Dark patterns jsou manipulativní designové praktiky, které uživatele záměrně klamou a tlačí k rozhodnutím, která by za normálních okolností neudělali. V cookie bannerech jsou nejen neetické, ale přímo porušují GDPR a směrnici ePrivacy. Tento článek vám ukáže, čemu se vyhnout, jaké pokuty hrozí, a jak vytvořit cookie banner, který je současně efektivní i plně legální.

Co jsou dark patterns a proč vznikají?

Pojem „dark patterns“ poprvé použil britský UX designér Harry Brignull v roce 2010. Definoval je jako uživatelská rozhraní, která jsou záměrně navržena tak, aby manipulovala uživatele k akcím, které nejsou v jejich nejlepším zájmu. V kontextu cookie bannerů to znamená designové triky, jejichž cílem je maximalizovat počet souhlasů za každou cenu – i za cenu porušení práv uživatelů.

Proč k nim firmy sahají? Důvod je jednoduchý: marketingová a analytická data. Čím více uživatelů souhlasí s cookies, tím více dat firma získá pro cílení reklam, retargeting a analýzu chování. Krátkodobě to může vypadat jako výhra, ale dlouhodobě jde o hazard s pokutami, reputací i důvěrou zákazníků.

Dark patterns v cookie bannerech se dají rozdělit do několika hlavních kategorií:

  • Vizuální manipulace – ztížení odmítnutí pomocí designu (barvy, velikost, umístění tlačítek)
  • Jazyková manipulace – matoucí nebo emocionálně zabarvené formulace
  • Strukturální manipulace – skrytí možností za více kliknutí, předvyplněné souhlasy
  • Kognitivní přetížení – příliš mnoho možností a informací, které uživatele zahltí

Nejčastější dark patterns v cookie bannerech

1. Asymetrické tlačítka

Toto je zdaleka nejrozšířenější dark pattern. Tlačítko „Přijmout vše" je velké, barevné a výrazné, zatímco možnost odmítnutí je malý šedý odkaz, často umístěný mimo přirozený vizuální tok stránky. Někdy je text pro odmítnutí tak malý, že ho uživatel na mobilním zařízení prakticky nemůže najít.

Podle GDPR musí být souhlas svobodný. Pokud je design banneru záměrně navržen tak, aby uživatel de facto nemohl odmítnout, nejedná se o svobodný souhlas. Evropský sbor pro ochranu osobních údajů (EDPB) ve svých pokynech 05/2020 výslovně uvádí, že souhlas nelze považovat za svobodný, pokud je „proces odmítnutí nadměrně ztížen ve srovnání s udělením souhlasu".

2. Skryté odmítnutí za více kliknutí

Dalším velmi rozšířeným trikem je schování odmítnutí za více kroků. Banner zobrazí dvě tlačítka: „Přijmout vše" a „Spravovat nastavení". Pokud uživatel klikne na správu, musí projít složitým rozhraním s jednotlivými kategoriemi, najít způsob, jak vše odmítnout, a teprve poté potvrdit. Přijetí je na jedno kliknutí, odmítnutí vyžaduje tři až pět kliknutí.

Francouzský dozorový úřad CNIL opakovaně rozhodl, že odmítnutí musí být dosažitelné na stejný počet kliknutí jako přijetí. Pokud má banner tlačítko „Přijmout vše" na první obrazovce, musí mít na stejné obrazovce i tlačítko „Odmítnout vše".

3. Předvyplněné souhlasy (opt-out místo opt-in)

Některé bannery zobrazí rozhraní pro správu cookies s již zaškrtnutými checkboxy pro všechny kategorie – analytické, marketingové i funkční. Uživatel pak musí aktivně odškrtat to, co nechce. To je přímé porušení GDPR, které vyžaduje opt-in princip: souhlas musí být dán aktivním jednáním, nikoli ponecháním výchozího nastavení.

Soudní dvůr EU to potvrdil v rozhodnutí Planet49 (C-673/17) z října 2019, kde jasně stanovil, že předvyplněné zaškrtávací políčko nepředstavuje platný souhlas ve smyslu GDPR.

4. Confirm shaming (zahanbování)

Confirm shaming je manipulativní technika, kdy text tlačítka pro odmítnutí záměrně vzbuzuje negativní emoce. Příklady:

  • „Ne, nechci lepší zážitek z prohlížení"
  • „Pokračovat s omezeným obsahem"
  • „Ne, nezajímají mě personalizované nabídky"
  • „Raději budu vidět irelevantní reklamy"

Tyto formulace porušují požadavek na informovaný a svobodný souhlas. Uživatel nesmí být emocionálně nucen k udělení souhlasu. Texty tlačítek musí být neutrální – například „Přijmout" a „Odmítnout" nebo „Souhlasím" a „Nesouhlasím".

5. Cookie wall (blokace obsahu)

Cookie wall znamená, že uživatel nemůže přistoupit k obsahu webu, dokud neudělí souhlas s cookies. Celá stránka je skryta za bannerem bez možnosti odmítnutí. EDPB ve svém stanovisku 5/2020 konstatoval, že cookie walls obecně nepředstavují platný souhlas, protože souhlas není svobodný, pokud je podmínkou přístupu ke službě.

Existují výjimky – některé úřady (např. holandský AP) připouštějí cookie walls u bezplatných mediálních webů s alternativou placeného přístupu bez cookies. Ale pro běžné firemní weby a e-shopy je cookie wall nepřípustný.

6. Kognitivní přetížení

Méně známý, ale stále častější dark pattern. Banner záměrně zobrazí obrovské množství informací, desítky kategorií cookies, dlouhé právní texty a složité přepínače. Cílem je, aby uživatel rezignoval na čtení a prostě klikl „Přijmout vše", protože je to nejjednodušší cesta. Přitom GDPR vyžaduje, aby informace byly poskytnuty „stručně, transparentně, srozumitelně a snadno přístupně".

7. Opakované obtěžování

Některé weby zobrazují cookie banner opakovaně poté, co uživatel odmítne cookies. Při každé návštěvě nebo dokonce při každém přechodu na novou stránku se banner znovu objeví. Záměrem je uživatele „unavit" natolik, aby nakonec souhlas udělil. Toto je jasné porušení principu, že rozhodnutí uživatele musí být respektováno.

Reálné pokuty za dark patterns v EU

Dark patterns nejsou jen teoretický problém. Dozorové úřady v EU aktivně pokutují firmy, které je používají:

CNIL (francouzský úřad) udělil v lednu 2022 pokutu 150 milionů EUR společnosti Google a 60 milionů EUR společnosti Facebook za to, že jejich cookie bannery neumožňovaly odmítnutí stejně snadno jako přijetí cookies.

Další významné případy:

  • Google Ireland (2022) – 150 milionů EUR od CNIL za asymetrický cookie banner
  • Facebook/Meta (2022) – 60 milionů EUR od CNIL za stejný důvod
  • Microsoft Ireland (2022) – 60 milionů EUR od CNIL za cookies nastavované bez souhlasu a chybějící tlačítko odmítnutí
  • TikTok (2023) – 5 milionů EUR od CNIL za ztížené odmítnutí cookies
  • Criteo (2023) – 40 milionů EUR od CNIL za nedostatečný souhlas s cookies

V České republice zatím ÚOOÚ neudělil srovnatelně vysoké pokuty za dark patterns v cookie bannerech, ale aktivně přijímá stížnosti a provádí kontroly. S rostoucím povědomím veřejnosti o ochraně soukromí lze očekávat zpřísňování dohledu i u nás.

Proč dozorové úřady považují dark patterns za porušení GDPR?

GDPR v článku 4 odst. 11 definuje souhlas jako „svobodný, konkrétní, informovaný a jednoznačný projev vůle". Dark patterns porušují minimálně jednu z těchto podmínek:

  1. Svobodný – cookie walls a opakované obtěžování zbavují uživatele skutečné volby
  2. Konkrétní – kognitivní přetížení brání uživateli pochopit, s čím konkrétně souhlasí
  3. Informovaný – matoucí formulace a confirm shaming zkreslují informace
  4. Jednoznačný – předvyplněné checkboxy nejsou aktivním jednáním uživatele

Navíc směrnice ePrivacy (2002/58/ES) v článku 5 odst. 3 vyžaduje souhlas pro ukládání informací na zařízení uživatele. Pokud tento souhlas není platný kvůli dark patterns, je porušena i tato směrnice.

Jak poznat legální a etický cookie banner?

Legální cookie banner splňuje následující kritéria:

  • Rovnocenné možnosti – tlačítka „Přijmout" a „Odmítnout" jsou stejně viditelná, ve stejné velikosti a barevně srovnatelná
  • Žádné předvyplněné souhlasy – všechny volitelné kategorie cookies jsou ve výchozím stavu vypnuté
  • Neutrální jazyk – žádné emocionální manipulace, confirm shaming nebo zastrašování
  • Stejný počet kliknutí – odmítnutí musí být dosažitelné na stejný počet kliknutí jako přijetí
  • Možnost změnit rozhodnutí – uživatel musí mít kdykoli přístup k úpravě svých preferencí
  • Stručné a jasné informace – vysvětlení účelu cookies bez zahlcování právním žargonem
  • Respektování rozhodnutí – po odmítnutí se banner nezobrazuje opakovaně
  • Neblokuje obsah – uživatel může používat web i bez udělení souhlasu

Česká specifika: ÚOOÚ a dark patterns

Úřad pro ochranu osobních údajů (ÚOOÚ) v České republice se problematikou dark patterns zabývá stále intenzivněji. V roce 2023 vydal ÚOOÚ aktualizované stanovisko ke cookies, kde výslovně upozorňuje na nepřípustnost manipulativních designů.

Pokud provozujete web cílený na české uživatele, měli byste vědět:

  • ÚOOÚ aktivně přijímá stížnosti od uživatelů – a počet stížností roste
  • Kontroly mohou být zahájeny i z vlastní iniciativy úřadu
  • Pokuty podle GDPR mohou dosáhnout až 20 milionů EUR nebo 4 % celosvětového obratu
  • I menší české firmy se mohou dostat do hledáčku úřadu

Kromě ÚOOÚ mohou dark patterns v cookie bannerech řešit i soudy v rámci nekalých obchodních praktik nebo spotřebitelské ochrany. Česká obchodní inspekce (ČOI) rovněž považuje manipulativní online praktiky za problematické.

Praktický návod: Jak přeměnit dark pattern banner na legální

Pokud máte podezření, že váš současný cookie banner obsahuje dark patterns, projděte tento kontrolní seznam:

  1. Zkontrolujte tlačítka – Jsou „Přijmout" a „Odmítnout" vizuálně rovnocenná? Pokud ne, sjednoťte jejich velikost, barvu a umístění.
  2. Spočítejte kliknutí – Kolik kliknutí potřebuje uživatel k přijetí vs. odmítnutí? Pokud odmítnutí vyžaduje více kliknutí, přidejte tlačítko „Odmítnout vše" na první obrazovku.
  3. Zkontrolujte výchozí stav – Jsou některé checkboxy předvyplněné? Pokud ano, vypněte je.
  4. Přečtěte si texty – Obsahují emocionální manipulaci nebo confirm shaming? Přepište je na neutrální formulace.
  5. Otestujte na mobilu – Je banner použitelný na malém displeji? Jsou všechny možnosti dosažitelné?
  6. Ověřte opakované zobrazení – Zobrazuje se banner znovu po odmítnutí? Pokud ano, opravte logiku ukládání preferencí.

Dark patterns vs. etická optimalizace

Je důležité rozlišovat mezi dark patterns a legitimní optimalizací cookie banneru. Existují způsoby, jak zvýšit consent rate, aniž byste porušili zákon:

  • Srozumitelný jazyk – vysvětlete jednoduše, proč cookies používáte a jaký mají přínos pro uživatele
  • Pěkný design – banner, který dobře vypadá a zapadá do designu webu, budí větší důvěru
  • Transparentnost – ukažte přesně, jaké cookies používáte a k čemu slouží
  • Třetí možnost – nabídněte „Pouze nezbytné" jako kompromis mezi přijetím všeho a úplným odmítnutím

Klíčový rozdíl je v záměru: optimalizace zlepšuje uživatelský zážitek a informovanost, zatímco dark patterns záměrně klamou a manipulují.

Budoucnost regulace dark patterns

Regulace dark patterns se bude v nadcházejících letech zpřísňovat. Nařízení EU o digitálních službách (DSA) a Akt o digitálních trzích (DMA) zavádějí další pravidla proti manipulativním designům. Připravované nařízení ePrivacy pravděpodobně ještě zpřísní požadavky na cookie bannery.

Firmy, které již dnes používají etický design cookie bannerů, budou lépe připraveny na nadcházející regulační změny. Investice do compliance se vyplatí nejen jako ochrana před pokutami, ale i jako konkurenční výhoda – uživatelé stále více oceňují transparentní přístup k ochraně soukromí.

Závěr: Etický cookie banner je win-win

Dark patterns v cookie bannerech jsou krátkozraká strategie. Ano, mohou dočasně zvýšit consent rate, ale za cenu rizika vysokých pokut, poškození reputace a ztráty důvěry zákazníků. Etický, transparentní cookie banner naopak buduje důvěru, splňuje zákon a v dlouhodobém horizontu přináší lepší výsledky.

Consentio je navrženo s důrazem na etický design bez jakýchkoli dark patterns. Nabízí rovnocenné možnosti přijetí i odmítnutí, čistý a srozumitelný jazyk a plnou transparentnost. Výsledkem je cookie banner, kterému vaši návštěvníci důvěřují – a to se promítne i do vyššího consent rate.