W ostatnim artykule na naszym Blogu <TUTAJ> pisaliśmy o zastosowaniu sztucznej inteligencji poprzez ChatGPT oraz niebezpieczeństwach dla danych w związku z korzystaniem z powyższego narzędzia. W przytoczonym artykule wspominaliśmy o toczącym się postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych, w związku z czym zaczęliśmy się zastanawiać – kto tak naprawdę jest administratorem danych przetwarzanych przez ChatGPT? Kim jest administrator danych osobowych? Zgodnie z definicją zawartą w RODO, administratorem danych osobowych może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot – zatem mogą być to m.in. spółki handlowe, stowarzyszenia, fundacje, organy jednostek samorządu terytorialnego czy osoby prowadzące jednoosobową […]
„Dark patterns” w kontekście RODO oraz pakiet usług cyfrowych UE: niepożądane mechanizmy wykorzystywane w serwisach internetowych i aplikacjach mobilnych
20 października 2022 | Anna Szajgicka
Korzystanie z usług internetowych może wiązać się z wieloma ryzykami. Osoby rezygnujące z używania internetowych platform (na przykład zakupowych, informacyjnych) czy komunikatorów (o ile to możliwe i wystarczająco wygodne w dobie dzisiejszej cyfryzacji 😊) nie narażają się na ewentualne negatywne skutki z tym związane, takie jak udzielanie zgody na przetwarzanie danych osobowych w szerszym zakresie wbrew swojej woli bądź inne niezamierzone i nieświadome decyzje dotyczące przetwarzania ich danych osobowych. Zapewne każdy użytkownik podczas surfowania w Internecie natknął się na mechanizmy mające na celu wywołanie po jego stronie zachowania się w sposób oczekiwany przez dostawcę usług, tak aby dostawca ten mógł uzyskać od użytkownika konkretne dane do zrealizowania swojego celu, w tym osiągnięcia różnorakiego rodzaju korzyści. Przykładem jest sytuacja, w której dostawca usługi internetowej uzyskuje możliwość sprzedaży otrzymanych od użytkownika danych osobowych co prawda w wyniku uprzednio uzyskanej zgody użytkownika, ale wyrażonej nieświadomie wskutek zastosowania przez dostawcę usługi nieuczciwego wzorca zachowania w ramach „podstępnego zaprojektowania” interfejsu. Tego rodzaju praktyki dostawców usług internetowych określane są właśnie jako „dark patterns” („ciemne wzorce”, „mroczne wzorce”).
Czym są dark patterns i jak się przed nimi chronić?
Europejska Rada Ochrony Danych przyjęła w marcu 2022 r. wytyczne w sprawie tzw. „dark patterns” stosowanych w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać[1].
EROD wskazuje, że „dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że podejmują oni niezamierzone i potencjalnie szkodliwe decyzje dotyczące przetwarzania ich danych osobowych. Powyższe mechanizmy stosowane przez usługodawców wpływają na zachowanie użytkowników i zdolność do efektywnej ochrony ich danych osobowych. Wytyczne EROD zawierają konkretne przykłady rodzajów „dark patterns”,jak również przedstawiają najlepsze praktyki w różnych przypadkach ich użycia. Ponadto w dokumencie przygotowanym przez EROD zawarte są rekomendacje dla twórców interfejsów użytkownika, które mają na celu sprawić, że już w trakcie projektowania (np. strony internetowej) twórcy ci będą mieli na uwadze bezpieczeństwo danych użytkowników, które będą przetwarzane.
Przykłady dark patterns
W opisanych wyżej Wytycznych EROD znajduje się sześć głównych kategorii zachowań, które oddają istotę „dark patterns”:
- Przeciążenie (Overloading): użytkownicy są konfrontowani z masą żądań, informacji, opcji lub możliwości = nakłonienia ich do tego, aby udostępnili oni więcej danych niż by chcieli albo celem uzyskania zgody na przetwarzanie danych w szerszym zakresie niż by tego chcieli.
- Pomijanie (Skipping): projektowanie interfejsu w taki sposób, aby użytkownicy zapomnieli lub w ogóle nie myśleli o wszystkich lub niektórych aspektach ochrony danych osobowych.
- Pobudzenie, Wzbudzenie (Stirring): wpływ na wybór, jakiego dokonają użytkownicy, odwołując się do ich emocji lub wykorzystując bodźce wizualne, np. nieustanne pytanie o powód wycofania zgody lub umieszczenie emotikonek wyrażających żal.
- Utrudnianie (Hindering): przeszkadzanie lub blokowanie użytkowników w procesie uzyskiwania informacji lub zarządzania przez nich danymi poprzez utrudnianie lub uniemożliwianie wykonania danej czynności.
- Zwodniczy, Niestabilny (Fickle): projekt interfejsu jest niespójny i mało przejrzysty, co utrudnia użytkownikowi poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu wykorzystania danych.
- Pozostawiony w niewiedzy (Left in the dark): interfejs jest zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawić użytkowników w niepewności co do tego, jak wykorzystywane są ich dane i jaki rodzaj kontroli nad nimi mogą mieć w zakresie korzystania z przysługujących im praw.
Dark patterns a RODO
Stosowanie „dark patterns” może prowadzić do naruszenia przepisów RODO. Nieprzestrzeganie zasad RODO może być spowodowane poprzez m.in. nieprawidłowo określone warunki wyrażenia zgody, gromadzenie nadmiarowych danych, nieuwzględnienie przez dostawców usług w ramach prowadzonych działań zasady privacy by design (ochrona danych w fazie projektowania) oraz privacy by default (domyślna ochrona danych).
Wszelkie mechanizmy wykorzystujące bierność, milczenie adresata usługi lub jego nieuwagę, a także ustawienia domyślne (automatycznie zaznaczone okienka zgód itp.) wiążą się z ryzykiem nałożenia przez PUODO administracyjnych kar pieniężnych. Można by sądzić, że wielu usługodawców nie zdaje sobie sprawy, że już samo zaprojektowanie danej platformy internetowej czy aplikacji mobilnej bez uwzględnienia odpowiedniej ochrony przed zbieraniem niepotrzebnych danych użytkowników jest związane z powyższym ryzykiem. Dostawcy usług jako administratorzy muszą zadbać o to, aby twórcy interfejsów, projektując rozwiązania dla użytkowników, uwzględniali w całej rozciągłości stosowanie zasad dotyczących ochrony danych osobowych. Nie należy zapominać, że administrator musi wykazać, że w fazie projektowania brał pod uwagę wypełnienie zasady privacy by design.
Usługodawcy (administratorzy danych osobowych) powinni zapoznać się z wytycznymi EROD w zakresie tzw. „dark patterns”, ponieważ to na nich ciąży odpowiedzialność za działania niezgodne z RODO. Warto jednak, aby odbiorcy usług zrobili to samo, tak aby mogli oni wykryć niepożądane mechanizmy i uchronić się przed stosowaniem „dark patterns”.
Akt o usługach cyfrowych (DSA) oraz Akt o rynkach cyfrowych (DMA) – wielkie zmiany w świecie online?
Akt o usługach cyfrowych (DSA – Digital Services Act) oraz Akt o rynkach cyfrowych (DMA – Digital Markets Act) to dwa rozporządzenia wchodzące w skład pakietu dotyczącego usług cyfrowych UE.
Powołując się na informacje ze strony Rady UE oraz treść niniejszych rozporządzeń, Akt o usługach cyfrowych koncentruje się na tworzeniu bezpieczniejszego środowiska internetowego dla użytkowników i przedsiębiorstw cyfrowych oraz na ochronie praw podstawowych w przestrzeni cyfrowej.
Natomiast Akt o rynkach cyfrowych ma zapewnić równe warunki działania wszystkim przedsiębiorstwom cyfrowym, bez względu na ich wielkość. Ponadto gwarantować ma konkurencyjność i uczciwość sektora cyfrowego.
Rada UE w dniu 4 października 2022 r. zatwierdziła Akt o usługach cyfrowych, który zwiększy, miejmy nadzieję, ochronę praw użytkowników Internetu. Co do zasady DSA wejdzie w życie 20 dni po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Większość regulacji zacznie obowiązywać 15 miesięcy po wejściu w życie rozporządzenia lub 1 stycznia 2024 r., w zależności od tego, które zdarzenie nastąpi później.
DMA został opublikowany w Dzienniku Urzędowym UE w dniu 12 października 2022 r. Akt ten wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym UE, a jego stosowanie rozpocznie się co do zasady od dnia 2 maja 2023 r.
Powyższe dwa rozporządzenia wiążą w całości i będą bezpośrednio stosowane we wszystkich państwach członkowskich. Co więcej, wszyscy pośrednicy internetowi oferujący swoje usługi w UE – bez względu na to, czy mają siedzibę w UE, czy poza nią – będą musieli przestrzegać nowych przepisów wynikających z DSA i DMA. W praktyce przepisy obejmą wielu istotnych na rynku usługodawców, do których należą najpopularniejsze media społecznościowe, platformy i inne usługi, takie jak Facebook, Google, Twitter, Instagram, Amazon.
Więcej informacji na temat istotnych dla świata cyfrowego rozporządzeń DSA oraz DMA pojawi się w kolejnych artykułach na naszym Blogu.
Jaki wpływ będzie miało DSA na dark patterns?
O tym przekonamy się dopiero w niedalekiej przyszłości, natomiast już dziś wiadomo, że usługodawcy będą obowiązani do wprowadzenia na stronie internetowej czy w aplikacji mobilnej odpowiedniego mechanizmu, który umożliwi każdemu użytkownikowi zgłoszenie nielegalnych treści w oferowanej usłudze.
Mechanizmy te będą musiały być łatwo dostępne i przyjazne dla użytkownika oraz umożliwiać mu dokonywanie zgłoszeń wyłącznie drogą elektroniczną. Co więcej, usługodawca będzie zobligowany, najpóźniej w momencie usunięcia lub uniemożliwienia dostępu do wskazanych nielegalnych treści, poinformować odbiorcę o swojej decyzji, przedstawiając jasne i szczegółowe jej uzasadnienie.
Podsumowanie
Usługi internetowe są dla ludzi, a nie ludzie dla usług – przynajmniej z założenia 😊. W dobie rosnących zagrożeń warto jednak zachować zdrowy rozsądek i mieć na uwadze to, że możemy narazić własne bezpieczeństwo poprzez bezrefleksyjne dzielenie się danymi osobowymi. Zachowanie dozy podejrzliwości
w dobie obecnych czasów nie zaszkodzi, a wręcz może uchronić naszą prywatność 😊.
[1] link do Wytycznych EROD: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf).
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.