Här kommer vi att gå igenom hur man ska upprätta en cookiepolicy när man väl har identifierat vilka cookies man använder och fastställt att man inhämtar giltiga samtycken. I ett annat inlägg gick vi översiktligt igenom vad man ska tänka på vid användning av cookies på sin webbsida och information från tillsynsärenden på området.
Till att börja med kan det vara på sin plats att kort beskriva vad cookies är och vad en cookiepolicy är.
Vad är en cookie?
Cookies har blivit ett samlingsbegrepp för att beskriva teknik som läser av information från en användares terminalutrustning (dator, surfplatta, mobil eller annan enhet) eller lämnar information på en sådan enhet.
Ofta begränsas beskrivningen av ”cookies” till en av dessa tekniker, den vanligaste, där en webbserver (hemsida eller app) sparar ner en textfil till besökarens enhet som sedan kan kommunicera med webservern. Detta gör det möjligt för webbplatsen eller appen att känna igen en enhet och lagra viss information om inställningar eller tidigare aktiviteter, vilket sedan används på flera olika sätt (för olika ändamål).
Det är dock viktigt att komma ihåg att utvecklingen går framåt och att användare idag kan spåras genom en mängd olika tekniker (som t.ex. genom så kallad ”fingerprinting”, där information om allt ifrån operativsystem till inställningar gör det möjligt att följa en användare över flera sessioner eller enheter), som alltså alla faller under samma lagstiftning som traditionella cookies. Det är inte alltid användaren, eller ni, är medveten om exakt hur cookies spårar användaren – men det är viktigt att skaffa sig den kunskapen för att kunna uppfylla lagkraven.
Det finns två olika sorters cookies – permanenta cookies och sessionscookies. En permanent cookie finns kvar på din enhet fram tills att dess förbestämda utgångsdatum har passerat. En sessionscookie lagras tillfälligt på din enhet under ditt besök på vår webbplats och kommer upphöra att gälla när du stänger din webbläsare.
Vidare kan en cookie vara en så kallas “förstapartscookie” eller en “tredjepartscookie” och det refererar till den webbserver eller domän som sätter cookien. Förstapartscookies sätts direkt av er webbplats. Tredjepartscookie sätts av en annan domän än er egen.
Vad är en cookiepolicy?
En cookiepolicy är sammanställd information som innehåller en lista av alla cookies som används på webbsidan tillsammans med relevant information om hur dessa cookies används.
Vilka regler gäller för cookies? Varför måste vi ha en cookiepolicy?
Cookies regleras framför allt av lagen om elektronisk kommunikation (”LEK”) och den allmänna dataskyddsförordningen (”GDPR”). Enligt 9 kap. 28 § LEK får cookies lagras endast om användaren gett ett giltigt samtycke, om det inte endast rör sig om cookies som är strikt nödvändiga för att hemsidan/tjänsten ska fungera. Lagen ställer också upp krav för hur cookies får placeras och vilken information en besökare/användare ska få.
Eftersom cookies i regel innebär behandling av personuppgifter så måste användningen av cookies även vara förenlig med GDPR. Många lagar, inklusive GDPR, kräver transparens när det kommer till personuppgiftsbehandlingar.
Det finns ingen bestämmelse i GDPR eller LEK som uttryckligen anger att en organisation som använder cookies ska ha en ”cookiepolicy”. Utan cookiepolicy är ett vedertaget samlingsbegrepp för den information som en hemsidesbesökare eller applikationsanvändare har rätt att få tillgång till (enligt GDPR respektive LEK), innan de tar beslut om de samtycker till cookies eller inte.
Tillämpliga lagar kräver således att ni är transparenta med vilka cookies ni använder och hur ni behandlar personuppgifter. Därför är en cookiepolicy ett sätt för er att påvisa efterlevnad av reglerna samt enkelt för individerna att hitta information om detta när de besöker olika webbplatser eller appar.
Andra benämningar på cookie policy (informationen om en organisations användning av cookies) kan vara:
- Information om cookies
- Sekretesspolicy
- Kakregler
- Riktlinjer för cookies
Ibland återfinns information om cookies i en organisations personuppgiftspolicy (integritetspolicy), men vi rekommenderar att ni sammanställer denna information separat för att göra det tydligt för läsaren vad som gäller specifikt för cookies.
Hur skriver man en bra cookiepolicy? Vad ska den innehålla?
Kortfattat är följande punkter de viktigaste att inkludera i en cookiepolicy:
- Definition av vad en cookie är
- Beskrivning av hur och varför ni använder cookies
- Samtyckesinformation
- Information om att ni samlar in samtycke innan cookies placeras
- Att samtycket alltid kan tas tillbaka
- Beskrivning av de olika typerna av cookies ni använder och hur de används
- Görs lättast i någon form av tabell eller uppspaltning, med
- Namn
- Ändamål
- Livslängd
- Hur användare kan kontrollera deras cookieinställningar och hur de kan välja bort cookies
- Information om er organisation och uppdateringar
- Kontaktuppgifter och ev. versionshistorik
- Görs lättast i någon form av tabell eller uppspaltning, med
Med bakgrund i GDPR:s grundläggande principer ska cookiepolicyn präglas av bland annat laglighet, korrekthet och öppenhet. Därför är det särskilt viktigt att informationen i policyn är klar och tydlig, och att policyn i sig är lätt att hitta.
Cookiepolicyn ska gå att nå genom både cookiebannern och på er webbsida, antingen högst upp eller längst ner på sidan. Den får alltså inte vara gömd någonstans på hemsidan (svåråtkomlig).
En cookiepolicy ska också vara skriven på ett sätt som är lätt för läsaren att förstå och ni bör undvika teknisk jargong och komplicerade juridiska termer. Eftersom syftet med informationen är att informera användaren hur cookies används, så är det viktigt att formulera sig så att användaren kan fatta ett informerat beslut om huruvida de vill tillåta cookies eller inte.
Om du läser detta blogginlägg för att du vill ha inspiration eller hjälp med er egen hantering av cookies är du varmt välkommen att kontakta oss för en kostnadsfri konsultation. Om du besöker denna sida för att få veta mer om vilka cookies vi använder eller vill se ett exempel på hur en cookiepolicy kan se ut, kan ni läsa vår cookiepolicy här.
Kom ihåg!
Kopiera inte någon annans organisations personuppgiftspolicy eller cookie policy, ni riskerar då att informera felaktigt och ni utsätter er för större risker. Behöver ni hjälp med information om er personuppgiftshantering? Kontakta oss på 046-2731717 eller maila till info@gdprhero.se.