Návrh nařízení o soukromí a elektronických komunikacích, přezdívaný „cookie zákon“, který má mimo jiné obsahovat nová pravidla pro udělování souhlasu a upozorňování v souvislosti s využíváním cookies a jiných identifikátorů uchovávaných v zařízeních koncových uživatelů, tvoří součást strategie EU k dokončení jednotného digitálního trhu. Ačkoliv bylo nabytí účinnosti nařízení původně plánováno na stejné datum jako účinnost GDPR, tedy 25. května 2018, legislativní proces se protáhl a konečná podoba nařízení zatím není známa.
Používání cookies, které umožňují jednoznačně rozpoznat koncové zařízení, představuje v současné době jedno z důležitých a často diskutovaných témat ochrany soukromí na internetu. Nyní je u nás právní regulace cookies obsažena v zákoně č. 127/2005 Sb., o elektronických komunikacích, avšak praxe (například užití tzv. cookie bannerů) není zcela jednotná. Sám Úřad pro ochranu osobních údajů nedávno přehodnotil svůj postoj k povinnosti získávat souhlas uživatele a ve svém doporučení uvádí, že souhlas s cookies je možné poskytovat nastavením běžných prohlížečů. Nařízení by podle všeho mělo ukončit používání těchto bannerů.
Návrh nařízení ePrivacy obecně zakazuje využití funkcí zařízení koncových uživatelů jinými subjekty pro zpracování, uchovávání a shromažďování informací z něj, včetně informací o software a hardware. Z tohoto zákazu nicméně nařízení stanoví výjimky. Těmito výjimkami jsou mimo jiné nezbytnost pro uskutečnění přenosu elektronické komunikace, nezbytnost pro poskytování služby informační společnosti a další (například za účelem přizpůsobení velikosti obrazovky zařízení nebo zapamatování položek v nákupním košíku). Souhlas s využitím cookies by tedy například neměl být vyžadován pro technické uchovávání informací nebo přístup, které jsou nezbytně nutné a přiměřené legitimnímu účelu, kterým je umožnit využití konkrétní služby výslovně požadované uživatelem. Takové techniky, pokud jsou provázeny odpovídajícími opatřeními na ochranu soukromí, mohou být také užitečným nástrojem například při měření návštěvnosti internetové stránky.
Pokud bude nařízení ePrivacy přijato ve stávající podobě, nebude možné využívat cookies bez aktivního souhlasu koncového uživatele pro jiné účely, než pro zajištění funkcí nezbytných pro správné fungování webových stránek. Pokud by se navíc většina koncových uživatelů webu rozhodla na základě výše uvedených pravidel pro zachování základního nastavení „odmítnout přijímání cookies třetích stran“, může být pro inzerenty cílící na internetové prostředí obtížnější získat souhlas mimo nastavení prohlížeče, tedy přímou individuální žádostí na koncového uživatele. Změny budou provozovatelé webových stránek též reflektovat v zásadách používání cookies, jejichž stávající podoba nebude s nařízením ePrivacy v souladu.
Přestože úspora pro poskytovatele služeb informační společnosti může spočívat ve zrušení bannerů upozorňujících na používání cookies pro základní účely, povinnost získávat souhlas s využitím pro řadu dalších účelů, včetně marketingu, může vést ke zvýšení nákladů a ztrátě části uživatelských databází pro cílenou reklamu a další výdělečné funkce webových stránek.