Dyrektywa, zdaniem Trybunału Sprawiedliwości UE, stanowi ingerencję o znacznym zakresie i szczególnej wadze w podstawowe prawa do poszanowania życia prywatnego i do ochrony danych osobowych, przy czym ingerencja ta nie ogranicza się do tego, co ściśle niezbędne.
Zasadniczym celem dyrektywy 2006/24/WE jest harmonizacja przepisów państw członkowskich w dziedzinie zatrzymywania danych generowanych lub przetwarzanych przez przedsiębiorców telekomunikacyjnych. Dąży ona do zapewnienia dostępności takich danych do celów zapobiegania poważnym przestępstwom, takim jak w szczególności przestępczość zorganizowana i terroryzm, oraz do celów dochodzenia, wykrywania i ścigania takich przestępstw. Zatem zgodnie z przepisami dyrektywy, wspomniani przedsiębiorcy powinni zatrzymywać dane o ruchu i lokalizacji oraz dane niezbędne do identyfikacji abonenta lub użytkownika. Co ważne podkreślenia - dyrektywa ta nie zezwala na zatrzymywanie treści komunikatów i uzyskiwanych informacji.
Trybunał Sprawiedliwości Unii Europejskiej uznał, że nakładając obowiązek zatrzymywania danych i umożliwiając dostęp do nich właściwym organom krajowym, dyrektywa ingeruje w sposób szczególnie poważny w prawa podstawowe do poszanowania życia społecznego i do ochrony danych osobowych. Ponadto okoliczność, że zatrzymywanie i późniejsze wykorzystywanie danych jest dokonywane bez poinformowania o tym abonenta i zarejestrowanego użytkownika, może wywołać u zainteresowanych osób poczucie, iż ich życie prywatne podlega stałemu nadzorowi.
Trybunał Sprawiedliwości UE stwierdził, że przewidziane dyrektywą zatrzymywanie danych nie narusza zasadniczej treści praw podstawowych do poszanowania życia prywatnego i do ochrony danych osobowych. Dyrektywa nie pozwala bowiem na zapoznawanie się z treścią komunikatów elektronicznych jako taką i stanowi, że dostawcy usług lub sieci powinni przestrzegać określonych zasad ochrony i bezpieczeństwa danych. Co więcej, zatrzymanie danych w celu ich ewentualnego udostępnienia właściwym organom krajowym rzeczywiście odpowiada celowi w postaci interesu ogólnego, jakim jest zwalczanie poważnej przestępczości oraz - ostatecznie - bezpieczeństwo publiczne. Jednakże, zdaniem Trybunału, przyjmując dyrektywę w sprawie zatrzymywania danych, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności.
TSUE stwierdził, że dyrektywa nie przewiduje żadnego zróżnicowania, ograniczenia lub wyjątku w zależności od celu dotyczącego zwalczania poważnych przestępstw.
Jednocześnie stwierdził, że dyrektywa nie przewiduje żadnego kryterium gwarantującego, że właściwe organy krajowe będą miały dostęp do danych i mogły je wykorzystywać wyłącznie do zapobiegania przestępstwom, które mogą być uważane w świetle zakresu i wagi ingerencji w omawiane prawa podstawowe za wystarczająco poważne, by uzasadnić taką ingerencję, oraz do wykrywania i ścigania karnego takich przestępstw. Przeciwnie, dyrektywa ogranicza się do odesłania w sposób ogólny do pojęcia „poważnych przestępstw” zdefiniowanych przez każde państwo członkowskie w jego prawie krajowym. Dyrektywa nie przewiduje również materialnych i proceduralnych przesłanek dostępu właściwych krajowych organów do danych podlegających retencji. Dostęp do danych nie jest w szczególności podporządkowany uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
Trybunał Sprawiedliwości UE wskazał, że dyrektywa przewiduje okres co najmniej sześciu miesięcy na zatrzymanie danych, przy czym nie przeprowadza jakiegokolwiek rozróżnienia pomiędzy kategoriami danych w zależności od zainteresowanych osób lub ewentualnej użyteczności danych w stosunku do zakładanego celu. Ponadto okres ten wynosi od co najmniej sześciu miesięcy do co najwyżej dwudziestu czterech miesięcy, przy czym dyrektywa nie precyzuje obiektywnych kryteriów, na podstawie których należy ustalić okres zatrzymywania, by zagwarantować jego ograniczenie do tego, co ściśle niezbędne.
TSUE stwierdził też, że dyrektywa nie przewiduje wystarczających gwarancji umożliwiających zapewnienie skutecznej ochrony danych przed niebezpieczeństwem nadużycia oraz przed jakimkolwiek dostępem do danych i ich wykorzystywaniem w sposób niedozwolony. Ocenił również krytycznie to, że dyrektywa nie nakłada obowiązku, by dane były zatrzymywane na obszarze Unii. Obecnie trwa analiza wpływu orzeczenia na prawo krajowe w zakresie retencji danych i prawa właściwych organów krajowych do dostępu do takich danych.