RODO: za wyłudzenia danych administrator serwisu naraża się na kary

Bezpieczne Finanse / CyberHub / Prawo i regulacje

Kartka z napisem RODO na klawiaturze komputera
Fot. stock.adobe.com/bnorbert3

Zwodnicze interfejsy, które wymuszają na nas niepożądane działania, których świadomie byśmy nie podjęli. Reklamy, które udają, że nimi nie są. Skomplikowane formularze i pochowane po kątach opcje. Mowa o dark patterns.

Czy dark patterns mają szanse być zgodne z #RODO? #ochronadanychosobowych #daneosobowe

Dark patterns. Być może nie każdy spotkał się z tym określeniem, ale z pewnością każdy dał się kiedyś na nie złapać. Interfejsy i „sztuczki” UX, które pozornie wyglądają jak błędy w projektowaniu, ale w rzeczywistości są celowymi działaniami, które mają zmusić nas do określonego działania.

Co to wszystko ma wspólnego z RODO? Bardzo wiele. W każdym przypadku gdy dark patterns mają na celu zdobycie danych osobowych użytkownika, chociażby w postaci jego adresu e-mail, zastosowanie znajdą przepisy unijnego rozporządzenia – mówi Paweł Głąb, radca prawny, wspólnik w Kancelarii Prawnej Kantorowski i Wspólnicy.

Dotyczy to w szczególności obowiązków informacyjnych, warunków wyrażenia zgody, czy też jej wycofania. Sankcje za naruszenie przepisów RODO mogą być bardzo poważne.

O milionowych karach za naruszenie unijnego rozporządzenia słyszeliśmy już nie raz. Wystarczy wspomnieć, że mogą one sięgać nawet 20 milionów euro. W związku z tym nawet jeżeli nie jesteś projektantem, a jedynie administratorem serwisu internetowego powinieneś wiedzieć jakich praktyk należy unikać, bo mogą Cię one drogo kosztować. Ostatecznie bowiem to właśnie ty, jako administrator danych osobowych, możesz zostać pociągnięty do odpowiedzialności.

Zasady pozyskiwania danych osobowych

Administrator danych osobowych w każdym przypadku gdy chce w sposób zgodny z prawem przetwarzać dane osobowe, musi wykazać co najmniej jedną przesłankę legitymizującą to przetwarzanie – zaznacza radca prawny Paweł Głąb. – Wśród tych przesłanek wyróżnić można przede wszystkim zgodę, wykonanie umowy, obowiązek prawny, czy też uzasadniony interes administratora. Jeżeli żadnej z tych przesłanek nie ma, mamy do czynienia z przetwarzaniem danych w sposób nielegalny – dodaje mecenas.

Nie jest zatem możliwe zbieranie danych ot tak. Każdy formularz, który wymaga od użytkownika podania imienia, adresu e-mail itp. wymaga tego, żeby dane te zbierane były w konkretnym celu. Celem tym najczęściej będzie prowadzenie działań marketingowych.

Zatem już w momencie pozyskiwania danych użytkownik powinien być poinformowany co najmniej o tym kto jest administratorem i w jakim celu będą przetwarzane dane osobowe.

Warunki wyrażenia zgody

Zgodnie z RODO, zgoda nie musi być wyrażona w formie oświadczenia (np. zaznaczenie checkboxa ze zgodą), ale może być to również wyraźne działanie potwierdzające. Takim działaniem będzie np. wprowadzenie adresu e-mail do formularza. Czy to zatem załatwia problem dark patterns? Nie.

Niezależnie bowiem od tego czy zgoda przybiera formę oświadczenia, czy też wyraźnego działania potwierdzającego, w każdym przypadku powinna być ona dobrowolna, świadoma, jednoznaczna i konkretna.

W momencie wyrażania zgody użytkownik musi być poinformowany o tym, że wprowadzenie adresu e-mail wiąże się z wyrażeniem zgody. Wracamy więc w tym miejscu do wspomnianego już wcześniej obowiązku wskazania danych administratora i celu przetwarzania. Bez tego nie możemy mówić o legalnym przetwarzaniu danych.

Obowiązek informacyjny administratora

Zwrócić trzeba jeszcze uwagę na to, że zgodnie z RODO, w momencie pozyskiwania danych osobowych, administrator ma obowiązek przekazać osobie, której dane dotyczą wiele informacji. Wśród nich m.in. okres przechowywania danych, czy też informację o ich odbiorcach. Zamieszczenie więc na stronie internetowej jakiegokolwiek formularza „zbierającego” dane wiąże się z obowiązek przekazania informacji szczegółowo wymienionych w art. 13 RODO.

Dark patterns a zgodność z RODO

Czy zatem dark patterns mają szanse być zgodne z RODO? Raczej nie. Istotą zwodniczych interfejsów jest w pewien sposób „wyłudzenie” danych, co samo w sobie jest przeciwieństwem ich świadomego podania. Informacje, które administrator musi przekazać w momencie pozyskiwania danych wyklucza zatem jakiekolwiek rozwiązania, które bazują na niewiedzy, czy też nieświadomości użytkownika.

Od administratora serwisu zależy zatem, czy chce działać w zgodzie z przepisami, czy też bazując na nieświadomości użytkowników, pozyskiwać ich dane osobowe, narażając się jednocześnie na kary za naruszenie RODO.

 

Udostępnij artykuł: