Zavajajoči vzorci pri privolitvi v piškotke
Zavajajoči vzorec (dark pattern) je zasnova uporabniškega vmesnika, ki uporabnike manipulira k odločitvam, ki jih sicer ne bi sprejeli. V kontekstu privolitve v piškotke zavajajoči vzorci usmerjajo uporabnike k sprejemu vseh piškotkov — ne z jasnimi informacijami in resnično izbiro, temveč z vizualno manipulacijo, zavajajočim jezikom in namernim oteževanjem.
Zavajajoči vzorci pri privolitvi v piškotke niso zgolj slaba zasnova — so pravna odgovornost. Organi za varstvo podatkov po vsej EU so izrekli visoke globe prav zaradi manipulativnih vmesnikov za privolitev, regulativni nadzor pa se zaostruje.
Zakaj zavajajoči vzorci razveljavijo privolitev
V skladu z GDPR mora biti privolitev:
- Prostovoljna (člen 4(11)) — uporabnik mora imeti resnično izbiro, brez pritiska ali manipulacije.
- Specifična — privolitev mora biti dana za vsak posamezen namen.
- Informirana — uporabnik mora razumeti, čemu daje privolitev.
- Nedvoumna — dana z jasnim pritrdilnim dejanjem.
Zavajajoči vzorci že po zasnovi spodkopavajo pogoja »prostovoljna« in »informirana«. Če je možnost zavrnitve skrita, vizualno zmanjšana ali zakopana za več klikov, privolitev uporabnika ni bila prostovoljna. Če je jezik nejasen ali zavajajoč, uporabnik ni bil informiran. V vsakem od teh primerov je privolitev pravno neveljavna — in vsak piškotek, nastavljen na podlagi te privolitve, pomeni kršitev.
Zaveza EU o piškotkih (Cookie Pledge)
Novembra 2023 je Evropska komisija predstavila Zavezo o piškotkih (Cookie Pledge) — prostovoljno zavezo podjetij k sprejemu poštenih praks glede piškotkov. Čeprav pravno ni zavezujoča, Zaveza o piškotkih izraža pričakovanja Komisije in nakazuje smer prihodnje regulacije.
Ključna načela Zaveze o piškotkih:
- Zavrnitev piškotkov mora biti tako enostavna kot njihov sprejem — kar zadeva število klikov, vizualno predstavitev in kognitivni napor.
- Brez manipulativnih oblikovalskih elementov, ki uporabnike usmerjajo k sprejemu.
- Jasen, preprost jezik, ki ga uporabniki razumejo na prvi pogled.
- Brez zidov piškotkov (cookie walls), ki blokirajo dostop do vsebine.
- Enostaven preklic privolitve kadar koli.
Med podjetji, ki so podpisala Zavezo o piškotkih, je več velikih blagovnih znamk. Čeprav je pobuda prostovoljna, so se organi za varstvo podatkov v svojih odločbah izrecno sklicevali na načela Zaveze.
Smernice EDPB o zavajajočih vzorcih
Evropski odbor za varstvo podatkov (EDPB) je objavil Smernice 03/2022 o zavajajočih vzorcih v vmesnikih platform družbenih medijev, ki so se v veliki meri uporabljale tudi za vmesnike za privolitev v piškotke. Smernice opredeljujejo šest kategorij zavajajočih vzorcev:
- Preobremenjevanje (overloading) — zasipanje uporabnikov s prekomernimi informacijami ali zahtevami, kar povzroči utrujenost pri odločanju.
- Preskakovanje (skipping) — oblikovanje vmesnikov, ki preskočijo ali vnaprej izberejo možnosti brez aktivnega sodelovanja uporabnika.
- Vznemirjanje (stirring) — uporaba čustvenega jezika ali vizualnih namigov za usmerjanje uporabnikov k določeni izbiri.
- Oteževanje (hindering) — oteževanje uveljavljanja pravic (npr. iskanja gumba za zavrnitev, dostopa do nastavitev, preklica privolitve).
- Nedoslednost (fickle) — nedosledna zasnova, ki uporabnike zmede glede tega, kje so in kaj pomenijo njihove izbire.
- Puščanje v temi (left in the dark) — skrivanje informacij, uporaba dvoumnega jezika ali zagotavljanje nepopolnega konteksta.
Nacionalni organi za varstvo podatkov so te kategorije uporabljali kot okvir pri ocenjevanju pasic za piškotke med postopki izvrševanja.
Pogosti zavajajoči vzorci s primeri
Vnaprej označena potrditvena polja
Prikazovanje potrditvenih polj za kategorije piškotkov, ki so že označena, tako da mora uporabnik za zavrnitev privolitve aktivno odstraniti kljukico. Sodišče Evropske unije je to izrecno razsodilo za neveljavno v zadevi Planet49 (C-673/17, oktober 2019). Sodišče je odločilo, da vnaprej označena potrditvena polja ne predstavljajo »aktivnega izraza« privolitve.
Kljub tej nedvoumni razsodbi mnoga spletna mesta še naprej uporabljajo vnaprej označene panele nastavitev, zlasti za kategorije »analitika« ali »funkcionalno«. Vsaka od teh izvedb ustvari neveljavno privolitev.
Brez gumba za zavrnitev
Prikazovanje zgolj gumbov »Sprejmi vse« in »Upravljaj nastavitve« na prvi ravni, brez možnosti zavrnitve. Uporabnik mora klikniti »Upravljaj nastavitve«, se pomakniti skozi sekundarni panel, izbrati odstranitev vseh kategorij in nato klikniti »Shrani« — običajno tri do pet klikov za zavrnitev v primerjavi z enim klikom za sprejem.
CNIL (francoski organ za varstvo podatkov) je bil pri izvrševanju proti temu vzorcu še posebej odločen. Pri ukrepih iz januarja 2022 proti Googlu (150 milijonov EUR) in Facebooku (60 milijonov EUR) je CNIL kot kršitev izrecno navedel odsotnost preprostega mehanizma za zavrnitev na prvi ravni.
Vizualna manipulacija
Vizualno poudarjanje gumba »Sprejmi« ob hkratnem zmanjševanju možnosti »Zavrni«. Pogoste tehnike vključujejo:
- Velik, živo obarvan gumb »Sprejmi vse« ob majhni, sivi ali prosojni možnosti »Zavrni«.
- »Sprejmi« kot poln gumb z visokim kontrastom, medtem ko je »Zavrni« besedilna povezava ali obris gumba (ghost button).
- »Sprejmi« v vidnem žarišču uporabnika (na sredini, poravnano desno ali na primarnem mestu), medtem ko je »Zavrni« na manj vidnem mestu.
- Uporaba zelene za »Sprejmi« (kar signalizira varnost/naprej) in rdeče ali sive za »Zavrni« (kar signalizira nevarnost/stop/onemogočeno).
Načelo je preprosto: če bi razumen uporabnik zaznal možnost sprejema kot »privzeto« ali »priporočeno« dejanje zgolj na podlagi vizualne zasnove, pasica uporablja zavajajoči vzorec.
Zavajajoč jezik in »zakoniti interes«
Nekateri vmesniki za privolitev nekatere namene sledenja predstavljajo kot temelječe na »zakonitem interesu« namesto na privolitvi, pri čemer so ti nameni vnaprej omogočeni in zahtevajo izključitev (opt-out) namesto vključitve (opt-in). To je v skladu z GDPR tehnično dovoljeno za resnične zakonite interese, a se pogosto zlorablja.
Ko pasica za piškotke pod »zakonitim interesom« našteje na desetine oglaševalskih ponudnikov z majhnimi stikali, je praktični učinek ta, da večina uporabnikov ne razume, kaj vidi, in ne ukrepa — kar privede do sledenja po privzeti nastavitvi. Več organov za varstvo podatkov, vključno z belgijskim APD, je tej praksi nasprotovalo z utemeljitvijo, da zakoniti interes ne more biti pravna podlaga za oglaševalsko sledenje.
Prekomerno število klikov za zavrnitev
Asimetrija napora je morda najbolj razširjen zavajajoči vzorec:
| Dejanje | Potrebni kliki |
|---|---|
| Sprejem vseh piškotkov | 1 klik |
| Zavrnitev vseh piškotkov (zavajajoči vzorec) | 3–7 klikov (odpri nastavitve, prekliči izbiro vsake kategorije, shrani, morda potrdi) |
| Zavrnitev vseh piškotkov (skladno) | 1 klik (gumb »Zavrni vse« na prvi ravni) |
Smernice EDPB o privolitvi so jasne: »Preklic privolitve mora biti tako enostaven kot njeno dajanje.« Iz tega izhaja, da zavrnitev privolitve ne sme zahtevati več napora kot njeno dajanje.
Zidovi piškotkov (cookie walls)
Zid piškotkov v celoti blokira dostop do spletnega mesta, razen če uporabnik sprejme piškotke. Vsebina strani je skrita za prekrivnim slojem in edini način za nadaljevanje je klik na »Sprejmi«.
EDPB je v Smernicah 05/2020 navedel, da zidovi piškotkov na splošno ne zagotavljajo prostovoljne privolitve, saj uporabniku ni dana resnična izbira — gre za »privoli ali odidi«. Nekatere jurisdikcije dopuščajo bolj niansirano različico (nizozemski organ za varstvo podatkov je na primer navedel, da so zidovi piškotkov lahko sprejemljivi, če ima uporabnik resnično enakovredno alternativo), a varnejša odločitev je, da se jim v celoti izognemo.
Preobremenjevanje z informacijami
Nekatere pasice prikazujejo strani gostega pravnega besedila, na desetine stikal za ponudnike in zapletene hierarhije kategorij — ne z namenom informiranja, temveč preobremenjevanja. Ko se uporabniki soočijo z zidom besedila in 150 posameznimi stikali za ponudnike, večina preprosto klikne »Sprejmi vse« zaradi utrujenosti. To je zavajajoči vzorec »preobremenjevanja«, ki ga je opredelil EDPB: uporaba izčrpnih informacij za preprečevanje smiselnega sodelovanja.
Rešitev je večplastni pristop: kratke, jasne informacije na prvi ravni, s podrobnimi informacijami, ki so na voljo, a jih ni treba nujno pregledati.
Čustvena manipulacija
Uporaba jezika, ki vzbuja občutek krivde ali je čustveno obarvan, za usmerjanje odločitev o privolitvi:
- »Ne, hvala, ni mi mar za prilagojeno izkušnjo«
- »Raje vidim nepomembne oglase«
- »Nadaljuj s slabšo izkušnjo«
- Uporaba žalostnih emojijev ali neodobravajočih slik, ko se uporabnik nagiba k zavrnitvi
Te tehnike »zasramovanja ob potrditvi« (confirmshaming) vzbudijo pri uporabniku občutek, da je zavrnitev piškotkov slaba ali antisocialna izbira. Jezik mora biti nevtralen in informativen, ne čustven.
Dejanski primeri izvrševanja
Organi za varstvo podatkov so od dajanja smernic prešli k izvrševanju. Tukaj so pomembni primeri, v katerih so zavajajoči vzorci pri privolitvi v piškotke privedli do znatnih glob:
CNIL proti Googlu (150 milijonov EUR) — januar 2022
CNIL je ugotovil, da google.fr ni ponujal mehanizma za zavrnitev piškotkov, ki bi bil tako enostaven kot njihov sprejem. Sprejem piškotkov je zahteval en klik; zavrnitev je zahtevala pomikanje skozi več zaslonov. Globi je bil priložen odredba o zagotovitvi gumba »Zavrni vse« na prvi ravni v treh mesecih.
CNIL proti Facebooku (60 milijonov EUR) — januar 2022
Isti ukrep izvrševanja. Facebookova pasica za piškotke na facebook.com ni imela možnosti zavrnitve na prvi ravni. Uporabniki so morali za zavrnitev piškotkov iti skozi nastavitve. CNIL je izrekel globo in odredil popravne ukrepe.
CNIL proti Microsoftu (60 milijonov EUR) — december 2022
CNIL je ugotovil, da je bing.com shranjeval oglaševalske piškotke brez ustrezne privolitve in da pasica za piškotke ni zagotavljala enako enostavnega načina za zavrnitev piškotkov.
CNIL proti TikToku (5 milijonov EUR) — december 2022
TikTokova pasica za piškotke je za zavrnitev piškotkov zahtevala več dejanj. CNIL je ugotovil, da je to kršilo zahtevo po enako dostopnih mehanizmih za privolitev in zavrnitev.
Italijanski Garante proti različnim podjetjem — 2023
Italijanski organ za varstvo podatkov je izvedel preglede, osredotočene na zavajajoče vzorce pasic za piškotke, in izdal opozorila ter globe več podjetjem zaradi uporabe manipulativnih zasnov gumbov za sprejem/zavrnitev.
Kako oblikovati etične vmesnike za privolitev
Oblikovanje etičnega vmesnika za privolitev v piškotke ne pomeni zgolj izogibanja globam — gre za spoštovanje uporabnikov in gradnjo zaupanja. Tukaj so načela:
- Enaka vidnost. Možnosti za sprejem in zavrnitev morata biti vizualno enaki po velikosti, teži barve in umestitvi. Če je »Sprejmi« poln moder gumb, mora biti tudi »Zavrni« poln gumb enake velikosti.
- Enak napor. Zavrnitev piškotkov mora zahtevati enako število klikov kot njihov sprejem. En klik za sprejem pomeni en klik za zavrnitev.
- Jasen jezik. Uporabljajte preprost, nevtralen jezik. »Sprejmi vse« in »Zavrni vse« — ne »Sprejmi« in »Več informacij«.
- Brez privzetih nastavitev. Vse neobvezne kategorije piškotkov morajo biti privzeto izklopljene. Brez vnaprej označenih potrditvenih polj, brez vnaprej omogočenih zakonitih interesov.
- Poštene informacije. Opišite delovanje piškotkov na dejstvih temelječ način. Brez evfemizmov, brez zastraševanja, brez čustvene manipulacije.
- Dostopne nastavitve. Panel z nastavitvami mora biti preprost za uporabo, z jasnimi kategorijami in jedrnatimi opisi.
- Enostaven preklic. Na vsaki strani mora biti na voljo trajna ikona ali povezava do nastavitev, tako da lahko uporabniki kadar koli spremenijo svoje izbire.
Kontrolni seznam: Ali je moja pasica brez zavajajočih vzorcev?
Uporabite ta kontrolni seznam za pregled svoje trenutne pasice za piškotke:
- Ali je na prvi ravni pasice gumb »Zavrni vse«?
- Ali je gumb za zavrnitev enake velikosti kot gumb za sprejem?
- Ali ima gumb za zavrnitev enak vizualni slog kot gumb za sprejem (oba polna, oba obrisana itd.)?
- Ali zavrnitev piškotkov zahteva enako število klikov kot njihov sprejem?
- Ali so vse neobvezne kategorije piškotkov v panelu z nastavitvami privzeto izklopljene?
- Ali je jezik nevtralen in dejstven (brez vzbujanja krivde, brez čustvene manipulacije)?
- Ali lahko uporabnik dostopa do vsebine spletnega mesta brez sprejema piškotkov (brez zidu piškotkov)?
- Ali lahko uporabnik kadar koli spremeni svoje izbire prek vidne povezave ali ikone?
- Ali je opis namena specifičen (ne le »izboljšanje vaše izkušnje«)?
- Ali se pred izbiro uporabnika ne nastavijo nobeni piškotki?
Če ste na katero koli od teh vprašanj odgovorili z »ne«, vaša pasica morda vsebuje zavajajoče vzorce, ki vas izpostavljajo regulativnemu tveganju.
Passirojeva pasica za privolitev je od temeljev zasnovana tako, da je brez zavajajočih vzorcev in privzeto izpolnjuje vsako merilo s tega kontrolnega seznama. Preberite, kako vam lahko Passiro pomaga uvesti etično, skladno privolitev v piškotke.
Je vaše spletno mesto skladno s pravili o piškotkih?
Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.
Brezplačno skenirajte piškotke