Cookies jsou krátké textové soubory vytvářené webovým serverem a ukládané v počítači prostřednictvím webového prohlížeče. Hlavním účelem cookies je personalizace uživatelského prostředí internetové stránky, protože jejich obsahem jsou údaje o nastavení stránky zvolené uživatelem a umožňují si tak stránce "pamatovat" jednotlivé akce uživatele.

Některé druhy cookies se považují za osobní údaj podléhající GDPR a to ty, které slouží k identifikaci konkrétního zařízení a/nebo uživatele. Toto se týká především téměř všech reklamních a cílených cookies, cookies pro webovou analýzu a funkční služby.

Cookies se dělí na:

• cookies první strany, které jsou vytvářeny přímo navštíveným webem a slouží především k zajištění jeho funkčnosti internetové stránky, a
• cookies třetí strany, které jsou vytvářeny jinými weby, které mají na navštívené stránce umístěný obsah (většinou ve formě reklamy), a které mohou působit i napříč různými doménami.

Dále pak existují:

• dočasné cookies, jejichž platnost vyprší s uzavřením okna prohlížeče a nejčastěji se využívají u internetových obchodů, typicky pro uložení dat o tzv. košíku, a
• trvalé cookies, které fungují i po uzavření prohlížeče. Takto se ukládají například přihlašovací údaje uživatelů.

Na cookies dopadá úprava GDPR stejně jako na ostatní osobní údaje, ale zároveň se chystá nové Nařízení Evropského parlamentu a Rady o soukromí a elektronických komunikacích, které obsahuje specifickou úpravu ohledně cookies. Původní plánovaná účinnost tohoto Nařízení měla nastat ke dni účinnosti GDPR (tedy 25. května 2018), ale tento termín nebyl dodržen. Přesný datum nabytí účinnosti není stále znám; samotný návrh však již prošel Evropským parlamentem a nyní probíhá dohodovací řízení.

Webové stránky nemohou používat cookies bez souhlasu koncového uživatele, pokud se nejedná o cookies, které jsou nezbytně nutné k účelu vykonání služby výslovně požadované uživatelem. Cookies bez souhlasu lze dále využívat např. k monitoringu návštěvnosti webové stránky.

Obecně by měl být souhlas návštěvníkem webové stránky udělen metodou "opt-in", tedy aktivním zaškrtnutím pole pro souhlas, a to ještě předtím, než je tedy vůbec zpracování cookies při první návštěvě webové stránky zahájeno. Současně je nutné implementovat možnost "opt-out". Pouhou návštěvu webové stránky nelze v žádném případě považovat za projev souhlasu (např. banner ve stylu "Navštívením této stránky vyjadřujete svůj souhlas s používáním cookies." nesplňuje podmínky udělení souhlasu), stejně tak upozornění uživatele na to, aby si v nastavení prohlížeče sám použití cookies zakázal, pokud s jejich poskytováním, resp. ukládáním nesouhlasí, je také nedostatečné. V současné době tedy využívání cookies ve většině případů nevyhovuje podmínkám stanoveným GDPR a majitelé webových stránek by měli svou praxi uvést do souladu s GDPR.