Artykuł 23

1.

Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w Artykuł 12–22 i w Artykuł 34, a także w Artykuł 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w Artykuł 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

a)

bezpieczeństwu narodowemu;

b)

obronie;

c)

bezpieczeństwu publicznemu;

d)

zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;

e)

innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;

f)

ochronie niezależności sądów i postępowania sądowego;

g)

zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;

h)

funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) – e) oraz g);

i)

ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;

j)

egzekucji roszczeń cywilnoprawnych.

2.

W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

a)

celach przetwarzania lub kategorii przetwarzania;

b)

kategoriach danych osobowych;

c)

zakresie wprowadzonych ograniczeń;

d)

zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

e)

określeniu administratora lub kategorii administratorów;

f)

okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g)

ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz

h)

prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.