Zwodnicze interfejsy (dark patterns) pod lupą unijnych instytucji
O zwodniczych interfejsach (dark patterns) stosowanych w sektorze cyfrowym przez dostawców platform internetowych mówi się nie od dziś. W ostatnim czasie jest jednak o nich coraz głośniej, w szczególności za sprawą działań podejmowanych przez unijne i krajowe instytucje i organy zajmujące się ochroną danych i ochroną konsumentów1. Działania te mają przede wszystkim zwalczać zwodnicze interfejsy w środowisku cyfrowym, ale również edukować konsumentów i zwracać ich uwagę na najczęściej pojawiające się typy tych oszukańczych praktyk.
Szkodliwość, ale zarazem powszechność dark patterns zauważył również unijny prawodawca, który w obowiązującym już Akcie o usługach cyfrowych (Digital Services Act, DSA) wprost zakazał stosowania takich praktyk przez dostawców platform internetowych (art. 25 DSA)2. Stosowanie dark patterns może zatem naruszać nie tylko przepisy o ochronie danych osobowych (w szczególności RODO) i przepisy o ochronie konsumentów, ale również (od 17 lutego 2024 r.) Aktu o usługach cyfrowych.
Czym są zwodnicze interfejsy (dark patterns)?
Obecnie pojęcie „dark patterns”, które tłumaczy się jako „zwodnicze interfejsy”, nie ma definicji legalnej. Przyjmuje się, że są to praktyki w interfejsach cyfrowych zaprojektowane w taki sposób, by kierować, oszukiwać, zmuszać lub manipulować konsumentami (użytkownikami), aby dokonywali wyborów, które często nie leżą w ich najlepszym interesie3.
DSA w motywie 67 wyjaśnia z kolei podobnie, że zwodnicze interfejsy (dark patterns) na interfejsach internetowych platform internetowych to praktyki, które w istotny sposób zniekształcają lub ograniczają, celowo lub w praktyce, zdolność odbiorców usługi do dokonywania niezależnych i świadomych wyborów lub podejmowania takich decyzji. Praktyki te mogą być wykorzystywane w celu nakłonienia odbiorców usługi do niepożądanego zachowania lub do podejmowania niepożądanych decyzji, które mają dla nich negatywne skutki.
EROD w swoich Wytycznych 3/2022, które szerzej zostaną omówione poniżej, posługuje się pojęciem „deceptive design patterns” (zwodnicze wzorce projektowe)4. Za zwodnicze wzorce projektowe uważane są interfejsy i ścieżki użytkownika realizowane na platformach mediów społecznościowych, które próbują wpłynąć na użytkowników, aby podejmowali niezamierzone, niedobrowolne i potencjalnie szkodliwe dla siebie decyzje, które są często sprzeczne z interesami użytkowników, ale zgodne z interesami platform mediów społecznościowych, w zakresie przetwarzania ich danych osobowych5. Zwodnicze wzorce projektowe mają na celu wpływanie na zachowanie użytkowników i mogą utrudniać im skuteczną ochronę danych osobowych oraz dokonywanie świadomych wyborów.
Badanie Komisji Europejskiej ujawniło, że tego typu praktyki są coraz częściej stosowane przez dostawców platform internetowych (w szczególności sklepy internetowe) niezależnie od ich wielkości oraz oferowanych usług czy produktów. Zgodnie z badaniem 97% najpopularniejszych stron internetowych i aplikacji używanych przez konsumentów w UE wykorzystywało co najmniej jeden zwodniczy interfejs.
Dark patterns w badaniu Komisji Europejskiej i działaniach krajowych organów ochrony konsumentów
Pod koniec stycznia 2023 r. Komisja Europejska i krajowe organy ochrony konsumentów zrzeszone w sieci współpracy w zakresie ochrony konsumentów (m.in. Prezes UOKiK) opublikowały wyniki akcji kontrolnej stron internetowych związanych z handlem detalicznym (sklepy internetowe).
Wynika z nich, że prawie 40 proc. z 399 badanych sklepów internetowych należących do sprzedawców detalicznych oferujących produkty z różnych sektorów stosuje praktyki manipulacyjne (tzw. dark patterns), aby wykorzystać podatność konsumentów lub ich oszukać.
Kontrola wykazała, że 148 z 399 skontrolowanych sklepów internetowych stosowało jedną z trzech poniższych praktyk manipulacyjnych:
- fałszywe liczniki odmierzające czas, podające terminy zakupu konkretnych produktów, które nakłaniają i wywierają presję na klientów do zakupu produktu,
- ukrywanie istotnych informacji o produkcie lub usłudze za pomocą bardzo małej czcionki, niekontrastujących kolorów lub umieszczanie istotnych informacji w mniej widocznym miejscu (m.in. informacje dotyczące kosztów dostawy, składu produktów lub dostępności tańszej opcji),
- interfejsy internetowe zaprojektowane w taki sposób, aby skłonić konsumentów do dokonania zakupu, wykupienia abonamentu lub dokonania innego wyboru (od subskrypcji po droższe produkty lub opcje dostawy) poprzez stosowanie określonej grafiki albo używanie określonego języka/sformułowań.
Komisja Europejska zaapelowała do krajowych organów ochrony konsumentów o podjęcie odpowiednich działań w celu wyeliminowania owych praktyk.
Przegląd praktyk manipulacyjnych najczęściej występujących w środowisku internetowym i ich ocena z perspektywy prawa unijnego znajduje się w analizie Komisji Europejskiej z kwietnia 2022 r.
Deceptive design patterns (zwodnicze wzorce projektowe) w wytycznych EROD 3/2022
24 lutego 2023 r. EROD przyjęła Wytyczne 3/2022 w sprawie tzw. deceptive design patterns (zwodnicze wzorce projektowe) w interfejsach platform społecznościowych w wersji po konsultacjach publicznych[6]. Po konsultacjach publicznych pierwotne Wytyczne zostały zaktualizowane w celu odzwierciedlenia otrzymanych opinii. Między innymi zastąpiono w tytule pojęcie „dark patterns” szerszym pojęciem „deceptive design patterns”, które w ocenie EROD lepiej oddaje różnorodność pojawiających się zwodniczych praktyk7.
Wytyczne zawierają konkretne przykłady zwodniczych wzorców projektowych, ale również praktyczne zalecenia dla dostawców, projektantów i użytkowników platform społecznościowych dotyczące tego, jak unikać w interfejsach mediów społecznościowych zwodniczych wzorców projektowych (deceptive design patterns), które naruszają RODO.
Choć wytyczne odnoszą się do platform społecznościowych, to mają one znaczenie dla całego sektora cyfrowego i stanowią wskazówkę, kiedy zwodnicze interfejsy mogą naruszać RODO. Praktyki typu deceptive design pattern pojawiają się bowiem nie tylko na platformach społecznościowych, ale – jak wspomniano już powyżej – również na innych platformach, witrynach czy w aplikacjach.
Do głównych rodzajów tego typu praktyk EROD zalicza:
- Overloading (przeładowywanie/ przeciążenie treścią), czyli zasypywanie użytkowników masą próśb, informacji, opcji lub możliwości, aby skłonić ich do udostępnienia większej ilości danych lub zaakceptowania pewnych praktyk dotyczących przetwarzania i wykorzystania ich danych, wbrew ich uzasadnionym oczekiwaniom.
- Skipping (pomijanie), czyli zaprojektowanie interfejsu lub ścieżki użytkownika w taki sposób, aby użytkownik zapomniał lub nie myślał o kwestiach związanych z ochroną danych osobowych.
- Stirring (zamieszanie), czyli wpływanie na wybór użytkowników poprzez odwoływanie się do ich emocji lub używanie wizualnych zachęt.
- Obstructing (utrudnianie), czyli utrudnianie lub blokowanie użytkownikom procesu pozyskiwania informacji na temat przetwarzania ich danych lub zarządzania ich danymi poprzez utrudnianie lub uniemożliwianie wykonania określonych czynności.
- Fickle (zmienność, niespójność), czyli zaprojektowanie interfejsu w sposób niespójny i nieprzejrzysty, co utrudnia użytkownikom zrozumienie natury przetwarzania, dokonanie właściwego wyboru dotyczącego ich danych oraz poruszanie się po różnych narzędziach kontroli ochrony danych.
- Left in the dark (pozostawienie w ciemności/niewiedzy), czyli zaprojektowanie interfejsu w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawić użytkowników w niepewności co do tego, jak przetwarzane są ich dane, jakie prawa im przysługują i jaki rodzaj kontroli mogą nad nimi sprawować.
W ocenie EROD stosowanie powyższych zwodniczych wzorów projektowych może naruszać takie przepisy RODO jak:
- zasada rzetelnego i przejrzystego przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO),
- zasada przejrzystego informowania (art. 12 RODO),
- zasada rozliczalności (art. 5 ust. 2 RODO),
- zasada minimalizacji danych i ograniczenia celu (art. 5 ust. 1 lit. b i c RODO),
- wymogi dotyczące ochrony danych w fazie projektowania i domyślnej ochrony danych (art. 25 RODO),
- wymogi dotyczące zgody (art. 4 pkt 11 i art. 7 RODO),
- przepisy dotyczące korzystania z praw przez podmioty danych (w szczególności art. 21 RODO).
Wytyczne EROD zawierają również listę dobrych praktyk i konkretne zalecenia dotyczące projektowania interfejsów użytkownika ułatwiających skuteczne wdrażanie RODO.
Zakaz stosowania zwodniczych interfejsów (dark patterns) w Akcie o usługach cyfrowych
Akt o usługach cyfrowych (Digital Services Act, DSA), który będzie stosowany od 17 lutego 2024 r., wprost zakazuje stosowania zwodniczych interfejsów przez platformy internetowe (art. 25 DSA).
DSA zakazuje dostawcom platform internetowych projektowania, organizowania lub obsługiwania swoich interfejsów internetowych8 w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji (motyw 67 preambuły i art. 25 DSA).
Zgodnie z DSA do takich praktyk należą m.in.:
- projektowanie w sposób podstępny możliwości dokonywania wyborów w celu nakłonienia odbiorców usługi do działań, które przynoszą korzyści dostawcy platform internetowych, lecz które mogą nie leżeć w interesie odbiorców usługi,
- prezentowanie wyborów w sposób nieneutralny, np. poprzez wyraźniejsze eksponowanie pewnych opcji przy pomocy elementów wizualnych, dźwiękowych lub innych, kiedy odbiorca usługi jest proszony o podjęcie decyzji,
- wielokrotne zwracanie się do odbiorcy usługi o dokonanie wyboru, jeżeli takiego wyboru już dokonano,
- znacznie bardziej uciążliwą procedurę anulowania usługi niż jej wybór,
- utrudnianie dokonywania pewnych wyborów bądź też sprawianie, że ich dokonanie jest bardziej czasochłonne niż w przypadku innych wyborów,
- bezzasadne utrudnianie zaprzestania zakupów lub wypisania się z danej platformy internetowej umożliwiającej konsumentom zawieranie z przedsiębiorcami umów zawieranych na odległość,
- dezorientowanie odbiorców usługi poprzez zachęcanie ich do podejmowania decyzji dotyczących transakcji lub poprzez domyślne ustawienia, które są bardzo trudne do zmiany, a zatem powodowanie nieracjonalnej stronniczości procesu podejmowania decyzji przez usługobiorcę w sposób, który zniekształca i ogranicza jego autonomię, podejmowanie decyzji i wybór (motyw 67 preambuły DSA).
Nie jest to jednak katalog zamknięty, a Komisja Europejska może wydawać wytyczne dotyczące stosowania powyższego zakazu do konkretnych praktyk (art. 25 ust. 3 DSA), kwalifikując określone praktyki jako dark pattern.
Zakaz stosowania zwodniczych interfejsów z DSA w oczywisty sposób krzyżuje się z innymi unijnymi aktami prawnymi, w szczególności dotyczącymi ochrony danych osobowych i ochrony konsumentów. Stosowanie zwodniczych interfejsów przez platformy internetowe może bowiem naruszać również inne akty prawne, w szczególności RODO oraz dyrektywę 2005/29/WE o nieuczciwych praktykach rynkowych (w Polsce implementowaną w drodze ustawy z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym).
DSA wyjaśnia jednak, że nie ma on zastosowania do praktyk objętych dyrektywą 2005/29/WE o nieuczciwych praktykach rynkowych lub RODO (art. 25 ust. 2 DSA, motyw 67 preambuły DSA), ograniczając zakres swojego zastosowania i przyznając tym aktom pierwszeństwo stosowania.
Oznacza to, że jeżeli dana praktyka (dark pattern) dostawcy platformy internetowej narusza przepisy RODO, to jej legalność będzie oceniana przez krajowy organ nadzorczy zgodnie z wymogami RODO, a nie DSA. Przykłady takich praktyk zawarte zostały w Wytycznych 3/2022 EROD. Podobnie jeżeli dana praktyka naruszać będzie krajowe ustawy implementujące dyrektywę o nieuczciwych praktykach rynkowych, zastosowanie znajdą przepisy tych ustaw, egzekwowane przez właściwe organy ds. ochrony konsumentów.
Warto jednak wskazać, że takie ukształtowanie wzajemnych relacji między DSA a RODO i dyrektywą o nieuczciwych praktykach rynkowych tylko teoretycznie rozwiązuje problem nakładania się powyższych regulacji w praktyce. Nie zawsze bowiem uda się jednoznacznie zakwalifikować daną praktykę jako naruszającą „tylko” RODO, „tylko” dyrektywę 2005/29/WE lub „tylko” DSA. Stąd wydaje się, że równoległe stosowanie ww. aktów w sektorze cyfrowym będzie rodziło problemy jurysdykcyjne między krajowymi organami nadzorczymi, organami ochrony konsumentów i koordynatorami ds. usług cyfrowych i będzie wymagało zacieśnionej współpracy między nimi.
Prawodawca unijny wyjaśnia, że zakaz stosowania zwodniczych interfejsów nie uniemożliwia dostawcom nawiązywania bezpośredniej interakcji z odbiorcami usługi i oferowania im nowych lub dodatkowych usług. Legalne praktyki (np. reklamowe), które są zgodne z prawem unijnym, nie powinny same w sobie być uznawane za zwodnicze interfejsy.
Artykuł ukazał się pierwotnie na portalu newtech.law
Iga Małobęcka-Szwast, radca prawny, praktyka nowych technologii kancelarii Wardyński i Wspólnicy
[1] Zob. przegląd spraw i decyzji krajowych organów ochrony konsumentów, konkurencji i danych osobowych zawarty w badaniu Komisji Europejskiej: Behavioural study on unfair commercial practices in the digital environment. Dark patterns and manipulative personalisation: final report, str. 61-70.
[2] DSA obowiązuje od 16 listopada 2022 r., ale większość obowiązków w nim zawartych będzie stosowana od 17 lutego 2024 r.
[4] Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0, przyjęte 14 lutego 2023 r.
[5] Tamże, str. 3.
[6] Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0, przyjęte 14 lutego 2023 r.
[7] Wytyczne w wersji skierowanej do konsultacji publicznych nosiły nazwę „Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them”, Version 1.0, przyjęte 14 marca 2022 r.
[8] Interfejs internetowy oznacza oprogramowanie komputerowe, w tym stronę internetową lub jej część, oraz aplikacje, w tym aplikacje mobilne (art. 3 lit. m DSA).