V prvé řadě je třeba si uvědomit, že používání souborů cookie („cookies“), jejichž prostřednictvím provozovatel webových stránek sleduje či usměrňuje chování návštěvníka na webových stránkách, zpravidla představuje zpracování osobních údajů. Z tohoto důvodu je nezbytné jasně vymezit účel cookies z důvodu správného určení právního důvodu jejich zpracování. To je důležité především kvůli rozlišení, zda dochází ke zpracování osobních údajů prostřednictvím „technických cookies“, které jsou nezbytné pro vlastní provoz webových stránek, či zda jde o cookies určené k sledování návštěvnosti, analýze preferencí jejich návštěvníků, např. pro marketingové účely. apod., tedy tzv. „netechnické cookies“, které je možno ukládat do koncových zařízení (a následně k nim přistupovat)pouze na základě souhlasu uživatele tohoto zařízení, jak stanoví zákon o elektronických komunikacích (což bez dalšího nelze zaměňovat se souhlasem se zpracováním osobních údajů podle obecného nařízení ). Uvedením účelu, k němuž jednotlivé cookies slouží, tedy provozovatel stránek současně informuje návštěvníky stránek o tom, které cookies může používat i bez jejich souhlasu a které nikoliv.  Informace o účelu je důležitá i z hlediska platnosti uděleného souhlasu, je totiž nezbytné, aby návštěvník stránek věděl, k čemu svůj souhlas uděluje.

Pokud webové stránky využívají pouze technické, a nikoliv netechnické cookies, není třeba na tyto stránky zavádět tzv. „cookie lištu“ (aplikace, která obsahuje informace o používaných cookies a umožňuje udělení či odmítnutí souhlasu), je však stále nutné splnit informační povinnost vůči subjektům osobních údajů (umístěním odkazu s dokumentem obsahujícím předepsané informace na viditelné místo webových stránek). Vzhledem k tomu, že zpracování cookies je zpravidla zpracováním osobních údajů, mají návštěvníci webových stránek, které využívají cookies (ať už technické či netechnické), právo na informace o zpracování osobních údajů, obdobně jako všechny subjekty údajů, jejichž osobní údaje jsou zpracovávány . Konkrétně jde o zřetelné vymezení správce osobních údajů získávaných prostřednictvím cookies, účel a právní důvod pro použití cookies, případné oprávněné zájmy, příjemce osobních údajů, úmysl předávat osobní údaje do třetí země nebo mezinárodní organizaci a kontaktní údaje pověřence pro ochranu osobních údajů. Dále je návštěvníkům webových stránek jakožto subjektům údajů třeba sdělit dobu uložení osobních údajů, informovat je o právech na přístup, opravu, výmaz, přenositelnost a vznesení námitky proti zpracování, o možnosti kdykoli odvolat souhlas a podat stížnost u dozorového úřadu. Též je třeba uvést, zda je poskytování osobních údajů zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda dochází k automatizovanému rozhodování, včetně profilování. Tuto informační povinnost je potřeba plnit přístupným a srozumitelným způsobem za použití jednoduchých jazykových prostředků. Požadavek přístupného a srozumitelného způsobu tedy nelze považovat za splněný, pokud se k informacím musí návštěvník dostávat složitě „proklikáváním“ přes řadu stránek, nebo pokud na webových stránkách v českém jazyce (tedy určených pro česky mluvící návštěvníky) není informace o zpracování osobních údajů prostřednictvím cookies uveřejněna rovněž v českém jazyce.  

Pozornost je třeba věnovat i otázce doby, po kterou jednotlivé cookies fungují, tedy po jak dlouhou dobu budou plnit svoji roli. Rovněž o době tohoto zpracování osobních údajů musí být návštěvníci stránek informováni. Doba zpracování osobních údajů přitom musí být nastavena s ohledem na zásadu omezení uložení (cookies tedy nesmí být nastaveny na dobu delší, než jaká je nezbytná pro účely zpracování).

Lišta pro cookies, k nimž je nutný souhlas s uložením

V rámci tzv. „cookie lišty“ je třeba umístit tlačítko pro nesouhlas s netechnickými soubory cookies tak, aby byl případný souhlas udělován bez nátlaku a návštěvník stránek nebyl při své volbě ovlivňován (mělo by být možno souhlas stejně jednoduše neudělit jako udělit). Nastavení cookie lišty splňující tuto podmínku je umístění tlačítek pro udělení souhlasu a pro nesouhlas s netechnickými cookies do stejné vrstvy cookie lišty a jako příklad dobré praxe lze uvést umístění tlačítka pro nesouhlas s netechnickými cookies do první vrstvy cookie lišty (na roveň udělení souhlasu a ve srovnatelném vizuálním provedení).