Hoppa till innehåll
CompliantHQ

Måste man ha en cookiepolicy — och vad ska den innehålla?

Måste man ha en cookiepolicy? Lagen ställer inget formkrav på ett separat dokument med just det namnet. Men samtyckeskravet för cookies förutsätter att samtycket är informerat — besökaren ska veta vad hen säger ja till — och då måste informationen finnas någonstans. I praktiken är en cookiepolicy, eller ett cookieavsnitt i integritetspolicyn, det etablerade sättet. Det viktiga är inte dokumentets namn, utan att innehållet stämmer med vad webbplatsen faktiskt gör.

ePrivacy art. 5.3GDPR art. 12–13

Vad säger lagen?

Samtyckeskravet kommer från ePrivacy-reglerna — i Sverige lagen om elektronisk kommunikation (9 kap. 28 §): cookies som inte är nödvändiga får inte sättas utan samtycke, och ett samtycke är bara giltigt om det är informerat. Det är informationskravets kärna: besökaren måste kunna förstå vilka cookies som sätts och varför, innan valet görs.

När cookies dessutom behandlar personuppgifter — vilket spårnings- och analyscookies i regel gör — gäller GDPR:s informationskrav i artikel 13 ovanpå: ändamål, mottagare och övrig obligatorisk information. Europeiska dataskyddsstyrelsens (EDPB) praxis har dessutom gjort kategori, ändamål och livslängd per cookie till en etablerad förväntan på vad informationen ska innehålla.

Det här ska cookiepolicyn innehålla

Oavsett om informationen bor i ett eget dokument eller i integritetspolicyn ska besökaren kunna utläsa:

  • Vilka cookies och spårare som används — inte ett urval, utan de som faktiskt sätts på webbplatsen.
  • Vad var och en gör och varför — kategori och ändamål, till exempel nödvändig, funktionell, analys eller marknadsföring, gärna i en cookietabell.
  • Hur länge de ligger kvar — livslängd per cookie eller kategori, till exempel "session", "30 dagar" eller "1 år". Inget hårt lagkrav, men en etablerad förväntan enligt EDPB:s riktlinjer.
  • Vem som tar emot datan — vilka tredjeparter och tjänsteleverantörer som cookies skickar uppgifter till.
  • Hur besökaren ändrar eller återkallar sitt val — en väg tillbaka till cookie-inställningarna, lika lätt att hitta som bannern var.

Vanliga brister vi ser

  • Policyn listar fem cookies — webbplatsen sätter tjugofem. Tabellen skrevs en gång och har inte följt med när nya verktyg lagts till.
  • Bannern erbjuder kategorier som policyn aldrig nämner — besökaren samtycker till "marknadsföring" i bannern, men policyn förklarar inte vad kategorin innehåller.
  • Policyn påstår "vi delar inte data med tredje part" — medan trafiken går till annonsplattformar.
  • "Genom att fortsätta surfa godkänner du cookies" — ett samtyckesupplägg som inte är giltigt; samtycke kräver ett aktivt val.
  • Livslängder saknas helt, så besökaren kan inte veta om spårningen pågår en session eller två år.

Så testar CompliantHQ det här

Det som gör cookiepolicyn speciell är att den går att kontrollera mot verkligheten. Skannern besöker webbplatsen i en riktig webbläsare och registrerar vilka cookies och spårare som faktiskt sätts — och läser samtidigt cookiepolicyn som dokument. Sedan jämför vi: nämner policyn de spårare vi observerade? Beskriver den kategorierna som bannern erbjuder? Stämmer påståenden som "vi delar inte data" med den uppmätta trafiken?

Skillnaden mellan uppgett och uppmätt är ofta det mest värdefulla fyndet — en policy kan se komplett ut och ändå beskriva en annan webbplats än den som faktiskt körs. Vi mäter ett urval av sidorna, så listan över observerade spårare gäller det vi faktiskt såg. Och bedömningar som kräver tolkning — till exempel om policyn beskriver ett ogiltigt samtyckesupplägg — redovisas som bedömningar, aldrig som konstaterade överträdelser.

Samtliga kontroller körs redan i provperioden.

Så åtgärdar du

  • Inventera först vad som faktiskt sätts — via en skanning eller webbläsarens utvecklarverktyg — i stället för att utgå från vad ni tror används.
  • Bygg en cookietabell med kategori, ändamål och livslängd per cookie eller grupp, och ange vilka tredjeparter som tar emot data.
  • Synka bannern och policyn: varje kategori bannern erbjuder ska beskrivas i policyn — vad den innehåller och varför.
  • Ta bort eller justera absoluta påståenden som "vi delar aldrig data" om ni använder externa tjänster — beskriv i stället vilka leverantörer ni anlitar.
  • Beskriv samtycket som ett aktivt val i bannern — inte som "fortsatt surfning" — och länka till cookie-inställningarna så att valet går att ändra.
  • Uppdatera tabellen när ni lägger till eller byter verktyg — en cookiepolicy är färskvara.

Det här ingår i granskningen

  • Att cookie-information finns — som eget dokument eller tydligt avsnitt.
  • Att cookie-informationen förklarar vad varje cookie gör och varför den används — inte bara att cookies förekommer.
  • Att det framgår hur länge varje cookie ligger kvar i besökarens webbläsare.
  • Att varje spårare vi faktiskt uppmätte på webbplatsen också nämns i cookie-informationen — uppmätt jämförs mot vad som uppges.
  • Att cookie-bannern och cookie-informationen säger samma sak — bannern får inte erbjuda kategorier som informationen inte nämner.
  • Att en policy som påstår att uppgifter inte delas med andra inte motsägs av vad vi faktiskt uppmätte på webbplatsen.
  • Att en policy som påstår att spårningscookies inte används inte motsägs av vad skanningen uppmätte.
  • Att policyn inte beskriver ett ogiltigt samtyckesupplägg — "genom att fortsätta surfa godkänner du cookies" är inte giltigt samtycke.

Vanliga frågor

Måste man ha en separat cookiepolicy?

Nej, lagen ställer inget formkrav på ett separat dokument — informationen kan ligga som ett avsnitt i integritetspolicyn. Men den måste finnas, gå att hitta och stämma med de cookies som faktiskt används.

Räcker cookietabellen som vår samtyckesplattform genererar?

Den är ofta en bra grund, men kontrollera den mot verkligheten — automatgenererade tabeller hänger inte alltid med när nya verktyg läggs till, och kategorierna i bannern måste stämma med vad policyn beskriver.

Måste varje cookie ha en angiven livslängd?

Det är inget hårt lagkrav, men EDPB:s riktlinjer har gjort livslängd per cookie till en etablerad förväntan — besökaren ska kunna förstå hur länge spårningen pågår.

Är "genom att fortsätta surfa godkänner du cookies" giltigt?

Nej. Samtycke ska vara en aktiv och otvetydig handling — ett val i en banner med både acceptera och neka. Fortsatt surfning räknas inte som samtycke.

Vad gör vi om policyn listar färre cookies än webbplatsen sätter?

Två vägar: komplettera policyn med de spårare som saknas — kategori och ändamål per leverantör — eller se till att de spårare ni inte vill stå för inte laddas, åtminstone inte före samtycke.

Vill du se vad vi hittar på din webbplats?

Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.

Starta gratis skanningSe priser

Fler fördjupningar