Wykorzystywanie w przestrzeni wirtualnej tzw. dark patterns coraz częściej jest uznawane za działanie naruszające przepisy. Przekonała się o tym ostatnio nie tylko jedna ze spółek z branży farmaceutycznej, lecz także jej prezes, na którego – co jest nowością – UOKiK nałożył też karę za naruszanie zbiorowych interesów konsumentów. Autorami są prawnicy w ​​​​​​​kancelarii Osborne Clarke.

Urząd zakwestionował m.in. środki porozumiewania się na odległość, które miały na celu nakłonienie klientów do płatnej subskrypcji. Wprowadzanie konsumentów w błąd następowało przez wykorzystywanie mechanizmu przekierowania. Polegało to na tym, że przy składaniu zamówienia darmowej próbki danego produktu wyskakiwało podobne graficznie okienko z przyciskiem do zamówienia, z tym że dotyczyło towaru za opłatą. Wielu klientów je naciskało w przekonaniu, że odnosi się do pierwotnej oferty, czyli nabycia darmowej próbki danego produktu. Takie zachowanie stanowi nieuczciwą praktykę rynkową. Przy czym prezes UOKiK, nakładając karę, wskazał również na brak jasnego oznaczenia przycisku służącego do odpłatnego zamówienia towaru – powinien on być oznaczony w czytelny sposób, np. słowami „zamówienie z obowiązkiem zapłaty” lub innym odpowiednim sformułowaniem/słowem. To również jest niezgodne z ustawą o prawach konsumenta i stanowi naruszenie zbiorowych interesów konsumentów. Zarówno spółka, jak i prezes zostali ukarani w sumie wielomilionową karą.

Czym są dark patterns

Działanie ukaranej firmy to nic innego niż korzystanie z technik manipulacyjnych wykorzystywanych bardzo często w przestrzeni wirtualnej, których katalog jest otwarty. Są one też nazywane „mrocznymi wzorcami zachowań” (ang. dark patterns), a ich celem może być np. pozyskiwanie wrażliwych danych albo danych kontaktowych, środków pieniężnych użytkownika lub nakłonienie go do kliknięcia w konkretny link, by przejść na inną stronę. Tym samym użytkownik danej witryny internetowej, przeklikując się przez zawarte na niej treści z zastosowaniem dark patterns, jest nakłaniany do czynności, które niekoniecznie działają na jego korzyść. Do dark patterns są zaliczane m.in. ukryte reklamy, które z pozoru wyglądają jak zwykłe, neutralne treści. Są one popularne na stronach e-commerce, można je też znaleźć w wyszukiwarkach, gdzie kilka pierwszych wyników to reklamy wyglądające jak rzeczywiste wyniki. Przy czym dark patterns nie zawsze muszą być zamierzonym działaniem – czasem są skutkiem złego lub nieprzemyślanego projektu.

Pod szczególną ochroną

Rosnące zainteresowanie prezesa UOKiK tematyką dark patterns powinno być przestrogą dla przedsiębiorców. W omawianej sprawie kara została nałożona z uwagi na naruszanie regulacji konsumenckich. Ale odpowiednią podstawę do sankcjonowania praktyk dark patterns mogą stanowić również przepisy dotyczące ochrony danych osobowych. Są one cennym zasobem dla przedsiębiorców, w związku z czym w dyrektywie Omnibus przewidziano ochronę konsumentów, którzy w zamian za usługi i treści cyfrowe płacą danymi osobowymi. Wprowadziła ona do obrotu gospodarczego obowiązek stosowania podejścia zwanego „privacy by design”. Oznacza to, że już w fazie projektowania produktu należy zadbać o prywatność użytkowników. Tym samym wszelkie mechanizmy ukierunkowane na pozyskiwanie od użytkowników ich danych – nieważne, w jakim celu – za pomocą dyskusyjnych metod wyświetlania interfejsu mogą być bezpośrednią przyczyną nałożenia na przedsiębiorcę kary finansowej. Inną unijną regulacją wartą uwagi w tym kontekście jest unijne rozporządzenie w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych lub DSA). Jeden z jego przepisów wprowadza zakaz stosowania interfejsów wprowadzających odbiorców usługi w błąd, interfejsów manipulujących lub w inny sposób zakłócających i ograniczających zdolność odbiorców do podejmowania wolnych lub świadomych decyzji. W ten sposób w systemie prawa unijnego pojawił się wyraźny zakaz wykorzystywania praktyk dark patterns. Co ważne, za brak dostosowania się do DSA spółkom może grozić ze strony UOKiK kara do 10 proc. obrotu osiągniętego w poprzednim roku obrotowym. Kara w wysokości 2 mln zł może zostać nałożona też na kadrę zarządzającą, jeśli umyślnie dopuściła ona przez swoje działanie lub zaniechanie do naruszenia przez przedsiębiorcę m.in. zbiorowych interesów konsumentów. Jednocześnie Komisja Europejska uzyskała prawo tworzenia i wydawania wytycznych w zakresie właściwego projektowania interfejsów.

Przedsiębiorcy mają czas na dostosowanie się do obowiązków określonych w DSA do 17 lutego 2024 r. Jednak już dziś warto przygotować organizację na zmianę środowiska prawnego. ©℗

W innych krajach też na cenzurowanym

• Irlandzka Komisja Ochrony Danych nałożyła karę na jedną z największych platform mediów społecznościowych w wysokości 345 mln euro. Na platformie przyjęto interfejs, którego architektura zachęcała użytkowników do szerszego udostępniania swoich danych osobowych, zarówno podczas rejestracji, jak i publikowania treści. Karze finansowej towarzyszył nakaz zaprzestania tych praktyk.

• Włoski organ ochrony danych osobowych (tzw. Garante) nałożył karę finansową na jedną z firm, po raz pierwszy sankcjonując zjawisko dark patterns. Kara w wysokości 300 tys. euro została nałożona za wyłudzanie danych osobowych użytkowników.

• Amerykańska Federalna Komisja Handlu ukarała jednego z największych producentów rozrywki elektronicznej grzywną w wysokości 520 mln dol. Tu również przedsiębiorca wykorzystał dark patterns pojawiające się w interfejsie aplikacji, z której korzystały dzieci poniżej 13. roku życia. Celem było uzyskanie dostępu do danych osobowych oraz nakłanianie dzieci do zakupów. Jednocześnie żaden z tych procesów nie wymagał zgody rodziców czy opiekunów prawnych. ©℗

Podstawa prawna

Podstawa prawna

• art. 24–28 ustawy z 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j. Dz.U. z 2023 r. poz. 1689; ost.zm. Dz.U. z 2023 r. poz. 1705)

• dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE w odniesieniu do lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta (Dz.Urz. UE z 2019 r. L 328, s. 7; dyrektywa Omnibus)

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz.Urz. UE z 2022 r. L 330, s. 1)

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE z 2016 r. L 119, s. 1)