjęcie przez przeciętnego konsumenta decyzji dotyczącej transakcji, której inaczej by nie podjął. Nie tylko bowiem treści przekazywanych informacji, ale także sposób ich prezentacji mogą mieć znaczący wpływ na działania podejmowane przez konsumentów.
Aby ustrzec się dark patterns przy projektowaniu interfejsów warto przestrzegać dobrych praktyk m.in.: używać spójnych i prostych sformułowań, wyjaśniać użytkownikom konsekwencje podejmowanych przez nich działań np. poprzez przykłady, a także zachowywać równowagę pomiędzy przekazywaną treścią a ich zrozumiałą prezentacją.
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
Anna Nowak, aplikantka radcowska, Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k.
