Dark patterns na platformach internetowych

Stosowanie dark patterns może prowadzić nie tylko do naruszenia przepisów o ochronie danych, ale także do naruszenia przepisów o ochronie konsumentów. Z tego względu Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) rozpoczął akcję uświadamiającą konsumentów o możliwości stosowania dark patterns przez m.in. sklepy internetowe.

14 lutego 2023 roku Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne zatytułowane „Dark Patterns in Social Media Platform Interfaces: How to recognize and avoid them”. Wytyczne te zawierają zalecenia dotyczące najlepszych praktyk dla projektantów i dostawców platform mediów społecznościowych umożliwiające ocenę i uniknięcie dark patterns i naruszeń RODO w swoich w interfejsach.

Jako przykłady dark patterns wytyczne EROD wymieniają: utrudnianie lub blokowanie użytkownikom uzyskiwania informacji lub zarządzania ich danymi poprzez utrudnianie lub uniemożliwianie wykonania danej czynności, domyślne zaznaczanie checkboxów, przeciążanie użytkowników dużą ilością żądań, informacji, opcji lub możliwości w celu skłonienia ich do udostępnienia większej ilości danych lub nieumyślnego zezwolenia na przetwarzanie danych osobowych wbrew oczekiwaniom osoby, której dane dotyczą.

Projektując interfejsy platform internetowych, należy zawsze mieć na uwadze zasady wynikające z RODO. Punktem wyjścia będzie zasada zgodności z prawem, rzetelności i przejrzystości ustanowiona w art. 5 ust. 1 lit. a) RODO. Wynika z niej bowiem, że dane osobowe nie mogą być przetwarzane w sposób szkodliwy, dyskryminujący, niespodziewany lub wprowadzający w błąd osobę, której dane dotyczą.

Wytyczne EROD zawierają również kilka przydatnych wskazówek – listę dobrych praktyk - dla dostawców i projektantów platform internetowych. Są to m.in.:

1. Umieszczanie linków do informacji lub ustawień, które mogą być praktyczną pomocą dla użytkowników w zarządzaniu ich danymi i ich ustawieniami ochrony danych.
2. Podawanie w polityce prywatności adresów kontaktowych, na które należy kierować wnioski dot. ochrony danych. Adresy kontaktowe powinny być umieszczone w sekcji, w której użytkownicy mogą spodziewać się, że je znajdą, np. w sekcji dotyczącej tożsamości administratora danych, praw podmiotu danych lub punkcie kontaktowym.
3. Jeśli na platformie tworzy się konto użytkownika, to tuż po założeniu konta należy umożliwić użytkownikom ustawienie swoich preferencji dot. danych osobowych.
4. Stosowanie powiadomień do podnoszenia świadomości użytkowników w zakresie zmian lub zagrożeń związanych z przetwarzaniem danych osobowych (np. gdy doszło do naruszenia danych). Powiadomienia te mogą być realizowane, np. poprzez wiadomości w skrzynce odbiorczej, okna pop-in, stałe banery na górze strony internetowej itp.

Chociaż wytyczne EROD nie stanowią obowiązującego prawa, są dobrą wskazówką dla dostawców platform internetowych. Ważne jest bowiem, aby organizacje wdrażały zgodne z zasadami prywatności interfejsy i projekty stron internetowych oraz przetwarzały dane zgodnie z obowiązującymi wymogami prawnymi. Tym bardziej, że jak pokazuje kontrola Komisji Europejskiej i sieci Consumer Protection Cooperation¹, w tym UOKiK, problem stosowania dark patterns jest realny. Prawie 40 proc. z 399 kontrolowanych e-sklepów różnych branż stosowało co najmniej jedną z trzech dark patterns: fałszywy liczniki czasu, zwodniczy interfejs lub ukrywanie informacji. W wyniku przeprowadzonej kontroli organy krajowe skontaktują się z odpowiednimi przedsiębiorcami w celu skorygowania ich stron internetowych i podjęcia w razie potrzeby dalszych działań zgodnie z procedurami danego kraju.

¹https://ec.europa.eu/commission/presscorner/detail/pl/ip_23_418