Europejska Rada Ochrony Danych (EROD) opublikowała drugą wersję wytycznych 03/2022 o zwodniczych interfejsach projektowych w interfejsach platform mediów społeczno-ściowych. Dokument zawiera wiele przydatnych wskazówek dotyczących projektowania interfejsów w zgodności z RODO nie tylko na platformach społecznościowych.
Wytyczne zawierają praktyczne rekomendacje dla dostaw-ców mediów społecznościowych, jak oceniać i unikać tzw. deceptive design patterns, które naruszają wymogi RODO. Rekomendacje zostały uporządkowane zgodnie z cyklem życia konta w mediach społecznościowych: założenie konta, bycie poinformowanym i chronionym w trakcie korzystania z mediów społecznościowych, realizacja praw osób, których dane dotyczą, oraz usunięcie konta w mediach społecz- nościowych.
Tzw. deceptive design patterns, czyli zwodnicze interfejsy projektowe, mają na celu wpływanie na decyzje użytkowników, manipulując ich do podejmowania niezamierzonych, nieświadomych i potencjalnie szkodliwych działań w zakresie zapewnienia efektywnej ochrony swoich danych.. Zostały one podzielone na następujące kategorie:
- Overloading, czyli przeciążenie treścią, występuje, o ile użytkownicy otrzymują zbyt dużo żądań, informacji, opcji lub możliwości. Takie działanie ma na celu skłonienie użytkownika do udostępnienia większej ilości danych. Do tej kategorii naruszeń należą: Continuous prompting („Ciągłe podpowiedzi”), Privacy Maze („Labirynt Prywatności”) oraz Too Many Options („Zbyt wiele opcji”).
- Skipping, czyli pomijanie, oznacza zaprojektowanie interfejsu w taki sposób, aby użytkownicy zapomnieli lub nie przemyśleli aspektów związanych z ochroną danych osobowych. Do tej kategorii naruszeń należą: Deceptive Snugness („Zwodnicze dopasowanie”) i Look over there („Spójrz tam”).
- Stirring, czyli wzruszenie, wpływa na wybór użytkownika poprzez odwołania do emocji lub bodźce wizualne. Do tej kategorii naruszeń należą: Emotional Steering („Sterowanie emocjonalne”) oraz Hidden in plain sight („Ukryte na widoku”).
- Obstructing, czyli utrudnianie lub blokowanie użytkownikom możliwości uzyskania informacji lub zarządzania własnymi danymi osobowymi. Do tej kategorii naruszeń należą: Dead end („Ślepy zaułek”) , Longer than necessary („Dłuższy niż to konieczne”) oraz Misleading action („Działanie wprowadzające w błąd”).
- Fickle oznacza, iż interfejs jest niespójny i niejasny, co utrudnia użytkownikowi korzystanie z narzędzi do kontroli danych osobowych. Do tej kategorii naruszeń należą: Lacking hierarchy („Brak hierarchii”), Decontextualising („Dekontekstualizacja”), Inconsistent Interface („Niespój-ny interfejs”) oraz Language Discontinuity („Brak ciągłości języka”).
- Left in the dark, czyli „pozostawienie w ciemności”, oznacza takie zaprojektowanie interfejsu, aby ukryć infor- macje lub narzędzia służące do kontroli przetwarzaniam danych osobowych. Zastosowanie takiego wzorca proje- ktowania może służyć również do pozostawienia użytkownika w niepewności co do tego, jak przetwarzane są jego dane osobowe oraz jak może dbać o realizację swoich praw. Do tej kategorii naruszeń należą: Conflicting information („Sprzeczne informacje”) oraz Ambiguous wording or information („Niejednoznaczne sformułowania lub informacje”).
W ocenie EROD, administratorzy powinni tworzyć interdyscyplinarne zespoły składające się z projektantów, inspektorów ochrony danych oraz osób podejmujących decyzje w danej organizacji.
Analiza zgodności interfejsów z przepisami RODO powinna opierać się o zasady określone w art. 5 RODO, art. 4 pkt 11 w zw. z art. 7 RODO, art. 12 RODO oraz art. 25 RODO. Mimo iż przedstawione wytyczne dotyczą projektowania interfejsów w mediach społecznościowych, to mogą służyć także jako przewodnik do przygotowywania interfejsów w innego rodzaju aplikacjach czy stronach internetowych.
Warto również zwrócić uwagę, iż zwodnicze interfejsy projektowe mogą stanowić naruszenie nie tylko przepisów RODO, ale również przepisów dotyczących ochrony konsumentów. W art. 25 ust. 1 aktu o usługach cyfrowych[1] określono, iż „dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji”. Świadczy to, o tym iż ustawodawca europejski coraz częściej będzie wracał uwagę nie tylko na treść komunikatów kierowanych do odbiorców, ale również sposób ich przedstawienia.
