Ciemne wzorce w zgodach na pliki cookie
Ciemny wzorzec (dark pattern) to projekt interfejsu użytkownika, który manipuluje użytkownikami, skłaniając ich do dokonywania wyborów, których w innych okolicznościach by nie podjęli. W kontekście zgód na pliki cookie ciemne wzorce nakierowują użytkowników na akceptację wszystkich plików cookie — nie poprzez jasną informację i rzeczywisty wybór, lecz poprzez manipulację wizualną, mylący język i celowe utrudnienia.
Ciemne wzorce w zgodach na pliki cookie to nie tylko zły projekt — to również zagrożenie prawne. Organy ochrony danych w całej UE nakładały wysokie kary właśnie za manipulacyjne interfejsy zgód, a nadzór regulacyjny wciąż się zaostrza.
Dlaczego ciemne wzorce unieważniają zgodę
Zgodnie z RODO zgoda musi być:
- Dobrowolna (art. 4 pkt 11) — użytkownik musi mieć rzeczywisty wybór, bez nacisku ani manipulacji.
- Konkretna — zgoda musi być udzielona dla każdego odrębnego celu.
- Świadoma — użytkownik musi rozumieć, na co wyraża zgodę.
- Jednoznaczna — wyrażona poprzez wyraźne działanie potwierdzające.
Ciemne wzorce z założenia podważają „dobrowolność" i „świadomość". Jeśli opcja odrzucenia jest ukryta, wizualnie pomniejszona lub schowana za kilkoma kliknięciami, zgoda użytkownika nie została udzielona dobrowolnie. Jeśli język jest mylący lub wprowadzający w błąd, użytkownik nie był świadomy. W obu przypadkach zgoda jest prawnie nieważna — a każdy plik cookie zapisany na jej podstawie stanowi naruszenie.
EU Cookie Pledge
W listopadzie 2023 roku Komisja Europejska uruchomiła Cookie Pledge — dobrowolne zobowiązanie firm do przyjęcia uczciwych praktyk dotyczących plików cookie. Choć nie ma ono charakteru prawnie wiążącego, Cookie Pledge sygnalizuje oczekiwania Komisji i wyznacza kierunek regulacyjny.
Kluczowe zasady Cookie Pledge:
- Odrzucenie plików cookie musi być tak samo proste jak ich akceptacja — pod względem liczby kliknięć, prezentacji wizualnej i wysiłku poznawczego.
- Brak manipulacyjnych elementów projektowych nakierowujących użytkowników na akceptację.
- Jasny, prosty język, który użytkownicy mogą zrozumieć na pierwszy rzut oka.
- Brak cookie walls blokujących dostęp do treści.
- Łatwe wycofanie zgody w dowolnym momencie.
Cookie Pledge podpisało kilka znaczących marek. Choć inicjatywa jest dobrowolna, organy ochrony danych wyraźnie odwoływały się do jej zasad w decyzjach egzekucyjnych.
Wytyczne EROD dotyczące ciemnych wzorców
Europejska Rada Ochrony Danych (EROD) opublikowała Wytyczne 03/2022 dotyczące ciemnych wzorców w interfejsach platform mediów społecznościowych, które szeroko stosowano również do interfejsów zgód na pliki cookie. Wytyczne wskazują sześć kategorii ciemnych wzorców:
- Przeciążanie (overloading) — bombardowanie użytkowników nadmiarem informacji lub próśb, powodujące zmęczenie decyzyjne.
- Pomijanie (skipping) — projektowanie interfejsów, które pomijają lub wstępnie zaznaczają opcje bez aktywnego zaangażowania użytkownika.
- Poruszanie emocji (stirring) — wykorzystywanie emocjonalnego języka lub bodźców wizualnych do nakierowania użytkowników na określony wybór.
- Utrudnianie (hindering) — utrudnianie korzystania z praw (np. znalezienia przycisku odrzucenia, dostępu do ustawień, wycofania zgody).
- Niekonsekwencja (fickle) — niespójny projekt, który dezorientuje użytkowników co do tego, gdzie się znajdują i co oznaczają ich wybory.
- Pozostawienie w niewiedzy (left in the dark) — ukrywanie informacji, używanie niejednoznacznego języka lub dostarczanie niepełnego kontekstu.
Krajowe organy ochrony danych stosowały te kategorie jako ramy oceny banerów cookie w toku postępowań egzekucyjnych.
Najczęstsze ciemne wzorce wraz z przykładami
Wstępnie zaznaczone pola wyboru
Prezentowanie pól wyboru kategorii plików cookie, które są już zaznaczone, wymagając od użytkownika aktywnego ich odznaczenia, by odmówić zgody. Praktyka ta została wyraźnie uznana za nieważną przez Trybunał Sprawiedliwości Unii Europejskiej w sprawie Planet49 (C-673/17, październik 2019). Trybunał orzekł, że wstępnie zaznaczone pola wyboru nie stanowią „aktywnego wskazania" zgody.
Mimo tego jednoznacznego orzeczenia wiele witryn nadal stosuje wstępnie zaznaczone panele preferencji, zwłaszcza dla kategorii „analitycznych" lub „funkcjonalnych". Każde z takich rozwiązań skutkuje nieważną zgodą.
Brak przycisku odrzucenia
Wyświetlanie na pierwszej warstwie jedynie opcji „Zaakceptuj wszystkie" i „Zarządzaj preferencjami", bez możliwości odrzucenia. Użytkownik musi kliknąć „Zarządzaj preferencjami", przejść do panelu drugiego poziomu, odznaczyć wszystkie kategorie, a następnie kliknąć „Zapisz" — zwykle od trzech do pięciu kliknięć, aby odmówić, w porównaniu z jednym kliknięciem, aby zaakceptować.
CNIL (francuski organ ochrony danych) szczególnie stanowczo egzekwował przepisy wobec tego wzorca. W działaniach egzekucyjnych ze stycznia 2022 roku wobec Google (150 mln EUR) i Facebooka (60 mln EUR) CNIL wprost wskazał brak prostego mechanizmu odrzucenia na pierwszej warstwie jako naruszenie.
Manipulacja wizualna
Wyeksponowanie wizualne przycisku „Zaakceptuj" przy jednoczesnym pomniejszeniu opcji „Odrzuć". Do częstych technik należą:
- Duży, jaskrawo kolorowy przycisk „Zaakceptuj wszystkie" obok małej, szarej lub przezroczystej opcji „Odrzuć".
- „Zaakceptuj" jako pełny przycisk o wysokim kontraście, podczas gdy „Odrzuć" to link tekstowy lub przycisk-widmo.
- „Zaakceptuj" umieszczony na ścieżce wzroku użytkownika (na środku, po prawej lub w pozycji głównej), a „Odrzuć" w mniej wyeksponowanym miejscu.
- Użycie zieleni dla „Zaakceptuj" (sygnał bezpieczeństwa/„idź") oraz czerwieni lub szarości dla „Odrzuć" (sygnał zagrożenia/„stop"/nieaktywności).
Zasada jest prosta: jeśli rozsądny użytkownik postrzegałby opcję akceptacji jako działanie „domyślne" lub „zalecane" wyłącznie na podstawie projektu wizualnego, baner stosuje ciemny wzorzec.
Mylący język i „prawnie uzasadniony interes"
Niektóre interfejsy zgód przedstawiają określone cele śledzenia jako oparte na „prawnie uzasadnionym interesie", a nie na zgodzie, przy czym cele te są wstępnie włączone i wymagają wypisania się (opt-out), a nie zapisania (opt-in). Zgodnie z RODO jest to technicznie dopuszczalne w przypadku rzeczywistych prawnie uzasadnionych interesów, ale bywa szeroko nadużywane.
Gdy baner cookie wymienia dziesiątki dostawców reklamowych w ramach „prawnie uzasadnionego interesu" z drobnymi przełącznikami, praktycznym skutkiem jest to, że większość użytkowników nie rozumie, co widzi, i nie podejmuje działania — co prowadzi do śledzenia domyślnie. Kilka organów ochrony danych, w tym belgijski APD, zakwestionowało tę praktykę, argumentując, że prawnie uzasadniony interes nie może być podstawą prawną śledzenia reklamowego.
Nadmierna liczba kliknięć do odrzucenia
Asymetria wysiłku to prawdopodobnie najbardziej rozpowszechniony ciemny wzorzec:
| Działanie | Wymagana liczba kliknięć |
|---|---|
| Akceptacja wszystkich plików cookie | 1 kliknięcie |
| Odrzucenie wszystkich plików cookie (ciemny wzorzec) | 3–7 kliknięć (otwarcie ustawień, odznaczenie każdej kategorii, zapis, ewentualne potwierdzenie) |
| Odrzucenie wszystkich plików cookie (zgodnie z prawem) | 1 kliknięcie (przycisk „Odrzuć wszystkie" na pierwszej warstwie) |
Wytyczne EROD dotyczące zgody są jednoznaczne: „Wycofanie zgody powinno być tak samo proste jak jej udzielenie". W konsekwencji odmowa zgody nie powinna wymagać większego wysiłku niż jej udzielenie.
Cookie walls
Cookie wall całkowicie blokuje dostęp do witryny, dopóki użytkownik nie zaakceptuje plików cookie. Treść strony jest ukryta pod nakładką, a jedynym sposobem, by przejść dalej, jest kliknięcie „Zaakceptuj".
EROD stwierdziła w Wytycznych 05/2020, że cookie walls zasadniczo nie zapewniają dobrowolnie udzielonej zgody, ponieważ użytkownik nie ma rzeczywistego wyboru — jest to „zgoda albo odejście". Niektóre jurysdykcje dopuszczają wersję niuansową (holenderski organ ochrony danych wskazał na przykład, że cookie walls mogą być dopuszczalne, jeśli użytkownik ma rzeczywistą, równoważną alternatywę), ale bezpieczniej jest całkowicie ich unikać.
Przeciążanie informacjami
Niektóre banery prezentują strony gęstego tekstu prawnego, dziesiątki przełączników dostawców i złożone hierarchie kategorii — nie po to, by informować, lecz by przytłoczyć. W obliczu ściany tekstu i 150 indywidualnych przełączników dostawców większość użytkowników po prostu klika „Zaakceptuj wszystkie" ze zmęczenia. To ciemny wzorzec „przeciążania" wskazany przez EROD: wykorzystanie wyczerpującej informacji, by uniemożliwić rzeczywiste zaangażowanie.
Rozwiązaniem jest podejście warstwowe: zwięzła, jasna informacja na pierwszej warstwie, z dostępnymi szczegółowymi informacjami, których jednak nie trzeba obowiązkowo przeglądać.
Manipulacja emocjonalna
Wykorzystanie języka wzbudzającego poczucie winy lub nacechowanego emocjonalnie, by nakierować wybory dotyczące zgody:
- „Nie, dziękuję, nie zależy mi na spersonalizowanym doświadczeniu"
- „Wolę oglądać nieistotne reklamy"
- „Kontynuuj z pogorszonym doświadczeniem"
- Używanie smutnych emoji lub obrazów wyrażających dezaprobatę, gdy użytkownik zmierza w kierunku odrzucenia
Te techniki „confirmshamingu" sprawiają, że użytkownik czuje, iż odrzucenie plików cookie jest złym lub antyspołecznym wyborem. Język powinien być neutralny i informacyjny, a nie emocjonalny.
Rzeczywiste przykłady egzekucji
Organy ochrony danych przeszły od wytycznych do egzekwowania przepisów. Oto znaczące sprawy, w których ciemne wzorce w zgodach na pliki cookie doprowadziły do wysokich kar:
CNIL vs. Google (150 mln EUR) — styczeń 2022
CNIL stwierdził, że google.fr nie oferuje mechanizmu odrzucenia plików cookie równie łatwego jak ich akceptacja. Akceptacja plików cookie wymagała jednego kliknięcia; odmowa wymagała przechodzenia przez wiele ekranów. Karze towarzyszył nakaz udostępnienia przycisku „Odrzuć wszystkie" na pierwszej warstwie w ciągu trzech miesięcy.
CNIL vs. Facebook (60 mln EUR) — styczeń 2022
To samo działanie egzekucyjne. Baner cookie Facebooka na facebook.com nie zawierał opcji odrzucenia na pierwszej warstwie. Użytkownicy musieli przechodzić przez ustawienia, by odmówić plików cookie. CNIL nałożył karę i nakazał usunięcie nieprawidłowości.
CNIL vs. Microsoft (60 mln EUR) — grudzień 2022
CNIL stwierdził, że bing.com zapisywał reklamowe pliki cookie bez odpowiedniej zgody, a baner cookie nie zapewniał równie łatwego sposobu odrzucenia plików cookie.
CNIL vs. TikTok (5 mln EUR) — grudzień 2022
Baner cookie TikToka wymagał wielu działań, by odmówić plików cookie. CNIL uznał, że narusza to wymóg równie dostępnych mechanizmów udzielenia i odmowy zgody.
Włoski Garante vs. różne firmy — 2023
Włoski organ ochrony danych przeprowadził kontrole ukierunkowane na ciemne wzorce w banerach cookie, wydając ostrzeżenia i kary wielu firmom za stosowanie manipulacyjnych projektów przycisków akceptacji/odrzucenia.
Jak projektować etyczne interfejsy zgód
Projektowanie etycznego interfejsu zgody na pliki cookie to nie tylko unikanie kar — to również szacunek dla użytkowników i budowanie zaufania. Oto zasady:
- Równa widoczność. Opcje akceptacji i odrzucenia muszą być wizualnie identyczne pod względem rozmiaru, wagi kolorystycznej i umiejscowienia. Jeśli „Zaakceptuj" to pełny niebieski przycisk, „Odrzuć" również musi być pełnym przyciskiem o tym samym rozmiarze.
- Równy wysiłek. Odmowa plików cookie musi wymagać tej samej liczby kliknięć co ich akceptacja. Jedno kliknięcie na akceptację oznacza jedno kliknięcie na odrzucenie.
- Jasny język. Używaj prostego, neutralnego języka. „Zaakceptuj wszystkie" i „Odrzuć wszystkie" — a nie „Zaakceptuj" i „Dowiedz się więcej".
- Brak ustawień domyślnych. Wszystkie kategorie plików cookie inne niż niezbędne muszą być domyślnie wyłączone. Żadnych wstępnie zaznaczonych pól wyboru ani wstępnie włączonych prawnie uzasadnionych interesów.
- Rzetelna informacja. Opisuj działanie plików cookie w sposób faktyczny. Bez eufemizmów, straszenia i manipulacji emocjonalnej.
- Dostępne ustawienia. Panel preferencji powinien być łatwy w nawigacji, z jasnymi kategoriami i zwięzłymi opisami.
- Łatwe wycofanie. Trwała ikona lub link do ustawień musi być dostępny na każdej stronie, aby użytkownicy mogli zmieniać swoje preferencje w dowolnym momencie.
Lista kontrolna: Czy mój baner jest wolny od ciemnych wzorców?
Skorzystaj z tej listy kontrolnej, aby przeprowadzić audyt swojego obecnego banera cookie:
- Czy na pierwszej warstwie banera znajduje się przycisk „Odrzuć wszystkie"?
- Czy przycisk odrzucenia ma ten sam rozmiar co przycisk akceptacji?
- Czy przycisk odrzucenia ma ten sam styl wizualny co przycisk akceptacji (oba pełne, oba z obramowaniem itd.)?
- Czy odrzucenie plików cookie wymaga tej samej liczby kliknięć co ich akceptacja?
- Czy wszystkie kategorie plików cookie inne niż niezbędne są domyślnie wyłączone w panelu preferencji?
- Czy język jest neutralny i faktyczny (bez wzbudzania poczucia winy i manipulacji emocjonalnej)?
- Czy użytkownik może uzyskać dostęp do treści witryny bez akceptacji plików cookie (brak cookie wall)?
- Czy użytkownik może zmienić swoje preferencje w dowolnym momencie za pomocą widocznego linku lub ikony?
- Czy opis celu jest konkretny (a nie po prostu „aby poprawić Twoje doświadczenie")?
- Czy żadne pliki cookie nie są zapisywane przed dokonaniem wyboru przez użytkownika?
Jeśli na którekolwiek z tych pytań odpowiedziałeś „nie", Twój baner może zawierać ciemne wzorce, które narażają Cię na ryzyko regulacyjne.
Baner zgody Passiro został od podstaw zaprojektowany tak, by był wolny od ciemnych wzorców i domyślnie spełniał każde kryterium z tej listy kontrolnej. Dowiedz się, jak Passiro może pomóc Ci wdrożyć etyczną, zgodną z przepisami zgodę na pliki cookie.
Czy Twoja strona jest zgodna z przepisami o cookies?
Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.
Przeskanuj cookies za darmo