En cookiepolicy är den text på din webbplats som förklarar vilka cookies (kakor) du använder, vad de gör och hur besökaren kan hantera sitt samtycke. Nästan alla webbplatser använder cookies – för inloggning, kundvagn, statistik eller marknadsföring – och både lagen om elektronisk kommunikation och dataskyddsförordningen (GDPR) ställer krav på att du är öppen med detta. En tydlig cookiepolicy är därför inte bara god ton mot dina besökare, utan i praktiken ett lagkrav för de flesta som driver en webbplats eller e-handel.
I den här guiden går vi igenom vad en cookiepolicy är, när du behöver en, hur du skapar den och presenterar den för besökaren samt vilka formkrav och vanliga misstag du bör känna till. Vi förklarar också skillnaden mellan samtyckeskravet i lagen om elektronisk kommunikation och informationskraven i GDPR, och var Integritetsskyddsmyndigheten (IMY) och Post- och telestyrelsen (PTS) kommer in. När du är redo kan du skapa en anpassad cookiepolicy online hos Avtalsfrid.
Vad är en cookiepolicy?
En cookiepolicy är ett informationsdokument, ofta publicerat som en egen sida på webbplatsen, som beskriver vilka cookies och liknande tekniker (till exempel pixlar och lokal lagring) som används, i vilket syfte, hur länge de sparas och vilka som får tillgång till informationen. Den förklarar också hur besökaren kan lämna, neka eller återkalla sitt samtycke och hur man ändrar inställningar i webbläsaren.
Cookiepolicyn hänger nära samman med två regelverk. Lagen om elektronisk kommunikation reglerar själva lagringen av och åtkomsten till information i besökarens utrustning – det är härifrån kravet på information och samtycke för cookies kommer. Dataskyddsförordningen (GDPR) blir tillämplig när cookies innebär att personuppgifter behandlas, exempelvis vid spårning för analys eller annonsering. Många väljer därför att antingen ha en separat cookiepolicy som kompletterar integritetspolicyn, eller att väva in cookieinformationen som en tydlig del av integritetspolicyn.
När behöver du en cookiepolicy?
Du behöver informera om cookies så snart din webbplats lagrar eller läser information i besökarens enhet. I praktiken gäller det de allra flesta webbplatser, eftersom även enkla funktioner som inloggning, språkval, kundvagn och besöksstatistik ofta bygger på cookies. Driver du e-handel, en blogg med annonser eller en sajt med inbäddade tjänster som kartor, videoklipp eller sociala medier är behovet extra tydligt, eftersom sådana tjänster ofta sätter egna cookies från tredje part.
Har du enbart strikt nödvändiga cookies – sådana som krävs för att en tjänst du uttryckligen efterfrågat ska fungera – behöver du inte be om samtycke för just dessa, men du ska fortfarande informera om att de används. För alla andra cookies, till exempel för analys och marknadsföring, krävs både information och ett aktivt samtycke innan de sätts. En cookiepolicy är därför aktuell för alla som driver en webbplats med någon form av icke-nödvändiga cookies.
Så skapar du en cookiepolicy online hos Avtalsfrid
Hos Avtalsfrid skapar du en cookiepolicy genom att svara på enkla frågor om din verksamhet och din webbplats: vilket företag som är ansvarigt, vilka kategorier av cookies du använder (nödvändiga, funktionella, analys, marknadsföring), om du anlitar tredjepartstjänster och hur länge cookies sparas. Utifrån svaren får du ett färdigt, strukturerat dokument i klarspråk som du kan publicera på en egen sida och länka till från din cookiebanner och din webbplatsfot.
Kom ihåg att en cookiepolicy är information – den fungerar bäst tillsammans med en teknisk lösning som faktiskt inhämtar och respekterar besökarens val, ofta kallad cookiebanner eller samtyckesverktyg. Policyn beskriver vad som händer, medan bannern hanterar själva samtycket. För en mer komplex sajt, eller om du behöver koppla ihop cookiepolicyn med en bredare integritetspolicy och dina personuppgiftsbehandlingar, kan du även låta en jurist granska och anpassa underlaget.
Krav på samtycke och information
Två krav är centrala. Enligt lagen om elektronisk kommunikation måste du ge besökaren tydlig information om de cookies du använder och inhämta samtycke innan du lagrar eller läser information i enheten – med undantag för cookies som är strikt nödvändiga för en tjänst som besökaren uttryckligen begärt. Samtycket ska enligt GDP:s krav på giltigt samtycke vara frivilligt, specifikt, informerat och otvetydigt. Det innebär i praktiken att förkryssade rutor inte räcker, att det ska vara lika enkelt att neka som att godkänna, och att besökaren ska kunna återkalla sitt samtycke i efterhand.
När cookies leder till att personuppgifter behandlas tillkommer GDPR:s informationskrav: vem som är personuppgiftsansvarig, ändamålen med behandlingen, mottagare, lagringstid och de registrerades rättigheter. En cookiepolicy bör därför både lista cookies och deras syften och hänvisa till var besökaren kan läsa mer om hur personuppgifter hanteras. Tillsynen är delad: Integritetsskyddsmyndigheten (IMY) ansvarar för dataskyddsfrågor enligt GDPR, medan Post- och telestyrelsen (PTS) är tillsynsmyndighet för reglerna om elektronisk kommunikation.
Vanliga misstag att undvika
Ett vanligt misstag är att sätta icke-nödvändiga cookies redan innan besökaren har samtyckt, till exempel att låta analys- eller annonscookies laddas direkt vid sidladdning. Samtycket ska inhämtas först, och cookies aktiveras därefter. Ett annat återkommande fel är att utforma cookiebannern så att det är mycket enklare att godkänna allt än att neka – det riskerar att göra samtycket ogiltigt eftersom det inte längre är frivilligt.
Andra fallgropar är en cookiepolicy som är generisk och inte stämmer med de cookies sajten faktiskt använder, att glömma tredjepartscookies från inbäddade tjänster, och att inte erbjuda något sätt att ändra eller återkalla sitt val. Många blandar också ihop cookiepolicy och integritetspolicy – de hänger ihop men har olika fokus, och det bör vara tydligt för besökaren var de hittar respektive information. Håll dokumentet uppdaterat när du lägger till eller tar bort tjänster, så att informationen alltid speglar verkligheten.
Vanliga frågor om cookiepolicy
Krävs samtycke för alla cookies?
Nej. Cookies som är strikt nödvändiga för att en tjänst du uttryckligen efterfrågat ska fungera, till exempel inloggning eller kundvagn, kräver inte samtycke. Du måste dock alltid informera om att de används. För alla andra cookies, som analys och marknadsföring, krävs ett aktivt och informerat samtycke innan de sätts.
Vad är skillnaden mellan en cookiepolicy och en integritetspolicy?
En cookiepolicy fokuserar på vilka cookies webbplatsen använder, deras syfte och hur besökaren hanterar sitt samtycke. En integritetspolicy beskriver mer brett hur företaget behandlar personuppgifter enligt GDPR. De hänger ihop och hänvisar ofta till varandra, men har olika fokus. Vissa väljer att ha dem som separata dokument, andra väver in cookieinformationen i integritetspolicyn.
Vilka lagar styr cookies i Sverige?
Två regelverk är centrala. Lagen om elektronisk kommunikation ställer krav på information och samtycke för att lagra och läsa information i besökarens enhet. Dataskyddsförordningen (GDPR) gäller när cookies medför att personuppgifter behandlas och ställer krav på bland annat tydlig information och giltigt samtycke. Post- och telestyrelsen (PTS) och Integritetsskyddsmyndigheten (IMY) är de myndigheter som utövar tillsyn.
Måste besökaren kunna säga nej till cookies?
Ja. För ett giltigt samtycke ska det vara lika enkelt att neka som att godkänna icke-nödvändiga cookies, och besökaren ska kunna återkalla sitt samtycke i efterhand. Förkryssade rutor eller en lösning där det bara går att klicka godkänn räcker inte, eftersom samtycket då inte är frivilligt och otvetydigt på det sätt GDPR kräver.
Räcker en cookiepolicy, eller behöver jag också en cookiebanner?
En cookiepolicy är information om dina cookies, medan en cookiebanner eller ett samtyckesverktyg är det tekniska sätt du faktiskt inhämtar och respekterar besökarens val på. För icke-nödvändiga cookies behöver du normalt båda: bannern hanterar samtycket och cookiepolicyn förklarar detaljerna. Avtalsfrid hjälper dig med själva policydokumentet.
Hur skapar jag en cookiepolicy online hos Avtalsfrid?
Du svarar på enkla frågor om ditt företag, din webbplats och vilka kategorier av cookies du använder, varefter ett anpassat dokument i klarspråk genereras. Du publicerar det sedan som en egen sida och länkar till det från din cookiebanner och webbplatsfot. För mer komplexa sajter kan du även låta en jurist granska och knyta ihop cookiepolicyn med din integritetspolicy.