Deceptive design patterns – Vildleder I jeres hjemmesidebesøgende?

EDPB har nu vedtaget sin endelige vejledning om forbuddet mod brug af ”deceptive design patterns” – også kaldet vildledende designmønstre.

Vi har tidligere omtalt EDPB’s vejledning om vildledende designmønstre i denne artikel fra april 2022. På daværende tidspunkt var vejledningen dog forsat kun i høring.

Vejledningen er nu blevet vedtaget i sin endelige form, og selvom vejledningen egentlig er målrettet udbydere af sociale medier, er det nu tydeliggjort, at vejledningen også er relevant i en række andre databeskyttelsesretlige sammenhænge, herunder ved brug af samtykkeløsninger til behandling af personoplysninger om hjemmesidebesøgende.

Behandling af personoplysninger om hjemmesidebesøgende er et af Datatilsynets fokusområder for 2023, og derved også den dataansvarliges forpligtelse til som hjemmesideejer at sikre, at der ikke bruges vildledende designmønstre i strid med de databeskyttelsesretlige regler, når der behandles personoplysninger om hjemmesidebesøgende.

Hvad er vildledende designmønstre?

Der findes en række forskellige former for vildledende designmønstre. Fælles for dem er, at formålet er at påvirke den hjemmesidebesøgende, når denne skal give personoplysninger om sig selv, f.eks. i forbindelse med samtykke til brug af cookies.

Det klassiske eksempel på et vildledende designmønster er et cookie-banner, hvor der anvendes kontrastfarver, som forsøger at påvirke den hjemmesidebesøgende til at samtykke til brugen af cookies, f.eks. ved at give ”Acceptér alle”-knappen en stærk, fremtrædende farve og ”Afvis alle”-knappen en svag, nærmest gennemsigtig farve. Således bliver den hjemmesidebesøgende forsøgt påvirket til at vælge den fremtrædende knap fremfor den gennemsigtige og dermed give samtykke til brug af alle cookies.

Dette kaldes ”Hidden in plain sight”. Begrebet dækker over designs, hvor man ved brug af visuelle elementer forsøger at lokke den hjemmesidebesøgende væk fra det (rent databeskyttelsesretligt) mere fordelagtige valg og i stedet i retning af et valg med mere invasive konsekvenser i form af tracking/targeting.

Ved en sådan brug af ”Hidden in plain sight”, vil der være en risiko for, at man ikke lever op til de grundlæggende databeskyttelsesretlige principper om gennemsigtighed og rimelighed, ligesom der vil være risiko for, at det afgivne samtykke ikke lever op til kravene om et frivilligt samtykke.

Et andet kendt vildledende designmønster er brugen af humor som en slags afledningsmanøvre, f.eks. ved at bruge formuleringer som ”Hvem siger nej tak til lækre cookies?” i sit cookie-banner. Dette kaldes ”Look over there”, og begrebet dækker brugen af humor for at nedtone den potentielle risiko, som den hjemmesidebesøgende står over for, når denne giver samtykke til brug af cookies. Ved ”Look over there” forsøger man ligeledes at fjerne fokus fra den reelle information om brugen af cookies.

Hvis man bruger sådanne kreative formuleringer, skal man sørge for at sikre, at samtykket til brug af cookies fortsat er tilstrækkeligt informeret til at kunne fungere som et gyldigt samtykke, ligesom man skal være opmærksom på, at også brugen af ”Look over there” efter omstændighederne kan være i strid med de grundlæggende databeskyttelsesretlige principper om gennemsigtighed og rimelighed. 

Hvad siger Datatilsynet?

Datatilsynet har tidligere udtalt, at der generelt er stor frihed til brug af farvevalg og designelementer i cookie-bannere, så længe designet ikke ”skubber” den hjemmesidebesøgende i retningen af et valg, der fører til ulovlig behandling af personoplysninger eller undergraver den registreredes rettigheder.

Datatilsynet tillader altså en vis designmæssig frihed i både layout og skriftligt indhold af cookie-bannere, så længe dette ikke fører til ugennemsigtighed eller urimelige behandlingssituationer.

Selv med vejledningens nu mere konkrete eksempler og praktiske anbefalinger, illustrerer Datatilsynets udtalelser således, at det kan være ganske vanskeligt at vurdere, hvor grænsen helt præcist går. Det er derfor vigtigt at kende de rammer, man kan bevæge sig inden for, da disse kan være svære at gennemskue.

EY anbefaler

Det kan være en udfordring for den dataansvarlige at navigere i, om en hjemmesides design lever op til de databeskyttelsesretlige regler, eller om hjemmesiden gør brug af vildledende designmønstre i strid med de databeskyttelsesretlige regler. Man er nødt til at forholde sig meget konkret til de enkelte designs og være meget opmærksom på både valg af ordlyd, figurer, farver og øvrige designelementer.

EY anbefaler derfor, at du som dataansvarlig hjemmesideejer genbesøger din(e) hjemmeside(r) med henblik på at kortlægge de relevante behandlinger af personoplysninger for derved at sikre privacy by design og undgå at lægge ”fælder” for den hjemmesidebesøgende.

Hos EY Law finder du specialister inden for databeskyttelsesret. Vi arbejder sammen med EY Consulting, som er specialister i IT-sikkerhed. Vi kan således bistå med den fulde pallette inden for data privacy, herunder også i relation til databeskyttelse gennem design og standardindstillinger, ligesom vi kan bistå med kortlægningen af behandlingen af personoplysninger og udarbejdelse af den nødvendige samtykketekster, cookiepolitikker og privatlivspolitikker.

Hvis I ønsker en uforpligtende drøftelse af jeres nuværende set-up, herunder drøftelse af, hvorledes I bør prioritere jeres indsats og ressourcer – særligt i forhold til Datatilsynets fokusområder for 2023 – kan I med fordel række ud til os.