Dark patterns w banerach cookie: 6 naruszeń RODO ukrytych w Twoim banerze

Przewodnik po ciemnych wzorcach w banerach cookie: jakie praktyki naruszają RODO i jak je wykryć programowo.

Wstęp: Dlaczego organy ochrony danych walczą z dark patterns?

Ciemne wzorce (dark patterns) w banerach cookie to celowo zaprojektowane interfejsy, które skłaniają użytkowników do wyrażenia zgody na przetwarzanie danych wbrew swoim interesom. Choć często subtelne, są coraz bardziej skutecznie zwalczane przez organy nadzorcze: CNIL (Francja), UODO (Polska), BfDI (Niemcy) i ICO (Wielka Brytania) wydały łącznie dziesiątki decyzji i kar dotyczących właśnie nieprawidłowych banerów cookie.

W 2022 roku CNIL ukarała Google kwotą 150 mln EUR, a Meta kwotą 60 mln EUR za dark patterns w banerach cookie. EDPB opublikował w 2022 roku Wytyczne 03/2022 dotyczące ciemnych wzorców, które de facto stanowią obowiązującą interpretację wymogów zgody dla całej UE.

1

Wstępnie zaznaczone pola

Naruszenie: Pola wyboru dla kategorii cookies (analityczne, marketingowe, personalizacyjne) domyślnie zaznaczone. Użytkownik musi aktywnie odznaczyć każdą kategorię, by odmówić zgody.

Podstawa prawna: Art. 4 pkt 11 RODO definiuje zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli". Wstępne zaznaczenie wyklucza „jednoznaczne okazanie woli" (affirmative action). TSUE w sprawie Planet49 (C-673/17) wprost potwierdził, że wstępnie zaznaczone pola nie stanowią ważnej zgody.

Jak wykryć programowo: Sprawdź stan HTML atrybutu checkedna polach wyboru banera przy jego pierwszym renderowaniu (przed jakąkolwiek interakcją użytkownika).

2

Ukryty lub mały przycisk odrzucenia

Naruszenie: Przycisk „Odrzuć wszystkie" jest mniejszy, słabiej widoczny (niższy kontrast), schowany w podmenu lub wymaga więcej kliknięć niż „Akceptuj wszystkie".

Podstawa prawna: Zgodnie z zasadą dobrowolności (art. 4 pkt 11 RODO), odmowa zgody nie może być trudniejsza niż jej udzielenie. EDPB Wytyczne 03/2022 (sekcja 2.1) wprost wymagają, by przyciski akceptacji i odrzucenia były „równoważne wizualnie" (visually equivalent).

Jak wykryć programowo: Porównaj rozmiar czcionki, kolor tła, kontrast WCAG i liczbę wymaganych kliknięć do osiągnięcia odmowy zgody w stosunku do akceptacji.

3

Cookie wall: brak dostępu bez zgody

Naruszenie: Strona blokuje treść lub wyświetla wyłącznie baner cookie do momentu wyrażenia zgody. Użytkownik nie może korzystać z serwisu bez akceptacji cookies.

Podstawa prawna: Art. 7 ust. 4 RODO stanowi, że przy ocenie dobrowolności zgody należy uwzględnić, czy jej udzielenie jest warunkiem wykonania umowy. EDPB wprost wskazało, że cookie walls naruszają zasadę dobrowolności. Wyjątek: model płatności-lub-zgody (pay-or-consent) może być dopuszczalny, ale tylko jeśli cena jest uczciwa i użytkownik ma realną możliwość wyboru.

Jak wykryć programowo: Sprawdź, czy strona renderuje treść bez cookies analitycznych/marketingowych lub czy JavaScript blokuje interakcję przed akceptacją banera.

4

Zbundlowana zgoda (brak granularności)

Naruszenie: Baner oferuje tylko dwie opcje: „Akceptuj wszystkie" lub „Odrzuć wszystkie", bez możliwości selektywnego wyrażenia zgody na poszczególne kategorie (np. analityczne tak, marketingowe nie).

Podstawa prawna: Zgoda musi być „konkretna" (specific) — art. 4 pkt 11 RODO. Motyw 32 RODO stanowi, że „zgoda nie powinna być uznawana za dobrowolnie udzieloną, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru". Brak granularności oznacza brak rzeczywistego wyboru.

Jak wykryć programowo: Sprawdź, czy baner oferuje osobne kontrolki dla co najmniej trzech kategorii: niezbędne, analityczne, marketingowe.

5

Mylący język ("prawnie uzasadniony interes" jako domyślna zgoda)

Naruszenie: Baner używa sformułowania „przetwarzamy Twoje dane na podstawie prawnie uzasadnionego interesu" jako domyślnej podstawy dla cookies marketingowych lub analitycznych, ukrywając tym samym, że wymagana byłaby zgoda.

Podstawa prawna: Dyrektywa ePrivacy (implementowana w Polsce przez ustawę Prawo telekomunikacyjne, art. 173) bezwzględnie wymaga zgody dla cookies niefunkcjonalnych — „prawnie uzasadniony interes" nie może zastąpić zgody w tym kontekście. EDPB w Wytycznych 06/2020 dotyczących cookies potwierdził, że lex specialis (dyrektywa ePrivacy) ma pierwszeństwo nad ogólnymi podstawami z art. 6 RODO dla cookies.

Jak wykryć programowo: Sprawdź, czy baner zawiera sformułowanie „legitimate interest" lub „prawnie uzasadniony interes" w kontekście cookies niefunkcjonalnych — to sygnał ostrzegawczy.

6

Wycofanie zgody trudniejsze niż jej udzielenie

Naruszenie: Udzielenie zgody wymaga jednego kliknięcia, ale jej wycofanie wymaga kilku kroków (np. wejście w ustawienia → prywatność → cookies → odznacz wszystkie → zapisz). Albo: link do zarządzania preferencjami jest ukryty w stopce małą czcionką.

Podstawa prawna: Art. 7 ust. 3 RODO stanowi wprost, że „wycofanie zgody musi być równie łatwe jak jej wyrażenie". To jeden z najczęściej naruszanych wymogów — i jeden z najłatwiejszych do sprawdzenia przez organ nadzorczy.

Jak wykryć programowo: Policz liczbę kliknięć wymaganych do wyrażenia vs. wycofania zgody. Sprawdź widoczność linku do zarządzania preferencjami (rozmiar czcionki, kontrast, lokalizacja na stronie).

Przykłady egzekwowania przez organy regulacyjne

Dark patterns w banerach cookie są aktywnie sankcjonowane:

  • CNIL vs. Google (2022): 150 mln EUR kary za brak równoważnego przycisku odrzucenia i skomplikowaną procedurę wycofania zgody.
  • CNIL vs. Facebook/Meta (2022): 60 mln EUR kary za te same naruszenia — jeden klik wystarczał do akceptacji, wycofanie wymagało wielu kroków.
  • UODO — wytyczne 2023: UODO opublikowało wytyczne wyraźnie zakazujące stosowania dark patterns, nawiązując do Wytycznych EDPB 03/2022.
  • ICO (Wielka Brytania) — Cookie Sweep 2023: ICO skontrolowało 100 największych stron internetowych UK i wysłało pisma wymagające zmian do tych, które stosowały dark patterns.

Jak wykrywać dark patterns programowo

Automatyczne skanowanie banerów cookie może obejmować:

  • Analizę drzewa DOM banera cookie przy pierwszym załadowaniu strony.
  • Porównanie rozmiaru i kontrastu przycisków akceptacji i odrzucenia.
  • Sprawdzenie, które skrypty ładują się przed interakcją użytkownika z banerem.
  • Weryfikację, czy wycofanie zgody jest dostępne z tego samego miejsca co jej udzielenie.
  • Analizę języka użytego w banerze pod kątem mylącej terminologii.

Narzędzia takie jak Juralex Audit automatyzują te kontrole, generując szczegółowe raporty wskazujące konkretne dark patterns na stronie wraz z podstawą prawną naruszenia.