Zasadę uwzględniania ochrony danych już w fazie projektowania oraz domyślnej ochrony danych skodyfikowano w art. 25 rozporządzenia (UE) 2016/679. Obecnie ustawieniem domyślnym dla plików cookie w większości obecnych przeglądarek jest „akceptuj wszystkie pliki cookie”. Dostawcy oprogramowania umożliwiającego wyszukiwanie i przedstawianie informacji w internecie powinni mieć zatem obowiązek skonfigurowania oprogramowania, aby oferowało ono opcję uniemożliwienia osobom trzecim przechowywania informacji na urządzeniach końcowych; często przedstawia się to jako opcję „odrzuć pliki cookie osób trzecich”. Użytkownicy końcowi powinni mieć możliwość wyboru spośród szeregu ustawień prywatności, od najwyższych (na przykład „nigdy nie akceptuj plików cookie”) po najniższe (na przykład„zawsze akceptuj pliki cookie) oraz pośrednie (na przykład „odrzuć pliki cookie osób trzecich” lub „akceptuj tylko pliki cookie administratora”). Takie ustawienia prywatności powinny być przedstawione w sposób widoczny i zrozumiały.