Cookies-policy Sverige (LEK och GDPR 2026)
[Web Namn] — [Web Doman]
1. OM DENNA COOKIES-POLICY
[Web Namn], organisationsnummer [Web Orgnr] (nedan 'Bolaget'), ansvarar för cookies och liknande spårningstekniker på webbplatsen [Web Doman]. Denna cookies-policy beskriver vad cookies är, vilka cookies vi använder, syftet med dessa, hur länge de lagras och hur du hanterar dina cookieinställningar.
Policyn upprättas i enlighet med 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) som implementerar ePrivacy-direktivet 2002/58/EG om integritet och elektronisk kommunikation, samt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Post- och telestyrelsen (PTS) och Integritetsskyddsmyndigheten (IMY) delar tillsynsansvar för cookiereglerna i Sverige. Kontakt vid frågor: [Web Epost].
2. VAD ÄR COOKIES?
Cookies (kakor) är små textfiler som en webbplats sparar på din enhet (dator, mobiltelefon, surfplatta) när du besöker webbplatsen. Cookies möjliggör att webbplatsen känner igen din enhet vid återbesök och kommer ihåg dina inställningar och beteenden. Liknande tekniker inkluderar local storage (HTML5), session storage, pixlar (tracking pixels eller web beacons), fingerprinting och cache-lagring. I denna policy används 'cookies' som samlingsterm för alla dessa tekniker.
Cookies delas vanligen in i sessionscookies (raderas automatiskt när du stänger webbläsaren) och permanenta cookies (lagras på din enhet i ett bestämt antal dagar, månader eller år). Cookies kan vara förstapartscookies (sätta av [Web Doman]) eller tredjepartscookies (sätta av externa tjänster som du använder via var webbplats).
3. KATEGORIER AV COOKIES VI ANVÄNDER
3.1 Strikt nödvändiga cookies (kräver INTE samtycke)
Strikt nödvändiga cookies är absolut nödvändiga för att webbplatsen ska fungera korrekt. Dessa cookies kan inte stängas av utan påverkar tekniska funktioner. Exempel: inloggningscookie (session-id), kundvagn-cookie vid e-handel, CSRF-skyddscookie (säkerhetstoken), load balancer-cookie. Rättslig grund: intresseavvägning (berättigat intresse) och teknisk nödvändighet. Samtycke krävs inte enligt 6 kap. 18 § LEK.
3.2 Funktionscookies (kräver samtycke)
Funktionscookies möjliggör personalisering och förbättrad användarupplevelse som inte är strikt nödvändig: ihågkomna inloggningsuppgifter (opt-in), språkval, valutainställning, tillgänglighetsanpassningar, produktjämförelselistor. Rättslig grund: samtycke (art. 6.1.a GDPR och 6 kap. 18 § LEK).
3.3 Statistik- och analysCookies (kräver samtycke)
Statistikcookies samlar anonym eller pseudonymiserad data om hur webbplatsens besökare beter sig: vilka sidor som besöks, hur länge, hur du hittade till webbplatsen och vilken enhet du använder. Verktyg: [Analytics Anvands]. Syftet är att förbättra webbplatsens funktion och innehåll. Rättslig grund: samtycke (art. 6.1.a GDPR och 6 kap. 18 § LEK).
3.4 Marknadsföringscookies (kräver samtycke)
Marknadsföringscookies spårar dina besök och intressen för att visa dig relevant reklam på var och andra webbplatser (retargeting). Verktyg: [Marknadsforing Anvands]. Dessa cookies delar data med reklamplattformar. Rättslig grund: samtycke (art. 6.1.a GDPR och 6 kap. 18 § LEK).
4. TREDJEPARTSCOOKIES OCH EXTERNA TJÄNSTER
Tredjepartstjänster och deras cookies: [Tredjeparts Cookies]. Varje tredjepartsaktör agerar som självständig personuppgiftsansvarig för de data de samlar in. Vi rekommenderar att du granskar respektive aktörs integritetspolicy för mer information. Vid samtycke till statistik- eller marknadsföringscookies kan data överas till USA via Google LLC och Meta Platforms Inc. EU-US Data Privacy Framework (adekvansbeslut, art. 45 GDPR) gäller vid certifierade aktörer. Standardavtalsklausuler (beslut EU 2021/914) tillämpas som kompletterande skyddsåtgärd.
5. SAMTYCKE OCH HANTERING AV COOKIEINSTÄLLNINGAR
Samtyckeshantering: [Samtycke Verktyg]. Vid ditt första besök på [Web Doman] visas en cookie-banner. Du kan: (a) Godkänna alla cookies, (b) Neka alla icke-nödvändiga cookies, (c) Anpassa dina val per kategori (funktionscookies, statistik, marknadsföring). Ditt samtycke registreras och lagras i en cookie i upp till 12 månader varefter ny godkännandeförfrågan visas. Du kan när som helst ändra dina inställningar via länken 'Cookieinställningar' i var sidfot.
Återkallande av samtycke: Samtycke till icke-nödvändiga cookies kan återkallas när som helst utan negativa konsekvenser. Återkallandet gäller från och med återkallandet; tidigare behandling baserad på samtycket berörs inte. Du kan också radera cookies via webbläsarinställningar. Observera att radering av cookies kan påverka webbplatsens funktion.
6. WEBBLÄSARINSTÄLLNINGAR
Du kan kontrollera cookies direkt via din webbläsares inställningar. Instruktioner för vanliga webbläsare: Google Chrome: Inställningar > Sekretess och säkerhet > Cookies. Mozilla Firefox: Inställningar > Integritet och säkerhet > Cookies. Apple Safari: Inställningar > Integritet > Hantera webbplatsdata. Microsoft Edge: Inställningar > Sekretess, sökning och tjänster > Cookies. Observera att blockering av alla cookies kan förhindra inloggning och andra funktioner.
7. DINA RÄTTIGHETER OCH KONTAKT
Du har rättigheter enligt GDPR artiklarna 15-22 avseende personuppgifter som samlas in via cookies: rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och invändning. Kontakta oss på [Web Epost] för att utöva rättigheter. Du kan inge klagomål till Integritetsskyddsmyndigheten (IMY), Drottninggatan 29, 111 51 Stockholm, [email protected], telefon 08-657 61 00, eller Post- och telestyrelsen (PTS), Box 5398, 102 49 Stockholm, [email protected] för LEK-frågor. Ändringar i denna cookies-policy kommuniceras via [Web Doman].
Vad är Cookies-policy Sverige (LEK och GDPR 2026)?
Cookies-policy i Sverige är ett transparensdokument som webbplatsoperatörer är skyldiga att tillhandahålla för att uppfylla 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK), Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Tillsynsansvaret delas av Post- och telestyrelsen (PTS) (LEK-frågor) och Integritetsskyddsmyndigheten (IMY) (GDPR-frågor).
Kravet på cookies-policy grundar sig i 6 kap. 18 § LEK som implementerar ePrivacy-direktivet 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Paragrafen föreskriver att den som erbjuder en elektronisk kommunikationstjänst (webbplats, app) ska inhämta användarens informerade samtycke innan cookies och liknande spårningstekniker lagras på eller läses från användarens terminalutrustning (dator, mobiltelefon, surfplatta), med undantag för strikt nödvändiga tekniker.
Informerat samtycke enligt LEK kräver tre egenskaper. Frivilligt: att neka cookies ska inte påverka tillgången till webbplatsens kärntjänst. Specificerat: samtycke ska ges separat per kategori (statistik, marknadsföring, funktionscookies). Informerat: användaren ska förstå vad de samtycker till, inklusive vilka tredjepartsaktörer som involveras och hur länge cookies lagras.
GDPR-kopplingen är central. Cookies som samlar personidentifierbar information (IP-adress, device fingerprint, användar-ID) är personuppgifter som kräver rättslig grund enligt artikel 6 GDPR. IMY:s ståndpunkt är att cookie-samtycke för statistik- och marknadsföringscookies ska uppfylla GDPR-samtyckeskraven i artikel 7 GDPR: frivilligt, specificerat, informerat, otvetydigt (aktiv åtgärd, inte passivt godkännande). Pre-tickad ruta eller fortsatt surfande är inte giltigt samtycke.
IMY:s riktlinjer preciserar krav för cookies-policy. Cookies-policy ska: ange alla cookies och liknande tekniker som webbplatsen använder, specificera syfte, varaktighet och om tredjeparter är involverade, beskriva samtyckessystemet och hur samtycke kan återkallas, ge instruktioner för webbläsarinställningar, inkludera kontaktuppgifter för frågor och klagomål. IMY utövade tillsyn mot flera svenska webbplatser 2022-2023, inklusive Elgiganten, ICA, H&M och Klarna, och utfärdade krav på förbättrade cookie-samtycken. IMY:s vägledning om cookies är publicerad på imy.se.
Europeiska dataskyddsstyrelsen (EDPB) publicerade riktlinje 05/2020 om samtycke och riktlinje 03/2022 om mörka mönster (dark patterns) som ska undvikas. Dark patterns är vilseledande designlösningar som manipulerar användare att samtycka till cookies (t ex 'Acceptera allt' framhävt och 'Neka' gömt). EDPB kräver lika lättillgänglighet för 'acceptera' och 'neka'. Integritetsskyddsmyndigheten (IMY) tillämpar EDPB:s riktlinjer i Sverige.
När behöver du Cookies-policy Sverige (LEK och GDPR 2026)?
Cookies-policy i Sverige krävs för alla webbplatser och appar som använder cookies eller liknande tekniker.
Kommersiella webbplatser och e-handel. Alla webbplatser med Google Analytics, Google Ads, Facebook Pixel, Hotjar, Klaviyo eller liknande verktyg behöver cookies-policy. Välkända svenska webbplatser som Aftonbladet, SVT, Aftonbladet, ICA, CDON och Elgiganten har detaljerade cookies-policys med CMP (Consent Management Platform). IMY granskade 2022 svenska webbplatsers cookie-hantering och konstaterade brister hos majoriteten.
Mediehus och nyhetstjänster. Dagstidningar, TV-kanaler, podcaster och digitala mediahus med prenumerationsmodeller eller annonsstöd använder extensiva cookie-stackar för annonsoptimering. IAB Transparency and Consent Framework (TCF) är branschstandard för samtyckesinsamling vid programmatisk reklam. Responsiva mediahus måste implementera TCF-kompatibla CMPs.
Mobilapplikationer. Appar som Google Play och App Store distribuerar kräver att cookies och liknande tekniker (IDFA på iOS, GAID på Android) hanteras med transparens. Apple ATT (App Tracking Transparency) kräver explicit samtycke för spårning utanför appen. IMY:s riktlinjer gäller även appar.
B2B webbplatser och SaaS-plattformar. Företagswebbplatser med besökarspårning (HubSpot, Salesforce, Marketo, LinkedIn Insight Tag) och SaaS-tjänster med användaranalys behöver cookies-policy. Vid B2B kan rättslig grund vara berättigat intresse men IMY rekommenderar samtycke för spårning.
Publika sektorn och myndigheter. Statliga myndigheter, kommuner, regioner och offentliga institutioner med webbplatser använder cookies. Myndigheten för digital förvaltning (DIGG) ger vägledning för offentlig sektor. IMY publicerade granskning av myndigheters cookie-hantering 2023.
Forskningswebbplatser. Universitetens och högskolornas webbplatser med analyticsverktyg och inloggningssystem. Skolan för datavetenskap och kommunikation (KTH), Chalmers tekniska högskola och Stockholms universitets IT-avdelningar implementerar IMY-kompatibel cookie-hantering.
Vad ska Cookies-policy Sverige (LEK och GDPR 2026) innehålla
En välkonstruerad cookies-policy för Sverige bör innehålla följande element.
Företagsidentifiering och ansvarig. Fullständigt firmananm, organisationsnummer, webbplats och kontaktepost. Tydliggör vem som är personuppgiftsansvarig (GDPR artikel 4.7) för cookieinsamlingen.
Definition och förklaring av cookies. En pedagogisk förklaring av vad cookies är, skillnaden mellan sessionscookies och permanenta cookies, och vad 'liknande tekniker' innebär (local storage, pixlar, fingerprinting). Texten ska vara lättförståelig och anpassad till vanliga internetanvändare.
Kategorisering av cookies. Tydlig indelning i: (1) Strikt nödvändiga cookies (kräver inte samtycke): inloggning, kundvagn, CSRF-skydd. (2) Funktionscookies (kräver samtycke): preferenser, språk. (3) Statistikcookies (kräver samtycke): Google Analytics, Plausible, Matomo. (4) Marknadsföringscookies (kräver samtycke): Facebook Pixel, Google Ads, retargeting. IMY kräver att kategoriseringen är korrekt och att strikt nödvändiga cookies faktiskt är nödvändiga.
Tredjepartscookies och aktörer. Lista alla tredjepartsaktörer med namn, syfte, cookielista och varaktighet. Länka till respektive aktörs integritetspolicy. Vid GDPR-artikel 26-samarbete (gemensamt personuppgiftsansvar med tredje part) ska detta specificeras. Vanliga tredjeparter: Google LLC (Analytics, Ads), Meta Platforms Ireland (Facebook Pixel), LinkedIn Ireland (Insight Tag), HotJar Limited (heatmaps), Stripe Payments Europe (betalning).
Samtyckessystem och CMP. Beskriv vilket CMP (Consent Management Platform) som används (Cookiebot, OneTrust, CookieYes eller eget system). Förklara hur cookie-bannern fungerar, vilka val som erbjuds och hur inställningar ändras. IMY kräver 'granulär samtycke' per kategori och att nekande är lika lätt som att godta.
Internationell dataöverföring. Om tredjepartscookies skickar data utanför EU/EES (typiskt USA via Google, Facebook, LinkedIn) ska tillämpliga skyddsåtgärder anges: EU-US Data Privacy Framework (adekvansbeslut artikel 45 GDPR) för certifierade aktörer, standardavtalsklausuler (beslut EU 2021/914). På forms-legal.com finns också mallar för integritetspolicy och GDPR-relaterade dokument.
Kontakt och klagomål. Kontaktepost för cookiefrågor. IMY:s kontaktuppgifter ([email protected], 08-657 61 00, Drottninggatan 29, 111 51 Stockholm) och PTS ([email protected], Box 5398, 102 49 Stockholm). Rätt att klaga till tillsynsmyndigheten.
Uppdateringar. Datum för senaste uppdatering av cookies-policyn. Information om hur ändringar kommuniceras.
Så fyller du i Cookies-policy Sverige (LEK och GDPR 2026)
Cookies-policyn i Sverige fylls i steg för steg.
Steg 1 - Identifiera organisationen. Ange firmananm, organisationsnummer, webbplats och kontaktadress. Samma uppgifter som i integritetspolicyn.
Steg 2 - Kartlägg alla cookies. Gör en komplett cookie-granskning (cookie audit) av din webbplats. Verktyg: Cookiebot Scanner (gratis), OneTrust Cookie Scanning, Chrome DevTools (Application > Cookies). Lista alla cookies med namn, syfte, varaktighet och om de är förstaparts eller tredjepartscookies.
Steg 3 - Kategorisera cookies. Klassificera varje cookie som strikt nödvändig, funktionscookie, statistikcookie eller marknadsföringscookie. Strikt nödvändiga cookies kräver inte samtycke. Alla andra kräver aktivt samtycke från användaren.
Steg 4 - Lista tredjepartstjänster. Ange Google Analytics (om använts), Facebook Pixel (om använts) och andra tredjepartsverktyg med syfte och varaktighet. Om du inte är säker: kontrollera källkoden för din webbplats eller anlita en teknisk rådgivare.
Steg 5 - Välj samtyckesverktyg (CMP). Installera ett CMP (Consent Management Platform): Cookiebot, OneTrust, CookieYes, Borlabs Cookie (WordPress), eller implementera eget system. CMPet ska inhämta samtycke innan icke-nödvändiga cookies laddas och lagra samtyckets historik.
Steg 6 - Säkerställ IMY-kompatibel cookie-banner. Bannern ska: visa 'Acceptera alla', 'Neka alla' och 'Anpassa' som lika framträdande val, inte förhandskryssa kategorier, vara tillgänglig på svenska, spara och respektera användarens val.
Steg 7 - Publicera och länka. Publicera cookies-policyn på en dedikerad sida. Länka från sidfoten och cookie-bannern. Uppdatera policyn vid förändringar i cookie-användningen.
Juridiska krav för Cookies-policy Sverige (LEK och GDPR 2026)
Cookies-policy i Sverige regleras av en rad rättsliga instrument.
Lag (2003:389) om elektronisk kommunikation (LEK). 6 kap. 18 § kräver informerat samtycke för cookies som inte är strikt nödvändiga. Tillämpas av Post- och telestyrelsen (PTS) och IMY. PTS utövade tillsyn mot webbplatser 2022-2023 och konstaterade brister.
GDPR (EU) 2016/679. Artikel 4.11 definierar samtycke: frivilligt, specificerat, informerat och otvetydigt. Artikel 7 preciserar samtyckeskrav. Artikel 13 kräver information om cookies och spårning. Artikel 6.1.a ger samtycke som rättslig grund för personuppgiftsbehandling via cookies. IMY tillämpar GDPR i Sverige.
Dataskyddslagen (2018:218). Kompletterar GDPR i Sverige med nationella bestämmelser. IMY (Integritetsskyddsmyndigheten) är tillsynsmyndighet.
EPrivacy-direktivet 2002/58/EG. Bakgrundsdirektiv till LEK 6 kap. 18 §. Planerad ePrivacy-förordning (som ersätter direktivet) har dröjt och förväntas träda i kraft 2026-2027.
EDPB riktlinje 05/2020 om samtycke. Europaparlamentets och rådets dataskyddsstyrelse preciserar krav: scrolling och bläddring är inte giltigt samtycke, 'cookie walls' (nekande blockerar tillgång) är problematiska, granulär samtycke per kategori.
EDPB riktlinje 03/2022 om dark patterns. Dark patterns vid cookie-samtycke är vilseledande och otillåtna: asymmetrisk design (accept framhävd, neka gömd), pre-tickade rutor, förvirrade alternativ. IMY tillämpar riktlinjen.
IAB TCF (Transparency and Consent Framework). Branschstandard för programmatisk reklam. Stor del av den svenska mediebranschen använder TCF-kompatibla CMPs.
Sanktioner. IMY kan utfärda administrativ sanktionsavgift på upp till 20 MEUR eller fyra procent av global omsättning vid GDPR-överträdelse (artikel 83 GDPR). PTS kan utfärda föreläggande vid LEK-överträdelse. Privatpersoner kan kräva skadestånd för GDPR-intrång (artikel 82 GDPR).
Vanliga misstag i Cookies-policy Sverige (LEK och GDPR 2026)
Vanliga misstag vid cookies-policy och cookie-samtycke i Sverige.
Misstag 1 - Fortsatt surfande som samtycke. Att använda bannern 'Genom att fortsätta använda sidan godkänner du cookies' är inte giltigt samtycke under IMY:s och EDPB:s riktlinjer. Samtycke kräver en aktiv åtgärd (klick på knapp). Lösning: implementera CMP med explicit accept-knapp.
Misstag 2 - Pre-tickade kategorier. Cookie-bannern förhandskryssar statistik- och marknadsföringskategorier. EDPB riktlinje 05/2020 och IMY kräver att kategorier är utan förkryssning (opt-in, inte opt-out). Lösning: alla icke-nödvändiga kategorier ska vara ochoosda vid start.
Misstag 3 - Dark patterns (asymmetrisk design). Accept-knappen stor och grön, Neka-knapp liten och grå eller gömd. EDPB riktlinje 03/2022 och IMY kräver likvärdig tillgänglighet. Lösning: 'Acceptera alla' och 'Neka alla' ska ha likvärdig visuell prominens.
Misstag 4 - Inaktuell cookie-lista. Webbplatsen använder cookies som inte finns i cookies-policyn (t ex ett nytt marknadsföringsverktyg installerades utan att policyn uppdaterades). Lösning: genomför cookie-granskning regelbundet (halvårsvis) och uppdatera policyn.
Misstag 5 - Cookie wall. Tillgången till webbplatsen blockeras för användare som nekar cookies. IMY konstaterade att cookie walls strider mot kravet på frivilligt samtycke. Lösning: tillåt grundläggande tillgång till webbplatsen utan samtycke till icke-nödvändiga cookies.
Misstag 6 - Otillräcklig information om tredjeparter. Cookies-policyn nämner 'tredjepartscookies' utan att specificera vilka aktörer. Lösning: lista alla tredjeparter med namn, syfte och länk till deras integritetspolicy.
Misstag 7 - Saknad möjlighet att återkalla samtycke. Samtycke ska kunna återkallas lika enkelt som det gavs. Om cookie-bannern visades en gång men sedan inte är tillgänglig kan användaren inte ändra sina inställningar. Lösning: inkludera en permanent länk till 'Cookieinställningar' i sidfoten.
Citera den här sidan
Hänvisa till den här gratismallen i en artikel, kursplan eller forskningsanteckning:
Forms Legal. (2026). Cookies-policy Sverige (LEK och GDPR 2026) (Sverige) [Legal document template]. Forms Legal. https://forms-legal.com/sv/sverige/business/policies/cookies-policy
"Cookies-policy Sverige (LEK och GDPR 2026) (Sverige)." Forms Legal, 2026, https://forms-legal.com/sv/sverige/business/policies/cookies-policy.
@misc{formslegal-cookies-policy,
author = {{Forms Legal}},
title = {Cookies-policy Sverige (LEK och GDPR 2026) (Sverige)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sv/sverige/business/policies/cookies-policy}},
note = {Free legal document template}
}Vanliga frågor
Nej, inte alla cookies kräver samtycke. Enligt 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) och IMY:s riktlinjer är strikt nödvändiga cookies undantagna samtyckeskravet. Strikt nödvändiga cookies är tekniker som är absolut nödvändiga för att tillhandahålla en elektronisk kommunikationstjänst som användaren begärt, det vill säga kärntjänsten. Exempel på strikt nödvändiga cookies: sessionscookie för inloggning (session-id), kundvagns-cookie vid e-handel, CSRF-token (säkerhetstoken som förhindrar cross-site request forgery), load balancer cookie (för att dirigera till rätt server). Cookies som KRÄVER samtycke: Google Analytics och andra analysCookies, Facebook Pixel och marknadsföringscookies, funktionscookies som ihågkomna preferenser, sociala medie-pluginer. Viktiga principer: 'nödvändig' tolkas strikt — det räcker inte att cookies gör tjänsten bekvämare. Analytics cookies räknas normalt inte som strikt nödvändiga även om säljaren anser att de är 'nödvändiga för affärsbeslut'. IMY har utfärdat beslut mot flera webbplatser som felaktigt klassificerat analytics-cookies som strikt nödvändiga. Post- och telestyrelsen (PTS) och IMY delar tillsynsansvar och genomför regelbundna granskningar av svenska webbplatsers cookie-hantering.
CMP (Consent Management Platform) är ett tekniskt system för att inhämta, lagra och hantera cookiesamtycken från webbplatsbesökare i enlighet med GDPR och LEK. Alla webbplatser som använder icke-nödvändiga cookies behöver ett sätt att inhämta samtycke — det innebär i praktiken en CMP eller ett väl utformat eget system. En CMP erbjuder: cookie-banner som visas vid första besöket, granulär val per kategori (funktionscookies, statistik, marknadsföring), lagring av användarens val i en samtyckes-cookie, möjlighet att återkalla och ändra samtycke, samtyckes-log för dokumentation (viktigt vid granskning), blockering av tredjepartsskript tills samtycke ges (consent mode). Populära CMPs i Sverige: Cookiebot (danskt bolag, IMY-godkänt), OneTrust (marknadsstandard), CookieYes (mer prisvärd), Borlabs Cookie (WordPress-specifik), Usercentrics (DSGVO-fokuserad). IAB TCF v2.2: Om webbplatsen använder programmatisk reklam bör CMPet vara TCF-kompatibel. Kostnad: CMPs kostar vanligen 5-50 EUR per månad beroende på besöksvolym och funktioner. Gratis alternativ finns för små webbplatser. Eget system: det är möjligt att bygga ett eget samtyckes-system utan tredje-parts CMP, men det kräver teknisk kompetens och löpande uppdateringar för att följa IMY:s och EDPB:s riktlinjer.
Cookievaraktigheten (cookie lifetime) varierar och regleras av proportionalitetsprincipen i GDPR. Cookies ska inte lagras längre än vad som är nödvändigt för syftet. Riktmärken per kategori: strikt nödvändiga cookies (session-cookies): raderas vid stängning av webbläsaren, eller dagar/veckor. Funktionscookies (t ex inloggning): 30 dagar till 12 månader. Statistikcookies (Google Analytics UA: 26 månader; GA4: 14 månader). Marknadsföringscookies (Facebook Pixel, Google Ads): 30-90 dagar. Samtyckes-cookies (lagrar användarens cookiesamtycke): 12 månader (IMY rekommendation). IMY:s ståndpunkt: cookies med lång varaktighet (2+ år) kräver starkare motivering. Analytics-cookies bör ha maximal varaktighet på 13 månader (Frankrikes CNIL:s riktlinje, ofta citerad av EDPB). Google Analytics 4 ger tillgång till cookiefri mätning via server-side tagging och aggregated data. Teknisk implementation: webbplatsen bör sätta specifika cookie-varaktigheter och inte låta tredjepartsleverantörers standardvärden gälla okritiskt. Varaktigheterna dokumenteras i cookies-policyn med exakta värden per cookie.
Det är komplicerat och beror på hur Google Analytics implementeras. Traditionell Google Analytics med Google Analytics cookies (_ga, _gid, _gat) kräver samtycke eftersom det samlar personidentifierbar data (IP-adress, device fingerprint) och skickar data till USA via Google LLC. IMY och CNIL (Frankrike) har konstaterat att traditionell Google Analytics inte är GDPR-kompatibel utan korrekt samtycke och skyddsåtgärder. Alternativa implementationer: (1) Google Analytics 4 med consent mode v2: anonymisering av data och modelering vid saknat samtycke. Inte perfekt men acceptabelt i många jurisdiktioner. (2) Server-side tagging: data samlas in på egna servrar (EU-baserade) och bearbetas innan de skickas till Google. Minskar men eliminerar inte GDPR-risken. (3) IP-anonymisering: aktivera 'anonymize_ip' i Analytics-implementationen. Minskar identifieringsrisken men löser inte det grundläggande problemet med USA-överföring. (4) Cookiefria alternativ: Plausible Analytics (EU-baserad, ingen cookie), Fathom Analytics (EU-baserad), Matomo med cookiefritt läge, Privacy-kompatibla alternativ som respekterar IMY:s riktlinjer. IMY:s tillsyn 2022 konstaterade att traditionell Google Analytics hos svenska webbplatser var GDPR-problematisk och utfärdade krav på förändring. Rekommendation: implementera EU-kompatibelt analysCookies-verktyg eller Google Analytics 4 med fullständig consent mode v2 och server-side tagging från EU-baserade servrar.
IMY (Integritetsskyddsmyndigheten) kan utfärda sanktioner vid cookie-brott både baserade på GDPR och LEK. GDPR-sanktioner: artikel 83.4 GDPR ger sanktionsavgifter på upp till 10 MEUR eller 2 procent av global omsättning för brott mot tekniska och organisatoriska krav (artikel 25 och 32), inklusive att cookies placeras utan giltig rättslig grund. Artikel 83.5 GDPR ger sanktionsavgifter på upp till 20 MEUR eller 4 procent av global omsättning för brott mot samtycke (artikel 7), informationsskyldigheten (artiklarna 13-14) och grundläggande behandlingsprinciper (artikel 5). IMY-beslut i Sverige: IMY har utfärdat krav på flera svenska webbplatser och organisationer 2022-2023 att ändra sin cookie-hantering. Kliniken i Axelsberg fick beslut om att cookie-baserade behandlingar på webbplatsen saknade giltig rättslig grund. Elgiganten, ICA, H&M och andra stora aktörer fick IMY-beslut om förbättring av cookie-samtycken. LEK-sanktioner: PTS (Post- och telestyrelsen) kan utfärda förelägganden vid brott mot LEK 6 kap. 18 §. Sanktionsnivån vid LEK-brott är lägre men förelägganden kan kombineras med vite. Privatpersoners rätt till skadestånd: GDPR artikel 82 ger privatpersoner rätt till ersättning för materiell eller immateriell skada vid cookie-brott. EU-domstolen fastslog i C-300/21 (Österreichische Post) att skadestånd kan krävas utan bevis på konkret skada. Tillvägagångssätt: IMY inleder normalt tillsyn efter klagomål, rapporter från media eller proaktiva granskningsinitiativ. Kontakta IMY på [email protected] vid frågor om cookie-krav.
Sociala medie-cookies och integrationer (Facebook Like-knapp, Twitter Share, LinkedIn Follow, Instagram Feed, YouTube Video) ger upphov till komplexa GDPR-frågor som cookies-policyn måste adressera. Tredjepartscookies via social media-integrationer: när en webbplats bäddar in en Facebook-knapp, en YouTube-video eller en Twitter-widget sätter dessa plattformar cookies på användarens enhet även om användaren inte klickar på widgeten. Dessa cookies skickar besöksdata till respektive plattform och används för retargeting. Samtycke krävs: sociala medier-cookies är marknadsföringscookies som kräver samtycke. CMP:et bör blockera sociala media-widgets tills användaren samtyckt. Alternativt kan 'Click to load'-lösning implementeras (användaren klickar på en placeholder för att ladda widgeten och implicit samtycker). Gemensamt personuppgiftsansvar: vid integration av Facebook Pixel är webbplatsoperatören och Meta Platforms Ireland gemensamt personuppgiftsansvariga (joint controllers) för insamlade data enligt EU-domstolens beslut i mål C-40/17 (Fashion ID). Webbplatsoperatören måste ingå ett gemensamt personuppgiftsansvar-avtal med Meta och informera besökare om den gemensamma behandlingen. GDPR artikel 26 reglerar gemensamt personuppgiftsansvar. IMY:s vägledning: IMY konstaterade i sin tillsynsrapport 2022-2023 att många svenska webbplatser hade Facebook Pixel aktiverat utan giltigt samtycke. IMY kräver explicit samtycke för Facebook Pixel och liknande marknadsföringscookies. Praktisk lösning: aktivera sociala media-integrationer villkorligen via CMPet baserat på användarens samtycke till marknadsföringskategorin.
Ja, mobilappar behöver ett liknande transparensdokument, men tekniken skiljer sig från webbplatscookies. I appar används istället: device identifiers (IDFA på iOS, Android Advertising ID/GAID), local storage, cache, app-specifik lagring, push-notification tokens, analyticsSDKs (Firebase Analytics, Mixpanel, Amplitude). Rättslig grund: LEK 6 kap. 18 § gäller för 'elektroniska kommunikationstjänster' och inkluderar appar som erbjuder tjänster via internet. IMY:s tolkning är att samma samtyckesprinciper gäller för appar som för webbplatser. Apple ATT (App Tracking Transparency): sedan iOS 14.5 (2021) kräver Apple att appar inhämtar explicit samtycke via Apple ATT-prompt innan de spårar användaren utanför appen (t ex via IDFA för retargeting). Appar som inte respekterar ATT riskerar borttagning från App Store. Google Privacy Sandbox (Android): Google implementerar liknande kontroller för Android-enheter via Privacy Sandbox för Android som faserats in 2024-2026. Krav i apps integritetspolicy: beskriva vilka SDK:er och spårningsverktyg som används (Firebase, Branch.io, Appsflyer, Adjust, Facebook SDK), syften och datatyper, tredjepartsmottagare, lagringstider, hur samtycke ges och återkallas. IMY:s kontroll av appar: IMY granskade 2021-2023 ett antal svenska appar och konstaterade att tillräcklig transparens saknades. Rekommendation: inkludera en integritetspolicy och cookie/tracking-policy i appen samt på App Store/Google Play sidorna, och implementera ATT på iOS.
Denna mall tillhandahålls endast i informationssyfte och utgör inte juridisk rådgivning. Lagar varierar mellan jurisdiktioner och ändras över tid. Rådfråga en kvalificerad jurist för rådgivning som är specifik för din situation.Fullständig ansvarsfriskrivning
Hittade du ett fel? Berätta för ossRelated Documents
You may also find these documents useful:
Integritetspolicy Sverige (GDPR-kompatibel)
Mall för Integritetspolicy enligt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning samt lag (2003:389) om elektronisk kommunikation. Innefattar artikel 13 och 14 GDPR informationskrav, cookies enligt LEK, registrerades rättigheter samt eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
Användarvillkor Sverige (Terms of Service)
Användarvillkor för svensk webbplats eller digital tjänst enligt konsumentköplagen (2022:260), distansavtalslagen (2005:59), avtalslagen (1915:218) och tillämplig svensk lagstiftning. Innefattar avtalsförhållande, tillåten användning, immaterialrätt, betalning, ångerrätt, ansvarsbegränsning och tvistlösning.
E-handelsvillkor Sverige (köpvillkor online 2026)
Mall för e-handelsvillkor (allmänna köpvillkor online) enligt konsumentköplagen (2022:260), distansavtalslagen (2005:59), marknadsföringslagen (2008:486), prisinformationslagen (2004:347) och e-handelslagen (2002:562). Täcker priser, betalning, leverans, ångerrätt och reklamation.
GDPR-begäran om Registerutdrag Sverige
Skriftlig begäran om registerutdrag enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Riktas till personuppgiftsansvarig (företag, myndighet, organisation). Innehåller eskaleringsväg till Integritetsskyddsmyndigheten (IMY).