Skip to main content

Klamlivé vzory (dark patterns) v súhlase s cookies

Klamlivý vzor (dark pattern) je návrh používateľského rozhrania, ktorý manipuluje používateľov, aby robili rozhodnutia, ktoré by inak neurobili. V kontexte súhlasu s cookies navádzajú klamlivé vzory používateľov k prijatiu všetkých cookies — nie prostredníctvom jasných informácií a skutočnej voľby, ale prostredníctvom vizuálnej manipulácie, mätúceho jazyka a zámerných prekážok.

Klamlivé vzory v súhlase s cookies nie sú len zlým dizajnom — predstavujú právne riziko. Úrady na ochranu údajov v celej EÚ udelili značné pokuty práve za manipulatívne rozhrania na získavanie súhlasu a regulačný dohľad sa neustále zintenzívňuje.

Prečo klamlivé vzory zneplatňujú súhlas

Podľa GDPR musí byť súhlas:

  • Slobodne udelený (článok 4 ods. 11) — používateľ musí mať skutočnú voľbu, bez nátlaku alebo manipulácie.
  • Konkrétny — súhlas musí byť udelený pre každý jednotlivý účel.
  • Informovaný — používateľ musí rozumieť tomu, s čím súhlasí.
  • Jednoznačný — udelený jasným potvrdzujúcim úkonom.

Klamlivé vzory už z podstaty svojho návrhu narúšajú podmienky „slobodne udelený“ a „informovaný“. Ak je možnosť odmietnutia skrytá, vizuálne potlačená alebo ukrytá za viacero klikov, súhlas používateľa nebol udelený slobodne. Ak je jazyk mätúci alebo zavádzajúci, používateľ nebol informovaný. V oboch prípadoch je súhlas právne neplatný — a každá cookie nastavená na základe takéhoto súhlasu predstavuje porušenie.

Cookie Pledge Európskej únie

V novembri 2023 spustila Európska komisia iniciatívu Cookie Pledge — dobrovoľný záväzok pre firmy prijať férové postupy v oblasti cookies. Hoci nie je právne záväzný, Cookie Pledge signalizuje očakávania Komisie a naznačuje smerovanie budúcej regulácie.

Kľúčové zásady Cookie Pledge:

  • Odmietnutie cookies musí byť rovnako jednoduché ako ich prijatie — pokiaľ ide o počet klikov, vizuálnu prezentáciu a kognitívnu námahu.
  • Žiadne manipulatívne dizajnové prvky, ktoré navádzajú používateľov k prijatiu.
  • Jasný, jednoduchý jazyk, ktorému používatelia porozumejú na prvý pohľad.
  • Žiadne cookie steny (cookie walls), ktoré blokujú prístup k obsahu.
  • Jednoduché odvolanie súhlasu kedykoľvek.

Medzi firmami, ktoré podpísali Cookie Pledge, je niekoľko významných značiek. Hoci ide o dobrovoľnú iniciatívu, úrady na ochranu údajov sa na zásady Cookie Pledge výslovne odvolávali vo svojich rozhodnutiach o vymáhaní.

Usmernenia EDPB o klamlivých vzoroch

Európsky výbor pre ochranu údajov (EDPB) zverejnil Usmernenia 03/2022 o klamlivých vzoroch v rozhraniach platforiem sociálnych médií, ktoré sa vo veľkej miere uplatňujú aj na rozhrania súhlasu s cookies. Usmernenia identifikujú šesť kategórií klamlivých vzorov:

  1. Preťaženie (Overloading) — zahlcovanie používateľov nadmerným množstvom informácií alebo požiadaviek, čo spôsobuje únavu z rozhodovania.
  2. Preskakovanie (Skipping) — navrhovanie rozhraní, ktoré preskakujú alebo vopred vyberajú možnosti bez aktívneho zapojenia používateľa.
  3. Rozrušovanie (Stirring) — používanie emotívneho jazyka alebo vizuálnych podnetov na navedenie používateľa k určitej voľbe.
  4. Sťažovanie (Hindering) — sťažovanie uplatnenia práv (napr. nájdenie tlačidla na odmietnutie, prístup k nastaveniam, odvolanie súhlasu).
  5. Nestálosť (Fickle) — nekonzistentný dizajn, ktorý mätie používateľov, kde sa nachádzajú a čo ich voľby znamenajú.
  6. Ponechanie v nevedomosti (Left in the dark) — skrývanie informácií, používanie nejednoznačného jazyka alebo poskytovanie neúplného kontextu.

Národné úrady na ochranu údajov použili tieto kategórie ako rámec pri posudzovaní cookie lišt počas konaní o vymáhaní.

Bežné klamlivé vzory s príkladmi

Vopred zaškrtnuté políčka

Zobrazovanie zaškrtávacích políčok pre kategórie cookies, ktoré sú už zaškrtnuté, čo vyžaduje, aby ich používateľ aktívne odškrtol, ak chce súhlas odmietnuť. Túto prax výslovne vyhlásil za neplatnú Súdny dvor Európskej únie v prípade Planet49 (C-673/17, október 2019). Súd rozhodol, že vopred zaškrtnuté políčka nepredstavujú „aktívny prejav“ súhlasu.

Napriek tomuto jednoznačnému rozhodnutiu mnohé webové stránky naďalej používajú vopred zaškrtnuté panely predvolieb, najmä pre kategórie „analytika“ alebo „funkčné“. Každá z týchto implementácií vytvára neplatný súhlas.

Chýbajúce tlačidlo na odmietnutie

Zobrazenie iba možností „Prijať všetko“ a „Spravovať predvoľby“ na prvej vrstve bez možnosti odmietnutia. Používateľ musí kliknúť na „Spravovať predvoľby“, prejsť sekundárnym panelom, zrušiť výber všetkých kategórií a potom kliknúť na „Uložiť“ — zvyčajne tri až päť klikov na odmietnutie oproti jednému kliku na prijatie.

Francúzsky úrad na ochranu údajov CNIL bol v presadzovaní pravidiel proti tomuto vzoru mimoriadne dôrazný. Vo svojich rozhodnutiach z januára 2022 voči spoločnostiam Google (150 miliónov EUR) a Facebook (60 miliónov EUR) CNIL výslovne uviedol absenciu jednoduchého mechanizmu odmietnutia na prvej vrstve ako porušenie.

Vizuálna manipulácia

Vizuálne zvýraznenie tlačidla „Prijať“ pri súčasnom potlačení možnosti „Odmietnuť“. Bežné techniky zahŕňajú:

  • Veľké, výrazne sfarbené tlačidlo „Prijať všetko“ vedľa malej, sivej alebo priehľadnej možnosti „Odmietnuť“.
  • „Prijať“ ako plné, vysoko kontrastné tlačidlo, zatiaľ čo „Odmietnuť“ je textový odkaz alebo obrysové tlačidlo.
  • „Prijať“ v ceste vizuálnej pozornosti používateľa (v strede, zarovnané doprava alebo na primárnej pozícii), zatiaľ čo „Odmietnuť“ je umiestnené na menej viditeľnom mieste.
  • Použitie zelenej farby pre „Prijať“ (signalizujúcej bezpečnosť/pokračovanie) a červenej alebo sivej pre „Odmietnuť“ (signalizujúcej nebezpečenstvo/zastavenie/deaktiváciu).

Princíp je jednoduchý: ak by rozumný používateľ vnímal možnosť prijatia ako „predvolenú“ alebo „odporúčanú“ akciu čisto na základe vizuálneho dizajnu, lišta používa klamlivý vzor.

Mätúci jazyk a „oprávnený záujem“

Niektoré rozhrania na získavanie súhlasu prezentujú určité účely sledovania ako založené na „oprávnenom záujme“ namiesto súhlasu, pričom tieto účely sú vopred povolené a vyžadujú odhlásenie (opt-out) namiesto prihlásenia (opt-in). Podľa GDPR je to technicky prípustné pre skutočné oprávnené záujmy, ale často sa to zneužíva.

Keď cookie lišta uvádza desiatky reklamných dodávateľov pod „oprávneným záujmom“ s drobnými prepínačmi, praktickým dôsledkom je, že väčšina používateľov nechápe, čo vidí, a nepodnikne žiadne kroky — výsledkom je predvolene zapnuté sledovanie. Viaceré úrady na ochranu údajov vrátane belgického APD túto prax spochybnili s argumentom, že oprávnený záujem nemôže byť právnym základom pre reklamné sledovanie.

Nadmerný počet klikov na odmietnutie

Asymetria námahy je azda najrozšírenejším klamlivým vzorom:

Akcia Potrebný počet klikov
Prijať všetky cookies 1 klik
Odmietnuť všetky cookies (klamlivý vzor) 3 – 7 klikov (otvoriť nastavenia, zrušiť výber každej kategórie, uložiť, prípadne potvrdiť)
Odmietnuť všetky cookies (v súlade s predpismi) 1 klik (tlačidlo „Odmietnuť všetko“ na prvej vrstve)

Usmernenia EDPB o súhlase sú jednoznačné: „Odvolanie súhlasu by malo byť rovnako jednoduché ako jeho udelenie.“ Z toho vyplýva, že odmietnutie súhlasu by nemalo vyžadovať väčšiu námahu ako jeho udelenie.

Cookie steny

Cookie stena úplne blokuje prístup na webovú stránku, pokiaľ používateľ neprijme cookies. Obsah stránky je skrytý za prekrytím a jediným spôsobom, ako pokračovať, je kliknúť na „Prijať“.

EDPB vo svojich Usmerneniach 05/2020 uviedol, že cookie steny vo všeobecnosti neposkytujú slobodne udelený súhlas, pretože používateľovi nie je poskytnutá skutočná voľba — ide o „súhlas alebo odchod“. Niektoré jurisdikcie umožňujú nuansovanejšiu verziu (napríklad holandský úrad na ochranu údajov naznačil, že cookie steny môžu byť akceptovateľné, ak má používateľ skutočnú rovnocennú alternatívu), ale bezpečnejším postojom je vyhnúť sa im úplne.

Preťaženie informáciami

Niektoré lišty prezentujú celé strany hustého právneho textu, desiatky prepínačov dodávateľov a zložité hierarchie kategórií — nie preto, aby informovali, ale aby zahltili. Keď sú používatelia postavení pred stenu textu a 150 jednotlivých prepínačov dodávateľov, väčšina z nich jednoducho klikne na „Prijať všetko“ z únavy. Ide o klamlivý vzor „preťaženia“, ktorý identifikoval EDPB: použitie vyčerpávajúcich informácií na zabránenie zmysluplnému zapojeniu.

Riešením je vrstvený prístup: stručné, jasné informácie na prvej vrstve, pričom podrobné informácie sú dostupné, ale nie je povinné sa nimi prehrýzať.

Emocionálna manipulácia

Používanie jazyka vyvolávajúceho pocit viny alebo emocionálne nabitého jazyka na navedenie voľby súhlasu:

  • „Nie, ďakujem, personalizovaný zážitok ma nezaujíma“
  • „Radšej si pozriem irelevantné reklamy“
  • „Pokračovať so zhoršeným zážitkom“
  • Použitie smutných emotikonov alebo nesúhlasných obrázkov, keď sa používateľ blíži k odmietnutiu

Tieto techniky „zahanbovania pri potvrdení“ (confirmshaming) vyvolávajú v používateľovi pocit, že odmietnutie cookies je zlá alebo protispoločenská voľba. Jazyk by mal byť neutrálny a informačný, nie emocionálny.

Skutočné príklady vymáhania

Úrady na ochranu údajov prešli od usmernení k vymáhaniu. Uvádzame významné prípady, kde klamlivé vzory v súhlase s cookies viedli k výrazným pokutám:

CNIL vs. Google (150 miliónov EUR) — január 2022

CNIL zistil, že google.fr neponúkal mechanizmus na odmietnutie cookies rovnako jednoducho ako ich prijatie. Prijatie cookies vyžadovalo jeden klik, odmietnutie si vyžadovalo prechádzanie viacerými obrazovkami. Pokuta bola sprevádzaná príkazom poskytnúť tlačidlo „Odmietnuť všetko“ na prvej vrstve do troch mesiacov.

CNIL vs. Facebook (60 miliónov EUR) — január 2022

To isté rozhodnutie o vymáhaní. Cookie lišta Facebooku na facebook.com nemala možnosť odmietnutia na prvej vrstve. Používatelia sa museli prehrabávať nastaveniami, aby cookies odmietli. CNIL uložil pokutu a nariadil nápravu.

CNIL vs. Microsoft (60 miliónov EUR) — december 2022

CNIL zistil, že bing.com ukladal reklamné cookies bez riadneho súhlasu a že cookie lišta neposkytovala rovnako jednoduchý spôsob odmietnutia cookies.

CNIL vs. TikTok (5 miliónov EUR) — december 2022

Cookie lišta TikToku vyžadovala viacero úkonov na odmietnutie cookies. CNIL zistil, že to porušuje požiadavku na rovnako prístupné mechanizmy udelenia a odmietnutia súhlasu.

Taliansky Garante vs. rôzne spoločnosti — 2023

Taliansky úrad na ochranu údajov vykonal kontrolné akcie zamerané na klamlivé vzory v cookie lištách a udelil upozornenia a pokuty viacerým spoločnostiam za používanie manipulatívnych dizajnov tlačidiel na prijatie/odmietnutie.

Ako navrhovať etické rozhrania na získavanie súhlasu

Návrh etického rozhrania na získavanie súhlasu s cookies nie je len o vyhnutí sa pokutám — je o rešpekte voči vašim používateľom a budovaní dôvery. Uvádzame zásady:

  1. Rovnaká viditeľnosť. Možnosti prijatia a odmietnutia musia byť vizuálne identické z hľadiska veľkosti, farebnej výraznosti a umiestnenia. Ak je „Prijať“ plné modré tlačidlo, „Odmietnuť“ musí byť tiež plné tlačidlo rovnakej veľkosti.
  2. Rovnaká námaha. Odmietnutie cookies musí vyžadovať rovnaký počet klikov ako ich prijatie. Jeden klik na prijatie znamená jeden klik na odmietnutie.
  3. Jasný jazyk. Používajte jednoduchý, neutrálny jazyk. „Prijať všetko“ a „Odmietnuť všetko“ — nie „Prijať“ a „Viac informácií“.
  4. Žiadne predvoľby. Všetky nepodstatné kategórie cookies musia byť predvolene vypnuté. Žiadne vopred zaškrtnuté políčka, žiadne vopred povolené oprávnené záujmy.
  5. Čestné informácie. Opíšte, čo cookies robia, vecným spôsobom. Žiadne eufemizmy, žiadne zastrašovacie taktiky, žiadna emocionálna manipulácia.
  6. Prístupné nastavenia. Panel predvolieb by mal byť prehľadný na navigáciu, s jasnými kategóriami a stručnými popismi.
  7. Jednoduché odvolanie. Na každej stránke musí byť dostupná trvalá ikona alebo odkaz na nastavenia, aby používatelia mohli kedykoľvek zmeniť svoje predvoľby.

Kontrolný zoznam: Je moja lišta bez klamlivých vzorov?

Použite tento kontrolný zoznam na audit vašej súčasnej cookie lišty:

  1. Je na prvej vrstve lišty tlačidlo „Odmietnuť všetko“?
  2. Je tlačidlo na odmietnutie rovnako veľké ako tlačidlo na prijatie?
  3. Má tlačidlo na odmietnutie rovnaký vizuálny štýl ako tlačidlo na prijatie (obe plné, obe s obrysom atď.)?
  4. Vyžaduje odmietnutie cookies rovnaký počet klikov ako ich prijatie?
  5. Sú všetky nepodstatné kategórie cookies v paneli predvolieb predvolene vypnuté?
  6. Je jazyk neutrálny a vecný (bez vyvolávania pocitu viny, bez emocionálnej manipulácie)?
  7. Môže používateľ získať prístup k obsahu stránky bez prijatia cookies (žiadna cookie stena)?
  8. Môže používateľ kedykoľvek zmeniť svoje predvoľby prostredníctvom viditeľného odkazu alebo ikony?
  9. Je popis účelu konkrétny (nie len „vylepšenie vášho zážitku“)?
  10. Nie sú pred voľbou používateľa nastavené žiadne cookies?

Ak ste na ktorúkoľvek z týchto otázok odpovedali „nie“, vaša lišta môže obsahovať klamlivé vzory, ktoré vás vystavujú regulačnému riziku.

Lišta na získavanie súhlasu od Passiro je od základu navrhnutá tak, aby bola bez klamlivých vzorov a predvolene spĺňala každé kritérium z tohto kontrolného zoznamu. Zistite, ako vám Passiro môže pomôcť implementovať etický súhlas s cookies v súlade s predpismi.

Je váš web v súlade s pravidlami cookies?

Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.

Skenovať cookies zadarmo