Vad är skillnaden på cookiepolicy och integritetspolicy?

Du har säkert sett olika varianter för cookiepolicies och integritetspolicies som ibland ligger på samma sida, och kanske funderat på om det är samma sak? Det är det inte och vi förklarar skillnaden.

Syfte och innehåll kan absolut överlappa, men cookiepolicy och integritetspolicy är inte samma sak. En viktig sak att tänka på är att en policy ska utgå från det egna företaget eller organisationen, just den data ni använder och hur ni hanterar den. (Därför kan man inte bara kopiera någon annans text).

Vad är en integritetspolicy (Privacy Policy)?

En integritetspolicy ska beskriva hur ni hanterar personuppgifter – oavsett varifrån de kommer. Fokus är på persondata, dvs data som namn, e-post, IP-adress osv.

En integritetspolicy ska till exempel innehålla:

• Vilken data ni samlar in (personuppgifter)
• Hur ni använder uppgifterna
• Hur länge ni sparar dem
• Vilka rättigheter användaren har enligt GDPR
• Kontaktuppgifter till dataskyddsansvarig 

Vad är en cookiepolicy?

En cookiepolicy ska beskriva vilka cookies ni använder, varför ni använder dem, och hur användaren kan hantera dem. Här är fokus på tekniska spår i webbläsaren.

En cookiepolicy ska till exempel innehålla:

• Vilka typer av cookies som används på webbsajten (nödvändiga, analys, marknadsföring)
• Vilka tredjepartstjänster som sätter cookies (t.ex. Google, Meta)
• Hur man ändrar sina cookie-inställningar
• Länk till cookie-verktyg för att ändra sina val av cookies

Hur hänger det ihop med GDPR?

Vi är glada att du undrar. GDPR står för General Data Protection Regulation och är EU:s dataskyddsförordning. Den gäller all behandling av personuppgifter – det vill säga all information som kan kopplas till en levande person, exempelvis namn, e-post, personnummer, IP-adress, platsdata eller beteendedata (t.ex. vad någon klickar på).

GDPR säger att:

• Personuppgifter måste behandlas lagligt, öppet och för ett tydligt ändamål
• Användare måste få veta vilka uppgifter som samlas in och kunna säga nej
• Användare har rätt till insyn, rättelse och att bli raderad

Så – integritetspolicyn är ert sätt att uppfylla GDPR:s krav på öppenhet.

Cookies som kan identifiera en person (t.ex. via spårning, statistik, remarketing) kan räknas som personuppgifter enligt GDPR. Då gäller att samtycke måste inhämtas innan cookies aktiveras. Samtycket måste vara frivilligt, informerat, tydligt och återkalleligt.

Här kan du läsa mer om dataskyddsförordningen.

Bonus information

Cookies styrs även av ePrivacy-direktivet som säger att:

• Cookies (utom de absolut nödvändiga) kräver samtycke
• Man måste informera om alla cookies – även de som inte räknas som personuppgifter

Det är därför webbplatser i EU måste ha en cookie-banner/pop-up där användaren kan välja och godkänna.

TIPS: Ett vanligt upplägg är att inkludera cookieinformationen i integritetspolicyn – men med en tydlig rubrik och struktur.