Dijital çağda kullanıcı arayüzleri ve kullanıcı deneyimi (UX) tasarımları, ticari platformların temel unsurlarından biri haline gelmiştir. Bu tasarımlar, kullanıcıların platformlarla etkileşimini kolaylaştırmak amacıyla geliştirilmiş olsa dahi, özellikle ticari kaygıların ön plana çıktığı platformlarda etik tasarım ilkelerinin yerini manipülatif tasarım stratejilerine bırakması yaygın bir sorun haline gelmiştir. Dark pattern (karanlık tasarım) veya deceptive pattern (aldatıcı tasarım) olarak adlandırılan bu stratejiler, kullanıcının kendi gerçek iradesine örtüşmeyen davranışlara yol açacak şekilde bilinçli olarak kurgulanmaktadır.
2. Dark Patterns Kavramı
Dark Patterns; kullanıcıların normalde yapmayacağı eylemleri yapmalarına neden olan, bilişsel yanılgıları ve davranışsal eğilimleri sömüren tasarım stratejileridir. Bu tasarımlar kullanıcıları kasıtlı olarak bir şeyi satın almaya veya bir şeye kaydolmaya yönlendirmektedir. Dark Patterns olarak adlandırılan karanlık tasarımlara ilişkin tipik örnekler arasında yanlış yönlendiren sorular (trick questions), gizli maliyetler (hidden costs), zorlaştırılmış iptal süreçleri (roach motel), varsayılan olarak işaretlenmiş kutucuklar ve manipülatif renklerin kullanımı yer alır.
Bu yanıltıcı yönlendirmeler sebebi ile kullanıcılar, aslında kendilerine sorulan sorunun tam olarak anlamını kavrayamamakta, online alışveriş sepetlerine ekstra iradi olmayan ürünler eklemekte ve hatta kolaylıkla bir bültene ve/veya hesaba üye olup daha sonra aboneliği sonlandırmakta zorlanmaktadırlar. Özellikle karanlık tasarımlar, web sitelerinde bir hayli reklam gizlenmesine sebep olmakta ve kullanıcıları reklam üzerine tıklamayı teşvik etmektedir. Reklamların yanı sıra karanlık tasarımlar, kullanıcıların bilgi sahibi olmaksızın web sitesi çerezlerini kabul etmesine vesile olmaktadır. Benzer şekilde, çerez banner’larında yalnızca Kabul Et butonunun görünür şekilde öne çıkarılması, Reddet seçeneğinin ise ikinci katmanda, düşük ve/veya açık tonların sunulması, kullanıcıların istemedikleri ve kendilerine ait olmayan verileri paylaşmasına yol açabilmektedir.
3. Karanlık Tasarımlar (“Dark Patterns”) ve Geçerli Rıza
AB Genel Veri Koruma Tüzüğü’nün (GDPR) 4. Maddesinin 11. Fıkrası, geçerli bir rızanın ancak özgür iradeyle, belirli, bilgilendirilmiş ve açık bir irade beyanına dayanması gerektiğini düzenlemektedir. Ayrıca GDPR’ın 32. Gerekçesinde de belirtildiği üzere, sessizlik, önceden işaretlenmiş kutucuklar ya da hareketsizlik rıza olarak kabul edilemez. Bu gerekçeye göre, onay; veri sahibinin kişisel verilerinin işlenmesini kabul ettiğini açıkça gösteren, özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir olumlu eylem olmalıdır. Buna göre önceden işaretlenmiş kutucuklar veya pasif kalmak, geçerli bir rızanın unsurlarını karşılamaz. Bu çerçevede, dark pattern kullanımı da kullanıcıların özgür iradesini sistematik şekilde sınırlandırarak geçerli rıza alınmasını fiilen imkânsız hale getirmektedir.
Özellikle çerez kullanımına ilişkin gereken rızanın sahip olması gereken özellikler, veri koruma hukuka bakımından bir hayli önem arz etmektedir. 2013 yılında bu konuda araştırma yapan Article 29 Çalışma Grubu1, rızanın; özgür iradeyle, belirli bir konuya ilişkin bilgilendirmeye dayalı olarak veri işleme faaliyetinin başlangıcından önce alınması gerektiğini ve özellikle muğlak olmayan ifadeler ile kişinin aktif davranışı ile verilmesi gerektiğini vurgulamıştır. Bu bağlamda, bir kimsenin belirli bir web sitesinden ayrılmaması aktif bir davranış olarak nitelendirilmeyecektir. İşbu sebeple de ABAD, Planet49 kararıyla (C-673/17) önceden işaretlenmiş kutuların geçerli rıza teşkil etmeyeceğine hükmetmiştir. Söz konusu yaklaşımın Türk hukukundaki yansımalarının da örtüştüğünü söylemek yanlış olmayacaktır.
Aynı şekilde Çerez banner’ında Reddet seçeneğinin ikinci katmana gizlenmesi veya bağlantı şeklinde sunulması, kullanıcının rızasını geri çekmesini pratikte engellemekte ve kullanıcıların hizmeti kullanmak için gereksiz veri paylaşmaya zorlanması, GDPR madde 7 ve fıkra 4’e göre özgür rızanın ihlali sayılmaktadır.
4. Dark Pattern Türleri ve Etkileri
Dark Pattern türlerini sınıflandırmaya ilişkin çok sayıda çalışma yapılmış olmakla birlikte, teknolojinin sürekli evrilmesi ve kullanıcı arayüzlerinin hızla değişmesi sonucu, tam ve kalıcı bir sınıflandırma yapmak şu aşamada pek mümkün görünmemektedir.
Önde gelen sınıflandırmalardan biri olan Brignull’un2 sınıflandırmasına 3göre; Dark Pattern’lar Karşılaştırma Engelleme ( Comparison Prevention), Onay Utandırması (Confirm Shaming), Gizlenmiş Reklamlar ( Disguised Ads), Sahte Kıtlık (Fake Urgency) Gizli Abonelik (Hidden Subscription) ve benzeri şekilde kategorilere ayrılmıştır.
Başka bir çalışmada ise Dark Pattern’lar, dijital arayüzlere nasıl entegre edildikleri ve sahip oldukları özellikler temel alınarak incelenmiş ve buna göre bir sınıflandırma yapılmıştır. Bu sınıflandırmada üç ana kategori öne çıkmaktadır. İlk kategori, kullanıcı arayüzünde açıkça görülebilen, net ve belirgin unsurlarla tanımlanan Dark Pattern’leri kapsamaktadır. İkinci kategori ise daha karmaşık olup, sonuçları kullanıcı açısından sonradan fark edilebilecek nitelikteki stratejik bilgi gizlemeleri ya da kullanıcıya zorlama biçiminde dayatılan uygulamaları içermektedir. Üçüncü kategori olarak da çevrim içi hizmetlerin sistem mimarisine entegre edilmiş, arka planda işleyen Dark Pattern örneklerine dikkat çekilmiştir. Bu tür örneklerde, genellikle karmaşık algoritmalar veya yapay zeka kullanılarak, kullanıcının kendi yararına olmayan tercihler yapmasına neden olabilecek şekilde kişiselleştirilmiş deneyimler oluşturulduğu belirtilmektedir.
Bu sebeple Dark Pattern’lar çoğu zaman kullanıcıyı fark etmeden ek maliyetlere katlanmaya zorlamakta ve kullanıcının rızasını meşru olmayan yollara dayanarak işlenmesine sebep olmaktadır.
5. Hukuki Değerlendirme
Avrupa Komisyonu’nun 2022 yılı raporunda, Genel Veri Koruma Tüzüğü’nün bilgi sağlama yükümlülüğüne değinilerek bu yükümlülüğün kısa, şeffaf, anlaşılır ve kolay erişilebilir bir şekilde, açık ve sade bir dil kullanılarak yerine getirilmesi gerektiği vurgulanmaktadır. Ayrıca kişisel verilerin işlenmesini içeren tüm ticari uygulamalarda da bu yükümlülüğün geçerli olduğu ve kişiselleştirme uygulamalarının da bu kapsamda değerlendirildiği ifade edilmektedir. Raporda, yükümlülüğün yerine getirilmemesi durumunda, Genel Veri Koruma Tüzüğü’ne göre açık rızanın geçerli sayılmayacağı ve veri sahibinin kişisel verilerinin işlenmesine yönelik taleplerinin belirli, bilgilendirilmiş ve net bir şekilde onaylanmadığı anlamına geleceği belirtilmektedir. Kullanıcı arayüzlerinin tasarımı ve varsayılan ayarları da bu Tüzüğe uygun olmalıdır. Bu nedenle, kullanıcıyı yanıltarak veya veri toplamayı en üst düzeye çıkarmaya yönelik hileli Dark Pattern kullanımları, rapora göre veri koruma ilkelerine aykırı sayılmaktadır. Aynı şekilde Avrupa Komisyonu tarafından Aralık 2021’de yayımlanan Haksız Ticari Uygulamalar Direktifi’nin yorumlanması ve uygulanmasına ilişkin rehberde Dark Pattern uygulamalarının tacir tarafından özen yükümlülüğü ihlali yanıltıcı uygulama ya da saldırgan bir uygulama olarak değerlendirilebileceği ifade edilmiştir.
Son zamanlar çok popüler hale gelen ve 12.07.2024 tarihinde Avrupa Birliği Resmi Gazetesi’nde yayımlanan Yapay Zeka Yasası (AI Act) 5/1 (A) maddesine göre, bir kişinin ya da bir grup insanın bilinçli karar verme yetisini ciddi şekilde zayıflatarak davranışlarını önemli ölçüde etkilemeyi veya çarpıtmayı amaçlayan ya da bu sonucu doğuran yapay zeka sistemlerinin piyasaya sürülmesi, hizmete sunulması veya kullanılması yasaktır. Bu bağlamda kişinin aslında vermeyeceği bir kararı almasına yol açacak ve bu karar nedeniyle kendisine veya bir başkasına önemli zarar verme ihtimali makul ölçüde yüksek olan manipülatif veya aldatıcı teknikler kullanan yapay zeka sistemleri de bu yasak kapsamına girmektedir.
Yasanın 5/1 (B) maddesi ise; engelli ya da belirli sosyal veya ekonomik durumları nedeniyle zayıf konumda bulunan kişilerin veya belirli bir grubun zayıf noktalarının istismar edilerek, davranışlarının önemli ölçüde yönlendirilmesini veya çarpıtılmasını sağlayan ve yine zarar verme ihtimali makul derecede yüksek olan yapay zeka sistemlerinin piyasaya sürülmesini, kullanılmasını veya hizmete sunulmasını yasaklamaktadır.
Türkiye’de ise doğrudan dark pattern terimi düzenlenmemiştir; ancak 6502 sayılı Tüketicinin Korunması Hakkında Kanun, KVKK, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari Reklamlar Yönetmeliği manipülatif arayüz tasarımlarını dolaylı olarak yasaklamaktadır. Özellikle KVKK kapsamında aydınlatma yükümlülüğüne aykırı tasarımlar ve açık rıza olmaksızın veri işleme hukuka aykırı kabul edilmektedir.
Örneğin; 6502 sayılı Tüketicinin Korunması Hakkında Kanun’un 61. 62. Ve 48. Maddelerinde ticari reklam ve haksız ticari uygulamalar ile eksik ve yanıltıcı bilgiye dayalı veya tüketicinin iktisadi çıkarlarını zedeleyen müdahaleler haksız ticari uygulama kabul edilmiştir. Aynı şekilde Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği’ne 2022 değişikliği ile getirilen ara yüz tasarımlarına ilişkin düzenlemede de tüketicilerin karar verme ve seçim yapma iradesini olumsuz etkileyen ya da normal şartlar altında vereceği kararda satıcı ve sağlayıcı lehine değişikliklere yol açmayı hedefleyen yöntemler aldatıcı ticari uygulama olarak gösterilmiştir.
6. Sonuç
Karanlık tasarımlar kullanıcıların rızasını görünüşte almakta, ancak fiilen geçerli kılmamaktadır. Bu nedenle, şeffaflık, eşit erişim, kolay reddetme imkanı, açık dil kullanımı gibi tasarım ilkeleri benimsenmeli; rıza mekanizmaları basit, anlaşılır ve açık rızaya dayalı olmalıdır. Bu yüzden kullanıcıyı koruyan etik tasarım, adil rekabet ve güvenli dijital ortam için Dark Pattern kullanımları denetlenmeli ve gerekli mevzuat düzenlemeleri yapılmalıdır.
