Zwodnicze interfejsy projektowe – co mają wspólnego z przetwarzaniem danych osobowych?
Europejska Rada Ochrony Danych (EROD) opublikowała drugą wersję wytycznych 03/2022 o zwodniczych interfejsach projektowych w interfejsach platform mediów społeczno-ściowych. Dokument zawiera wiele przydatnych wskazówek dotyczących projektowania interfejsów w zgodności z RODO nie tylko na platformach społecznościowych.
Wytyczne zawierają praktyczne rekomendacje dla dostaw-ców mediów społecznościowych, jak oceniać i unikać tzw. deceptive design patterns, które naruszają wymogi RODO. Rekomendacje zostały uporządkowane zgodnie z cyklem życia konta w mediach społecznościowych: założenie konta, bycie poinformowanym i chronionym w trakcie korzystania z mediów społecznościowych, realizacja praw osób, których dane dotyczą, oraz usunięcie konta w mediach społecz- nościowych.
Tzw. deceptive design patterns, czyli zwodnicze interfejsy projektowe, mają na celu wpływanie na decyzje użytkowników, manipulując ich do podejmowania niezamierzonych, nieświadomych i potencjalnie szkodliwych działań w zakresie zapewnienia efektywnej ochrony swoich danych.. Zostały one podzielone na następujące kategorie:
- Overloading, czyli przeciążenie treścią, występuje, jeżeli użytkownicy otrzymują zbyt dużo żądań, informacji, opcji lub możliwości. Takie działanie ma na celu skłonienie użytkownika do udostępnienia większej ilości danych. Do tej kategorii naruszeń należą: Continuous prompting („Ciągłe podpowiedzi”), Privacy Maze („Labirynt Prywatności”) oraz Too Many Options („Zbyt wiele opcji”).
- Skipping, czyli pomijanie, oznacza zaprojektowanie interfejsu w taki sposób, aby użytkownicy zapomnieli lub nie przemyśleli aspektów związanych z ochroną danych osobowych. Do tej kategorii naruszeń należą: Deceptive Snugness („Zwodnicze dopasowanie”) i Look over there („Spójrz tam”).
- Stirring, czyli wzruszenie, wpływa na wybór użytkownika poprzez odwołania do emocji lub bodźce wizualne. Do tej kategorii naruszeń należą: Emotional Steering („Sterowanie emocjonalne”) oraz Hidden in plain sight („Ukryte na widoku”).
- Obstructing, czyli utrudnianie lub blokowanie użytkownikom możliwości uzyskania informacji lub zarządzania własnymi danymi osobowymi. Do tej kategorii naruszeń należą: Dead end („Ślepy zaułek”) , Longer than necessary („Dłuższy niż to konieczne”) oraz Misleading action („Działanie wprowadzające w błąd”).
- Fickle oznacza, że interfejs jest niespójny i niejasny, co utrudnia użytkownikowi korzystanie z narzędzi do kontroli danych osobowych. Do tej kategorii naruszeń należą: Lacking hierarchy („Brak hierarchii”), Decontextualising („Dekontekstualizacja”), Inconsistent Interface („Niespój-ny interfejs”) oraz Language Discontinuity („Brak ciągłości języka”).
- Left in the dark, czyli „pozostawienie w ciemności”, oznacza takie zaprojektowanie interfejsu, aby ukryć infor- macje lub narzędzia służące do kontroli przetwarzaniam danych osobowych. Zastosowanie takiego wzorca proje- ktowania może służyć również do pozostawienia użytkownika w niepewności co do tego, jak przetwarzane są jego dane osobowe oraz jak może dbać o realizację swoich praw. Do tej kategorii naruszeń należą: Conflicting information („Sprzeczne informacje”) oraz Ambiguous wording or information („Niejednoznaczne sformułowania lub informacje”).
W ocenie EROD, administratorzy powinni tworzyć interdyscyplinarne zespoły składające się z projektantów, inspektorów ochrony danych oraz osób podejmujących decyzje w danej organizacji.
Analiza zgodności interfejsów z przepisami RODO powinna opierać się o zasady określone w art. 5 RODO, art. 4 pkt 11 w zw. z art. 7 RODO, art. 12 RODO oraz art. 25 RODO. Mimo że przedstawione wytyczne dotyczą projektowania interfejsów w mediach społecznościowych, to mogą służyć także jako przewodnik do przygotowywania interfejsów w innego rodzaju aplikacjach czy stronach internetowych.
Warto również zwrócić uwagę, że zwodnicze interfejsy projektowe mogą stanowić naruszenie nie tylko przepisów RODO, ale również przepisów dotyczących ochrony konsumentów. W art. 25 ust. 1 aktu o usługach cyfrowych[1] określono, że „dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji”. Świadczy to, o tym że ustawodawca europejski coraz częściej będzie wracał uwagę nie tylko na treść komunikatów kierowanych do odbiorców, ale również sposób ich przedstawienia.