Artikkel 23. Begrensninger

Sammendrag: EU- eller nasjonal lovgivning kan begrense plikter og rettigheter etter GDPR artikkel 12-22 og 34 etter ulike grunner som viktige allmenne formål, håndhevelse av sivile krav, straffeforfølging, offentlig sikkerhet, forsvar mv. Det er krav til innholdet i lovbestemmelser som gjør slike begrensninger.

1. Unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige eller databehandleren er underlagt, kan ved lovgivningsmessige tiltak begrense rekkevidden av forpliktelsene og rettighetene fastsatt i artikkel 1222 og artikkel 34 samt i artikkel 5 i den grad dens bestemmelser svarer til rettighetene og pliktene fastsatt i artikkel 1222, når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre

a) den nasjonale sikkerhet,

b) forsvaret,

c) den offentlige sikkerhet,

d) forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet,

e) andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat, særlig Unionens eller en medlemsstats viktige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker, folkehelse og trygdespørsmål,

f) beskyttelse av rettsvesenets uavhengighet samt retterganger,

g) forebygging, etterforskning, avsløring og straffeforfølging av brudd på yrkesetiske regler i lovregulerte yrker,

h) en kontroll-, tilsyns- eller reguleringsfunksjon som, også midlertidig, er knyttet til utøvelse av offentlig myndighet i tilfellene nevnt i bokstav a)-e) og g),

i) vern av den registrertes interesser eller andres rettigheter og friheter,

j) håndheving av sivilrettslige krav.

2. Alle lovgivningsmessige tiltak nevnt i nr. 1 skal, når det er relevant, minst inneholde særlige bestemmelser om

a) formålene med behandlingen eller kategorier av behandling,

b) kategoriene av personopplysninger,

c) omfanget av begrensningene som er innført,

d) garantiene for å unngå misbruk eller ulovlig tilgang eller overføring,

e) spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige,

f) lagringsperioder og gjeldende garantier, idet det tas hensyn til arten, omfanget av og formålene med behandlingen eller kategoriene av behandling,

g) risikoene for de registrertes rettigheter og friheter og

h) de registrertes rett til å bli underrettet om begrensningen, med mindre dette kan skade formålet med begrensningen.

Relevante bestemmelser

Relevante bestemmelser

Personopplysningsloven § 16 og 17

Relevante fortalepunkter

Forholdet til nasjonal rett*

8. Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemsstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.
*ikke offisiell overskrift

Begrensninger i de registrertes rettigheter etter nasjonal lov*

73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift

Engelsk tekst

Article 23. Restrictions

1. Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22 , when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard:

(a) national security;

(b) defence;

(c) public security;

(d) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

(e) other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;

(f) the protection of judicial independence and judicial proceedings;

(g) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;

(h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g);

(i) the protection of the data subject or the rights and freedoms of others;

(j) the enforcement of civil law claims.

2. In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to:

(a) the purposes of the processing or categories of processing;

(b) the categories of personal data;(c) the scope of the restrictions introduced;

(d) the safeguards to prevent abuse or unlawful access or transfer;

(e) the specification of the controller or categories of controllers;

(f) the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing;

(g) the risks to the rights and freedoms of data subjects; and

(h) the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction.

< Artikkel 22 | Artikkel 24 >