Suvestinė redakcija nuo 2015-01-01 iki 2016-02-29
Įstatymas paskelbtas: Žin. 1996, Nr. 63-1479, i. k. 0961010ISTA00I-1374
Nauja redakcija nuo 2009-01-01:
Nr. X-1444, 2008-02-01, Žin. 2008, Nr. 22-804 (2008-02-23), i. k. 1081010ISTA00X-1444
LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ TEISINĖS APSAUGOS
ĮSTATYMAS
1996 m. birželio 11 d. Nr. I-1374
Vilnius
PIRMASIS SKIRSNIS
BENDROSIOS NUOSTATOS
1 straipsnis. Įstatymo tikslas, paskirtis ir taikymo sritis
1. Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis.
2. Šis įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus ir kita. Įstatymas nustato fizinių asmenų, kaip duomenų subjektų, teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
3. Šis įstatymas taikomas asmens duomenų tvarkymui, kai:
1) asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje. Kai asmens duomenis tvarko Europos Sąjungos valstybės narės ar kitos Europos ekonominės erdvės valstybės duomenų valdytojo filialas arba atstovybė, įsteigti ir veikiantys Lietuvos Respublikoje, jiems taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui;
2) asmens duomenis tvarko duomenų valdytojas, įsteigtas ne Lietuvos Respublikos teritorijoje, kuriam taikomi Lietuvos Respublikos įstatymai pagal tarptautinę viešąją teisę (įskaitant diplomatines atstovybes, konsulines įstaigas);
3) asmens duomenis tvarko duomenų valdytojas, kuris yra įsteigtas ir veikia valstybėje, kuri nėra Europos Sąjungos valstybė narė ar kita Europos ekonominės erdvės valstybė (toliau – trečioji valstybė), bet naudoja Lietuvos Respublikoje esančias asmens duomenų tvarkymo priemones, išskyrus atvejus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Lietuvos Respublikos, Europos Sąjungos ar kitos Europos ekonominės erdvės valstybės teritoriją. Siame punkte nurodytu atveju duomenų valdytojas privalo turėti atstovą – įsteigtą filialą arba atstovybę Lietuvos Respublikoje, kuriam taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui.
4. Šis įstatymas netaikomas, jeigu asmens duomenis tvarko fizinis asmuo ir tik asmeniniams poreikiams, nesusijusiems su verslu ar profesija, tenkinti.
5. Šis įstatymas netaikomas mirusių asmenų asmens duomenų tvarkymui.
Papildyta straipsnio dalimi:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
6. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais, šis įstatymas taikomas tiek, kiek kiti įstatymai nenustato kitaip.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
7. Šis įstatymas nevaržo ir nedraudžia laisvo asmens duomenų judėjimo, kai vykdomi Lietuvos Respublikos narystės Europos Sąjungoje įsipareigojimai.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
8. Šiuo įstatymu Lietuvos Respublikos asmens duomenų teisinės apsaugos teisinis reglamentavimas suderintas su Europos Sąjungos teisės aktais, nurodytais šio įstatymo priede.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2 straipsnis. Pagrindinės šio įstatymo sąvokos
1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 36 straipsniuose, kitos valstybės ir savivaldybių institucijos ir įstaigos nėra duomenų gavėjai, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti.
3. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
4. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
5. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.
6. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.
7. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.
8. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.
9. Išankstinė patikra – numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant šio įstatymo nustatytais atvejais.
10. Socialinis ir viešosios nuomonės tyrimas – sisteminis duomenų ir (ar) informacijos apie fizinius ir juridinius asmenis rinkimas ir interpretavimas statistikos, analizės ir kitais socialinių mokslų taikomais metodais siekiant gauti sprendimams priimti reikalingas įžvalgas. Atliekant socialinį ir viešosios nuomonės tyrimą, negali būti vykdoma tiesioginė rinkodara.
Papildyta straipsnio dalimi:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
11. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
12. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
13. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
14. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
15. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
16. Vieša duomenų rinkmena – valstybės registras, informacinė sistema ar kita duomenų rinkmena, kurie pagal Lietuvos Respublikos įstatymus ar kitus teisės aktus skirti duomenims, informacijai, dokumentams ir (ar) jų kopijoms teikti asmenims ir kuriais asmenys gali teisėtai naudotis.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
17. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.
Straipsnio dalies numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
18. Kredito įstaigos ir finansų įmonės sąvokos suprantamos taip, kaip jos apibrėžtos Finansų įstaigų įstatyme.
Papildyta straipsnio dalimi:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
ANTRASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMAS
3 straipsnis. Asmens duomenų tvarkymo reikalavimai
1. Duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų:
1) renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
3) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
5) saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
6) tvarkomi pagal šiame ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.
Papildyta straipsnio punktu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
4 straipsnis. Asmens duomenų saugojimas ir sunaikinimas
5 straipsnis. Asmens duomenų teisėto tvarkymo kriterijai
1. Asmens duomenys gali būti tvarkomi, jeigu:
5) įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys;
2. Draudžiama tvarkyti ypatingus asmens duomenis, išskyrus atvejus, kai:
2) toks tvarkymas yra būtinas darbo ar valstybės tarnybos tikslais duomenų valdytojo teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų nustatytais atvejais;
3) reikia apsaugoti duomenų subjekto arba kito asmens esminius interesus, kai duomenų subjektas nepajėgia duoti sutikimo dėl fizinės negalios arba yra neveiksnus;
4) asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jei tvarkomi asmens duomenys yra susiję tik su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo;
6) įstatymų nustatytais atvejais būtina užkirsti kelią nusikalstamoms ar kitoms neteisėtoms veikoms arba būtina jas tirti;
3. Duomenys apie asmens sveikatą taip pat gali būti tvarkomi šio įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.
4. Asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, tyrimą, taip pat kitais įstatymų nustatytais atvejais įstatymų nustatyta tvarka gali tvarkyti tik valstybės institucija ar įstaiga. Kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti įstatymų nustatytais atvejais, kai yra tinkamai įgyvendintos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti. Išsamūs duomenys apie asmenų teistumą gali būti tvarkomi tik Valstybės registrų įstatymo nustatyta tvarka.
6 straipsnis. Asmens duomenų teikimas
Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninių ryšių priemonėmis.
Straipsnio pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
7 straipsnis. Asmens kodo naudojimas
1. Asmens kodas – unikali skaitmenų seka. Asmens kodas asmeniui suteikiamas Gyventojų registro įstatymo nustatyta tvarka.
2. Naudoti asmens kodą, kai tvarkomi asmens duomenys, galima tik gavus duomenų subjekto sutikimą, išskyrus atvejus, nurodytus šio straipsnio 4 ir 5 dalyse, kai asmens kodą naudoti draudžiama.
3. Be duomenų subjekto sutikimo asmens kodą galima naudoti tik:
2) atliekant mokslinį arba statistinį tyrimą šio įstatymo 12 ir 13 straipsniuose nustatytais atvejais;
3) valstybės, žinybiniuose registruose, jeigu jie yra įteisinti Valstybės registrų įstatymo nustatyta tvarka, ir informacinėse sistemose, jeigu jos yra įteisintos teisės aktų nustatyta tvarka;
4) juridiniams asmenims, kurių veikla susijusi su paskolų teikimu ir skolų išieškojimu, draudimu ar lizingo (finansinės nuomos) verslu, taip pat sveikatos apsaugos ir socialinio draudimo bei kitų socialinę paramą teikiančių ir administruojančių institucijų ir švietimo įstaigų, mokslo ir studijų institucijų veikloje. Šiame punkte nurodyti juridiniai asmenys asmens kodą gali naudoti tik tuo tikslu, kuriuo jis buvo gautas, ir tik tais atvejais, kai tai yra būtina teisėtam ir apibrėžtam asmens duomenų tvarkymo tikslui pasiekti;
8 straipsnis. Asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas
Asmens duomenų tvarkymą visuomenės informavimo priemonėse visuomenės informavimo, meninės ir literatūrinės raiškos tikslais prižiūri žurnalistų etikos inspektorius. Jo kompetenciją nustato Visuomenės informavimo įstatymas. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio įstatymo 1, 2, 3, 4, 5, 6, 7, 30, 53 ir 54 straipsnių nuostatos.
9 straipsnis. Asmens duomenų tvarkymas socialinio draudimo ir socialinės paramos tikslais
10 straipsnis. Asmens duomenų tvarkymas sveikatos apsaugos tikslais
1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę, gydymą ir kt.) gali tvarkyti įgaliotas sveikatos apsaugos sistemos darbuotojas. Asmens sveikatos paslaptis turi būti saugoma pagal Civilinį kodeksą, pacientų teises reglamentuojančius įstatymus ir kitus teisės aktus.
2. Asmens duomenys mokslinio medicininio tyrimo tikslais tvarkomi vadovaujantis šiuo ir kitais įstatymais.
11 straipsnis. Asmens duomenų tvarkymas rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos tikslais
1. Asmens duomenų (vardo, pavardės, gimimo datos, asmens kodo, gyvenamosios vietos adreso, pilietybę, asmens tapatybę patvirtinančio dokumento numerio) tvarkymą rinkimų, referendumo, vietos gyventojų apklausos, piliečių įstatymų leidybos iniciatyvos, politinių kampanijų, politinių partijų finansavimo tikslais nustato šis ir kiti įstatymai.
2. Vyriausiosios rinkimų komisijos pagal kandidatų ar jų atstovų pateiktus pareiškinius ir kitus dokumentus sudaryta ir interneto tinklalapyje paskelbta informacija apie kandidatus, taip pat kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių sąrašai po rinkimų, referendumo rezultatų paskelbimo, taip pat politinės kampanijos aukotojų sąrašai po jų paskelbimo gali būti keičiami, kai taisomos kalbos klaidos ar informacija interneto tinklalapyje skiriasi nuo informacijos, teisės aktų nustatytu laiku pateiktos pareiškimuose ir kituose dokumentuose. Interneto tinklalapyje negali būti skelbiami kandidatų ir kitų asmenų asmens kodai, pilietybę ar asmens tapatybę patvirtinančių dokumentų numeriai, tikslus gyvenamosios vietos adresas (gatvė, namo, buto numeris).
12 straipsnis. Asmens duomenų tvarkymas mokslinio tyrimo tikslais
1. Atliekant mokslinį tyrimą, asmens duomenys tvarkomi, jeigu duomenų subjektas davė sutikimą. Be duomenų subjekto sutikimo asmens duomenys mokslinio tyrimo tikslais gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai. Šiuo atveju Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą.
2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.
4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.
13 straipsnis. Asmens duomenų tvarkymas statistikos tikslais
1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas ir saugojimas.
2. Asmens duomenys, surinkti ne statistikos tikslais, įstatymų nustatytais atvejais gali būti naudojami oficialiosios statistikos informacijai rengti.
3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatymo nustatyta tvarka ir atvejais.
4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.
131 straipsnis. Asmens duomenų tvarkymas socialinio ir viešosios nuomonės tyrimo tikslais
1. Atliekant socialinį ir viešosios nuomonės tyrimą, asmens duomenys gali būti tvarkomi tik duomenų subjekto sutikimu. Duomenų subjekto kontaktiniai duomenys (adresas, telefono ryšio numeris) gali būti tvarkomi be duomenų subjekto sutikimo iki pirmojo tiesioginio kontakto su duomenų subjektu, turint tikslą su juo susisiekti. Duomenų subjektas sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo socialinio ir viešosios nuomonės tyrimo tikslais išreiškia tiesioginio kontakto su tyrėju metu arba rašytine ar jai prilyginta forma. Jeigu duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, šie asmens duomenys turi būti nedelsiant sunaikinti.
2. Socialinio ir viešosios nuomonės tyrimo tikslais privalo būti renkami tik atliekamam socialiniam ir viešosios nuomonės tyrimui būtini asmens duomenys, panaudoti konkrečiam socialiniam ir viešosios nuomonės tyrimui asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.
3. Draudžiama socialinio ir viešosios nuomonės tyrimo tikslais surinktus ir tvarkomus asmens duomenis naudoti kitais tikslais (reklamai, tiesioginei rinkodarai, komercinei veiklai ir pan.).
Papildyta straipsniu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
14 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais
1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais tik po to, kai duomenų subjektas duoda sutikimą.
2. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.
3. Duomenų valdytojas privalo sudaryti aiškią, nemokamą ir lengvai įgyvendinamą galimybę duomenų subjektui išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais.
4. Duomenų valdytojas, kuris teikdamas paslaugas ar parduodamas prekes šio įstatymo nustatyta tvarka ir sąlygomis yra gavęs iš duomenų subjektų, esančių jo klientais, kontaktinius asmens duomenis (vardą, pavardę ir adresą), šiuos duomenis gali naudoti be atskiro duomenų subjekto sutikimo tik savo paties panašių prekių ar paslaugų rinkodarai, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio duomenų naudojimo pirmiau nurodytais tikslais, jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.
15 straipsnis. Asmens duomenų tvarkymas elektroninių ryšių ir kibernetinio saugumo srityse
Asmens duomenys elektroninių ryšių ir kibernetinio saugumo srityse tvarkomi vadovaujantis Elektroninių ryšių įstatymu, Kibernetinio saugumo įstatymu ir šiuo įstatymu.
Straipsnio pakeitimai:
Nr. XII-1430, 2014-12-11, paskelbta TAR 2014-12-23, i. k. 2014-20555
151 straipsnis. Asmens duomenų tvarkymas vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, numatytą Sutarties dėl Europos Sąjungos veikimo trečiosios dalies V antraštinėjedalyje
Asmens duomenys vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, numatytą Sutarties dėl Europos Sąjungos veikimo trečiosios dalies V antraštinėje dalyje, tvarkomi vadovaujantis Asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymu ir šiuo įstatymu.
Papildyta straipsniu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
TREČIASIS SKIRSNIS
VAIZDO STEBĖJIMAS
16 straipsnis. Vaizdo stebėjimo sąlygos
Vaizdo stebėjimas gali būti vykdomas siekiant užtikrinti visuomenės saugumą, viešąją tvarką, apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises ir laisves, tačiau tik tais atvejais, kai kiti būdai ar priemonės yra nepakankamos ir (arba) netinkamos siekiant išvardytų tikslų ir jeigu duomenų subjekto interesai nėra svarbesni.
17 straipsnis. Vaizdo stebėjimas darbo vietoje
18 straipsnis. Vaizdo stebėjimo reikalavimai
1. Vaizdo duomenų tvarkymas turi būti nustatytas duomenų valdytojo patvirtintame rašytiniame dokumente, kuriame yra nurodomas vaizdo stebėjimo tikslas ir apimtis, vaizdo duomenų saugojimo terminas, priėjimo prie tvarkomų vaizdo duomenų sąlygos, šių duomenų naikinimo sąlygos ir tvarka bei nustatyti kiti reikalavimai teisėtam vaizdo duomenų tvarkymui.
19 straipsnis. Vaizdo stebėjimo priemonių įrengimas
1. Vaizdo stebėjimo priemonės turi būti įrengiamos taip, kad atsižvelgiant į nustatytą vaizdo stebėjimo tikslą:
1) vaizdo stebėjimas būtų vykdomas ne didesnėje patalpos ar teritorijos dalyje, negu tai yra būtina;
2. Draudžiama įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų nustatytus atvejus. Bendrojo naudojimo patalpose vaizdo stebėjimo priemonės gali būti įrengiamos bendraturčių daugumos sprendimu.
20 straipsnis. Duomenų subjekto informavimas vykdant vaizdo stebėjimą
1. Duomenų valdytojas užtikrina, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama ši informacija:
2) duomenų valdytojo juridinio asmens pavadinimas ir kodas, duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas arba telefono ryšio numeris).
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Duomenų valdytojas gali pateikti ir kitą papildomą informaciją, kad būtų užtikrintas teisėtas vaizdo duomenų tvarkymas nepažeidžiant duomenų subjekto teisių (pvz., vaizdo stebėjimo tikslas).
3. Vykdant vaizdo stebėjimą darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, šie darbuotojai apie tokį jų vaizdo duomenų tvarkymą turi būti pasirašytinai informuojami šio įstatymo 24 straipsnio 1 dalyje nustatyta tvarka.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
KETVIRTASIS SKIRSNIS
ASMENS DUOMENŲ APIE MOKUMO IR FINANSINĖS RIZIKOS VERTINIMĄ IR ĮSISKOLINIMO VALDYMĄ TVARKYMAS
Pakeistas skirsnio pavadinimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
21 straipsnis. Asmens duomenų tvarkymas asmens mokumui įvertinti ir įsiskolinimui valdyti
1. Duomenų valdytojas turi teisę tvarkyti ir teikti teisėtą interesą turintiems tretiesiems asmenims laiku ir tinkamai finansinių ir (arba) turtinių įsipareigojimų jam neįvykdžiusių duomenų subjektų (toliau – skolininkai) duomenis, taip pat ir asmens kodus, kad būtų galima įvertinti asmens mokumą ir valdyti įsiskolinimą, jeigu tinkamai įgyvendinami šiame įstatyme ir kituose teisės aktuose nustatyti duomenų apsaugos reikalavimai.
2. Duomenų valdytojas turi teisę skolininkų duomenis, taip pat ir asmens kodus, teikti duomenų valdytojams, tvarkantiems jungtines skolininkų duomenų rinkmenas (toliau – jungtinės skolininkų rinkmenos). Duomenų valdytojas gali tvarkyti jungtines skolininkų rinkmenas, turėdamas tikslą teikti tokius duomenis teisėtą interesą turintiems tretiesiems asmenims, kad šie galėtų įvertinti duomenų subjekto mokumą ir valdyti įsiskolinimą, tik šio įstatymo 33 straipsnio nustatyta tvarka pranešęs Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.
3. Duomenų valdytojas gali teikti skolininkų duomenis tik tuo atveju, jeigu jis duomenų subjektui paštu arba elektroninių ryšių priemonėmis pateikė rašytinį priminimą apie įsipareigojimų neįvykdymą ir per 30 kalendorinių dienų nuo dienos, kurią duomenų valdytojas išsiuntė (pateikė) duomenų subjektui priminimą:
5. Jungtinės skolininkų rinkmenos negali būti jungiamos su asmens duomenimis iš kitų asmens duomenų rinkmenų, kurios buvo sudarytos ir yra tvarkomos kitais negu mokumo vertinimo ir įsiskolinimo valdymo tikslais.
6. Duomenų valdytojas, tvarkantis jungtines skolininkų rinkmenas, gavęs iš šio straipsnio 2 dalyje nurodyto duomenų valdytojo skolininkų duomenis, privalo kiekvienam duomenų subjektui nurodyti (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, pavadinimą, juridinio asmens kodą ir buveinę;
7. Duomenys apie faktą, kad duomenų subjektas laiku ir tinkamai neįvykdė savo finansinių ir (arba) turtinių įsipareigojimų, negali būti tvarkomi ilgiau negu 10 metų nuo skolos padengimo dienos. Kai duomenų subjektas skolą padengia, duomenų valdytojai privalo užtikrinti, kad tvarkant duomenis apie duomenų subjekto tinkamai ir laiku neįvykdytus finansinius ir (arba) turtinius įsipareigojimus būtų nurodoma:
Straipsnio pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
22 straipsnis. Asmens duomenų apie suteiktas finansines paslaugas, susijusias su rizikos prisiėmimu ar kreditingumo vertinimu, tvarkymas asmens mokumo ir finansinės rizikos vertinimo bei įsiskolinimo valdymo tikslais
1. Kredito įstaigos ir finansų įmonės, kurios teikia finansines paslaugas, susijusias su rizikos prisiėmimu ar kreditingumo vertinimu (toliau – finansinės paslaugos), (toliau – finansų įstaigos) turi teisę tvarkyti ir gauti viena iš kitos duomenų subjektų, kuriems yra suteikusios ar ketina suteikti finansinių paslaugų, ir jų įsipareigojimus minėtoms įstaigoms užtikrinančių duomenų subjektų asmens duomenis (vardą, pavardę, asmens kodą (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenis), adresą, telefono ryšio numerį, pageidautų finansinių ir (arba) turtinių įsipareigojimų, dėl kurių buvo priimtas teigiamas ar neigiamas sprendimas, rūšis ir sumas, esamų finansinių ir (arba) turtinių įsipareigojimų rūšis ir sumas, vykdymo terminus, duomenis apie šių įsipareigojimų vykdymą, duomenis apie buvusius finansinius ir (arba) turtinius įsipareigojimus ir jų vykdymą, įskaitant jungtinėse skolininkų rinkmenose esančius duomenų subjektų duomenis, taip pat duomenis apie duomenų subjektų pajamas, pajamų rūšis ir jų šaltinius, duomenis apie duomenų subjektų turtą, šeiminę padėtį, einamas pareigas (darbą) ir išsilavinimą) asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais, jeigu šie duomenų subjektai duoda sutikimą.
2. Jeigu duomenų subjektas duoda sutikimą, šio straipsnio 1 dalyje nurodyti duomenys asmenų mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais gali būti tvarkomi ir nuolat atnaujinami jungtinėse finansinės rizikos duomenų rinkmenose (toliau – jungtinės finansinės rizikos rinkmenos) pagal su finansų įstaigomis sudarytas duomenų teikimo sutartis. Jungtinių finansinės rizikos rinkmenų valdytojais gali būti finansų įstaigos, tik šio įstatymo 33 straipsnio nustatyta tvarka pranešusios Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.
3. Finansų įstaigos gali gauti asmens duomenis šio straipsnio 1 ir 6 dalyse nurodytomis sąlygomis ir apimtimi tik tais atvejais, kai duomenų subjektas:
1) kreipiasi į šias įstaigas dėl finansinių paslaugų gavimo ar dėl finansinių ir (arba) turtinių įsipareigojimų užtikrinimo ir (arba);
4. Finansų įstaigos užtikrina, kad gauti duomenų subjektų duomenys nebūtų:
5. Finansų įstaigos užtikrina, kad duomenys apie jų suteiktas finansines paslaugas nebūtų saugomi ilgiau negu 10 metų nuo šių paslaugų suteikimo ir įsipareigojimų įvykdymo dienos, jeigu įstatymai ar jų pagrindu priimti teisės aktai nenustato kitaip.
6. Visi asmens duomenys iš jungtinių finansinės rizikos rinkmenų gali būti teikiami tik finansų įstaigoms. Kitiems asmenims, kurie teikia paslaugas, susijusias su finansinės rizikos prisiėmimu, asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais iš jungtinių finansinės rizikos rinkmenų teikiami tik šie apibendrinti duomenys: asmens vardas, pavardė, asmens kodas (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenys) ir asmens kreditingumo reitingas.
7. Draudžiama iš jungtinių finansinės rizikos rinkmenų teikti asmens duomenis ir asmens kreditingumo reitingą kitais negu asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais.
8. Duomenų subjektas turi teisę pareikšti jungtinės finansinės rizikos rinkmenos valdytojui savo nuomonę dėl asmens kreditingumo reitingo nustatymo šio įstatymo 28 straipsnyje nustatyta tvarka.
Straipsnio pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
PENKTASIS SKIRSNIS
DUOMENŲ SUBJEKTO TEISĖS
23 straipsnis. Duomenų subjekto teisės
1. Duomenų subjektas šio įstatymo nustatyta tvarka turi teisę:
3) reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų;
2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
3. Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti duomenų subjekto prašymą įgyvendinti šio įstatymo nustatytas duomenų subjekto teises. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą. Jeigu duomenų subjekto prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu.
4. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šio straipsnio 3 dalyje nustatytas terminas pateikti atsakymą. Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą) įstatymų nustatyta tvarka duomenų subjektas gali skųsti teismui.
24 straipsnis. Duomenų subjekto informavimas apie jo duomenų tvarkymą
1. Duomenų valdytojas privalo suteikti duomenų subjektui, kurio asmens duomenis renka tiesiogiai iš jo, šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) arba nurodyti pavadinimą, juridinio asmens kodą ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo);
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
3) kitą papildomą informaciją (kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.
2. Duomenų valdytojas, kuris asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, išskyrus atvejus, kai įstatymai ar kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) arba nurodyti pavadinimą, juridinio asmens kodą ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo);
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
3) kitą papildomą informaciją (iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys renkami ar ketinami rinkti; kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.
3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, prieš teikdamas duomenų subjekto duomenis, jis privalo informuoti duomenų subjektą, kam ir kokiais tikslais jo asmens duomenys bus teikiami.
4. Šio straipsnio 2 dalis netaikoma tvarkant asmens duomenis statistikos, istoriniais ar mokslinio tyrimo tikslais, kai tokios informacijos pateikti neįmanoma ar pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų) arba kai duomenų rinkimo ir teikimo tvarką nustato įstatymai, taip pat tvarkant duomenų subjekto kontaktinius duomenis (adresą, telefono ryšio numerį) socialinio ir viešosios nuomonės tyrimo tikslais iki pirmojo tiesioginio kontakto su duomenų subjektu. Tokiu atveju duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai šio įstatymo 33 straipsnyje nustatyta tvarka. Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
25 straipsnis. Duomenų subjekto teisė susipažinti su savo asmens duomenimis
1. Duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė.
26 straipsnis. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus
1. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo asmens duomenis patikrinti ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
3. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:
4. Duomenų valdytojas privalo nedelsdamas pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.
5. Asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą.
6. Jeigu duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
7. Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
27 straipsnis. Duomenų subjekto teisė nesutikti, kad būtų tvarkomi jo asmens duomenys
1. Duomenų valdytojas šio įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais, privalo supažindinti duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys.
2. Duomenų subjektas šio įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys. Duomenų subjektas rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo pateikia duomenų valdytojui asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
3. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros arba socialinio ir viešosios nuomonės tyrimo tikslais. Šiuo atveju duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
28 straipsnis. Asmens savybių įvertinimas automatiniu būdu
1. Negali būti priimamas sprendimas dėl duomenų subjekto savybių (kreditingumo, patikimumo, darbingumo ir kt.), jeigu tokios savybės buvo įvertintos tik automatiniu būdu, kai toks sprendimas gali sukelti duomenų subjektui teisinių pasekmių ar kitaip jį paveikti, išskyrus šiuos atvejus:
1) sprendimas yra priimamas įstatymų nustatyta tvarka, kai įstatymai numato duomenų subjekto teisėtų interesų apsaugos priemones;
2) sprendimas yra priimamas sudarant arba vykdant sutartį tuo atveju, kai duomenų subjekto prašymas sudaryti ar vykdyti sutartį yra patenkintas;
2. Duomenų valdytojas, prieš pradėdamas duomenų subjekto savybių vertinimą automatiniu būdu, privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytais vertinimo kriterijais ir principais.
3. Jeigu duomenų valdytojas įvertina duomenų subjekto savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, jis turi teisę pareikšti savo nuomonę dėl jo savybių įvertinimo. Duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti neautomatiniu būdu.
29 straipsnis. Paslauga duomenų subjektui įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis
1. Valstybinė duomenų apsaugos inspekcija padeda duomenų subjektui įgyvendinti jo teisę susipažinti su savo asmens duomenimis.
2. Duomenų subjektas, Valstybinei duomenų apsaugos inspekcijai pateikęs rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą arba pateikęs prašymą elektroninių ryšių priemonėmis ir Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka patvirtinęs savo asmens tapatybę, turi teisę prašyti duomenų priežiūros instituciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija. Atsakymas į šį prašymą asmeniui turi būti pateikiamas asmeniškai, paštu, automatiniu būdu arba elektroninių ryšių priemonėmis ne vėliau kaip per 30 kalendorinių dienų nuo prašymo pateikimo ir asmens tapatybės patvirtinimo.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
3. Atlikdama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Valstybinė duomenų apsaugos inspekcija neturi teisės rinkti Valstybės ir tarnybos paslapčių įstatyme nustatytų duomenų, kurie yra įslaptinta informacija.
4. Už šio straipsnio 2 dalyje nustatytą paslaugą duomenų subjektui imama Vyriausybės nustatyto dydžio valstybės rinkliava.
5. Asmens duomenų valdytojų valstybės registre registruoti duomenų valdytojai, gavę Valstybinės duomenų apsaugos inspekcijos paklausimą dėl konkretaus duomenų subjekto teisės susipažinti su savo asmens duomenimis įgyvendinimo, privalo ne vėliau kaip per 15 kalendorinių dienų pateikti Valstybinei duomenų apsaugos inspekcijai atsakymą jos nustatyta tvarka (duomenų subjekto prašomus asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą arba nurodyti, kad duomenų subjekto duomenų netvarko).
ŠEŠTASIS SKIRSNIS
DUOMENŲ SAUGUMAS
30 straipsnis. Duomenų saugumas
1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytinės formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.).
2. Valstybinė duomenų apsaugos inspekcija nustato bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms.
3. Duomenų valdytojas pats tvarko asmens duomenis ir (arba) įgalioja duomenų tvarkytoją. Jeigu duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
4. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.
5. Duomenų valdytojo ir duomenų tvarkytojo, kuris nėra duomenų valdytojas, santykiai turi būti nustatomi rašytinėje sutartyje, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai.
6. Duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
7. Duomenų subjektams (fiziniams asmenims) siunčiami ar pateikiami spausdintiniai rašytiniai informacinio pobūdžio pranešimai apie duomenų subjektams (fiziniams asmenims) suteiktas paslaugas, duomenų subjektų (fizinių asmenų) prievoles, sutarčių su duomenų subjektais (fiziniais asmenimis) vykdymą, sąskaitos, darbdavio darbuotojui skirti atsiskaitymo lapeliai, individualūs komercinio pobūdžio pasiūlymai duomenų subjektams (fiziniams asmenims), kurių turinyje yra nurodomi duomenų subjektų (fizinių asmenų) asmens duomenys, įskaitant, tačiau neapsiribojant, duomenis apie asmens vardą ir pavardę, gyvenamąją vietą, sumokėtus ar nesumokėtus mokesčius, mokėtojo kodą ar numerį, atsiskaitomosios knygelės numerį, privalo būti pateikiami uždaru pavidalu, ant kurio gali būti tik pašto paslaugoms būtina informacija, ir tokių pranešimų turinys gali būti matomas tik duomenų subjektui (fiziniam asmeniui), kuriam adresuojamas pranešimas, ar jo sutikimu trečiajam asmeniui, atidarius ar išpakavus pateiktą pranešimą. Šios nuostatos netaikomos, jeigu minėti pranešimai įteikiami asmens duomenų subjektams (fiziniams asmenims) asmeniškai ir konfidencialiai.
SEPTINTASIS SKIRSNIS
DUOMENŲ VALDYTOJŲ REGISTRAVIMAS
31 straipsnis. Pranešimas apie duomenų tvarkymą
Asmens duomenys gali būti tvarkomi automatiniu būdu tik tuo atveju, kai duomenų valdytojas arba jo atstovas (pagal šio įstatymo 1 straipsnio 3 dalies 3 punktą) Vyriausybės nustatyta tvarka praneša Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai asmens duomenys tvarkomi:
2) politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jeigu asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija, kai tvarkomi asmens duomenys yra susiję tik su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų;
32 straipsnis. Už duomenų apsaugą atsakingas asmuo ar padalinys
2. Už duomenų apsaugą atsakingas asmuo ar padalinys:
1) viešai skelbia apie duomenų valdytojo atliekamus duomenų tvarkymo veiksmus Vyriausybės nustatyta tvarka;
2) prižiūri, kad asmens duomenys būtų tvarkomi laikantis šio įstatymo ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatų;
3) inicijuoja pranešimų Valstybinei duomenų apsaugos inspekcijai apie aplinkybes, nurodytas šio įstatymo 33 straipsnio 1 dalyje, rengimą;
5) teikia siūlymus, išvadas duomenų valdytojui dėl duomenų apsaugos ir duomenų tvarkymo priemonių nustatymo, prižiūri, kaip šios priemonės įgyvendinamos ir naudojamos;
7) supažindina darbuotojus, įgaliotus tvarkyti asmens duomenis, su šio įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis;
8) inicijuoja kreipimųsi į Valstybinę duomenų apsaugos inspekciją asmens duomenų tvarkymo ir apsaugos klausimais rengimą;
3. Duomenų valdytojas privalo suteikti už duomenų apsaugą atsakingam asmeniui ar padaliniui išsamią informaciją apie numatomą asmens duomenų tvarkymą, ketinamas naudoti automatines asmens duomenų tvarkymo priemones ir nustatyti protingą terminą išvadai dėl numatomo asmens duomenų tvarkymo pateikti.
4. Duomenų valdytojas privalo sudaryti sąlygas už duomenų apsaugą atsakingam asmeniui ar padaliniui savarankiškai atlikti šiame straipsnyje numatytas jo funkcijas.
33 straipsnis. Išankstinė patikra
1. Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą šiais atvejais:
1) kai duomenų valdytojas automatiniu būdu ketina tvarkyti ypatingus asmens duomenis, išskyrus šių duomenų tvarkymą vidaus administravimo tikslais arba šio įstatymo 5 straipsnio 2 dalies 6 ir 7 punktuose nustatytais atvejais;
2) kai duomenų valdytojas automatiniu būdu ketina tvarkyti viešas duomenų rinkmenas, jeigu įstatymuose ar kituose teisės aktuose neapibrėžta duomenų teikimo tvarka;
3) kai valstybės ar žinybinių registrų arba valstybės ir savivaldybių institucijų informacinių sistemų duomenų valdytojas ketina įgalioti duomenų tvarkytoją tvarkyti asmens duomenis, išskyrus atvejus, kai įstatymuose ar kituose teisės aktuose įtvirtinta duomenų valdytojo teisė įgalioti tvarkyti asmens duomenis konkretų duomenų tvarkytoją arba kai duomenų tvarkytojas yra duomenų valdytojo įsteigtas juridinis asmuo;
4) šio įstatymo 10 straipsnio 3 dalyje, 12 straipsnio 1 dalyje, 21 straipsnio 2 dalyje, 22 straipsnio 2 dalyje, 24 straipsnio 4 dalyje ir kitų įstatymų nustatytais atvejais.
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Duomenų valdytojas privalo Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka pranešti Valstybinei duomenų apsaugos inspekcijai apie atvejus, nurodytus šio straipsnio 1 dalyje. Tokie duomenų tvarkymo veiksmai gali būti atliekami tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą. Valstybinė duomenų apsaugos inspekcija privalo per 2 mėnesius nuo pranešimo gavimo dienos Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka atlikti išankstinę patikrą ir išduoti arba atsisakyti išduoti leidimą duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai dėl pranešime nurodytų aplinkybių sudėtingumo, informacijos apimties ar kitų svarbių aplinkybių pranešimo nagrinėjimą būtina pratęsti. Šiais atvejais pranešimo nagrinėjimo terminas pratęsiamas, bet ne ilgiau kaip vienu mėnesiu, apie tai informuojant duomenų valdytoją. Valstybinės duomenų apsaugos inspekcijos sprendimas neišduoti leidimo duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus gali būti skundžiamas įstatymų nustatyta tvarka.
AŠTUNTASIS SKIRSNIS
ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS, ESANTIEMS UŽSIENIO VALSTYBĖSE
35 straipsnis. Asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse
1. Asmens duomenys duomenų gavėjams, esantiems Europos Sąjungos valstybėse narėse ir kitose Europos ekonominės erdvės valstybėse, teikiami tomis pačiomis sąlygomis ir tvarka kaip ir duomenų gavėjams, esantiems Lietuvos Respublikoje.
2. Asmens duomenys teikiami duomenų gavėjams trečiosiose valstybėse gavus Valstybinės duomenų apsaugos inspekcijos leidimą, išskyrus šio straipsnio 5 dalyje nustatytus atvejus.
3. Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 2 mėnesius nuo duomenų valdytojo kreipimosi dienos išduoda arba atsisako išduoti leidimą teikti asmens duomenis į trečiąsias valstybes. Leidimas yra išduodamas, jeigu šiose valstybėse yra tinkamas asmens duomenų teisinės apsaugos lygis. Asmens duomenų teisinės apsaugos lygis vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų teikimu, ypač į trečiojoje valstybėje, į kurią ketinami teikti asmens duomenys, galiojančius įstatymus, kitus teisės aktus bei duomenų valdytojo parengtus dokumentus, užtikrinančius asmens duomenų teisinę apsaugą, į teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus, trukmę, saugumo priemones, kurių bus laikomasi toje valstybėje.
4. Valstybinė duomenų apsaugos inspekcija gali išduoti leidimą teikti asmens duomenis į trečiąją valstybę, kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio, jeigu duomenų valdytojas yra nustatęs tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į trečiąsias valstybes sutartyje arba kitame rašytinės formos dokumente.
5. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenys teikiami į trečiąją valstybę arba tarptautinei teisėsaugos organizacijai tik tuo atveju, jeigu:
2) asmens duomenis teikti būtina, kad būtų sudaryta ar įvykdyta sutartis tarp duomenų valdytojo ir trečiojo asmens duomenų subjekto interesais;
3) asmens duomenis teikti būtina, kad būtų įvykdyta sutartis tarp duomenų valdytojo ir duomenų subjekto arba būtų įgyvendintos priemonės, kurių prieš sudarant sutartį imamasi duomenų subjekto prašymu;
4) asmens duomenis teikti būtina (arba įstatymų nustatyta) dėl svarbių visuomenės interesų arba jie yra reikalingi bylai teisme nagrinėti;
7) asmens duomenys įstatymų ir kitų teisės aktų nustatyta tvarka teikiami iš viešos duomenų rinkmenos.
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
DEVINTASIS SKIRSNIS
VALSTYBĖS POLITIKOS ASMENS DUOMENŲ APSAUGOS SRITYJE FORMAVIMAS IR ŠIO ĮSTATYMO VYKDYMO PRIEŽIŪRA
Pakeistas skirsnio pavadinimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
351 straipsnis. Teisingumo ministerijos funkcijos asmens duomenų apsaugos srityje
Teisingumo ministerija:
Papildyta straipsniu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
36 straipsnis. Šio įstatymo vykdymo priežiūros institucija ir jos teisinis statusas
1. Kaip vykdomas šis įstatymas, išskyrus 8 ir 351 straipsnius, prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Jos administracijos struktūrą tvirtina Vyriausybė arba paveda tvirtinti Valstybinės duomenų apsaugos inspekcijos vadovui. Valstybinės duomenų apsaugos inspekcijos nuostatus tvirtina Vyriausybė.
Straipsnio dalies pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Valstybinė duomenų apsaugos inspekcija yra viešasis juridinis asmuo, turintis atsiskaitomąją sąskaitą banke ir antspaudą su Lietuvos valstybės herbu bei savo pavadinimu.
3. Svarbiausi Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra prižiūrėti duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, užkirsti kelią duomenų tvarkymo pažeidimams, užtikrinti duomenų subjekto teisių apsaugą.
37 straipsnis. Valstybinės duomenų apsaugos inspekcijos veiklos teisiniai pagrindai ir principai
1. Valstybinė duomenų apsaugos inspekcija savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, šiuo ir kitais įstatymais bei kitais teisės aktais.
2. Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama šio įstatymo jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma. Jos teisės gali būti suvaržytos tik įstatymų.
3. Valstybės ir savivaldybių institucijos ir įstaigos, Seimo nariai ir kiti pareigūnai, politinės partijos, visuomeninės organizacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinės duomenų apsaugos inspekcijos direktoriui, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į Valstybinės duomenų apsaugos inspekcijos veiklą užtraukia įstatymų nustatytą atsakomybę.
38 straipsnis. Valstybinės duomenų apsaugos inspekcijos vadovo statusas
1. Valstybinei duomenų apsaugos inspekcijai vadovauja Valstybinės duomenų apsaugos inspekcijos direktorius. Jis yra valstybės biudžeto asignavimų valdytojas.
2. Valstybinės duomenų apsaugos inspekcijos direktorius yra valstybės pareigūnas – įstaigos vadovas, kurį į pareigas 5 metų kadencijai priima ir iš jų atleidžia Vyriausybė Vyriausybės įstatymo nustatyta tvarka. Valstybinės duomenų apsaugos inspekcijos direktorius yra atskaitingas Vyriausybei ir teisingumo ministrui. Valstybinės duomenų apsaugos inspekcijos direktoriumi asmuo gali būti skiriamas ne daugiau kaip dvi kadencijas iš eilės.
3. Valstybinės duomenų apsaugos inspekcijos direktorius savo kadencijos laikotarpiu turi sustabdyti narystę politinėje partijoje.
Straipsnio pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
39 straipsnis. Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojai
2. Pavaduotojus į pareigas priima Valstybinės duomenų apsaugos inspekcijos direktorius Valstybės tarnybos įstatymo nustatyta tvarka.
40 straipsnis. Valstybinės duomenų apsaugos inspekcijos funkcijos
Valstybinė duomenų apsaugos inspekcija:
1) tvarko Asmens duomenų valdytojų valstybės registrą, viešai skelbia jo duomenis ir prižiūri duomenų valdytojų veiklą, susijusią su asmens duomenų tvarkymu;
3) šio įstatymo nustatyta tvarka nagrinėja asmenų skundus ir pranešimus (toliau – skundai), pagal juos tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
4) Valstybinės duomenų apsaugos inspekcijos direktoriaus nustatyta tvarka tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
7) teikia konsultacijas duomenų subjektams, duomenų valdytojams ir tvarkytojams, kitiems asmenims dėl asmens duomenų ir privatumo apsaugos, taip pat rengia metodines rekomendacijas dėl asmens duomenų apsaugos ir jas viešai skelbia internete;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
9) įstatymų nustatytais atvejais teikia informaciją kitoms valstybėms apie Lietuvos Respublikos duomenų apsaugą reglamentuojančius teisės aktus ir jų administravimo praktiką;
10) šio ir kitų įstatymų nustatytais atvejais atlieka išankstinę patikrą ir teikia išvadas duomenų valdytojui apie numatomą duomenų tvarkymą;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
11) bendradarbiauja su užsienio šalių asmens duomenų apsaugos institucijomis, Europos Sąjungos institucijomis, įstaigomis ir tarptautinėmis organizacijomis ir dalyvauja jų veikloje;
12) dalyvauja formuojant valstybės politiką asmens duomenų apsaugos srityje ir ją įgyvendina, taip pat įgyvendina Lietuvos politiką Europos Sąjungos asmens duomenų apsaugos srityje ir Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) nuostatas;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
13) dalyvauja rengiant įstatymų projektus, rengia kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, projektus, derina teisės aktų projektus ir teikia pasiūlymus Seimui, Vyriausybei, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms dėl įstatymų ar kitų teisės aktų rengimo, keitimo, pripažinimo netekusiais galios, jeigu įstatymų ar kitų teisės aktų nuostatos yra susijusios su Valstybinės duomenų apsaugos inspekcijos kompetencijai priskirtais klausimais;
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
14) teikia pasiūlymus Teisingumo ministerijai dėl valstybės politikos asmens duomenų apsaugos srityje formavimo ir dėl Lietuvos politikos Europos Sąjungos asmens duomenų apsaugos srityje formavimo;
Papildyta straipsnio punktu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
15) vertina duomenų valdytojų pateiktas asmens duomenų tvarkymo taisykles;
Straipsnio punkto numeracijos pakeitimas:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
16) atlieka kitas šiame įstatyme ir kituose teisės aktuose nustatytas funkcijas.
Straipsnio punkto pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
41 straipsnis. Valstybinės duomenų apsaugos inspekcijos teisės
Valstybinė duomenų apsaugos inspekcija turi teisę:
1) nemokamai gauti iš valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant asmens duomenų tvarkymo priežiūros funkcijas;
2) iš anksto raštu įspėjus, o atliekant asmens duomenų tvarkymo teisėtumo patikrinimą pagal skundą – be išankstinio įspėjimo, įeiti į tikrinamo asmens patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu) arba teritoriją, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu. Įeiti į tikrinamo juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitu pagrindu) galima tik tikrinamo juridinio asmens darbo laiku pateikus valstybės tarnautojo pažymėjimą. Įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu), kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, galima tik pateikus teismo nutartį dėl leidimo įeiti į gyvenamąsias patalpas;
3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su duomenų apsauga;
4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl duomenų tvarkymo ar apsaugos ekspertizės, duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;
7) keistis informacija su kitų valstybių asmens duomenų priežiūros institucijomis ir tarptautinėmis organizacijomis tiek, kiek to reikia jų pareigoms atlikti;
8) dalyvauti teisme nagrinėjant bylas dėl tarptautinės ir nacionalinės teisės nuostatų asmens duomenų apsaugos klausimais pažeidimų;
9) asmens duomenų tvarkymo teisėtumo patikrinimo metu renkant įrodymus naudoti fotografavimo, filmavimo ir garso įrašymo įrangą;
411 straipsnis. Teismo leidimų įeiti į fizinių asmenų gyvenamąsias patalpas išdavimo tvarka
1. Valstybinei duomenų apsaugos inspekcijai priėmus nutarimą atlikti patikrinimą fizinio asmens gyvenamosiose patalpose (iš jų ir nuomojamose ar naudojamose kitu pagrindu), Vilniaus apygardos administraciniam teismui pateikiamas prašymas dėl teismo leidimo įeiti į fizinio asmens gyvenamąsias patalpas.
2. Prašyme dėl teismo leidimo įeiti į fizinio asmens gyvenamąsias patalpas turi būti nurodytas tikrinamo fizinio asmens vardas, pavardė, gyvenamųjų patalpų adresas, įtariamų pažeidimų pobūdis.
3. Prašymą dėl teismo leidimo įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas išnagrinėja Vilniaus apygardos administracinio teismo teisėjas ir priima motyvuotą nutartį prašymą patenkinti arba atmesti.
4. Prašymas dėl teismo leidimo įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas turi būti išnagrinėtas ir nutartis priimta ne vėliau kaip per 72 valandas nuo prašymo pateikimo momento.
5. Jeigu Valstybinė duomenų apsaugos inspekcija nesutinka su Vilniaus apygardos administracinio teismo teisėjo nutartimi atmesti prašymą, ji turi teisę per 7 kalendorines dienas nuo šios nutarties priėmimo ją apskųsti Lietuvos vyriausiajam administraciniam teismui.
6. Lietuvos vyriausiasis administracinis teismas turi išnagrinėti Valstybinės duomenų apsaugos inspekcijos skundą dėl Vilniaus apygardos administracinio teismo teisėjo nutarties ne vėliau kaip per 7 kalendorines dienas nuo šio skundo pateikimo. Valstybinės duomenų apsaugos inspekcijos atstovas turi teisę dalyvauti nagrinėjant skundą.
Papildyta straipsniu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
DEŠIMTASIS SKIRSNIS
SKUNDŲ PRIĖMIMAS IR TYRIMAS
42 straipsnis. Skundų pateikimas
1. Asmuo turi teisę pateikti Valstybinei duomenų apsaugos inspekcijai skundą dėl duomenų valdytojo veiksmų (neveikimo), kuriais pažeidžiamos šio įstatymo nuostatos.
3. Skundai paprastai paduodami raštu, įskaitant elektroninę formą. Elektroniniu būdu pateikti dokumentai turi būti pasirašyti saugiu elektroniniu parašu. Jeigu skundas gautas žodžiu arba Valstybinė duomenų apsaugos inspekcija nustatė šio įstatymo pažeidimo požymių iš visuomenės informavimo priemonių ir (arba) iš kitų šaltinių, ji gali pradėti tyrimą savo iniciatyva.
43 straipsnis. Reikalavimai skundui
1. Skunde nurodoma:
2) pareiškėjo vardas, pavardė, adresas ir pareiškėjo pageidavimu – jo telefono ryšio numeris ar elektroninio pašto adresas;
3) skundžiamo duomenų valdytojo pavadinimas arba vardas, pavardė, buveinės, gyvenamosios arba duomenų tvarkymo vietos adresas;
44 straipsnis. Anoniminiai skundai
45 straipsnis. Atsisakymas nagrinėti skundą
1. Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 5 darbo dienas nuo skundo gavimo dienos priima sprendimą atsisakyti nagrinėti skundą, apie tai informuodama pareiškėją, jeigu:
1) skunde nurodytų aplinkybių tyrimas nepriklauso Valstybinės duomenų apsaugos inspekcijos kompetencijai;
2) skundas tuo pačiu klausimu buvo išnagrinėtas Valstybinėje duomenų apsaugos inspekcijoje, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;
6) nuo skunde nurodytų pažeidimų padarymo iki skundo padavimo yra praėję daugiau kaip 1 metai.
Papildyta straipsnio punktu:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
2. Jeigu priimamas sprendimas atsisakyti nagrinėti skundą, turi būti nurodyti atsisakymo jį nagrinėti pagrindai.
3. Tais atvejais, kai skundas nepriskirtas Valstybinės duomenų apsaugos inspekcijos kompetencijai, Valstybinė duomenų apsaugos inspekcija per šio straipsnio 1 dalyje nurodytą terminą perduoda skundą institucijai, kuri turi reikiamą kompetenciją, ir apie tai praneša pareiškėjui. Kai kompetentinga institucija yra teismas, skundas grąžinamas pareiškėjui pateikiant reikalingą informaciją.
46 straipsnis. Skundo nagrinėjimo nutraukimas
1. Jeigu gaunamas pareiškėjo prašymas nenagrinėti skundo, Valstybinė duomenų apsaugos inspekcija tyrimą nutraukia. Valstybinė duomenų apsaugos inspekcija gali pradėti tyrimą savo iniciatyva.
47 straipsnis. Papildomos informacijos iš pareiškėjo prašymas
1. Dokumentų ir informacijos, reikalingų skundo tyrimui, reikalavimas iš pareiškėjo turi būti teisėtas ir motyvuotas.
2. Pareiškėjas Valstybinės duomenų apsaugos inspekcijos prašymu privalo pateikti dokumentus ir informaciją per prašyme nurodytą terminą. Pakartotinai reikalauti dokumentų ir informacijos iš pareiškėjo galima tik išimtiniais atvejais ir tinkamai motyvuojant šių dokumentų ir informacijos būtinumą.
48 straipsnis. Skundo priėmimas
Skundo priėmimo faktas patvirtinamas Valstybinės duomenų apsaugos inspekcijos raštu. Rašte nurodoma skundo priėmimo data, skundą nagrinėjančio Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojo vardas, pavardė, telefono ryšio numeris, skundo registracijos numeris. Skundo priėmimo faktą patvirtinantis dokumentas pareiškėjui įteikiamas arba siunčiamas paštu ar elektroniniu paštu ne vėliau kaip per 3 darbo dienas.
49 straipsnis. Skundo ištyrimo terminai
Skundas turi būti ištirtas ir pareiškėjui atsakyta per 2 mėnesius nuo skundo gavimo dienos, išskyrus atvejus, kai dėl skunde nurodytų aplinkybių sudėtingumo, informacijos apimties ar skundžiamų veiksmų tęstinio pobūdžio būtina skundo tyrimą pratęsti. Šiais atvejais skundo tyrimo terminas pratęsiamas, bet ne ilgiau kaip 2 mėnesiais. Visas skundo tyrimo terminas negali būti ilgesnis negu 4 mėnesiai. Apie Valstybinės duomenų apsaugos inspekcijos sprendimą pratęsti skundo tyrimo terminą informuojamas pareiškėjas. Skundai turi būti ištirti per įmanomai trumpiausią laiką.
50 straipsnis. Valstybinės duomenų apsaugos inspekcijos reikalavimų privalomumas
Duomenų valdytojai ir kiti juridiniai ir fiziniai asmenys privalo Valstybinės duomenų apsaugos inspekcijos reikalavimu nedelsdami pateikti informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat sudaryti sąlygas susipažinti su visais duomenimis, įranga, susijusia su asmens duomenų tvarkymu, ir dokumentais, reikalingais atliekant asmens duomenų tvarkymo priežiūros funkcijas.
51 straipsnis. Skundo tyrimas ir Valstybinės duomenų apsaugos inspekcijos priimami sprendimai
1. Valstybinė duomenų apsaugos inspekcija, atlikusi tyrimą, priima motyvuotą sprendimą:
52 straipsnis. Pareiga saugoti Lietuvos Respublikos įstatymų saugomas paslaptis ar duomenis
Valstybinės duomenų apsaugos inspekcijos direktorius, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, privalo išsaugoti valstybės, tarnybos, profesines, komercines (gamybines), banko ir kitas įstatymų saugomas paslaptis ir įstatymų saugomus asmens duomenis, kuriuos sužinojo eidami pareigas.
VIENUOLIKTASIS SKIRSNIS
ATSAKOMYBĖ
53 straipsnis. Atsakomybė už šio įstatymo pažeidimus
Straipsnio pakeitimai:
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
54 straipsnis. Turtinės ir neturtinės žalos atlyginimas
1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat dėl kitų asmenų veiksmų (neveikimo), pažeidžiančių šio įstatymo nuostatas, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo
priedas
ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI
1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL 2004 m. specialusis leidimas, 13 skyrius, 15 tomas, p. 355).
Pakeitimai:
1.
Lietuvos Respublikos Seimas, Įstatymas
Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 5, 6, 7, 8, 9, 14 straipsnių pakeitimo ir papildymo įstatymas
2.
Lietuvos Respublikos Seimas, Įstatymas
Nr. VIII-1852, 2000-07-17, Žin., 2000, Nr. 64-1924 (2000-07-31), i. k. 1001010ISTAIII-1852
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas
3.
Lietuvos Respublikos Seimas, Įstatymas
Nr. IX-719, 2002-01-22, Žin., 2002, Nr. 13-473 (2002-02-06), i. k. 1021010ISTA00IX-719
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 5, 7, 14, 15, 16, 18, 20, 22, 24, 26 straipsnių pakeitimo ir papildymo įstatymas
4.
Lietuvos Respublikos Seimas, Įstatymas
Nr. IX-970, 2002-06-20, Žin., 2002, Nr. 68-2769 (2002-07-03), i. k. 1021010ISTA00IX-970
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo papildymo 10(1) straipsniu ir 15, 17 straipsnių pakeitimo įstatymas
5.
Lietuvos Respublikos Seimas, Įstatymas
Nr. IX-1296, 2003-01-21, Žin., 2003, Nr. 15-597 (2003-02-12), i. k. 1031010ISTA0IX-1296
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas
6.
Lietuvos Respublikos Seimas, Įstatymas
Nr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24), i. k. 1041010ISTA0IX-2111
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 23 ir 26 straipsnių pakeitimo įstatymas
7.
Lietuvos Respublikos Seimas, Įstatymas
Nr. X-1444, 2008-02-01, Žin., 2008, Nr. 22-804 (2008-02-23), i. k. 1081010ISTA00X-1444
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas
8.
Lietuvos Respublikos Seimas, Įstatymas
Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 6, 20, 21, 22, 24, 25, 26, 27, 29, 33, 35, 36, 38, 40, 45, 53 straipsnių, ketvirtojo ir devintojo skirsnių pavadinimų pakeitimo ir papildymo ir Įstatymo papildymo 13-1, 15-1, 35-1, 41-1 straipsniais įstatymas
9.
Lietuvos Respublikos Seimas, Įstatymas
Nr. XII-1430, 2014-12-11, paskelbta TAR 2014-12-23, i. k. 2014-20555
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 15 straipsnio pakeitimo įstatymas