Hur skriver man en cookiepolicy?

I ett tidigare inlägg gick vi översiktligt igenom vad en s.k. ”cookie” är och vad man ska tänka på vid användning av cookies på sin webbsida. För att på bästa sätt hänga med i detta blogginlägg läser du med fördel det inlägget först. Här kommer vi att gå igenom hur man ska upprätta en cookiepolicy när man väl har identifierat vilka cookies man använder och fastställt att man inhämtar giltiga samtycken.

Publicerad 21 augusti 2023

Till att börja med kan det vara på sin plats att kort beskriva vad cookies är och vad en cookiepolicy är.

Vad är en cookie?

Kort sagt är en cookie, eller en kaka som det kallas på svenska, en liten datafil som en webbplats lagrar på besökarens dator eller mobila enhet. Cookies används för att få webbsidor och applikationer att fungera mer effektivt men även för att ge viss information till ägaren av en hemsida. Det finns olika typer av cookies vilka du kan läsa mer om i inlägget länkat ovan.

Vad är en cookiepolicy?

En cookiepolicy är sammanställd information som innehåller en lista av alla cookies som används på webbsidan tillsammans med relevant information om hur dessa cookies används.

Vilka regler gäller för cookies? Varför måste vi ha en cookiepolicy?

Cookies regleras framför allt av lagen om elektronisk kommunikation (”LEK”) och den allmänna dataskyddsförordningen (”GDPR”). Enligt 9 kap. 28 § LEK får cookies lagras endast om användaren gett ett giltigt samtycke, om det inte endast rör sig om cookies som är strikt nödvändiga för att hemsidan/tjänsten ska fungera. Lagen ställer också upp krav för hur cookies får placeras och vilken information en besökare/användare ska få.

Eftersom cookies i regel innebär behandling av personuppgifter så måste användningen av cookies även vara förenlig med GDPR. Många lagar, inklusive GDPR, kräver transparens när det kommer till personuppgiftsbehandlingar.

Det finns ingen bestämmelse i GDPR eller LEK som uttryckligen anger att en organisation som använder cookies ska ha en ”cookiepolicy”. Utan cookiepolicy är ett vedertaget samlingsbegrepp för den information som en hemsidesbesökare eller applikationsanvändare har rätt att få tillgång till (enligt GDPR respektive LEK), innan de tar beslut om de samtycker till cookies eller inte.

Tillämpliga lagar kräver således att ni är transparenta med vilka cookies ni använder och hur ni behandlar personuppgifter. Därför är en cookiepolicy ett sätt för er att påvisa efterlevnad av reglerna samt enkelt för individerna att hitta information om detta när de besöker olika webbplatser eller appar.

Andra benämningar på cookie policy (informationen om en organisations användning av cookies) kan vara:

Information om cookies
Sekretesspolicy
Kakregler
Riktlinjer för cookies

Ibland återfinns information om cookies i en organisations personuppgiftspolicy (integritetspolicy), men vi rekommenderar att ni sammanställer denna information separat för att göra det tydligt för läsaren vad som gäller specifikt för cookies.

Hur skriver man en bra cookiepolicy? Vad ska den innehålla?

Kortfattat är följande punkter de viktigaste att inkludera i en cookiepolicy:

Definition av vad en cookie är
Beskrivning av hur och varför ni använder cookies
Samtyckesinformation
- Information om att ni samlar in samtycke innan cookies placeras
- Att samtycket alltid kan tas tillbaka
Beskrivning av de olika typerna av cookies ni använder och hur de används
- Görs lättast i någon form av tabell eller uppspaltning, med
  - Namn
  - Ändamål
  - Livslängd
- Hur användare kan kontrollera deras cookieinställningar och hur de kan välja bort cookies
- Information om er organisation och uppdateringar
  - Kontaktuppgifter och ev. versionshistorik

Med bakgrund i GDPR:s grundläggande principer ska cookiepolicyn präglas av bland annat laglighet, korrekthet och öppenhet. Därför är det särskilt viktigt att informationen i policyn är klar och tydlig, och att policyn i sig är lätt att hitta.

Cookiepolicyn ska gå att nå genom både cookiebannern (läs mer om cookiebanners här) och på er webbsida, antingen högst upp eller längst ner på sidan. Den får alltså inte vara gömd någonstans.

En cookiepolicy ska också vara skriven på ett sätt som är lätt för läsaren att förstå och ni bör undvika teknisk jargong och komplicerade juridiska termer. Eftersom syftet med informationen är att informera användaren hur cookies används, så är det viktigt att formulera sig så att användaren kan fatta ett informerat beslut om huruvida de vill tillåta cookies eller inte.

Om du läser detta blogginlägg för att du vill ha inspiration eller hjälp med er egen hantering av cookies är du varmt välkommen att kontakta oss för en kostnadsfri konsultation på 30 minuter. Om du besöker denna sida för att få veta mer om vilka cookies vi använder eller vill se ett exempel på hur en cookiepolicy kan se ut, kan ni läsa vår cookiepolicy här.

Kom ihåg!

Kopiera inte någon annans organisations personuppgiftspolicy eller cookie policy, ni riskerar då dels att informera felaktigt, dels att ni utsätter er för större risker. Behöver ni hjälp med information om er personuppgiftshantering? Kontakta oss på 046-2731717 eller maila till info@gdprhero.se.

My Frost

info@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Kontakta oss om ni vill ha specifik rådgivning för just er situation.

Våra senaste inlägg

Telefonförsäljning & GDPR

Hur ska vi tänka kring skyddade personuppgifter?

Vad är viktigt att tänka på när vi köper kontaktuppgifter?

Sociala medier och GDPR

Har du kontroll över din virtuella identitet?

Visselblåsning – vanliga frågor

Varför måste vi föra register över behandlingar? Hur kan vi använda registret till vår fördel?

Vad gäller uppgifter om anställdas fackliga medlemskap på arbetsplatsen?

Är matpreferens en känslig uppgift? Krävs det i så fall samtycke för behandling av en matpreferens?

Hushållsundantaget, när gäller GDPR för privatpersoners behandling av personuppgifter?