Vedtaket i Europa-parlamentet har form av et tillegg til et utkast til direktiv om regler for personvern og elektronisk innsamling av data. Utkastet skal behandles av EU-kommisjonen før det kan tre i kraft. Det skal avholdes et møte om saken på ministerrådsnivå en gang i desember.
En "cookie" er en liten fil som en webserver legger igjen på en PC som har lastet - altså lest - websider der, både vanlige sider og annonser. Nyhetstjenester som krever registrering, legger gjerne igjen en cookie slik at brukeren slipper å skrive brukernavn og passord ved hver pålogging. E-forretninger som Amazon legger igjen cookies for å profilere brukeren, slik at nettstedet kan vise nyheter og gi anbefalinger avhengig av hva brukeren har kjøpt og lest ved tidligere besøk. Ulempen ved cookies, sett fra tjenestens og profilererens synspunkt, er at de egentlig bare identifiserer datamaskinen. Derfor ønsker kommersielle aktører andre opplegg, som Microsofts Passport.com eller Sun-prosjektet Liberty Alliance som legger opp til en individuell profilering uavhengig av hvilken maskin individet bruker til å surfe.
"Cookies" opptrer jevnlig som syndebukker i datasikkerhetsbrudd, fordi de gjerne lagrer følsom informasjon som kontonummer og andre personopplysninger. Nylig ble det demonstrert hvordan en midlertidig cookie brukt av dagens utgave av Microsoft Passport kunne brukes av uvedkommende til å tappe kundekontoer for penger.
Vedtaket i EU-parlamentet går ut på at det skal innhentes tillatelse fra brukeren før det kan legges igjen en cookie. Denne begrensningen innebærer at man har støttet argumentene til personvernaktivister mot synspunktene til annonsører og kommersielle nettsteder. Disse hevder at gjeldende lovgivning gir tilstrekkelig personvern, og at ytterligere begrensninger på bruk av cookies vil innebære tap av annonseinntekter. De peker dessuten på at de fleste nettleserne, deriblant alle de mest utbredte, gjør det mulig å avvise cookies.
På Windows-PC-er er det en katalog under Windows med navn "cookies". Aktive surfere har gjerne noen hundre filer der.
EU-parlamentets vedtak om å overlate til medlemsland å avgjøre regler for uanmodet e-post, såkalt spam, strider med kommisjonens ønske om felles europeiske regler. Kommisjonen ønsket en ordning der bedrifter og organisasjoner må innhente tillatelse fra mottakeren før de sender ut reklame per e-post. En mindre gruppe medlemsland, med Storbritannia i spissen, ønsket felles regler etter motsatt prinsipp, altså at det er i utgangspunktet lov å sende e-postreklame til alle, unntatt til mottakere som gir eksplisitt tilbakemelding om at de ikke ønsker det. Blir EU-parlamentets vedtak stående, må hvert land vedta hvilket prinsipp som skal gjelde hos dem.
