Deceptive (dark) patterns na radarze unijnych i krajowych instytucji – jakich technik unikać działając w Internecie?

Stosowanie praktyk manipulujących jako naruszenie praw konsumenta

Komisja Europejska przeprowadziła akcję kontrolną, w której wezwała krajowe organy ochrony konkurencji i konsumentów, aby podjęły odpowiednie działania w celu wyeliminowania nieuczciwych praktyk deceptive patterns. Z tego względu w najbliższym czasie należy spodziewać się wzmożonej aktywności Prezesa UOKiK, w tym wystąpień miękkich kierowanych do przedsiębiorców lub postępowań związanych z dostrzeżonymi praktykami deceptive patterns. Takie postępowania były już i są obecnie prowadzone.[3]

Dodatkowo, w lutym tego roku Prezes UOKiK rozpoczął akcję uświadamiającą konsumentów o możliwości stosowania praktyk deceptive patterns w aplikacjach i na stronach internetowych na przykład przez sklepy internetowe. Akcja zmierzała do przypomnienia konsumentom o konieczności zachowania ostrożności przy poruszaniu się w Internecie. Jednocześnie w ramach akcji Prezes UOKiK przypomniał konsumentom o możliwości skorzystania z pomocy w przypadku oszustwa.

Powyższe świadczy o tym, że prawa konsumenta w Internecie zyskują na wadze, a techniki manipulacyjne stosowane przez przedsiębiorców znajdą się pod lupą właściwych organów.

Sankcjonowanie stosowania technik manipulacyjnych jest możliwe na gruncie już obowiązujących przepisów, choć nie wprost. Najczęściej praktyki manipulacyjne polegają na przekazywaniu konsumentom informacji w sposób, który może wprowadzić ich w błąd i tym samym wpływać na podejmowane decyzje. Tym samym mogą one zostać zakwalifikowane do nieuczciwych praktyk rynkowych naruszających zbiorowe interesy konsumentów. Stwierdzenie przez Prezesa UOKiK stosowania takiej praktyki, może wiązać się z nałożeniem na przedsiębiorcę kary pieniężnej w wysokości do 10% obrotu.  

Stosowanie technik manipulacyjnych wobec konsumentów może skutkować nie tylko odpowiedzialnością przed organem ochrony konkurencji i konsumentów, ale także przed organem ochrony danych osobowych, jeśli w wyniku stosowania takich praktyk doszło do naruszenia ich praw.

Ochrona danych osobowych a manipulujące interfejsy

Praktyki manipulacyjne wielokrotnie były przedmiotem zainteresowania Europejskiej Rady Ochrony Danych (dalej „EROD”). Na początku 2022 roku EROD wydała pierwsze wytyczne w zakresie stosowania tzw. deceptive patterns w platformach społecznościowych, które rok później zaktualizowała[4].

EROD w swoich wytycznych dokonała kategoryzacji zwodniczych praktyk z punktu widzenia efektu, jaki wywołują na zachowanie użytkowników. Wśród nich wyróżniła stosowanie następujących rodzajów interfejsów:

• Przeciążający („Overloading”): użytkownik zasypywany jest dużą liczbą próśb, informacji lub opcji, aby skłonić go do udostępnienia większej ilości danych lub nieumyślnie zezwolić na przetwarzanie danych osobowych wbrew swojej woli.
• Pomijający („Skipping”): interfejs lub ścieżka użytkownika projektowana w taki sposób, aby użytkownik zapomniał lub nie myślał o aspektach związanych z ochroną danych.
• Wpływowy („Stirring”): interfejs korzystający z technik manipulowania wyborem użytkownika poprzez wpływ na jego emocje lub poprzez użycie wizualnych zachęt.
• Utrudniający („Hindering”): utrudnianie lub blokowanie użytkownikowi procesu uzyskiwania informacji o jego danych lub zarządzania danymi (m.in. utrudniając lub uniemożliwiając wykonania przez użytkownika swojego prawa).
• Zmienny („Fickle”): projekt interfejsu niespójny i niejasny, utrudniający użytkownikowi poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu przetwarzania.
• Pozostawiony w niewiedzy („Left in the dark”): interfejs zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawić użytkownika niepewnego co do sposobu przetwarzania jego danych oraz rodzaju kontroli, jaki mogą nad nimi sprawować.

Powyższa lista nie ma wyczerpującego charakteru i z pewnością będzie mogła zostać rozbudowana w miarę rozwoju technologicznego. Każde zastosowanie zwodniczej techniki pociąga za sobą ryzyko bezprawnego przetwarzania danych osobowych (a w efekcie także administracyjnej kary pieniężnej do 20.000.000 EUR lub 4% rocznego światowego obrotu). Wprowadzanie w błąd, które prowadzi do braku transparentności, nieświadomości czy braku wolnego charakteru zgody, przetwarzania nadmiernych danych – godzić będzie zawsze w podstawowe zasady przetwarzania danych ustanowione w art. 5 RODO.

Na co zwracać uwagę projektując interfejs użytkownika?

Choć każdy użytkownik Internetu może złapać się na zwodniczą technikę, EROD zwraca szczególną uwagę na grupy szczególnie wrażliwe – dzieci, osoby starsze, niedowidzące czy osoby nieposiadające rozbudowanych umiejętności cyfrowych. Projektanci stron przeznaczonych lub często dostępnych takim grupom powinni być szczególnie wrażliwi na możliwe nieprawidłowości.

Projektując interfejs użytkownika trzeba mieć na względzie wymogi, które płyną z obowiązujących przepisów – RODO wprowadza zasadę Privacy by design – uwzględnianie ochrony danych w fazie projektowania (art. 25). Zasada ta obejmuje w gruncie rzeczy takie projektowanie interfejsów i innych rozwiązań, aby były zgodne z całością systemu ochrony prywatności przewidzianego w RODO. Z punktu widzenia omawianych zwodniczych praktyk kluczową rolę odegra zgodność z zasadą transparentności i rozliczalności.

Czas na weryfikację stosowanych rozwiązań

Zakaz stosowania zwodniczych interfejsów nie wynika wprost z przepisów o ochronie danych osobowych, ani z przepisów dotyczących ochrony konsumentów, ale może on zostać z łatwością wywiedziony z zasad prawnych przewidzianych w tych dziedzinach prawa. Jednoznaczny zakaz stosowania zwodniczych praktyk został też uwzględniony przy projektowaniu nowych regulacji zmierzających do ochrony użytkowników platform internetowych.

Akt o usługach cyfrowych[5] (dalej „DSA”) został przyjęty w ramach europejskiej strategii w sprawie danych, przedstawionej przez Komisję Europejską w lutym 2020 roku. DSA ustanawia zharmonizowane zasady dla środowiska internetowego oraz wprowadza szereg nowych obowiązków dla dostawców platform internetowych.

Dostawcy będą zmuszeni do oceny swoich interfejsów pod kątem ich przejrzystości i uczciwości wobec konsumentów, bowiem zgodnie z art. 25 DSA, zakazane będzie stosowanie interfejsów wprowadzających odbiorców usługi w błąd, interfejsów manipulujących lub w inny sposób zakłócających i ograniczających zdolność odbiorców do podejmowania wolnych lub świadomych decyzji. Jednocześnie, Komisja Europejska została wyposażona w prawo wydawania wytycznych dotyczących konkretnych praktyk w zakresie projektowania interfejsów internetowych.

DSA weszło w życie 16 listopada 2022 roku. Choć przedsiębiorcy otrzymali czas na dostosowanie się do nowej regulacji do dnia 17 lutego 2024 roku, już dziś warto zapoznać się z nowymi wymogami, aby odpowiednio wcześnie zaplanować zmiany w swojej działalności – lub uwzględnić je w fazie projektowania.