Choć każdy z internautów na co dzień spotyka się z koniecznością wyrażenia zgody na zapisanie na jego komputerze plików tzw. ciasteczek (ang. cookies), to jednocześnie wciąż można spotkać strony internetowe, które ignorują ten obowiązek. Wynika to z przekonania, że użycie cookies jest możliwe także w oparciu o tzw. uzasadniony prawnie interes administratora. To jedna z podstaw prawnych wynikających z RODO. Niektórzy prawnicy rozciągali ją również na „ciasteczka”. Jak wynika z opublikowanych właśnie przez IAB Europe wytycznych, to niewłaściwe podejście. Sama branża przyznaje więc, że co do zasady wymaga to zgody użytkowników.
– Podejście szeroko bazujące na uzasadnionym interesie to zawsze był błąd, bo każdy przypadek trzeba rozważać osobno. Cookies można stosować, gdy mechanizm ten jest niezbędny do (mechanicznego) funkcjonowania strony. Przykładowo, gdy są używane do zapamiętania stanu, np. zmian w wyglądzie strony personalizowanej przez użytkownika. To nie jest tożsame z szerokim wykorzystaniem do np. personalizacji reklam, także z udziałem stron trzecich – wyjaśnia dr Łukasz Olejnik, niezależny badacz i konsultant prywatności.