1. Przedsiębiorca telekomunikacyjny, z wyłączeniem podmiotów, o których mowa w przepisach wydanych na podstawie art. 49 ust. 2, jest obowiązany na własny koszt:
1) zatrzymywać i przechowywać dane, o których mowa w art. 49 ust. 1, generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;
2) udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także sądowi i prokuratorowi, zgodnie z wymaganiami określonymi w przepisach wydanych na podstawie art. 49 ust. 3, oraz na zasadach i w trybie określonych w przepisach odrębnych;
3) chronić dane, o których mowa w pkt 1, przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, zgodnie z przepisami ust. 5, art. 386–405 oraz podejmując środki techniczne i organizacyjne, o których mowa w art. 39 ust. 2 pkt 3.
2. Obowiązkom, o których mowa w ust. 1, podlegają dane dotyczące połączeń zrealizowanych i nieudanych prób połączeń, o których mowa w art. 386 ust. 1 pkt 5.
3. Obowiązki, o których mowa w ust. 1, realizowane są w sposób, który nie powoduje ujawniania komunikatu elektronicznego.
4. Udostępnianie danych, o którym mowa w ust. 1 pkt 2, może nastąpić za pomocą środków komunikacji elektronicznej, chyba że odrębne przepisy stanowią inaczej.
5. W celu ochrony danych, o której mowa w ust. 1 pkt 3, przedsiębiorca telekomunikacyjny stosuje właściwe środki techniczne i organizacyjne oraz zapewnia dostęp do tych danych jedynie upoważnionym pracownikom.