EDPB antar riktlinjer för vilseledande design i sociala medier

Den 6 mars 2023 publicerade Europeiska dataskyddsstyrelsen (EDPB) uppdaterade och slutligt antagna riktlinjer för vilseledande designmönster i sociala medieplattformars gränssnitt. Vilseledande designmönster definieras i riktlinjerna som användargränssnitt som utformas i syfte att påverka en plattforms användare att fatta oavsiktliga och potentiellt riskfyllda beslut gällande behandlingen av användarens personuppgifter.

EDPB:s riktlinjer ger praktiska rekommendationer till såväl leverantörer som användare av sociala medier om hur en kan identifiera och förhindra användningen av vilseledande designmönster. Riktlinjerna ger också vägledning om bästa praxis vid utformning av användargränssnitt i syfte att efterleva dataskyddsförordningens (GDPR) bestämmelser om personuppgiftsbehandling.

Ett vilseledande designmönster kan ta form i många olika skepnader. EDPB:s riktlinjer delar in dem i följande kategorier:

• Overloading: Användaren konfronteras med en överväldigande mängd av förfrågningar, valmöjligheter eller information i syfte att få användaren att oavsiktligt samtycka till personuppgiftsbehandlingen eller att dela sin data.
• Skipping: Gränssnittet utformas på ett sätt som får användaren att glömma bort eller förbise sina rättigheter. Det kan till exempel handla om en textruta som erbjuder flera olika alternativ, där det mest integritetsinskränkande valet tydligt premieras genom att vara ikryssat på förhand eller presenterat i en mer färgglad text.
• Stirring: Gränssnittets utformning påverkar användarens val genom att vädja till användarens känslor eller genom visuella påtryckningar. Det kan till exempel åstadkommas med en design där vissa valmöjligheter ger upphov till glada eller trygga känslor, medan andra alternativ har en mer negativ eller orosframkallande framtoning.
• Obstructing: Gränssnitt som hindrar eller blockerar användaren från att tillägna sig information om personuppgiftsbehandlingen eller som gör det svårt eller omöjligt att styra över användarens val.
• Fickle: Gränssnitt som är medvetet otydliga eller förvirrande. Presentationen kan till exempel vara onödigt omständlig eller inkonsekvent i sin språkanvändning.
• Left in the dark: Gränssnitt som gömmer information eller valmöjligheter i syfte att göra användaren osäker om hur personuppgifterna behandlas.

Några centrala grundprinciper gällande dataskydd som är särskilt relevanta vid personuppgiftsbehandling på sociala medier framgår av artikel 5.1 a och c i GDPR. Det innebär bland annat att uppgifterna måste behandlas på ett lagligt, korrekt och öppet sätt och insamlingen inte ska vara för omfattande sett till sitt ändamål. Även bestämmelserna om samtycke i artikel 7 och principen om inbyggt dataskydd och dataskydd som standard i artikel 25 bör tas i beaktning redan i plattformens designstadie.

Riktlinjerna har innan EDPB:s antagande varit ute på remiss och sedermera uppdaterats med nya formuleringar och förtydliganden. En noterbar förändring är att den välkända engelska översättningen för vilseledande designmönster, ”dark patterns”, nu har ersatts av termen ”deceptive design patterns”.

Klicka här om du är intresserad av att läsa EDPB:s riktlinjer i dess helhet.

Denna artikel är skriven av Associate Petri Dahlström.