Skip to main content

Manipulativni obrasci u privoli za kolačiće

Manipulativni obrazac (engl. dark pattern) je dizajn korisničkog sučelja koji navodi korisnike na odluke koje inače ne bi donijeli. U kontekstu privole za kolačiće, manipulativni obrasci usmjeravaju korisnike prema prihvaćanju svih kolačića — ne kroz jasne informacije i istinski izbor, već kroz vizualnu manipulaciju, zbunjujući jezik i namjerno stvaranje prepreka.

Manipulativni obrasci u privoli za kolačiće nisu samo loš dizajn — oni predstavljaju pravnu odgovornost. Nadzorna tijela za zaštitu podataka diljem EU-a izrekla su znatne kazne upravo zbog manipulativnih sučelja za privolu, a regulatorni nadzor sve je stroži.

Zašto manipulativni obrasci poništavaju privolu

Prema GDPR-u, privola mora biti:

  • Dobrovoljno dana (članak 4. stavak 11.) — korisnik mora imati istinski izbor, bez pritiska ili manipulacije.
  • Posebna — privola se mora dati za svaku pojedinu svrhu.
  • Informirana — korisnik mora razumjeti na što pristaje.
  • Nedvosmislena — dana jasnom potvrdnom radnjom.

Manipulativni obrasci po samoj svojoj naravi potkopavaju uvjete „dobrovoljno dana” i „informirana”. Ako je opcija za odbijanje skrivena, vizualno umanjena ili zakopana iza više klikova, korisnikova privola nije bila dobrovoljno dana. Ako je jezik zbunjujući ili obmanjujući, korisnik nije bio informiran. U oba slučaja privola je pravno nevaljana — a svaki kolačić postavljen na temelju takve privole predstavlja kršenje.

EU-ova obveza o kolačićima (Cookie Pledge)

U studenom 2023. Europska komisija pokrenula je Cookie Pledge — dobrovoljnu obvezu za tvrtke da usvoje poštene prakse u vezi s kolačićima. Iako pravno neobvezujuća, Cookie Pledge signalizira očekivanja Komisije i nagovještava regulatorni smjer.

Ključna načela obveze Cookie Pledge:

  • Odbijanje kolačića mora biti jednako jednostavno kao i njihovo prihvaćanje — u pogledu broja klikova, vizualnog prikaza i kognitivnog napora.
  • Nema manipulativnih dizajnerskih elemenata koji usmjeravaju korisnike prema prihvaćanju.
  • Jasan, jednostavan jezik koji korisnici mogu razumjeti na prvi pogled.
  • Nema zidova za kolačiće koji blokiraju pristup sadržaju.
  • Jednostavno povlačenje privole u svakom trenutku.

Među tvrtkama koje su potpisale Cookie Pledge nalazi se nekoliko velikih brendova. Iako je inicijativa dobrovoljna, nadzorna tijela za zaštitu podataka izričito su se pozivala na načela Pledgea u odlukama o provedbi.

Smjernice EDPB-a o manipulativnim obrascima

Europski odbor za zaštitu podataka (EDPB) objavio je Smjernice 03/2022 o manipulativnim obrascima u sučeljima platformi društvenih medija, koje su se u velikoj mjeri primjenjivale i na sučelja za privolu za kolačiće. Smjernice utvrđuju šest kategorija manipulativnih obrazaca:

  1. Preopterećivanje (overloading) — zatrpavanje korisnika prekomjernim informacijama ili zahtjevima, što uzrokuje umor pri donošenju odluka.
  2. Preskakanje (skipping) — dizajniranje sučelja koja preskaču ili unaprijed odabiru opcije bez aktivnog angažmana korisnika.
  3. Poticanje (stirring) — korištenje emocionalnog jezika ili vizualnih signala za usmjeravanje korisnika prema određenom izboru.
  4. Otežavanje (hindering) — otežavanje ostvarivanja prava (npr. pronalaska gumba za odbijanje, pristupa postavkama, povlačenja privole).
  5. Nedosljednost (fickle) — nedosljedan dizajn koji zbunjuje korisnike o tome gdje se nalaze i što njihovi izbori znače.
  6. Ostavljanje u neznanju (left in the dark) — skrivanje informacija, korištenje dvosmislenog jezika ili pružanje nepotpunog konteksta.

Nacionalna nadzorna tijela za zaštitu podataka koristila su ove kategorije kao okvir pri procjeni traka za kolačiće tijekom provedbenih postupaka.

Uobičajeni manipulativni obrasci s primjerima

Unaprijed označeni potvrdni okviri

Prikazivanje potvrdnih okvira za kategorije kolačića koji su već označeni, čime se od korisnika zahtijeva da ih aktivno odznači kako bi odbio privolu. Sud Europske unije izričito je ovo proglasio nevaljanim u predmetu Planet49 (C-673/17, listopad 2019.). Sud je zaključio da unaprijed označeni potvrdni okviri ne predstavljaju „aktivnu naznaku” privole.

Unatoč ovoj nedvosmislenoj presudi, mnoge web-stranice i dalje koriste unaprijed označene ploče s postavkama, osobito za kategorije „analitika” ili „funkcionalni” kolačići. Svaka od ovih implementacija proizvodi nevaljanu privolu.

Nema gumba za odbijanje

Prikazivanje samo opcija „Prihvati sve” i „Upravljaj postavkama” na prvoj razini, bez mogućnosti odbijanja. Korisnik mora kliknuti „Upravljaj postavkama”, otvoriti sekundarnu ploču, poništiti odabir svih kategorija i zatim kliknuti „Spremi” — obično tri do pet klikova za odbijanje, u odnosu na jedan klik za prihvaćanje.

CNIL (francusko nadzorno tijelo za zaštitu podataka) posebno je odlučno provodio mjere protiv ovog obrasca. U svojim provedbenim mjerama iz siječnja 2022. protiv Googlea (150 milijuna EUR) i Facebooka (60 milijuna EUR), CNIL je izričito naveo izostanak jednostavnog mehanizma za odbijanje na prvoj razini kao kršenje.

Vizualna manipulacija

Vizualno naglašavanje gumba „Prihvati” uz istovremeno umanjivanje opcije „Odbij”. Uobičajene tehnike uključuju:

  • Velik, jarko obojen gumb „Prihvati sve” pored male, sive ili prozirne opcije „Odbij”.
  • „Prihvati” kao ispunjen gumb visokog kontrasta, dok je „Odbij” tekstualna poveznica ili prozirni gumb.
  • „Prihvati” u vidnom fokusu korisnika (u sredini, poravnato desno ili na primarnoj poziciji), dok je „Odbij” smješten na manje istaknutom mjestu.
  • Korištenje zelene boje za „Prihvati” (signal sigurnosti/kretanja) i crvene ili sive za „Odbij” (signal opasnosti/zaustavljanja/onemogućenosti).

Načelo je jasno: ako bi razuman korisnik doživio opciju prihvaćanja kao „zadanu” ili „preporučenu” radnju isključivo na temelju vizualnog dizajna, traka koristi manipulativni obrazac.

Zbunjujući jezik i „legitimni interes”

Neka sučelja za privolu prikazuju određene svrhe praćenja kao utemeljene na „legitimnom interesu” umjesto na privoli, pri čemu su te svrhe unaprijed omogućene i zahtijevaju odjavu (opt-out) umjesto prijave (opt-in). To je tehnički dopušteno prema GDPR-u za istinske legitimne interese, ali se u velikoj mjeri zloupotrebljava.

Kada traka za kolačiće navodi desetke oglašivačkih pružatelja pod „legitimnim interesom” s malenim prekidačima, praktični je učinak da većina korisnika ne razumije što vidi i ne poduzima nikakvu radnju — što rezultira praćenjem prema zadanim postavkama. Nekoliko nadzornih tijela za zaštitu podataka, uključujući belgijsku APD, osporilo je ovu praksu, tvrdeći da legitimni interes ne može biti pravna osnova za oglašivačko praćenje.

Prekomjeran broj klikova za odbijanje

Asimetrija napora možda je najrašireniji manipulativni obrazac:

Radnja Potreban broj klikova
Prihvaćanje svih kolačića 1 klik
Odbijanje svih kolačića (manipulativni obrazac) 3–7 klikova (otvaranje postavki, poništavanje odabira svake kategorije, spremanje, moguća potvrda)
Odbijanje svih kolačića (usklađeno) 1 klik (gumb „Odbij sve” na prvoj razini)

Smjernice EDPB-a o privoli izričite su: „Povlačenje privole trebalo bi biti jednako jednostavno kao i njezino davanje.” Sukladno tome, odbijanje privole ne bi trebalo zahtijevati više napora od njezina davanja.

Zidovi za kolačiće

Zid za kolačiće u potpunosti blokira pristup web-stranici osim ako korisnik prihvati kolačiće. Sadržaj stranice skriven je iza prekrivača (overlay), a jedini način za nastavak je klik na „Prihvati”.

EDPB je u svojim Smjernicama 05/2020 naveo da zidovi za kolačiće općenito ne pružaju dobrovoljno danu privolu jer korisniku nije pružen istinski izbor — radi se o načelu „pristani ili odlazi”. Neke jurisdikcije dopuštaju nijansiraniju verziju (nizozemsko nadzorno tijelo, primjerice, naznačilo je da zidovi za kolačiće mogu biti prihvatljivi ako korisnik ima istinski ekvivalentnu alternativu), ali je sigurniji pristup potpuno ih izbjegavati.

Preopterećivanje informacijama

Neke trake prikazuju stranice gustog pravnog teksta, desetke prekidača za pružatelje i složene hijerarhije kategorija — ne kako bi informirale, već kako bi preopteretile. Suočena sa zidom teksta i 150 pojedinačnih prekidača za pružatelje, većina korisnika jednostavno klikne „Prihvati sve” iz umora. To je manipulativni obrazac „preopterećivanja” koji je utvrdio EDPB: korištenje iscrpnih informacija kako bi se spriječio smisleni angažman.

Rješenje je slojevit pristup: kratke, jasne informacije na prvoj razini, uz detaljne informacije koje su dostupne, ali nisu obavezne za pregled.

Emocionalna manipulacija

Korištenje jezika koji izaziva osjećaj krivnje ili je emocionalno nabijen kako bi se usmjerili izbori privole:

  • „Ne, hvala, ne zanima me personalizirano iskustvo”
  • „Radije gledam nebitne oglase”
  • „Nastavi s pogoršanim iskustvom”
  • Korištenje tužnih emotikona ili slika negodovanja kada se korisnik kreće prema odbijanju

Ove tehnike „posramljivanja pri potvrdi” (confirmshaming) navode korisnika da osjeti kako je odbijanje kolačića loš ili asocijalan izbor. Jezik bi trebao biti neutralan i informativan, a ne emocionalan.

Stvarni primjeri provedbe

Nadzorna tijela za zaštitu podataka prešla su sa smjernica na provedbu. Evo istaknutih slučajeva u kojima su manipulativni obrasci u privoli za kolačiće doveli do znatnih kazni:

CNIL protiv Googlea (150 milijuna EUR) — siječanj 2022.

CNIL je utvrdio da google.fr ne nudi mehanizam za odbijanje kolačića jednako jednostavan kao i za njihovo prihvaćanje. Prihvaćanje kolačića zahtijevalo je jedan klik; odbijanje je zahtijevalo prolazak kroz više zaslona. Uz kaznu je izdan i nalog za osiguravanje gumba „Odbij sve” na prvoj razini u roku od tri mjeseca.

CNIL protiv Facebooka (60 milijuna EUR) — siječanj 2022.

Ista provedbena mjera. Facebookovoj traci za kolačiće na facebook.com nedostajala je opcija za odbijanje na prvoj razini. Korisnici su morali prolaziti kroz postavke kako bi odbili kolačiće. CNIL je izrekao kaznu i naložio ispravak.

CNIL protiv Microsofta (60 milijuna EUR) — prosinac 2022.

CNIL je utvrdio da bing.com postavlja oglašivačke kolačiće bez odgovarajuće privole te da traka za kolačiće ne pruža jednako jednostavan način za odbijanje kolačića.

CNIL protiv TikToka (5 milijuna EUR) — prosinac 2022.

TikTokova traka za kolačiće zahtijevala je više radnji za odbijanje kolačića. CNIL je utvrdio da to krši zahtjev za jednako dostupnim mehanizmima za davanje i odbijanje privole.

Talijanski Garante protiv raznih tvrtki — 2023.

Talijansko nadzorno tijelo za zaštitu podataka provelo je akcije nadzora usmjerene na manipulativne obrasce u trakama za kolačiće, izdajući upozorenja i kazne većem broju tvrtki zbog korištenja manipulativnog dizajna gumba za prihvaćanje/odbijanje.

Kako dizajnirati etička sučelja za privolu

Dizajniranje etičkog sučelja za privolu za kolačiće nije samo pitanje izbjegavanja kazni — riječ je o poštovanju korisnika i izgradnji povjerenja. Evo načela:

  1. Jednaka istaknutost. Opcije za prihvaćanje i odbijanje moraju biti vizualno identične po veličini, težini boje i položaju. Ako je „Prihvati” ispunjen plavi gumb, i „Odbij” mora biti ispunjen gumb jednake veličine.
  2. Jednak napor. Odbijanje kolačića mora zahtijevati isti broj klikova kao i njihovo prihvaćanje. Jedan klik za prihvaćanje znači jedan klik za odbijanje.
  3. Jasan jezik. Koristite jednostavan, neutralan jezik. „Prihvati sve” i „Odbij sve” — a ne „Prihvati” i „Saznaj više”.
  4. Bez zadanih postavki. Sve neobavezne kategorije kolačića moraju biti isključene prema zadanim postavkama. Nema unaprijed označenih potvrdnih okvira, nema unaprijed omogućenih legitimnih interesa.
  5. Poštene informacije. Opisujte što kolačići rade činjeničnim jezikom. Bez eufemizama, bez zastrašivanja, bez emocionalne manipulacije.
  6. Dostupne postavke. Ploča s postavkama trebala bi biti jednostavna za korištenje, s jasnim kategorijama i sažetim opisima.
  7. Jednostavno povlačenje. Trajna ikona ili poveznica postavki mora biti dostupna na svakoj stranici kako bi korisnici mogli promijeniti svoje postavke u bilo kojem trenutku.

Kontrolni popis: Je li moja traka bez manipulativnih obrazaca?

Koristite ovaj kontrolni popis za reviziju svoje trenutne trake za kolačiće:

  1. Postoji li gumb „Odbij sve” na prvoj razini trake?
  2. Je li gumb za odbijanje iste veličine kao gumb za prihvaćanje?
  3. Je li gumb za odbijanje istog vizualnog stila kao gumb za prihvaćanje (oba ispunjena, oba obrubljena itd.)?
  4. Zahtijeva li odbijanje kolačića isti broj klikova kao i njihovo prihvaćanje?
  5. Jesu li sve neobavezne kategorije kolačića isključene prema zadanim postavkama u ploči s postavkama?
  6. Je li jezik neutralan i činjeničan (bez izazivanja osjećaja krivnje, bez emocionalne manipulacije)?
  7. Može li korisnik pristupiti sadržaju stranice bez prihvaćanja kolačića (bez zida za kolačiće)?
  8. Može li korisnik promijeniti svoje postavke u bilo kojem trenutku putem vidljive poveznice ili ikone?
  9. Je li opis svrhe poseban (a ne samo „poboljšanje vašeg iskustva”)?
  10. Nisu li kolačići postavljeni prije nego što korisnik napravi izbor?

Ako ste na bilo koje od ovih pitanja odgovorili „ne”, vaša traka možda sadrži manipulativne obrasce koji vas izlažu regulatornom riziku.

Passirova traka za privolu osmišljena je od temelja tako da bude bez manipulativnih obrazaca, ispunjavajući svaki kriterij s ovog kontrolnog popisa prema zadanim postavkama. Saznajte kako vam Passiro može pomoći implementirati etičku, usklađenu privolu za kolačiće.

Je li vaša web stranica usklađena s propisima o kolačićima?

Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.

Besplatno skenirajte svoje kolačiće