Keď som začínal s nariadením GDPR, tak som si nikdy nepomyslel, že ak to budem chcieť robiť naozaj profesionálne, tak po určitom čase mi znalosť iba tohto nariadenia nebude vôbec stačiť. Iste, vedel som, že s nariadením GDPR súvisí množstvo ďalších lokálnych predpisov, zákonov, ako aj Ústava SR a pod., ale rozsah EÚ digitálnych regulácií, ktoré na GDPR nadväzovali a ešte aj budú nadväzovať, mi istý čas unikal.
Preto je len logické, že už istý čas zverejňujem analýzy vplyvu balíka EÚ digitálnych regulácií na ochranu osobných údajov. Dnes tu máme analýzu Digital Fairness Act (DFA). Ide o snahu zamedziť nekalý praktikám na Vás a s mnohými ste sa v bežnom živote určite aj stretli.
O čo teda presnejšie ide?
10. apríla 2025 – Michael McGrath, komisár EÚ pre demokraciu, spravodlivosť, právny štát a ochranu spotrebiteľa, na európskom samite o inováciách v maloobchode v Bruseli hovoril o akte o digitálnej spravodlivosti. Čo to teda je ako sa nám to týka?
DFA je legislatívna iniciatíva EÚ, ktorá reaguje na zistenia z tzv. „digital fairness fitness checku“ z roku 2024. Ten ukázal, že súčasné spotrebiteľské právo v online prostredí nezachytáva rastúce manipulatívne praktiky. Digital Fairness Act je teda len odpoveďou na fragmentované a často nedostatočné predpisy týkajúce sa manipulatívnych online praktík.
Na rozdiel od GDPR, ktorý chráni predovšetkým osobné údaje, sa DFA sústreďuje na spravodlivé digitálne prostredie – zakazuje temné vzorce, návykový dizajn, nespravodlivú personalizáciu a marketing influencerov. Zároveň dopĺňa a zosúlaďuje existujúce smernice a nariadenia (DSA, DMA, AI Act, Data Act) tak, aby spotrebiteľ mal väčšiu kontrolu nad svojím online prostredím. Napriek tomu je potrebné si uvedomiť, že tu existuje už aj emocionálne manipulatívna AI, ktorá predstavuje nový druh rizika, ktorý súčasné zákony zachytávajú tiež len čiastočne. Preto by DFA mala obsahovať aj pravidlá zamerané na psychologickú pohodu používateľov – napríklad „právo nebyť rušený“ a etický dizajn algoritmov a pod.
Podľa analýzy Európskej komisie a následnej verejnej konzultácie má DFA riešiť niekoľko kritických oblastí:
Vkradnite sa do košíka. To zahŕňa pridávanie položiek do nákupného košíka používateľa bez jeho výslovného súhlasu. Keď napríklad používateľ nakupuje online, môžu byť vopred vybrané ďalšie produkty (napríklad záruka), čo vedie používateľov k ich náhodnému nákupu, ak svoju objednávku dôkladne neskontrolujú.
Príklad: Kupujúci si do košíka pridá notebook. Bez povšimnutia je vopred vybraná predĺžená záruka, ktorá zvyšuje celkovú cenu. Používateľ sa musí manuálne odhlásiť.
Potvrdenie zahanbenia. Táto taktika zahŕňa použitie viny alebo emocionálnej manipulácie na presvedčenie používateľov, aby vykonali konkrétnu akciu. Napríklad, keď sa používateľ pokúsi odmietnuť prihlásenie na odber noviniek, môže vidieť tlačidlo označené "Nie, nechcem zostať informovaný", ktoré sa ho pokúša vyvolať pocit viny, aby prijal ponuku.
Tu je jednoduchý príklad: "Chceli by ste sa prihlásiť na odber nášho newslettera?" [Áno] →"Zaregistrujte ma!" alebo [Nie] → "Nie, neznášam učenie sa nových vecí."
Vynútená kontinuita. Používatelia sa môžu zaregistrovať na bezplatnú skúšobnú verziu služby len preto, aby zistili, že zrušenie je ťažké, alebo sa im po skončení skúšobnej verzie automaticky účtujú poplatky bez jasných pripomenutí. Tento vzor uzamkne používateľov do priebežných platieb bez ich súhlasu.
Jednoduchý príklad: Používateľ sa zaregistruje na 7-dňovú bezplatnú skúšobnú verziu streamovacej služby. Kreditná karta je potrebná vopred. Spoločnosť neposiela pripomienku pred účtovaním poplatku používateľovi po skončení skúšobnej verzie. Používateľ si uvedomí, že mu bol účtovaný až po skontrolovaní bankového výpisu.
Motel Roach. Tento dizajn uľahčuje používateľom dostať sa do situácie (napríklad prihlásenie sa na odber služby), ale je ťažké sa dostať von (zrušenie predplatného). Pre tento vzorec sú charakteristické zložité procesy zrušenia, skryté nastavenia alebo žiadny jednoduchý spôsob odhlásenia.
Tu je jednoduchý príklad: Používateľ si predplatí skúšobnú verziu online časopisu alebo služby za 1 €. Proces zrušenia je skrytý hlboko v podmienkach. Pri pokuse o zrušenie systém vyžaduje zavolanie na zákaznícky servis alebo navigáciu vo viacerých mätúcich krokoch. Po skončení skúšobnej verzie sa používateľovi účtuje plná mesačná cena bez jednoduchého spôsobu zrušenia.
Skryté náklady. Ďalšie poplatky sa zobrazujú neskoro v procese nákupu, napríklad pri platbe. To môže zahŕňať dane, poplatky za dopravu alebo príplatky, ktoré neboli zverejnené vopred, čo zavádza používateľa o skutočných nákladoch na produkt alebo službu.
Nevedomé udeľovanie povolení. Tento vzorec oklame používateľov, aby zdieľali viac osobných údajov, ako zamýšľali. Často zahŕňa nejasné nastavenia ochrany osobných údajov alebo možnosti odhlásenia, ktoré je ťažké nájsť, čo vedie používateľov k nevedomému udeľovaniu povolení na zhromažďovanie údajov.
Trikové otázky. Táto technika využíva mätúce formulácie alebo zavádzajúce možnosti vo formulároch, aby oklamala používateľov, aby urobili rozhodnutia, ktoré nemali v úmysle. Napríklad začiarkavacie políčko môže byť formulované dvojito záporne, takže nie je jasné, či sa začiarknutie alebo zrušenie začiarknutia niečoho prihlási alebo odhlási.
Návnada a prepínač. Používatelia očakávajú jeden výsledok od určitej akcie, ale dostanú úplne iný výsledok. Napríklad kliknutím na tlačidlo, ktoré sa zobrazí na zatvorenie kontextového okna, môže používateľa namiesto toho presmerovať na nesúvisiacu stránku alebo službu.
Jednoduchý príklad: Webová stránka inzeruje špičkový notebook za 899 € (bežná cena 1 299 €). Používateľ klikne na nákup, ale pri pokladni zľava zmizne a cena sa vráti na 1 299 €. Spoločnosť tvrdí, že dohoda vypršala (aj keď bola stále inzerovaná).
Tu je ďalší príklad: Online ponuka práce inzeruje "plat 80 000 €, práca na diaľku, plné výhody". Po podaní žiadosti a absolvovaní pohovorov spoločnosť ponúka 50 000 eur, žiadnu prácu na diaľku a minimálne výhody. Pôvodná ponuka nikdy nebola reálna, bola to len taktika na prilákanie uchádzačov.
Nesprávne nasmerovanie. To zahŕňa navrhnutie rozhrania, kde je pozornosť používateľa zameraná na jednu vec, často niečo prospešné pre spoločnosť, pričom sa skrývajú alebo bagatelizujú iné dôležité informácie alebo možnosti. Príkladom môže byť zvýraznenie prémiovej služby, zatiaľ čo možnosť bezplatnej verzie je ťažké nájsť.
Skryté reklamy. Reklamy, ktoré sa zdajú byť súčasťou rozhrania, ako napríklad redakčný obsah alebo tlačidlá, sú ďalšou formou temných vzorov. Používatelia môžu kliknúť na tieto reklamy v domnení, že interagujú s platformou, len aby boli presmerovaní na externý obsah alebo produkty.
Príklad: Spravodajská webová stránka uverejňuje článok s názvom "Prečo odborníci odporúčajú túto novú tabletku na chudnutie". Článok vyzerá ako skutočná žurnalistika, ale v skutočnosti ide o platenú propagáciu od výrobcu tabletiek.
Tu je ďalší jednoduchý príklad: Používateľ navštívi webovú stránku, aby si stiahol bezplatný softvér. Existuje viacero tlačidiel "Stiahnuť teraz", ale iba jedno vedie k inzerovanému stiahnutiu. Ostatné tlačidlá sú skryté reklamy, ktoré vedú na weby tretích strán.
Tieňový zákaz. Na niektorých sociálnych platformách môžu byť používatelia tieňovo zakázaní, kde je ich obsah pre nich síce stále viditeľný, ale je skrytý pred všetkými ostatnými. To zabraňuje používateľom uvedomiť si, že dostali zákaz, čo podporuje pokračujúce zapojenie a zároveň zabraňuje tomu, aby sa ich obsah dostal k ostatným. Tento vzorec využíva psychologickú potrebu potvrdenia a spätnej väzby.
Príklad: Online predajca ponúka produkt, ktorý konkuruje vlastnej značke platformy. Ich výpis sa potichu presunie na koniec výsledkov vyhľadávania ostatných používateľov, vďaka čomu je pre kupujúcich prakticky neviditeľný. Predajca sa o tom nikdy nedozvie.
Tu je ďalší príklad: Jednoduchý (nie "prémiový") používateľ často prispieva do veľkého diskusného fóra. Moderátori umiestňujú na svoj účet tiché obmedzenie, vďaka čomu sú ich príspevky viditeľné iba pre nich a niekoľko ďalších. Používateľ nikdy nedostane upozornenie.
Zahmlievanie prostredníctvom právnickej literatúry. Hoci je poskytnutie zmluvných podmienok nevyhnutné, niektoré spoločnosti zámerne navrhujú právne zmluvy tak, aby boli príliš dlhé, plné zložitého žargónu a právnych pojmov. Toto právne zahmlievanie bráni používateľom plne pochopiť dôsledky ich súhlasu a zneužívať ich nedostatok právnych znalostí.
Jednoduchý príklad: Používateľ si zaregistruje účet na sociálnych sieťach a musí súhlasiť s podmienkami poskytovania služieb (VOP). Zásady ochrany osobných údajov majú 30+ strán a sú plné hutného právneho žargónu. Platforma si vyhradzuje právo zdieľať osobné údaje s inzerentmi tretích strán. Používateľ nevedomky súhlasí s rozsiahlym sledovaním údajov, pretože nerozumie zložitému zneniu.
Tu je ešte jeden príklad: Aplikácia počasia vyžaduje, aby používateľ pred použitím prijal zásady ochrany osobných údajov. Zásady sú napísané vágnymi právnymi pojmami, ako napríklad: "Môžeme spracúvať určité osobné údaje na účely zvýšenia zapojenia používateľov prostredníctvom partnerstiev s tretími stranami." V skutočnosti to znamená, že aplikácia predáva údaje o polohe inzerentom, ale používateľ to zo znenia pochopiť nemôže. Takto je, žiaľ, spracovaná aj väčšina interných GDPR agend.
Prípadne další príklad: Používateľ si zakúpi produkt v elektronickom obchode. V pravidlách vrátenia tovaru sa uvádza: "Všetky nákupy podliehajú procesu hodnotenia na základe podmienok uvedených v časti 2.2 zmluvy s používateľom." Kupujúci neskôr zistí, že vrátenie tovaru je povolené len do 3 dní a vyžaduje si písomnú žiadosť zaslanú poštou alebo telefonický hovor na zákaznícky servis, kde musí čakať hodiny.
Zdieľanie „zakopaných“ údajov. Zahŕňa procesy, ktoré sú pochované hlboko vo vnorených ponukách alebo prepínačoch, čo vyžaduje, aby ich používateľ aktívne objavoval a deaktivoval. Aplikácia môže napríklad predvolene sledovať údaje o polohe a nastavenie na jej vypnutie je skryté niekoľko vrstiev hlboko v ponuke nastavení ochrany osobných údajov, čo používateľom sťažuje ochranu ich súkromia. Tu sa porušujú tiež aj pravidlá GDPR, pretože takto defaultne zakliknuté súhlasy sú nelegálne.
Skryté zhromažďovanie spätnej väzby a hodnotenia. V niektorých prípadoch platformy zhromažďujú spätnú väzbu od používateľov maskovanú ako niečo iné, napríklad jednoduchý prieskum spokojnosti. Spätná väzba sa však môže použiť aj na účely, ktoré nesúvisia s prieskumom, ako je propagácia produktu alebo budovanie profilu na prispôsobený marketing. Používatelia si často neuvedomujú, že ich vstup sa speňažuje.
Tu je jeden z príkladov: Používateľ dokončí online nákup a zobrazí sa mu otázka: "Aký bol váš zážitok z nakupovania?" Kliknú na "Skvelé!". Neskôr nájdu svoje meno a hodnotenie zobrazené na webovej stránke ako referencie zákazníka bez ich výslovného súhlasu.
Prípadne ďalší príklad: Mobilná aplikácia žiada používateľov, aby ohodnotili svoje skúsenosti pomocou: "Páči sa vám táto aplikácia?" Ak vyberú 5 hviezdičiek, budú okamžite presmerovaní do App Store, kde uverejnia recenziu. Ak si vyberú 3 hviezdičky alebo menej, namiesto toho sa odošlú do súkromného formulára spätnej väzby. To manipuluje s verejnými hodnoteniami tým, že umožňuje zverejňovať iba pozitívnu spätnú väzbu.
Spam priateľov. Niektoré služby, najmä platformy sociálnych médií, požadujú prístup ku kontaktom používateľa pod zámienkou, že im pomáhajú spojiť sa s priateľmi. Tieto platformy však môžu posielať nevyžiadané správy alebo pozvánky kontaktom používateľa, často bez výslovného súhlasu. Táto forma sociálneho tlaku využíva osobné kontakty na podporu zapojenia alebo registrácie.
Scroll Jacking. Pri tejto pokročilej technike webové stránky unášajú správanie používateľa pri posúvaní, čo sťažuje alebo znemožňuje voľné posúvanie. Posúvanie môže napríklad spustiť kontextové okná, posúvanie alebo automatické načítanie ďalšieho obsahu (nekonečné posúvanie), čo používateľovi zabráni v jednoduchej navigácii na stránke podľa svojich predstáv.
Predplatné s dynamickou cenou. Niektoré spoločnosti používajú dynamické cenové algoritmy v modeloch predplatného, kde sa cena služby líši v závislosti od správania používateľov, napríklad od toho, ako často ju používajú alebo ako často ju používajú. V kombinácii s pascou predplatného (čo sťažuje zrušenie) môžu používatelia nevedomky platiť kolísavé ceny, ktoré sú vyššie, ako sa pôvodne očakávalo.
Príklad: Používatelia často číta konkrétne online noviny. Webová stránka sleduje ich históriu návštev a úroveň zapojenia. Keď sa konečne rozhodnú predplatiť, ponúkne sa im plán 15 € mesačne. Ďalší nový návštevník uvidí ponuku 9 € mesačne na rovnaké predplatné. Cenový algoritmus zisťuje úroky a účtuje verným čitateľom viac, pretože sa nebojí, že ich ako lojálnych návštevníkov stratí.
Temné algoritmické zosilnenie. To zahŕňa platformy využívajúce algoritmy na zosilnenie obsahu alebo návrhov, ktoré zvyšujú zapojenie používateľov, aj keď je obsah škodlivý, poburujúci alebo návykový. Napríklad algoritmy sociálnych médií môžu uprednostňovať rozdeľujúce alebo emocionálne nabité príspevky, pretože je pravdepodobnejšie, že generujú interakcie, aj keď znižujú pohodu používateľov.
Jeden z príkladov: Nákupná platforma používa algoritmus, ktorý umelo nafukuje dopyt po produktoch. Dokonca aj pri široko dostupných položkách stránka zobrazuje správy ako "Už len 3! Teraz sa na to pozerá 20 ľudí!", aby prinútili používateľov k nákupu. V skutočnosti sa úroveň zásob nemení a naliehavosť je vymyslená na manipuláciu s nákupmi.
Únava z rozhodovania sa vzťahuje na zhoršujúcu sa kvalitu rozhodnutí po dlhom rozhodovaní. Temné vzory to využívajú vytváraním príliš zložitých možností alebo ťažko ovládateľných systémov. Príklad: Používateľ sa chce odhlásiť zo sledovania údajov na webovej stránke. Namiesto jednoduchého tlačidla "Prijať všetko" alebo "Odmietnuť všetko" nastavenia vyžadujú manuálne vypnutie 30+ rôznych možností sledovania (napr. analytika, personalizácia, reklama, konkrétne súbory cookie tretích strán atď.). Frustrovaný používateľ to vzdá a klikne na "Prijať všetko", len aby sa pohol ďalej.
Jednoduchý príklad: Online členovia chcú zrušiť členstvo. Aby mohli zrušiť, webová stránka ich prinúti potvrdiť zrušenie v nastaveniach účtu, napísať osobné údaje, vyplniť "prieskum spätnej väzby", chatovať so zástupcom, ktorý ponúka zľavy na pobyt, dostať e-mail vyžadujúci ďalšie potvrdzovacie kliknutie atď.
Prepojenie a rozdiely DFA voči GDPR a ďalším reguláciám
GDPR (nariadenie 2016/679/EÚ).
GDPR chráni spracovanie osobných údajov, vyžaduje transparentnosť a súhlas, a zakotvuje princíp „privacy by design“. Nie je však zamerané na manipulatívny dizajn ako taký; temné vzorce spadajú pod GDPR len vtedy, keď vedú k nezákonnému spracovaniu údajov. DFA dopĺňa GDPR tak, že sa zameriava na manipulatívne praktiky nezávisle od toho, či ide o spracovanie osobných údajov.
DSA (nariadenie 2022/2065)
DSA zakazuje online platformám navrhovať rozhrania, ktoré podstatne narúšajú schopnosť používateľov urobiť informované rozhodnutia digital-fairness-act.com. Avšak odkazuje na UCPD a GDPR, čím sa praktické uplatnenie obmedzuje. DFA rozširuje zákaz temných vzorcov na všetky digitálne služby a rieši konkrétne techniky ako presadzovanie odhlásenia alebo „subscription traps“.
DMA (nariadenie 2022/1925)
DMA sa týka veľkých „gatekeeperov“ a okrem iného zakazuje kombinovanie osobných údajov naprieč službami bez súhlasu a zakazuje obchádzanie povinností cez temné vzorce. DFA bude platiť pre širokú škálu B2C služieb, nielen pre gatekeeperov.
AI Act
AI Act (prijímaný súčasne s DFA) zakazuje „subliminálne, manipulatívne, klamlivé alebo zraniteľnosť vyžívajúce techniky“ len ak sú schopné spôsobiť „významnú újmu“. DFA by mohla zakázať alebo regulovať emocionálne manipulatívne algoritmy aj v menej závažných prípadoch a vytvoriť „právo nebyť rušený“ – napríklad vypnúť autoplay či notifikácie.
Data Act
Data Act zakazuje používateľské rozhrania, ktoré sťažujú uplatnenie práv používateľa (recital 38), a zakotvuje zákaz dark patterns pri zdieľaní dát. DFA toto rozšíri na všetky digitálne prostredia, nielen na zdieľanie dát.
Europrivacy
Europrivacy je certifikačný rámec pre súlad s GDPR; DFA bude doplnkom, riešiacim manipulatívne techniky mimo spracovania údajov.
ISO normy
ISO 27001 a ISO 42001 upravujú bezpečnostné a etické riadenie AI, avšak neobsahujú konkrétne opatrenia proti návykovému dizajnu.
Kritika a varovania – potreba špecializovanej regulácie
Analytici upozorňujú, že zákonodarcovia si nie sú úplne vedomí psychologických rizík spojených s algoritmami, ktoré vytvárajú návykové vzorce správania. V správe Harvardovho centra Petrie‑Flom sa uvádza, že algoritmy personalizované na mieru vytvárajú „reward loops“ („cykly odmeňovania“ alebo „základné cykly“, ktoré sú kľúčovým psychologickým a dizajnovým mechanizmom, ktorý sa používa na vytváranie návykového alebo opakovaného správania používateľov v digitálnych produktoch, ako sú hry, aplikácie a sociálne médiá. Hoci sa samotný mechanizmus reward loops považuje za základ gamifikácie a etického dizajnu, tak ak sa zneužije na nekalé účely, môže sa stať základom pre tzv. Hyper-Engaging Dark Patterns (HEDP), ktoré vás udržiavajú pri službe dlhšie, než by ste chceli, a tým pádom sú predmetom zvýšenej regulácie) a sú obzvlášť škodlivé pre dospievajúcich. Súčasné spotrebiteľské právo rieši transparentnosť a informovaný súhlas, no nie emocionálne dopady dizajnu.
Na verejnom vypočutí Európskeho parlamentu o vplyve generatívnej AI na demokraciu analytička Victoire Rio vyzvala na zákaz predaja neautentických „telefonických fariem“ (častejšie sa to označuje ako zákaz obchodovania s falošnými alebo umelo generovanými telefonickými identitami – teda SIM kartami, účtami, číslami alebo zariadeniami, ktoré sú hromadne vytvárané a používané na nelegitímne aktivity) a sprísnenie dohľadu nad monetizačnými službami prostredníctvom pripravovaného DFA. Ďalší experti varovali, že mladí ľudia si vytvárajú emocionálne väzby s chatbotmi a AI systémy majú „identity‑shaping power“.
To všetko podčiarkuje potrebu špecializovanej regulácie, ktorá by okrem technických požiadaviek vyhodnocovala aj psychologický vplyv AI.
Ste na DFA už predpripravení?
