Art. 26. 1. Przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą komunikacji elektronicznej, z wyłączeniem komunikatu elektronicznego, w celu identyfikacji, zapobiegania i zwalczania nadużyć w komunikacji elektronicznej. 2. Przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać komunikat elektroniczny w celu identyfikacji, zapobiegania i zwalczania smishingu oraz wiadomości multimedialnych (MMS), o których mowa w art. 9 ust. 2. 3. Przedsiębiorca telekomunikacyjny może przetwarzać:
1) treść krótkich wiadomości tekstowych (SMS),
2) treść wiadomości multimedialnych (MMS) oraz
3) informacje o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku z realizacją obowiązków, o których mowa w art. 6, art. 13 i art. 16, lub uprawnień, o których mowa w art. 9
– w celu realizacji obowiązków, o których mowa w art. 3 ust. 3, art. 6, art. 13 i art. 16, oraz uprawnień, o których mowa w art. 9, a także w celach związanych z dochodzeniem roszczeń. 4. Przetwarzanie, o którym mowa w ust. 3, jest dopuszczalne tylko do końca okresu, w którym jest możliwe dochodzenie roszczeń. 5. Do przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych przepisu art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.3)) nie stosuje się w zakresie, w jakim jest to niezbędne dla identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej. 6. Przedsiębiorca telekomunikacyjny może wykonać obowiązki, o których mowa w art. 14 ust. 1 i 2 rozporządzenia wymienionego w ust. 5, przez udostępnienie informacji, o których mowa w tych przepisach, na swojej stronie internetowej lub przez umieszczenie stosownych informacji w miejscach widocznych w siedzibie lub miejscu działania administratora danych osobowych, w zakresie, w jakim dotyczy to danych osobowych pozyskanych w ramach identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej.