Dana 14. ožujka 2022. Europski odbor za zaštitu podataka (EDPB) objavio je smjernice pod nazivom „Obmanjujući obrasci u sučeljima platformi društvenih medija: kako ih prepoznati i izbjeći.“  Ove Smjernice daju preporuke najbolje prakse dizajnerima i pružateljima platformi društvenih medija o tome kako mogu procijeniti i izbjeći varljive obrasce u sučeljima društvenih medija koji krše zahtjeve GDPR-a. Nakon toga, EDPB je usvojio verziju 2.0 ovih Smjernica 14. veljače 2023., pod nazivom „Obmanjujući obrasci dizajna u sučeljima platformi društvenih medija: kako ih prepoznati i izbjeći.“

Obmanjujući obrasci ili “dark patterns” su sučelja i dizajni korisničkih iskustva koja navode korisnike društvenih medija na donošenje nevoljnih i potencijalno štetnih izbora, koji su često usmjereni u korist platforme društvenih medija i na štetu korisnika, u vezi s obradom njihovih osobnih podataka. Obmanjujući obrasci imaju za cilj ometati sposobnost korisnika da donesu svjestan izbor u pogledu svojih osobnih podataka i u konačnici korisnicima oduzimaju kontrolu nad zaštitom njihovih osobnih podataka.

EPDB je prepoznao šest glavnih kategorija obmanjujućih obrazaca:

1. Preopterećenje

Korisnicima se daje previše informacija da bi ih se navelo da daju više osobnih podataka nego što je potrebno tako što ih se opetovano pita o njima.

Primjeri:

– kontinuirano traženje: opetovano traženje od korisnika da daju nepotrebne podatke ili daju privolu za svrhu obrade,

– labirint privatnosti: tjera korisnika da se kreće kroz previše stranica,

– previše opcija: cilj je da korisnik da zanemari neke postavke ili odustane od postavki zaštite podataka

2. Preskakanje

Varljivi dizajni koji odvraćaju korisnike od brige o zaštiti njihovih osobnih podataka. Ovdje su najinvazivnije značajke i opcije već omogućene prema zadanim postavkama.

Primjeri:

– varljiva „udobnost“: većina podatkovno invazivnih značajki unaprijed je odabrana prema zadanim postavkama,

– pogledaj tamo: odvraćanje pažnje korisnika.

3. Miješanje

Riječi ili vizualni elementi koji su predstavljeni na način da utječu na emocionalno stanje korisnika kako bi ih naveli da djeluju protiv svojih interesa zaštite podataka. Ovaj obmanjujući obrazac ima veći utjecaj na djecu i druge ranjive kategorije ispitanika. Na primjer, veća je vjerojatnost da će korisnici previdjeti ili imati poteškoća s čitanjem malih slova ili teksta napisanog u bojama koje nisu dovoljno kontrastne.

Primjeri:

– emocionalno upravljanje: obrasci, formulacije ili vizualni stilovi koji snažno utječu na emocionalno stanje korisnika i navode ih da djeluju protiv svojih najboljih interesa, tj. čineći da se korisnici osjećaju uplašeno/krivo/sigurno/nagrađeno,

– skriveni naočigled: vizualni stilovi koji potiču korisnike prema manje restriktivnim i invazivnijim opcijama.

4. Ometanje

Pružanje pogrešnih informacija korisnicima kako bi ih se natjeralo da daju nepotrebne osobne podatke ili utjecalo na njihovu odluku zadržavanjem i dovođenjem u pitanje njihovih početnih izbora.

Primjeri:

– slijepa ulica: dok korisnici traže informacije ili kontrolu, na kraju ih ne pronađu jer veza za preusmjeravanje ili ne radi ili nije dostupna,

– dulje nego što je potrebno: nepotrebni koraci potrebni za aktiviranje opcija zaštite podataka,

– zavaravajuće informacije: kada pružatelji društvenih medija obavijeste korisnike da bi njihova radnja dovela do određenih posljedica, a radnja zapravo rezultira drugačijim ishodom.

5. Nestalnost

Nejasni dizajni koji otežavaju korisniku kretanje kroz različite alate za kontrolu zaštite podataka ili razumijevanje svrhe obrade.

Primjeri:

– nedostatak hijerarhije: redundantnost informacija,

– dekontekstualizacija: kontrola zaštite podataka nalazi se na stranici koja je izvan konteksta,

– nedosljedno sučelje: sučelje nije dosljedno u različitim kontekstima ili s očekivanjima korisnika,

– jezični diskontinuitet: informacije nisu dane na službenom jeziku zemlje u kojoj korisnici žive.

6. Ostavljeno u mraku

Sučelja koja skrivaju informacije ili alate za zaštitu podataka ili ostavljaju korisnike nesigurnima o tome kako se njihovi podaci obrađuju i koje kontrole imaju u pogledu ostvarivanja svojih prava.

Primjeri:

– proturječne informacije: čineći informacije nejasnima i nerazumljivima ili dovodeći korisnike u zabludu ne podudarajući se s njihovim očekivanjima.

– dvosmislene formulacije ili informacije: nejasne formulacije ili dovoditi subjekte podataka u nesigurnost kako će se podaci obrađivati ili kako imati kontrolu nad svojim podacima.

U skladu sa Smjernicama, pružatelji i dizajneri platformi društvenih medija trebali bi izbjegavati upotrebu bilo kakvih obmanjujućih obrazaca i osigurati korisnicima jasan izbor u pogledu njihovih osobnih podataka. Smjernice nadalje preporučuju pridržavanje svih načela zaštite podataka prema GDPR-u tijekom dizajna korisničkih sučelja online aplikacija.

Neke od preporuka za najbolju praksu prema Smjernicama su:

• Osigurati da obrada osobnih podataka nije štetna, diskriminirajuća, neočekivana ili obmanjujuća za subjekta podataka.
• Osigurajte pristanak prema zahtjevima GDPR, tj. privola mora biti slobodno dana, konkretna, informirana i nedvosmislena gdje god je privola potrebna za obradu podataka.
• Pružati informacije ispitanicima o njihovim pravima u odnosu na njihove osobne podatke ili bilo kakvu komunikaciju u sažetom, transparentnom, razumljivom i lako dostupnom obliku i jeziku.
• Nedostatak pristanka treba smatrati početnim stanjem.
• Omogućite jednostavno povlačenje pristanka.
• Nemojte tražiti dodatne i nepotrebne osobne podatke koji nisu potrebni za konkretnu obradu.
• Osigurajte zaštitu podataka po dizajnu izbjegavajući korištenje obmanjujućeg ili manipulativnog jezika u dizajnu i prezentirajući sve informacije na objektivan i neutralan način.
• Osigurajte zaštitu podataka prema zadanim postavkama odabirom i/ili označavanjem najmanje invazivnih značajki i opcija prema zadanim postavkama.
• Dizajnirajte nadzornu ploču privatnosti, omogućujući korisnicima da centraliziraju svoje postavke privatnosti.
• Budite u mogućnosti dokazati usklađenost dokumentiranjem zapisa o pristanku.
• Pružite relevantne poveznice za daljnje informacije, postavke ili radnje gdje god je to korisnicima korisno za navigaciju mrežnim sučeljima.
• Spojite opcije s istom svrhom obrade kako bi korisnici mogli lakše postaviti željene postavke privatnosti.
• Navedite pregled pravila o privatnosti na vrhu/početku takvih pravila i uključite hiperveze na svaki odjeljak. Jasno navedite kontakt adresu tvrtke u politici. Štoviše, kad god se naprave bilo kakve promjene u politici privatnosti, učinite dostupnim prethodne verzije i označite promjene u ažuriranoj politici.
• Jasno istaknite identitet relevantnog nadzornog tijela i navedite poveznicu na njegovu web stranicu.
• Koristite dosljedne formulacije i definicije.
• Navedite definicije tehničkih riječi. Štoviše, navedite primjere koji objašnjavaju različite svrhe obrade.
• Učinite sve radnje ili elemente povezane sa zaštitom podataka uočljivima na sučelju koje nije izravno posvećeno tom pitanju.
• Kad god korisnici kreiraju novi račun na internetskoj platformi, dajte im ključne informacije o zaštiti podataka.
• Koristite obavijesti kako biste korisnike kontinuirano informirali o svim aspektima, promjenama ili rizicima povezanim s obradom njihovih podataka.
• Koristite „sticky navigation“ ili osigurajte gumb “povratak na vrh” kako biste korisnicima olakšali navigaciju.
• Pružite neutralna objašnjenja za sve posljedice s kojima se korisnici mogu suočiti zbog svojih radnji, poput povlačenja privole ili aktivacije ili deaktivacije računa.
• Osigurajte dosljednost na više uređaja u odnosu na postavke i pružanje informacija.
• Osigurajte direktorij sa svim radnjama i informacijama vezanim uz zaštitu podataka.
• Koristite jasne poveznice (URL-ove)  za stranice koje se odnose na postavke zaštite podataka ili informacije.
• Omogućite namjenski obrazac koji pomaže korisnicima da razumiju svoja prava i kako ih ostvariti.