Bár számos online portálon elterjedt az a „hír”, hogy 2015. október 1-jével megváltozott az adatvédelmi törvény (az információs önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény) cookie-val kapcsolatos szabályozása, vagy „életbe lép az uniós cookie törvény”, a valóságban ilyen jogszabályi változás nem történt. Ami a téves következtetés alapja lehet, az az, hogy az említett időponttól kezdve – összhangban a vonatkozó uniós előírásokkal – a Google is előírja a termékeit, szolgáltatásait igénybe vevő weboldalak üzemeltetőinek, hogy szerezzék be a felhasználók hozzájárulását a cookie-k alkalmazásához. Szintén október 1-jétől hatályos az adatvédelmi törvény azon rendelkezése, mely szerint a NAIH által kiróható bírság maximális összege – a korábbi 10 millió Ft helyett – 20 millió Ft-ra emelkedik, azonban ez bármilyen jogellenes adatkezelési tevékenységgel kapcsolatos adatvédelmi hatósági eljárás során kiszabható, amennyiben a hatóság megítélése szerint a vizsgált adatkezelés jogellenességének súlya ezt indokolja.

A cookie-k használatára vonatkozó jogi feltételeket a – 2009-ben módosított – 2002/58/EC számú uniós irányelv tartalmazza, ezeket a rendelkezéseket a magyar jogba az elektronikus hírközlésről szóló 2003. évi C. törvény ültette át 2011-ben. A hatályos 155. § (4) bekezdés a következőket határozza meg: „Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű - az adatkezelés céljára is kiterjedő - tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.”

Tekintettel arra, hogy az idézett jogszabályhely nem tartalmaz részletes előírásokat arra vonatkozóan, hogy a gyakorlatban milyen módon tehet eleget a weboldal üzemeltetője a törvényi rendelkezéseknek, ezért számtalan megoldás alakult ki az online világban. Segítséget nyújthat az Európai Unió 29-es adatvédelmi munkacsoportja által  2013-ban kiadott dokumentum a cookie-k használatról (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf), amely bár nem kötelező érvényű, de hasznos iránymutatást tartalmaz arra vonatkozóan, hogyan lehet az érintett hozzájárulását jogszerűen beszerezni.

Az adatvédelmi munkacsoport álláspontja szerint – amely feltételeket egyébként a hatályos magyar adatvédelmi törvény is előírja a személyes adatok kezeléséhez adott hozzájárulás vonatkozásában – a felhasználó hozzájárulása legyen  megfelelő tájékoztatáson alapuló, előzetes,  határozott és  önkéntes.

1. Tájékoztatás: A tájékoztatás legyen egyértelmű, részletes és könnyen elérhető. A legjobb, ha közvetlenül az internetes oldal nyitó felületén megtalálható.  A tájékoztatásnak tartalmaznia kell a cookie-k alkalmazásával összefüggő minden lényeges információt:  az adatkezelés célja, időtartama, a hozzáférésre jogosultak személye, valamint azt az információt, hogy az érintett hogyan rendelkezhet a cookie használatról. Tekintettel arra, hogy a tájékoztatásnak számtalan információt kell tartalmaznia, megfelelő megoldás az is, ha a weboldal nyitófelületén egy rövid, jól látható, könnyen érthető tájékoztatás „ugrik fel” (egy pop-up ablak), amely felhívja a figyelmet arra, hogy az oldal cookie-kat használ, és emellett megjelenít egy aktív linket, amelyen keresztül a további, részletes tájékoztatás elérhető.
2. Előzetes hozzájárulás: A hozzájárulást a weboldal használatának megkezdésekor kell beszerezni, a szükséges tájékoztatás elhelyezése mellett, tehát úgy, hogy az oldal megnyitásakor még semmilyen cookie-t nem lehet elhelyezni a felhasználó számítógépén.
3. Határozottság: A felhasználó szándékának (hozzájárulás megadásának) aktív kifejezése szükséges. A hozzájárulás jogszerűen megadható például gombra, képre vagy linkre kattintva, checkbox bejelölésével vagy más aktív magatartással akkor, ha az előírt tájékoztatás erről a felületről egyértelműen és könnyen elérhető. Ez azért szükséges, mert a weboldal üzemeltetője ezáltal győződhet meg arról és igazolhatja azt, hogy a felhasználó valóban megadta a hozzájárulását. Az elmondottakból következően nem elegendő, ha csak a tájékoztatás elérhető a honlapon, vagy csak az erre irányító linkre kattinthat a felhasználó, hiszen ezekben az esetekben nincs aktív tevékenység a hozzájárulás megadása vonatkozásában.
4. Önkéntesség: Akkor valósul meg a hozzájárulás önkéntessége, ha a látogató választhat: engedélyezi az összes cookie használatát, csak bizonyosokat engedélyez, illetve egyáltalán nem járul hozzá cookie-k használatához, továbbá megmarad a lehetősége, hogy a későbbiekben megváltoztassa a beállításait. Fontos, hogy egy weboldal használatát nem lehet attól függővé tenni, hogy a felhasználó hozzájárul-e a cookie-k alkalmazásához, fel lehet azonban hívni a figyelmét például arra, hogy egyes cookie-k letiltásával az oldal bizonyos funkciói nem érhetőek el vagy nem működnek megfelelően. A munkacsoport álláspontja szerint például egy webáruház esetében nem lehet a vásárlásból kizáró körülmény, amennyiben a leendő vásárló nem fogadja el a (nem funkcionális) cookie-k alkalmazását.

A fentieket összefoglalva tehát különös gondossággal kell eljárni a cookie-k alkalmazása során, biztosítani kell a felhasználó számára az előzetes és önkéntes hozzájárulás lehetőségét, amely legyen aktív tevékenység és kísérje megfelelő tájékoztatás.