W efekcie nie byłoby potrzeby udzielania zgody na zainstalowanie plików cookie dla każdej strony internetowej czy każdego serwisu z osobna. Zniknęłyby wyskakujące okienka, a wybrane ustawienia byłyby obowiązujące dla określonych generalnie przez użytkownika rodzajów dostawców treści czy usług, możliwa byłaby też akceptacja lub odrzucenie wszystkich plików w całości. Obowiązkiem dostawców przeglądarek byłoby zapewnienie pierwotnych ustawień zgodnych ze znaną z RODO zasadą privacy by default. Użytkownicy powinni mieć do wyboru całą gamę ustawień, począwszy od „nigdy nie akceptuj plików cookie” po „zawsze akceptuj pliki cookie”. Według innej propozycji tego rodzaju ustawienia mogłyby być dokonywane poprzez używane aplikacje.

Pod adresem proponowanego rozwiązania pojawiają się też zarzuty, że nie spełnia ono wszystkich wymogów wynikających z RODO. Unijne rozporządzenie o ochronie danych osobowych mówi bowiem, że zgoda na przetwarzanie danych musi być każdorazowo dobrowolna, świadoma, jednoznaczna i możliwa do wycofania. Nie może być domniemana na podstawie innych, dotychczasowych aktywności użytkownika. Poza tym przed jej udzieleniem każdy powinien być poinformowany o celu przetwarzania dotyczących go danych. Takie warunki spełniają zdaniem zwolenników tego rozwiązania tzw. checkboxy z żądaniem potwierdzenia zgody – i obowiązek ich stosowania powinien być w nowych przepisach uwzględniony.

Jednomyślność panuje co do jednego: nie będzie potrzebna zgoda na instalację ciasteczek, które nie wkraczają w sferę prywatności użytkownika. Mowa tu o plikach, które umożliwiają sprawne funkcjonowanie strony internetowej (np. zapamiętywanie języka obsługi lub zawartości koszyka zakupów) czy też służą do analiz statystycznych (np. liczenia użytkowników danej strony internetowej). Zainstalowanie plików ingerujących w jakikolwiek sposób w prywatność użytkownika – np. umożliwiających wyświetlanie mu zindywidualizowanych reklam – wymagać już natomiast powinno uzyskania stosownej zgody. Co prawda, pojawił się też pomysł, aby z tego obowiązku zwolnione były strony utrzymujące się tylko z reklam, ale spotkał się on z mocnym sprzeciwem organizacji społecznych zajmujących się ochroną prywatności. Ich zdaniem otwierałoby to furtkę do stałej inwigilacji obywateli.

W Unii i poza nią

Przygotowywane rozporządzenie będzie obejmować dostawców usług łączności elektronicznej mających swoją siedzibę zarówno na terenie Unii Europejskiej, jak i poza nią, o ile będą świadczyć usługi obywatelom któregoś z krajów członkowskich UE. Dla tych ostatnich rozważane jest wprowadzenie obowiązku ustanowienia swojego przedstawiciela w Unii, żeby w ten sposób ułatwić obywatelom ewentualne dochodzenie roszczeń.