Przepisy RODO nie przesądzają, czy pliki cookies stanowią dane osobowe. W motywie 30 preambuły wskazano jedynie, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe - takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Z powyższego wynika, że identyfikatory plików cookies nie mogą być automatycznie uznane za dane osobowe. Może tak bowiem być jedynie w określonych sytuacjach, tj. kiedy w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery są wykorzystywane do identyfikowania osób fizycznych.
W literaturze dość powszechnie przyjmuje się jednak dość arbitralnie, że stosowanie cookies podlega regulacjom RODO, ponieważ pliki te pozwalają zidentyfikować urządzenie, z którego korzysta użytkownik, co pośrednio ma prowadzić do uzyskania informacji o samym użytkowniku. Również Prezes Urzędu Ochrony Danych Osobowych w jednej ze swoich decyzji uznał, że zarówno identyfikator plików cookies, jaki i adres IP stanowią dane osobowe „z uwagi na uzasadnione prawdopodobieństwo zidentyfikowania” osoby fizycznej. Na stanowisko organu nie miały wpływu wyjaśnienia administratora danych osobowych, który zapewniał, że powyższe informacje w żaden sposób nie pozwalają mu na identyfikację konkretnego użytkownika strony internetowej.
Decyzja Prezesa UODO została uchylona przez Wojewódzki Sąd Administracyjny w Warszawie (wyrok z 11 lipca 2022 r., II SA/Wa 3993/21). WSA zwrócił uwagę na konieczność wnikliwego przeanalizowania danych gromadzonych przez administratora (w tym adresu IP oraz identyfikatora cookies), a przede wszystkim wyjaśnienia, jak organ rozumie możliwość identyfikacji osoby fizycznej i czy faktycznie w analizowanej sprawie ona wystąpiła. Sąd zatem wychodzi z założenia, że nie każda informacja w świecie cyfrowym dotycząca urządzenia musi od razu być daną osobową, a punktem wyjścia dla określenia obowiązków administratora musi być ustalenie, czy faktycznie korzystając z plików cookies przetwarza on dane osobowe.
Wątpliwości co do charakteru plików cookies oraz zakresu zastosowania do nich przepisów RODO pozostają jednak aktualne. Pomocne nie jest tu również orzecznictwo TSUE, który np. w powołanym przez Prezesa UODO orzeczeniu w sprawie C-673/17 jednoznacznie wskazał, że ,,(…) instalowanie plików cookie, o których mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych”. Sprawa analizowana przez TSUE dotyczyła jednakże sytuacji, kiedy niezależnie od identyfikatorów plików cookies administrator pozyskiwał również nazwisko i adres użytkownika, zaś rozważania TSUE skupiły się na sposobie wyrażenia zgody na przetwarzanie danych. Podobnie jednak jak w przypadku decyzji Prezesa UODO w uzasadnieniu trudno było znaleźć wyjaśnienie stawianej tezy o kwalifikacji stosowania plików cookies jako przetwarzania danych osobowych.
W braku jednoznacznych przepisów wyrok WSA w Warszawie może okazać się pierwszą jaskółką zmian w podejściu do kwestii traktowania cookies, zwłaszcza jeśli – w razie skargi kasacyjnej Prezesa UODO – Naczelny Sąd Administracyjny podzieli pogląd WSA.