Europski odbor za zaštitu podataka (European Data Protection Bord; EDPB) usvojio je smjernice, usmjerene dizajnerima i korisnicima platformi društvenih medija, za prepoznavanje i izbjegavanje tzv. „dark patterns“ , koji su u suprotnostima sa zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Dalje u tekstu: Opća uredba). Smjernice imaju za cilj definirati obveze koje proizlaze iz Opće uredbe, uvažavajući načela zakonitosti, poštenja, transparentnosti, ograničenja svrhe i minimiziranja podataka u dizajnima korisničkih sučelja i prezentacijama sadržaja i web usluga. Također, one sadržavaju upute za podizanje svijesti ispitanika o njihovim pravima i rizicima koji mogu proizaći iz dijeljenja podataka.
U kontekstu smjernica, „dark patterns“ predstavljaju sučelja i iskustva korisnika implementirana na platformama društvenih medija, koje navode korisnike na donošenje nenamjernih i potencijalno štetnih odluka u vezi s obradom njihovih osobnih podataka. Njima je u cilju utjecati na ponašanje i odluke korisnika te spriječiti njihovu sposobnost učinkovite zaštite podataka. Pojam „korisničko sučelje“ označava sredstva putem kojih ljudi mogu komunicirati na platformama društvenih medija, a „korisničko iskustvo“ odgovara cjelokupnom iskustvu koje korisnici imaju na društvenim medijima.
„Dark patterns“ mogu se podijeliti u sljedeće kategorije:
- Overloading (preopterećenje) – korisnici su suočeni s velikom količinom zahtjeva, informacija, opcija ili mogućnosti kako bi ih se potaknulo da podijele više podataka ili nenamjerno dopuste obradu istih, pr. Continous prompting, Privacy Maze, Too Many Options
- Stirring (pomicanje) – utječe na izbor korisnika, u ovu kategoriju spadaju Emotional Steering, Hidden in plain sight
- Hindering (ometanje) – ometanje ili blokiranje korisnika tijekom njihovog informiranja ili upravljanja podacima tako da je radnju teško ili nemoguće postići. U ovu kategoriju spadaju Dead end, Longer than necessary, Misleading information
- Fickle (nestabilnost) – dizajn sučelja je nejasan što otežava korisniku korištenje alatima za kontrolu zaštite podataka i razumijevanje svrhe obrade. U ovu kategoriju spadaju: Lacking hierarchy i Decontextualising
- Left in dark (ostavljeno u mraku) – sučelje je dizajnirano na način da sakrije informacije o zaštiti podataka ili kontrolne alate što rezultira nesigurnošću korisnika u pogledu obrade i ostvarivanja svojih prava vezanih uz zaštitu podataka. U ovu kategoriju spadaju: Language discontinuity, Conflicting information, Ambigious wording or information
Osim navedenih, „dark patterns“ mogu se podijeliti i u one temeljene na sadržaju ili one temeljene na sučelju. Obrasci (patterns) temeljeni na sadržaju, odnose se na sami sadržaj, a time i na tekst, kontekst rečenice i informacijske komponente. S druge strane, obrasci temeljeni na sučelju povezani su s načinom prikazivanja sadržaja, navigacijom kroz njega i interakcijama.
U kontekstu Smjernica koje je EDPB objavio vezano uz članak 25. Opće uredbe, koji govori o „Data Protection by Design and by Default“ (zaštita podataka prema zadanim postavkama), postoji nekoliko ključnih elemenata koje voditelji i izvršitelji obrade moraju uzeti u obzir vezano uz implementaciju zaštite podataka na platformama društvenih medija. Naime, potrebno je pružiti informacije o obradi podataka na objektivan, neutralan način, pritom izbjegavajući svaki obmanjujući ili manipulativan tekst. Nadalje, ispitanicima treba dodijeliti najviši mogući stupanja autonomije kojim upravljaju korištenjem njihovih osobnih podataka i moraju biti u mogućnosti komunicirati i ostvarivati svoja prava. Također, obrada podataka treba odgovarati njihovim razumnim očekivanjima.
Vezano uz usklađenost zaštite podataka sa sučeljima aplikacija koje se koriste na platformama društvenih medija, primjenjiva načela zaštite podataka sadržana su u članku 5. Opće uredbe koji govori na koji način moraju biti obrađivani osobni podaci. Stavak 1. spomenutog članka navodi da podaci moraju biti zakonito, pošteno i transparentno obrađivani, što služi kao početna točka za procjenu je li uzorak dizajna zapravo „dark pattern“. Također, treba uzeti u obzir i članak 4. stavak 11. koji govori o uvjetima privole, kao i posebne obveze koje proizlaze iz članka 12. koji govori o pravima ispitanika. Vrlo je važno pridržavati se i članka 25. koji postavlja zahtjeve vezane uz tehničku i integriranu zaštitu podataka jer njihova primjena pomaže pružateljima usluga društvenih medija i društvenih mreža da izbjegnu „dark patterns“.
Odredbe Opće uredbe primjenjuju se na cijeli tijek obrade osobnih podataka u sklopu operacije platformi društvenih medija. EDPB u ovim smjernicama daje nekoliko primjera pojavljivanja „dark patterns“: tijekom prijave, odnosno procesa registracije, zajedničko upravljanje i komunikacija u slučaju povrede podataka, tijekom upravljanja privolom i zaštitom osobnih podataka te prilikom zatvaranja računa na društvenim mrežama. Primjerice, vezano uz prekomjernu obradu i „dark pattern“ Continous prompting, za kojeg smo ranije ustvrdili da pripada u kategoriju Overloading, odnosno opterećenja, isti se može pojaviti tijekom prijave na društvene medije. U prvom koraku procesa prijave, korisnici usluge moraju birati između nekoliko mogućnosti, mogu dati adresu e-mail pošte ili broj telefona. Nakon što oni korisnik da svoju e-mail adresu, pružatelj usluge i dalje pokušava uvjeriti korisnika da da svoj telefonski broj, navodeći da će ga koristiti za sigurnost njegova računa. Slična situacija postoji i kad pružatelj usluga ponavljano traži telefonski broj, iako je korisnik odbio dati isti, neovisno je li se to dogodilo tijekom posljednje prijave ili prilikom registracije.
„Dark patterns“ ne dovode samo do kršenja propisa o zaštiti podataka, već mogu negativno utjecati i na prava potrošača. S obzirom na to, nadležnosti nadzornih tijela za zaštitu podataka i nacionalnih tijela zaduženih za ostvarivanje prava potrošača, mogu se ponekad preklapati. Upravo zato smjernice sadrže praktična rješenja kojih se pružatelji usluga moraju pridržavati kako bi korisnička sučelja društvenih medija bila usklađena s Općom uredbom.
Također, „dark patterns“ izazivaju posebnu zabrinutost u pogledu potencijalnog učinka na djecu prilikom njihove registracije kod pružatelja usluga društvenih medija. Opća uredba predviđa posebne zaštitne mjere kada se obrada odnosi na osobne podatke djece, budući da su oni manje svjesni rizika i posljedica njihovih prava povezanih sa zaštitom podataka. S obzirom na to, Opća uredba izričito predviđa da sve informacije vezane uz zaštitu podataka, treba dati na razumljiv i jasan način kako bi djeca to mogla razumjeti.
Više možete pročitati na:
