Unia Europejska przygotowuje sobie grunt pod kolejne rozszerzenie obowiązków tzw. retencji danych, które tym razem ma objąć nie tylko operatorów telekomunikacyjnych, ale również dostawców VPN, komunikatorów internetowych oraz usług chmurowych. Zgodnie z ujawnionymi dokumentami i zapowiedziami instytucji UE, państwa członkowskie dążą do umożliwienia organom ścigania szerszego i dłuższego dostępu do danych użytkowników, argumentując to walką z przestępczością i zagrożeniami dla bezpieczeństwa. Krytycy ostrzegają, iż proponowane zmiany mogą uderzyć w podstawowe zasady prywatności, podważyć sens usług deklarujących brak logów („no logs policy”) oraz prowadzić do masowego, prewencyjnego gromadzenia danych o obywatelach – niezależnie od tego, czy są oni przedmiotem jakiegokolwiek postępowania.
Zapowiedzi rozszerzenia retencji danych nie pojawiają się w próżni prawnej, ale stanowią kolejną próbę obejścia lub „dostosowania” istniejących ram prawnych, które od lat ograniczają masowe gromadzenie danych o użytkownikach. Trybunał Sprawiedliwości UE wielokrotnie orzekał, iż powszechna i niezróżnicowana retencja danych jest niezgodna z prawem UE, naruszając Kartę Praw podstawowych, w szczególności prawo do prywatności i ochrony danych osobowych. Zgodnie z aktualną wykładnią, gromadzenie danych jest dopuszczalne wyłącznie w sposób celowany, proporcjonalny i ściśle powiązany z realnym zagrożeniem dla bezpieczeństwa państwa.
Mimo to państwa członkowskie od lat próbują utrzymać lub przywrócić szeroki dostęp do danych, wykorzystując luki regulacyjne oraz przesuwając ciężar obowiązków z operatorów telekomunikacyjnych na inne kategorie usług cyfrowych. VPN-y, komunikatory internetowe i usługi chmurowe (dotąd funkcjonujące głównie w reżimie RODO i przepisów o usługach cyfrowych) coraz częściej postrzegane są jako źródła danych, które mogłyby zastąpić ograniczoną retencję telekomunikacyjną.
W tym kontekście zapowiadane inicjatywy legislacyjne nie oznaczają zerwania z dotychczasową linią prawną, ale raczej próbę jej obejścia poprzez redefinicję zakresu podmiotów objętych obowiązkami retencyjnymi. Rozszerzenie tych obowiązków na innych dostawców rodzi zasadnicze pytania o zgodność nowych regulacji z Kartą praw podstawowych UE, RODO oraz utrwalonym orzecznictwem TSUE, a także o faktyczny sens usług, które z definicji miały zapewniać użytkownikom prywatność i minimalizację przetwarzania danych.
Dokument wewnętrzny Rady UE z 27 listopada 2025 r. pokazuje, iż państwa członkowskie zgadzają się co do potrzeby nowego ramowego podejścia do przechowywania danych. Projekt legislacyjny (specyficznie proponowane przepisy) ma zostać opublikowany do końca pierwszej połowy 2026 r.
Czego dotyczy proponowane rozszerzenie obowiązków?
Na podstawie dostępnych źródeł można objaśnić najważniejsze elementy, które są przedmiotem debaty:
Proponowane regulacje mają na celu, aby usługodawcy, w tym dostawcy VPN, przechowywali dłużej i w bardziej szczegółowy sposób informacje o użytkownikach.
Chodzi o dane, które mogą powiązać użytkownika z jego aktywnością online np. adresy IP, znaczniki czasu połączenia, które serwery zostały użyte itp.
Co jeszcze? → VPN jako „cel” nowych regulacji
Hub.xeovo.com twierdzi, iż obecne ustalenia sugerują, iż nawet VPN-y, które deklarują politykę „no logs” (bez zapisywania aktywności), mogłyby zostać objęte obowiązkiem przechowywania określonych danych. Takie obowiązki mogą diametralnie zmienić model działania najpopularniejszych VPN-ów i podważać ich podstawową funkcję jaką jest zapewnienie prywatności i anonimowości użytkowników.
Niektóre komentujące środowiska VPN z branży uważają, iż to mogłoby sprawić, iż „no-log” VPN-y staną się praktycznie niemożliwe do oferowania w UE albo prowadziłyby do wycofania usług z rynku UE.
Propozycja ta (kontekst szerszej strategii bezpieczeństwa UE) jest częścią inicjatywy bezpieczeństwa, znanej jako ProtectEU, której celem jest zapewnienie „praworządnego i skutecznego” dostępu organów ścigania do danych. W ramach tej strategii przewiduje się też działania dotyczące interoperacyjności służb, forensics, deszyfrowania i narzędzi AI przy analizie danych, które służby mogą pozyskać.
Reakcja branży CYBER
Eksperci ds. prywatności i sektor VPN publicznie wyrażali głębokie obawy, iż takie przepisy zagrażają fundamentalnym zasadom prywatności i bezpieczeństwa. Organizacje branżowe podkreślają, iż osłabienie zasad silnego szyfrowania lub zmuszenie usług do przechowywania danych użytkowników zwiększa ryzyko nadużyć i podatności na wycieki danych.
Wpływ przepisów nie pozostało prawnie ustalony bo trwa proces legislacyjny, który wymaga akceptacji Rady UE i Parlamentu Europejskiego. W pierwszej połowie 2026 r. możemy spodziewać się oficjalnych propozycji legislacyjnych, które dokładniej określą zakres i obowiązki. Ostateczna wersja może się znacząco różnić, ale branża i eksperci sygnalizują, iż może to przekształcić rynek VPN i prywatność obywateli UE.
