З А К О Н

ЛИТОВСКОЙ РЕСПУБЛИКИ

О ПРАВОВОЙ ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

от 11 ноября 1996 г. № I-1374

Вильнюс

 

(C изменениями и дополнениями, внесенными Законом от 12 марта 1998 г. № VIII-662; Законом от 17 июля 2000 г. № VIII-1852; Законом от 22 января 2002 г. № IX-719, Законом от 20 июня 2002 г. № IX-970; Законом от 21 января 2003 г. № IX-1296; Законом от 13 апреля 2004 г. № IX-2111; Законом от 1 февраля 2008 г. № X-1444 (новая редакция Закона); Законом от 12 мая 2011 г. № XI-1372)

 

ГЛАВА ПЕРВАЯ

ОБЩИЕ ПОЛОЖЕНИЯ

 

Статья 1. Цель, назначение и область применения Закона

1. Цель настоящего Закона – защита права человека на неприкосновенность частной жизни при обработке персональных данных.

2. Настоящий Закон регламентирует отношения, которые возникают при обработке персональных данных автоматическим способом, а также при обработке неавтоматическим способом систематизированных наборов персональных данных: списков, картотек, дел, сводов и других. Законом устанавливаются права физических лиц как субъектов данных, порядок защиты этих прав, права, обязанности и ответственность юридических и физических лиц при обработке персональных данных.

3. Настоящий Закон применяется для обработки персональных данных, если:

1) персональные данные при осуществлении своей деятельности обрабатывает управляющий данными, учрежденный и действующий на территории Литовской Республики. Если обработку персональных данных осуществляет филиал или представительство управляющего данными государства-члена Европейского Союза или другого государства Европейского экономического пространства, учрежденные и действующие в Литовской Республике, в отношении них применяются положения настоящего Закона, предназначенные для управляющего данными;

2) обработку персональных данных осуществляет управляющий данными, учрежденный не на территории Литовской Республики, в отношении которого применяются законы Литовской Республики в соответствии с международным публичным правом (в том числе дипломатические представительства, консульские учреждения);

3) обработку персональных данных осуществляет управляющий данными, который учрежден и действует в государстве, которое не является членом Европейского Союза или другим государством Европейского экономического пространства (далее – третье государство), но использует находящиеся в Литовской Республике средства обработки персональных данных, за исключением случаев, когда такие средства применяются только для пересылки данных транзитом через территорию Литовской Республики, Европейского Союза или другого государства Европейского экономического пространства. В указанном в настоящем пункте случае управляющий данными обязан иметь представителя – учрежденный филиал или представительство в Литовской Республике, в отношении которого применяются положения настоящего Закона, предназначенные для управляющего данными.

4. Настоящий Закон не применяется, если обработка персональных данных осуществляется физическим лицом и только для удовлетворения личных потребностей, не связанных с бизнесом или профессией.

5. При обработке персональных данных в целях государственной безопасности и обороны настоящий Закон применяется в том объеме, в каком другими законами не установлено иначе.

6. Настоящим Законом не ограничивается и не запрещается свободное передвижение персональных данных при выполнения обязательств Литовской Республики, связанных с членством в Европейском Союзе.

7. Настоящим Законом юридическое регламентирование правовой защиты персональных данных Литовской Республикой согласовано с правовыми актами Европейского Союза, указанными в приложении к настоящему Закону.

Статья дополняется новой частью 5, бывшие части 5, 6 и 7 считаются соответственно частями 6, 7 и 8 с 1 сентября 2011 г.:

5. Настоящий Закон не применяется для обработки персональных данных умерших лиц.

6. При обработке персональных данных в целях государственной безопасности и обороны настоящий Закон применяется в том объеме, в каком другими законами не установлено иначе.

7. Настоящим Законом не ограничивается и не запрещается свободное передвижение персональных данных при выполнения обязательств Литовской Республики, связанных с членством в Европейском Союзе.

8. Настоящим Законом юридическое регламентирование правовой защиты персональных данных Литовской Республикой согласовано с правовыми актами Европейского Союза, указанными в приложении к настоящему Закону.

 

Редакция статьи 2 до 1 сентября 2011 г.:

Статья 2. Основные понятия настоящего Закона

1. Персональные данные – любая информация, связанная с физическим лицом – субъектом данных, идентичность которого известна или может быть установлена непосредственно или косвенно путем использования таких данных как личный код, один или несколько физических, физиологических, психологических, экономических, культурных или социальных признаков, характерных для лица.

2. Получатель данных – юридическое или физическое лицо, которому предоставляются персональные данные. Органы, осуществляющие надзор за исполнением настоящего Закона, указанные в статьях 8 и 36, другие государственные органы и учреждения, а также органы и учреждения самоуправлений не являются получателями данных, если эти органы и учреждения по конкретному запросу получают персональные данные для исполнения установленных законодательством контрольных функций.

3. Предоставление данных – оглашение персональных данных путем их передачи или предоставления доступа к ним другим способом (за исключением обнародования в средствах общественной информации).

4. Обработка данных – любое осуществляемое с персональными данными действие: сбор, запись, накопление, хранение, классификация, группировка, объединение, замена (дополнение или исправление), представление, обнародование, использование, логические и (или) арифметические операции, поиск, распространение, уничтожение или другое действие либо набор действий.

5. Обработка данных автоматическим способом – действия по обработке данных, полностью или частично осуществляемые с помощью автоматических средств.

6. Распорядитель данных – юридическое или физическое лицо (которое не является работником управляющего данными), уполномоченное управляющим данными на обработку персональных данных. Распорядитель данных и (или) порядок его назначения могут быть установлены в законах или других правовых актах.

7. Управляющий данными – юридическое или физическое лицо, которое самостоятельно или совместно с другими устанавливает цели и средства обработки персональных данных. Если цели обработки данных устанавливаются законами или другими правовыми актами, управляющий данными и (или) порядок его назначения могут устанавливаться в этих законах или других правовых актах.

8. Особые персональные данные – данные, связанные с расовым или этническим происхождением физического лица, политическими, религиозными, философскими или другими убеждениями, членством в профессиональных союзах, здоровьем, половой жизнью, а также информация о судимости лица.

9. Предварительная проверка – проверка намечаемых действий по обработке данных до их начала в установленных настоящим Законом случаях.

10. Систематизированный набор – набор персональных данных, изложенных систематически в соответствии с определенными связанными с лицом критериями, которые позволяют легче найти персональные данные в наборе персональных данных.

11. Согласие – добровольное выражение воли субъекта данных относительно обработки его персональных данных с известной ему целью. Согласие на обработку особых персональных данных должно быть выражено ясно – в письменной, в приравненной к ней или в другой форме, несомненно доказывающей волю субъекта данных.

12. Прямой маркетинг – деятельность, направленная на предложение по почте, по телефону или другим прямым способом товаров или услуг лицам и (или) на опрос их мнения относительно предлагаемых товаров или услуг.

13. Третье лицо – юридическое или физическое лицо, за исключением субъекта данных, распорядителя данных, управляющего данными и лиц, которые непосредственно уполномочены распорядителем данных или управляющим данными на обработку данных.

14. Внутреннее администрирование – деятельность, при помощи которой обеспечивается самостоятельное функционирование распорядителя данных (устройство структуры, управление персоналом, управление и использование имеющихся материальных и финансовых ресурсов, ведение делопроизводства).

15. Публичный набор данных – государственный регистр или другой набор данных, которые в соответствии с законами или другими правовыми актами предназначены для предоставления обществу информации и которыми общество может пользоваться на законном основании.

16. Видеонаблюдение – обработка видеоданных, связанных с физическим лицом (далее – видеоданные), с помощью автоматических средств видеонаблюдения (видео и фотокамер или др.), независимо от того, сохраняются ли эти данные на материальном носителе информации.

Редакция статьи 2 с 1 сентября 2011 г.:

Статья 2. Основные понятия настоящего Закона

1. Персональные данные – любая информация, связанная с физическим лицом – субъектом данных, идентичность которого известна или может быть установлена непосредственно или косвенно путем использования таких данных как личный код, один или несколько физических, физиологических, психологических, экономических, культурных или социальных признаков, характерных для лица.

2. Получатель данных – юридическое или физическое лицо, которому предоставляются персональные данные. Органы, осуществляющие надзор за исполнением настоящего Закона, указанные в статьях 8 и 36, другие государственные органы и учреждения, а также органы и учреждения самоуправлений не являются получателями данных, если эти органы и учреждения по конкретному запросу получают персональные данные для исполнения установленных законодательством контрольных функций.

3. Предоставление данных – оглашение персональных данных путем их передачи или предоставления доступа к ним другим способом (за исключением обнародования в средствах общественной информации).

4. Обработка данных – любое осуществляемое с персональными данными действие: сбор, запись, накопление, хранение, классификация, группировка, объединение, замена (дополнение или исправление), представление, обнародование, использование, логические и (или) арифметические операции, поиск, распространение, уничтожение или другое действие либо набор действий.

5. Обработка данных автоматическим способом – действия по обработке данных, полностью или частично осуществляемые с помощью автоматических средств.

6. Распорядитель данных – юридическое или физическое лицо (которое не является работником управляющего данными), уполномоченное управляющим данными на обработку персональных данных. Распорядитель данных и (или) порядок его назначения могут быть установлены в законах или других правовых актах.

7. Управляющий данными – юридическое или физическое лицо, которое самостоятельно или совместно с другими устанавливает цели и средства обработки персональных данных. Если цели обработки данных устанавливаются законами или другими правовыми актами, управляющий данными и (или) порядок его назначения могут устанавливаться в этих законах или других правовых актах.

8. Особые персональные данные – данные, связанные с расовым или этническим происхождением физического лица, политическими, религиозными, философскими или другими убеждениями, членством в профессиональных союзах, здоровьем, половой жизнью, а также информация о судимости лица.

9. Предварительная проверка – проверка намечаемых действий по обработке данных до их начала в установленных настоящим Законом случаях.

10. Социальное исследование и исследование общественного мнения – систематический сбор и интерпретация данных и (или) информации о физических и юридических лицах в целях получения с помощью методов, применяемых в статистике, анализе и других социальных науках, информации, необходимой для принятия решений. При проведении социального исследования и исследования общественного мнения не может осуществляться прямой маркетинг.

11. Систематизированный набор – набор персональных данных, изложенных систематически в соответствии с определенными связанными с лицом критериями, которые позволяют легче найти персональные данные в наборе персональных данных.

12. Согласие – добровольное выражение воли субъекта данных относительно обработки его персональных данных с известной ему целью. Согласие на обработку особых персональных данных должно быть выражено ясно – в письменной, в приравненной к ней или в другой форме, несомненно доказывающей волю субъекта данных.

13. Прямой маркетинг – деятельность, направленная на предложение по почте, по телефону или другим прямым способом товаров или услуг лицам и (или) на опрос их мнения относительно предлагаемых товаров или услуг.

14. Третье лицо – юридическое или физическое лицо, за исключением субъекта данных, распорядителя данных, управляющего данными и лиц, которые непосредственно уполномочены распорядителем данных или управляющим данными на обработку данных.

15. Внутреннее администрирование – деятельность, при помощи которой обеспечивается самостоятельное функционирование распорядителя данных (устройство структуры, управление персоналом, управление и использование имеющихся материальных и финансовых ресурсов, ведение делопроизводства).

16. Публичный набор данных – государственный регистр, информационная система или другой набор данных, которые в соответствии с законами или другими правовыми актами Литовской Республики предназначены для предоставления лицам данных, информации, документов и (или) их копий и которыми лица могут пользоваться на законном основании.

17. Видеонаблюдение – обработка видеоданных, связанных с физическим лицом (далее – видеоданные), с помощью автоматических средств видеонаблюдения (видео и фотокамер или др.), независимо от того, сохраняются ли эти данные на материальном носителе информации.

18. Понятия кредитного учреждения и финансового предприятия понимаются в соответствии с их определением в Законе о финансовых учреждениях.

 

ГЛАВА ВТОРАЯ

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Статья 3. Требования к обработке персональных данных

1. Управляющий данными обязан обеспечить, чтобы:

1) сбор персональных данных осуществлялся в определенных и законных целях и чтобы их обработка в дальнейшем не осуществлялась в целях, не согласующихся с теми, которые были установлены до сбора персональных данных;

2) обработка персональных данных осуществлялась точно, добросовестно и на законном основании;

3) персональные данные были точными и, если это необходимо для обработки персональных данных, постоянно обновлялись; неточные или неполные данные должны быть исправлены, дополнены, уничтожены или приостановлена их обработка;

4) персональные данные были идентичными, надлежащими и представлены только в том объеме, который необходим для их сбора и дальнейшей обработки;

5) персональные данные хранились в такой форме, чтобы идентичность субъектов данных можно было бы установить только в течение такого срока, какой необходим для тех целей, для которых был осуществлен сбор и обработка этих данных;

Часть 1 дополняется пунктом 6 с 1 сентября 2011 г.:

6) обработка персональных данных осуществлялась в соответствии с ясными и прозрачными требованиями к обработке персональных данных, установленными в настоящем и других законах, регламентирующих соответствующую деятельность.

 

2. Обработка персональных данных, собранных в иных целях, может осуществляться в статистических, исторических или научно-исследовательских целях только в установленных законами случаях, когда в законах установлены надлежащие меры по защите данных.

 

Статья 4. Хранение и уничтожение персональных данных

Персональные данные хранятся не дольше, чем это требуется исходя из целей обработки данных. Когда персональные данные перестают быть необходимыми для целей их обработки, они должны быть уничтожены, за исключением тех, которые в установленных законами случаях должны быть переданы в государственные архивы.

 

Статья 5. Критерии законной обработки персональных данных

1. Обработка персональных данных может осуществляться, если:

1) субъект данных дает свое согласие;

2) заключается или выполняется договор, когда одна из сторон является субъектом данных;

3) в соответствии с законодательством управляющему данными вменяется в обязанность обработка персональных данных;

4) преследуется цель защитить существенные интересы субъекта данных;

5) осуществляются официальные полномочия, предоставленные законами и другими правовыми актами государственным органам, учреждениям и предприятиям, а также органам, учреждениям и предприятиям самоуправлений либо третьему лицу, которому представляются персональные данные;

6) обработка необходима в связи с законным интересом, который преследуется управляющим данными или третьим лицом, которому представляются персональные данные, и если интересы субъекта данных не являются более важными.

2. Обработка особых персональных данных запрещается, за исключением случаев, если:

1) субъект данных дает согласие;

2) такая обработка является необходимой для осуществления прав и обязанностей управляющего данными в области трудового права в рабочих целях или в целях государственной службы в установленных законодательством случаях;

3) необходимо защитить существенные интересы субъекта данных или другого лица, если субъект данных не в состоянии дать согласие по причине физического недуга или является недееспособным;

4) обработку персональных данных в рамках своей деятельности осуществляет фонд, ассоциация или другая не стремящаяся к получению прибыли организация в политических, философских, религиозных целях или в целях, связанных с профессиональными союзами, если эти персональные данные связаны только с членами этой организации или с лицами, которые постоянно иными способами участвуют в ее деятельности в связи с преследуемыми этой организацией целями. Эти персональные данные не могут предоставляться третьему лицу без согласия субъекта данных;

5) субъект данных обнародовал персональные данные публично;

6) в установленных законодательством случаях необходимо пресечь преступные или другие незаконные деяния или необходимо их расследовать;

7) они необходимы для рассмотрения дела в суде;

8) законодательством возлагается обязанность на управляющего данными осуществлять обработку таких данных.

3. Обработка данных о здоровье лица также может осуществляться в целях и порядке, установленных в статье 10 настоящего Закона и в законах, регламентирующих область здравоохранения.

4. Обработка персональных данных, связанных с судимостью лица, преступными деяниями или мерами безопасности при осуществлении превенции преступных деяний, расследовании, а также в других установленных законодательством случаях в установленном законодательством порядке может осуществляться только государственным органом или учреждением. Другие физические или юридические лица могут осуществлять обработку таких данных в установленных законодательством случаях после надлежащего осуществления установленных в законах и других правовых актах мер по защите законных интересов субъекта данных. Обработка исчерпывающих данных о судимости лиц может осуществляться только в установленном Законом о государственных регистрах порядке.

 

Статья 6. Представление персональных данных

Персональные данные в предусмотренных настоящим Законом случаях представляются в соответствии с заключенным управляющим данными и получателем данных договором о представлении персональных данных (в случае многократного представления) или в соответствии с ходатайством получателя данных (в случае однократного представления). В договоре должны указываться цель использования персональных данных, правовое основание представления и получения, условия, порядок и объем представляемых персональных данных. В ходатайстве должна быть указана цель использования персональных данных, правовое основание представления и получения, а также объем запрашиваемых к представлению персональных данных.

Редакция статьи 6 с 1 сентября 2011 г.:

Статья 6. Представление персональных данных

Персональные данные в предусмотренных настоящим Законом случаях представляются в соответствии с заключенным между управляющим данными и получателем данных договором о представлении персональных данных (в случае многократного представления) или в соответствии с ходатайством получателя данных (в случае однократного представления). В договоре должны быть указаны цель использования персональных данных, правовая основа представления и получения, условия, порядок и объем представляемых персональных данных. В ходатайстве должны быть указаны цель использования персональных данных, правовая основа представления и получения, а также объем запрашиваемых к представлению персональных данных. В случае, если обработка персональных данных осуществляется автоматическим способом с применением надлежащих мер по обеспечению сохранности данных, при представлении персональных данных в соответствии с заключенным между управляющим данными и получателем данных договором о представлении персональных данных приоритет должен отдаваться автоматическому представлению данных, а при представлении персональных данных в соответствии с ходатайством получателя данных – представлению данных с помощью электронных средств связи.

 

Статья 7. Использование личного кода

1. Личный код – уникальная последовательность цифр. Личный код присваивается лицу в установленном Законом о регистре населения порядке.

2. Использование личного кода при обработке персональных данных допускается только после получения согласия субъекта данных, за исключением случаев, указанных в частях 4 и 5 настоящей статьи, когда использование личного кода запрещается.

3. Без согласия субъекта данных личный код можно использовать только:

1) если такое право установлено в настоящем и других законах;

2) при проведении научного или статистического исследования в установленных в статьях 12 и 13 настоящего Закона случаях;

3) в государственных, ведомственных регистрах, если они узаконены в установленном Законом о государственных регистрах порядке, и в информационных системах, если они узаконены в установленном правовыми актами порядке;

4) юридическим лицам, деятельность которых связана с предоставлением кредитов и взысканием долгов, страхованием или предпринимательством в сфере лизинга (финансовой аренды), а также в деятельности органов здравоохранения, социального страхования и других предоставляющих и администрирующих социальную поддержку органов, а также образовательных, научных и учебных учреждений. Указанные в настоящем пункте юридические лица личный код могут использовать только для той цели, для которой он был получен, и только в тех случаях, когда это необходимо для достижения законной и определенной цели обработки персональных данных;

5) в установленных законами случаях при обработке засекреченных данных.

4. Публичное обнародование личного кода запрещается.

5. Сбор и использование личного кода в целях прямого маркетинга запрещаются.

 

Статья 8. Обработка персональных данных и согласование свободы общественной информации

Надзор за обработкой персональных данных в средствах общественной информации в целях информирования общественности, художественного и литературного выражения осуществляет инспектор по журналистской этике. Рамки его компетенции устанавливаются Законом об общественной информации. В этих случаях в отношении обработки персональных данных применяются положения статей 1, 2, 3, 4, 5, 6, 7, 30, 53 и 54 настоящего Закона.

 

Статья 9. Обработка персональных данных в целях социального страхования и социальной поддержки

В целях социального страхования и социальной поддержки административные учреждения Фонда государственного социального страхования и юридические лица, предоставляющие или администрирующие социальную поддержку, представляют друг другу персональные данные без согласия субъекта данных.

 

Статья 10. Обработка персональных данных в целях здравоохранения

1. Персональные данные о здоровье лица (его состоянии, диагнозе, прогнозе, лечении и др.) может вести уполномоченный работник системы здравоохранения. Тайна о здоровье лица должна храниться в соответствии с Гражданским кодексом, законами, регламентирующими права пациентов, и другими правовыми актами.

2. Обработка персональных данных с целью научного медицинского исследования осуществляется на основании настоящего и других законов.

3. Обработка персональных данных о здоровье лица, осуществляемая автоматическим способом, а также в целях научного медицинского исследования, может осуществляться только после уведомления Государственной инспекции по защите данных. В этом случае Государственная инспекция по защите данных обязана произвести предварительную проверку.

 

Статья 11. Обработка персональных данных с целью проведения выборов, референдума, законотворческой инициативы граждан

1. Обработка персональных данных (имени, фамилии, даты рождения, личного кода, адреса места жительства, гражданства, номера документа, удостоверяющего идентичность личности) в целях проведения выборов, референдума, опроса местных жителей, законотворческой инициативы граждан, финансирования политических кампаний, политических партий устанавливается настоящим и другими законами.

2. Составленная и обнародованная на сайте в Интернете информация Главной избирательной комиссии по представленным кандидатами или их представителями заявительным и другим документам о кандидатах, а также полученных кандидатами голосах, списки членов избирательной комиссии, комиссии по референдума, наблюдателей, представителей, членов инициативных групп после оглашения результатов выборов, референдума, а также списки лиц, пожертвовавших средства на политическую кампанию, после их обнародования могут изменяться, если исправляемые языковые ошибки или информация на сайте в Интернете отличается от информации, представленной в установленный правовыми актами срок в заявительных и других документах. На сайте в Интернете не могут быть обнародованы личные коды, номера документов, удостоверяющих гражданство или идентичность личности, точный адрес места жительства (улица, номер дома, квартиры) кандидатов и других лиц.

 

Статья 12. Обработка персональных данных в научно-исследовательских целях

1. При проведении научного исследования обработка персональных данных осуществляется с согласия субъекта данных. Без согласия субъекта данных обработка персональных данных в научно-исследовательских целях может осуществляться только после извещения Государственной инспекции по защите данных. В этом случае Государственная инспекция по защите данных обязана провести предварительную проверку.

2. Использованные для научного исследования персональные данные должны быть немедленно изменены таким образом, чтобы нельзя было идентифицировать личность субъекта данных.

3. Собранные и хранящиеся для научного исследования персональные данные не могут быть использованы в других целях.

4. В тех случаях, когда для проводимых исследований данные, идентифицирующие личность лица, не являются необходимыми, управляющий данными представляет получателю данных такие персональные данные, на основании которых нельзя идентифицировать личность лица.

5. Результаты исследования обнародуются наряду с персональными данными, если субъект данных дает свое согласие на обнародование его персональных данных.

 

Статья 13. Обработка персональных данных в статистических целях

1. Обработкой персональных данных в статистических целях является проведение статистических исследований, представление и хранение их результатов.

2. Персональные данные, собранные не в статистических целях, в установленных законами случаях могут использоваться для подготовки официальной статистической информации.

3. Персональные данные, собранные в статистических целях, могут представляться и использоваться не в статистических целях в установленном Законом о статистике порядке и в установленных им случаях.

4. Персональные данные, собранные для различных статистических целей, сравниваются и объединяются только в том случае, если обеспечивается защита персональных данных от незаконного использования не в статистических целях.

5. Сбор особых персональных данных в статистических целях осуществляется только в такой форме, которая не позволила бы прямо или косвенно идентифицировать личность субъекта данных, за исключением установленных законами случаев.

 

Закон дополняется статьей 131 с 1 сентября 2011 г.:

Статья 131. Обработка персональных данных в целях социального исследования и исследования общественного мнения

1. При проведении социального исследования и исследования общественного мнения обработка персональных данных может осуществляться только с согласия субъекта данных. Обработка контактных данных (адрес, номер телефонной связи) субъекта данных может осуществляться без согласия субъекта данных до первого прямого контакта с субъектом данных с целью установления с ним связи. Субъект данных свое согласие или несогласие с обработкой его персональных данных в целях социального исследования и исследования общественного мнения выражает во время прямого контакта с исследователем либо в письменной или в приравненной к ней форме. В случае несогласия субъекта данных с обработкой его персональных данных такие персональные данные должны быть немедленно уничтожены.

2. В целях социального исследования и исследования общественного мнения должны собираться только такие персональные данные, которые необходимы для осуществляемого социального исследования и исследования общественного мнения, использованные для конкретного социального исследования и исследования общественного мнения персональные данные должны быть немедленно изменены таким образом, чтобы нельзя было идентифицировать личность субъекта данных.

3. Использование персональных данных, сбор и обработка которых осуществляются в целях социального исследования и исследования общественного мнения, для других целей (рекламы, прямого маркетинга, коммерческой деятельности и т. т.) запрещается.

 

Статья 14. Обработка персональных данных в целях прямого маркетинга

1. Обработка персональных данных в целях прямого маркетинга может осуществляться только после получения согласия субъекта персональных данных.

2. Обработка персональных данных может осуществляться в целях прямого маркетинга, если при их сборе устанавливается продолжительность хранения персональных данных.

3. Управляющий данными обязан создать ясную, бесплатную и легко осуществимую возможность для субъекта данных выразить согласие или несогласие относительно обработки его персональных данных в целях прямого маркетинга.

4. Управляющий данными, который при оказании услуг или продаже товаров в установленном настоящим законом порядке и на установленных им условиях получил от субъектов данных, являющихся его клиентами, контактные персональные данные (имя, фамилию и адрес), без отдельного согласия субъекта данных может использовать эти данные только для маркетинга собственных похожих товаров или услуг, если клиентам создается ясная, бесплатная и легко осуществимая возможность не согласиться или отказаться от такого использования данных в вышеуказанных целях, если клиент по началу не протестовал против такого использования данных при представлении каждого предложения.

 

Статья 15. Обработка персональных данных в области электронной связи

Обработка персональных данных в области электронной связи осуществляется на основании Закона об электронной связи и настоящего Закона.

 

Закон дополняется статьей 151 с 1 сентября 2011 г.:

Статья 151. Обработка персональных данных при осуществлении полицейского и судебного сотрудничества по уголовным делам, предусмотренного в разделе V части третьей Договора о функционировании Европейского Союза

Обработка персональных данных при осуществлении полицейского и судебного сотрудничества по уголовным делам, предусмотренного в разделе V части третьей Договора о функционировании Европейского Союза, осуществляется в соответствии с Законом о правовой защите персональных данных, обрабатываемых при осуществлении полицейского и судебного сотрудничества по уголовным делам, и настоящим Законом.

 

ГЛАВА ТРЕТЬЯ

ВИДЕОНАБЛЮДЕНИЕ

 

Статья 16. Условия видеонаблюдения

Видеонаблюдение может осуществляться с целью обеспечения общественной безопасности, общественного порядка, защиты жизни, здоровья, имущества лиц и других прав и свобод лиц, однако только в тех случаях, когда другие способы или меры являются недостаточными и (или) неприемлемыми для достижения указанных целей, и если интересы субъекта данных не являются более важными.

 

Статья 17. Видеонаблюдение на рабочем месте

Видеонаблюдение на рабочем месте может осуществляться, если в связи со спецификой работы необходимо обеспечить безопасность лиц, имущества или общественную безопасность, а также в других случаях, когда другие способы или меры являются недостаточными и (или) ненадлежащими для достижения указанных целей.

 

Статья 18. Требования к видеонаблюдению

1. Обработка видеоданных должна быть установлена в утвержденном управляющим данными письменном документе, в котором указываются цель и объем видеонаблюдения, срок хранения видеоданных, условия доступа к обрабатываемым видеоданным, условия и порядок уничтожения этих данных, а также установлены другие требования в отношении законной обработки видеоданных.

2. Управляющий данными гарантирует, что обработка видеоданных будет осуществляться только уполномоченными управляющим данными лицами, которые должны быть ознакомлены с правовыми актами, регламентирующими правовую защиту персональных данных, и которые дали подписку об их соблюдении.

 

Статья 19. Монтаж средств видеонаблюдения

1. Средства видеонаблюдения должны быть оборудованы таким образом, чтобы с учетом установленной цели видеонаблюдения:

1) часть помещения или территории, на которой осуществляется видеонаблюдение, была бы не больше, чем это необходимо;

2) сбор видеоданных осуществлялся бы в объеме не больше необходимого.

2. Запрещается монтаж и эксплуатация оборудованных средств видеонаблюдения, если в их поле наблюдения попадают жилое помещение и (или) относящаяся к нему частная территория либо вход на нее, за исключением установленных законодательством случаев. В помещениях общего пользования средства видеонаблюдения могут быть оборудованы по решению большинства совладельцев имущества.

3. Запрещается осуществление видеонаблюдения в помещениях, в которых субъект данных обоснованно рассчитывает на абсолютную защиту приватности, и где такое наблюдение унижало бы достоинство человека (напр., в туалетах, в комнатах для переодевания и т. п.).

 

Статья 20. Информирование субъекта данных при осуществлении видеонаблюдения

1. Управляющий данными обеспечивает, чтобы перед входом в помещения или на территорию, на которой осуществляется видеонаблюдение, была ясно и надлежащим образом представлена следующая информация:

1) об осуществляемом видеонаблюдении;

2) реквизиты управляющего данными и контактная информация (адрес или номер телефонной связи).

Редакция пункта 2 с 1 сентября 2011 г.:

2) наименование и код управляющего данными – юридического лица, имя и фамилия управляющего данными – физического лица, их контактная информация (адрес или номер телефонной связи).

 

2. Управляющий данными может представить и другую дополнительную информацию в целях обеспечения законной обработки видеоданных без нарушения прав субъекта данных (напр., цель видеонаблюдения).

3. При осуществлении видеонаблюдения на рабочем месте и в помещениях или на территориях управляющего данными, где работают его работники, эти работники об обработке таких видеоданных должны быть информированы в письменной форме в установленном в части 1 статьи 24 настоящего Закона порядке.

Редакция части 3 с 1 сентября 2011 г.:

3. При осуществлении видеонаблюдения на рабочем месте и в помещениях или на территориях управляющего данными, где работают его работники, эти работники о такой обработке их видеоданных должны быть информированы под расписку в установленном в части 1 статьи 24 настоящего Закона порядке.

 

ГЛАВА ЧЕТВЕРТАЯ

ОЦЕНКА ПЛАТЕЖЕСПОСОБНОСТИ И УПРАВЛЕНИЕ ЗАДОЛЖЕННОСТЬЮ

Редакция наименования главы четвертой с 1 сентября 2011 г.:

ГЛАВА ЧЕТВЕРТАЯ

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ОБ ОЦЕНКЕ ПЛАТЕЖЕСПОСОБНОСТИ И ФИНАНСОВОГО РИСКА, А ТАКЖЕ ОБ УПРАВЛЕНИИ ЗАДОЛЖЕННОСТЬЮ

 

Редакция статьи 21 до 1 сентября 2011 г.:

Статья 21. Обработка персональных данных для оценки платежеспособности и управления задолженностью

1. Управляющий данными вправе осуществлять обработку и предоставлять третьим лицам, имеющим законный интерес, данные субъектов данных, которые своевременно и надлежащим образом не выполнили данные ему финансовые и (или) имущественные обязательства (далее – должников), в том числе и личный код, для того чтобы можно было оценить платежеспособность лица и управлять задолженностью, если надлежащим образом осуществляются установленные в настоящем Законе и других правовых актах требования по защите данных.

2. Управляющий данными вправе предоставлять данные должников, в том числе и личный код, управляющим данными, которые осуществляют ведение объединенного реестра данных должников (далее – объединенный реестр). Управляющий данными может осуществлять ведение объединенных реестров с целью предоставления  таких данных третьим лицам, имеющим законный интерес, для того чтобы они могли оценить платежеспособность субъекта данных и управлять задолженностью, только после сообщения в установленном в статье 33 настоящего Закона порядке в Государственную инспекцию по защите данных, которая обязана провести предварительную проверку.

3. Управляющий данными может предоставлять данные должников только в том случае, если он представил в письменной форме субъекту данных напоминание о невыполнении обязательств, и в течение 30 календарных дней со дня, когда управляющий данными выслал (представил) субъекту данных напоминание:

1) задолженность осталась непогашенной и (или) срок выплаты не был отложен либо

2) субъект данных обоснованно не оспорил задолженность.

4. Управляющий данными не может осуществлять обработку особых персональных данных.

5. Объединенные реестры не могут объединяться с личными данными из других реестров персональных данных, которые были составлены и обработка которых осуществляется в других, нежели оценка платежеспособности и управление задолженностью, целях.

6. Управляющий данными, осуществляющий ведение объединенного реестра, после получения данных указанных в части 2 настоящей статьи должников, обязан каждому субъекту данных представить следующую информацию (за исключением случаев, когда субъект данных уже владеет такой информацией):

1) о своих реквизитах и местонахождении (управляющего данными) и своего представителя, если он есть;

2) в каких целях осуществляется обработка персональных данных субъекта данных;

3) из каких источников и какие данные субъекта данных были собраны, кому и в каких целях представлены, о праве субъекта данных на ознакомление со своими личными данными, требовании исправить неверные, неточные, неполные персональные данные.

7. Обработка данных о факте, что субъект данных своевременно и надлежащим образом не выполнил свои финансовые и (или) имущественные обязательства, не может осуществляться дольше, чем в течение 10 лет со дня покрытия задолженности. Если субъект данных покрыл задолженность, управляющий данными обязан обеспечить, чтобы при обработке данных субъекта данных о не выполненных своевременно и надлежащим образом его финансовых и (или) имущественных обязательствах, должно быть указано:

1) что субъект данных задолженность погасил;

2) дата погашения задолженности.

Редакция статьи 21 с 1 сентября 2011 г.:

Статья 21. Обработка персональных данных для оценки платежеспособности лица и управления задолженностью

1. Управляющий данными вправе обрабатывать и предоставлять третьим лицам, имеющим законный интерес, данные субъектов данных, которые своевременно и надлежащим образом не выполнили перед ним свои финансовые и (или) имущественные обязательства (далее – должники), в том числе и личные коды, чтобы можно было оценить платежеспособность лица и управлять задолженностью, если надлежащим образом осуществляются установленные в настоящем Законе и других правовых актах требования по защите данных.

2. Управляющий данными вправе предоставлять данные должников, в том числе и личные коды, управляющим данными, которые осуществляют обработку объединенных файлов данных должников (далее – объединенные файлы должников). Управляющий данными может осуществлять обработку объединенных файлов с целью предоставления таких данных третьим лицам, имеющим законный интерес, чтобы они могли оценить платежеспособность субъекта данных и управлять задолженностью, только после извещения в установленном в статье 33 настоящего Закона порядке Государственной инспекции по защите данных, которая обязана провести предварительную проверку.

3. Управляющий данными может предоставлять данные должников только в том случае, если он по почте или при помощи средств электронной связи представил субъекту данных напоминание в письменной форме о невыполнении обязательств, и в течение 30 календарных дней со дня, когда управляющий данными отправил (представил) субъекту данных напоминание:

1) задолженность осталась непогашенной и (или) срок уплаты не был отсрочен либо

2) субъект данных обоснованно не оспорил задолженность.

4. Управляющий данными не может осуществлять обработку особых персональных данных.

5. Объединенные файлы должников не могут объединяться с персональными данными из других файлов персональных данных, которые были составлены и обработка которых осуществляется в других, нежели оценка платежеспособности и управление задолженностью, целях.

6. Управляющий данными, осуществляющий обработку объединенных файлов должников, после получения данных должников от указанного в части 2 настоящей статьи управляющего данными, обязан каждому субъекту данных указать (за исключением случаев, когда субъект данных уже владеет такой информацией):

1) свое (как управляющего данными) наименование и наименование своего представителя, если такой имеется, код и местонахождение юридического лица;

2) в каких целях осуществляется обработка персональных данных субъекта данных;

3) из каких источников и какие данные субъекта данных были собраны, кому и в каких целях они предоставляются, о праве субъекта данных ознакомиться со своими персональными данными и праве требовать исправления неверных, неполных, неточных персональных данных.

7. Обработка данных о факте, что субъект данных своевременно и надлежащим образом не выполнил свои финансовые и (или) имущественные обязательства, не может осуществляться дольше, чем в течение 10 лет со дня погашения задолженности. После погашения субъектом данных задолженности управляющие данными обязаны обеспечить, чтобы при обработке данных о невыполненных субъектом данных своевременно и надлежащим образом финансовых и (или) имущественных обязательствах было указано:

1) что субъект данных задолженность погасил;

2) дата погашения задолженности.

 

Редакция статьи 22 до 1 сентября 2011 г.:

Статья 22. Обработка данных о предоставленных финансовых услугах, связанных с принятием риска, в целях оценки платежеспособности

1. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, могут получать друг у друга персональные данные субъектов данных, которым эти банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, предоставили или намерены предоставить финансовые услуги, связанные с принятием риска (как это определено в Законе о финансовых учреждениях) (далее – услуги), а также персональные данные субъектов данных, которые гарантировали обязательства этих лиц перед упомянутыми учреждениями и предприятиями (имя, фамилию, личный код (если личный код не представлен – данные личного документа), виды и суммы желаемых финансовых обязательств, по которым было принято отрицательное решение, виды существующих финансовых обязательств, суммы, сроки выполнения, данные о выполнении этих обязательств, а также данные о бывших финансовых обязательствах и их выполнении) в целях оценки платежеспособности, если эти субъекты данных дают свое согласие.

2. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, могут получить персональные данные на указанных в части 1 настоящей статьи условиях и в указанном объеме только в тех случаях, если субъект данных:

1) обратился в эти учреждения, предприятия для получения услуг или для обеспечения финансовых обязательств;

2) получил из этих учреждений, предприятий услуги или гарантии финансовых обязательств, и существует необходимость установить, не возникает ли угроза для надлежащего выполнения взятых обязательств.

3. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью обеспечивают, чтобы:

1) обработка полученных данных субъектов данных не осуществлялось бы в целях, несогласованных с целями, установленными до сбора персональных данных; 

2) сохранялись бы в течение более 12 месяцев, если было принято решение об отказе в предоставлении услуги.

4. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, обеспечивают, чтобы данные о предоставленных ими услугах, их исполнении и надлежащем выполнении не сохранялись бы более 10 лет со дня выполнения этих обязательств, если законами или принятыми на их основании правовыми актами не установлено иначе. 

Редакция статьи 22 с 1 сентября 2011 г.:

Статья 22. Обработка персональных данных о предоставленных финансовых услугах, связанных с принятием риска или оценкой кредитоспособности, в целях оценки платежеспособности лица и финансового риска, а также управления задолженностью

1. Кредитные учреждения и финансовые предприятия, оказывающие финансовые услуги, связанные с принятием риска или оценкой кредитоспособности (далее – финансовые услуги), (далее – финансовые учреждения) вправе обрабатывать и получать друг у друга персональные данные субъектов данных, которым они предоставили или намерены предоставить финансовые услуги, а также персональные данные субъектов данных, которые гарантируют исполнение обязательств этих лиц перед указанными учреждениями (имя, фамилию, личный код (если личный код не присвоен, – данные личного документа), адрес, номер телефонной связи, виды и суммы желаемых финансовых и (или) имущественных обязательств, в связи с которыми было принято положительное или отрицательное решение, виды и суммы существующих финансовых (или) имущественных обязательств, сроки выполнения, данные о выполнении этих обязательств, данные о бывших финансовых (или) имущественных обязательствах и их выполнении, в том числе данные субъектов данных, содержащиеся в объединенных файлах данных, а также данные о доходах, видах доходов субъектов данных и их источниках, данные об имуществе, семейном положении, занимаемой должности (работе) и образовании субъектов данных) в целях оценки платежеспособности лица и финансового риска, а также управления задолженностью, если эти субъекты данных дают свое согласие.

2. Если субъекты данных дают согласие, указанные в части 1 настоящей статьи данные в целях оценки платежеспособности лиц и финансового риска, а также управления задолженностью могут обрабатываться и постоянное обновляться в объединенных файлах данных финансового риска (далее – объединенные файлы финансового риска) в соответствии с заключенными с финансовыми учреждениями договорами о предоставлении данных. Управляющими объединенными файлами финансового риска могут выступать финансовые учреждения, только после извещения в установленном в статье 33 настоящего Закона порядке Государственной инспекции по защите данных, которая обязана провести предварительное расследование.

3. Финансовые учреждения могут получить персональные данные на указанных в частях 1 и 6 настоящей статьи условиях и в указанном в них объеме только в тех случаях, если субъект данных:

1) обращался в эти учреждения относительно получения финансовых услуг или относительно обеспечения финансовых и (или) имущественных обязательств и (или);

2) получал от этих учреждений финансовые услуги или предоставлял гарантии выполнения финансовых (или) имущественных обязательств, и существует необходимость установить, не возникает ли угроза для надлежащего выполнения взятых обязательств.

4. Финансовые учреждения обеспечивают, чтобы:

1) обработка полученных данных субъектов данных не осуществлялась в целях, которые не согласуются с целями, установленными до сбора персональных данных; 

2) хранение полученных данных субъектов данных длилось не более 12 месяцев, если было принято решение об отказе в предоставлении финансовой услуги.

5. Финансовые учреждения обеспечивают, чтобы данные о предоставленных ими финансовых услугах хранились не более 10 лет со дня предоставления этих услуг и выполнения обязательств, если законами или принятыми на их основании правовыми актами не установлено иначе.

6. Все персональные данные, содержащиеся в объединенных файлах финансового риска, могут предоставляться только финансовым учреждениям. Другим лицам, оказывающим услуги, связанные с принятием финансового риска, в целях оценки платежеспособности лица и финансового риска, а также управления задолженностью предоставляются только следующие обобщенные данные, содержащиеся в объединенных файлах финансового риска: имя, фамилия лица, личный код (если личный код не присвоен, данные личного документа) и рейтинг кредитоспособности лица.

7. Предоставление персональных данных и рейтинга кредитоспособности лица, содержащихся в объединенных файлах финансового риска, в других целях, нежели цели оценки платежеспособности лица и финансового риска, а также управления задолженностью, запрещается.

8. Субъект данных вправе высказать управляющему объединенным файлом финансового риска свое мнение относительно определения рейтинга кредитоспособности лица в установленном в статье 28 настоящего Закона порядке.

 

ГЛАВА ПЯТАЯ

ПРАВА СУБЪЕКТА ДАННЫХ

 

Статья 23. Права субъекта данных

1. Субъект данных в установленном настоящим Законом порядке вправе:

1) знать (быть информированным) об обработке его персональных данных;

2) ознакомиться со своими персональными данными и с тем, каким образом осуществляется их обработка;

3) требовать исправления, уничтожения своих персональных данных или приостановления, за исключением хранения, действий по обработке его персональных данных, если обработка персональных данных осуществляется без соблюдения положений настоящего и других законов;

4) не согласиться с обработкой его персональных данных.

2. Управляющий данными обязан создать условия для субъекта данных реализовать установленные в настоящей статье права, за исключением установленных законами случаев, когда необходимо обеспечить:

1) государственную безопасность или оборону;

2) общественный порядок, предупреждение, расследование, установление преступных деяний или уголовное преследование;

3) важные экономические или финансовые интересы государства;

4) предупреждение, расследование и установление нарушений служебной или профессиональной этики;

5) защиту прав и свобод субъекта данных или других лиц.

3. Управляющий данными должен мотивированно обосновать отказ от выполнения ходатайства субъекта данных об осуществлении установленных в настоящем Законе прав субъекта данных. Управляющий данными после получения ходатайства субъекта данных не позднее чем в течение 30 календарных дней со дня обращения субъекта данных должен представить ему ответ. Если ходатайство субъекта данных представлено в письменной форме, управляющий данными должен представить ответ ему в письменной форме.

4. Субъект данных может обжаловать действия (бездействие) управляющего данными в Государственную инспекцию по защите данных в течение 3 месяцев со дня получения ответа от управляющего данными или в течение 3 месяцев со дня истечения установленного в части 3 настоящей статьи срока для представления ответа. Субъект данных в установленном законодательством порядке может обжаловать действия (бездействие) Государственной инспекции по защите данных в суд.

 

Статья 24. Информирование субъекта данных об обработке его данных

1. Управляющий данными обязан указать субъекту данных, персональные данные которого получает непосредственно от него, следующую информацию (за исключением случаев, когда субъект данных уже обладает такой информацией):

1) о своей (как управляющего данными) идентичности и постоянном месте жительства, а также об идентичности и постоянном месте жительства своего представителя, если такой имеется, (если управляющий данными или его представитель является физическим лицом) или о реквизитах и местонахождении (если управляющий данными или его представитель является юридическим лицом);

Редакция пункта 1 с 1 сентября 2011 г.:

1) свою (как управляющего данными) идентичность и постоянное место жительства, а также идентичность и постоянное место жительства своего представителя, если такой имеется, (если управляющий данными или его представитель является физическим лицом) или указать наименование, код и местонахождение юридического лица (если управляющий данными или его представитель является юридическим лицом);

 

2) в каких целях планируется осуществлять обработку персональных данных субъекта данных;

3) другую дополнительную информацию (для кого и в каких целях представляются персональные данные субъекта данных; какие свои персональные данные субъект данных обязан представить и каковы последствия непредставления данных, о праве субъекта данных ознакомиться со своими персональными данными и праве требовать исправления неверных, неполных, неточных персональных данных), в том объеме, в каком она необходима для обеспечения правильной обработки персональных данных без нарушения прав субъекта данных.

2. Управляющий данными, который получает персональные данные не от субъекта данных, обязан информировать об этом субъекта данных до начала обработки персональных данных или, если он намеревается представить данные третьим лицам, обязан об этом информировать субъекта данных не позднее, чем до того момента, когда данные будут представлены впервые, за исключением случаев, когда законами или другими правовыми актами определены порядок сбора и представления таких данных, а также получатели данных. В этом случае управляющий данными обязан указать субъекту данных следующую информацию (за исключением случаев, когда субъект данных уже владеет такой информацией):

1) о своей (как управляющего данными) идентичности и постоянном месте жительства, а также об идентичности и постоянном месте жительства своего представителя, если такой имеется, (если управляющий данными или его представитель является физическим лицом) или о реквизитах и местонахождении (если управляющий данными или его представитель является юридическим лицом);

Редакция пункта 1 с 1 сентября 2011 г.:

1) свою (как управляющего данными) идентичность и постоянное место жительства, а также идентичность и постоянное место жительства своего представителя, если такой имеется, (если управляющий данными или его представитель является физическим лицом) или указать наименование, код и местонахождение юридического лица (если управляющий данными или его представитель является юридическим лицом);

 

2) в каких целях осуществляется или намечается обработка персональных данных субъекта данных;

3) другую дополнительную информацию (из каких источников производится или намечается производить сбор персональных данных субъекта данных и каковы эти данные; для кого и в каких целях представляются персональные данные субъекта данных; о праве субъекта данных ознакомиться со своими персональными данными и праве требовать исправления неверных, неполных, неточных персональных данных), в том объеме, в каком она необходима для обеспечения правильной обработки персональных данных без нарушения прав субъекта данных.

3. Если управляющий данными осуществляет или намеревается осуществлять сбор персональных данных у субъекта данных и осуществляет или намеревается осуществлять их обработку в целях прямого маркетинга, до представления данных субъекта данных он обязан информировать субъекта данных, кому и для каких целей его персональные данные будут представляться.

4. Часть 2 настоящей статьи не применяется при обработке персональных данных в статистических, исторических либо научно-исследовательских целях, если такую информацию представить невозможно или слишком затруднительно (в связи с большим количеством субъектов данных, давностью данных, необоснованно большими затратами) либо если порядок сбора и представления данных устанавливается законодательством. Об этом управляющий данными обязан сообщить в Государственную инспекцию по защите данных в установленном в статье 33 настоящего Закона порядке. Государственная инспекция по защите данных обязана произвести предварительную проверку.

Редакция части 4 с 1 сентября 2011 г.:

4. Часть 2 настоящей статьи не применяется при обработке персональных данных в статистических, исторических либо научно-исследовательских целях, если такую информацию представить невозможно или слишком затруднительно (в связи с большим количеством субъектов данных, давностью данных, необоснованно большими затратами) либо если порядок сбора и представления данных устанавливается законодательством, а также при обработке контактных данных субъекта данных (адреса, номера телефонной связи) в целях социального исследования и исследования общественного мнения до первого прямого контакта с субъектом данных. В таком случае управляющий данными обязан известить Государственную инспекцию по защите данных в установленном в статье 33 настоящего Закона порядке. Государственная инспекция по защите данных обязана произвести предварительную проверку.

 

Статья 25. Право субъекта данных на ознакомление со своими персональными данными

1. Субъект данных при предъявлении управляющему данными или распорядителю данных документа, удостоверяющего личность, вправе получить информацию, из каких источников и какие его персональные данные собраны, с какой целью осуществляется их обработка, каким получателям данных представляются и представлялись в течение как минимум последнего года.

Редакция части 1 с 1 сентября 2011 г.:

1. Субъект данных после предъявления управляющему данными или распорядителю данных документа, удостоверяющего личность, или в установленном правовыми актами порядке либо при помощи средств электронной связи, позволяющих должным образом идентифицировать лицо, удостоверивший свою личность, вправе получить информацию о том, из каких источников и какие его персональные данные собраны, с какой целью осуществляется их обработка, каким получателям данных представляются и представлялись в течение как минимум последнего 1 года.

 

2. Управляющий данными, получивший запрос субъекта данных об обработке его персональных данных, обязан ответить, осуществляется ли обработка связанных с ним персональных данных, и представить субъекту данных запрашиваемые данные не позднее чем в течение 30 календарных дней со дня обращения субъекта данных. По ходатайству субъекта данных такие сведения должны быть представлены в письменной форме. Такие сведения управляющий данными представляет субъекту данных безвозмездно один раз в течение календарного года. При возмездном представлении данных размер платы не должен превышать затраты на представление данных. Порядок возмещения за представление данных устанавливается Правительством.

 

Статья 26. Право субъекта данных требовать исправления, уничтожения или приостановления действий по обработке его персональных данных

1. Если после ознакомления со своими персональными данными субъект данных устанавливает, что его персональные данные неверны, неполны или неточны, и обращается к управляющему данными, управляющий данными обязан незамедлительно произвести проверку персональных данных и по просьбе субъекта данных (выраженной в письменной, устной или иной форме) незамедлительно исправить неверные, неполные, неточные персональные данные и (или) приостановить действия по обработке таких персональных данных, за исключением хранения.

Редакция части 1 с 1 сентября 2011 г.:

1. Если после ознакомления со своими персональными данными субъект данных устанавливает, что его персональные данные неверны, неполны или неточны, и обращается к управляющему данными, управляющий данными обязан незамедлительно произвести проверку персональных данных и по письменному ходатайству субъекта данных, представленному лично, по почте или при помощи средств электронной связи, незамедлительно исправить неверные, неполные, неточные персональные данные и (или) приостановить действия по обработке таких персональных данных, за исключением хранения.

 

2. Если субъект данных после ознакомления со своими персональными данными устанавливает, что обработка его персональных данных осуществляется незаконно, недобросовестно, и обращается к управляющему данными, управляющий данными обязан незамедлительно произвести безвозмездную проверку законности, добросовестности обработки персональных данных и по просьбе субъекта данных (изложенной в письменной форме) незамедлительно уничтожить накопленные незаконным или недобросовестным путем персональные данные или приостановить действия по обработке таких персональных данных, за исключением хранения.

3. После приостановления по просьбе субъекта данных действий по обработке его персональных данных, персональные данные, действия по обработке которых приостановлены, должны храниться до исправления или уничтожения (по ходатайству субъекта данных или по истечении строка хранения данных). Другие действия по обработке в отношении таких персональных данных могут осуществляться только:

1) с целью доказать наличие обстоятельств, в связи с которыми действия по обработке данных были приостановлены;

2) если субъект данных дает согласие на дальнейшую обработку своих персональных данных;

3) если необходимо защитить права или законные интересы третьих лиц.

4. Управляющий данными обязан незамедлительно сообщить субъекту данных о произведенном или непроизведенном по его просьбе исправлении, уничтожении персональных данных или приостановлении действий по обработке персональных данных.

5. Исправление и уничтожение персональных данных или приостановление действий по их обработке осуществляются в соответствии с документами, удостоверяющими личность субъекта данных и его персональные данные, после получения ходатайства субъекта данных.

6. Если управляющий данными сомневается в достоверности персональных данных, представленных субъектом данных, он обязан приостановить действия по обработке таких данных, осуществить проверку и уточнение данных. Такие персональные данные могут использоваться только для проверки их достоверности.

7. Управляющий данными обязан незамедлительно информировать получателей данных об исправленных или уничтоженных по просьбе субъекта данных персональных данных, приостановленных действиях по обработке персональных данных, за исключением случаев, когда представить такую информацию невозможно или слишком сложно (из-за большого количества субъектов данных, периода данных, необоснованно больших затрат). В таком случае должна быть незамедлительно извещена Государственная инспекция по защите данных.

 

Статья 27. Право субъекта данных на несогласие с обработкой его персональных данных

1. Управляющий данными в установленных в пунктах 5 и 6 части 1 статьи 5 настоящего Закона случаях, а также когда обработка данных осуществляется или планируется в целях прямого маркетинга, обязан ознакомить субъекта данных с его правом на несогласие с обработкой его персональных данных.

2. Субъект данных в указанных в пунктах 5 и 6 части 1 статьи 5 настоящего Закона случаях имеет право выразить (в письменной, устной или иной форме) несогласие с обработкой его персональных данных. Если несогласие субъекта данных является юридически обоснованным, управляющий данными обязан незамедлительно и безвозмездно прекратить действия по обработке персональных данных, за исключением установленных законодательством случаев, и информировать получателей данных.

Редакция части 2 с 1 сентября 2011 г.:

2. Субъект данных в указанных в пунктах 5 и 6 части 1 статьи 5 настоящего Закона случаях имеет право не согласиться с обработкой его персональных данных. Субъект данных представляет управляющему данными письменное извещение о несогласии с обработкой его персональных данных лично, по почте или при помощи средств электронной связи. Если несогласие субъекта данных является юридически обоснованным, управляющий данными обязан незамедлительно безвозмездно прекратить действия по обработке персональных данных, за исключением установленных законодательством случаев, и информировать получателей данных.

 

3. Субъект данных вправе выразить несогласие с обработкой его персональных данных без указания мотивов несогласия, если обработка данных осуществляется или планируется с целью прямого маркетинга. В данном случае управляющий данными обязан незамедлительно и безвозмездно прекратить действия по обработке персональных данных, за исключением установленных законами случаев, и информировать получателей данных.

Редакция части 3 с 1 сентября 2011 г.:

3. Субъект данных вправе выразить несогласие с обработкой его персональных данных без указания мотивов несогласия, если обработка данных осуществляется или планируется в целях прямого маркетинга или социального исследования и исследования общественного мнения. В данном случае управляющий данными обязан незамедлительно и безвозмездно прекратить действия по обработке персональных данных, за исключением установленных законами случаев, и информировать получателей данных.

 

4. По ходатайству субъекта данных управляющий данными обязан сообщить субъекту данных о прекращении действий по обработке его персональных данных или об отказе в прекращении действий по обработке данных.

 

Статья 28. Оценка качеств лица автоматическим способом

1. Не может приниматься решение относительно качеств субъекта данных (кредитоспособности, благонадежности, работоспособности и др.), если такие качества были оценены только автоматическим способом, если такое решение может иметь юридические последствия для субъекта данных или иным образом повлиять на него, за исключением следующих случаев:

1) решение принимается в установленном законодательством порядке, если законодательством предусмотрены меры по защите законных интересов субъекта данных;

2) решение принимается при заключении или выполнении договора в том случае, если ходатайство субъекта данных о заключении или выполнении договора удовлетворено;

3) решение принимается при заключении или выполнении договора, если осуществлены надлежащие меры по защите законных интересов субъекта данных, например, установлен порядок, позволяющий субъекту данных высказать свое мнение.

2. Управляющий данными до начала оценки качеств субъекта данных автоматическим способом обязан создать условия субъекту данных для ознакомления с установленными управляющим данными критериями и принципами оценки.

3. Если управляющий данными оценивает качества субъекта данных автоматическим способом и субъект данных не согласен с такой оценкой, он вправе высказать свое мнение относительно оценки его качеств. Управляющий данными должен учитывать мнение субъекта данных и при необходимости повторить оценку неавтоматическим способом.

 

Статья 29. Услуга субъекту данных по реализации его права на ознакомление со своими персональными данными

1. Государственная инспекция по защите данных оказывает помощь субъекту данных в реализации его права на ознакомление с его персональными данными.

2. Субъект данных при обращении в Государственную инспекцию по защите данных и предъявлении документа, удостоверяющего личность, вправе просить Государственную инспекцию по защите данных собрать у зарегистрированных управляющих данными его персональные данные или информацию об обработке его персональных данных и ознакомить его с собранными данными или информацией. Если субъект данных в Государственную инспекцию по защите данных обращается электронным способом, его ходатайство должно быть подписано безопасной электронной подписью. Ответ на такое ходатайство представляется лицу по электронной почте, а по желанию лица – пересылается по почте по указанному в ходатайстве адресу или вручается. Ответ по электронной почте должен быть подписан безопасной электронной подписью. Государственная инспекция по защите данных обязана ответить на такое ходатайство субъекта данных в течение 30 календарных дней.

Редакция части 2 с 1 сентября 2011 г.:

2. Субъект данных, представивший в Государственную инспекцию по защите данных письменное ходатайство и документ, удостоверяющий личность, или представивший ходатайство при помощи средств электронной связи и удостоверивший в установленном Государственной инспекцией по защите данных порядке свою личность, вправе обратиться с просьбой в орган по надзору за данными собрать у зарегистрированных управляющих данными его персональные данные или информацию об обработке его персональных данных и ознакомить его с собранными данными или информацией. Ответ на такое ходатайство должен быть представлен лицу лично, по почте, автоматическим способом или при помощи средств электронной связи не позднее чем в течение 30 календарных дней с момента представления ходатайства или удостоверения личности.

 

3. При предоставлении указанной в части 2 настоящей статьи услуги субъекту данных Государственная инспекция по защите данных не имеет права осуществлять сбор данных, установленных в Законе о государственной и служебной тайнах, которые составляют засекреченную информацию.

4. За предоставление установленной в части 2 настоящей статьи услуги субъекту данных взимается государственная пошлина установленного Правительством размера.

5. Зарегистрированные в Государственном регистре управляющих личными данными управляющие данными после получения запроса Государственной инспекции по защите данных относительно осуществления права конкретного субъекта данных на ознакомление с его личными данными обязаны не позднее чем в течение 15 календарных дней представить в Государственную инспекцию по защите данных ответ в установленном ею порядке (запрошенные субъектом данных персональные данные или информацию об обработке его персональных данных либо указать, что обработка данных субъекта данных не осуществляется).

6. Управляющие данными обязаны обеспечить безопасность, конфиденциальность, целостность и доступность данных субъекта данных, полученных от Государственной инспекции по защите данных и представляемых в Государственную инспекцию по защите данных.

 

ГЛАВА ШЕСТАЯ

СОХРАННОСТЬ ДАННЫХ

 

Статья 30. Сохранность данных

1. Управляющий данными и распорядитель данных обязаны осуществлять надлежащие организационные и технические меры, направленные на защиту персональных данных от непреднамеренного или незаконного уничтожения, изменения, раскрытия, а также от любого другой незаконной обработки. Указанные меры должны обеспечить такой уровень сохранности, который соответствовал бы характеру подлежащих сохранению персональных данных и риску, связанному с их обработкой, и должны быть изложены в письменном документе (в утвержденных управляющим данными правилах обработки персональных данных, в заключенном между управляющим данными и распорядителем данных договоре и т. п.).

2. Государственная инспекция по защите данных устанавливает общие требования в отношении организационных и технических мер по сохранности данных.

3. Управляющий данными осуществляет самостоятельную обработку персональных данных и (или) уполномочивает на это распорядителя данных. Если управляющий данными уполномочивает распорядителя данных осуществлять обработку персональных данных, он обязан подобрать такого распорядителя данных, который гарантировал бы необходимые технические и организационные меры по защите данных и обеспечил бы соблюдение таких мер.

4. Управляющий данными, уполномочивая распорядителя данных на обработку персональных данных, устанавливает, что обработка данных должна осуществляться только в соответствии с указаниями управляющего данными.

5. Отношения между управляющим данными и распорядителем данных, который не является управляющим данными, должны быть установлены в письменном договоре, за исключением случаев, когда такие отношения устанавливаются законами или другими правовыми актами.

6. Работники управляющего данными, распорядителя данных и их представителей, которые осуществляют обработку персональных данных, обязаны сохранять тайну персональных данных, если эти персональные данные не предназначены для публичного обнародования. Эта обязанность сохраняется и после ухода с государственной службы, перехода на другую должность либо после прекращения трудовых или договорных отношений.

7. Направляемые или представляемые субъектам данных (физическим лицам) письменные печатные сообщения информационного характера об оказанных субъектам данных (физическим лицам) услугах, обязательствах субъектов данных (физических лиц), выполнении договоров с субъектами данных (физическими лицами), счета, расчетные листки, выдаваемые работодателем работнику, индивидуальные предложения коммерческого характера субъектам данных (физическим лицам), в содержании которых указываются персональные данные субъектов данных (физических лиц), в том числе, но не исключительно, данные об имени и фамилии, местожительстве лица, уплаченных или неуплаченных налогах, коде или номере налогоплательщика, номере расчетной книжки, должны быть представлены в запечатанном пакете, на котором может содержаться только информация, необходимая для почтовых услуг, и содержание таких извещений может быть доступно только субъекту данных (физическому лицу), которому адресовано извещение, или с его согласия третьему лицу после вскрытия или распечатки представленного извещения. Эти положения не применяются, если указанные извещения вручаются субъектам данных (физическим лицам) лично и конфиденциально.

8. За надлежащее выполнение указанных в части 7 настоящей статьи требований ответственность несут управляющие данными и лица, по заказу которых рассылаются указанные в части 7 настоящей статьи письменные извещения информационного характера.

 

ГЛАВА СЕДЬМАЯ

РЕГИСТРАЦИЯ УПРАВЛЯЮЩИХ ДАННЫМИ

 

Статья 31. Уведомление об обработке данных

Обработка персональных данных может осуществляться автоматическим способом только в том случае, если управляющий данными или его представитель (в соответствии с пунктом 3 части 3 статьи 1 настоящего Закона) в установленном Правительством порядке сообщают в Государственную инспекцию по защите данных, за исключением случаев, когда обработка персональных данных осуществляется:

1) в целях внутреннего администрирования;

2) в политических, философских, религиозных целях или в целях, связанных с профессиональными союзами, если обработку персональных данных осуществляет в своей деятельности фонд, ассоциация или другая некоммерческая организация, когда обрабатываемые персональные данные связаны только с членами этой организации или с лицами, которые постоянно иным образом принимают участие в ее деятельности для достижения намеченных этой организацией целей;

3) в установленных в статье 8 настоящего Закона случаях;

4) в установленном Законом о государственной и служебной тайнах порядке.

 

Статья 32. Ответственное за защиту данных лицо или подразделение

1. Управляющий данными вправе назначить ответственное за защиту данных лицо или подразделение.

2. Ответственное за защиту данных лицо или подразделение:

1) публично объявляет о действиях управляющего данными по обработке данных в установленном Правительством порядке;

2) осуществляет надзор за соблюдением при обработке персональных данных положений настоящего Закона и других правовых актов, регламентирующих защиту данных;

3) инициирует подготовку сообщений в Государственную инспекцию по защите данных об обстоятельствах, указанных в части 1 статьи 33 настоящего Закона;

4) осуществляет контроль за обработкой персональных данных работниками управляющего данными;

5) представляет управляющему данными предложения, заключения относительно определения мер по защите и обработке данных, осуществляет надзор за исполнением и использованием этих мер;

6) незамедлительно принимает меры по устранению нарушений при обработке персональных данных;

7) знакомит работников, уполномоченных на обработку персональных данных, с положениями настоящего Закона и других правовых актов, регламентирующих защиту персональных данных;

8) инициирует подготовку обращений в Государственную инспекцию по защите данных по вопросам обработки и защиты персональных данных;

9) оказывает помощь субъектам данных в реализации их прав;

10) в письменной форме информирует Государственную инспекцию по защите данных, если устанавливает, что управляющий данными осуществляет обработку персональных данных с нарушением положений настоящего Закона и других правовых актов, регламентирующих защиту данных, и отказывается устранить эти нарушения.

3. Управляющий данными обязан представить ответственному за защиту данных лицу или подразделению исчерпывающую информацию о намечаемой обработке персональных данных, предполагаемых к использованию автоматических средствах обработки персональных данных и установить разумный срок для представления заключения относительно намеченной обработки персональных данных.

4. Управляющий данными обязан создать условия для самостоятельного исполнения ответственным за защиту данных лицом или подразделением его функций, предусмотренных в настоящей статье.

5. Управляющий данными в течение 30 календарных дней со дня назначения или отзыва лица или подразделения, ответственного за защиту данных, должен сообщить об этом в Государственную инспекцию по защите данных.

 

Статья 33. Предварительная проверка

1. Государственная инспекция по защите данных осуществляет предварительную проверку в следующих случаях:

1) если управляющий данными намерен автоматическим способом осуществлять обработку особых персональных данных, за исключением обработки этих данных в целях внутреннего администрирования или в установленных в пунктах 6 и 7 части 2 статьи 5 настоящего Закона случаях;

2) если управляющий данными намерен автоматическим способом осуществлять обработку публичных файлов данных, когда законах или других правовых актах не определен порядок представления данных;

3) если управляющий данными государственных или ведомственных регистров либо информационных систем данных государственных органов и органов самоуправлений намерен уполномочить распорядителя данных на обработку персональных данных, за исключением случаев, когда в законах или других правовых актах закреплено право управляющего данными уполномочивать конкретного распорядителя данных на обработку персональных данных или когда распорядитель данных является юридическим лицом, учрежденным управляющим данными;

4) в установленных в части 3 статьи 10, части 1 статьи 12, части 2 статьи 21 и части 4 статьи 24 настоящего Закона случаях.

Редакция пункта 4 части 1 с 1 сентября 2011 г.:

4) в установленных в части 3 статьи 10, части 1 статьи 12, части 2 статьи 21, части 2 статьи 22, и части 4 статьи 24 настоящего Закона и в других законах случаях.

 

2. Управляющий данными обязан в установленном Государственной инспекцией по защите данных порядке сообщить в Государственную инспекцию по защите данных о случаях, указанных в части 1 настоящей статьи. Такие действия по обработке данных могут осуществляться только после получения разрешения Государственной инспекции по защите данных. Государственная инспекция по защите данных обязана в течение 2 месяцев со дня получения извещения в установленном Государственной инспекцией по защите данных порядке осуществить предварительную проверку и выдать разрешение или отказать в выдаче разрешения управляющему данными на осуществление действий по обработке персональных данных, за исключением случаев, когда в связи со сложностью указанных в извещении обстоятельств, объемом информации или другими важными обстоятельствами рассмотрение извещения необходимо продлить. В таких случаях срок рассмотрения извещения продлевается, но не более чем на один месяц, с извещением об этом управляющего данными. Решение Государственной инспекции по защите данных не выдавать разрешение управляющему данными на осуществление действий по обработке персональных данных может быть обжаловано в установленном законодательством порядке.

 

Статья 34. Регистрация управляющих данными

1. Управляющие данными регистрируются в Государственном регистре управляющих персональными данными.

2. Ведение Государственного регистра управляющих персональными данными осуществляет Государственная инспекция по защите данных.

 

ГЛАВА ВОСЬМАЯ

ПРЕДСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛУЧАТЕЛЯМ ДАННЫХ, НАХОДЯЩИМСЯ В ИНОСТРАННЫХ ГОСУДАРСТВАХ

 

Статья 35. Представление персональных данных получателям данных, находящимся в иностранных государствах

1. Персональные данные получателям данных, находящимся в государствах-членах Европейского Союза и других государствах Европейского экономического пространства, представляются на тех же условиях и в том же порядке, что и получателям данных, находящимся в Литовской Республике.

2. Персональные данные получателям данных в третьих государствах представляются после получения разрешения Государственной инспекции по защите данных, за исключением установленных в части 5 настоящей статьи случаев.

3. Государственная инспекция по защите данных не позднее чем в течение 2 месяцев со дня обращения управляющего данными выдает или отказывает в выдаче разрешения на представление персональных данных в третьи государства. Разрешение выдается, если в этих государствах существует надлежащий уровень правовой защиты персональных данных. Уровень правовой защиты персональных данных оценивается с учетом всех обстоятельств, связанных с представлением данных, особенно действующих в третьем государстве, в которое планируется представлять персональные данные, законов, других правовых актов и подготовленных управляющим данными документов, обеспечивающих правовую защиту персональных данных, с учетом характера представляемых данных, способов, целей, продолжительности обработки данных, средств защиты, которые будут соблюдаться в том государстве.

4. Государственная инспекция по защите данных может выдать разрешение на представление персональных данных в третье государство, которое не гарантирует надлежащий уровень правовой защиты персональных данных, если управляющим данными установлены надлежащие меры по защите данных, направленные на защиту и реализацию права лица на неприкосновенность частной жизни, других прав субъекта данных. Такие меры защиты должны быть изложены в договоре о представлении персональных данных в третьи государства или в другом документе письменной формы.

5. Без разрешения Государственной инспекции по защите данных персональные данные представляются в третье государство или международной правоохранительной организации только в том случае, если:

1) субъект данных дал согласие на представление персональных данных;

2) представление персональных данных необходимо для заключения или выполнения договора между управляющим данными и третьим лицом в интересах субъекта данных;

3) представление персональных данных необходимо для выполнения договора между управляющим данными и субъектом данных или осуществления мер, которые были приняты до заключения договора по ходатайству субъекта данных;

4) представление персональных данных необходимо (или установлено законами) в связи с важными общественными интересами или они необходимы для рассмотрения дела в суде;

5) с целью защиты жизненно важных интересов субъекта данных;

6) необходимо предотвратить преступные деяния или необходимо их расследовать;

7) представление персональных данных в установленном законами и другими правовыми актами порядке осуществляется из публичного файла данных.

Редакция пункта 7 части 5 с 1 сентября 2011 г.:

7) представление персональных данных в установленном законами и другими правовыми актами порядке осуществляется из публичного файла данных.

 

ГЛАВА ДЕВЯТАЯ

НАДЗОР ЗА ОСУЩЕСТВЛЕНИЕМ НАСТОЯЩЕГО ЗАКОНА

Редакция наименования главы девятой с 1 сентября 2011 г.:

ГЛАВА ДЕВЯТАЯ

ФОРМИРОВАНИЕ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И НАДЗОР ЗА ОСУЩЕСТВЛЕНИЕМ НАСТОЯЩЕГО ЗАКОНА

 

Закон дополняется статьей 351 с 1 сентября 2011 г.:

Статья 351. Функции Министерства юстиции в сфере защиты персональных данных

Министерство юстиции:

1) формирует государственную политику в сфере защиты персональных данных;

2) формирует политику Литвы в сфере защиты персональных данных Европейского Союза;

3) разрабатывает проекты законов, регламентирующих защиту персональных данных;

4) осуществляет функции в сфере защиты персональных данных, установленные в других правовых актах.

 

 

Статья 36. Орган по надзору за осуществлением настоящего Закона и его правовой статус

1. Надзор и контроль за осуществлением настоящего Закона, за исключением статьи 8, осуществляет Государственная инспекция по защите данных. Государственная инспекция по защите данных является правительственным учреждением, финансируемым из государственного бюджета. Она подотчетна Правительству. Положение о Государственной инспекции по защите данных утверждает Правительство.

Редакция части 1 с 1 сентября 2011 г.:

1. Надзор и контроль за осуществлением настоящего Закона, за исключением статей 8 и 351, осуществляет Государственная инспекция по защите данных. Государственная инспекция по защите данных является правительственным учреждением, финансируемым из государственного бюджета. Ее административную структуру утверждает Правительство или поручает утвердить руководителю Государственной инспекции по защите данных. Положение о Государственной инспекции по защите данных утверждает Правительство.

 

2. Государственная инспекция по защите данных является публичным юридическим лицом, имеющим расчетный счет в банке и печать с гербом Литовского государства и своим наименованием.

3. Основными целями деятельности Государственной инспекции по защите данных является надзор за деятельностью управляющих данными по обработке персональных данных, контроль за законностью обработки персональных данных, предотвращение нарушений при обработке данных, обеспечение защиты прав субъекта данных.

3. Государственная инспекция по защите данных не вправе осуществлять контроль за обработкой персональных данных в судах.

 

Статья 37. Правовые основы и принципы деятельности Государственной инспекции по защите данных

1. Государственная инспекция по защите данных в своей деятельности руководствуется Конституцией Литовской Республики, международными договорами Литовской Республики, настоящим и другими законами, а также другими правовыми актами.

2. Деятельность Государственной инспекции по защите данных основывается на принципах законности, беспристрастности, публичности, профессионализма в исполнении своих функций. Государственная инспекция по защите данных при исполнении установленных настоящим Законом функций и принятии решений, связанных с исполнением установленных для нее настоящим Законом функций, является независимой. Ее права могут быть ограничены только законами.

3. Государственные органы и учреждения, а также органы и учреждения самоуправлений, члены Сейма и другие должностные лица, политические партии, общественные организации, другие юридические и физические лица не вправе оказывать на директора Государственной инспекции по защите данных, государственных служащих и работников, работающих по трудовым договорам, какое-либо политическое, экономическое, психологическое, социальное давление или другое незаконное воздействие. Вмешательство в деятельность Государственной инспекции по защите данных влечет установленную законодательством ответственность.

 

Статья 38. Статус директора Государственной инспекции по защите данных

1. Государственной инспекцией по защите данных руководит директор Государственной инспекции по защите данных.

2. Директор Государственной инспекции по защите данных является государственным служащим – руководителем учреждения, на должность принимается в конкурсном порядке на срок полномочий продолжительностью 5 лет и освобождается от нее Премьер-министром в установленном Законом о государственной службе порядке. Директором Государственной инспекции по защите данных лицо может быть назначено не более двух сроков полномочий подряд.

3. Директор Государственной инспекции по защите данных на свой срок полномочий должен приостановить членство в политической партии.

4. Правовое положение директора Государственной инспекции по защите данных, помимо настоящего Закона, определяется и Законом о государственной службе.

Редакция статьи 38 с 1 сентября 2011 г.:

Статья 38. Статус руководителя Государственной инспекции по защите данных

1. Государственной инспекцией по защите данных руководит директор Государственной инспекции по защите данных. Он является управляющим ассигнованиями государственного бюджета.

2. Директор Государственной инспекции по защите данных является государственным служащим – руководителем учреждения, которого на 5-летний срок полномочий принимает на должность и освобождает от должности Правительство в установленном Законом о Правительстве порядке. Директор Государственной инспекции по защите данных подотчетен Правительству и министру юстиции. Директором Государственной инспекции по защите данных лицо может назначаться не больше, чем два срока полномочий подряд.

3. Директор Государственной инспекции по защите данных на свой срок полномочий должен приостановить членство в политической партии.

 

Статья 39. Заместители директора Государственной инспекции по защите данных

1. Директор Государственной инспекции по защите данных имеет заместителей.

2. Заместителей на должность принимает директор Государственной инспекции по защите данных в установленном Законом о государственной службе порядке.

3. В отсутствие директора Государственной инспекции по защите данных его временно замещает один из заместителей, временно исполняющий функции директора.

 

Статья 40. Функции Государственной инспекции по защите данных

Государственная инспекция по защите данных:

1) осуществляет ведение Государственного регистра управляющих персональными данными, публично обнародует его данные и осуществляет надзор за деятельностью управляющих данными, связанной с обработкой персональных данных;

2) рассматривает ходатайства лиц в установленном Законом о публичном администрировании порядке;

3) рассматривает жалобы и сообщения лиц (далее – жалобы) в установленном настоящим Законом порядке;

Редакция пункта 3 с 1 сентября 2011 г.:

3) в установленном настоящим Законом порядке рассматривает жалобы и сообщения лиц (далее – жалобы), проверяет на их основании законность обработки персональных данных и выносит решения по поводу нарушений при обработке персональных данных;

 

4) осуществляет проверку законности обработки персональных данных и принимает решения относительно нарушений при обработке персональных данных;

Редакция пункта 4 с 1 сентября 2011 г.:

4) в установленном директором Государственной инспекции по защите данных порядке осуществляет проверку законности обработки персональных данных и принимает решения относительно нарушений при обработке персональных данных;

 

5) выдает управляющим данными разрешения на представление персональных данных получателям данных третьих государств;

6) подготавливает и публично обнародует годовые отчеты о своей деятельности;

7) консультирует управляющих данными, а также подготавливает методические рекомендации относительно защиты персональных данных и обнародует их в Интернете;

Редакция пункта 7 с 1 сентября 2011 г.:

7) консультирует субъектов данных, управляющих данными и распорядителей данных, других лиц по вопросам защиты персональных данных и приватности, а также подготавливает методические рекомендации относительно защиты персональных данных и обнародует их в Интернете;

 

8) в установленном законодательством порядке оказывает помощь проживающим за границей субъектам данных;

9) в установленных законодательством случаях представляет информацию другим государствам о правовых актах Литовской Республики, регламентирующих защиту данных, и о практике их администрирования;

10) в установленных настоящим Законом случаях проводит предварительную проверку и представляет заключения управляющему данными о намечаемой обработке данных;

Редакция пункта 10 с 1 сентября 2011 г.:

10) в установленных настоящим и другими законами случаях проводит предварительную проверку и представляет заключения управляющему данными о намечаемой обработке данных;

 

11) сотрудничает с органами по защите персональных данных иностранных государств, органами, учреждениями Европейского Союза и международными организациями и принимает участие в их деятельности;

12) осуществляет положения Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных (ССЕ № 108);

Редакция пункта 12 с 1 сентября 2011 г.:

12) участвует в формировании государственной политики в сфере защиты персональных данных и осуществляет эту политику, а также осуществляет политику Литвы в сфере защиты персональных данных Европейского Союза и положения Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных (ССЕ № 108);

 

13) представляет предложения в Сейм, Правительство, в другие государственные органы и учреждения, а также в органы и учреждения самоуправлений относительно подготовки, изменения, признания утратившими силу законов или других правовых актов, если положения законов или других правовых актов связаны с вопросами, относящимися к компетенции Государственной инспекции по защите данных;

Редакция пункта 13 с 1 сентября 2011 г.:

13) участвует в разработке законопроектов, разрабатывает проекты других правовых актов, регламентирующих защиту персональных данных, согласовывает проекты правовых актов и вносит предложения в Сейм, Правительство, в другие государственные органы и учреждения, а также в органы и учреждения самоуправлений относительно подготовки, изменения, признания утратившими силу законов или других правовых актов, если положения законов или других правовых актов связаны с вопросами, относящимися к компетенции Государственной инспекции по защите данных;

 

14) оценивает представленные управляющими данными правила обработки персональных данных;

15) выполняет другие функции, установленные настоящим и другими законами.

Статья дополняется новым пунктом 14, бывшие пункты 14 и 15 считаются пунктами 15 и 16 с 1 сентября 2011 г.:

14) вносит предложения в Министерство юстиции относительно формирования государственной политики в сфере защиты персональных данных и относительно формирования политики Литвы в сфере защиты персональных данных Европейского Союза;

15) оценивает представленные управляющими данными правила обработки персональных данных;

16) выполняет другие функции, установленные настоящим и другими законами.

 

Статья 41. Права Государственной инспекции по защите данных

Государственная инспекция по защите данных имеет право:

1) безвозмездно получать от государственных органов и учреждений, а также органов и учреждений самоуправлений, других юридических и физических лиц всю необходимую информацию, копии документов, копии данных, а также ознакомиться со всеми данными и документами, необходимыми для исполнения функций по надзору за обработкой персональных данных;

2) после предварительного письменного предупреждения, а при проверке законности обработки персональных данных по жалобе – без предварительного предупреждения, входить в помещения проверяемого лица (в том числе, в арендуемые или используемые на других основаниях) или на территорию, где находятся документы, оборудование, связанные с обработкой персональных данных. Вход на территорию, в здания, помещения (в том числе, в арендуемые или используемые на других основаниях) проверяемого юридического лица возможен только в рабочее время проверяемого юридического лица после предъявления удостоверения государственного служащего. Вход в жилые помещения проверяемого физического лица (в том числе, в арендуемое или используемое на других основаниях), где находятся документы, оборудование, связанные с обработкой персональных данных, возможен только после предъявления определения суда относительно разрешения на вход в жилое помещение;

3) принимать участие в заседаниях Сейма, Правительства, других государственных органов при рассмотрении вопросов, связанных с защитой данных;

4) приглашать экспертов (консультантов), создавать рабочие группы для экспертизы обработки или защиты данных, подготовки документов по защите данных, а также для решения других вопросов, входящих в компетенцию Государственной инспекции по защите данных;

5) давать управляющему данными рекомендации и указания относительно обработки и защиты персональных данных;

6) в установленном законодательством порядке составлять протоколы об административных правонарушениях;

7) обмениваться информацией с органами надзора за персональными данными других государств и международными организациями в том объеме, в каком это необходимо для выполнения их обязанностей;

8) принимать участие при рассмотрении в суде дел о нарушениях положений международного и национального права по вопросам защиты персональных данных;

9) во время проверки законности обработки персональных данных при сборе доказательств использовать оборудование для производства фотосъемки, киносъемки и звукозаписи; 

10) другие установленные в законах и других правовых актах права.

 

Закон дополняется статьей 411 с 1 сентября 2011 г.:

Статья 411. Порядок выдачи разрешений суда на вход в жилые помещения физических лиц

1. В случае принятия Государственной инспекцией по защите данных постановления произвести проверку в жилых помещениях физического лица (в том числе, в арендуемых или используемых на других основаниях) Вильнюсскому окружному административному суду подается ходатайство о выдаче разрешения суда на вход в жилые помещения физического лица.

2. В ходатайстве о выдаче разрешения суда на вход в жилые помещения физического лица должны быть указаны имя, фамилия проверяемого физического лица, адрес жилых помещений, характер подозреваемых нарушений.

3. Ходатайство о выдаче разрешения суда на вход в жилые помещения проверяемого физического лица рассматривает судья Вильнюсского окружного административного суда, который выносит мотивированное определение об удовлетворении или отклонении ходатайства.

4. Ходатайство о выдаче разрешения суда на вход в жилые помещения проверяемого физического лица должно быть рассмотрено и определение вынесено не позднее чем в течение 72 часов с момента подачи ходатайства.

5. В случае несогласия Государственной инспекции по защите данных с определением судьи Вильнюсского окружного административного суда об отклонении ходатайства она вправе в течение 7 календарных дней с момента вынесения настоящего определения обжаловать его в Высший административный суд Литвы.

6. Высший административный суд Литвы должен рассмотреть жалобу Государственной инспекции по защите данных в связи с определением судьи Вильнюсского окружного административного суда не позднее чем в течение 7 календарных дней с момента подачи данного ходатайства. Представитель Государственной инспекции по защите данных вправе участвовать при рассмотрении жалобы.

7. Вынесенное Высшим административным судом Литвы определение является окончательным и обжалованию не подлежит.

 

ГЛАВА ДЕСЯТАЯ

ПРИЕМ И РАССМОТРЕНИЕ ЖАЛОБ

 

Статья 42. Подача жалоб

1. Лицо вправе подать в Государственную инспекцию по защите данных жалобу относительно действий (бездействия) управляющего данными, которыми нарушаются положения настоящего Закона.

2. Государственная инспекция по защите данных расследует также жалобы лиц, перенаправленные ей другими органами.

3. Жалобы, как правило, подаются в письменной форме, в том числе в электронной форме. Представленные электронным способом документы должны быть подписаны безопасной электронной подписью. Если жалоба получена в устной форме или если Государственная инспекция по защите данных установила признаки нарушения настоящего Закона из средств общественной информации и (или) из других источников, она может начать расследование по собственной инициативе.

4. Жалобами не считаются обращения лиц в устой или письменной форме, в которых не обжалуются действия (бездействие) управляющих данными, а содержится просьба о разъяснении, представлении другой информации или необходимых документов.

 

Статья 43. Требования к жалобе

1. В жалобе указывается:

1) адресат – Государственная инспекция по защите данных;

2) имя, фамилия, адрес заявителя и по желанию заявителя – номер его телефонной связи или адрес электронной почты;

3) наименование или имя, фамилия, местонахождение, адрес места жительства или места обработки данных обжалуемого управляющего данными;

4) определение обжалуемых действий (бездействия), время и обстоятельства их совершения;

5) ходатайство заявителя Государственной инспекции по защите данных;

6) дата составления жалобы и подпись заявителя.

2. К жалобе могут быть приложены имеющиеся доказательства или их описание.

3. Несоблюдение указанной в части 1 настоящей статьи формы жалобы или неуказание реквизитов не может являться основанием для отказа в рассмотрении жалобы.

 

Статья 44. Анонимные жалобы

Анонимные жалобы не подлежат рассмотрению, если директор Государственной инспекции по защите данных не принимает иного решения.

 

Статья 45. Отказ в рассмотрении жалобы

1. Государственная инспекция по защите данных не позднее чем в течение 5 рабочих дней со дня получения жалобы принимает решение отказать в рассмотрении жалобы, информируя об этом заявителя, если:

1) рассмотрение указанных в жалобе обстоятельств не входит в компетенцию Государственной инспекции по защите данных;

2) жалоба по тому же вопросу была рассмотрена в Государственной инспекции по защите данных, за исключением случаев, когда указываются новые обстоятельства или представляются новые факты;

3) жалоба по тому же вопросу была рассмотрена или находится на рассмотрении в суде;

4) по предмету жалобы принято процессуальное решение начать досудебное расследование;

5) текст жалобы невозможно прочесть;

Часть 1 дополняется пунктом 6 с 1 сентября 2011 г.:

6) с момента совершения указанных в жалобе нарушений до подачи жалобы прошло больше 1 года.

2. В случае принятия решения об отказе в рассмотрении жалобы должны быть указаны основания отказа в ее рассмотрении.

3. В тех случаях, когда жалоба не относится к компетенции Государственной инспекции по защите данных, Государственная инспекция по защите данных в течение указанного в части 1 настоящей статьи срока передает жалобу в орган, который обладает необходимой компетенцией, и сообщает об этом заявителю. Если компетентным органом является суд, жалоба возвращается заявителю с предоставлением необходимой информации.

 

Статья 46. Прекращение рассмотрения жалобы

1. Если получено ходатайство заявителя не рассматривать жалобу, Государственная инспекция по защите данных прекращает расследование. Государственная инспекция по защите данных может начать расследование по собственной инициативе.

2. Расследование жалобы прекращается, если в ходе расследования выясняются указанные в части 1 статьи 45 настоящего Закона обстоятельства или в других установленных настоящим Законом случаях.  

 

Статья 47. Обращение к заявителю с просьбой о представлении дополнительной информации

1. Требование от заявителя представить документы и информацию, необходимые для расследования жалобы, должно быть законным и мотивированным.

2. Заявитель по просьбе Государственной инспекции по защите данных обязан представить документы и информацию в течение указанного в просьбе срока. Повторно требовать от заявителя представить документы и информацию можно только в исключительных случаях и при надлежащей мотивации необходимости представления этих документов и информации.

3. Если заявитель не представляет в Государственную инспекцию по защите данных запрашиваемые документы и информацию, без которых невозможно расследование жалобы, жалоба не расследуется.

 

Статья 48. Прием жалобы

Факт приема жалобы подтверждается документом Государственной инспекции по защите данных. В документе указывается дата приема жалобы, имя, фамилия, номер телефонной связи работника Государственной инспекции по защите данных, рассматривающего жалобу, регистрационный номер жалобы. Документ, подтверждающий факт приема жалобы, вручается заявителю или пересылается по почте либо по электронной почте не позднее, чем в течение 3 рабочих дней.

 

Статья 49. Сроки расследования жалобы

Жалоба должна быть расследована и ответ заявителю дан в течение 2 месяцев со дня получения жалобы, за исключением случаев, когда в связи со сложностью указанных в жалобе обстоятельств, объемом информации или продолжительным характером обжалуемых действий срок расследования жалобы необходимо продлить. В этих случаях срок расследования жалобы продлевается, но не более чем на 2 месяца. Срок расследования жалобы в целом не может превышать 4 месяцев. О решении Государственной инспекции по защите данных продлить срок расследования жалобы информируется заявитель. Жалобы должны быть расследованы в кратчайший по возможности срок.

 

Статья 50. Обязательность требований Государственной инспекции по защите данных

Управляющие данными, а также другие юридические и физические лица обязаны по требованию Государственной инспекции по защите данных незамедлительно предоставить информацию, копии документов, копии данных, а также создать условия для ознакомления со всеми данными, оборудованием, связанным с обработкой персональных данных, и с документами, необходимыми для выполнения функций по надзору за обработкой персональных данных.

 

Статья 51. Расследование жалобы и принимаемые Государственной инспекцией по защите данных решения

1. Государственная инспекция по защите данных после проведения расследования принимает мотивированное решение:

1) признать жалобу обоснованной;

2) отклонить жалобу;

3) прекратить расследование жалобы.

2. Решение подписывает директор Государственной инспекции по защите данных.

3. Решения Государственной инспекции по защите данных в установленном законодательством порядке могут быть обжалованы в суд.

 

Статья 52. Обязанность хранить охраняемые законами Литовской Республики тайны или данные

Директор Государственной инспекции по защите данных, государственные служащие и работники, работающие по трудовым договорам, обязаны хранить государственные, служебные, профессиональные, коммерческие (производственные), банковские и другие охраняемые законами тайны и охраняемые законами персональные данные, которые стали им известны во время замещения должности.

 

ГЛАВА ОДИННАДЦАТАЯ

ОТВЕТСТВЕННОСТЬ

 

Статья 53. Ответственность за нарушение настоящего Закона

В отношении управляющих данными, распорядителей данных и других лиц, нарушивших настоящий Закон, применяется установленная законами ответственность.

Редакция статьи 53 с 1 сентября 2011 г.:

Статья 53. Ответственность за нарушения настоящего Закона

Лица, нарушившие настоящий Закон, несут ответственность в установленном законодательством порядке.

 

Статья 54. Возмещение имущественного и неимущественного ущерба

1. Лицо, понесшее ущерб в результате незаконной обработки персональных данных либо других действий (бездействия) управляющего данными или распорядителя данных, а также других лиц, нарушающих положения настоящего Закона, имеет право требовать возмещения нанесенного ему имущественного и неимущественного ущерба.

2. Размер имущественного и неимущественного ущерба устанавливается судом.

 

Обнародую настоящий Закон, принятый Сеймом Литовской Республики.

 

ПРЕЗИДЕНТ РЕСПУБЛИКИ                                АЛЬГИРДАС БРАЗАУСКАС

 

Приложение к Закону Литовской Республики о правовой защите персональных данных

 

ОСУЩЕСТВЛЯЕМЫЕ ПРАВОВЫЕ АКТЫ ЕВРОПЕЙСКОГО СОЮЗА

 

Директива Европейского Парламента и Совета от 24 октября 1995 г. 95/46/ЕС о защите лиц при обработке персональных данных и о свободном обращении таких данных (ОИ 2004 г. специальное издание, раздел 13, том 15, стр. 355).

 

 

 

 

 

 

 

 

 

 

 

 

 

Перевод с литовского