Det europeiske personvernrådet har vedtatt retningslinjer om begrensninger etter artikkel 23 i personvernforordningen. Retningslinjene tydeliggjør i hvilken grad europeisk og nasjonal rett kan begrense rekkevidden av noen av forpliktelsene og rettighetene fastsatt i personvernforordningen.
Generelt gir personvernforordningen (GDPR) virksomheter en rekke plikter og enkeltpersoner en rekke rettigheter. Europeisk eller nasjonal rett (f.eks. norsk rett), som en behandlingsansvarlig virksomhet eller databehandler er underlagt, kan imidlertid begrense rekkevidden av forpliktelsene og rettighetene i regelverket i noen tilfeller. For eksempel kan noen plikter og rettigheter begrenses i tilfeller der det anses som et nødvendig tiltak for å sikre nasjonal sikkerhet.
Begrensninger er regulert i artikkel 23 i personvernforordningen (lovdata.no). Personvernrådet (EDPB) har nå vedtatt retningslinjer som gir nærmere veiledning om anvendelse av artikkelen. Retningslinjene er endelig vedtatt etter å ligget ute på offentlig høring.
Retningslinjene veileder i flere forhold rundt bruk av artikkel 23 i forordningen. De inneholder en analyse av kriteriene for en lovgivers mulighet til å anvende begrensningene som er listet opp i lovteksten, en rekke vurderinger som lovgiveren må identifisere og gjennomføre ved anvendelse av slike begrensninger, og hvordan en registrert kan utøve sine rettigheter idet en begrensning oppheves. Retningslinjene går også nærmere inn på konsekvenser for brudd på artikkel 23.
I tillegg går retningslinjene nærmere inn på bestemmelsene som må være inkludert i alle lovgivningsmessige tiltak som innfører begrensninger etter artikkel 23 i GDPR.
Retningslinjene kan lastes ned på engelsk fra Personvernrådet sine nettsider (edpb.europa.eu).