Dnia 14 marca 2022 r. Europejska Rada Ochrony Danych (EROD) opublikowała wytyczne w sprawie tzw. dark patterns w mediach społecznościowych (wytyczne nr 3/2022, v. 1.0, do konsultacji publicznych). Jest to ciekawy dokument, którego lektura z pewnością pomoże w projektowaniu serwisów internetowych i aplikacji mobilnych zgodnie z RODO. Co ważne, wbrew tytułowi wytycznych, ma on znaczenie nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter.
Zanim powiem trochę więcej o samych wytycznych, kilka słów o tym, czym są wspomniane dark patterns. Otóż, dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter. Innymi słowy, chodzi o pewne mechanizmy, obejmujące zarówno same treści jak i sposoby ich prezentowania, które naruszają zasady wynikające z RODO, choć mają stwarzać pozory zgodności.
“Dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter.”
Wytyczne podchodzą do problemu dark patterns z perspektywy cyklu życia konta użytkownika serwisu, czyli omawiają przykłady występowania takich niepożądanych mechanizmów w ramach poszczególnych etapów interakcji użytkownika z serwisem. Chodzi tutaj o (i) otwieranie konta w serwisie, (ii) zarządzanie ochroną prywatności w ramach korzystania z serwisu, (iii) korzystanie z praw przyznanych RODO oraz (iv) likwidację konta. Przyjęcie takiej systematyki pozwala lepiej zobrazować pojawiające się problemy. Nie oznacza ono oczywiście jednak, że na każdym etapie występują inne dark patterns. Wręcz przeciwnie, ponieważ dark patterns to pewne uniwersalne mechanizmy, mogą one być stosowane w ramach różnych etapów interakcji użytkownika z serwisem.
W dużym skrócie i uproszczeniu dark patterns można podzielić na następujące kategorie (wszystkie poniższe terminy to moje wolne tłumaczenia angielskich zwrotów):
1. Przeładowywanie (Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli oryginalnie by sobie tego życzył. W tej kategorii mieszą się:
– Ciągłe namawanie (Continuous prompting), czyli wielokrotne proszenie o dodatkowe dane, zgody, itp., często połączone ze wskazywaniem argumentów, dlaczego użytkownik powinien to zrobić. Przykładowo, serwis przy każdym logowaniu prosi o podanie numeru telefonu lub daty urodzenia użytkownika, których podanie w ramach procesu tworzenia konta było opcjonalne, a użytkownik się na to nie zdecydował.
– Labirynt prywatności (Privacy maze), czyli takie zaprojektowanie polityki prywatności lub interfejsu serwisu, które zakłada wiele warstw, zakładek, podstron, itp. (zwłaszcza, jeśli nie ma centralnego spisu treści, a całość tych elementów nie jest odpowiednio zlinkowana), przez co uzyskanie przez użytkowników informacji dotyczących przetwarzania ich danych lub korzystanie z ich praw w tym zakresie wygląda niczym przedzieranie się przez labirynt. Ten mechanizm może być szczególnie niekorzystny w przypadku, gdy korzystanie z danego serwisu może odbywać się z wykorzystaniem wielu urządzeń czy nawet kilku różnych aplikacji (np. odrębna aplikacja główna i aplikacja komunikatora dla danej platformy).
– Zbyt wiele opcji (Too many options), czyli sytuacja, kiedy interfejs serwisu jest zaprojektowany w sposób nieprzejrzysty. Przykładowo, kiedy zamiast jednego miejsca, w którym zebrane są ustawienia prywatności, mamy kilka odrębnych zakładek: „bezpieczeństwo”, „ochrona danych”, „treści”, „prywatność”, „udostępnianie”, „preferencje”. Jest wówczas prawdopodobieństwo, że użytkownicy będą się czuć przytłoczeni wyborem i albo w ogóle nie podejmą działań albo mogą przeoczyć pewne ważne opcje.
2. Opuszczanie (Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych. W tej kategorii mieszczą się:
– Oszukańcza wygoda (Deceptive snugness), czyli sytuacje, kiedy ustawienia mniej przyjazne prywatności są ustawieniami standardowymi (predefiniowanymi) w danym serwisie, co powoduje, że to użytkownik musi wykazać się inicjatywą, aby je zmienić.
– Popatrz tam (Look over there), czyli sytuacje, kiedy serwis jest zaprojektowany w taki sposób, że informacje czy ustawienia ważne z punktu widzenia prywatności konkurują w danym momencie o uwagę użytkownika z innymi elementami tego serwisu. Innymi słowy, kiedy próbuje się odwrócić uwagę użytkownika od prywatności, stosując narzędzia wizualne, humor, itp.
3. Zamieszanie (Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych. W tej kategorii mieszczą się:
– Sterowanie emocjonalne (Emotional steering), czyli takie dobieranie treści serwowanych użytkownikowi i sposobu ich prezentacji, które powoduje przekazanie użytkownikowi albo bardzo pozytywnego ładunku emocjonalnego (wywołującego dobre samopoczucie) albo też ładunku wysoce negatywnego (sprawiającego, że czuje się zaniepokojony lub zawstydzony), a przez to wywieranie wpływu na podejmowane decyzje co do przetwarzania danych. Przykładowo, może tutaj chodzić o wywoływanie poczucia, że udostępnianie pewnych danych jest normą społeczną, ergo – że brak ich udostępnienia to coś, czego należy się wstydzić. W tym kontekście mieści się też wywoływanie poczucia, że podjęcie działań przez użytkownika powinno nastąpić natychmiast, tu i teraz.
– Ukryte w widocznym miejscu (Hidden in plain sight), czyli takie przedstawianie pewnych opcji czy ustawień przyjaznych prywatności, aby użytkownik mógł łatwo je przeoczyć. Przykładowo, stosowanie mniejszych bądź mniej kontrastowych czcionek w porównaniu do pozostałych elementów danej witryny, zwłaszcza, jeśli w tej witrynie wyświetlane są jednocześnie elementy wizualne, mające skupić uwagę użytkownika.
4. Przeszkadzanie (Hindering), czyli przeszkadzanie użytkownikom lub blokowanie im możliwości uzyskania odpowiednich informacji lub zarządzania danymi poprzez utrudnianie lub uniemożliwianie takich czynności. W tej kategorii mieszczą się:
– Ślepy zaułek (Dead end), czyli brak możliwości uzyskania przez użytkownika informacji lub podjęcia przez niego działania, na którym mu zależy, spowodowany brakiem odpowiednich linków czy też faktem, że dostępne linki nie działają. Może tu też chodzić o przypadek, kiedy użytkownik nie może zlokalizować w serwisie opcji/narzędzi dotyczących prywatności, do których powinien mieć zapewniony dostęp.
– Dłużej niż to konieczne (Longer than necessary), czyli utrudnianie użytkownikom skorzystania z narzędzi kontroli prywatności, w szczególności poprzez zaprojektowanie interfejsów w taki sposób, że aby wybrać opcję lepiej chroniącą prywatność użytkownik musi włożyć więcej wysiłku niż w przypadku opcji mniej restrykcyjnej. Powyższe może wiązać się przykładowo z wprowadzeniem mechanizmu pop-up’ów, które wymuszają potwierdzenie podjętej przez użytkownika decyzji ograniczającej zakres przetwarzania danych przez serwis, w sytuacji, gdy takie pop-up’y nie występują w przypadku, gdy użytkownik zezwala na przetwarzanie jego danych w szerokim zakresie.
– Wprowadzające w błąd informacje (Misleading information), czyli sytuacje, kiedy serwis wprowadza użytkowników w błąd co do pewnych informacji lub funkcjonalności. Przykładowo, serwis prezentuje nam możliwość podejrzenia, dlaczego serwowana jest konkretna reklama (kryteria targetowania), wskazując link, gdzie można wycofać zgodę na personalizację reklam. Niemniej, link ten nie kieruje do właściwych ustawień, a na zupełnie inną witrynę, gdzie zawarte są ogólne informacje, czym jest zgoda na przetwarzanie danych i w jaki sposób można nią zarządzać.
5. Niepewność (Fickle), czyli brak spójności i klarowności, jeśli chodzi o design interfejsu, co powoduje, że użytkownikowi trudno jest korzystać z narzędzi kontroli prywatności dostępnych w ramach danego serwisu, jak również zrozumieć cele przetwarzania danych. W tej kategorii mieszczą się:
– Brak hierarchii (Lacking hierarchy), czyli zaprojektowanie serwisu w sposób, który powoduje, że użytkownik nie może znaleźć potrzebnych informacji czy ustawień w miejscu, gdzie mógłby tego oczekiwać. Przykładem może być takie skonstruowanie polityki prywatności, że informacje o prawach użytkownika są rozrzucone po całym dokumencie, przez co trudno je zlokalizować. Może także chodzić o brak panelu nawigacyjnego dla obszernych dokumentów.
– Brak kontekstu (Decontextualising), czyli zamieszczanie informacji lub ustawień dotyczących prywatności w miejscu, gdzie użytkownik raczej nie będzie ich szukał, a więc w nieintuicyjny sposób.
6. Pozostawienie w ciemności (Left in the dark), czyli zaprojektowanie interfejsu w taki sposób, aby ukryć informacje lub narzędzia kontroli prywatności lub też by wywołać niepewność u użytkowników co do tego, jak ich dane są przetwarzane i jakie prawa przysługują im w zakresie przetwarzania danych. W tej kategorii mieszczą się:
– Brak spójności językowej (Language discontinuity), czyli sytuacje, kiedy informacje czy ustawienia dotyczące prywatności nie są prezentowane w języku zrozumiałym dla użytkownika, mimo, że serwis jako taki jest w tym języku dostępny. Może tutaj ponadto chodzić o sytuacje, kiedy mimo wyboru danego języka w menu, wybór ten jest resetowany do języka domyślnego w sytuacji, gdy użytkownik próbuje wejść do tej części serwisu, w której zawarte są informacje lub ustawienia prywatności.
– Sprzeczność informacji (Conflicting information), czyli sytuacje, gdy w różnych miejscach serwisu (a czasami nawet na tej samej jego podstronie) zawarte są rozbieżne informacje dotyczące kwestii związanych z prywatnością i zarządzaniem nią.
– Wieloznaczność językowa (Ambiguous wording), czyli stosowanie ogólnych, wieloznacznych zwrotów, które powodują, że użytkownikowi trudno jest ustalić, jak w rzeczywistości będą przetwarzane jego dane oraz jak może sprawować nad tym procesem kontrolę.
Aby zrozumieć, jak dark patterns są stosowane w praktyce i w jaki sposób naruszają zasady wynikające z RODO, należy sięgnąć do treści wytycznych, w tym do przedstawionych tam use case’ów. Niemniej, w tym miejscu warto wspomnieć, iż najczęściej chodzić będzie o naruszenia zasady rzetelności (uczciwości) przetwarzania, zasady przejrzystości, w tym w zakresie obowiązków informacyjnych, reguł dotyczących uzyskiwania ważnych zgód na przetwarzanie, jak również zasad privacy-by-design i privacy-by-default.