1. Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti, kad Europos Sąjungos ir Lietuvos Respublikos teisės aktuose numatytas kompetentingų institucijų keitimasis asmens duomenimis Europos Sąjungoje nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.

2. Šis įstatymas taikomas Lietuvos Respublikos kompetentingų institucijų atliekamam asmens duomenų tvarkymui, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kai Lietuvos Respublikos valstybės institucijos tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, šis įstatymas taikomas tiek, kiek kituose įstatymuose nenustatyta kitaip.

3. Šis įstatymas reglamentuoja santykius, kurie atsiranda Lietuvos Respublikos kompetentingoms institucijoms tvarkant asmens duomenis visiškai arba iš dalies automatinėmis priemonėmis ir tvarkant asmens duomenis, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, neautomatinėmis priemonėmis, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.

4. Šiame įstatyme nustatytas asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, teisinės apsaugos reglamentavimas suderintas su šio įstatymo priede nurodytais Europos Sąjungos teisės aktais.

1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, pavyzdžiui, vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

2. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

3. Biometriniai duomenys – po specialaus techninio apdorojimo gaunami asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima tiksliai nustatyti arba patvirtinti to fizinio asmens tapatybę, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys.

4. Duomenų gavėjas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valstybės institucijos, kurios pagal Europos Sąjungos valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjomis; tvarkydamos tuos duomenis tos valstybės institucijos laikosi duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.

5. Duomenų tvarkymas – bet kokia automatinėmis arba neautomatinėmis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

6. Duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje.

7. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

8. Duomenų valdytojas – kompetentinga institucija, kuri viena ar drauge su kitomis kompetentingomis institucijomis nustato asmens duomenų tvarkymo tikslus ir priemones. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, duomenų valdytojas arba konkretūs jo skyrimo kriterijai taip pat gali būti nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose.

9. Genetiniai duomenys – asmens duomenys, kurie yra susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie jo fiziologiją ar sveikatą, ir kurie gaunami visų pirma analizuojant biologinį to fizinio asmens mėginį.

10. Kompetentinga institucija – valstybės institucija, įgaliota vykdyti nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba bausmių vykdymą, įskaitant apsaugos nuo grėsmių visuomenės saugumui užtikrinimą ir jų prevenciją, arba bet kokia kita įstaiga arba subjektas, kuriems pagal Europos Sąjungos valstybės narės teisės aktus pavesta atlikti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kompetentinga institucija taip pat laikoma Lietuvos Respublikos valstybės institucija, kuri tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais.

11. Profiliavimas – bet kokios formos automatinis asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.

12. Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskiriami konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti.

13. Susistemintas rinkinys – bet kuris sistemingai sutvarkytas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu.

14. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.

15. Tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

1. Asmens duomenys turi būti:

2. Tam pačiam arba kitam duomenų valdytojui tvarkyti asmens duomenis kitais šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais negu tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu vadovaujantis Europos Sąjungos arba Lietuvos Respublikos teisės aktais duomenų valdytojui leidžiama tvarkyti tuos asmens duomenis tokiu tikslu ir duomenų tvarkymas tokiu tikslu yra būtinas ir proporcingas.

3. To paties ar kito duomenų valdytojo atliekamas asmens duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimą mokslinio, statistinio ar istorinio tyrimo tikslais siekiant šio įstatymo 1 straipsnio 2 dalyje nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4. Duomenų valdytojas yra atsakingas už šio straipsnio 1, 2 ir 3 dalių nuostatų laikymąsi ir turi sugebėti įrodyti, kad jų laikomasi.

Asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai nustatomi Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais. Šių terminų laikymasis užtikrinamas techninėmis ir organizacinėmis priemonėmis.

Duomenų valdytojas, kuris tvarko skirtingų kategorijų duomenų subjektų asmens duomenis, privalo, kiek įmanoma, aiškiai šiuos duomenis atskirti. Šis reikalavimas taikomas tvarkant šių kategorijų duomenų subjektų asmens duomenis:

1. Duomenų valdytojas, kiek įmanoma, faktais pagrįstus asmens duomenis turi atskirti nuo asmeniniais vertinimais pagrįstų asmens duomenų.

2. Kompetentingos institucijos privalo imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, patikrina asmens duomenų kokybę prieš juos persiųsdama arba prieš suteikdama galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę asmens duomenis gaunančiai kompetentingai institucijai įvertinti asmens duomenų tikslumą, išsamumą ir patikimumą, taip pat jų naujumą.

3. Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, apie tai nedelsiant pranešama duomenų gavėjui. Tokiu atveju šie asmens duomenys pagal šio įstatymo 14 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, kai jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai funkcijoms šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais atlikti, ir grindžiamas Europos Sąjungos arba Lietuvos Respublikos teisės aktais. Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, turi būti nurodyti duomenų tvarkymo siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą.

2. Kompetentingų institucijų šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais renkami asmens duomenys negali būti tvarkomi kitais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus. Jei asmens duomenys tvarkomi kitais tikslais, taikomas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

3. Kai kompetentingoms institucijoms pagal Lietuvos Respublikos teisės aktus yra pavesta atlikti kitas funkcijas negu tos, kurios atliekamos šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, tvarkant asmens duomenis tokiais tikslais, įskaitant jų archyvavimą dėl viešojo intereso, naudojimą mokslinio ar istorinio tyrimo tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymas.

4. Tais atvejais, kai Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, taikomuose asmens duomenis persiunčiančiai kompetentingai institucijai, numatytos specialios asmens duomenų tvarkymo sąlygos, asmens duomenis persiunčianti kompetentinga institucija turi informuoti asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

5. Asmens duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose Europos Sąjungos valstybėse narėse arba pagal Sutarties dėl Europos Sąjungos veikimo V antraštinės dalies 4 ir 5 skyrius įsteigtoms agentūroms, organams ir įstaigoms pagal šio straipsnio 4 dalį netaiko kitokių sąlygų negu tos, kurios taikomos panašiems asmens duomenų persiuntimams, kai jie atliekami Lietuvos Respublikoje.

Duomenų tvarkymas, kuriuo atskleidžiama rasinė ar etninė kilmė, politinės pažiūros, religiniai, filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant konkrečiai nustatyti fizinio asmens tapatybę arba sveikatos duomenų ar duomenų apie lytinį gyvenimą ar seksualinę orientaciją tvarkymas leidžiamas tik tais atvejais, kai tai tikrai būtina ir taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir:

1. Draudžiama remiantis tik automatiniu duomenų tvarkymu, įskaitant profiliavimą, priimti sprendimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris jam turi didelės įtakos, išskyrus atvejus, kai tai leidžiama pagal Europos Sąjungos ar Lietuvos Respublikos teisės aktus, kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, bent jau teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo.

2. Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami šio įstatymo 8 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti.

3. Draudžiamas profiliavimas, lemiantis fizinių asmenų diskriminaciją remiantis šio įstatymo 8 straipsnyje nurodytais specialių kategorijų asmens duomenimis.

1. Duomenų valdytojas turi imtis visų pagrįstų priemonių, kad šio įstatymo 11 straipsnyje nurodyta informacija ir pranešimai pagal šio įstatymo 12, 13, 14, 15, 16 ir 30 straipsnius, susiję su asmens duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama elektroniniu būdu ir (ar) bet kokiomis kitomis tinkamomis priemonėmis. Duomenų valdytojas duomenų subjekto prašomą pateikti informaciją apie asmens duomenų tvarkymą pateikia tokia pačia forma, kokia buvo gautas prašymas.

2. Duomenų valdytojas sudaro palankias sąlygas naudotis šio įstatymo 12, 13, 14, 15 ir 16 straipsniuose nustatytomis duomenų subjekto teisėmis.

3. Duomenų valdytojas nedelsdamas, bet ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos, raštu pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal šio įstatymo 12, 13, 14 ir 15 straipsnius, arba atsisakymą imtis veiksmų pagal duomenų subjekto prašymą. Šis terminas prireikus gali būti pratęstas iki trijų mėnesių, atsižvelgiant į duomenų subjekto pateiktų prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos raštu praneša duomenų subjektui apie šioje dalyje nurodyto termino pratęsimą ir pratęsimo priežastis. Jei duomenų valdytojas atsisako imtis veiksmų pagal duomenų subjekto prašymą, jis praneša duomenų subjektui apie atsisakymo priežastis ir apie duomenų subjekto teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

4. Duomenų valdytojas šio straipsnio 1 dalyje nurodytą informaciją ir pranešimus teikia ir kitus su duomenų subjektų teisių įgyvendinimu susijusius veiksmus atlieka nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:

5. Šio straipsnio 4 dalyje nurodytais atvejais pareiga įrodyti, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka duomenų valdytojui.

6. Atlyginimas, imamas vadovaujantis šio straipsnio 4 dalies 1 punktu, turi neviršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Atlyginimo dydį duomenų valdytojas nustato ir tvirtina atsižvelgdamas į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.

7. Duomenų valdytojas, turėdamas pagrįstų abejonių dėl šio įstatymo 12 arba 14 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, gali paprašyti pateikti papildomos informacijos, reikalingos duomenų subjekto tapatybei patvirtinti.

1. Duomenų valdytojas privalo duomenų subjektui padaryti prieinamą (paskelbti savo interneto svetainėje arba padaryti kitu būdu prieinamą) šią informaciją:

2. Tais atvejais, kai duomenų valdytojas ketina tvarkyti ar tvarko duomenų subjekto asmens duomenis, jis duomenų subjektui turi pateikti šią informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

3. Šio straipsnio 2 dalyje nurodytos informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais tiek, kiek ir tol, kol tai, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga siekiant:

Duomenų subjektas turi teisę gauti duomenų valdytojo patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o kai šie duomenys tvarkomi, duomenų subjektas turi teisę susipažinti su asmens duomenimis ir šia informacija apie:

1. Šio įstatymo 12 straipsnyje nustatyta duomenų subjekto teisė susipažinti su asmens duomenimis gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nustatytais atvejais tiek, kiek ir tol, kol šis apribojimas, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:

2. Šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas turi raštu pateikti duomenų subjektui informaciją apie bet kokį atsisakymą suteikti teisę susipažinti su asmens duomenimis arba šios teisės apribojimą ir šio atsisakymo ar apribojimo priežastis. Ši informacija gali būti nepateikta, jeigu jos pateikimas pakenktų šio straipsnio 1 dalyje nurodytam tikslui. Duomenų valdytojas turi pateikti duomenų subjektui informaciją apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

3. Duomenų valdytojas turi kiekvienu konkrečiu atveju įvertinti, ar teisė susipažinti su asmens duomenimis turi būti visiškai arba iš dalies apribota, taip pat fiksuoti raštu, įskaitant elektroninę formą, faktines arba teisines priežastis, kuriomis pagrįstas sprendimas apriboti šią teisę, ir prireikus šią informaciją pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, šio subjekto prašymu.

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgdamas į asmens duomenų tvarkymo tikslus, duomenų subjektas taip pat turi teisę reikalauti, kad būtų papildyti neišsamūs jo asmens duomenys.

2. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištrintų jo asmens duomenis, jeigu jų tvarkymas pažeidžia šio įstatymo 3 straipsnio, 7 straipsnio 1 dalies ir (ar) 8 straipsnio nuostatas arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui. Duomenų valdytojas privalo nedelsdamas ištrinti asmens duomenis, kai duomenų subjekto prašymas pagrįstas.

3. Duomenų valdytojas apriboja asmens duomenų tvarkymą jų neištrindamas, kai:

4. Kai duomenų tvarkymas ribojamas pagal šio straipsnio 3 dalies 1 punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, apie tai praneša duomenų subjektui.

5. Duomenų valdytojas turi raštu pateikti duomenų subjektui informaciją apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis. Pareiga pateikti šią informaciją gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nurodytais atvejais tiek, kiek šis apribojimas, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:

6. Duomenų valdytojas šio straipsnio 5 dalyje nurodytais atvejais turi pateikti duomenų subjektui informaciją apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

7. Duomenų valdytojas nedelsdamas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.

8. Tais atvejais, kai pagal šio straipsnio 1, 2 ir 3 dalis asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas, duomenų valdytojas nedelsdamas turi apie tai pranešti duomenų gavėjams, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą.

1. Šio įstatymo 11 straipsnio 3 dalyje, 13 straipsnio 2 dalyje ir 14 straipsnio 5 dalyje nurodytais atvejais duomenų subjekto teisės gali būti įgyvendintos per Valstybinę duomenų apsaugos inspekciją, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais. Duomenų subjektas turi kreiptis į Valstybinę duomenų apsaugos inspekciją jos nustatyta tvarka dėl savo teisių įgyvendinimo. Duomenų valdytojas turi suteikti duomenų subjektui informaciją apie šią galimybę.

2. Kai duomenų subjekto teisės įgyvendinamos šio straipsnio 1 dalyje nurodyta tvarka, Valstybinė duomenų apsaugos inspekcija praneša duomenų subjektui bent apie tai, kad ji atliko visus būtinus patikrinimus arba peržiūrą. Valstybinė duomenų apsaugos inspekcija taip pat praneša duomenų subjektui apie jo teisę kreiptis į teismą.

Vykstant baudžiamajam procesui, duomenų subjektas šio įstatymo 11, 12 ir 14 straipsniuose nurodytomis teisėmis naudojasi tiek, kiek Lietuvos Respublikos baudžiamojo proceso kodekse nenustatyta kitokia teisių įgyvendinimo tvarka.

1. Duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio įstatymo. Šios priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, šio straipsnio 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą asmens duomenų apsaugos politiką.

1. Duomenų valdytojas, atsižvelgdamas į technines galimybes, įgyvendinimo sąnaudas ir į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, tiek nustatydamas duomenų tvarkymo priemones, tiek duomenų tvarkymo metu įgyvendina tinkamas technines ir organizacines priemones (pseudonimų suteikimą ir (ar) kitas priemones), kuriomis siekiama veiksmingai įgyvendinti asmens duomenų apsaugos principus ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų apsaugotos duomenų subjektų teisės.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, saugojimo laikotarpiui ir prieinamumui. Visų pirma šioje dalyje nurodytomis priemonėmis užtikrinama, kad standartizuotai, be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

1. Du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslus ir priemones, yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriai nustato savo atsakomybę už šio įstatymo nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su pareigomis pateikti duomenų subjektui šio įstatymo 11 straipsnyje nurodytą informaciją, laikymąsi, išskyrus atvejus, kai duomenų valdytojų atsakomybė nustatoma Europos Sąjungos arba Lietuvos Respublikos teisės aktuose. Šioje dalyje nurodytame susitarime turi būti nustatyta, į kurį duomenų valdytoją duomenų subjektas turi kreiptis dėl savo teisių įgyvendinimo.

2. Nepaisant šio straipsnio 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis šiame įstatyme nustatytomis teisėmis kiekvieno iš duomenų valdytojų atžvilgiu.

1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio duomenų valdytojo leidimo atveju duomenų tvarkytojas praneša duomenų valdytojui apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas rašytinėje sutartyje ar Europos Sąjungos arba Lietuvos Respublikos teisės akte, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis, duomenų subjektų kategorijos ir duomenų valdytojo prievolės ir teisės. Šioje dalyje numatytuose sutartyje ar teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

4. Duomenų tvarkytojas, kuris, pažeisdamas šį įstatymą, nustato duomenų tvarkymo tikslus ir priemones, tokio duomenų tvarkymo atžvilgiu laikomas duomenų valdytoju.

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, gali tvarkyti asmens duomenis tik pagal duomenų valdytojo nurodymus, nebent Europos Sąjungos arba Lietuvos Respublikos teisės aktuose nustatyta kitaip.

1. Duomenų valdytojai tvarko visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, įrašus, kuriuose pateikiama ši informacija:

2. Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

3. Šio straipsnio 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektroninę formą.

4. Duomenų valdytojas ir duomenų tvarkytojas turi pateikti šio straipsnio 1 ir 2 dalyse nurodytus įrašus Valstybinei duomenų apsaugos inspekcijai jos prašymu, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

1. Duomenų valdytojas užtikrina, kad būtų saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas, atliktas automatinėse duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti šių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris atliko asmens duomenų užklausą arba asmens duomenis atskleidė, tapatybę ir šių asmens duomenų gavėjų tapatybę.

2. Registracijos įrašai naudojami tik duomenų tvarkymo teisėtumui patikrinti, savikontrolei, asmens duomenų vientisumui ir saugumui užtikrinti, taip pat baudžiamojo proceso tikslais.

3. Duomenų valdytojas ir duomenų tvarkytojas turi pateikti registracijos įrašus Valstybinei duomenų apsaugos inspekcijai jos prašymu, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

Gavę Valstybinės duomenų apsaugos inspekcijos prašymą, duomenų valdytojas ir duomenų tvarkytojas bendradarbiauja su Valstybine duomenų apsaugos inspekcija jai atliekant funkcijas.

1. Kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir parengia poveikio duomenų apsaugai vertinimo ataskaitą.

2. Poveikio duomenų apsaugai vertinimo ataskaitoje pateikiamas bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos šio pavojaus pašalinimo priemonės, asmens duomenų apsaugos priemonės, asmens duomenų saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio įstatymo, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus, ir kita, duomenų valdytojo nuomone, svarbi informacija.

1. Duomenų valdytojas arba duomenų tvarkytojas, prieš tvarkydamas asmens duomenis, kurie bus įtraukti į kuriamą naują susistemintą rinkinį, iš anksto konsultuojasi su Valstybine duomenų apsaugos inspekcija, jeigu:

2. Valstybinė duomenų apsaugos inspekcija gali sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, dėl kurių turi būti su ja konsultuojamasi pagal šio straipsnio 1 dalį, sąrašą.

3. Duomenų valdytojas turi pateikti Valstybinei duomenų apsaugos inspekcijai poveikio duomenų apsaugai vertinimo ataskaitą, o Valstybinės duomenų apsaugos inspekcijos prašymu ir kitą informaciją, kad Valstybinė duomenų apsaugos inspekcija galėtų įvertinti, ar duomenų tvarkymas atitinka šio įstatymo reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

4. Valstybinė duomenų apsaugos inspekcija, nustačiusi, kad šio straipsnio 1 dalyje nurodytas duomenų tvarkymas šio įstatymo nuostatas pažeistų visų pirma dėl to, kad duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, ne vėliau kaip per šešias savaites nuo prašymo suteikti konsultaciją gavimo dienos turi raštu pateikti duomenų valdytojui ir, jei reikia, duomenų tvarkytojui rekomendacijas ir gali pasinaudoti bet kuriomis šio įstatymo 41 straipsnyje nurodytomis teisėmis. Šis terminas gali būti pratęstas vienam mėnesiui, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Valstybinė duomenų apsaugos inspekcija praneša duomenų valdytojui ir, jei reikia, duomenų tvarkytojui apie šioje dalyje nurodyto rekomendacijų pateikimo termino pratęsimą ir šio pratęsimo priežastis per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo dienos.

5. Rengiant įstatymų ir kitų teisės aktų projektus, susijusius su asmens duomenų tvarkymu šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, šie projektai turi būti teikiami Valstybinei duomenų apsaugos inspekcijai, kad ji pateiktų savo išvadas.

6. Šio straipsnio, išskyrus 5 dalį, nuostatos netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis tvarko nacionalinio saugumo arba gynybos tikslais.

Duomenų valdytojai turi diegti veiksmingus mechanizmus, kuriais būtų skatinama jiems konfidencialiai pranešti apie šio įstatymo pažeidimus dėl asmens duomenų tvarkymo.

1. Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į technines galimybes, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su šio įstatymo 8 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.

2. Automatinio duomenų tvarkymo srityje duomenų valdytojas arba duomenų tvarkytojas, atlikę rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:

1. Duomenų valdytojas nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą turi pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai, nebent šis pažeidimas neturėtų kelti pavojaus žmogaus teisėms ir laisvėms. Jeigu pranešimas apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas vėliau negu per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.

2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas apie tai praneša duomenų valdytojui.

3. Šio straipsnio 1 dalyje nurodytame pranešime turi būti:

4. Jeigu šio straipsnio 3 dalyje nurodytos informacijos neįmanoma pateikti tuo pačiu metu, ši informacija toliau nedelsiant gali būti teikiama dalimis.

5. Duomenų valdytojas fiksuoja raštu, įskaitant elektroninę formą, visus šio straipsnio 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, šio pažeidimo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi dokumentais, kuriuose užfiksuoti asmens duomenų saugumo pažeidimai, Valstybinė duomenų apsaugos inspekcija turi turėti galimybę patikrinti, ar laikomasi šio straipsnio nuostatų.

6. Kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kuriuos persiuntė kitos Europos Sąjungos valstybės narės duomenų valdytojas arba kurie buvo persiųsti kitos Europos Sąjungos valstybės narės duomenų valdytojui, šio straipsnio 3 dalyje nurodyta informacija nedelsiant turi būti pateikta tos Europos Sąjungos valstybės narės duomenų valdytojui.

7. Šio straipsnio nuostatos netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis tvarko nacionalinio saugumo arba gynybos tikslais.

1. Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas apie asmens duomenų saugumo pažeidimą praneša duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama šio įstatymo 29 straipsnio 3 dalies 2, 3, 4 ir 5 punktuose nurodyta informacija.

3. Šio straipsnio 1 dalyje nurodytu atveju pranešti duomenų subjektui nereikalaujama, jeigu įvykdoma bent viena iš šių sąlygų:

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Valstybinė duomenų apsaugos inspekcija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus žmogaus teisėms ir laisvėms, gali pareikalauti, kad duomenų valdytojas tą padarytų, arba nuspręsti, kad įvykdyta bet kuri iš šio straipsnio 3 dalyje nurodytų sąlygų, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

5. Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis šio įstatymo 11 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

1. Duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Prievolė paskirti duomenų apsaugos pareigūną netaikoma teismams, kai jie asmens duomenis tvarko vykdydami teisingumą.

2. Duomenų apsaugos pareigūnas skiriamas atsižvelgiant į profesines savybes, visų pirma duomenų apsaugos teisės ir praktikos ekspertines žinias, taip pat gebėjimą atlikti šio įstatymo 33 straipsnyje nurodytas funkcijas.

3. Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4. Duomenų valdytojas viešai paskelbia duomenų apsaugos pareigūno kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą). Duomenų valdytojas duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą) perduoda Valstybinei duomenų apsaugos inspekcijai per 10 darbo dienų nuo duomenų apsaugos pareigūno paskyrimo dienos, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

1. Duomenų valdytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2. Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti šio įstatymo 33 straipsnyje nurodytas funkcijas suteikdamas šioms funkcijoms atlikti būtinus išteklius ir galimybę susipažinti su asmens duomenimis ir duomenų tvarkymo operacijomis, taip pat išlaikyti duomenų apsaugos pareigūno ekspertines žinias.

1. Duomenų valdytojas duomenų apsaugos pareigūnui paveda atlikti šias funkcijas:

2. Duomenų valdytojas turi teisę pavesti duomenų apsaugos pareigūnui atlikti ir kitas funkcijas, susijusias su šio įstatymo įgyvendinimu. Duomenų valdytojas užtikrina, kad dėl to nekiltų interesų konfliktas.

1. Kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, įskaitant ir tolesnius jų perdavimus į kitą trečiąją valstybę arba tarptautinei organizacijai, tik tuo atveju, kai šis perdavimas atitinka šio įstatymo reikalavimus ir šiame skirsnyje nustatytas sąlygas, tai yra:

2. Perduoti asmens duomenis be kitos Europos Sąjungos valstybės narės išankstinio leidimo pagal šio straipsnio 1 dalies 3 punktą leidžiama tik tuo atveju, kai asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei Lietuvos Respublikos arba trečiosios valstybės visuomenės saugumui arba Lietuvos Respublikos esminiams interesams, o išankstinio leidimo laiku gauti negalima. Apie tokį asmens duomenų perdavimą nedelsiant pranešama kitos Europos Sąjungos valstybės narės institucijai, atsakingai už išankstinio leidimo perduoti asmens duomenis suteikimą.

3. Šio skirsnio nuostatos taikomos siekiant užtikrinti, kad nesumažėtų pagal šį įstatymą fiziniams asmenims užtikrinamos asmens duomenų apsaugos lygis.

1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Europos Komisija nusprendė, kad ši trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių šioje trečiojoje valstybėje, arba ši tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Šiuo atveju dėl asmens duomenų perdavimo specialaus leidimo nereikia.

2. Europos Komisijos sprendimas, nustatantis, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio asmens duomenų apsaugos, neturi įtakos asmens duomenų perdavimui į tą trečiąją valstybę, teritoriją arba nurodytam vienam ar daugiau sektorių trečiojoje valstybėje, arba tai tarptautinei organizacijai pagal šio įstatymo 36 ir 37 straipsnius.

1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo, asmens duomenys gali būti perduodami į trečiąją valstybę arba tarptautinei organizacijai, kai:

2. Duomenų valdytojas pateikia Valstybinei duomenų apsaugos inspekcijai informaciją apie asmens duomenų perdavimo pagal šio straipsnio 1 dalies 2 punktą kategorijas.

3. Asmens duomenų perdavimas šio straipsnio 1 dalies 2 punkte nurodytu atveju fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, pateikiami Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis.

4. Šio straipsnio 2 ir 3 dalių nuostatos netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis perduoda nacionalinio saugumo arba gynybos tikslais.

1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo arba nenustatytos tinkamos asmens duomenų apsaugos priemonės pagal šio įstatymo 36 straipsnį, asmens duomenų perdavimas ar tam tikros kategorijos asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekami tik su sąlyga, kad perduoti asmens duomenis būtina:

2. Asmens duomenys negali būti perduodami, jeigu asmens duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už viešąjį interesą, kai asmens duomenų perdavimas atliekamas remiantis šio straipsnio 1 dalies 4 ir 5 punktais.

3. Asmens duomenų perdavimas pagal šio straipsnio 1 dalį fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis, išskyrus atvejus, kai asmens duomenys perduodami nacionalinio saugumo arba gynybos tikslais.

1. Nukrypstant nuo šio įstatymo 34 straipsnio 1 dalies 2 punkto ir nedarant poveikio dvišaliams ar daugiašaliams tarptautiniams susitarimams, galiojantiems tarp Europos Sąjungos valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir teisėsaugos institucijų bendradarbiavimo srityje, Lietuvos Respublikos valstybės institucija, veikianti kaip kompetentinga institucija, konkrečiais ir atskirais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams perduoda tiesiogiai tik tuo atveju, kai toks perdavimas atitinka šio įstatymo reikalavimus ir yra tenkinamos visos šios sąlygos:

2. Asmens duomenis perduodanti kompetentinga institucija praneša Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų perdavimą pagal šio straipsnio 1 dalį.

3. Asmens duomenų perdavimas pagal šio straipsnio 1 dalį fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie duomenų gavėją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis.

4. Šio straipsnio 2 ir 3 dalių nuostatos netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis perduoda nacionalinio saugumo arba gynybos tikslais.

1. Valstybinė duomenų apsaugos inspekcija yra atsakinga už šio įstatymo taikymo stebėseną, kad būtų apsaugotos žmogaus pagrindinės teisės ir laisvės tvarkant asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Europos Sąjungoje.

2. Valstybinė duomenų apsaugos inspekcija bendradarbiauja su kitų Europos Sąjungos valstybių narių priežiūros institucijomis ir Europos Komisija, dalyvauja Reglamentu (ES) 2016/679 įsteigtos Europos duomenų apsaugos valdybos (toliau – Valdyba) veikloje.

3. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti duomenų tvarkymo, kurį atlieka teismai vykdydami teisingumą. Ji taip pat neturi teisės kontroliuoti duomenų tvarkymo, kurį atlieka Lietuvos Respublikos valstybės institucijos nacionalinio saugumo ar gynybos tikslais.

4. Valstybinė duomenų apsaugos inspekcija, pagal šį įstatymą atlikdama jai pavestas funkcijas ir naudodamasi jai suteiktomis teisėmis, veikia visiškai nepriklausomai. Valstybinės duomenų apsaugos inspekcijos nepriklausomumo garantijos nustatytos Reglamente (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatyme.

5. Valstybinė duomenų apsaugos inspekcija, vadovaudamasi Reglamentu (ES) 2016/679, kasmet rengia metinę veiklos ataskaitą. Joje gali būti informacija apie šio įstatymo pažeidimus ir taikytas nuobaudas. Valstybinės duomenų apsaugos inspekcijos metinė veiklos ataskaita pateikiama Europos Komisijai ir Valdybai. Ši ataskaita Lietuvos Respublikos teisės aktų nustatyta tvarka pateikiama kitoms valstybės institucijoms ir paskelbiama Valstybinės duomenų apsaugos inspekcijos interneto svetainėje.

1. Valstybinė duomenų apsaugos inspekcija:

2. Valstybinė duomenų apsaugos inspekcija savo funkcijas duomenų subjektams ir duomenų apsaugos pareigūnams atlieka nemokamai. Jeigu duomenų subjekto ar duomenų apsaugos pareigūno prašymas yra akivaizdžiai nepagrįstas arba neproporcingas visų pirma dėl jo pasikartojančio pobūdžio, Valstybinė duomenų apsaugos inspekcija gali imti pagrįstą atlyginimą arba gali atsisakyti imtis veiksmų pagal šį prašymą. Šio atlyginimo dydis neturi viršyti Valstybinės duomenų apsaugos inspekcijos patirtų administracinių išlaidų. Pareiga įrodyti, kad šioje dalyje nurodytas prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka Valstybinei duomenų apsaugos inspekcijai.

Valstybinė duomenų apsaugos inspekcija, be Asmens duomenų teisinės apsaugos įstatyme nustatytų teisių, taip pat turi teisę taikyti šias poveikio priemones:

1. Valstybinė duomenų apsaugos inspekcija kitoms Europos Sąjungos valstybių narių priežiūros institucijoms teikia informaciją ir savitarpio pagalbą. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, įskaitant prašymus suteikti konsultacijas, atlikti patikrinimus ir tyrimus.

2. Valstybinė duomenų apsaugos inspekcija imasi visų būtinų priemonių, kad atsakytų į kitos priežiūros institucijos savitarpio pagalbos prašymą nedelsdama ir ne vėliau kaip per vieną mėnesį nuo šio prašymo gavimo dienos. Tai gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.

3. Valstybinė duomenų apsaugos inspekcija, gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, negali atsisakyti jo tenkinti, išskyrus atvejus, kai:

4. Valstybinė duomenų apsaugos inspekcija, gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, praneša šį prašymą pateikusiai priežiūros institucijai apie jo nagrinėjimo rezultatus arba priemones, kurių imtasi siekiant į jį atsakyti. Valstybinė duomenų apsaugos inspekcija, atsisakiusi tenkinti prašymą bet kuriuo šio straipsnio 3 dalyje nurodytu atveju, šį prašymą pateikusiai priežiūros institucijai pateikia atsisakymo patenkinti prašymą priežastis.

5. Valstybinė duomenų apsaugos inspekcija kitų priežiūros institucijų prašomą informaciją paprastai teikia elektroninėmis priemonėmis, naudodamasi standartizuota forma.

6. Valstybinė duomenų apsaugos inspekcija už veiksmus, kurių ji imasi gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, atlyginimo neima. Priežiūros institucijos gali tarpusavyje susitarti dėl konkrečių išlaidų, patirtų teikiant savitarpio pagalbą išimtinėmis aplinkybėmis, kompensavimo taisyklių.

7. Valstybinės duomenų apsaugos inspekcijos pagalbos prašymuose kitoms Europos Sąjungos valstybių narių priežiūros institucijoms nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Informacija, kuria pasikeista, naudojama tik tam tikslui, kuriam jos buvo prašoma.

1. Valstybinė duomenų apsaugos inspekcija gali savo iniciatyva pradėti tyrimą ir (ar) patikrinimą bet kokiu klausimu, susijusiu su galimu šio įstatymo pažeidimu.

2. Valstybinė duomenų apsaugos inspekcija tyrimus ir (ar) patikrinimus savo iniciatyva dėl galimo šio įstatymo pažeidimo atlieka Asmens duomenų teisinės apsaugos įstatymo, kiek nenustatyta šiame įstatyme, nustatyta tvarka. Kai atlikdama tyrimą ir (ar) patikrinimą savo iniciatyva Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme numatyti tyrimo ir (ar) patikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminai.

1. Duomenų subjektas, manydamas, kad su juo susiję asmens duomenys tvarkomi pažeidžiant šio įstatymo nuostatas, turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

2. Jeigu skundas pateiktas dėl kitoje Europos Sąjungos valstybėje narėje atliekamo duomenų tvarkymo, Valstybinė duomenų apsaugos inspekcija nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos, šį skundą persiunčia kitos Europos Sąjungos valstybės narės kompetentingai priežiūros institucijai. Duomenų subjektui apie jo skundo persiuntimą pranešama nedelsiant, ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos. Šiuo atveju Valstybinė duomenų apsaugos inspekcija duomenų subjekto prašymu toliau teikia jam pagalbą.

3. Valstybinė duomenų apsaugos inspekcija skundus nagrinėja šio įstatymo ir Asmens duomenų teisinės apsaugos įstatymo, kiek nenustatyta šiame įstatyme, nustatyta tvarka. Kai nagrinėdama skundus Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme nustatyti skundų nagrinėjimo terminai.

1. Fiziniai ar juridiniai asmenys turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos sprendimus teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

2. Jei Valstybinė duomenų apsaugos inspekcija gauto skundo nenagrinėja arba per tris mėnesius nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos nepraneša duomenų subjektui apie pagal šio įstatymo 44 straipsnį pateikto skundo nagrinėjimo pažangą, kai skundas ar jo dalis neišnagrinėta, ar rezultatus, duomenų subjektas turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos veiksmus ar neveikimą teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

Duomenų subjektas, manydamas, kad šiame įstatyme nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį įstatymą, turi teisę Administracinių bylų teisenos įstatymo nustatyta tvarka skųsti teismui duomenų valdytojo arba duomenų tvarkytojo veiksmus ar neveikimą.

Duomenų subjektas turi teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, kuri įsteigta pagal Europos Sąjungos valstybės narės teisės aktus, kurios steigimo dokumentuose nurodyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, jo vardu pateikti skundą ir jo vardu naudotis šio įstatymo 44, 45 ir 46 straipsniuose nurodytomis teisėmis.

Asmuo, patyręs turtinę ir neturtinę žalą dėl neteisėto duomenų tvarkymo operacijos arba dėl kito veiksmo, kuriuo pažeidžiamos šio įstatymo nuostatos, turi teisę iš duomenų valdytojo reikalauti atlyginti jam padarytą žalą.

1. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 17–33 straipsnių nuostatas, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 0,5 procento duomenų valdytojo ar duomenų tvarkytojo einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne didesnę negu trisdešimt tūkstančių eurų.

2. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 3–15, 34–38 straipsnių nuostatas, taip pat nesilaikančiam šio įstatymo 41 straipsnio 1, 2 ir 3 punktuose nurodytų Valstybinės duomenų apsaugos inspekcijos taikytų priemonių, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 1 procento duomenų valdytojo ar duomenų tvarkytojo einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne didesnę negu šešiasdešimt tūkstančių eurų.

1. Valstybinė duomenų apsaugos inspekcija administracines baudas skiria vadovaudamasi šiuo įstatymu ir Asmens duomenų teisinės apsaugos įstatymu, kiek nenustatyta šiame įstatyme.

2. Valstybinė duomenų apsaugos inspekcija užtikrina, kad už šio įstatymo pažeidimus skiriamos administracinės baudos kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasančios.

3. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su šio įstatymo 41 straipsnio 1, 2 ir 3 punktuose nustatytomis poveikio priemonėmis arba vietoj jų. Sprendžiant dėl administracinės baudos skyrimo ir jos dydžio, kiekvienu konkrečiu atveju atsižvelgiama į:

4. Valstybinė duomenų apsaugos inspekcija, spręsdama dėl administracinės baudos skyrimo ir jos dydžio, gali atsižvelgti ir į kitus, šio straipsnio 3 dalyje nenurodytus, veiksnius, lengvinančius duomenų valdytojo ar duomenų tvarkytojo atsakomybę.

5. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią duomenų tvarkymo operaciją ar susijusias duomenų tvarkymo operacijas, tyčia ar dėl neatsargumo pažeidžia kelias šio įstatymo nuostatas, bendra skiriamos administracinės baudos suma nėra didesnė už sumą, kuri šiame įstatyme nustatyta už sunkiausią iš padarytų pažeidimų.

6. Valstybinės duomenų apsaugos inspekcijos sprendimas dėl administracinės baudos skyrimo vykdomas Asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka.