DOK/WPR/075/4/1/14/AD - Stosowanie przez banki plików cookies.

W związku z napływającymi do Urzędu Komisji Nadzoru Finansowego (dalej: "Urząd") sygnałami, zawierającymi zastrzeżenia w zakresie zapewniania klientom dostępu do bankowości internetowej w kontekście zmian w ustawie z 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 z późn. zm.) dotyczących obowiązków informacyjnych wobec użytkownika końcowego, Urząd przedstawia następujące stanowisko w sprawie.

Wskazać należy, iż 22 marca 2013 r. weszła w życie nowelizacja ustawy - Prawo telekomunikacyjne, wynikająca z konieczności dostosowania polskich przepisów do norm wyznaczonych przez Komisję Europejską w zmienionej dyrektywie 2002/58/EC, dotycząca m.in. kwestii związanych z "przechowywaniem informacji lub uzyskiwaniem dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego" (tzw. cookies). Zgodnie z art. 173 ust. 1 znowelizowanej ustawy używanie m.in. cookies jest dozwolone, pod warunkiem że użytkownik końcowy zostanie o tym uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały oraz wyrazi na to zgodę, a także przy założeniu, iż przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu. Jednocześnie zgodnie z ust. 3 wymienionego wyżej artykułu, warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne m.in. do dostarczania usługi świadczonej drogą elektroniczną, żądanej przez użytkownika końcowego.

Z sygnałów otrzymanych przez Urząd wynika, że niektóre banki informują o korzystaniu z cookies, jednak ich zablokowanie skutkuje problemami z dostępem do serwisu bankowości internetowej. Zgodnie z posiadanymi informacjami, po wyłączeniu w przeglądarce plików cookies, znaczna ilość serwisów bankowości elektronicznej przestaje normalnie funkcjonować. Zdarzają się przypadki pojawiania się informacji o wygaśnięciu sesji, problemów z zalogowaniem, jak również ponownego logowania się strony bankowości internetowej, tuż po wpisaniu loginu i hasła dostępu. Z posiadanych informacji wynika tym samym, iż banki informują o fakcie wykorzystywania plików cookies, jednak ich niezaakceptowanie w przeglądarce internetowej wiąże się często z uniemożliwieniem lub znacznym utrudnieniem funkcjonowania serwisu bankowości internetowej. Jednocześnie znane są przykłady banków, w których bez przeszkód można korzystać z serwisu bankowości internetowej.

W opinii Urzędu Komisji Nadzoru Finansowego można dopuścić uzależnienie korzystania w pełnym zakresie z funkcjonalności systemu bankowości elektronicznej od zaakceptowania plików cookies, w sytuacji jeśli pliki te mają faktycznie służyć podniesieniu poziomu bezpieczeństwa i identyfikacji sesji użytkownika, zapewniając tym samym, że wszystkie wywołania do serwera pochodzą z komputera klienta. Wydaje się jednak, iż w tym przypadku warunki korzystania z bankowości internetowej, przy wykorzystaniu plików cookies, powinny być uprzednio uwzględnione w umowie łączącej klienta z bankiem. Istotne przy tym wydaje się precyzyjne wskazanie przez bank w umowach rodzaju stosownych plików typu cookies, a także celu ich zapisywania, zważywszy na ich inne, niekonieczne dla świadczenia usług bankowości elektronicznej, zastosowania. Zasadne jest ponadto odpowiednie poinformowanie klienta o ewentualnych konsekwencjach związanych z niezaakceptowaniem przez klienta plików tego typu. Wydaje się bowiem, iż już na etapie zawierania umowy klient powinien mieć pełną świadomość ograniczeń, które mogą wystąpić w przypadku rezygnacji z zapisywania cookies na urządzeniu klienta.

Mając na względzie obowiązujące przepisy prawa wskazać należy, iż trudno przyjąć za ich prawidłową realizację stosowanie praktyki polegającej na uniemożliwianiu lub znacznym utrudnieniu w korzystaniu z bankowości elektronicznej w sytuacji, gdy kwestie te nie zostały precyzyjnie uregulowane w umowie. Wskazać bowiem należy, iż dostęp do bankowości internetowej zostaje użytkownikowi przyznany na podstawie umowy zawieranej pomiędzy bankiem a jego klientem i taka sytuacja mogłaby być tym samym uznana za niewywiązywanie się przez bank z zawartej umowy.

Mając na uwadze powyższe Urząd Komisji Nadzoru Finansowego wyraża nadzieję, iż niniejsze uwagi ułatwią podmiotom nadzorowanym prawidłową realizację obowiązków wynikających z obowiązujących przepisów prawa, przyczyniając się jednocześnie do wzrostu poziomu zaufania konsumentów do instytucji finansowych.