Art. 23

1.   Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard:

(a) national security;

(b) defence;

(c) public security;

(d) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

(e) other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security;

(f) the protection of judicial independence and judicial proceedings;

(g) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;

(h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g);

(i) the protection of the data subject or the rights and freedoms of others;

(j) the enforcement of civil law claims.

2.   In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to:

(a) the purposes of the processing or categories of processing;

(b) the categories of personal data;

(c) the scope of the restrictions introduced;

(d) the safeguards to prevent abuse or unlawful access or transfer;

(e) the specification of the controller or categories of controllers;

(f) the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing;

(g) the risks to the rights and freedoms of data subjects; and

(h) the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction

Art. 13

1. Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6 (1), 10, 11 (1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:

(a) national security;

(b) defence;

(c) public security;

(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;

(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;

(f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);

(g) the protection of the data subject or of the rights and freedoms of others.

2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.

Art. 23

Begrensninger

1. Unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige eller databehandleren er underlagt, kan ved lovgivningsmessige tiltak begrense rekkevidden av forpliktelsene og rettighetene fastsatt i artikkel 12–22 og artikkel 34 samt i artikkel 5 i den grad dens bestemmelser svarer til rettighetene og pliktene fastsatt i artikkel 12–22, når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre

a) den nasjonale sikkerhet,

b) forsvaret,

c) den offentlige sikkerhet,

d) forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet,

e) andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat, særlig Unionens eller en medlemsstats viktige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker, folkehelse og trygdespørsmål,

f) beskyttelse av rettsvesenets uavhengighet samt retterganger,

g) forebygging, etterforskning, avsløring og straffeforfølging av brudd på yrkesetiske regler i lovregulerte yrker,

h) en kontroll-, tilsyns- eller reguleringsfunksjon som, også midlertidig, er knyttet til utøvelse av offentlig myndighet i tilfellene nevnt i bokstav a)–e) og g),

i) vern av den registrertes interesser eller andres rettigheter og friheter,

j) håndheving av sivilrettslige krav.

2. Alle lovgivningsmessige tiltak nevnt i nr. 1 skal, når det er relevant, minst inneholde særlige bestemmelser om

a) formålene med behandlingen eller kategorier av behandling,

b) kategoriene av personopplysninger,

c) omfanget av begrensningene som er innført,

d) garantiene for å unngå misbruk eller ulovlig tilgang eller overføring,

e) spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige,

f) lagringsperioder og gjeldende garantier, idet det tas hensyn til arten, omfanget av og formålene med behandlingen eller kategoriene av behandling,

g) risikoene for de registrertes rettigheter og friheter og

h) de registrertes rett til å bli underrettet om begrensningen, med mindre dette kan skade formålet med begrensningen.

Art. 3

(…)

§ 3. Les articles 6 à 10, 12, 14, 15, 17, 17bis, alinéa 1er, 18, 20 et 31, §§ 1er à 3, ne s'appliquent pas aux traitements de données à caractère personnel gérés par la Sûreté de l'Etat, par le Service général du renseignement et de la sécurité des forces armées, par (les autorités visées aux articles 15, 22ter et 22quinquies de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité et l'organe de recours créé par la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité), par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et son Service d'enquêtes, (ainsi que par l'Organe de coordination pour l'analyse de la menace,) lorsque ces traitements sont nécessaires à l'exercice de leurs missions.

§ 5. Les articles 9, 10, § 1er, et 12 ne s'appliquent pas :

  1° aux traitements de données à caractère personnel gérés par des autorités publiques en vue de l'exercice de leurs missions de police judiciaire;

  2° aux traitements de données à caractère personnel gérés par les services de police visés à l'article 3 de la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignements, en vue de l'exercice de leurs missions de police administrative;

  3° aux traitements de données à caractère personnel gérés en vue de l'exercice de leurs missions de police administrative, par d'autres autorités publiques qui ont été désignées par arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;

  4° aux traitements de données à caractère personnel rendus nécessaires par la loi du 11 janvier 1993 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux;

  5° au traitement de données à caractère personnel géré par le Comité permanent de contrôle des services de police et par son Service d'enquêtes en vue de l'exercice de leurs missions légales.

  § 6. Les articles 6, 8, 9, 10, § 1er, et 12 ne sont pas applicables après autorisation accordée par le Roi par arrêté délibéré en Conseil des ministres, aux traitements gérés par le Centre européen pour enfants disparus et sexuellement exploités, ci-après dénommé "le Centre", établissement d'utilité publique constitué par acte du 25 juin 1997 et reconnu par arrêté royal du 10 juillet 1997, pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit. Cet arrêté détermine la durée et les conditions de l'autorisation après avis de la Commission de la protection de la vie privée

  Le Centre ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées.

  Le conseil d'administration du Centre désigne parmi les membres du personnel du Centre un préposé à la protection des données ayant connaissance de la gestion et de la protection des données à caractère personnel. L'exercice de ses missions ne peut entraîner pour le préposé des désavantages. Il ne peut, en particulier, être licencié ou remplacé comme préposé à cause de l'exécution des tâches qui lui sont confiées. Le Roi détermine par arrêté délibéré en Conseil des ministres et après avis de la Commission de la protection de la vie privée les tâches du préposé et la manière dont ces tâches sont exécutées ainsi que la manière dont le Centre doit faire rapport à la Commission de la protection de la vie privée sur le traitement des données à caractère personnel effectué dans le cadre de l'autorisation accordée.

  Les membres du personnel et ceux qui traitent des données à caractère personnel pour le Centre sont tenus au secret.

  Toute violation de ce secret sera sanctionnée conformément aux dispositions de l'article 458 du Code pénal.

  Dans le cadre de ses missions d'appui à la recherche d'enfants signalés comme disparus ou enlevés, le Centre ne peut procéder à l'enregistrement de conversations téléphoniques si l'appelant en a été informé et dans la mesure où il ne s'y oppose pas.

  § 7. [1 Sans préjudice de l'application de dispositions légales particulières, l'article 10 n'est pas applicable aux traitements de données à caractère personnel gérés par le Service public fédéral Finances pendant la période durant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales, dans la mesure où cette application nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires et pour leur seule durée.

   La durée de ces actes préparatoires pendant laquelle ledit article 10 n'est pas applicable, ne peut excéder un an à partir de la demande introduite en application de cet article 10.

   Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée à l'alinéa 1er, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête ou dès la clôture des actes préparatoires lorsque ceux-ci n'ont pas abouti à un contrôle ou une enquête. Le Service de Sécurité de l'Information et Protection de la Vie Privée en informe le contribuable concerné sans délai et lui communique dans son entièreté la motivation contenue dans la décision du responsable du traitement ayant fait usage de l'exception.