Ciemna scena z laptopem ilustrująca temat dark patterns i prywatności użytkowników

Dark patterns – zwodnicze wzorce projektowe a prywatność

PrzezKatarzyna Matyjanko


Dark patterns (zwodnicze wzorce projektowe) to parasolowe pojęcie obejmujące różnorodne praktyki stosowane w interfejsach cyfrowych, które prowadzą użytkowników do podejmowania decyzji niezgodnych z ich rzeczywistym interesem lub intencją.

Czym są dark patterns?

Termin został wprowadzony w 2010 roku przez projektanta Harry’ego Brignulla i odnosi się do elementów projektowych, które w sposób subtelny, lecz systematyczny, wpływają na zachowanie użytkownika – najczęściej z korzyścią dla dostawcy usługi, kosztem autonomii, prywatności lub kontroli nad danymi. W praktyce dark patterns często pojawiają się w kontekście zgód cookies, rejestracji kont, personalizacji reklam oraz realizacji praw wynikających z RODO.

Dark patterns mogą występować m.in. w:

  • interfejsach platform mediów społecznościowych,
  • banerach cookies,
  • sklepach internetowych,
  • aplikacjach mobilnych,
  • grach wideo i systemach mikropłatności,
  • formularzach rejestracyjnych i newsletterach.

W kontekście ochrony danych osobowych są one szczególnie problematyczne, ponieważ mogą prowadzić do:

  • nieświadomego udostępniania nadmiernej ilości danych,
  • wyrażenia zgody bez realnej swobody wyboru,
  • przyznania niepotrzebnych uprawnień,
  • utrudnień w realizacji praw wynikających z RODO (np. cofnięcia zgody, usunięcia konta).

Jak grupujemy dark patterns związane z prywatnością?

Materiały źródłowe wskazują wiele kategorii dark patterns, z których część nakłada się znaczeniowo. Poniżej zastosowano uproszczony, funkcjonalny podział, skupiony na skutku dla użytkownika i ochrony danych. Zestawienie nie stanowi zamkniętego katalogu, a ocena legalności zawsze wymaga analizy konkretnego przypadku.

Wymuszanie decyzji (forced action)

Na czym polega: użytkownik nie ma realnej możliwości skorzystania z usługi bez podjęcia określonej akcji – najczęściej rejestracji lub wyrażenia zgody na szerokie przetwarzanie danych.

Przykłady:

  1. Brak przycisku „Odrzuć” w banerze cookies.
  2. Komunikat: „Korzystając z tej strony, zgadzasz się na Politykę Prywatności” – bez alternatywy.
  3. Komunikat: „Zarejestruj konto, żeby sfinalizować zakup produktu” (wymuszona rejestracja konta).

Ukrywanie informacji i ustawień 

Na czym polega: informacje o przetwarzaniu danych lub ustawienia prywatności są trudne do znalezienia, rozproszone lub dostępne dopiero po wykonaniu wielu czynności.

Przykłady:

  1. Przy rejestracji użytkownik dostaje link do Polityki Prywatności, ale na stronie docelowej dokument nie jest widoczny – trzeba go odszukać w dodatkowych treściach.
  2. W polityce prywatności konkretne informacje nie znajdują się tam, gdzie przeciętny użytkownik spodziewa się je znaleźć, albo są rozproszone po kilku dokumentach.
  3. Ustawienie cofnięcia zgody marketingowej istnieje, ale jest schowane w: Ustawienia konta Preferencje Komunikacja Partnerzy „Zarządzaj” → dopiero tam lista kilkunastu przełączników – bez „cofnij wszystko” i bez wyjaśnienia skutków.

Domyślnie bardziej inwazyjne ustawienia prywatności

Na czym polega: opcje najbardziej ingerujące w prywatność są ustawione domyślnie, a użytkownik musi aktywnie je zmienić, aby ograniczyć przetwarzanie danych.

Przykłady:

  1. Domyślnie zaznaczona zgoda marketingowa przy rejestracji.
  2. Przy podaniu daty urodzenia są trzy opcje udostępnienia, ale domyślnie zaznaczona jest opcja „dla wszystkich”.
  3. Automatycznie włączona personalizacja reklam.

Mylący język i dezinformacja

Na czym polega: stosowanie niejednoznacznych, sprzecznych lub manipulacyjnych sformułowań, które utrudniają zrozumienie skutków decyzji.

Przykłady:

  1. Podwójne zaprzeczenia: „Nie odznaczaj tego pola, jeśli nie chcesz przestać otrzymywać ważnych informacji od nas”.
  2. Przyciski „OK” zamiast jednoznacznego „Akceptuj”.
  3. Ogólne stwierdzenia typu: „Twoje dane mogą zostać użyte do ulepszania usług” bez wyjaśnienia, jakie dane, do jakich celów i jak.

Wpływanie na emocje

Na czym polega: presja emocjonalna poprzez język, grafikę, kolorystykę lub treść, aby skłonić użytkownika do bardziej inwazyjnych wyborów.

Przykłady:

  1. Komunikat przy wypisie z newslettera w stylu: „Jest nam smutno, że chcesz się wypisać”.
  2. Gdy przy zapytaniu o zapis na newsletter pojawiają się dwie opcje, z których jedna jest przedstawiona pozytywnie a druga negatywnie: 1. „Zapisuję się! Chcę wiedzieć, kiedy oszczędzam!” 2. „Nie, dziękuję, wolę płacić pełną kwotę”.
  3. Pop-up zachęcający do podania dodatkowych, niekoniecznie niezbędnych do wykonania usługi danych: „Chcemy poznać cię lepiej! Nie możemy się doczekać, więc nie zwlekaj i opowiedz nam o sobie!”
  4. „Włącz personalizację, żebyśmy mogli zapewnić Ci najlepsze doświadczenie” + przycisk „Włącz” duży, a odmowa jako mały link „Pomiń” (bez informacji, że chodzi np. o profilowanie reklam).

Utrudnione wycofanie się (asymetria – easy in, hard out, roach motel)

Na czym polega: rejestracja lub wyrażenie zgody jest proste, natomiast rezygnacja, cofnięcie zgody lub usunięcie konta – istotnie utrudnione.

Przykłady:

  1. Brak opcji usunięcia konta w ustawieniach.
  2. Wymóg kontaktu telefonicznego z obsługą klienta.
  3. Wieloetapowe procedury anulowania subskrypcji.

Ciągłe nakłanianie (repeated prompting)

Na czym polega: wielokrotne powtarzanie próśb o zgodę lub dane w celu „zmęczenia” użytkownika i skłonienia go do zmiany pierwotnej decyzji.

Przykłady:

  1. Pop-up newslettera wraca cyklicznie mimo zamknięcia.
  2. Pop-up z prośbą o podanie konkretnej danej (np. Numeru telefonu) pojawia się przy każdym logowaniu, dopóki użytkownik go nie poda.
  3. Zamknięcie okna skutkuje tylko opcją „Przypomnimy później”, bez „Nigdy nie pytaj ponownie”.

Przeciążenie wyborem

Na czym polega: przedstawienie zbyt wielu opcji lub ustawień w sposób, który utrudnia świadomy wybór.

Przykłady:

  1. Rozbudowane panele cookies bez wyjaśnień.
  2. Kilkanaście równorzędnych opcji bez wskazania skutków.
  3. Brak informacji pomocniczych (np. co oznacza dana kategoria cookies, jak długo działa, kto jest odbiorcą).

Pozostawianie w niewiedzy

Na czym polega: przekazywanie informacji w sposób niejasny, zbyt ogólny lub w języku niedostosowanym do użytkownika.

Przykłady:

  1. Platforma jest dostępna po chorwacku lub hiszpańsku, a kluczowe informacje o ochronie danych są wyłącznie po angielsku.
  2. Strony pomocy automatycznie przełączają język na język kraju pobytu, mimo wcześniejszego wyboru innego języka.
  3. Zdanie w Polityce Prywatności brzmiące: „Twoje dane mogą zostać wykorzystane do ulepszenia naszych usług” – bez doprecyzowania, jakie dane i jak będą wykorzystywane.

Odwracanie uwagi (distraction)

Na czym polega:
Elementy związane z prywatnością są zestawione z czymś innym (często pilnym/atrakcyjnym), przez co użytkownik traci koncentrację i podejmuje decyzję „po drodze”, zamiast świadomie ustawić preferencje.

Przykłady:

  1. W banerze cookies obok opcji zarządzania zgodami jest duży przycisk „Kontynuuj / Przejdź dalej”, a ustawienia cookies są linkiem „Dowiedz się więcej” (użytkownik klika „dalej”, żeby zamknąć przeszkodę).
  2. Okno ustawień prywatności wyświetla się jednocześnie z prośbą o zgodę na powiadomienia: użytkownik klika „Zezwól”, bo myśli, że to konieczne do korzystania z serwisu.
  3. W aplikacji mobilnej ekran prosi o geolokalizację „dla lepszych rekomendacji”, a równocześnie pokazuje komunikat o „nowych funkcjach” – przycisk „Włącz” jest jedynym wyraźnym znakiem na ekranie.

Ślepy zaułek (dead end)

Na czym polega: użytkownik szuka informacji lub kontroli (np. usunięcia konta), ale ścieżka kończy się brakiem możliwości działania: link nie działa, opcja nie istnieje, albo prowadzi do strony pomocy bez rozwiązania.

Przykłady:

  1. W ustawieniach jest pozycja „Usuń konto”, ale kliknięcie prowadzi do artykułu pomocy typu „Skontaktuj się z nami” bez formularza lub z formularzem, który nie działa.
  2. Link „Zarządzaj zgodą” w stopce prowadzi do strony 404 albo do ogólnej polityki prywatności bez panelu ustawień.
  3. Użytkownik chce cofnąć zgodę marketingową – jest przełącznik, ale po zapisaniu ustawień wracają one do poprzedniego stanu (brak efektu działania, brak komunikatu).

Czy dark patterns są nielegalne?

Dark patterns to przede wszystkim praktyki nieuczciwe i nierzetelne wobec użytkownika i jego prywatności. Wiele z nich może być również uznane za niezgodne z prawem na podstawie różnych regulacji, w szczególności:

  • RODO – zasady rzetelności, przejrzystości i minimalizacji danych (art. 5), warunki zgody (art. 4 i 7), obowiązki ułatwiania wykonywania praw (art. 12–22).
  • Digital Services Act (DSA) – zakaz projektowania interfejsów platform internetowych w sposób wprowadzający w błąd lub manipulujący użytkownikami (art. 25 ust. 2). 
  • Dyrektywa ePrivacy (2002/58/WE) – m.in. zgoda na cookies i podobne technologie (art. 5 ust. 3) oraz zasady marketingu bezpośredniego w kanałach elektronicznych (art. 13).

W praktyce, jeżeli manipulacja interfejsem dotyczy np. zgody na przetwarzanie danych, jej legalność będzie oceniana przede wszystkim przez pryzmat RODO (a w obszarach cookies często także ePrivacy), niezależnie od tego, że DSA zawiera ogólny zakaz dark patterns dla platform.

W UE pojawiały się już decyzje, kary lub formalne działania odnoszące się do mechanizmów określanych jako dark patterns, m.in.: w 2024 roku polski UOKIK nałożył karę ponad 31 mln zł dla Amazon m.in. za praktyki określone jako dark patterns (presja licznikiem czasu w warunkach braku gwarancji dostawy) a Komisja Europejska wydała wstępne ustalenia wobec platformy X dotyczące dark patterns i przejrzystości reklam (DSA).

W lutym 2026 r. Komisja Europejska przedstawiła wstępne ustalenia, zgodnie z którymi TikTok może naruszać DSA ze względu na „addictive design” (m.in. infinite scroll, autoplay, powiadomienia push i silnie spersonalizowany system rekomendacji).

Dodatkowo, na poziomie UE trwają prace nad inicjatywą Digital Fairness Act, której zapowiadany zakres obejmuje m.in. dark patterns, addictive design i nieuczciwą personalizację

Dla użytkownika – jak się chronić?

  • Czytać polityki prywatności i komunikaty zgód.
  • Zwracać uwagę na brak realnych alternatyw (np. brak „Odrzuć”).
  • Regularnie przeglądać uprawnienia i ustawienia.
  • Korzystać z narzędzi prywatności (np. ustawienia przeglądarki, rozszerzenia).
  • Zgłaszać nieuczciwe praktyki do regulatorów.

Dla przedsiębiorcy – dobre praktyki

  • Projektowanie interfejsów zgodnie z zasadami privacy by design oraz privacy by default.
  • Symetryczne procesy: łatwo wyrazić zgodę – łatwo ją cofnąć.
  • Jasny, prosty język i logiczna struktura informacji.
  • Regularne audyty UX (doświadczenie użytkowników) oraz zgodności z RODO.
  • Współpraca z ekspertami ds. ochrony danych na etapie projektowania, nie po wdrożeniu.

Katarzyna Matyjanko

Powyższy artykuł dotyczy polskiego porządku prawnego i jest oparty o stan prawny, aktualne orzecznictwo oraz praktykę stosowaną w momencie publikacji artykułu. Zakres i sposób przetwarzania danych osobowych w ramach rekrutacji i stosunku pracy może się różnić pomiędzy krajami i jest uzależniony od lokalnych przepisów prawa na terytorium danego państwa.

Źródła i więcej informacji:

Akt o usługach cyfrowych (DSA), https://eur-lex.europa.eu/eli/reg/2022/2065 

E-Privacy (Dyrektywa o prywatności i łączności elektronicznej, Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej)

RODO (Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)

Dark Commercial Patterns, OECD, No. 336, October 2022, https://www.oecd.org/en/publications/dark-commercial-patterns_44f5e846-en.html 

Wytyczne 03/2022 dotyczące zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych: sposoby ich rozpoznawania i unikania, EROD, Luty 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en 

31 mln zł kary dla Amazon, Urząd Ochrony Konkurencji i Konsumentów (UOKiK), Marzec 2024, https://uokik.gov.pl/31-mln-zl-kary-dla-amazon 

Commission preliminary finds TikTok’s addictive design in breach of the Digital Services Act, Komisja Europejska, Luty 2026, https://digital-strategy.ec.europa.eu/en/news/commission-preliminarily-finds-tiktoks-addictive-design-breach-digital-services-act 

Digital Fairness Act – Legislative Train Schedule, Parlament Europejski, styczeń 2026,  https://www.europarl.europa.eu/legislative-train/theme-protecting-our-democracy-upholding-our-values/file-digital-fairness-act 

Komisja przesyła X wstępne ustalenia dotyczące naruszenia aktu o usługach, Komisja Europejska, Lipiec 2024, https://ec.europa.eu/commission/presscorner/detail/pl/ip_24_3761