Na internetu se rozhodujeme svobodně. Nikdo nám neříká, jestli si koupit Apple, nebo Samsung, jestli používat Twitter, Facebook, nebo Instagram ani jestli zveřejnit fotografii z dovolené nebo narozenin. Je to naše svobodná volba… nebo snad není? Co když je svobodná volba pouhou iluzí, protože nás ve skutečnosti při rozhodování na internetu ovlivňují faktory, které si ani neuvědomujeme? A jak tohle všechno souvisí s právem?
Ať už na internetu či mimo něj, každý den nám rozhodování usnadňují zažité vzorce chování. Ty jsou natolik automatizované, že jim přirozeně nevěnujeme žádnou pozornost. Dějí se takříkajíc samy od sebe na základě našich předchozích zkušeností a asociací. Jsou pro nás tou nejsnadnější cestou, jak dosáhnout kýženého cíle. Nejkratší cesta však nemusí být vždy tou nejlepší. Lenosti našich mozků lze i snadno zneužít.
Poskytovatelé digitálních služeb se poslední desetiletí předhánějí v tom, aby bylo právě to jejich uživatelské prostředí co nejpřívětivější. Uživatele je třeba nejen zaujmout, ale také zajistit, že se v budoucnu vrátí. S ním se totiž vrátí i investice vložená do poskytované služby. Získat pozornost uživatele ve světě plném obsahu, kde pozornost a data člověka jsou hlavní komoditou, není jednoduchá disciplína. Využívání nejrůznějších triků a zkratek je tudíž více než lákavé.
EDPB si posvítil na temné vzorce
Soutěž o lidskou pozornost a data uživatelů přispívá ke zkvalitnění digitálních služeb. Líbí se nám, když víme, že kliknutím na symbol „X“ zavřeme vyskakovací reklamu, že u červeného tlačítka zpozorníme a u zeleného naopak bez obav klikáme. Tyto prvky jsou jako skrytý jazyk, kterým k nám tvůrci rozhraní promlouvají.
Nejsou však pouhým neutrálním nástrojem. Poskytovatelé digitálních služeb je mohou velice snadno zneužít na úkor uživatele tak, že se v důsledku chytré manipulace nevědomky chová v rozporu se svými vlastními zájmy. V digitálním světě je jedním z takto ohrožených zájmů ochrana osobních údajů. Zejména proto, že data jsou měnou, kterou ochotně a bez většího rozmýšlení uživatelé platí za „neplacené“ digitální služby.
Evropský sbor pro ochranu osobních údajů vydal vodítka, která mají poskytnout provozovatelům sociálních sítí návod, jak temné vzorce poznat, jak se jich vyvarovat a jak je posuzovat v kontextu GDPR.
Co když uživatel namísto nesouhlasu se zpracováním údajů klikne na souhlas jen proto, že bylo tlačítko souhlasu zářivě zelené nebo raději klikne na „pokračovat“, aby se rychleji dostal k zajímavému obsahu? Za těmito nevědomými volbami stojí takzvané temné vzorce (z anglického „dark patterns“). Ty balancují na hranici mezi praktikou neetickou a praktikou nezákonnou. Dlouhodobě jsou vnímány jako problematické, ale určit odstín temnoty, který překračuje hranu zákona, není v praxi vůbec jednoduché.
To si uvědomuje i Evropský sbor pro ochranu osobních údajů (EDPB). Letos v březnu vydal vodítka, která mají poskytnout provozovatelům sociálních sítí (a ne nutně pouze jim) návod, jak temné vzorce poznat, jak se jich vyvarovat a jak je posuzovat v kontextu Obecného nařízení o ochraně osobních údajů (GDPR).
Temné vzorce spoléhající na naše kognitivní předsudky a zkratkovité jednání mají mnoho podob a útočí na nás již několik desetiletí. Problematické nejsou jen z hlediska ochrany osobních údajů, kde hrozí drakonické pokuty za porušení GDPR pravidel. Mohou se dostat do rozporu i s právními předpisy na poli ochrany spotřebitele. Zda je jejich využití protiprávní, bude ale vždy záviset na okolnostech konkrétního případu.
Fígl s roztomilým koťátkem
EDPB systematicky rozděluje temné vzorce do několika kategorií podle dvou klíčů. Tím konkrétnějším je dělení podle toho, jak vzorce působí na uživatele. Rozlišuje se několik modelových situací. Zaprvé, zahlcení uživatele informacemi, které člověka unaví, a ten pak bude bez rozmyslu souhlasit. Zadruhé, záměrné ovlivnění uživatelovy volby prostřednictvím jeho emocí nebo vizuálních efektů. Zatřetí, neposkytnutí informací nebo jejich ukrytí. A začtvrté, vytvoření nepřehledného a matoucího rozhraní, ve kterém se uživatel ztrácí jako v bludišti.
Obecnější dělení vychází z toho, zda se jedná o vzorce založené na obsahu, nebo na uživatelském rozhraní. Vzorce založené na obsahu se projevují přímo v uživateli dostupném obsahu. Jsou tedy nejvíce patrné ve větné skladbě, v kontextu užitých slov nebo například v (ne)uvedení určitých informací. Tyto vzorce se mohou vyznačovat různými manipulativními technikami. Zaprvé, poskytováním vzájemně rozporných informací, kdy uživatel neví, jak se má zachovat, a raději si ponechá původní a pro něj nevýhodné nastavení. Zadruhé, vytvářením záměrně nejednoznačného textu s vágními informacemi. A zatřetí, zneužíváním emocí uživatele například skrze zdůraznění výhod, apelaci na strach uživatele, že o něco přichází, nebo pouhým přiložením roztomilého obrázku.
Vzorce založené na uživatelském rozhraní se vztahují ke způsobu, jak je obsah uživateli zobrazován, jak v něm může vyhledávat a jinak s ním interagovat. Typicky se zde setkáváme s několika manipulativními technikami. Zaprvé, užívání miniaturního písma u pro uživatele přívětivější volby vedle zvýrazněného velkého písma u poskytovatelem preferované volby. Zadruhé, automatické přednastavení ochrany osobních údajů tak, že je pro uživatelovo soukromí invazivnější. A zatřetí, neuvedení odkazu na podmínky ochrany osobních údajů v momentě, kdy by uživatel měl mít možnost se s těmito podmínkami seznámit a na základě nich se rozhodnout. Tím momentem je zpravidla registrace do uživatelského účtu.
Stamilionové pokuty
Kategorizace temných vzorců je důležitá jak kvůli jejich snazší identifikaci, tak pro určení, které principy ochrany osobních údajů a která ustanovení GDPR mohou porušovat. To ocení zejména poskytovatelé, kteří by se ve vlastním zájmu měli chtít vyvarovat pozornosti evropských regulátorů. Ti totiž za poslední roky prokázali, že se kvůli užívání temných vzorců nebojí rozdávat stamilionové pokuty i těm největším technologickým hráčům.
Základním principem ochrany osobních údajů, kterému by poskytovatelé digitálních služeb měli věnovat pozornost, je princip korektnosti. Ten lze mimo jiné přeložit také jako povinnost zpracovávat osobní údaje způsobem, který ve vztahu k subjektu daných údajů není škodlivý, diskriminační, nepředvídatelný a zavádějící.
Zpravidla minimálně jeden z těchto požadavků temné vzorce porušují. Principu korektnosti při zpracování osobních údajů nemůže dostát uživatelské prostředí, kde není informace o nastavení osobních údajů k dohledání nebo uživatel dostane v jednom odstavci dvě protichůdné informace. V případech užití temných vzorců a souvisejících porušení ochrany osobních údajů můžeme princip korektnosti označit za zastřešující a stěžejní zásadu. To znamená, že pokud provozovatel temné vzorce užívá, může si být téměř jistý, že zároveň tuto zásadu porušuje.
Vedle principu korektnosti lze samozřejmě porušit i další principy a ustanovení GDPR. Mezi ty nejzásadnější patří například odpovědnost správce za zpracování osobních údajů v souladu se základními zásadami ochrany osobních údajů. Tuto odpovědnost musí být správce schopen prokázat. Tím se dostáváme k principu transparentnosti, který se promítá do povinností, které může správce užitím temných vzorců porušit. Řeč je o informačních povinnostech dle článku 13 a 14 GDPR a také o povinnosti poskytnout subjektu údajů informace stručným, transparentním, srozumitelným a snadno přístupným způsobem.
Temné vzorce mohou často jít i proti základním požadavkům na kvalitu souhlasu se zpracováním osobních údajů. Zbystřit by měli poskytovatelé například v průběhu registračního procesu do uživatelských účtů, kdy souhlas se zpracováním vyžadují. Stačí totiž nesplnit byť jen jednu z kvalitativních podmínek na souhlas, aby byl považován za neplatný.
Navýsost důležitá je i povinnost poskytovat záměrnou a standardní ochranu osobních údajů dle článku 25 GDPR. Správce musí v souladu s principem korektnosti poskytnout subjektu údajů informace o zpracování a možnost volby ohledně zpracování neutrálním způsobem. Měl by se tedy vyhnout jakýmkoliv manipulativním technikám, ať už na úrovni textu nebo designu. Má‑li požadavek na záměrnou a standardní ochranu dodržet, nesmí použít temné vzorce.
Problém řeší i český stát
Temné vzorce se v poslední době těší pozornosti jak regulátorů, tak i zákonodárců. Důkazem jsou nejen vodítka EDPB, která explicitně řeší temné vzorce na sociálních sítích, ale například i důsledné monitorování praktik v souvislosti se sběrem cookies. Není totiž ničím neobvyklým, že na vyskakovací liště cookies je tlačítko „souhlasím“ zvýrazněné zářivou barvou, tlačítko „odmítnout“ však nikoliv. Nebo se stává, že možnost odmítnout sběr cookies je až v druhé vrstvě, kterou musí návštěvník nejdříve rozkliknout, případně tato možnost vůbec není. Tento trend zneklidňuje i český Úřad pro ochranu osobních údajů, který prohlásil, že v letošním roce se plánuje zaměřit mimo jiné právě na sběr cookies.
Transparentnost a svoboda volby při využití digitálních služeb jsou i v popředí legislativních snah EU, která chce zajistit, aby se život na internetu řídil stejnými pravidly jako život mimo něj. Klíčové jsou v tomto směru dvě navržená unijní nařízení – Akt o digitálních službách (DSA) a Akt o digitálních trzích (DMA). Tyty normy dopadnou na řadu poskytovatelů digitálních služeb. Jejich cílem je mimo jiné bránit manipulativním technikám a chránit práva a svobody spotřebitelů v digitálním světě pod hrozbou sankcí srovnatelných s těmi, které známe z GDPR.
Temné vzorce už tedy definitivně vystoupily ze stínu a dostaly se do nechtěné záře reflektorů. Staly se totiž příliš temnými na to, aby je mohla evropská společnost nadále tiše ignorovat.