1. Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir sudaryti sąlygas laisvam asmens duomenų judėjimui.

2. Šis įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus. Įstatymas nustato fizinių asmenų, kaip duomenų subjektų, teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų (taip pat įmonių, neturinčių juridinio asmens teisių) teises, pareigas ir atsakomybę tvarkant asmens duomenis.

3. Šis įstatymas taikomas:

4. Šis įstatymas netaikomas, jeigu asmens duomenys tvarkomi:

1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

2. Ypatingi asmens duomenys – duomenys apie fizinio asmens rasinę ir etninę kilmę, politinius, religinius, filosofinius ar kitus įsitikinimus, narystę profesinėse sąjungose ir politinėse partijose, sveikatą, lytinį gyvenimą, teistumą.

3. Duomenų valdytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie vieni arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones, tvarko asmens duomenis.

4. Duomenų tvarkytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie yra duomenų valdytojo įgalioti tvarkyti asmens duomenis.

5. Duomenų gavėjas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kuriems teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 25 straipsniuose, taip pat 14 straipsnyje nurodyta Ryšių reguliavimo tarnyba nėra duomenų gavėjai, kai šios institucijos gauna asmens duomenis jų tvarkymo kontrolės tikslu.

6. Sutikimas – savanoriškas duomenų subjekto leidimas tvarkyti jo asmens duomenis jam žinomu tikslu. Dėl ypatingų asmens duomenų sutikimas išreiškiamas rašytine forma, dėl kitų asmens duomenų – bet kokia forma.

7. Trečiasis asmuo – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją.

8. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas ar naikinimas arba veiksmų rinkinys.

9. Duomenų teikimas – asmens duomenų atskleidimas, perdavimas, sąlygų susipažinti su jais sudarymas įvairiomis priemonėmis.

10. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

11. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių–finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

12. Išankstinė patikra – procedūrų, numatomų naudoti tvarkant asmens duomenis, išankstinis patikrinimas siekiant nustatyti jų veiksmingumą ir teisingumą.

13. Tiesioginė rinkodara – veikla, kuri skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

Duomenų valdytojo pareiga yra užtikrinti, kad asmens duomenys būtų:

1. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.

2. Asmens duomenų perdavimo valstybiniams archyvams tvarką nustato Lietuvos archyvų departamentas.

1. Asmens duomenys gali būti tvarkomi, jeigu:

2. Ypatingi asmens duomenys gali būti tvarkomi tik tais atvejais, kai:

3. Duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) taip pat gali būti tvarkomi šio įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.

4. Asmens duomenys, surinkti kitais tikslais, gali būti tvarkomi istoriniais ar mokslinio tyrimo tikslais, jeigu yra nustatytos tinkamos asmens duomenų apsaugos priemonės.

Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, sąlygos ir tvarka. Prašyme turi būti nurodytas duomenų naudojimo tikslas.

1. Asmens kodas – unikali skaitmenų seka, kuri asmeniui suteikiama Gyventojų registro įstatyme nustatyta tvarka. Jo naudojimui taikomos tik šio straipsnio nuostatos.

2. Asmens kodą be duomenų subjekto sutikimo galima naudoti tik:

Asmens duomenų tvarkymą žurnalistikos, meninės ir literatūrinės raiškos bei kitais visuomenės informavimo tikslais prižiūri institucijos, numatytos Visuomenės informavimo įstatyme. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio įstatymo 1, 2, 3, 4, 7, 21, 28 ir 29 straipsnių nuostatos.

Socialinių paslaugų teikėjai, atlikdami savo funkcijas socialinio draudimo ir kitais socialinės globos tikslais, asmens duomenis vieni kitiems teikia be duomenų subjekto sutikimo.

1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali tvarkyti sveikatos apsaugos sistemos darbuotojas. Pagal sveikatos sistemą ar pacientų teises reglamentuojančius įstatymus, Vyriausybės nutarimus bei Sveikatos apsaugos ministerijos teisės aktus šis darbuotojas privalo saugoti asmens sveikatos paslaptį.

2. Asmens duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali būti tvarkomi tokiais tikslais:

3. Asmens duomenys mokslinio medicininio tyrimo tikslu tvarkomi vadovaujantis Biomedicininių tyrimų etikos įstatymu.

1. Atliekant mokslinį tyrimą, asmens duomenys be duomenų subjekto sutikimo tvarkomi tik tuomet, jeigu tyrimo negalima atlikti nenustačius asmens tapatybės. Tokiu atveju tyrimo programą turi patvirtinti Vyriausybė ar jos įgaliota institucija.

2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.

3. Moksliniam tyrimui surinkti ir saugomi asmens duomenys negali būti naudojami kitais tikslais.

4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.

5. Tyrimo rezultatai skelbiami kartu su asmens duomenimis, jeigu duomenų subjektas duoda sutikimą.

1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas bei saugojimas.

2. Asmens duomenys, surinkti ne statistikos tikslais, gali būti naudojami oficialiosios statistikos informacijai rengti, jeigu šiame ir kituose įstatymuose nenustatyta kitaip.

3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatyme nustatyta tvarka ir atvejais.

4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.

5. Ypatingi asmens duomenys statistikos tikslais renkami tik tokia forma, kuri neleistų tiesiogiai ar netiesiogiai nustatyti duomenų subjekto tapatybę, išskyrus įstatymų nustatytus atvejus.

1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.

2. Asmens duomenys negali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų subjektas turi būti supažindintas su savo teise nesutikti dėl savo asmens duomenų tvarkymo.

1. Asmens duomenų tvarkymas telekomunikacijų srityje yra asmens duomenų tvarkymas, susijęs su bendrųjų telekomunikacijų paslaugų teikimu bendraisiais telekomunikacijų tinklais, ypač skaitmeniniu visuminių paslaugų tinklu ir bendraisiais judriaisiais skaitmeniniais tinklais.

2. Asmens duomenys negali būti tvarkomi viešuose abonentų sąrašuose, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų valdytojas arba duomenų tvarkytojas privalo supažindinti duomenų subjektą su jo teise nesutikti dėl jo asmens duomenų tvarkymo.

3. Abonento (duomenų subjekto) sutikimu viešuose spausdintuose ar elektroniniuose abonentų sąrašuose pateikiami tik abonento vardas, pavardė, telefono numeris ir adresas. Jeigu abonentas nesutinka, duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo neteikti jo asmens duomenų. Viešuose elektroniniuose abonentų sąrašuose neturi būti leidžiama asmens duomenų paieška pagal abonento telefono numerį. Draudžiama pagal abonento telefono numerį teikti jo asmens duomenis tretiesiems asmenims, jeigu Lietuvos Respublikos įstatymai nenustato kitaip.

4. Abonentui detali sąskaita už jam suteiktas telekomunikacijų paslaugas išduodama, kai jis pateikia prašymą. Telekomunikacijų paslaugų teikėjas ar telekomunikacijų tinklų operatorius detalioje sąskaitoje pateikia abonento, kuriam buvo skambinama, numerį, vykusių pokalbių ar paslaugų rūšį, pradžią (datą ir laiką), trukmę ir kainą.

5. Su bendrųjų telekomunikacijų paslaugų abonentu susiję srauto duomenys (abonento numeris, adresas, abonento, kuriam buvo skambinama, numeris, vykusių pokalbių ar paslaugų rūšis, pradžia, trukmė) turi būti panaikinti ar padaryti tokie, kad pagal juos nustatyti asmens tapatybę būtų galima ne anksčiau kaip po 3 metų nuo pokalbio pabaigos.

6. Telekomunikacijų paslaugas teikiančių įmonių darbuotojams leidžiama tvarkyti šio straipsnio 4 ir 5 dalyse nurodytus srauto ir sąskaitų duomenis tik tiek, kiek yra būtina atliekant tarnybines pareigas.

7. Ryšių reguliavimo tarnyba turi teisę gauti šio straipsnio 4 dalyje nurodytus srauto duomenis ginčams tarp bendrųjų telekomunikacijų paslaugų teikėjų ir jų abonentų spręsti.

8. Duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo užtikrinti telekomunikacijų tinklo saugumą šio įstatymo 21 straipsnio nustatyta tvarka. Iškilus telekomunikacijų tinklo ar jo dalies pažeidimo grėsmei, bendrųjų telekomunikacijų paslaugų teikėjas privalo informuoti abonentus, kurie naudojasi to tinklo ar jo dalies teikiamomis paslaugomis, apie galimą tinklo saugumo pažeidimo grėsmę.

1. Duomenų subjektas įstatymų nustatyta tvarka turi teisę:

2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:

3. Duomenų valdytojas turi konkrečiais motyvais pagrįsti atsisakymą vykdyti duomenų subjekto prašymą, išreikštą rašytine forma, ir pateikti jam atsakymą raštu. Duomenų subjektas gali skųsti duomenų valdytojo atsisakymą Vyriausybės įgaliotai institucijai per 30 kalendorinių dienų nuo atsakymo gavimo, o Vyriausybės įgaliotos institucijos atsakymą – teismui įstatymų nustatyta tvarka.

4. Šio skirsnio nuostatos taikomos tvarkant asmens duomenis automatiniu būdu. Tvarkant asmens duomenų susistemintas rinkmenas neautomatiniu būdu, šio skirsnio nuostatos taikomos tiek, kiek neprieštarauja kitiems įstatymams.

1. Duomenų valdytojas privalo informuoti duomenų subjektą, kurio asmens duomenis jis renka tiesiogiai iš jo, apie savo (duomenų valdytojo) tapatybę, kokiu tikslu tvarkomi duomenų subjekto asmens duomenys ir kam jie teikiami. Ši nuostata netaikoma, kai:

2. Kai duomenų valdytojas renka asmens duomenis apie duomenų subjektą netiesiogiai, jis privalo apie tai informuoti duomenų subjektą iki asmens duomenų tvarkymo pradžios, jeigu įstatymai ar kiti teisės aktai neapibrėžia tokių duomenų rinkimo ir teikimo tvarkos. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti informaciją apie savo (duomenų valdytojo) tapatybę, taip pat iš kokių šaltinių ir kokie jo asmens duomenys renkami ar ketinami rinkti, kokiu tikslu jie tvarkomi ar ketinami tvarkyti, kam teikiami ar ketinami teikti.

3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, jis privalo informuoti duomenų subjektą prieš teikdamas duomenų subjekto duomenis tretiesiems asmenims pirmą kartą.

1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami.

2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė ar jos įgaliota institucija.

3. Duomenų subjekto teisė susipažinti su savo asmens duomenimis, tvarkomais neautomatiniu būdu valstybės ir savivaldybių įstaigose, įgyvendinama pagal Teisės gauti informaciją iš valstybės ir savivaldybių įstaigų įstatymą.

1. Jei duomenų subjektas mano, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo asmens duomenis patikrinti ir ištaisyti. Jei duomenų subjektas mano, kad jo asmens duomenys yra tvarkomi neteisėtai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir duomenų subjekto prašymu sunaikinti neteisėtai sukauptus asmens duomenis.

2. Duomenų valdytojas privalo nedelsdamas duomenų subjektui pranešti apie jo prašymu (reikalavimu) atliktą ar neatliktą asmens duomenų ištaisymą ar sunaikinimą.

3. Asmens duomenys taisomi ir naikinami pagal duomenų subjekto prašymą (reikalavimą) ir jo tapatybę bei jo asmens duomenis patvirtinančius dokumentus.

4. Jei duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo apriboti tokių asmens duomenų tolesnį tvarkymą, juos patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

5. Duomenų valdytojas privalo informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis.

6. Duomenų valdytojas privalo ne mažiau kaip 3 metus saugoti visus duomenų subjekto reikalavimu taisomus asmens duomenis tokiu būdu, kad prireikus juos būtų galima atkurti.

1. Duomenų valdytojas šio įstatymo 5 straipsnio 1 dalies 1, 2, 5 ir 6 punktuose bei 2 dalies 1 ir 4 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu, privalo supažindinti duomenų subjektą su jo teise nesutikti (taip pat anuliuoti duotą sutikimą) dėl jo asmens duomenų tvarkymo, nereikalaudamas atlyginimo už veiksmų atlikimą.

2. Duomenų subjektas turi teisę pasirinkti duoti sutikimą ar neduoti sutikimo, ar panaikinti duotą sutikimą dėl savo asmens duomenų tvarkymo veiksmo tais atvejais, kai duomenų tvarkymo veiksmas atliekamas duomenų valdytojo iniciatyva. Nesutikimas ir prašymas panaikinti duotą sutikimą išdėstomas raštu.

3. Jei duomenų valdytojas įvertina duomenų subjekto asmenines savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytu vertinimo metodu. Duomenų subjektas turi teisę pareikšti savo nuomonę dėl duomenų įvertinimo ir vertinimo metodo, duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti.

4. Jei duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, duomenų valdytojas privalo nedelsdamas nutraukti asmens duomenų tvarkymą, išskyrus įstatymų numatytus atvejus, ir informuoti duomenų gavėjus.

5. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo nutraukimą ar atsisakymą nutraukti duomenų tvarkymą.

6. Duomenų subjekto prašymu duomenų valdytojas privalo išsaugoti visus nutrauktus tvarkyti duomenų subjekto asmens duomenis.

1. Vyriausybės įgaliota institucija padeda duomenų subjektui įgyvendinti jo teisę, nustatytą šio įstatymo 17 straipsnyje.

2. Duomenų subjektas, kreipdamasis į Vyriausybės įgaliotą instituciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Vyriausybės įgaliotą instituciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.

3. Vykdydama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Vyriausybės įgaliota institucija neturi teisės rinkti ypatingų asmens duomenų, jei įstatymai nenustato kitaip.

4. Šio straipsnio 2 dalyje nustatyta paslauga duomenų subjektui teikiama atlygintinai. Atlyginimo dydis neturi viršyti duomenų rinkimo ir teikimo paslaugos sąnaudų. Atlyginimo už paslaugą tvarką nustato Vyriausybė ar jos įgaliota institucija.

TAR pastaba. 20 straipsnis įsigalioja 2003 m. sausio 1 d.

1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.

2. Jei duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.

3. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.

4. Teisę tvarkyti asmens duomenis turi tik duomenų valdytojo arba duomenų tvarkytojo įgalioti darbuotojai.

5. Asmens duomenis tvarkantys darbuotojai, įsidarbindami ir dirbdami, turi raštu įsipareigoti saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti viešam skelbimui. Šis įsipareigojimas galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.

Duomenų valdytojas automatiniu būdu gali tvarkyti asmens duomenis tik Vyriausybės nustatyta tvarka pranešęs Vyriausybės įgaliotai institucijai, išskyrus, jeigu asmens duomenys tvarkomi:

1. Duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre, kurį steigia ir jo nuostatus tvirtina Vyriausybė.

2. Asmens duomenų valdytojų valstybės registrą tvarko Vyriausybės įgaliota institucija.

1. Asmens duomenys teikiami duomenų gavėjams užsienio valstybėse, gavus Vyriausybės įgaliotos institucijos leidimą, išskyrus šio straipsnio 4 ir 5 dalyje numatytus atvejus.

2. Vyriausybės įgaliota institucija išduoda leidimą teikti asmens duomenis į užsienio valstybes, jei šiose valstybėse yra tinkamas asmens duomenų saugumo lygis. Vyriausybės įgaliota institucija vertina duomenų saugumo lygį, atsižvelgdama į užsienio šalies, į kurią teikiami asmens duomenys, galiojančius įstatymus bei kitus teisės aktus, užtikrinančius asmens duomenų teisinę apsaugą pagal teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus ir trukmę.

3. Vyriausybės įgaliota institucija gali išduoti leidimą teikti asmens duomenis į užsienio valstybę, kuri negali užtikrinti tinkamos asmens duomenų teisinės apsaugos, jeigu reikalavimus duomenų gavėjui dėl duomenų apsaugos priemonių sutartyje išdėsto duomenų valdytojas, teikiantis asmens duomenis.

4. Be Vyriausybės įgaliotos institucijos leidimo asmens duomenys teikiami į užsienio valstybę tik tuo atveju, jeigu:

5. Taip pat be Vyriausybės įgaliotos institucijos leidimo asmens duomenis galima teikti į užsienio valstybes pagal Lietuvos Respublikos tarptautines sutartis.

TAR pastaba. 24 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.

1. Asmens duomenų teisinės apsaugos įstatymo, išskyrus 8 straipsnį, vykdymą prižiūri ir kontroliuoja Vyriausybės įgaliota institucija. Vyriausybės įgaliota institucija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji yra atskaitinga Vyriausybei. Vyriausybės įgaliotos institucijos nuostatus tvirtina Vyriausybė.

2. Vyriausybės įgaliota institucija vadovaujasi Lietuvos Respublikos Konstitucija, įstatymais, Lietuvos Respublikos tarptautinėmis sutartimis ir, atlikdama šiame įstatyme jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma – jos teisės gali būti suvaržytos tik įstatymo. Vyriausybės įgaliotos institucijos tarnautojų veiksmai, susiję su šiame įstatyme šiai institucijai nustatytų funkcijų atlikimu, skundžiami tik įstatymų nustatyta tvarka.

Vyriausybės įgaliota institucija:

1. Vyriausybės įgaliota institucija turi teisę:

2. Vyriausybės įgaliota institucija neturi teisės kontroliuoti asmens duomenų tvarkymo teismuose.

3. Vyriausybės įgaliotos institucijos tarnautojai privalo saugoti asmens duomenų paslaptį dėl jų gaunamos viešai neskelbtinos informacijos ir ją saugoti perėję dirbti į kitas pareigas, pasitraukę iš valstybės tarnybos ar pasibaigus darbo santykiams.

4. Duomenų valdytojai ar kiti asmenys, rengdami asmens duomenų tvarkymo taisykles (kodeksus), turi jas pateikti įvertinti Vyriausybės įgaliotai institucijai.

5. Vyriausybės įgaliotai institucijai turi būti pranešama, jei manoma, kad ketinamas asmens duomenų tvarkymas gali sukelti pavojų duomenų subjekto teisėms ar turėti didelį duomenų pažeidimo poveikį (dėl duomenų pobūdžio ar apimties, dėl duomenų subjektų skaičiaus, dėl duomenų tvarkymo tikslų, dėl teikiamų duomenų apimties ar dažnumo).

6. Šio straipsnio 5 dalyje nustatytais atvejais Vyriausybės įgaliota institucija atlieka išankstinę patikrą ir teikia išvadas dėl numatomo asmens duomenų tvarkymo.

Duomenų valdytojams, duomenų tvarkytojams ir kitiems asmenims, pažeidusiems šį įstatymą, taikoma Lietuvos Respublikos įstatymų nustatyta atsakomybė.

1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.

2. Turtinės ir neturtinės žalos dydį nustato teismas.

3. Duomenų valdytojas, duomenų tvarkytojas arba kitas asmuo, atlyginę asmeniui padarytą žalą, patirtą nuostolį išreikalauja įstatymų nustatyta tvarka iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala.