Statement 03/2021 on the ePrivacy Regulation
Statement 03/2021 on the ePrivacy Regulation
Adopted on 9 March 2021
The European Data Protection Board has Comitetul European pentru Protecția Datelor a
adopted the following statement: adoptat următoarea declarație:
The EDPB welcomes the agreed negotiation
mandate adopted by the Council on the protection
of privacy and confidentiality in the use of
electronic communication services (’the Council’s
position’), as a positive step towards a new
ePrivacy Regulation. It is of utmost importance
that the EU general data protection framework is
rapidly complemented with harmonised rules for
electronic communications.
As already stated on numerous occasions1, the
ePrivacy Regulation must under no
circumstances lower the level of protection
offered by the current ePrivacy Directive but
should complement the GDPR by providing
additional strong guarantees for
confidentiality and protection of all types of
electronic communication. In no way the
ePrivacy Regulation can be used to de facto
change the GDPR. In this regard, the Council’s
position is raising a series of concerns and the
EDPB wishes to point issues, which should be
addressed in the upcoming negotiations.
This statement is without prejudice to a
possible future more detailed EDPB statement
or opinion on the co-legislators positions.
Concerns regarding processing and
retention of electronic communication data
for the purposes of law enforcement and
safeguarding national security
With respect to Article 6(1)(d) and Article 7(4),În ceea ce privește articolul 6 alineatul (1) litera
the EDPB reiterates that legislative measures
requiring providers of electronic faptul că măsurile legislative necesită furnizorii de
communications services to retain electronic
communication data have to comply with:
 Articles 7 and 8 of the EU Charter of
Fundamental Rights (‘Charter’),
 the latest case law of the Court of Justice fundamentale a UE („Carta”),
Declarația 03/2021 privind Regulamentul
ePrivacy
EDPB salută mandatul de negociere convenit
adoptat de Consiliu privind protecția
confidențialitate și confidențialitate în utilizarea
serviciilor de comunicații electronice („poziția
Consiliului”), ca un pas pozitiv spre un nou
regulament privind confidențialitatea electronică.
Este extrem de important ca generalul UE cadrul
de protecție a datelor este completat rapid cu
reguli armonizate pentru electronice comunicații.
După cum s-a menționat deja în numeroase
ocazii, Regulamentul privind confidențialitatea
electronică nu trebuie în niciun caz reduce nivelul
de protecție oferit de actuala directivă privind
confidențialitatea electronică, dar ar trebui să
completeze GDPR, oferind garanții puternice
suplimentare pentru confidențialitate și protecție a
tuturor tipurilor de comunicare electronică. În
niciun caz Regulamentul ePrivacy nu poate fi
utilizat pentru a schimba de facto GDPR. În
această privință, poziția Consiliului ridică o serie
de îngrijorări și EDPB dorește să sublinieze care
ar trebui abordate în viitoarele negocieri.
Această declarație nu aduce atingere unei
eventuale declarații sau avize EDPB mai detaliate
pe viitor pozițiile colegislatorilor.
Preocupări privind prelucrarea și păstrarea
datelor de comunicații electronice pentru
scopul aplicării legii și protejarea securității
naționale
(d) și articolul 7 alineatul (4), EDPB reiterează
servicii de comunicații electronice să păstreze
datele de comunicații electronice trebuie să
respecte:
 articolele 7 și 8 din Carta drepturilor
1
 Statement 03/2021 on the ePrivacy Regulation
of the EU (‘CJEU’)2 as well as
 Article 8 of the European Convention on
Human Rights.
The EDPB considers that the ePrivacy
Regulation cannot derogate from the
application of the latest CJEU case law, which
notably provides that Articles 7, 8, 11 and
52(1) of the Charter must be interpreted as
precluding legislative measures, which
would provide, as a preventive measure,
the general and indiscriminate retention of
traffic and location data. Therefore, providing
a legal basis for anything else than targeted
retention for the purposes of law enforcement
and safeguarding national security is not
allowed under the Charter, and would anyhow
need to be subject to strict temporal and
material limitations as well as review by a Court
or by an independent authority.
With regard to the exclusion from the scope of
the Regulation of processing activities by
providers, the EDPB considers that such
exclusion runs against the premise for a
consistent EU data protection framework. In the
event of an exclusion, the EDPB stresses
nevertheless that the GDPR applies.
Confidentiality of electronic
communications requires specific
protection (Articles 6, 6a, 6b, 6c)
Confidentiality of communications is a
fundamental right protected under Article 7 of
the Charter already implemented by the
ePrivacy Directive. This right to confidentiality
must be applied to every electronic
communication, regardless of the means by
which they are sent, at rest and in transit, from
the sender to the receiver, and must also
protect the integrity of every user’s terminal
equipment.
 cea mai recentă jurisprudență a Curții de
Justiție a UE („CJUE”) precum și
 articolul 8 din Convenția Europeană privind
drepturile omului.
EDPB consideră că Regulamentul privind
confidențialitatea electronică nu poate deroga de
la aplicarea celei mai recente Jurisprudența
CJUE, care prevede în special că articolele 7, 8,
11 și 52 (1) din Cartă trebuie să fie interpretat ca
excludând măsuri legislative, care ar oferi, ca
măsură preventivă, păstrarea generală și
nediscriminatorie a datelor despre trafic și locație.
Prin urmare, oferind o bază legală pentru orice
altceva decât reținerea țintită în scopul aplicării
legii și al protecției naționale securitatea nu este
permisă în cadrul Cartei și ar trebui oricum să fie
supusă unor condiții temporale stricte și limitări
materiale, precum și revizuirea de către o Curte
sau de către o autoritate independentă.
În ceea ce privește excluderea din domeniul de
aplicare al regulamentului a activităților de
prelucrare de către furnizori, EDPB consideră că
o astfel de excludere este împotriva premisei unei
protecții a datelor coerente a UE cadru. În caz de
excludere, EDPB subliniază totuși că se aplică
GDPR.
Confidențialitatea comunicațiilor electronice
necesită o protecție specifică (articolele 6, 6a,
6b,6c)
Confidențialitatea comunicărilor este un drept
fundamental protejat în temeiul articolului 7 din
Cartă deja implementat prin Directiva ePrivacy.
Acest drept la confidențialitate trebuie aplicat
tuturor comunicare electronică, indiferent de
mijloacele prin care sunt trimise, în repaus și în
tranzit, de la expeditorului către receptor și
trebuie, de asemenea, să protejeze integritatea
echipamentului terminal al fiecărui utilizator.
Interdicții generale cu excepții limitate pentru
2
 Statement 03/2021 on the ePrivacy Regulation
General prohibitions with narrow exceptions
for personal data processing
The EDPB fully supports the approach based
on general prohibitions and with narrow,
specific and clearly defined (purpose oriented)
exceptions.
However, the EDPB is concerned that some
exceptions (in particular Article 6(1)(c),
Article 6b(1)(e), Article 6b(1)(f), Article 6c)
introduced by the Council seem to allow for
very broad types of processing, , and recalls
the need to narrow down those exceptions
to specific and clearly defined purposes. In
any case, those specific purposes should
be explicitly listed in order to ensure legal
certainty and the highest possible degree of
the protection.
Furthermore, the exceptions under Article
6(1)(b), Article 6(1)(c) and Article 6(1)(d),
allowing the access of electronic
communications data, including content, to
ensure network and end user device
security could allow full access by the
electronic communication service provider
or their processors to the contents of all
end user communications. Since this could
undermine the end user`s right to confidentiality
and privacy expectations, it has to be
proportionate and should be narrowed down at
least to recall that this cannot lead to the
systematic monitoring of electronic
communication content, nor allow providers or
processors to circumvent any encryption.
Lastly, the Regulation should emphasize the
role of anonymisation as the core guarantee
that should be systematically favoured
when it comes to the use of electronic
communication data.
prelucrarea datelor cu caracter personal
EDPB sprijină pe deplin abordarea bazată pe
interdicții generale și cu excepții limitate,
specifice și clar definite (orientate spre scop).
Cu toate acestea, EDPB este îngrijorat de faptul
că unele excepții (în special articolul 6
alineatul (1) litera (c), articolul 6b alineatul (1)
litera (e)), Articolul 6b alineatul (1) litera (f),
articolul 6c) introdus de Consiliu par să
permită tipuri foarte largi de prelucrare și
reamintește necesitatea de a restrânge aceste
excepții la scopuri specifice și clar definite. În
orice caz, aceste scopuri specifice ar trebui
enumerate în mod explicit pentru a asigura
securitatea juridică și cel mai înalt grad posibil de
protecție.
În plus, excepțiile prevăzute la articolul 6
alineatul (1) litera (b), la articolul 6 alineatul (1)
litera (c) și la articolul 6 alineatul (1) litera (d),
care permit accesul datelor de comunicații
electronice, inclusiv a conținutului, pentru a
asigura rețeaua și dispozitivul utilizatorului
final securitatea ar putea permite accesul
complet al furnizorului de servicii de
comunicații electronice sau al persoanelor
împuternicite acestora la conținutul tuturor
comunicărilor utilizatorului final. Deoarece
acest lucru ar putea submina dreptul utilizatorului
final la așteptările de confidențialitate și
confidențialitate, trebuie să fie proporționale și ar
trebui restrânse la să ne amintim că acest lucru
nu poate duce la monitorizarea sistematică a
conținutului comunicațiilor electronice, nici să nu
permită furnizorilor sau procesatorilor să
ocolească orice criptare.
În sfârșit, Regulamentul ar trebui să sublinieze
rolul anonimizării ca garanție de bază care ar
trebui să fie favorizat în mod sistematic atunci
când vine vorba de utilizarea datelor de
comunicații electronice
3
 Statement 03/2021 on the ePrivacy Regulation
Disponibilitatea unei criptări puternice și de
The availability of strong and trusted
încredere este o necesitate în lumea digitală
encryption is a necessity in the modern
modernă
digital world
Strong state-of-the-art encryption should be the
general rule to ensure a secure, free and reliable
flow of data between citizens, businesses and
governments, and is crucial to ensure compliance
with the security obligation of the GDPR, for
example, for health data, and protection of IT
systems in a context of rising threats. End-to-end
encryption, from the sender to the recipient, is
also the only way to ensure full protection of data
in transit. Any possible attempt to weaken
encryption, even for purposes such as national
security would completely devoid those protection
mechanisms due to their possible unlawful use.
Encryption must remain standardized, strong and
efficient3.
The new Regulation must enforce the
consent requirement for cookies and similar
technologies, and offer service providers
technical tools allowing them to easily
obtain such consent (Article 84)
The need for a privacy preserving approach
regarding “take it or leave it” solutions
It should be recalled that provisions on consent
under the GPDR apply in the context of the
ePrivacy rules.
Therefore, the EDPB considers that the
necessity to obtain a genuine freely-given
consent should prevent service providers from
using unfair practices such as “take it or leave
it” solutions, which make access to services
and functionalities conditional on the consent of
a user to the storing of information, or gaining
of access to information already stored in the
terminal equipment of a user (the so-called
“cookie walls”)5.
Criptarea puternică de ultimă generație ar trebui
să fie regula generală pentru a asigura un flux
sigur, gratuit și fiabil de date între cetățeni,
întreprinderi și guverne și este crucial pentru a
asigura respectarea normelor obligația de
securitate a GDPR, de exemplu, pentru datele de
sănătate și protecția sistemelor IT într-un context
a amenințărilor în creștere. Criptarea end-to-end,
de la expeditor la destinatar, este, de asemenea,
singura modalitate de a să asigure protecția
deplină a datelor în tranzit. Orice posibilă
încercare de a slăbi criptarea, chiar și în scopuri
precum securitatea națională ar lipsi complet
aceste mecanisme de protecție datorită posibilului
lor utilizare ilicită. Criptarea trebuie să rămână
standardizată, puternică și eficienta.
Noul regulament trebuie să aplice cerința de
consimțământ pentru cookie-uri și alte
tehnologii similare și să ofere furnizorilor de
servicii instrumente tehnice care să le permită
să le obțină cu ușurință consimțământul
(articolul 8 indice 4 )
Nevoia unei abordări de păstrare a
confidențialității în ceea ce privește soluțiile
„take it or leave it”
Trebuie reamintit faptul că dispozițiile privind
consimțământul în temeiul GPDR se aplică în
contextul regulilor ePrivacy.
Prin urmare, EDPB consideră că este necesară
obținerea unui consimțământ autentic dat în mod
liber ar trebui să împiedice furnizorii de servicii să
utilizeze practici neloiale precum soluții „ia-o sau
lasă-o”, care condiționează accesul la servicii și
funcționalități de consimțământul unui utilizator
pentru stocare de informații sau obținerea
accesului la informațiile deja stocate în
echipamentul terminal al unui utilizator (așa-
numitele „pereți cookie”).
EDPB subliniază necesitatea includerii unei
4
 Statement 03/2021 on the ePrivacy Regulation
The EDPB stresses the need to include an
explicit provision in the ePrivacy Regulation to
enshrine this prohibition, in order to enable
users to accept or refuse profiling. Users
should therefore be proposed with fair
alternatives offered by the same service
providers. Such principles should apply equally
to all service providers, regardless of their
sector of activity or of their current financing
model (see recital 21aa of the Council’s
position).
Audience measurement shall be limited to
non-intrusive practices that are not likely to
create a privacy risk for users
The Council’s position creates a new exception
for audience measurement as suggested by the
Article 29 Working Party6. However, the
derogation for audience measurement as
proposed by the Council is worded too broadly
and could lead to an overly broad interpretation
of what could fall under the scope of the
derogation and consequently lower the level of
protection of end users’ terminals.
Therefore, the EDPB stresses that the
derogation for audience measurement should
be limited to low level analytics necessary for
the analysis of the performance of the service
requested by the user and should be solely
limited to providing statistics to the service
operator, and must be put in place by the
operator or their processors. Therefore, this
processing operation cannot give rise, by itself
or in combination with other tracking solutions,
to any singling-out or any profiling of users by
the provider or other data controllers.
Moreover, the audience measurement service
should not allow to collect navigation
information related to users across distinct
websites/applications and should include a
user-friendly mechanism to opt-out from any
data collection.
Effective way to obtain consent for websites
prevederi explicite în Regulamentul privind
confidențialitatea electronică pentru a consacra
acest lucru interdicție, pentru a permite
utilizatorilor să accepte sau să refuze profilarea.
Prin urmare, utilizatorii ar trebui propuși cu
alternative corecte oferite de aceiași furnizori de
servicii. Astfel de principii ar trebui să se aplice în
mod egal tuturor furnizorii de servicii, indiferent de
sectorul lor de activitate sau de modelul lor actual
de finanțare (a se vedea considerentul 21aa din
poziția Consiliului).
Măsurarea audienței se limitează la practici
neintruzive care nu sunt susceptibile de a crea
un risc de confidențialitate pentru utilizatori
Poziția Consiliului creează o nouă excepție pentru
măsurarea audienței, așa cum sugerează articolul
29 Grupul de lucru6. Cu toate acestea, derogarea
pentru măsurarea audienței propusă de Consiliu
este formulat prea larg și ar putea duce la o
interpretare prea largă a ceea ce ar putea intra
sub incidența domeniul de aplicare al derogării și,
prin urmare, scade nivelul de protecție a
terminalelor utilizatorilor finali.
Prin urmare, EDPB subliniază că derogarea
pentru măsurarea audienței ar trebui să fie
limitată la scăzută analize de nivel necesare
pentru analiza performanței serviciului solicitat de
utilizator și ar trebui să se limiteze doar la
furnizarea de statistici operatorului de servicii și
trebuie să fie puse în aplicare de către operator
sau procesoarele lor. Prin urmare, această
operațiune de procesare nu poate da naștere,
singură sau în combinație cu alte soluții de
urmărire, la orice selectare sau la orice profilare a
utilizatorilor de către furnizor sau alți controlori de
date. Mai mult, serviciul de măsurare a audienței
nu ar trebui să permită colectarea informații de
navigare legate de utilizatori pe site-uri / aplicații
distincte și ar trebui să includă un mecanism ușor
de utilizat pentru a renunța la orice colectare de
date.
Mod eficient de obținere a consimțământului
5
 Statement 03/2021 on the ePrivacy Regulation

pentru site-uri web și aplicații mobile (articolul

and mobile applications (Article 4a)
4a)
The EDPB considers that the ePrivacy
EDPB consideră că Regulamentul privind
Regulation should improve the current situation
confidențialitatea electronică ar trebui să
by giving back control to the users and
îmbunătățească situația actuală, dând înapoi
addressing the “consent fatigue”. Article 4a
controlul către utilizatori și abordarea „oboselii
should go further and oblige browsers and
consimțământului”. Articolul 4a ar trebui să
operating systems to put in place a user
meargă mai departe și să oblige browsere și
friendly and effective mechanism allowing
sisteme de operare pentru a pune în aplicare un
controllers to obtain consent, in order to create
mecanism ușor de utilizat și eficient care să
a level playing field between all actors. The
permită operatorii să obțină consimțământul,
scope of the Regulation should also explicitly
pentru a crea condiții de concurență echitabile
include browser and operating system
între toți actorii. Scopul Regulamentului ar trebui,
providers.
de asemenea, să includă în mod explicit furnizorii
Privacy settings should preserve the right to the
de sisteme de operare și browser.
protection of personal data and the integrity of
Setările de confidențialitate ar trebui să păstreze
terminals of users by default and should
dreptul la protecția datelor cu caracter personal și
facilitate expressing and withdrawing consent in
integritatea datelor terminalele utilizatorilor în mod
an easy, binding and enforceable manner
implicit și ar trebui să faciliteze exprimarea și
against all parties.
retragerea consimțământului într-un mod ușor,
obligatoriu și executoriu împotriva tuturor părților.

Further processing for compatible purposes Prelucrare ulterioară în scopuri compatibile

(Article 6c and Article 8(1)(g)) [articolul 6c și articolul 8 alineatul (1) litera (g)]

În ceea ce privește discuțiile în curs privind

prelucrarea ulterioară a comunicațiilor electronice
In relation to ongoing discussions on the further
metadate / date colectate prin cookie-uri și
processing of electronic communications
tehnologii similare, EDPB își reiterează sprijinul
metadata/data collected through cookies and
față de abordarea Regulamentului privind
similar technologies, the EDPB reiterates its
confidențialitatea electronică, astfel cum a fost
support to the approach of the ePrivacy
propusă inițial de Comisia Europeană și urmat de
Regulation as originally proposed by the
Parlamentul European, pe baza unei interdicții
European Commission and followed by the
generale, urmat de excepții limitate și utilizarea
European Parliament, based on a general
consimțământului. Prelucrarea ulterioară în
prohibition, followed by narrow exceptions and
scopuri compatibile implică riscul subminării
the use of consent. Further processing for
protecția oferită de regulamentul ePrivacy, în
compatible purposes entails the risk of
special pentru prelucrarea electronică metadate
undermining the protection afforded by the
de comunicații, permițând prelucrarea în orice
ePrivacy regulation, especially for processing
scop considerat de serviciu furnizorului să
electronic communications metadata, by
îndeplinească clauza „compatibilității”, în timp ce
allowing processing for any purpose that is
legiuitorul a căutat în mod clar să le limiteze
judged by the service provider to meet the
utilizarea la scopuri specifice în absența
‘compatibility’ clause while the legislator clearly
consimțământului. EDPB dorește să sublinieze
sought to restrict their use to specific purposes
faptul că cele menționate anterior datele pot fi
in the absence of consent. The EDPB wishes to
prelucrate în continuare fără consimțământ și fără
emphasise that the aforementioned data can
a crea riscuri pentru utilizatori după ce au făcut-o

6
 Statement 03/2021 on the ePrivacy Regulation
still be further processed without consent and
without creating risks for the users after it has
been anonymised.
Future role of supervisory authorities, the
EDPB and cooperation mechanism
(Articles 18 to 20)
The EDPB recalls that, in order to guarantee a
level playing field on the Digital Single Market,
it is essential to ensure a harmonised
interpretation and enforcement of all data
processing provisions of the ePrivacy
Regulation across the EU.
Oversight of privacy provisions under the
ePrivacy Regulation should be entrusted to
the competent supervisory authorities
under the GDPR to further support
consistency
The EDPB would like to recall that there is a
clear interconnection of competencies between
national authorities competent under the
current ePrivacy Directive and data protection
authorities. Provisions of the future ePrivacy
Regulation related to the protection of privacy
should not be applied in isolation, since they
are intertwined with personal data processing
and the GDPR.
Hence, in order to conciliate a high level of
protection of personal data and legal and
procedural certainty, national authorities
responsible for enforcement of the GDPR
should be entrusted with the oversight of the
provisions of the future ePrivacy Regulation
related to the processing of personal data, as
initially proposed by the European
7
Commission .
The EDPB notes that, unlike in the initial
proposal of the European Commission, all the
references to the cooperation and consistency
mechanism as provided by Chapter VII of the
GDPR have been removed from the Council’s
position. For the reasons recalled above, the
a fost anonimizat.
Rolul viitor al autorităților de supraveghere,
EDPB și mecanismul de cooperare (articolele
18 - 20)
EDPB reamintește că, pentru a garanta condiții
de concurență echitabile pe piața unică digitală,
este esențial pentru a asigura o interpretare
armonizată și aplicarea tuturor dispozițiilor privind
prelucrarea datelor din Regulamentul privind
confidențialitatea electronică în întreaga UE.
Supravegherea dispozițiilor privind
confidențialitatea în temeiul Regulamentului
privind confidențialitatea electronică ar trebui
încredințată competentei autoritățile de
supraveghere din cadrul GDPR pentru a
sprijini în continuare coerența
EDPB ar dori să reamintească faptul că există o
interconectare clară a competențelor între
național autoritățile competente în temeiul
actualei directive privind confidențialitatea
electronică și autoritățile de protecție a datelor.
Prevederi al viitorului regulament privind
confidențialitatea electronică referitor la protecția
vieții private nu ar trebui aplicat în mod izolat,
întrucât acestea sunt împletite cu prelucrarea
datelor cu caracter personal și GDPR.
Prin urmare, pentru a concilia un nivel ridicat de
protecție a datelor cu caracter personal și juridice
și procedurale certitudine, autorităților naționale
responsabile cu aplicarea GDPR ar trebui să li se
încredințeze supravegherea prevederilor viitorului
Regulament privind confidențialitatea electronică
referitoare la prelucrarea datelor personale date,
așa cum a propus inițial Comisia Europeană7
EDPB constată că, spre deosebire de propunerea
inițială a Comisiei Europene, toate referințele la
mecanismul de cooperare și coerență prevăzut de
capitolul VII din GDPR a fost eliminat din poziția
Consiliului. Din motivele amintite mai sus, EDPB
reiterează faptul că doar a alinierea perfectă cu
cadrul de cooperare și consistență GDPR ar
7
 Statement 03/2021 on the ePrivacy Regulation
EDPB reiterates that only a perfect alignment
with the GDPR cooperation and consistency
framework would allow the ePrivacy Regulation
to reach its goals, to avoid fragmentation in the
enforcement and application of the Regulation,
as well as to lessen the burden for the
providers that would otherwise have to address
possibly over 27 supervisory authorities.
In case national competent authorities who are
not members of the EDPB would have to
interact with the EDPB, as currently the
Council’s position foresees, their ability to
contribute timely to the consistent application of
the ePrivacy Regulation would diminish to the
detriment of both the digital economy and the
protection of the fundamental rights.
permite confidențialitatea electronică
Regulamentul pentru a - și atinge obiectivele,
pentru a evita fragmentarea în aplicarea și
aplicarea Reglementare, precum și pentru a
reduce sarcina pentru furnizorii care altfel ar
trebui să se adreseze posibil peste 27 de
autorități de supraveghere.
În cazul în care autoritățile naționale competente
care nu sunt membre ale EDPB ar trebui să
interacționeze cu EDPB, așa cum prevede în
prezent poziția Consiliului, capacitatea lor de a
contribui în timp util la aplicarea consecventă a
Regulamentului privind confidențialitatea
electronică s-ar diminua în detrimentul atât al
digitalului economie și protecția drepturilor
fundamentale.