Choć od wejścia w życie RODO minęło sporo czasu, ciągle jeszcze możemy spotkać domyślnie zaznaczone okienka zgody marketingowej, newslettery, z których wypisanie się to droga przez mękę czy też banery cookies spoza których „świata nie widać”.
Czy powodem jest brak świadomości? Nie zawsze.
Zdarza się, że są to działania świadome, mające na celu utrzymanie jak największej liczby subskrybentów, precyzyjne targetowanie reklam, ściganie remarketingiem (czyli wyświetlaniem ostatnio oglądanych przedmiotów na innych odwiedzanych stronach www) również osób, które nie do końca świadomie wyraziły na to zgodę. Temat jeszcze bardziej staje się aktualny w okresie przedświątecznym, gdzie walka o klienta jest szczególnie zawzięta.
Tam, gdzie pojawia się nadmierna presja – wynik nie zawsze osiągany jest uczciwie.
W art. 5 RODO mowa o zasadzie przejrzystości, zgodnie z którą komunikat przekazywany odbiorcy powinien być dla niego zrozumiały zarówno w warstwie językowej oraz w formie podania. Przytłaczanie nadmiarem tekstu, niespodziewanie wyskakujące i przeszkadzające użytkownikowi okienka godzą w zasadę przejrzystości (wymaganą przez RODO), której podstawą jest właśnie uczciwość. Wymuszanie reakcji użytkownika poprzez zmęczenie, zdezorientowanie, granie na jego emocjach – nie ma nic wspólnego z uczciwością. Dodatkowo, kiedy odbiorcą usług/towarów jest dziecko – forma podania i język komunikatu powinny być szczególnie uważnie projektowane.
W wytycznych Grupy Roboczej 29 w sprawie przejrzystości[i] podkreślono, że forma i sposób, jest tak samo ważna, jak jej treść. W treści RODO nie znajdziemy jednak dokładnych wskazówek jak prezentować treści mając na uwadze chociażby rodzaj używanego urządzenia, czy specyfikę produktu/ usługi.
Na co powinien więc zwracać uwagę UX/UI designer, Front-end developer a nade wszystko Product Owner odpowiedzialny za dostarczenie funkcjonalności i wyglądu witryny/aplikacji?
Europejska Rada Ochrony Danych dokonała przeglądu nieuczciwych (zwodniczych) praktyk stosowanych w interfejsach platformach społecznościowych wydając Wytyczne EROD 3/2022 dot. Deceptive design patterns[ii].
Wytyczne dotyczą co prawda konkretnego rodzaju platform, jednak śmiało można je potraktować jako poradnik dla działów UX/ UI w zakresie przykładów praktyk, jakich należy unikać.
W opisanych praktykach wyróżniono:
- Fickle (niespójność), czyli zaprojektowanie interfejsu w sposób, który nie jest przejrzysty, komunikuje sprzeczne, trudne do zrozumienia informacje;
- Overloading – czyli dosłownie zasypywanie użytkownika prośbami o zgodę, akceptację zasad, regulaminów, masą informacji, które mają realizować obowiązki informacyjne, a docelowo bywają bezwiednie akceptowane przez użytkownika zmęczonego natłokiem okienek i treści;
- Skipping (pomijanie), czyli zaprojektowanie interfejsu lub ścieżki użytkownika tak, by nie myślał o kwestiach związanych z przetwarzaniem danych osobowych;
- Stirring (granie emocjami), czyli odwoływanie się do emocji użytkowników (zarówno pozytywnych jak i negatywnych), żeby wpłynąć na decyzję użytkownika zgodną z oczekiwaniami operatora serwisu;
- Obstructing (utrudnianie), czyli utrudnianie użytkownikowi dotarcie do informacji na temat tego jak przetwarzane są jego dane;
- Left in the dark (pozostawienie w ciemności/niewiedzy), czyli zaprojektowanie interfejsu w taki sposób, by wręcz ukrywać informacje o tym, jak przetwarzane są dane użytkownika i jak może skorzystać ze swoich praw.
Temat uczciwości należy rozważać znacznie szerzej niż tylko w kontekście przepisów dotyczących ochrony danych osobowych.
Kolejnym kompendium wiedzy w zakresie praktyk jakich należy unikać jest Digital Services Act (DSA)[iii].
Już w samej preambule znajdziemy garść przykładów zakazanych praktyk jak np.:
- wprowadzanie w błąd lub nakłanianie użytkownika do działania, które przyniesie korzyść wyłącznie dostawcy platformy. Może to być np. eksponowanie sugerowanej opcji wyboru (wykorzystując do tego wygląd, a nawet dźwięk);
- wielokrotne proszenie użytkownika o dokonanie wyboru, mimo że podjął już decyzję;
- stosowanie uciążliwej procedury anulowania usługi, gdzie w proces rezygnacji z usługi użytkownik musi włożyć znacznie więcej wysiłku niż w jej zamówienie;
- utrudnianie opuszczenia procesu zakupowego;
- stosowanie domyślnych (pomyślnych dla dostawcy platformy) ustawień.
Nie jest to katalog zamknięty. W art. 25 DSA wskazano również, że Komisja Europejska może wydać dodatkowe wytyczne w ramach stosowania zakazanych praktyk.
A przecież już jest co naprawiać.
Wyniki akcji kontrolnej publikowane przez Komisję Europejską i m.in. Prezesa UOKiK wskazały, że aż 40% z badanych e-commerce stosuje zwodnicze praktyki.
Wśród praktyk pojawiały się m.in.: fałszywe liczniki odmierzające czas promocji, ukrywanie „drobnym maczkiem” istotnych informacji o produkcie (np. koszty dostawy, skład), interfejsy projektowane tak, by sugerować wybór droższej opcji produktu/ usługi czy dostawy[iv].
Czy kontrole UODO mogą zatem objąć to, jak dana witryna wygląda?
Aż tak daleko nie dajmy się ponieść fantazji. Warto mieć jednak na uwadze, że “chytrym projektowaniem” możemy naruszać kilka regulacji, co np. w przypadku skargi podmiotu danych (w rozumieniu RODO), czy skargi klienta-konsumenta może ułatwiać podważenie legalności przetwarzanych danych, czy zawartej umowy. W szczególności w branżach, gdzie interfejs ma szczególne znaczenie, warto włączać Inspektora Ochrony Danych w prace nad wyglądem witryny.
Stosując w tym kontekście zasadę privacy by design, Inspektor pomoże dokonać wyboru nie tylko w oparciu o skuteczność, ale również legalność projektowanego procesu.
[i] Grupa Robocza Artykułu 29 – Wytyczne w sprawie przejrzystości na mocy rozporządzenia 2016/679.
[ii] Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0
[iii] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych)
[iv] Behavioural study on the transparency of online platforms link
