Cookies jsou krátké textové soubory, které server umisťuje do uživatelova počítače při načtení webové stránky. Technicky jde o sérii kódů, podle kterých prohlížeč shromažďuje a následně odesílá informace o našem chování zpět na příslušný server. Cookies obsahují informaci o tom, jak dlouho je má prohlížeč uchovávat (od jednorázových až po několikaleté). Cookies nejsou přímo vázány na naše jméno ani e-mailovou adresu, často ale obsahují naše přihlašovací údaje do systému. Jsou společné pro jednu instalaci prohlížeče. Cookies nejsou nijak zabezpečeny a to včetně shromážděných údajů. Vzhledem k tomu, že informace které jsou takto shromažďovány a odesílány, obvykle vypovídají o jednání a chování uživatelů, přikročila EU k restriktivnějšímu přístupu a změnila postup při zavádění cookies z principu opt-out na opt-in. Doposud stačilo, aby dotčený účastník či uživatel byl jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o účelech zpracování, a aby mu bylo správcem údajů umožněno odmítnout takové zpracování.
Na základě směrnice Evropského parlamentu a Rady 2009/136/ES, která novelizovala čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, došlo k posílení ochrany uživatelů internetu, neboť se vyžaduje poskytnutí informací a získání souhlasu uživatele ještě předtím, než bude cookie uložena či bude získán přístup k již uchovávaným informacím v počítači uživatele. Jde tedy o přechod z režimu „opt-out“ na režim „opt-in“. Tato úprava byla zohledněna novelou zákona o elektronických komunikacích ve znění zákona č. 468/2011 Sb.
Souhlas musí být informovaný. To znamená, že uživateli musí být poskytnuta jasná, srozumitelná a úplná informace o zpracování údajů dle směrnice 95/46/ES, zejména pak o účelu zpracování. Tato informace musí být poskytnuta přímo uživateli a rozhodně nepostačuje, pokud je informace uživatelům dostupná někde na internetových stránkách, kde by si ji museli sami vyhledat.
Souhlas také musí být odvolatelný. Problematika získání a odvolání souhlasu je podrobně popsána ve stanovisku poradního orgánu Evropské komise - Pracovní skupiny pro ochranu údajů (WP29), URL adresa č. 2/2010 z 22. června 2010 k internetové reklamě zaměřené na chování.
Souhlas není potřeba, pokud jsou cookies využívány pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo nezbytné k tomu, aby mohl poskytovatel služeb informační společnosti zajistit služby, které si účastník nebo uživatel výslovně vyžádal.
Pracovní skupina WP29 dne 7. června 2012 přijala stanovisko URL adresa č. 4/2012 k interpretaci a uplatňování výjimek z povinného souhlasu uživatelů internetu. Konkrétně tedy jde o aplikaci čl. 5 odst. 3 Směrnice o soukromí a elektronických komunikacích.