Aktualności

Ciemne wzorce, czyli jak przestrzegać RODO projektując UI i UX

Wytyczne EROD dot. ciemnych wzorców mają duży potencjał wpływu na user interface i – szerzej – user experience nie tylko na platformach mediów społecznościowych. Choć nie mają charakteru wiążącego, jednak trudno przecenić ich wpływ na praktykę, jako że to właśnie zrzeszone w ramach EROD organy nadzorcze z krajów członkowskich odpowiedzialne są za nakładanie sankcji, jeśli stosowane wzorce naruszają przepisy RODO. Choć omówione w Wytycznych praktyki dotyczą mediów społecznościowych, rekomendacje i wskazówki będą z pewnością miały wpływ na cały sektor handlu internetowego.

W marcu bieżącego roku Europejska Rada Ochrony Danych opublikowała wytyczne nr 3/2022 nt. rozpoznawania i unikania tzw. ciemnych wzorców w interfejsie użytkownika w mediach społecznościowych (Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them).

Ten dokument jest niezwykle ważny z kilku powodów.

Po pierwsze: organ, który opracował Wytyczne ma najważniejszy głos w praktyce stosowania przepisów RODO w całej Unii. EROD składa się z przedstawicieli krajowych organów ochrony danych (krajowych organów nadzorczych) oraz Europejskiego Inspektora Ochrony Danych (EIOD). Choć wytyczne mają charakter rekomendacji i nie są wiążące, trudno wyobrazić sobie zignorowanie tego, co jest w nich zapisane – to właśnie członkowie zrzeszeni w Radzie kontrolują stosowanie przepisów w państwach członkowskich. Przekonanie zatem krajowego organu nadzoru do interpretacji przeciwnej niż ta wynikająca z Wytycznych jest zatem możliwe, ale bardzo mało prawdopodobne.

Po drugie: wytyczne są bardzo praktyczne, zwykle są szeroko umotywowane i zawierają przykłady występujące często w rzeczywistości. RODO jako akt na lata miał być w zamyśle neutralny technologicznie, więc jego przepisy często operują takimi pojęciami jak „adekwatne”, „odpowiednie”, „zgodnie ze stanem wiedzy” etc. Również definicje użyte w Rozporządzeniu mogą czasem budzić wątpliwości. W wytycznych możemy nie tylko znaleźć kompleksowe omówienie tematu od strony aktualnej praktyki, ale także jak te ogólne pojęcia można rozumieć w oparciu o faktycznie występujące sytuacje. Kto wie, może wśród podanych przykładów odnajdziemy odpowiedź, co zrobić w sprawie, która od dawna spędza nam sen z powiek?

Po trzecie: choć Wytyczne dotyczą platform mediów społecznościowych, to zastosowanie mogą znaleźć wszędzie tam, gdzie podmiot danych korzysta z platformy administratora (lub – rzadziej – podmiotu przetwarzającego) przy zarządzaniu ustawieniami prywatności lub wykonywaniu swoich praw. Dotyczy to zatem przede wszystkim całego sektora e-commerce, ale nie tylko – Wytyczne powinny być brane pod uwagę przy projektowaniu UX i UI stron sklepów internetowych, na stronach, gdzie funkcjonuje newsletter, gdzie użytkownicy zakładają konta, podają swoje dane etc. Posiłkować się treścią wytycznych można zawsze wtedy, gdy projektuje się strony internetowe według zasad privacy by design i privacy by default.

Wytyczne kierowane są do projektantów i użytkowników mediów społecznościowych i służą pokazaniu na konkretnych przykładach niektórych praktyk i rozwiązań mogących stać w sprzeczności z przepisami RODO. Ciemne wzorce to te elementy interfejsu i doświadczeń użytkownika platformy internetowej, np. mediów społecznościowych, które prowadzą do podejmowania przez użytkownika niezamierzonych lub nieświadomych i potencjalnie szkodliwych decyzji dotyczących przetwarzania jego danych osobowych. Ciemne wzorce mają na celu wpływ na zachowanie użytkowników i mogą utrudniać im skuteczną ochronę danych osobowych i dokonywanie świadomych wyborów, podczas gdy z formalnego punktu widzenia mogą wydawać się zgodne z RODO.

Wytyczne dzielą wzorce na następujące kategorie:

Przeciążenie (Overloading) – użytkownicy są zasypywani ilością żądań, informacji, opcji lub możliwości w celu skłonienia ich do udostępnienia większej ilości danych lub niezamierzonej zgody na przetwarzanie danych osobowych wbrew oczekiwaniom podmiotu danych.

Do tej kategorii należą: Ciągłe nakłanianie (Continuous prompting), Labirynt prywatności (Privacy Maze) i Zbyt wiele opcji (Too many options)

Pomijanie (Skipping) – projektowanie interfejsu lub doświadczeń użytkownika w taki sposób, że zapomina on lub nie zastanawia się nad wszystkimi lub niektórymi aspektami ochrony danych.

Do tej kategorii należą: Zwodnicza przytulność (Deceptive snugness)Popatrz tam (Look over there)

Mieszanie (Stirring) wpływa na wybór, jakiego dokonają użytkownicy, odwołując się do ich emocji lub wykorzystując bodźce wizualne.

Do tej kategorii należą: Emocjonalne nakierowanie (Emotional steering)Ukryte w widocznym miejscu (Hidden in plain sight)

Utrudnianie (Hindering) - przeszkadzanie lub blokowanie użytkowników w procesie zdobywania informacji lub zarządzania swoimi danymi poprzez utrudnianie lub uniemożliwianie wykonania danej czynności.

Do tej kategorii należą: Ślepy zaułek (Dead end), Dłużej niż to konieczne (Longer than necessary) i Wprowadzające w błąd informacje (Misleading information).

Fickle - projekt interfejsu jest niespójny i niejasny, co utrudnia użytkownikowi poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu ich przetwarzania.

Do tej kategorii należą: Brak hierarchii (Lacking hierarchy) i Dekontekstualizacja (Decontextualising)

Pozostawienie w ciemności (Left in the dark) - interfejs został zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych albo pozostawić użytkowników w niepewności co do tego, jak przetwarzane są ich dane i jaki rodzaj kontroli im przysługuje w związku z wykonywaniem swoich praw.

Do tej kategorii należą: Brak ciągłości językowej (Language discontinuity), Sprzeczne informacje (Conflicting information) i Niejednoznaczne sformułowania lub informacje (Ambiguous wording or information).

Forma i język to ważne elementy user interface.

Gdy przyjrzymy się z bliska wymienionym wzorcom zauważymy, że wiele z nich stoi w sprzeczności z obowiązkiem wynikającym z przepisu art. 12 ust. 1 RODO, tj. porozumiewaniem się administratora z podmiotem danych „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. 

Pełny tekst Wytycznych w języku angielskim dostępny jest pod adresem: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en. Checklista wzorców znajduje się w załączniku.

Opublikowany tekst wytycznych jest wersją pierwszą, poddaną publicznym konsultacjom.

« Poprzedni