1. Podkreśla to także wyrok Trybunału Sprawiedliwości Unii Europejskiej z 20 września 2022 roku, w sprawie o sygn. akt C-793/19, w którym orzekł on, że „art. 15 ust. 1 dyrektywy 2002/58 o prywatności i łączności elektronicznej, zmienionej dyrektywą 2009/136, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że sprzeczne z nim są krajowe środki ustawodawczym przewidujące, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych dotyczących lokalizacji
2. Jasnym staje się zatem, że o ile dopuszczalne byłyby takie uregulowania krajowe, które z uwagi np. przeciwdziałanie przestępczości ograniczałyby w/w prawa i wolności pewnych jednostek, o tyle sporne uregulowanie prawa krajowego nie spełnia zasady proporcjonalności i konieczności i znacząco narusza podstawowe prawa i wolności przyznane na podstawie Karty Praw Podstawowych UE.

POSTANOWIENIE
13 listopada 2025 roku

Sąd Okręgowy w Gdańsku Wydział I Cywilny w składzie następującym:
przewodnicząca: sędzia Beata Szymańska – Cybulska delegowana po rozpoznaniu 13 listopada 2025 roku w Gdańsku
na posiedzeniu niejawnym
sprawy z powództwa MR
przeciwko TM
o nakazanie
postanowił:

na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej, zwrócić się do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o rozpatrzenie następującego pytania prawnego:

„czy art. 15 ust.1 Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 roku dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności) zmienionej Dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25 listopada 2009 roku w związku z art. 7,8 i 11 i 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, które nakłada na operatorów dostępnych publicznie usług łączności elektronicznej prewencyjny, niezindywidualizowany, ogólnospołeczny, nieograniczony czasowo bądź miejscowo obowiązek zatrzymywania danych o ruchu i danych o lokalizacji użytkowników końcowych tych usług, jeżeli obowiązek ten dotyczy danych niezbędnych do określenia daty i godziny połączenia, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego, a przedsiębiorca telekomunikacyjny ma obowiązek na własny koszt zatrzymywać i przechowywać powyższe dane generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane na terytorium Rzeczypospolitej Polskie, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi”

UZASADNIENIE

postanowienia z 30 października 2025 roku

w przedmiocie wniosku do Trybunału Sprawiedliwości Unii Europejskiej o rozpatrzenie pytania
prawnego Sąd Odsyłający:

Strony postępowania i ich przedstawiciele:
Powód: MR
Przedstawiciel procesowy powoda: adwokat AZR
Pozwana: TM
Przedstawiciel procesowy pozwanej: radca prawny MM
Przedmiot sporu w postępowaniu głównym:

Powód, jako klient pozwanej i użytkownik świadczonych przez nią usług telekomunikacyjnych, domagał się nakazania pozwanej dostosowania czynności i zakresu przetwarzanych danych osobowych powoda do stanu zgodnego z prawem, poprzez zaprzestanie gromadzenia i przechowywania danych osobowych realizowanego na podstawie przepisów krajowych.

Przedmiot wniosku o rozstrzygnięcie pytania prawnego

Wykładnia art. 15 ust. 1 Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 roku (zmienionej Dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25 listopada 2009 roku) w związku z art. 7, 8, 11 i 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej.

Przepisy Unii Europejskiej:

Karta Praw Podstawowych Unii Europejskiej

Artykuł 7
Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się.

Artykuł 8
1. Każdy ma prawo do ochrony danych osobowych, które go dotyczą.
2. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.
Artykuł 11
1. Każdy ma prawo do wolności wypowiedzi. Prawo to obejmuje wolność posiadania poglądów
oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwowe.
Artykuł 52
1. Wszelkie ograniczenia w korzystaniu z praw i wolności uznanych w niniejszej Karcie muszą być przewidziane ustawą i szanować istotę tych praw i wolności. Z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób.

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 roku (zmieniona Dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25 listopada 2009 roku)

Artykuł 15
1. Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1-4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej.

Przepisy krajowe:
Ustawa z 12 lipca 2024 roku Prawo komunikacji elektronicznej

Artykuł 47
1. Przedsiębiorca telekomunikacyjny, z wyłączeniem podmiotów, o których mowa w przepisach wydanych na podstawie art. 49 ust. 2, jest obowiązany na własny koszt:
1) zatrzymywać i przechowywać dane, o których mowa w art. 49 ust. 1, generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;
2) udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także sądowi i prokuratorowi, zgodnie z wymaganiami określonymi w przepisach wydanych na podstawie art. 49 ust. 3, oraz na zasadach i w trybie określonych w przepisach odrębnych;
3) chronić dane, o których mowa w pkt 1, przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, zgodnie z przepisami ust. 5, art. 386-405 oraz podejmując środki techniczne i organizacyjne, o których mowa w art. 39 ust. 2 pkt 3.
2. Obowiązkom, o których mowa w ust. 1, podlegają dane dotyczące połączeń zrealizowanych i nieudanych prób połączeń, o których mowa w art. 386 ust. 1 pkt 5.
3. Obowiązki, o których mowa w ust. 1, realizowane są w sposób, który nie powoduje ujawniania
komunikatu elektronicznego.
4. Udostępnianie danych, o którym mowa w ust. 1 pkt 2, może nastąpić za pomocą środków
komunikacji elektronicznej, chyba że odrębne przepisy stanowią inaczej.

5. W celu ochrony danych, o której mowa w ust. 1 pkt 3, przedsiębiorca telekomunikacyjny stosuje
właściwe środki techniczne i organizacyjne oraz zapewnia dostęp do tych danych jedynie
upoważnionym pracownikom.

Artykuł 49
1. Obowiązkiem, o którym mowa w art. 47 ust. 1, objęte są dane dotyczące publicznie dostępnych
usług telekomunikacyjnych niezbędne do:
1) jednoznacznego zidentyfikowania zakończenia sieci, telekomunikacyjnego urządzenia końcowego oraz użytkownika końcowego:
a) inicjującego połączenie,
b) do którego kierowane jest połączenie;
2) określenia:
a) daty i godziny połączenia oraz czasu jego trwania,
b) rodzaju połączenia,
c) lokalizacji telekomunikacyjnego urządzenia końcowego.

Powód wystąpienia z wnioskiem o rozpatrzenie pytania prawnego:
1. Punktem wyjścia dla postępowania głównego prowadzonego przez Sąd odsyłający jest ustalenie, czy uregulowania krajowe stoją w sprzeczności z uregulowaniami wspólnotowymi, albowiem dopiero to, następczo otwierałoby Sądowi odsyłającemu drogę do rozstrzygnięcia kwestii dopuszczalności roszczenia powoda.
2. 10 listopada 2024 roku weszły w życie uregulowania krajowe, nakładające na przedsiębiorców telekomunikacyjnych obowiązek zachowywania i przechowywania, udostępniania oraz chronienia danych użytkowników ich sieci telekomunikacyjnych, niezbędnych do jednoznacznego zidentyfikowania zakończenia sieci, telekomunikacyjnego urządzenia końcowego oraz użytkownika końcowego inicjującego połączenie jak i do którego kierowane jest połączenie oraz danych niezbędnych do określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia jak i lokalizacji telekomunikacyjnego urządzenia końcowego. Uregulowania krajowe nie nakładają przy tym żadnego ograniczenia ani co do osób, których takie działania mają dotyczyć w sposób konkretny czy ilościowy, ani przyczyny takiego działania. Mają charakter generalny i absolutny.
3. Tymczasem, uregulowania wspólnotowe przypisują istotą rolę ochronie danych osobowych, dopuszczając możliwości ich ograniczenia jedynie w szczególnych przypadkach np. w związku z koniecznością zapewnienia bezpieczeństwa krajowego.
4. Podkreśla to także wyrok Trybunału Sprawiedliwości Unii Europejskiej z 20 września 2022 roku, w sprawie o sygn. akt C-793/19, w którym orzekł on, że „art. 15 ust. 1 dyrektywy 2002/58 o prywatności i łączności elektronicznej, zmienionej dyrektywą 2009/136, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że sprzeczne z nim są krajowe środki ustawodawczym przewidujące, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych dotyczących lokalizacji;

Nie są z nim sprzeczne krajowe środki ustawodawcze:
– umożliwiające, w celu ochrony bezpieczeństwa narodowego, posłużenie się skierowanym do dostawców usług łączności elektronicznej nakazem uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych dotyczących lokalizacji w sytuacjach, gdy dane państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia, przy czym decyzja o wydaniu takiego nakazu może być przedmiotem skutecznej kontroli
sądu lub niezależnego organu administracyjnego, którego decyzja wywiera wiążący skutek, mającej na celu weryfikację występowania jednej z takich sytuacji oraz poszanowania warunków i gwarancji, które
powinny zostać przewidziane, zaś wspomniany nakaz można wydać jedynie na określony czas ograniczony do tego, co ściśle niezbędne, jednak z możliwością przedłużenia w przypadku utrzymywania się tego zagrożenia;
– przewidujące, w celu ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, ukierunkowane zatrzymywanie danych o ruchu i danych dotyczących lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego, na okres ograniczony do tego, co ściśle niezbędne, ale odnawialny;
– przewidujące, w celu ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia, w okresie ograniczonym do tego, co ściśle
niezbędne;
– przewidujące, w celu ochrony bezpieczeństwa narodowego, zwalczania przestępczości i ochrony bezpieczeństwa publicznego uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej; oraz
– umożliwiające, w celu zwalczania poważnej przestępczości oraz, a fortiori, ochrony bezpieczeństwa narodowego, posłużenie się nakazem skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, szybkiego zatrzymywania przez określony czas danych o ruchu i danych dotyczących lokalizacji, którymi dysponują ci dostawcy usług, o ile środki te, za pomocą jasnych i precyzyjnych przepisów, zapewniają, by odnośne zatrzymywanie danych było uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz by osoby, których dane dotyczą, dysponowały skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć.”
5. Normy wspólnotowe regulujące kwestię ochrony danych osobowych nie dają jednoznacznej odpowiedzi na pytanie o dopuszczalność ograniczenia zakresu ochrony tych danych w sposób, w jaki zostało to uregulowane przez ustawodawstwo Rzeczypospolitej Polskiej. W zależności od wykładni norm unijnych, może dochodzić do ich kolizji z prawem krajowym, a to z kolei może mieć istotny wpływ dla rozstrzygnięcia postępowania głównego, rozpoznawanego przez Sąd odsyłający. Powstaje zatem konieczność zwrócenia się do Wysokiego Trybunału z wnioskiem o rozpatrzenie przedmiotowego pytania prawnego.

Stanowisko Sądu odsyłającego

1. Zwrócić należy uwagę na istotę wskazanych w art. 7, 8 i 11 Karty Praw Podstawowych Unii Europejskiej prawa do prywatności, ochrony danych osobowych i wolność wypowiedzi oraz na ich fundamentalne znaczenie dla społeczeństwa demokratycznego. Zgodnie z art. 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej, „wszelkie ograniczenia w korzystaniu z praw i wolności uznanych w niniejszej Karcie muszą być przewidziane ustawą i szanować istotę tych praw i wolności. Z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób.” Jasnym staje się zatem, że o ile dopuszczalne byłyby takie uregulowania krajowe, które z uwagi np. przeciwdziałanie przestępczości ograniczałyby w/w prawa i wolności pewnych jednostek, o tyle sporne uregulowanie prawa krajowego nie spełnia zasady proporcjonalności i konieczności i znacząco narusza podstawowe prawa i wolności przyznane na podstawie Karty Praw Podstawowych UE. Takie stanowisko wydaje się potwierdzać sam Wysoki Trybunał, w wyżej wskazanym wyroku z 20 września 2022 roku, w sprawie o sygn. akt C-793/19. Zdaniem Sądu odsyłającego, do niniejszej sprawy można zastosować regułę płynącą z przytoczonego wyżej wyroku.

2. Mając powyższe na uwadze, zasadną, zdaniem Sądu odsyłającego, zdaje się następująca odpowiedź na pytanie prawne: Art. 15 ust. 1 Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 roku dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności) zmienionej Dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25 listopada 2009 roku w związku z art. 7,8 i 11 i 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, które nakłada na operatorów dostępnych publicznie usług łączności elektronicznej prewencyjny, niezindywidualizowany, ogólnospołeczny, nieograniczony czasowo bądź miejscowo obowiązek zatrzymywania danych o ruchu i danych o lokalizacji użytkowników końcowych tych usług, jeżeli obowiązek ten dotyczy danych niezbędnych do określenia daty i godziny połączenia, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego, a przedsiębiorca telekomunikacyjny ma obowiązek na własny koszt zatrzymywać i przechowywać powyższe dane generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane na terytorium Rzeczypospolitej Polskie, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi”

PROVISION
13 November 2025

The District Court in Gdańsk, 1st Civil Division, in the following composition:
presiding Judge: Judge Beata Szymańska – Cybulska delegated after hearing on 13 November 2025 in Gdańsk
in closed session
action brought by MR
against TM
for an injunction
decided:

to refer the following question of law to the Court of Justice of the European Union, pursuant to Article 267 of the Treaty on the Functioning of the European Union:

“whether Article 15(1) Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 roku dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności) zmienionej Dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z 25 listopada 2009 roku w związku z art. 7,8 i 11 i 52 ust. 1 of the Charter of Fundamental Rights of the European Union must be interpreted as precluding national legislation which imposes on operators of publicly available electronic communications services a preventive, non-personalised, general public obligation, unlimited as to time or place, to retain traffic and location data relating to the end-users of such services, in so far as that obligation relates to data necessary to identify the date and time of a communication the type of connection, the location of the telecommunications terminal equipment, and the telecommunications undertaking shall be obliged, at its own expense, to retain and store the abovementioned data generated in the public telecommunications network or processed by it on the territory of the Republic of Poland, for a period of 12 months, counting from the date of connection or unsuccessful connection attempt, and on the expiry of this period to destroy the data, except for those which were secured, in accordance with separate provisions”

JUSTIFICATION

order of 30 october 2025

on an application to the Court of Justice of the European Union for a question of law
of law the Referring Court:

Parties to the proceedings and their representatives:
Claimant: MR
Claimant’s procedural representative: AZR, lawyer
Defendant: TM
Defendant’s procedural representative: counsel MM
Subject matter of the dispute in the main proceedings:

The plaintiff, as a customer of the defendant and a user of the telecommunications services provided by the defendant, sought an order that the defendant bring the activities and scope of the processing of the plaintiff’s personal data into line with the law, by ceasing the collection and storage of personal data carried out under national legislation.

Subject-matter of the request for a ruling on the legal question

Interpretation of Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 (as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009) in conjunction with Articles 7, 8, 11 and 52(1) of the Charter of Fundamental Rights of the European Union.

European Union legislation:

Charter of Fundamental Rights of the European Union

Article 7
Everyone has the right to respect for his or her private and family life, home and communications.

Article 8
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and with the consent of the person concerned or on any other legitimate basis laid down by law. Everyone has the right of access to data collected concerning him or her and the right to have it rectified.
Article 11
1. Everyone has the right to freedom of expression. This right shall include freedom to hold opinions
and to receive and impart information and ideas without interference by public authority and regardless of frontiers.
Article 52
1. Any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others.

Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 (as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009)

Article 15
1. Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Articles 5, 6, 8(1) to (4), and 9 of this Directive when such restrictions constitute a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security and the prevention, investigation, detection and prosecution of criminal offences or of unauthorised use of the electronic communication systems, as referred to in Article 13(1) of Directive 95/46/EC. To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. All measures referred to in this paragraph shall comply with the general principles of Community law, including those laid down in Article 6(1) and (2) of the Treaty on European Union.

National legislation:
Law of 12 July 2024 Electronic Communications Law

Article 47
1. A telecommunication entrepreneur, with the exclusion of entities referred to in the provisions issued pursuant to Article 49 (2), shall be obliged, at his own expense:
1) retain and store the data referred to in Article 49 (1), generated in the public telecommunication network or processed by it, on the territory of the Republic of Poland, for a period of 12 months, counting from the date of connection or unsuccessful connection attempt, and on the expiry of this period, destroy the data, except for those which have been secured, in accordance with separate provisions;
2) provide access to the data referred to in point 1 to authorised entities, as well as to the court and the public prosecutor, in accordance with the requirements specified in the provisions issued on the basis of Article 49 paragraph 3, and pursuant to the principles and in accordance with the procedure specified in separate provisions;
3) protect the data referred to in paragraph 1 against accidental or unlawful destruction, loss or alteration, unauthorised or unlawful storage, processing, access or disclosure, in accordance with the provisions of paragraph 5, Articles 386-405 and by taking technical and organisational measures referred to in Article 39 paragraph 2 point 3.
2. The obligations referred to in paragraph 1 shall be governed by the data on completed and unsuccessful call attempts referred to in Article 386(1)(5).
3. The obligations referred to in paragraph 1 shall be carried out in a manner which does not disclose the
electronic communication.
4. The provision of the data referred to in paragraph 1, point 2 may be effected by means of
electronic communication means, unless separate provisions provide otherwise.

5. In order to protect the data referred to in paragraph 1 point 3, the telecommunications undertaking shall apply
appropriate technical and organisational measures and provide access to such data only to
authorised employees only.

Article 49
1. The obligation referred to in Article 47 (1) shall cover data relating to publicly available
telecommunications services necessary to:
1) uniquely identify the network termination, the telecommunications terminal equipment and the end-user:
(a) who initiates the call,
b) to whom the call is directed;
2) to identify:
(a) the date and time of the call and its duration,
b) the type of connection,
c) the location of the telecommunications terminal equipment.

Reason for the legal question:
1. The starting point for the main proceedings before the referring court is to determine whether the national regulations are in conflict with the Community regulations, for only that would subsequently open the way for the referring court to rule on the admissibility of the applicant’s claim.
2. on 10 November 2024, national legislation entered into force, imposing an obligation on telecommunications undertakings to retain, store, make available and protect data on users of their telecommunications networks which are necessary to identify unambiguously the network termination point, the telecommunications terminal equipment and the end-user originating the call and to whom the call is directed, as well as data necessary to determine the date and time of the call and its duration, the type of call and the location of the telecommunications terminal equipment. The national regulations do not impose any limitation either on the persons to be specifically or quantitatively affected, or on the reason for such action. They are of a general and absolute nature.
3. Meanwhile, Community regulations attribute an essential role to the protection of personal data, allowing for the possibility of limiting it only in specific cases, e.g. in connection with the need to ensure national security.
4. This is also underlined by the judgment of the Court of Justice of the European Union of 20 September 2022, in case no. C-793/19, in which it ruled that ‘Article 15(1) of Directive 2002/58 on privacy and electronic communications, as amended by Directive 2009/136, read in conjunction with Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights of the European Union. 1 of the Charter of Fundamental Rights of the European Union must be interpreted as precluding national legislative measures which, for the purposes of combating serious crime and preventing serious threats to public security, provide for the preventive generalised and indiscriminate retention of traffic and location data.

National legislative measures are not incompatible with it:
– enabling, for the protection of national security, the use of a generalised and indiscriminate warrant for electronic communications service providers to retain traffic and location data in situations where a Member State faces a serious threat to national security, which is either actual and timely or foreseeable, and where the decision to issue such a warrant can be effectively reviewed by a
court or by an independent administrative authority whose decision has binding effect, with a view to verifying the existence of one of those situations and that the conditions and safeguards which
should be provided for, and the said order may be issued only for a limited period of time limited to what is strictly necessary, but with the possibility of renewal in the event that the threat persists;
– providing, for the purpose of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data, the limits of which are set on the basis of objective and non-discriminatory grounds in relation to the number of data subjects or geographic criteria, for a period limited to what is strictly necessary but renewable;
– providing, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the generalised and non-differentiated retention of IP addresses allocated to a connection source, for a period limited to what is strictly necessary; and
necessary;
– providing, for the purposes of safeguarding national security, combating crime and protecting public security, for the generalised and indiscriminate retention of data concerning the civil identity of users of electronic communications; and
– making it possible, in order to combat serious crime and, a fortiori, to protect national security, to order, by means of a decision of a competent authority subject to effective judicial review, the providers of electronic communications services to retain rapidly for a limited period of time traffic and location data held by those service providers, insofar as the measures provide, by means of clear and precise provisions, that the related retention is subject to material and procedural conditions and that effective safeguards are in place to protect data subjects against the risk of abuse.”
5. The Community standards governing the protection of personal data do not provide a clear answer to the question of the permissibility of limiting the scope of protection of such data in the manner regulated by the legislation of the Republic of Poland. Depending on how the EU rules are interpreted, there may be a conflict between them and national law, and this may have a significant impact on the outcome of the main proceedings before the referring court. The need therefore arises for the High Court to address the legal question at issue.

The position of the Court of Reference

1. It is important to note the essence of the rights to privacy, protection of personal data and freedom of expression set out in Articles 7, 8 and 11 of the Charter of Fundamental Rights of the European Union and their fundamental importance for a democratic society. According to Article 52(1) of the Charter of Fundamental Rights of the European Union, “any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others.” It thus becomes clear that, while it would be permissible for national legislation to restrict the above-mentioned rights and freedoms of certain individuals for the sake of, for example, preventing crime, the national legislation at issue does not comply with the principle of proportionality and necessity and substantially infringes the fundamental rights and freedoms granted under the EU Charter of Fundamental Rights. This position seems to be confirmed by the High Court itself, in the aforementioned judgment of 20 September 2022, in Case C-793/19. In the view of the Referring Court, the rule of the aforementioned judgment can be applied to the present case.

2. In view of the foregoing, the following answer to the question of law appears, in the opinion of the Referring Court, to be justified: Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in conjunction with Articles 7, 8 and 11 and 52(1) of the Charter of Fundamental Rights of the European Union, should be applied to the present case. 1 of the Charter of Fundamental Rights of the European Union must be interpreted as precluding national legislation which imposes on operators of publicly available electronic communications services a preventive, non-personalised, general public obligation, unlimited as to time or place, to retain traffic and location data relating to the end-users of such services, in so far as that obligation relates to data necessary to establish the date and time of a communication the type of connection, the location of the telecommunications terminal equipment, and the telecommunications undertaking shall be obliged, at its own expense, to retain and store the abovementioned data generated in the public telecommunications network or processed by it on the territory of the Republic of Poland, for a period of 12 months, counting from the date of connection or unsuccessful connection attempt, and on the expiry of this period to destroy the data, except for those which were secured, in accordance with separate provisions”