LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO NR. I-1374 PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS ADMINISTRACINIŲ NUSIŽENGIMŲ KODEKSO 79, 479 IR 589 STRAIPSNIŲ PAKEITIMO IR 82 STRAIPSNIO PRIPAŽINIMO NETEKUSIU GALIOS ĮSTATYMO, LIETUVOS RESPUBLIKOS VISUOMENĖS INFORMAVIMO ĮSTATYMO NR. I-1418 49 IR 50 STRAIPSNIŲ IR PRIEDO PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS BANKŲ ĮSTATYMO NR. IX-2085 55 STRAIPSNIO PAKEITIMO IR 561 STRAIPSNIO PRIPAŽINIMO NETEKUSIU GALIOS ĮSTATYMO, LIETUVOS RESPUBLIKOS DARBO KODEKSO 27 STRAIPSNIO PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS KIBERNETINIO SAUGUMO ĮSTATYMO NR. XII-1428 4, 11, 13, 14, 15 IR 18 STRAIPSNIŲ PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS VYRIAUSYBĖS ĮSTATYMO NR. I-464 22 IR 291 STRAIPSNIŲ PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS VIEŠOJO ADMINISTRAVIMO ĮSTATYMO NR. VIII-1234 364, 368 IR 369 STRAIPSNIŲ PAKEITIMO ĮSTATYMO IR LIETUVOS RESPUBLIKOS VYRIAUSIOSIOS RINKIMŲ KOMISIJOS ĮSTATYMO NR. IX-985 3 STRAIPSNIO PAKEITIMO ĮSTATYMO IR LIETUVOS RESPUBLIKOS ADMINISTRACINIŲ BYLŲ TEISENOS ĮSTATYMO NR. VIII-1029 17, 20, 21, 29 IR 36 STRAIPSNIŲ PAKEITIMO IR II DALIES II SKYRIAUS PAPILDYMO ANTRUOJU1 SKIRSNIU ĮSTATYMO PROJEKTŲ
AIŠKINAMASIS RAŠTAS
1. Įstatymų projektų rengimą paskatinusios priežastys, parengtų projektų tikslai ir uždaviniai
Šiuo metu Europos Sąjungoje vyksta asmens duomenų apsaugos reforma, kuria siekiama sustiprinti asmens teisę į savo asmens duomenų apsaugą ir užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą tvarkant jų asmens duomenis visoje Europos Sąjungoje. Šios reformos įgyvendinimas, užtikrinant gyventojų ir ūkio / viešojo administravimo subjektų interesų pusiausvyrą, yra vienas iš Lietuvos Respublikos Vyriausybės prioritetų. 2018 m. gegužės 25 d. bus pradėtas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas). Žmogaus teisė į asmens duomenų apsaugą pastaruoju metu tampa vis aktualesnė: ji yra svarbi tiek moraliniu / etiniu, tiek ekonominiu (plečiantis skaitmeninei rinkai) ir saugumo (siekiant užkirsti kelią nusikalstamumui, terorizmui) požiūriais. Reglamento nuostatos tiesiogiai teisiškai privalomos Lietuvos subjektams, tačiau šaliai specifinius Reglamento aspektus reglamentuoja parengtas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 (toliau – ADTAĮ) pakeitimo įstatymo projektas (toliau – ADTAĮ pakeitimo įstatymo projektas).
Taip pat siekiant pasirengti taikyti Reglamentą parengti Lietuvos Respublikos administracinių nusižengimų kodekso (toliau – ANK) 79, 479 ir 589 straipsnių pakeitimo ir 82 straipsnio pripažinimo netekusiu galios įstatymo projektas (toliau – ANK projektas), Lietuvos Respublikos visuomenės informavimo įstatymo Nr. I-1418 (toliau – VIĮ) 49 ir 50 straipsnių ir priedo pakeitimo įstatymo projektas (toliau – VIĮ projektas), Lietuvos Respublikos bankų įstatymo Nr. IX-2085 (toliau – BĮ) 55 straipsnio pakeitimo ir 561 straipsnio pripažinimo netekusiu galios įstatymo projektas (toliau – BĮ projektas), Lietuvos Respublikos darbo kodekso (toliau – DK) 27 straipsnio pakeitimo įstatymo projektas (toliau – DK projektas), Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 (toliau – KSĮ) 4, 11, 13, 14, 15 ir 18 straipsnių pakeitimo įstatymo projektas (toliau – KSĮ), Lietuvos Respublikos Vyriausybės įstatymo Nr. I-464 (toliau – LRVĮ) 22 ir 291 straipsnių pakeitimo įstatymo projektas (toliau – LRVĮ projektas), Lietuvos Respublikos viešojo administravimo įstatymo Nr. VIII-1234 (toliau – VAĮ) 364, 368 ir 369 straipsnių pakeitimo įstatymo projektas (toliau – VAĮ projektas), Lietuvos Respublikos vyriausiosios rinkimų komisijos įstatymo Nr. IX-985 (toliau – VRKĮ) 3 straipsnio pakeitimo įstatymo projektas (toliau – VRKĮ projektas) ir Lietuvos Respublikos administracinių bylų teisenos įstatymo Nr. VIII-1029 (toliau – ABTĮ) 17, 20, 21, 29 ir 36 straipsnių pakeitimo ir II dalies II skyriaus papildymo antruoju1 skirsniu įstatymo projektas (toliau – ABTĮ projektas) (toliau – Įstatymų projektai).
Reglamentas nuo 2018 m. gegužės 25 d. panaikina 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuri įgyvendinta ADTAĮ. Atsižvelgiant į tai, ADTAĮ ir kiti susiję teisės aktai turi būti atitinkamai keičiami.
Pažymėtina, kad Reglamentas bus taikomas tiesiogiai, jo nuostatų nereikia perkelti į nacionalinę teisę, todėl ADTAĮ pakeitimo įstatymo projektu keičiamame ADTAĮ (toliau – ADTAĮ projektas) nėra perrašinėjamos Reglamento nuostatos, išskyrus tuos atvejus, kai tai būtina dėl teisinio aiškumo. ADTAĮ bus taikomas kartu su Reglamentu ir jo įgyvendinamaisiais teisės aktais.
ADTAĮ projektu siekiama ADTAĮ reglamentuoti tik tuos klausimus, kuriuos būtina reglamentuoti norint tinkamai taikyti Reglamentą ir kurie yra tiesiogiai susiję su Reglamento reikalavimais, kuriuos leidžiama valstybėms narėms reglamentuoti (pvz., numatyti tam tikras Reglamento taikymo išimtis ar nukrypti leidžiančias nuostatas), taip pat nacionaliniam reguliavimui priskirtinus klausimus (pvz., procedūriniai klausimai, susiję su priežiūros institucijų atliekamu pažeidimų nagrinėjimu). Taigi naujos redakcijos ADTAĮ nebebus reglamentuojami atskiri asmens duomenų tvarkymo atvejai (pvz., asmens duomenų tvarkymas sveikatos apsaugos, mokslinio tyrimo, rinkimų, referendumo, piliečių įstatymų leidybos, asmens mokumo įvertinimo ir įsiskolinimo valdymo bei asmens duomenų apie suteiktas finansines paslaugas, susijusias su rizikos prisiėmimu ar kreditingumo vertinimu, tvarkymo asmens mokumo ir finansinės rizikos vertinimo bei įsiskolinimo valdymo tikslais ir kt. tikslais). Pažymėtina, kad asmens duomenų tvarkymas šiais tikslais pirmiausia turi atitikti Reglamento reikalavimus, todėl bendro pobūdžio nuostatų turi būti atsisakoma. Kitos, ne bendro pobūdžio, nuostatos, susijusios su asmens duomenų tvarkymu (pvz., tvarkymo pagrindai, saugojimo terminai, pakartotinis duomenų panaudojimas ir t. t.), turi būti įtvirtintos konkrečią veiklos sritį reguliuojančiuose teisės aktuose. Atsižvelgiant į tai ir siekiant užtikrinti, kad konkretūs asmens duomenų tvarkymo atvejai, kurie dabar yra reglamentuojami ADTAĮ, neliktų nesureguliuoti, buvo parengtas VRKĮ projektas.
Reglamente nurodytais atvejais valstybėms narėms yra numatoma galimybė nacionalinėje teisėje konkrečiau apibrėžti Reglamento taisykles ar numatyti jų apribojimus. Pasinaudojant šia galimybe, ADTAĮ projekte reglamentuojami asmens duomenų tvarkymo atvejų ypatumai (asmens kodo tvarkymo ypatumai, asmens duomenų tvarkymas ir saviraiškos ir informacijos laisvė, asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumai, vaiko, kuriam siūlomos informacinės visuomenės paslaugos, amžius sutikimui duoti).
Reglamentu yra stiprinamas priežiūros institucijų nepriklausomumas. Priežiūros institucijų, įgaliotų visiškai nepriklausomai atlikti savo užduotis ir vykdyti savo įgaliojimus, įsteigimas yra viena iš esminių fizinių asmenų apsaugos tvarkant jų asmens duomenis dalių. Asmens duomenų apsaugos priežiūrą Lietuvos Respublikoje vykdo dvi institucijos – Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius (toliau – priežiūros institucijos). ADTAĮ projektas, LRVĮ projektas ir VIĮ projektas parengti siekiant užtikrinti šių institucijų nepriklausomumą, atitinkantį Reglamento reikalavimus. Be to, atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos kompetenciją, užduotis ir įgaliojimus, numatytus Reglamente, parengtas VAĮ projektas.
DK projektas parengtas siekiant suderinti reikalavimus darbuotojų asmens duomenų tvarkymui su Reglamento reikalavimais ir atsižvelgiant į tai, kad ADTAĮ projekte yra atskiras straipsnis, skirtas asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumams reglamentuoti. Atkreiptinas dėmesys, kad pagal Reglamento 88 straipsnio 3 dalį kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Europos Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal šio straipsnio 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.
KSĮ projektas parengtas atsižvelgiant į tai, kad Valstybinė duomenų apsaugos inspekcija apie asmens duomenų saugumo pažeidimus (įskaitant kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais) turės būti informuota pagal Reglamento 33 straipsnį.
ANK projektas parengtas atsižvelgiant į tai, kad už Reglamento ir (ar) ADTAĮ pažeidimus nebebus taikoma ANK numatyta administracinė atsakomybė. Už šiuos pažeidimus nepriklausomos priežiūros institucijos (Valstybinė duomenų apsaugos inspekcija arba žurnalistų etikos inspektorius) skirs administracines baudas, numatytas Reglamente, kartu su kitomis Reglamente nurodytomis priemonėmis arba vietoj jų. Taip pat ANK projektas tikslinamas atsižvelgiant į KSĮ projektą, pagal kurį Valstybinei duomenų apsaugos inspekcijai nebereikės pateikti informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais.
ABTĮ projektas parengtas siekiant sureguliuoti procesą Lietuvos Respublikos vyriausiajam administraciniam teismui nagrinėjant Valstybinės duomenų apsaugos inspekcijos prašymą, susijusį su Reglamento 58 straipsnio 5 dalyje numatytais priežiūros institucijos įgaliojimais atkreipti teisminių institucijų dėmesį į Reglamento pažeidimus.
BĮ projektas parengtas atsižvelgiant į tai, kad asmens duomenų tvarkymas siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų atliekamas laikantis Reglamento nuostatų ir jo atskirai reglamentuoti įstatymuose nereikia.
2. Įstatymų projektų iniciatoriai (institucija, asmenys ar piliečių įgalioti atstovai) ir rengėjai
Įstatymų projektus rengė Lietuvos Respublikos teisingumo ministerijos Teisinių institucijų departamento (direktorė Jolita Sinkevičiūtė, tel. 266 2993, el. p. [email protected]) Teisinės veiklos koordinavimo skyriaus (vedėjas Igor Golubajev, tel. 266 2855, el. p. [email protected]) vyriausioji specialistė Indrė Skersytė, tel. 266 2929, el. p. [email protected]. Pirminį ADTAĮ projektą parengė Valstybinės duomenų apsaugos inspekcijos darbo grupė (darbo grupės vadovė – Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoja Dijana Šinkūnienė).
3. Kaip šiuo metu yra reguliuojami įstatymų projektuose aptarti teisiniai santykiai
1. ADTAĮ yra įgyvendinama 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo.
ADTAĮ yra pateiktos pagrindinės sąvokos, įtvirtinti asmens duomenų tvarkymo reikalavimai, kurių laikymąsi turi užtikrinti duomenų valdytojas, ir asmens duomenų tvarkymo kriterijai, kuriais vadovaujantis asmens duomenys gali būti tvarkomi, duomenų teikimo būdai, asmens kodo tvarkymo ypatumai. ADTAĮ 8-151 straipsniuose yra reglamentuojami atskirų asmens duomenų tvarkymo atvejų ypatumai (asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas; asmens duomenų tvarkymas socialinio draudimo ir socialinės paramos, sveikatos apsaugos, rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos, mokslinio tyrimo, statistikos, socialinio ir viešosios nuomonės tyrimo, tiesioginės rinkodaros tikslais; asmens duomenų tvarkymas elektroninių ryšių ir kibernetinio saugumo srityse; asmens duomenų tvarkymas vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, numatytą Sutarties dėl Europos Sąjungos veikimo trečiosios dalies V antraštinėje dalyje).
ADTAĮ Trečiasis skirsnis reglamentuoja klausimus, susijusius su vaizdo stebėjimu: numatytos sąlygos, kada gali būti vykdomas vaizdo stebėjimas, ir atskiri reikalavimai vaizdo stebėjimui darbo vietoje, reikalavimai vaizdo stebėjimo priemonių įrengimui, specifiniai reikalavimai duomenų subjekto informavimui. ADTAĮ Ketvirtasis skirsnis skirtas asmens duomenų apie mokumo ir finansinės rizikos vertinimą ir įsiskolinimo valdymą tvarkymui. ADTAĮ Penktasis skirsnis įtvirtina duomenų subjekto teises ir jų įgyvendinimo tvarką. ADTAĮ Šeštasis skirsnis reglamentuoja duomenų saugumo klausimus. ADTAĮ Septintajame skirsnyje numatyti atvejai, kada duomenų valdytojai turi pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų tvarkymą automatiniu būdu ir kada Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą, taip pat numatytas duomenų valdytojų registravimas Asmens domenų valdytojų valstybės registre. ADTAĮ Aštuntajame skirsnyje reglamentuojamas asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse.
ADTAĮ Devintasis skirsnis skirtas valstybės politikos asmens duomenų apsaugos srityje formavimo ir ADTAĮ vykdymo priežiūros klausimams. Šiame skirsnyje numatytos Teisingumo ministerijos funkcijos asmens duomenų apsaugos srityje. Kaip vykdomas ADTAĮ, išskyrus 8 ir 351 straipsnius, prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Šiame skirsnyje taip pat reglamentuojami klausimai, susiję su Valstybine duomenų apsaugos inspekcija: veiklos teisiniai pagrindai ir principai, Valstybinės duomenų apsaugos inspekcijos vadovo statusas, direktoriaus pavaduotojai, Valstybinės duomenų apsaugos inspekcijos funkcijos ir teisės, teismo leidimų įeiti į fizinių asmenų gyvenamąsias patalpas išdavimo tvarka.
ADTAĮ Dešimtasis skirsnis reglamentuoja skundų priėmimą ir tyrimą. ADTAĮ Vienuoliktasis skirsnis skirtas atsakomybės klausimams.
2. VIĮ 49 straipsnio 8 dalyje numatyti atvejai, kada žurnalistų etikos inspektorius gali būti atleidžiamas iš pareigų. Be kitų atleidimo pagrindų, VIĮ 49 straipsnio 8 dalyje nurodyta, kad žurnalistų etikos inspektorius gali būti atleidžiamas, kai nedirba dėl laikinojo nedarbingumo ilgiau kaip 120 kalendorinių dienų iš eilės arba ilgiau kaip 140 dienų per paskutinius 12 mėnesių, jei įstatymų nenustatyta, kad dėl tam tikros ligos pareigos paliekamos ilgesnį laiką, arba žurnalistų etikos inspektorius pagal Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos išvadą negali eiti šių pareigų (3 punktas), jam įsiteisėja apkaltinamasis teismo nuosprendis (4 punktas), taip pat kai daugiau kaip pusė visų Seimo narių pareiškia nepasitikėjimą juo (5 punktas).
Vadovaujantis VIĮ 49 straipsnio 13 dalimi, Žurnalistų etikos inspektoriaus tarnybos uždavinius, funkcijas, teises ir pareigas, struktūrą, darbo organizavimą ir finansavimą nustato Seimo patvirtinti Žurnalistų etikos inspektoriaus tarnybos nuostatai.
Pagal VIĮ 50 straipsnio 1 dalies 3 punktą viena iš žurnalistų etikos inspektoriaus funkcijų yra suinteresuotų asmenų skundų (pareiškimų) dėl jų asmens duomenų tvarkymo pažeidimo visuomenės informavimo priemonėse nagrinėjimas.
3. Pagal LRVĮ 22 straipsnio 9 punktą Vyriausybė tvirtina Vyriausybės įstaigų nuostatus, Vyriausybės įstaigų administracijos struktūrą arba paveda ją tvirtinti Vyriausybės įstaigos vadovui. LRVĮ 291 straipsnio 8 dalyje numatyta, kad asmuo, priimamas į Vyriausybės įstaigos vadovo pareigas, turi atitikti bendruosius reikalavimus, keliamus asmeniui, priimamam į valstybės tarnautojo pareigas, ir specialiuosius reikalavimus, kuriuos gali nustatyti Vyriausybės įstaigos veiklą reglamentuojantis įstatymas. Šio straipsnio 9 ir 10 dalis numato atvejus, kada Vyriausybės įstaigos vadovas atleidžiamas arba gali būti atleistas iš pareigų.
4. ANK 79 straipsnio 1 dalyje numatyta administracinė atsakomybė už neigiamą poveikį nepilnamečių vystymuisi darančios draudžiamos skelbti viešosios informacijos, susijusios su asmens duomenimis, paskelbimą, o 5 dalyje – už neigiamą poveikį nepilnamečių vystymuisi darančios draudžiamos skelbti viešosios informacijos, susijusios su asmens duomenimis, paskelbimas radijo ir (ar) televizijos programose, atskirose programose, užsakomųjų visuomenės informavimo audiovizualinėmis priemonėmis paslaugų kataloguose. Šio straipsnio 2 ir 6 dalyse numatyta administracinė atsakomybė už minėtų administracinių nusižengimų padarymą pakartotinai.
ANK 82 straipsnyje numatyta administracinė atsakomybė už ADTAĮ pažeidimą. ANK 479 straipsnio 2 dalyje numatyta administracinė atsakomybė už informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones nepateikimą Valstybinei duomenų apsaugos inspekcijai arba šios informacijos teikimo tvarkos pažeidimą.
Vadovaujantis ANK 589 straipsniu, administracinių nusižengimų teiseną pradeda, administracinių nusižengimų tyrimą atlieka ir administracinių nusižengimų protokolus surašo šie pareigūnai: Lietuvos radijo ir televizijos komisijos – dėl šio kodekso 79 straipsnio 5, 6 dalyse numatytų administracinių nusižengimų (8 punktas); žurnalistų etikos inspektorius – dėl šio kodekso 79 straipsnio 1, 2 dalyse numatytų administracinių nusižengimų (16 punktas); Valstybinės duomenų apsaugos inspekcijos – dėl šio kodekso 82 straipsnyje ir 479 straipsnio 2, 5 dalyse numatytų administracinių nusižengimų (29 punktas).
5. BĮ 561 straipsnis reglamentuoja duomenų ir informacijos tvarkymą banko ir banko klientų teisėtų interesų apsaugos tikslais. Šiame straipsnyje numatyta bankų teisė teikti informaciją apie vieno ar kelių asmenų galimai ruošiamasi padaryti ar padarytą veiką, susijusią su finansinių paslaugų teikimu, siekiant užvaldyti banko ar kitų asmenų turtą, padaryti jiems turtinę ar neturtinę žalą arba keliant kitokią grėsmę bankų sistemai duomenų valdytojams, tvarkantiems jungtines rizikos duomenų rinkmenas, šios teisės įgyvendinimo tvarka, nurodyti rinkmenoje tvarkomi duomenys.
6. DK 27 straipsnis numato draudimą darbdaviui tvarkyti su darbo reikmėmis nesusijusius (perteklinius) darbuotojo asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose nustatytus atvejus (2 dalis); darbuotojų supažindinimą su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka (3 dalis); vaizdo stebėjimo ir garso įrašymo darbo vietoje sąlygas (5 dalis); darbdavio pareigą priimti ir paskelbti darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones (7 dalis).
7. KSĮ 11 straipsnyje įtvirtinti Valstybinės duomenų apsaugos inspekcijos įgaliojimai kibernetinio saugumo srityje. Pagal KSĮ 13 straipsnio 3 dalį, 14 straipsnio 3 dalį ir 15 straipsnio 5 punktą nurodyti subjektai privalo teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones.
8. Vadovaujantis VAĮ, Valstybinė duomenų apsaugos inspekcijai, kaip ūkio subjektų priežiūros institucijai, taikomos VAĮ nuostatos dėl ūkio subjektų veiklos patikrinimų (VAĮ 364 straipsnis), poveikio priemonių ūkio subjektams taikymo (VAĮ 368 straipsnis) ir mažareikšmio teisės aktų reikalavimų pažeidimo (VAĮ 369 straipsnis).
9. Galiojančiame ABTĮ šiuo metu nėra nustatytos tokios prašymų nagrinėjimo tvarkos, kuria galima būtų pasinaudoti Lietuvos vyriausiajam administraciniam teismui nagrinėjant Valstybinės duomenų apsaugos inspekcijos prašymą, susijusį su Reglamento 58 straipsnio 5 dalyje numatytais priežiūros institucijos įgaliojimais atkreipti teisminių institucijų dėmesį į Reglamento pažeidimus.
4. Kokios siūlomos naujos teisinio reguliavimo nuostatos ir kokių teigiamų rezultatų laukiama
Priėmus siūlomus Įstatymų projektus bus užtikrinta žmogaus pagrindinių teisių ir laisvių, visų pirma jo teisės į asmens duomenų apsaugą, apsauga, o Lietuvos Respublika bus pasirengusi Reglamento taikymui. Įstatymų projektais (ADTAĮ, LRVĮ ir VIĮ projektai) yra siekiama sustiprinti priežiūros institucijų nepriklausomumą, atitinkantį Reglamento reikalavimus, ir tai leis joms tinkamai naudotis Reglamentu suteiktais įgaliojimais ir vykdyti pavestas užduotis. Žmogaus teisės į asmens duomenų apsaugą užtikrinimas yra susijęs su priežiūros institucijų galimybe atlikti pažeidimų nagrinėjimą tiek savo iniciatyva, tiek nagrinėjant skundus ir, pažeidimų atveju, imtis atitinkamų priemonių, įskaitant administracinių baudų skyrimą pagal Reglamentą, o to ir yra siekiama šiuos klausimus reglamentuojant ADTAĮ projekte.
1. ADTAĮ projekte siekiama reglamentuoti klausimus, kuriuos būtina reglamentuoti norint tinkamai taikyti Reglamentą. ADTAĮ projekto 1 straipsnyje yra nurodyta ADTAĮ paskirtis ir taikymo sritis, atsižvelgiant į Reglamento 1 ir 3 straipsnių nuostatas, taip pat numatyta, kad ADTAĮ bus taikomas kartu su Reglamentu ir jo įgyvendinamaisiais teisės aktais, kadangi Reglamentas bus taikomas tiesiogiai. Taigi ADTAĮ projekte nėra perrašinėjamos Reglamento nuostatos, išskyrus tuos atvejus, kai tai būtina dėl teisinio aiškumo.
Atsižvelgiant į tai, kad Reglamento 4 straipsnyje yra pateiktos sąvokos, kurios vartojamos ir ADTAĮ projekte, ADTAĮ projekto 2 straipsnyje jos nėra atkartojamos. ADTAĮ projekto 2 straipsnyje yra pateikta sąvoka „tiesioginė rinkodara“, kuri yra galiojančiame ADTAĮ ir reikalinga atsižvelgiant į ADTAĮ projekto 3 straipsnio 3 dalies nuostatą. ADTAĮ projekto 2 straipsnyje taip pat pateikta sąvoka „valdžios institucijos ir įstaigos“. Sąvoka „Valdžios institucijos ir įstaigos“ yra vartojama Reglamente, tačiau jos apibrėžimas Reglamente nėra pateiktas, tai turi būti padaryta nacionalinėje teisėje.
ADTAĮ projekto II skyriuje siekiama reglamentuoti asmens duomenų tvarkymo atvejų ypatumus. Reglamento 87 straipsnis suteikia galimybę valstybėms narėms tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius. Atsižvelgiant į tai, ADTAĮ projekto 3 straipsnyje yra nurodyta, kad asmens kodas gali būti tvarkomas, jei yra nors viena iš Reglamento 6 straipsnio 1 dalyje nurodytų asmens duomenų tvarkymo teisėtumo sąlygų, ir įtvirtinti 2 atvejai, kada draudžiama tvarkyti asmens kodą: draudžiama asmens kodą skelbti viešai ir draudžiama tvarkyti asmens kodą tiesioginės rinkodaros tikslais. Šie atvejai yra numatyti ir galiojančiame ADTAĮ.
Reglamento 85 straipsnio 2 dalis numato, kad duomenų tvarkymui žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais valstybės narės numato tam tikras išimtis arba nuo jų nukrypti leidžiančias nuostatas, jei jos yra būtinos, kad teisė į asmens duomenų apsaugą būtų suderinta su saviraiškos ir informacijos laisve. Naudojantis šia Reglamente suteikta galimybe, ADTAĮ projekto 4 straipsnyje yra nurodyta, kad asmens duomenų tvarkymui žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais netaikomi Reglamento 8, 12-23, 25, 30, 33-39, 41-50, 88-91 straipsniai. Šios išimtys numatytos atsižvelgiant į VIĮ reglamentavimą ir siekiant teisę į asmens duomenų apsaugą suderinti su teise į saviraiškos ir informacijos laisvę, įskaitant duomenų tvarkymą žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Rengiant ADTAĮ projektą dėl Reglamento taikymo išimčių buvo konsultuojamasi su Žurnalistų etikos inspektoriaus tarnyba.
ADTAĮ projekto 5 straipsnyje siekiama nustatyti tam tikrus reikalavimus asmens duomenų tvarkymui su darbo santykiais susijusiame kontekste. Pagal Reglamento 88 straipsnio 1 dalį valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius. Šio straipsnio 2 dalis numato, kad tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje. Siekiant užtikrinti asmens teisę į asmens duomenų apsaugą ir Reglamento 5 straipsnyje įtvirtintų principų laikymąsi, ADTAĮ projekto 5 straipsnio 1 dalyje įtvirtintas draudimas tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti. Siekiant užtikrinti duomenų subjekto teisėtų interesų apsaugą ir užtikrinti asmens duomenų tvarkymo skaidrumą, ADTAĮ projekto 5 straipsnio 2 dalyje numatytas reikalavimas, kad duomenų valdytojas gali rinkti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu. ADTAĮ projekto 5 straipsnio 3 dalyje yra numatyti reikalavimai vienos iš duomenų subjekto teisių – teisės būti informuotam – įgyvendinimui. Pagal šią dalį tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu būdu, įrodančiu informavimo faktą, pateikiant Reglamento 13 straipsnio 1 ir 2 dalyse nurodytą informaciją. Reikalavimas pasirašytinai informuoti darbuotojus apie vykdomą vaizdo stebėjimą yra įtvirtintas galiojančiame ADTAĮ, jį norima ir toliau išlaikyti siekiant užtikrinti tinkamą darbuotojų informavimą. ADTAĮ projekto 5 straipsnio nuostatose įtvirtinti reikalavimai siūlomi atsižvelgiant į darbuotojo, kaip silpnesnės darbo santykių šalies, padėtį ir Valstybinės duomenų apsaugos inspekcijos praktikoje pasitaikančias situacijas, pavyzdžiui, atvejus, kuomet darbdavys prašo darbuotojo pateikti informaciją apie jo teistumą, nors teisės aktai specialių reikalavimų, susijusių su ribojimu dirbti tam tikrą darbą, darbuotojui nenumato. Siūlomomis nuostatomis norima užtikrinti darbuotojo teisę į asmens duomenų apsaugą ir, manytina, kad toks reguliavimas yra proporcingas siekiamiems tikslams. ADTAĮ projekto 5 straipsnio 4 dalyje nustatyta, kad šio straipsnio nuostatos taip pat taikomos tvarkant asmenų, dirbančių Lietuvos Respublikos užimtumo įstatyme nurodytais darbo santykiams prilygintų teisinių santykių pagrindais, ir kandidatų, pretenduojančių dirbti šiais pagrindais, asmens duomenis. Tai reiškia, kad šio straipsnio reikalavimai bus taikomi ne tik tais atvejais, kai asmuo dirba (pretenduoja dirbti) pagal darbo sutartį, bet ir valstybės tarnyboje, diplomatinėje tarnyboje ir kitais atvejais, kai Lietuvos Respublikos užimtumo įstatymo 4 straipsnio 3 dalyje nurodyti teisiniai santykiai prilyginami darbo santykiams.
ADTAĮ projekto 6 straipsnis reglamentuoja vaiko, kuriam siūlomos informacinės visuomenės paslaugos, amžių sutikimui duoti. Pagal Reglamento 8 straipsnio 1 dalį, kai taikomas Reglamento 6 straipsnio 1 dalies a punktas, kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Valstybės narės tais tikslais įstatymu gali numatyti jaunesnio amžiaus ribą su sąlyga, kad toks jaunesnis amžius reiškia ne mažiau nei 13 metų. Atsižvelgiant į ADTAĮ projekto derinimo metu gautus suinteresuotų asmenų pasiūlymus, taip pat į 2017 m. rugsėjo 19 d. po Įstatymų projektų derinimo Teisingumo ministerijos kartu su Vyriausybės kanceliarija vykdytų viešųjų konsultacijų metu šių asmenų išsakytus argumentus, ADTAĮ projekte siūloma pasinaudoti Reglamente suteikiama galimybe valstybėms narėms nustatyti žemesnę amžiaus ribą vaiko sutikimui duoti. ADTAĮ projekto 6 straipsnyje numatoma, kad jei vaikui tiesiogiai siūlomos informacinės visuomenės paslaugos, vaiko asmens duomenų tvarkymas yra teisėtas tuo atveju, jei sutikimą pagal Reglamento 6 straipsnio 1 dalies a punktą duoda ne jaunesnis nei 14 metų vaikas.
ADTAĮ projekto III skyriuje siekiama reglamentuoti klausimus, susijusius su priežiūros institucijų, atliekančių Reglamento bei ADTAĮ taikymo stebėseną, įgaliojimais. ADTAĮ projekto 7 straipsnio 1 dalyje numatyta, kad Valstybinė duomenų apsaugos inspekcija stebi, kaip taikomas Reglamentas ir ADTAĮ bei užtikrina, kad jie būtų taikomi, išskyrus ADTAĮ straipsnius, kai pagal šio straipsnio 2 dalį tai yra žurnalistų etikos inspektoriaus kompetencija. Pagal ADTAĮ projekto 10 straipsnio 2 dalį žurnalistų etikos inspektorius stebi, kaip taikomas Reglamentas ir ADTAĮ, bei užtikrina, kad jie būtų taikomi, kai asmens duomenys tvarkomi žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Žurnalistų etikos inspektorius vykdo pagal Reglamentą priežiūros institucijai pavestas užduotis ir turi Reglamentu priežiūros institucijai suteiktus įgaliojimus, tačiau žurnalistų etikos inspektoriui būtų netaikomos tam tikros Reglamento nuostatos, numatančios priežiūros institucijos užduotis ir įgaliojimus (pavyzdžiui, nuostatos, numatančios, kad priežiūros institucija priima standartines sutarčių sąlygas, nurodytas Reglamento 28 straipsnio 8 dalyje ir 46 straipsnio 2 dalies d punkte, sudaro ir tvarko sąrašą, susijusį su poveikio duomenų apsaugai vertinimo reikalavimu pagal Reglamento 35 straipsnio 4 dalį, tvirtina įmonei privalomas taisykles pagal Reglamento 47 straipsnį, išduoda sertifikatus ir patvirtina sertifikavimo kriterijus pagal Reglamento 42 straipsnio 5 dalį ir pan.).
Vadovaujantis Reglamento 51 straipsnio 3 dalimi, jeigu valstybėje narėje įsteigta daugiau nei viena priežiūros institucija, ta valstybė narė paskiria priežiūros instituciją, kuri turi atstovauti toms institucijoms Europos duomenų apsaugos valdyboje, ir nustato mechanizmą, kuriuo būtų užtikrinta, kad kitos institucijos laikytųsi su Reglamento 63 straipsnyje nurodytu nuoseklumo užtikrinimo mechanizmu susijusių taisyklių. Atsižvelgiant į tai, ADTAĮ projekto 7 straipsnio 3 ir 4 dalyse norima nustatyti, kad Valstybinė duomenų apsaugos inspekcija atstovauja Reglamento taikymo priežiūros institucijoms Europos duomenų apsaugos valdyboje ir, siekiant užtikrinti Reglamento 63 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo laikymąsi, Valstybinė duomenų apsaugos inspekcija bendradarbiauja su žurnalistų etikos inspektoriumi, kai sprendžiami klausimai, susiję su jo kompetencija.
ADTAĮ projekto 8 straipsnyje nustatomas Valstybinės duomenų apsaugos inspekcijos teisinis statusas, taip pat įtvirtinamos jos nepriklausomumo garantijos. Siekiant sustiprinti Valstybinės duomenų apsaugos inspekcijos nepriklausomumą, šio straipsnio 1 dalyje įtvirtinama, kad jos administracijos struktūrą tvirtina Valstybinės duomenų apsaugos inspekcijos vadovas.
Atsižvelgiant į Reglamento 52-54 straipsnių nuostatas, ADTAĮ projekto 9 straipsnyje numatomi reikalavimai Valstybinės duomenų apsaugos inspekcijos direktoriui. Pagal šio straipsnio 2 dalį Valstybinės duomenų apsaugos inspekcijos direktoriumi gali būti skiriamas nepriekaištingos reputacijos Lietuvos Respublikos pilietis, turintis teisės bakalauro ir teisės magistro arba teisininko profesinį kvalifikacinį laipsnį (vienpakopį teisinį universitetinį išsilavinimą) ir ne mažesnį kaip 10 metų teisinio arba teisinio pedagoginio darbo stažą ir atitinkantis Reglamento 53 straipsnio 2 dalies reikalavimus. Pažymėtina, kad Valstybinės duomenų apsaugos inspekcijos direktoriui, kaip asmeniui, vykdančiam priežiūrą vienos iš pagrindinių žmogaus teisių – teisės į asmens duomenų apsaugą – srityje, numatytas stažo reikalavimas atitinka Lietuvos Respublikos kontrolieriams, dirbantiems žmogaus teisių apsaugos srityje, keliamus reikalavimus. Nepriekaištingos reputacijos reikalavimai taikomi tokie, kokie valstybės tarnautojams nustatyti Lietuvos Respublikos valstybės tarnybos įstatyme. ADTAĮ projekto 9 straipsnio 5 dalyje įtvirtinti Valstybinės duomenų apsaugos inspektoriaus atleidimo iš pareigų pagrindai, kurie atitinka Reglamento 53 straipsnio 3 ir 4 dalies reikalavimus. Pažymėtina, kad tokių atleidimo pagrindų nustatymas yra siejamas su priežiūros institucijos ir jos vadovo nepriklausomumo užtikrinimo garantijomis.
ADTAĮ projekto 10 straipsnyje ketinama įtvirtinti, kad Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojas (pavaduotojai) turi atitikti Valstybinės duomenų apsaugos inspekcijos direktoriui Reglamente ir ADTAĮ keliamus reikalavimus.
ADTAĮ projekto 11-12 straipsniuose numatytos Valstybinės duomenų apsaugos inspekcijos užduotys ir funkcijos bei įgaliojimai ir teisės atsižvelgiant į priežiūros institucijai pagal Reglamentą pavedamas užduotis ir suteikiamus įgaliojimus. Taip pat, siekiant užtikrinti efektyvią Valstybinės duomenų apsaugos inspekcijos veiklą, ADTAĮ projekto 12 straipsnio 2 dalies 9-11 punktuose numatyta, kad Valstybinė duomenų apsaugos inspekcija turi teisę pažeidimų nagrinėjimo metu gauti žodinius ir rašytinius paaiškinimus iš juridinių ir fizinių asmenų ir reikalauti, kad jie atvyktų duoti paaiškinimų į Valstybinės duomenų apsaugos inspekcijos patalpas; naudoti Valstybinės duomenų apsaugos inspekcijos turimą informaciją, įskaitant asmens duomenis, gautą pažeidimų nagrinėjimo metu ar gautą Valstybinei duomenų apsaugos inspekcijai vykdant kitas funkcijas; pasitelkti policijos pareigūnus viešajai tvarkai palaikyti ir galimam prievartos panaudojimui užtikrinti.
Reglamento 58 straipsnio 5 dalis numato, kad valstybės narės priežiūros institucijos turi įgaliojimus atkreipti teisminių institucijų dėmesį į Reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti Reglamento nuostatų vykdymą. Ši nuostata kyla iš 2015 m. spalio 6 d. ES Teisingumo Teismo sprendimo byloje Nr. C-362/14 (vadinamasis Schrems sprendimas), kuriame buvo nuspręsta, kad 2000 metais Europos Komisijos priimtas adekvatumo sprendimas dėl JAV Nr. 2000/520 negalioja, nes sprendime Europos Komisija nekonstatavo, kad JAV savo įstatymais ir tarptautiniais įsipareigojimais užtikrina adekvatumo lygį (kaip reikalaujama adekvatumo sprendimų atveju). Šiame sprendime taip pat pažymėta, kad „nacionalinis teisės aktų leidėjas turi numatyti teisių gynimo priemones, leidžiančias atitinkamai nacionalinei priežiūros institucijai remtis nacionaliniuose teismuose kaltinimais, kurie, jos nuomone, yra pagrįsti, tam, kad šie teismai, vertindami Europos Komisijos sprendimo galiojimą, pateiktų prašymą priimti prejudicinį sprendimą, jei, kaip ir ši institucija, turėtų abejonių dėl šio sprendimo galiojimo“. Siekiant įgyvendinti minėtą Reglamento nuostatą ir ES Teisingumo Teismo sprendimą, ADTAĮ turėtų būti nurodytas teismas, į kurį kreiptųsi nacionalinė priežiūros institucija – Valstybinė duomenų apsaugos inspekcija, siekdama, kad būtų įvertinti Europos Komisijos sprendimai, nurodyti Reglamente. Atsižvelgiant į tai, kad toks kreipimasis savo pobūdžiu yra artimas šiuo metu ABTĮ nustatytai galimybei kreiptis su prašymu ištirti norminio administracinio akto teisėtumą, ir į šiuo metu Lietuvos vyriausiajam administraciniam teismui priskirtą kompetenciją šioje srityje, ADTAĮ projekto 12 straipsnio 3 dalyje siūloma nustatyti, kad tuo atveju, jei Valstybinė duomenų apsaugos inspekcija nagrinėdama skundą turi pagrindo manyti, kad Europos Komisijos sprendimas dėl tinkamumo (Reglamento 45 straipsnis), dėl standartinių duomenų apsaugos sąlygų priėmimo (Reglamento 46 straipsnio 2 dalies c ir d punktai) ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo (Reglamento 40 straipsnio 9 dalis) yra neteisėtas ir nuo šio Europos Komisijos sprendimo galiojimo priklauso Valstybinės duomenų apsaugos inspekcijos sprendimas, ji sustabdo skundo nagrinėjimą ir kreipiasi į Lietuvos vyriausiąjį administracinį teismą. Jei Lietuvos vyriausiasis administracinis teismas nagrinėdamas Valstybinės duomenų apsaugos inspekcijos prašymą turi pagrindo manyti, kad Europos Komisijos sprendimas yra neteisėtas, jis priima sprendimą kreiptis į kompetentingą Europos Sąjungos teisminę instituciją (ES Teisingumo Teismą) priimti prejudicinį sprendimą. Valstybinės duomenų apsaugos inspekcijos prašymas būtų nagrinėjamas pagal ABTĮ nuostatas (žr. ABTĮ projektą).
ADTAĮ projekto 13 straipsnyje siekiama įtvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus, žurnalistų etikos inspektoriaus, priežiūros institucijos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, pareigą saugoti paslaptis ir konfidencialią informaciją.
ADTAĮ projekto 14 straipsnyje įtvirtinamas priežiūros institucijos reikalavimų privalomumas, reiškiantis, kad juridiniai ir fiziniai asmenys privalo vykdyti priežiūros institucijos teisėtus reikalavimus, įskaitant, bet neapsiribojant priežiūros institucijos reikalavimu atvykti duoti paaiškinimų į priežiūros institucijos patalpas, nedelsdami pateikti informaciją ir (ar) paaiškinimus, dokumentų kopijas ir nuorašus, duomenų kopijas, sudaryti sąlygas susipažinti su visais duomenimis, įranga, susijusia su asmens duomenų tvarkymu, ir dokumentais, reikalingais priežiūros institucijos funkcijų vykdymui.
ADTAĮ projekto IV skyrius reglamentuoja Valstybinės duomenų apsaugos inspekcijos leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimą ir sertifikavimo įstaigų akreditavimą. ADTAĮ 15 straipsnyje numatyta, kad Valstybinė duomenų apsaugos inspekcija pagal Reglamento 46 straipsnio 3 dalį leidimą perduoti asmens duomenis į trečiąją valstybę ar tarptautinei organizacijai arba motyvuotą rašytinį atsisakymą jį išduoti privalo pateikti duomenų valdytojui ne vėliau kaip per 20 darbo dienų. Šiame straipsnyje taip pat įtvirtinta, kad dėl aplinkybių sudėtingumo, informacijos apimties ar kitų svarbių objektyvių aplinkybių šio straipsnio 1 dalyje nustatytas leidimo išdavimo terminas gali būti vieną kartą pratęstas iki 10 darbo dienų, apie tai turi būti pranešta duomenų valdytojui nurodant priežastis, dėl kurių terminas buvo pratęstas. Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms suteikimo tvarką nustato Valstybinė duomenų apsaugos inspekcija. Reglamento 43 straipsnio 1 dalyje numatyta, kad sertifikavimo įstaigos turi būti akredituotos priežiūros institucijos ir (arba) nacionalinės akreditavimo įstaigos, paskelbtos pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008, laikantis EN-ISO/IEC 17065/2012 ir papildomų reikalavimų, kuriuos nustatė priežiūros institucija. ADTAĮ projekto 16 straipsnio 1 dalyje numatyta, kad sertifikavimo įstaigas pagal Reglamento 43 straipsnį akredituoja Valstybinė duomenų apsaugos inspekcija. Akreditavimo ir akreditavimo pažymėjimų išdavimo tvarką nustato Valstybinė duomenų apsaugos inspekcija. Šio straipsnio 2 dalis įtvirtina, kad sertifikavimo įstaigos, pageidaujančios būti akredituotos, išlaidas, susijusias su jų akreditavimu, apmoka pagal Vyriausybės nustatyta tvarka patvirtintus įkainius.
ADTAĮ projekto V skyrius skirtas priežiūros institucijų atliekamam pažeidimų nagrinėjimui reglamentuoti. Šio skyriaus Pirmajame skirsnyje (ADTAĮ projekto 17-19 straipsniai) numatytos tikrinamo asmens, pareiškėjo, skundžiamo asmens ir pažeidimo padarymu įtariamo asmens teisės ir pareigos, reglamentuojama teismo leidimų įeiti į fizinių asmenų gyvenamąsias patalpas išdavimo tvarka (analogiška galiojančiame ADTAĮ nustatytai tvarkai) bei aptartas informacijos apie priežiūros institucijos atliekamą pažeidimo nagrinėjimą teikimas.
ADTAĮ projekto V skyriaus Antrajame skirsnyje reglamentuotas tyrimų ir (ar) tikrinimų Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimas bet kokiu klausimu, susijusiu su galimu Reglamento, ADTAĮ ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimu. ADTAĮ projekto 20-22 straipsniai reglamentuoja tyrimų ir (ar) tikrinimų Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo tvarką, terminus, nustato, kokius sprendimus priima Valstybinė duomenų apsaugos inspekcija atlikusi tyrimą ir (ar) tikrinimą savo iniciatyva.
ADTAĮ projekto V skyriaus Trečiajame skirsnyje reglamentuotas priežiūros institucijų – Valstybinės duomenų apsaugos inspekcijos ir žurnalistų etikos inspektoriaus – atliekamas skundų nagrinėjimas. ADTAĮ projekto 24 straipsnio 1 ir 2 dalyse numatyta, kokie pareiškėjai turi teisę pateikti skundą priežiūros institucijoms. Pagal Reglamento 80 straipsnio 1 dalį duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis Reglamento 77, 78 bei 79 straipsniuose, jo vardu naudotis Reglamento 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje. Atsižvelgiant į tai, ADTAĮ projekto 24 straipsnio 4 dalyje numatyta, kad skundą šio straipsnio 1 dalies 1 punkte arba 2 dalyje nurodyto pareiškėjo vardu gali pateikti pelno nesiekianti įstaiga, organizacija ar asociacija pagal Reglamento 80 straipsnio 1 dalį ar įstatymus, reglamentuojančius asmens duomenų ir (ar) privatumo apsaugą (pvz., pagal Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymą, kuris turi būti priimtas perkeliant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvą (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR), tačiau ADTAĮ projekte teisė gauti kompensaciją pagal Reglamento 82 straipsnį joms nesuteikiama. ADTAĮ projekto 23, 25-29 straipsniuose reglamentuota skundų nagrinėjimo tvarka, anoniminių skundų nagrinėjimas, skundo priėmimas, atsisakymas nagrinėti skundą, papildomų dokumentų ir (ar) informacijos iš pareiškėjo reikalavimas, skundo nagrinėjimo nutraukimas. ADTAĮ projekto 30 straipsnio 1 dalies nuostata skirta Reglamento 77 ir 78 straipsnių įgyvendinimui, iš kurių kyla pareiga priežiūros institucijai ne vėliau kaip per tris mėnesius informuoti pareiškėją apie jo skundo nagrinėjimo pažangą arba rezultatus. ADTAĮ projekto 30 straipsnio 2 dalyje nustatomas keturių mėnesių terminas, per kurį turi būti išnagrinėtas skundas. Vadovaujantis ADTAĮ projekto 31 straipsnio 2 dalies 1 punktu ir 3 dalimi, kai skundas ar jo dalis pripažįstama pagrįsta, priežiūros institucija teikia nurodymus, rekomendacijas ir (ar) taiko kitas Reglamento 58 straipsnio 2 dalyje, ir ADTAĮ 33 straipsnyje ar įstatymuose, reglamentuojančiuose asmens duomenų ir (ar) privatumo apsaugą, numatytas priemones duomenų valdytojui ir (ar) duomenų tvarkytojui. Tuo atveju, jei ketinama skirti administracinę baudą, atliekami veiksmai, numatyti šio skyriaus Ketvirtajame skirsnyje.
ADTAĮ projekto V skyriaus Ketvirtajame skirsnyje reglamentuojamas priežiūros institucijos atliekamas administracinių baudų už Reglamento ir ADTAĮ pažeidimus skyrimas. ADTAĮ projekto 32 straipsnio 2 ir 3 dalyse numatyta, kad administracines baudas pagal kompetenciją skiria Valstybinės duomenų apsaugos inspekcijos direktorius arba žurnalistų etikos inspektorius ar jų įgaliotas asmuo, o sprendimas dėl administracinės baudos skyrimo gali būti priimtas, jeigu praėjo ne daugiau kaip 2 metai nuo pažeidimo padarymo dienos, o kai pažeidimas trunkamasis – nuo jo paaiškėjimo dienos. Reglamento 83 straipsnio 7 dalyje numatyta valstybėms narėms galimybė apsispręsti, ar administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, o jei taip – nustatyti kitokio dydžio baudas nei numatyta Reglamente. Reglamentas taip pat numato, kad baudos turi būti veiksmingos, proporcingos ir atgrasomos. Taigi galimi trys variantai: nustatyti, kad valdžios institucijoms ir įstaigoms neskiriamos Reglamente numatytos administracinės baudos (pvz., taip savo įstatymuose yra nustačiusios Vokietija ir Austrija); skirti tokias pačias, kaip ir kitiems duomenų valdytojams ar duomenų tvarkytojams, Reglamente numatytas administracines baudas; nustatyti kitokio dydžio baudas. ADTAĮ projekto 33 straipsnyje siūloma nustatyti mažesnes baudų valdžios institucijoms ir įstaigoms viršutines ribas. Tai, viena vertus, drausmintų valdžios institucijas ir įstaigas, kita vertus, nekeltų didelio pavojaus, kad, pritaikius maksimalų baudos dydį, bus sutrikdyta jų veikla ir prireiks perskirstyti valstybės biudžetą (institucija galimai įstengtų tokio dydžio baudas sumokėti iš jai skirtų asignavimų). Taigi ADTAĮ projekto 33 straipsnyje įtvirtinta, kad valdžios institucijai ar įstaigai, pažeidusiai Reglamento 83 straipsnio 4 dalies a-c punktuose nurodytas nuostatas, priežiūros institucija turi teisę skirti administracinę baudą iki 0,5 procento valdžios institucijos ar įstaigos metinio biudžeto einamaisiais metais ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne daugiau negu 30 000 eurų, o valdžios institucijai ar įstaigai, pažeidusiai Reglamento 83 straipsnio 5 dalies a-e punktuose nurodytas nuostatas ir (ar) 83 straipsnio 6 dalį, priežiūros institucija turi teisę skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos metinio biudžeto einamaisiais metais ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne daugiau negu 60 000 eurų. ADTAĮ projekto 33 straipsnio 3 dalyje numatyta, kad tais atvejais, kai valdžios institucija ar įstaiga vykdo ūkinę komercinę veiklą, t. y. konkuruoja su verslo subjektais, už Reglamento nuostatų pažeidimą priežiūros institucija turi teisę skirti administracinę baudą, nurodytą Reglamento 83 straipsnio 4–6 dalyse. Manytina, kad ADTAĮ projekto 33 straipsnyje numatytos administracinės baudos yra veiksmingos, proporcingos ir atgrasomos. ADTAĮ projekto 34 straipsnyje reglamentuojama administracinių baudų skyrimo procedūra. ADTAĮ projekto 35 straipsnis skirtas sprendimo dėl administracinės baudos vykdymo klausimams reglamentuoti.
Atsižvelgiant į tai, kad Reglamentas bus pradėtas taikyti 2018 m. gegužės 25 d., ADTAĮ pakeitimo įstatymo projekto 2 straipsnio 1 dalyje siūloma numatyti, kad šis įstatymas taip pat įsigalioja 2018 m. gegužės 25 d. Siekiant užtikrinti pasirengimą taikyti Reglamentą ir ADTAĮ, siūloma numatyti, kad Lietuvos Respublikos Vyriausybė, Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius iki 2018 m. gegužės 24 d. priima šio įstatymo įgyvendinamuosius teisės aktus. ADTAĮ pakeitimo įstatymo projekto 2 straipsnio 3 dalyje siūloma nurodyti, kad nuo šio įstatymo įsigaliojimo įstatymuose ir kituose teisės aktuose pateiktos nuorodos į ADTAĮ yra laikomos nuorodomis į Reglamentą ir, jei taikoma, ADTAĮ. Siekiant užtikrinti Valstybinės duomenų apsaugos inspekcijos direktoriaus kadencijos tęstinumą, šio straipsnio 4 dalyje siūloma įtvirtinti, kad iki šio įstatymo įsigaliojimo į pareigas priimtas Valstybinės duomenų apsaugos inspekcijos direktorius šias pareigas eina iki kadencijos, kuriai jis buvo paskirtas, pabaigos. ADTAĮ pakeitimo įstatymo projekto 2 straipsnio 5 dalyje numatyta, kad iki pradedant taikyti Reglamentą Valstybinės duomenų apsaugos inspekcijos išduoti leidimai duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus (t. y. leidimai, išduodami atlikus išankstinę patikrą pagal galiojančio ADTAĮ 33 straipsnį) galioja, kol nepasikeičia asmens duomenų tvarkymas, dėl kurio išduotas leidimas.
2. VIĮ projekto 1 straipsniu siūlomo keisti VIĮ 49 straipsnio 3, 8, 10 ir 13 dalių pakeitimais siekiama sustiprinti žurnalistų etikos inspektoriaus nepriklausomumą, kaip to reikalauja Reglamento 51-54 straipsniai. Pažymėtina, kad Reglamento 53 straipsnio 3 ir 4 dalyse yra įtvirtinti priežiūros institucijos narių atleidimo iš pareigų pagrindai, kurių neatitinka VIĮ 49 straipsnio 8 dalyje nurodytieji, todėl šią dalį VIĮ projektu siūloma keisti. Reglamento 52 straipsnio 5 ir 6 dalys numato, kad kiekviena valstybė narė užtikrina, kad kiekviena priežiūros institucija rinktųsi ir turėtų savo darbuotojus, kuriems išimtinai vadovauja atitinkamos priežiūros institucijos narys ar nariai, kad kiekviena priežiūros institucija būtų finansiškai kontroliuojama nedarant poveikio jos nepriklausomumui, kad turėtų atskirą viešą metinį biudžetą, kuris gali būti viso valstybės ar nacionalinio biudžeto dalis. Atsižvelgiant į tai, VIĮ projekto 1 straipsniu siūloma keisti VIĮ 49 straipsnio 10 ir 13 dalis.
VIĮ projekto 2 straipsniu siūloma pakeisti VIĮ 50 straipsnio 1 dalies 3 punktą pagal Reglamentą ir ADTAĮ projektą patikslinant žurnalistų etikos inspektoriaus atliekamą funkciją ir numatant, kad jis nagrinėja duomenų subjektų pagal Reglamento 77 straipsnio 1 dalį pateiktus skundus ADTAĮ nustatyta tvarka.
Atsižvelgiant į tai, kad Reglamentas bus pradėtas taikyti 2018 m. gegužės 25 d., VIĮ projekto 4 straipsnio 1 dalyje siūloma numatyti, kad šis įstatymas taip pat įsigalioja 2018 m. gegužės 25 d. Siekiant užtikrinti žurnalistų etikos inspektoriaus kadencijos tęstinumą, šio straipsnio 2 dalyje siūloma įtvirtinti, kad iki šio įstatymo įsigaliojimo į pareigas priimtas žurnalistų etikos inspektorius šias pareigas eina iki kadencijos, kuriai jis buvo paskirtas, pabaigos.
3. LRVĮ projekto 1 straipsniu siūloma pakeisti LRVĮ 22 straipsnio 9 punktą numatant, kad Vyriausybė tvirtina Vyriausybės įstaigų administracijos struktūrą arba paveda ją tvirtinti Vyriausybės įstaigos vadovui, jei kiti įstatymai nenustato kitos jos tvirtinimo tvarkos. Šiuo pakeitimu siūloma numatyti galimybę kituose įstatymuose nustatyti kitą Vyriausybės įstaigos administracijos struktūros tvirtinimo tvarką. Tai aktualu Valstybinės duomenų apsaugos inspekcijos, kurios nepriklausomumo garantijas nustato Reglamentas, atžvilgiu. ADTAĮ projekto 8 straipsnio 1 dalyje siūloma numatyti, kad Valstybinės duomenų apsaugos inspekcijos struktūrą tvirtina jos vadovas. LRVĮ projekto 2 straipsnio 1 dalimi siūloma pakeisti LRVĮ 291 straipsnio 8 dalį numatant, kad asmuo, priimamas į Vyriausybės įstaigos vadovo pareigas, turi atitikti bendruosius reikalavimus, keliamus asmeniui, priimamam į valstybės tarnautojo pareigas, ir specialiuosius reikalavimus, kuriuos gali nustatyti ne tik Vyriausybės įstaigos veiklą reglamentuojantis įstatymas, bet ir tiesiogiai taikomas Europos Sąjungos teisės aktas. Pakeitimas siūlomas atsižvelgiant į tai, kad specialiuosius reikalavimus priežiūros institucijos vadovui nustato ir Reglamento 53 straipsnio 2 dalis. LRVĮ projekto 2 straipsnio 2 dalimi siūloma pakeisti LRVĮ 291 straipsnio 9 dalį numatant, kad ši dalis netaikoma, kai Vyriausybės įstaigos vadovo atleidimo pagrindus nustato Vyriausybės įstaigos veiklą reglamentuojantis įstatymas ar tiesiogiai taikomas Europos Sąjungos teisės aktas. Reglamento 53 straipsnio 3 ir 4 dalyse yra numatyti atvejai, kada priežiūros institucijos vadovas nustoja eiti pareigas arba gali būti atleistas, todėl turi būti įtvirtinta galimybė taikyti Valstybinės duomenų apsaugos inspekcijos direktoriaus atžvilgiu kitokius atleidimo pagrindus, nei kitų Vyriausybės įstaigų vadovams. Valstybinės duomenų apsaugos inspekcijos direktoriaus atleidimo pagrindai nustatyti ADTAĮ projekto 9 straipsnio 5 dalyje. Atsižvelgiant į DK nuostatas, LRVĮ projekto 2 straipsnio 3 dalimi siūloma LRVĮ 291 straipsnio 10 dalį pripažinti netekusia galios.
4. ANK projekto 1 straipsniu keičiamos ANK 79 straipsnio 1 ir 5 dalys ir ANK projekto 2 straipsniu pripažįstamas netekusiu galios ANK 82 straipsnis atsižvelgiant į tai, kad už Reglamento ir (ar) ADTAĮ pažeidimus nebebus taikoma ANK nustatyta administracinė atsakomybė. Už šiuos pažeidimus Valstybinė duomenų apsaugos inspekcija arba žurnalistų etikos inspektorius skirs administracines baudas, numatytas Reglamente, kartu su kitomis Reglamente nurodytomis priemonėmis arba vietoj jų. ANK projekto 3 straipsniu siūloma pripažinti netekusia galios 479 straipsnio 2 dalį ir pakeisti šio straipsnio 5 dalį atsižvelgiant į tai, kad apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai turės būti pranešama pagal Reglamento 33 straipsnį, o ne pagal KSĮ, o už nepranešimą bus taikomos administracinės baudos, numatytos Reglamente.
5. BĮ projekto 2 straipsniu siūloma pripažinti netekusiu galios BĮ 561 straipsnį. Šiame straipsnyje reglamentuotas asmens duomenų tvarkymas banko ir banko klientų teisėtų interesų apsaugos tikslais remiasi duomenų valdytojo ar trečiojo asmens teisėtų interesų kriterijumi, kuris įtvirtintas galiojančio ADTAĮ 5 straipsnio 1 dalies 6 punkte. Šis kriterijus įtvirtintas Reglamento 6 straipsnio 1 dalies f punkte. Vadovaujantis šiuo punktu, viena iš teisėto duomenų tvarkymo sąlygų yra, kai tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. Pažymėtina, kad šioje dalyje yra įtvirtintas vadinamasis „balanso testas“, kuomet būtina įvertinti duomenų valdytojo ar trečiosios šalies interesus ir duomenų subjekto interesu. Naudojimuisi „teisėto intereso“ sąlyga papildomo teisinio reglamentavimo nereikia, priešingai nei naudojimuisi Reglamento 6 straipsnio 1 dalies c ir e punktuose įtvirtintomis sąlygomis – jo 6 straipsnio 2 ir 3 dalyse įtvirtinti reikalavimai tokiam reglamentavimui teisės aktuose.
6. DK projekto 1 straipsniu siūloma pakeisti DK 27 straipsnį jame atsisakant darbuotojų asmens duomenų tvarkymo reglamentavimo. Šio straipsnio pakeitimai siūlomi atsižvelgiant į Reglamento nuostatas, kurios yra tiesiogiai taikomos ir tvarkant darbuotojų asmens duomenis. Be to, atsižvelgiant į Reglamento 88 straipsnio 1 dalį, ADTAĮ projekte yra siūlomas atskiras straipsnis, skirtas asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumams reglamentuoti, kurio nuostatos atitinka Reglamento reikalavimus. DK 206 straipsnio 1 dalis numato, kad darbdavys, įdarbinantis vidutiniškai dvidešimt ir daugiau darbuotojų, privalo informuoti darbo tarybą ir su ja konsultuotis priimdamas sprendimus dėl numatytų vietinių norminių teisės aktų patvirtinimo ar pakeitimo. Šios dalies 5 ir 7 punktai numato, kad tai turi būti daroma dėl informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarkos (5 punktas) ir dėl darbuotojų asmens duomenų saugojimo politikos ir jos įgyvendinimo priemonių (7 punktas). Tokios DK nuostatos dėl darbo tarybos informavimo ir konsultavimosi su ja gali likti, nes jos neprieštarauja ir neatkartoja Reglamento nuostatų.
Atkreiptinas dėmesys, kad pagal Reglamento 88 straipsnio 3 dalį kiekviena valstybė narė ne vėliau kaip 2018 m. gegužės 25 d. praneša Europos Komisijai tas savo teisės aktų nuostatas, kurias ji priima pagal šio straipsnio 1 dalį, ir nedelsdama praneša vėlesnius su tomis nuostatomis susijusius pakeitimus.
7. KSĮ projektu, atsižvelgiant į Reglamento nuostatas, siūloma tikslinti Valstybinės duomenų apsaugos inspekcijos įgaliojimus kibernetinio saugumo srityje ir panaikinti atitinkamų subjektų pareigą teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones, kadangi Valstybinė duomenų apsaugos inspekcija apie asmens duomenų saugumo pažeidimus (įskaitant kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais) turės būti informuota pagal Reglamento 33 straipsnį. Atkreiptinas dėmesys, kad Lietuvos Respublikos Vyriausybė 2018 m. kovo 28 d. nutarimo Nr. 282 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymo ir Lietuvos Respublikos administracinių nusižengimų kodekso 479, 480, 589 straipsnių ir priedo pakeitimo įstatymo projektų pateikimo Lietuvos Respublikos Seimui“ 1 punktu nutarė pritarti Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymo ir Lietuvos Respublikos administracinių nusižengimų kodekso 479, 480, 589 straipsnių ir priedo pakeitimo įstatymo projektams ir pateikti juos Lietuvos Respublikos Seimui. Atsižvelgiant į tai, kad neaišku, kada Lietuvos Respublikos Seimas priims minėtą Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymą, o Reglamentas yra tiesioginio taikymo teisės aktas ir KSĮ nuostatos jo neatitinka, KSĮ projektas yra teikiamas kartu su šiuo įstatymų, reikalingų siekiant pasirengti taikyti Reglamentą, projektų paketu.
8. VAĮ projektas parengtas atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos veiklos ypatumus. Atkreiptinas dėmesys, kad ši priežiūros institucija, vykdydama ūkio subjektų priežiūrą, turės vadovautis pirmiausia Reglamento nuostatomis. Atsižvelgiant į tai, jai privalomai negali būti taikomos VAĮ nuostatos dėl ūkio subjektų veiklos patikrinimų (VAĮ 364 straipsnis), poveikio priemonių ūkio subjektams taikymo (VAĮ 368 straipsnis) ir mažareikšmio teisės aktų reikalavimų pažeidimo (VAĮ 369 straipsnis), kadangi jose nustatytos taisyklės neatitinka Reglamento nuostatų.
9. VRKĮ projektas parengtas atsižvelgiant į tai, kad ADTAĮ projektu siekiama ADTAĮ reglamentuoti tik tuos klausimus, kurie yra tiesiogiai susiję su Reglamento reikalavimais, ir nebebus reglamentuojamas asmens duomenų tvarkymas rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos tikslais. VRKĮ projekto 1 straipsniu siūloma papildyti VRKĮ 3 straipsnio 2 dalį nauju 19 punktu, pagal kurį Lietuvos Respublikos vyriausioji rinkimų komisija turi teisę rinkimų, referendumo, Lietuvos Respublikos piliečių įstatymų leidybos iniciatyvos, Europos Sąjungos piliečių iniciatyvos, politinių kampanijų, politinių partijų finansavimo tikslais Vyriausiosios rinkimų komisijos interneto svetainėje skelbti pagal kandidatų ar jų atstovų pateiktus pareiškinius ir kitus dokumentus parengtą informaciją apie kandidatus, kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių, politinės kampanijos aukotojų sąrašus Vyriausiosios rinkimų komisijos nustatyta tvarka. Šioje tvarkoje turės būti detaliau aptartas asmens duomenų tvarkymas atsižvelgiant į Reglamento 6 straipsnio 3 dalies reikalavimus. Pagal VRKĮ projekto 2 straipsnio 2 dalį Vyriausioji rinkimų komisija iki 2018 m. gegužės 24 d. turės priimti šio įstatymo įgyvendinamuosius teisės aktus.
10. ABTĮ projektu siūloma galiojančio įstatymo II dalies II skyrių papildyti nauju antruoju1 skirsniu, kuris skirtas reglamentuoti Valstybinės duomenų apsaugos inspekcijos Lietuvos vyriausiajam administraciniam teismui paduodamo prašymo pagal ADTAĮ projekto 12 straipsnio 3 dalį nagrinėjimo procesą. Šiame skirsnyje nustatyti reikalavimai paduodamam prašymui, prašymo nagrinėjimo tvarka, taip pat nurodoma, kokius sprendimus gali priimti teismas, išnagrinėjęs šį prašymą.
5. Numatomo teisinio reguliavimo poveikio vertinimo rezultatai (jeigu rengiant įstatymų projektus toks vertinimas turi būti atliktas ir jo rezultatai nepateikiami atskiru dokumentu), galimos neigiamos priimtų įstatymų pasekmės ir kokių priemonių reikėtų imtis, kad tokių pasekmių būtų išvengta
Numatoma, kad įstatymai neturės neigiamų pasekmių.
6. Kokią įtaką priimti įstatymai turės kriminogeninei situacijai, korupcijai
Priimti įstatymai neturės įtakos kriminogeninei situacijai ir korupcijai.
7. Kaip įstatymų įgyvendinimas atsilieps verslo sąlygoms ir jo plėtrai
Visoje Europos Sąjungoje Reglamentu nustatytos vienodos asmens duomenų apsaugos taisyklės (kartu ir ADTAĮ) turės teigiamos įtakos verslo sąlygoms ir jo plėtrai, sudarys sąlygas skaitmeninei ekonomikai vystytis vidaus rinkoje, bus užtikrintas didesnis teisinis ir praktinis tikrumas ūkio subjektams. Trumpalaikėje perspektyvoje verslas turės prisitaikyti prie pasikeitusių asmens duomenų apsaugos reikalavimų, taigi tai galimai pareikalaus papildomų sąnaudų.
8. Įstatymų inkorporavimas į teisinę sistemą, kokius teisės aktus būtina priimti, kokius galiojančius teisės aktus reikia pakeisti ar pripažinti netekusiais galios
Priimti naujų įstatymų, galiojančių įstatymų keisti ar pripažinti netekusiais galios nereikės.
9. Ar įstatymų projektai parengti laikantis Lietuvos Respublikos valstybinės kalbos, Lietuvos Respublikos teisėkūros pagrindų įstatymų reikalavimų, o įstatymų projektų sąvokos ir jas įvardijantys terminai įvertinti Lietuvos Respublikos terminų banko įstatymo ir jo įgyvendinamųjų teisės aktų nustatyta tvarka
Įstatymų projektai parengti laikantis Valstybinės kalbos, Teisėkūros pagrindų įstatymų reikalavimų. ADTAĮ projekto sąvokos ir jas įvardijantys terminai suderinti su Valstybine lietuvių kalbos komisija Terminų banko įstatymo ir jo įgyvendinamųjų teisės aktų nustatyta tvarka.
10. Ar įstatymų projektai atitinka Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatas ir Europos Sąjungos dokumentus
Įstatymų projektai atitinka Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatas ir yra suderinti su Europos Sąjungos teisės aktais.
11. Jeigu įstatymams įgyvendinti reikia įgyvendinamųjų teisės aktų, – kas ir kada juos turėtų priimti
Priėmus įstatymų projektus, įstatymams įgyvendinti iki 2018 m. gegužės 24 d. turės būti priimti šių įstatymų įgyvendinamieji teisės aktai. Lietuvos Respublikos Vyriausybė turės pakeisti Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimą Nr. 1156 „Dėl įgaliojimų Valstybinei duomenų apsaugos inspekcijai suteikimo ir Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo“, Lietuvos Respublikos Vyriausybės 2000 m. gruodžio 15 d. nutarimą Nr. 1458 „Dėl Konkrečių valstybės rinkliavos dydžių sąrašo ir Valstybės rinkliavos mokėjimo ir grąžinimo taisyklių patvirtinimo“, pripažinti netekusiais galios Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimą Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro nuostatų ir Duomenų valdytojų pranešimo apie asmens duomenų tvarkymą taisyklių patvirtinimo“, Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimą Nr. 228 „Dėl Duomenų teikimo duomenų subjektui atlyginimo tvarkos ir Duomenų surinkimo iš registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“, priimti Lietuvos Respublikos Vyriausybės nutarimą dėl sertifikavimo įstaigų akreditavimo įkainių patvirtinimo.
Valstybinė duomenų apsaugos inspekcija turės priimti įsakymus dėl leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms suteikimo tvarkos, akreditavimo ir akreditavimo pažymėjimų išdavimo tvarkos, tyrimų ir (ar) tikrinimų Valstybinės duomenų apsaugos iniciatyva atlikimo tvarkos, skundų nagrinėjimo tvarkos.
Žurnalistų etikos inspektorius turės priimti įsakymą dėl skundų nagrinėjimo tvarkos.
Vyriausioji rinkimų komisija turės priimti sprendimą dėl informacijos apie kandidatus, kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių, politinės kampanijos aukotojų sąrašus skelbimo Vyriausiosios rinkimų komisijos interneto svetainėje tvarkos.
12. Kiek valstybės, savivaldybių biudžetų ir kitų valstybės įsteigtų fondų lėšų prireiks įstatymams įgyvendinti, ar bus galima sutaupyti (pateikiami prognozuojami rodikliai einamaisiais ir artimiausiais 3 biudžetiniais metais)
Atsižvelgiant į Valstybinei duomenų apsaugos inspekcijai pavestas naujas funkcijas ir Reglamente įtvirtintą reikalavimą priežiūros institucijoms užtikrinti reikiamus finansinius išteklius, Valstybinei duomenų apsaugos inspekcijai 2018 metams iš Lietuvos Respublikos valstybės biudžeto buvo papildomai skirta 364 tūkst. Eurų. Tokia suma padidintas biudžetinis finansavimas Valstybinei duomenų apsaugos inspekcijai turi būti skiriamas ir vėlesniais biudžetiniais metais.
13. Įstatymų projektų rengimo metu gauti specialistų vertinimai ir išvados
Įstatymų projektų rengimo metu buvo konsultuojamasi su suinteresuotomis institucijomis: Valstybine duomenų apsaugos inspekcija, Žurnalistų etikos inspektoriaus tarnyba, Lietuvos banku, Lietuvos Respublikos vaiko teisių apsaugos kontrolieriaus įstaiga, Lietuvos vyriausiuoju administraciniu teismu.
Parengti Įstatymų projektai buvo pateikti derinti suinteresuotoms institucijoms ir visuomenei paskelbiant juos Lietuvos Respublikos Seimo teisės aktų informacinės sistemos Projektų registravimo posistemėje. Įstatymų projektai pateikti derinti Lietuvos Respublikos finansų ministerijai, Lietuvos Respublikos kultūros ministerijai, Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai, Lietuvos Respublikos susisiekimo ministerijai, Lietuvos Respublikos sveikatos apsaugos ministerijai, Lietuvos Respublikos švietimo ir mokslo ministerijai, Lietuvos Respublikos ūkio ministerijai, Lietuvos Respublikos vidaus reikalų ministerijai, Valstybinei duomenų apsaugos inspekcijai, Žurnalistų etikos inspektoriaus tarnybai, Lietuvos bankui, Nacionaliniam akreditacijos biurui prie Ūkio ministerijos, Lietuvos statistikos departamentui, Lietuvos radijo ir televizijos komisijai, Lietuvos Respublikos vyriausiajai rinkimų komisijai, Europos teisės departamentui prie Lietuvos Respublikos teisingumo ministerijos, asociacijai „INFOBALT“, asociacijai Investors‘ Forum, Lietuvos pramonininkų konfederacijai, Lietuvos verslo konfederacijai, Lietuvos bankų asociacijai, Lietuvos bankų klientų asociacijai, Finansinių paslaugų įmonių asociacijai „Finco“, Finansų ir kreditų valdymo asociacijai, Lietuvos vartotojų institutui, Lietuvos vartotojų organizacijų aljansui, Nacionalinei vartotojų konfederacijai, Lietuvos žurnalistų sąjungai ir Žmogaus teisių stebėjimo institutui.
Pastabų ir pasiūlymų Įstatymų projektams neturėjo Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Lietuvos Respublikos sveikatos apsaugos ministerija, Lietuvos Respublikos švietimo ir mokslo ministerija, Žurnalistų etikos inspektoriaus tarnyba, Nacionalinis akreditacijos biuras prie Ūkio ministerijos, Lietuvos statistikos departamentas, Lietuvos radijo ir televizijos komisija. Lietuvos Respublikos kultūros ministerija, Lietuvos Respublikos vyriausioji rinkimų komisija, asociacija Investors‘ Forum, Lietuvos bankų klientų asociacija, Finansų ir kreditų valdymo asociacija, Lietuvos vartotojų institutas, Lietuvos vartotojų organizacijų aljansas, Nacionalinė vartotojų konfederacija, Lietuvos žurnalistų sąjunga ir Žmogaus teisių stebėjimo institutas išvadų ar pastabų Įstatymų projektams derinimo metu nepateikė.
14. Reikšminiai žodžiai, kurių reikia įstatymų projektams įtraukti į kompiuterinę paieškos sistemą, įskaitant Europos žodyno Eurovoc terminus, temas ir sritis
Reikšminiai įstatymų projektų žodžiai, kurių reikia šiam projektui įtraukti į kompiuterinę paieškos sistemą: „asmeniniai duomenys“, „duomenų apsauga“, „įstatymo pažeidimas“, „bauda“, „žmogaus teisės“, „žmogaus teisių apsauga“.
15. Kiti, iniciatorių nuomone, reikalingi pagrindimai ir paaiškinimai
Po Įstatymų projektų derinimo su suinteresuotomis institucijomis ir visuomene Teisingumo ministerija kartu su Vyriausybės kanceliarija organizavo ir 2017 m. rugsėjo 19 d. vykdė viešąsias konsultacijas su asmenimis, teikusiais išvadas ir pasiūlymus (valstybės institucijomis, verslo subjektais ir juos vienijančiomis asociacijomis, nevyriausybine organizacija) dėl daugiausiai diskusijų sukėlusių klausimų. Vykdytos viešosios konsultacijos tikslas – plėtoti suinteresuotų šalių dialogą teisinio asmens duomenų apsaugos reglamentavimo klausimu ir, kur tai yra įmanoma, prieiti prie kompromiso dėl ADTAĮ nuostatų ar jų tobulinimo krypčių. Buvo diskutuojama 4 klausimais: dėl asmens kodo viešumo ir asmens kodo kaip vienintelio paieškos kriterijaus; dėl asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste; dėl vaiko amžiaus ribos sutikimui duoti pagal Reglamento 8 straipsnį, kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui; dėl asmens duomenų tvarkymo mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais. Atsižvelgiant į viešųjų konsultacijų metu pateiktas pastabas, pasiūlymus, išsakytus argumentus, buvo tikslinami Įstatymų projektai. Pavyzdžiui, ADTAĮ projekte atsisakyta nuostatos, kad asmens kodas negali būti naudojamas kaip vienintelis paieškos kriterijus atliekant kitų asmens duomenų paiešką; dalies nuostatų dėl asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste atsisakyta, o kitos nuostatos patikslintos; ADTAĮ projekte nuspręsta numatyti žemesnę vaiko amžiaus ribą sutikimui duoti nei numato Reglamento 8 straipsnis (14 metų vietoje 16 metų). Su viešosios konsultacijos „Dėl pasirengimo taikyti Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą Lietuvoje“ ataskaita susipažinti galima čia: