Co to jsou temné vzorce

Dark patterns jsou definovány jako rozhraní a uživatelské zkušenosti zakomponované do platforem sociálních médií, které vedou uživatele k tomu, aby v souvislosti se zpracováním svých osobních údajů činili nezamýšlená, nedobrovolná a potenciálně škodlivá rozhodnutí. Mají za cíl ovlivnit chování uživatelů tak, aby je k něčemu přiměli (například k udělení souhlasu) nebo jim naopak v něčem zabránili (například v uplatnění jejich práv). Mohou proto uživatelům bránit v účinné ochraně jejich osobních údajů a vědomém rozhodování.

Přestože výčet dark patterns podaný EDPB není úplný, EDPB dělí dark patterns do několika základních kategorií:

• Zahlcení (overloading) – Uživatelé jsou zahlceni množstvím požadavků, informací, možností a variant, aby přistoupili na poskytnutí osobních údajů způsobem, který je pro danou platformu sociálních médií výhodný.
• Přeskakování (skipping) – Uživatelské rozhraní a uživatelský zážitek jsou navrženy tak, že uživatel zapomene na otázku ochrany osobních údajů či na některé její aspekty nebo o nich vůbec nepřemýšlí.
• Ovlivnění emocí (stirring) – Volba uživatelů je ovlivňována vizuálními podněty nebo působením na jejich emoce.
• Ztěžování (hindering) – Uživatelům je ztěžováno nebo znemožňováno získávat informace nebo spravovat své osobní údaje tím, že takový krok je komplikovaný nebo zcela nemožný.
• Nestálost (fickle) – Rozhraní je nestabilní a nekonzistentní, což uživatelům ztěžuje nalezení nastavení ochrany soukromí a informací ohledně zpracování jejich osobních údajů.
• Skrytí informací (left in the dark) – Rozhraní je navrženo tak, aby skrývalo informace či nastavení ochrany soukromí nebo aby uživatele ponechalo v nejistotě ohledně toho, jak jsou jejich osobní údaje zpracovávány a jakým způsobem mohou zpracování kontrolovat.

Doporučení osvědčených praktik pro navrhování uživatelských rozhraní

Kromě kategorizace dark patterns, uvedení příkladů pro každou z kategorií a vysvětlení, čím daná praktika porušuje GDPR, jsou v pokynech na konci každé části uvedeny také osvědčené praktiky. Ty obsahují konkrétní doporučení pro navrhování uživatelských rozhraní usnadňující naplnění požadavků vyplývajících z GDPR, např. používání zkratek, logických formulací, definic nebo uvádění příkladů.

EDPB netvrdí, že všechny dark patterns jsou nezákonné. Odpověď na otázku, zda jejich použití je protiprávní, bude vždy záviset na okolnostech daného případu. Pokyny tak upozorňují zejména na běžné praktiky, které EDPB považuje za porušení GDPR. Úvahy EDPB však mohou být aplikovatelné i na jiné případy použití dark patterns než ty, které se týkají platforem sociálních médií.

Krok po kroku: Přehodnoťte své praktiky

Co by teď měli udělat nejen společnosti provozující sociální média, ale i jiní správci osobních údajů?

1. Zrevidovat své stávající praktiky a uživatelská rozhraní.
2. Identifikovat a přestat používat potenciálně problematické praktiky s ohledem na taxonomii dark patterns předloženou EDPB.
3. Implementovat doporučení osvědčených praktik do uživatelského rozhraní.

Ačkoli je zveřejněná verze nových pokynů v současné době ve fázi veřejné konzultace a není finální, je pravděpodobné, že v budoucnu vyvolá specifické regulatorní zaměření dozorových úřadů pro ochranu osobních údajů na používání dark patterns. Kromě porušení právních předpisů na ochranu osobních údajů mohou dark patterns porušovat i další právní předpisy, například v oblasti ochrany spotřebitelů.