Personuppgiftspolicy

För GDPR-säker behandling av personuppgifter

Att använda cookies är för många hemsidor, speciellt inom diverse former av e-handel, ett effektivt sätt att lagra personuppgifter, utvärdera besökarnas beteende och optimera försäljningen. Dessa uppgifter används primärt för att kontinuerligt förbättra upplevelsen på hemsidan genom att ge användarna en skräddarsydd och personlig upplevelse. Exempelvis kan hemsidan anpassas efter de särskilda varor och tjänster som den enskilda användaren letar efter.

Det är viktigt att användningen av cookies är lagenlig och att användningen inte sker utan användarens uttryckliga samtycke. Inom EU är det av avgörande betydelse att användning av cookies sker i enlighet med både kriterierna i EU:s dataskyddsförordning (GDPR) samt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheter (EKMR). Nedan följer viktiga punkter att tänka på när du ska upprätta en cookie-policy.

Clara

Clara – jurist inom IT-rätt, dataskydd och GDPR

Vi hjälper dig med:

Ta kontakt

Kostnadsfri utvärdering. Fortsatt hjälp alltid till fast pris efter överenskommelse.

1. Vad är cookies?

Internetkakor (cookies) används av många webbsidor i syfte att lagra information om besökare på webbsidan. För att använda kakor krävs ett explicit samtycke från besökaren på hemsidan. När hemsidan kommer i kontakt med samma användare igen, används den lagrade information om vad besökaren har gjort tidigare för att förbättra upplevelsen för användaren. Du som företagare har mycket att tjäna på att använda dig av kakor; genom dessa kan du exempelvis föra statistik på hur besökare på din hemsida navigerar, vilka sidor de besöker och vad de köper.

2. Vad är en cookiepolicy?

En cookiepolicy informerar besökarna på din hemsida om att du använder cookies. Om du använder dig av cookies föreligger en absolut skyldighet att informera om det. Genom att underrätta besökarna om följderna av att acceptera eller neka cookies, kan de fatta ett välinformerat beslut. Observera att policyn bör formuleras så att den är enkel att både läsa och förstå för den genomsnittliga besökaren. Komplexa juridiska och tekniska begrepp bör i största möjliga utsträckning undvikas. En cookie-policy kan variera mellan olika webbplatser. Nedan följer några exempel på vad policyn ska innehålla:

  • Vad en cookie är för något.
  • Hur länge dina cookies är aktiva.
  • Vilka personuppgifter och övrig information varje cookie samlar in och lagrar.
  • Ändamålet med varje cookie.
  • Vilka tredje parter varje cookie delar personlig information med.
  • Vilka länder/regioner varje cookie skickar personuppgifter till.
  • Vilka cookies användarna kan samtycka till.
  • Hur man aktiverar respektive avaktiverar cookies på hemsidan.
3. Får jag samla in personuppgifter?

Användning av cookies innebär att personuppgifter lagras. Dessa inkluderar, men är inte begränsade till: namn, adress, personnummer, IP-adress, tidigare aktivitet på hemsidan samt användarens e-postadress. Om du använder cookies på din hemsida, bör du även ha en integritetspolicy som reglerar hur du använder cookies.

I integritetspolicyn ska du bland annat beskriva hur du använder de registrerades personuppgifterna, för vilket syfte lagringen, var de lagras och hur länge. Se till att integritetspolicyn är noggrant formulerad – annars kan din verksamhet bli drabbat av praktiska och ekonomiska sanktioner av Integritetsskyddsmyndigheten (IMY).

4. Vad är skillnaden mellan en personuppgiftspolicy och cookie-policy?

Skillnaden mellan en personuppgiftspolicy och en cookie-policy är att en personuppgiftspolicy inkluderar information om hur, när och varför din hemsida och/eller verksamhet samlar in och lagrar personuppgifter från besökarna på hemsidan – både online och offline. En cookie-policy handlar däremot specifikt om spårningstekniker som är inbäddade på din webbplats och som behandlar personuppgifter från besökarna på hemsidan. Din cookie-policy måste dessutom uppdateras kontinuerligt då cookies på din hemsida är dynamiska och kan ändras ofta vid upprepade besök. Av effektivitetsskäl kan du inkludera din cookie-policyn som en enskild klausul i din personuppgiftspolicy. I så fall måste detta framgå tydligt.

5. Vilka cookies måste användarna godkänna?

Eftersom användning av cookies kräver samtycke från användaren, är huvudregeln att du inte behöver acceptera några cookies. Regelverk såsom GDPR är utformade så att du som användare ska bestämma vilken personlig information du vill dela med dig av till en hemsida. Samtidigt kan olika former av cookies vara nödvändiga att acceptera om du överhuvudtaget vill surfa på en viss hemsida.

Vissa cookies kan vara en viktig förutsättning för att du ska få en personligt anpassad upplevelse på hemsidan; ett av ändamålen med cookies är nämligen att skräddarsy hemsidan efter dina önskemål och intressen. Detta kan särskilt vara praktiskt när du handlar varor och tjänster online och inte vill behöva ange samma uppgifter ett flertal gånger. Sammantaget behöver du inte godkänna cookies överhuvudtaget på en hemsida om du inte vill, men du bör då vara medveten om att företaget kan neka dig åtkomst till funktioner som behöver cookies för att fungera.

6. Vad innebär det att användarna aktivt måste ge samtycke?

Enligt beaktandesats 32 i GDPR måste ett samtycke, för att vara giltigt, vara: “frivilligt, specifikt, informerat och otvetydigt från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne”. Om du använder cookies på din hemsida, måste en cookiebanner visas upp när en besökare surfar på din hemsida, där besökaren ska tacka ja till cookies men även erbjudas möjligheten att tacka nej.

Observera att enligt GDPR får inga cookies sparas förrän användaren uttryckligen har gett sitt samtycke. Det är inte heller tillåtet att presumera att ett samtycke föreligger genom att exempelvis bara skriva “vi använder cookies”, och ha en “ok-knapp”. Ett samtycke kan heller inte lämnas konkludent genom att besökaren fortsätter att använda din hemsida. Om din användning av cookies bryter mot GDPR, riskerar din verksamhet sanktioner från Integritetsskyddsmyndigheten (IMY).

7. Hur ska man hantera data som lagras utanför EU (oftast i USA)?

Om din verksamhet befinner sig i Sverige, bör du så långt som möjligt sträva efter att besökarnas personuppgifter lagras inom Europeiska unionen (EU) och Europeiska ekonomiska samarbetsområdet (EES). Detta beror på att GDPR säkerställer ett likvärdigt skydd för personuppgifter och personlig integritet inom alla EU:s medlemsstater samt EES-länder. Detta innebär att personuppgifter kan föras över fritt mellan dessa länder.

Det är dock tillåtet att under vissa förutsättningar överföra personuppgifter till ett så kallat tredje land (vilket är ett land utanför EU eller EES). Detta förutsätter dock att det tredje landet har en adekvat skyddsnivå, att din verksamhet har vidtagit erforderliga skyddsåtgärder samt att överföringen är nödvändig. Om det tredje landet inte uppfyller kravet på adekvat skyddsnivå, kan du använda Europeiska kommissionens standardavtalsklausul för att se till att överföringen sker i enlighet med IMY:s krav.

8. Vad innebär det nya avtalet mellan EU och USA?

Det nya paraplyavtalet mellan EU och USA syftar till att främja samarbetet mellan parterna vid brottsbekämpning genom att bland annat underlätta överföring av personuppgifter, samtidigt som överföringar av personuppgifter sker i enlighet med befintlig lagstiftning. Detta innebär att transatlantiska överföringar av personuppgifter ska ske med hänsyn till grundläggande mänskliga rättigheter. Bland annat måste ett förhandsgodkännande inhämtas innan överföringen sker. Således måste överföringen mellan EU och USA av personuppgifter ske enligt befintliga standarder som har etablerats av Europeiska kommissionen och GDPR.

9. Kan jag använda en mall för en cookie policy?

Det finns många mallar att tillgå på internet som kan förenkla användningen av cookies på din hemsida. Genom att använda en mall slipper du utforma din cookie-policy manuellt. Det förutsätter att mallen är väl utformad och passar din hemsidas förutsättningar. Genom att använda dig av en mall som är transparent och lätt att begripa får besökaren på din hemsida dessutom en klar bild över vilka cookies du använder och hur du använder dem.

Observera dock att varje verksamhet och hemsida har olika förutsättningar. Detta innebär att du måste göra ändringar i mallen för att din cookiepolicy ska vara optimalt utformad för hemsidan. Hör av dig till oss om du vill ha vår hjälp att granska, uppdatera eller implementera en mall.

10. Kan jag använda en generator för cookie-policys?

Precis som mallar finns det på internet flera automatiska generatorer för cookie-policys. Många av dessa är dessutom kompatibla med GDPR och övrig befintlig lagstiftning. Fördelen med att använda en generator är således att du inte manuellt behöver utforma din cookie-policy. Om generatorn är korrekt programmerad ska cookie-policyn den genererar till dig dessutom stämma överens med din hemsidas förutsättningar. Notera att det alltid är en bra idé att ta hjälp av en GDPR-jurist för att granska den standardgenererade policyn.

11. Hur kan Enkla Juridik hjälpa mig?

Enkla Juridik har jurister med GDPR-expertis som gärna hjälper er med legala frågor rörande IT, personuppgiftshantering och dataskydd.  Vi upprättar en cookie- eller personuppgiftspolicy till fast pris och hjälper dig från start till mål. Vid förfrågan hjälper vi också till att se över dina system och rutiner så att de håller en erforderlig nivå enligt gällande rätt. Kontakta oss idag för en förutsättningslös utvärdering av ditt företags situation!