Retencja danych telekomunikacyjnych wymaga dostosowania do standardów UE – istotny pogląd PUODO

Prezes UODO Mirosław Wróblewski przedstawił istotny pogląd dotyczący obowiązku retencji danych przez operatorów telefonii komórkowej. Organ nadzorczy zwrócił uwagę na kwestie braku zgodności krajowych regulacji dotyczących retencji danych telekomunikacyjnych z Konstytucją RP oraz prawem Unii Europejskiej. Stanowisko, przedstawione w sprawie o sygn. I C 1281/25, ma wesprzeć sąd w wykładni i stosowaniu przepisów dotyczących ochrony danych osobowych w kontekście obowiązku przechowywania danych telekomunikacyjnych.

Sprawa dotyczy retencji danych przechowywanych przez operatorów telefonii komórkowej. Operatorzy gromadzą dane o ruchu i lokalizacji, takie jak numery telefonów, identyfikatory kart i urządzeń, adresy IP, daty, czas połączeń, czas ich trwania oraz inne informacje. W opinii Prezesa UODO są to dane osobowe, ponieważ połączone z innymi danymi pozwalają na identyfikację konkretnej osoby. Dane o ruchu i lokalizacji, analizowane w dłuższym okresie pozwalają odtworzyć szczegółowy obraz aktywności użytkownika – jego codziennych zachowań, relacji społecznych czy stylu życia.

Prezes UODO uważa, że przepisy krajowe wymagają dostosowania do standardu europejskiego, ponieważ obowiązek przechowywania danych o ruchu i lokalizacji użytkowników w sposób, w jaki jest dziś uregulowany, jest sprzeczny z prawem Unii Europejskiej oraz Kartą Praw Podstawowych UE. Jednocześnie sąd krajowy, rozpoznając sprawę, powinien ocenić zgodność przepisów krajowych z prawem Unii i uwzględnić wykładnię TSUE.

Obowiązujące przepisy nakazują operatorom przechowywanie takich danych przez okres 12 miesięcy – niezależnie od tego czy użytkownicy są podejrzewani o popełnienie przestępstwa. Dane mogą być udostępnione uprawnionym służbom, a po upływie tego okresu powinny być zniszczone. Model retencji danych ma charakter prewencyjny – obejmuje wszystkich obywateli, co w ocenie Prezesa UODO budzi poważne wątpliwości w świetle standardów europejskich.

Prezes UODO, powołując się na orzecznictwo TSUE, wskazuje, że ogólna i niezróżnicowana retencja danych  jest sprzeczna z prawem Unii. Trybunał Sprawiedliwości UE wielokrotnie podkreślał, że gromadzenie danych przez operatorów telekomunikacyjnych może być dopuszczalne jedynie w zakresie ściśle niezbędnym i proporcjonalnym – np. w celu zwalczania poważnej przestępczości lub ochrony bezpieczeństwa państwa. Z kolei Europejski Trybunał Praw Człowieka w wyroku z 28 czerwca 2024 r. stwierdził, że polskie przepisy dotyczące kontroli operacyjnej i dostępu do danych komunikacyjnych nie zapewniają wystarczających gwarancji ochrony prawa do prywatności .

Odnosząc się do Konstytucji RP, Prezes UODO wskazał, że retencja danych ingeruje w prawo do prywatności (art. 47), wolność i tajemnicę komunikowania się (art. 49) oraz autonomię informacyjną jednostki (art. 51). Ograniczenia tych praw mogą być wprowadzane wyłącznie w drodze ustawy i tylko wtedy, gdy są one niezbędne w demokratycznym państwie prawnym. Orzecznictwo Trybunału Konstytucyjnego podkreśla ponadto konieczność zapewnienia mechanizmów kontroli dostępu służb do danych telekomunikacyjnych oraz obowiązek niezwłocznego niszczenia informacji nieistotnych dla prowadzonych postępowań.

Przedstawiony przez Prezesa UODO pogląd nie stanowi rozstrzygnięcia indywidualnej sprawy ani wiążącej interpretacji prawa. Organ nadzorczy wskazał, że sprawa odnosi się do granic ingerencji państwa w prawo do prywatności oraz w autonomię informacyjną jego obywateli.

Bezpośrednim impulsem do zajęcia stanowiska w sprawie było skierowanie przez Sąd Okręgowy w Gdańsku pytania prejudycjalnego do Trybunału Sprawiedliwości UE w sprawie o sygn. C-741/25 Ranerski. Sprawa dotyczy interpretacji art. 15 ust. 1 dyrektywy 2002/58/WE w związku z art. 7, 8, 11 oraz 52 ust. 1 Karty Praw Podstawowych UE. Już sam fakt skierowania pytania prejudycjalnego świadczy – w ocenie Prezesa Urzędu – o wadze problemu oraz o wątpliwościach dotyczących zgodności polskich regulacji ze standardami unijnymi.

Stanowisko Prezesa UODO może stać się ważnym punktem odniesienia w dalszej dyskusji nad modelem retencji danych w Polsce. Konsekwencje odpowiedzi TSUE na pytanie prejudycjalne Sądu Okręgowego w Gdańsku mogą mieć natomiast znaczenie nie tylko prawne, ale również ustrojowe – odnosić się bowiem będą do granic ingerencji państwa w życie obywateli oraz relacji między bezpieczeństwem publicznym i prawem do prywatności.

Każda operacja przetwarzania danych musi opierać się o jedną z podstaw prawnych wskazanych w art. 6 ust. 1 RODO. Katalog przesłanek ma charakter zamknięty, a spełnienie co najmniej jednej z nich stanowi warunek zgodności przetwarzaniem z prawem . W przypadku przetwarzania opartego na obowiązku prawnym administratora (art. 6 ust. 1 lit. c) lub na wykonywaniu zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e)  podstawę prawną musi stanowić prawo Unii lub państwa członkowskiego.

Wyjątkowe znaczenie zdaniem Prezesa Urzędu mają zasady przetwarzania danych uregulowane w art. 5 RODO: legalność, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania oraz integralność i poufność. Organ nadzorczy zaznaczył, że każda regulacja krajowa przewidująca masowe przetwarzanie danych musi być oceniana w świetle tych zasad.

DS.552.1.2026