Skip to main content

Cookiepolicy: Vad det är och vad den måste innehålla

En cookiepolicy är ett dokument som förklarar för dina webbplatsbesökare vilka cookies och liknande spårningstekniker din webbplats använder, varför de används och hur användarna kan hantera dem. Det är ett rättsligt krav enligt både ePrivacy-direktivet och GDPR, och en hörnsten i transparent databehandling.

Den här guiden tar upp vad en cookiepolicy är, hur den skiljer sig från en integritetspolicy, vad den måste innehålla enligt gällande regelverk och hur du håller den korrekt över tid.

Vad är en cookiepolicy?

En cookiepolicy är ett särskilt dokument – antingen en fristående sida eller ett tydligt identifierbart avsnitt i din integritetspolicy – som ger uttömmande information om hur din webbplats använder cookies och liknande tekniker (local storage, session storage, pixeltaggar, web beacons, fingerprinting med mera).

Den rättsliga grunden för kravet på en cookiepolicy kommer från två regelverk som griper in i varandra:

  • ePrivacy-direktivet (2002/58/EG), artikel 5.3 – kräver att användarna får "tydlig och fullständig information" om syftet med cookies innan samtycke inhämtas.
  • GDPR, artiklarna 12–14 – kräver transparens kring databehandling, inklusive vilka uppgifter som samlas in, i vilka syften, med vem de delas och hur länge de lagras.

Tillsammans kräver dessa regelverk att du berättar för dina användare exakt vilka spårningstekniker du använder och ger dem verklig kontroll över dessa tekniker.

Cookiepolicy kontra integritetspolicy

En cookiepolicy och en integritetspolicy är kompletterande men separata dokument. Det är viktigt att förstå skillnaden:

Aspekt Cookiepolicy Integritetspolicy
Omfattning Specifikt cookies och spårningstekniker All behandling av personuppgifter (formulär, konton, köp osv.)
Rättslig grund ePrivacy-direktivet + GDPR:s transparenskrav GDPR artiklarna 12–14
Innehållsfokus Cookienamn, syften, varaktighet, typer, kategorier, kontrollmekanismer Uppgiftskategorier, rättsliga grunder, rättigheter, överföringar, dataskyddsombud, lagring
Format Fristående sida eller avsnitt i integritetspolicyn Fristående sida (obligatorisk)
Uppdateringsfrekvens Varje gång cookies ändras (verktyg/leverantörer läggs till eller tas bort) Varje gång rutinerna för databehandling ändras

Du får inkludera din cookiepolicy som ett avsnitt i din integritetspolicy, men den måste vara tydligt identifierbar och enkel att navigera till. Många organisationer har en separat cookiepolicy för tydlighetens skull, och eftersom cookieinformationen kan vara ganska detaljerad.

Din cookiebanner bör länka till din cookiepolicy. Om cookieinformationen är ett avsnitt i integritetspolicyn ska länken gå direkt till det avsnittet – tvinga inte användarna att scrolla genom sidor av ovidkommande integritetsinformation för att hitta cookiedetaljerna.

Rättsligt krav på en cookiepolicy

ePrivacy-direktivet kräver "tydlig och fullständig information" som en förutsättning för giltigt samtycke. GDPR:s transparensprincip (artikel 5.1 a) och informationskrav (artiklarna 13–14) kräver dessutom att denna information ska vara:

  • Koncis, transparent och begriplig (artikel 12.1)
  • Formulerad på ett klart och tydligt språk (artikel 12.1)
  • Lättillgänglig (artikel 12.1)
  • Tillhandahållen utan kostnad (artikel 12.5)

I praktiken innebär det: din cookiepolicy måste vara skriven på ett språk som en person utan teknisk bakgrund kan förstå, den måste vara länkad från din cookiebanner och din sidfot, och den måste innehålla specifik information om varje cookie din webbplats använder.

Vad en cookiepolicy måste innehålla

Utifrån de samlade kraven i ePrivacy-direktivet, GDPR och vägledning från dataskyddsmyndigheter, däribland ICO (Storbritannien), CNIL (Frankrike) och artikel 29-gruppen, måste din cookiepolicy innehålla följande information:

1. Vilka cookies du använder

Tillhandahåll en fullständig lista över alla cookies och liknande tekniker som är aktiva på din webbplats. Detta omfattar cookies som sätts av din egen kod (förstapartscookies) samt cookies som sätts av tredjepartstjänster du använder (analysplattformar, annonsnätverk, widgets för sociala medier, inbäddat innehåll, chattbottar med mera).

Varje cookie bör identifieras med namn. "Vi använder analyscookies" räcker inte – du måste ange de specifika cookiesen: exempelvis _ga, _gid, _gat för Google Analytics.

2. Syftet med varje cookie

Förklara i klarspråk vad varje cookie eller grupp av relaterade cookies gör. Undvik teknisk jargong. Effektiva syftesbeskrivningar:

  • "Sparar dina cookieinställningar så att vi inte behöver fråga igen vid varje besök."
  • "Hjälper oss att räkna hur många som besöker vår webbplats och vilka sidor som är mest populära."
  • "Gör att vi kan visa annonser som är relevanta för dina intressen på andra webbplatser."

3. Förstaparts- kontra tredjepartscookies

Ange om varje cookie sätts direkt av din webbplats (förstapart) eller av en extern tjänst (tredjepart). För tredjepartscookies ska du ange leverantören och länka till dess integritetspolicy. Användarna har rätt att veta inte bara att deras uppgifter samlas in, utan även av vem.

4. Varaktighet / utgång

Ange hur länge varje cookie finns kvar. Det finns två typer:

  • Sessionscookies – raderas när användaren stänger webbläsaren. Ange detta tydligt: "Session (raderas när du stänger webbläsaren)."
  • Permanenta cookies – finns kvar på användarens enhet under en viss period. Ange den specifika varaktigheten: "2 år", "30 dagar", "13 månader". Använd inte vaga termer som "långsiktig".

Dataskyddsmyndigheter har granskat cookiers varaktighet noga. CNIL rekommenderar exempelvis att samtyckescookies (de cookies som lagrar användarens samtyckesval) inte bör överstiga 13 månader.

5. Så hanterar och raderar du cookies

Förklara hur användarna kan hantera cookies genom två mekanismer:

  • Din samtyckesbanner. Förklara att användarna kan ändra sina cookieinställningar när som helst via dina cookieinställningar (ange var inställningslänken/-ikonen finns).
  • Webbläsarinställningar. Ge allmänna instruktioner för att hantera cookies i vanliga webbläsare (Chrome, Firefox, Safari, Edge). Du behöver inte ge steg-för-steg-instruktioner, men du bör förklara att webbläsarinställningar finns och länka till respektive webbläsares supportsidor.

6. Så återkallar du samtycke

GDPR artikel 7.3 kräver att det ska vara lika enkelt att återkalla samtycke som att lämna det, och att användarna informeras om denna rätt innan de lämnar samtycke. Din cookiepolicy måste förklara:

  • Att användaren har rätt att återkalla sitt samtycke när som helst.
  • Hur man gör det (vanligtvis: klicka på cookieinställningsikonen/-länken som syns på varje sida, eller radera cookies via webbläsarinställningarna).
  • Att återkallandet av samtycke inte påverkar lagligheten av behandling som grundats på samtycke innan detta återkallades.

7. Cookiekategorier

Organisera cookies i de standardkategorier som din samtyckesbanner använder. Den mest utbredda kategoriseringen är:

  • Strikt nödvändiga – cookies som krävs för att webbplatsen ska fungera (inloggningssessioner, kundvagnar, säkerhetstokens). Dessa kräver inte samtycke enligt ePrivacy-direktivet.
  • Inställningar / funktionella – cookies som kommer ihåg användarens val (språk, region, visningsinställningar). De förbättrar upplevelsen men är inte nödvändiga.
  • Analys / statistik – cookies som används för att samla in anonym användningsdata (sidvisningar, trafikkällor, användarbeteendemönster).
  • Marknadsföring / annonsering – cookies som används för riktad annonsering, retargeting och annonsmätning.

Kategorierna i din cookiepolicy bör matcha kategorierna i din samtyckesbanner. Bristande överensstämmelse mellan de två dokumenten undergräver transparensen.

8. Kontaktuppgifter

Ange kontaktuppgifter för frågor om dina cookierutiner. Detta omfattar vanligtvis:

  • Den personuppgiftsansvariges identitet (ditt företagsnamn och registrerade adress)
  • E-postadress för integritetsfrågor
  • Kontaktuppgifter till dataskyddsombud, om du har utsett ett
  • Din tillsynsmyndighet (den relevanta dataskyddsmyndigheten)

Var du ska visa din cookiepolicy

Din cookiepolicy måste vara lättillgänglig från flera platser:

  • Webbplatsens sidfot. En länk med texten "Cookiepolicy" i sidfoten, synlig på varje sida. Det är den standardplacering som användarna förväntar sig.
  • Cookiebanner. En direktlänk från din cookiebanner till den fullständiga cookiepolicyn. Detta är ett rättsligt krav – användarna måste kunna nå detaljerad information från samtyckesgränssnittet.
  • Panel för cookieinställningar. Det andra lagret i ditt samtyckesgränssnitt bör länka till cookiepolicyn för användare som vill ha mer information.
  • Integritetspolicy. Om din cookiepolicy är ett separat dokument bör du korshänvisa till den från din integritetspolicy och vice versa.

Att presentera cookieinformation

Det mest effektiva och transparenta formatet för att presentera enskilda cookies är en tabell. Dataskyddsmyndigheter, däribland ICO, rekommenderar detta format:

Cookienamn Leverantör Syfte Typ Varaktighet
_ga Google Analytics Skiljer unika besökare åt genom att tilldela ett slumpmässigt genererat nummer Tredjepart, analys 2 år
_gid Google Analytics Skiljer unika besökare åt under den aktuella dagen Tredjepart, analys 24 timmar
cookie_consent Denna webbplats Lagrar dina cookieinställningar Förstapart, nödvändig 12 månader

Detta format är tydligt, lättöverskådligt och ger all nödvändig information med ett ögonkast.

Hur ofta du bör uppdatera

Din cookiepolicy måste vara korrekt vid alla tidpunkter. Uppdatera den varje gång du:

  • Lägger till en ny tredjepartstjänst som sätter cookies (ett nytt analysverktyg, en ny marknadsföringsplattform, en ny chattbot).
  • Tar bort en tjänst som tidigare satte cookies.
  • En tredjepartstjänst ändrar sina cookies (nya namn, ny varaktighet, nya syften).
  • Ändrar kategorierna i din samtyckesbanner.
  • Regulatorisk vägledning ändras (nya krav, ny best practice).

Inkludera ett datum för "Senast uppdaterad" högst upp eller längst ned i din cookiepolicy. Det visar att policyn underhålls aktivt och hjälper användarna att bedöma hur aktuell den är.

Utmaningen är förstås att veta när dina cookies ändras. Tredjepartstjänster uppdaterar sin spårning ofta, och en cookie som fanns för tre månader sedan kan ha ersatts eller bytt namn. Manuella granskningar är opålitliga eftersom de bygger på att någon kommer ihåg att kontrollera.

Håll din policy korrekt med automatisk skanning

Det vanligaste efterlevnadsfelet i cookiepolicyer är inte avsaknaden av information – det är felaktig information. En policy som listar cookies du inte längre använder, eller som missar att nämna cookies som lagts till av en nyligen integrerad marknadsföringstjänst, är inte förenlig med reglerna.

Automatisk cookieskanning löser detta problem. En skanner besöker din webbplats med jämna mellanrum, identifierar alla cookies som sätts, jämför dem med de cookies du deklarerat och varnar dig för avvikelser.

Passiro skannar automatiskt din webbplats efter cookies, kategoriserar dem och lyfter fram eventuella odeklarerade cookies som ännu inte återspeglas i din policy. Det innebär att din cookiepolicy förblir korrekt utan manuella granskningar. Läs mer om Passiros automatiska cookieskanning.

I det här avsnittet

Följer din webbplats cookiereglerna?

Skanna din webbplats gratis och hitta alla cookies på några minuter.

Skanna dina cookies gratis