LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ, TVARKOMŲ NUSIKALSTAMŲ VEIKŲ PREVENCIJOS, TYRIMO, ATSKLEIDIMO AR BAUDŽIAMOJO PERSEKIOJIMO UŽ JAS, BAUSMIŲ VYKDYMO ARBA NACIONALINIO SAUGUMO AR GYNYBOS TIKSLAIS, TEISINĖS APSAUGOS ĮSTATYMO NR. XI-1336 1, 2, 7, 8, 26, 29, 34, 36, 37, 38 IR 39 STRAIPSNIŲ PAKEITIMO IR ĮSTATYMO PAPILDYMO
341 STRAIPSNIU ĮSTATYMO PROJEKTO
aiškinamasis raštas
1. Įstatymo projekto rengimą paskatinusios priežastys, parengto projekto tikslai ir uždaviniai
Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo Nr. XI-1336 1, 2, 7, 8, 26, 29, 34, 36, 37, 38 ir 39 straipsnių pakeitimo ir Įstatymo papildymo 341 straipsniu įstatymo projekto (toliau – Įstatymo projektas) rengimą paskatino keletas priežasčių:
1. Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas (toliau – Įstatymas) priimtas įgyvendinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvą (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (toliau – Direktyva (ES) 2016/680). Pažymėtina, kad Direktyva (ES) 2016/80 nereguliuoja asmens duomenų tvarkymo nacionalinio saugumo ar gynybos (toliau – NSG) tikslais, tačiau Įstatyme asmens duomenų tvarkymas šiais tikslais yra numatytas, bet nėra pakankamai atsižvelgta į nacionalinio saugumo srities išskirtinumą ir specifiką.
Būtina patobulinti teisinį reguliavimą dėl atvejų, kai tvarkomus NSG tikslais asmens duomenis būtina perduoti į trečiąsias valstybes ar tarptautinėms organizacijoms (ypač kai kalbama apie Šiaurės Atlanto sutarties organizacijos (NATO) partnerius, kurie nėra Europos Sąjungos (toliau – ES) ar Europos ekonominės erdvės valstybės) ir, vadovaujantis Įstatymu, juos perduodant užtikrinti, kad nesumažėtų pagal Įstatymą fiziniams asmenims užtikrinamos asmens duomenų apsaugos lygis, laikantis Įstatymo VII skyriaus „Asmens duomenų perdavimai į trečiąsias valstybes arba tarptautinėms organizacijoms“ reikalavimų ir nuoseklumo.
2. Tvarkant asmens duomenis NSG tikslais ir juos perduodant į trečiąsias valstybes ar tarptautinėms organizacijoms, iškyla poreikis kaip teisiniu pagrindu vadovautis ne tik Lietuvos Respublikos ir ES teisės aktais, bet ir tarptautiniais įsipareigojimais (įskaitant tarptautines sutartis bei susitarimus).
3. Įstatymo projekto rengimą taip pat paskatino poreikis patikslinti kompetentingos institucijos sąvoką ir šiais tikslais asmens duomenis galinčios tvarkyti institucijos apibrėžimą, kad ji būtų aiškiai nurodyta ne tik kaip valstybės institucija, bet ir kaip kita valstybės, savivaldybės institucija ar įstaiga, kuri tvarko asmens duomenis NSG tikslais, taip pat kitas subjektas, kuriam Lietuvos Respublikos teisės aktais pavesta atlikti funkcijas, susijusias su asmens duomenų tvarkymu NSG tikslais.
4. Nors asmens duomenų tvarkymo reikalavimai nacionalinio saugumo srityje nėra reguliuojami 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas 2016/679) ar Direktyvos (ES) 2016/680, vis dėlto tam tikrus reikalavimus konkrečiu atveju nustato Europos Tarybos 2018 m. spalio 10 d. priimtas Protokolas, kuriuo iš dalies keičiama Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Protokolas), kurį Lietuvos Respublikos Seimas ratifikavo 2019 m. lapkričio 7 d. įstatymu „Dėl Protokolo, kuriuo iš dalies keičiama Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu, ratifikavimo“ (šiuo įstatymu Lietuvos Respublikos Seimas pareiškė, kad Lietuvos Respublika laikinai taikys Protokolą iki jo įsigaliojimo). Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Konvencija) 14 straipsnio 2–4 dalys nustato reikalavimus asmens duomenų perdavimui į trečiąsias valstybes, kurios nėra Konvencijos šalys.
Dėl išimtinės valstybių narių kompetencijos NSG srityje
Įvertinus ES pirminės teisės nuostatas, įtvirtinančias išimtinę valstybių narių kompetenciją NSG srityje, atkreiptas dėmesys, kad:
Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 4 straipsnio 2 dalis nustato: „Sąjunga gerbia valstybių narių lygybę prieš Sutartis bei nacionalinį jų savitumą, neatsiejamą nuo pagrindinių politinių bei konstitucinių jų struktūrų, įskaitant regioninę ir vietos savivaldą. Ji gerbia esmines valstybines jų funkcijas, įskaitant valstybės teritorinio vientisumo, viešosios tvarkos bei nacionalinio saugumo užtikrinimą. Kiekviena valstybė narė išimtinai išlieka atsakinga visų pirma už savo nacionalinį saugumą.“
Ši pirminė ES teisės nuostata yra pagrindas, kuriuo remiantis Reglamento 2016/679 2 straipsnio 2 dalies a punktu buvo įtvirtinta Reglamento 2016/679 taikymo išimtis „asmens duomenų tvarkymui, kai: a) duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma“. Taip pat Reglamento 2016/679 2 straipsnio 2 dalies b punktu įtvirtinta kita glaudžiai susijusi taikymo išimtis, kai „duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius“ (konkrečios nuostatos dėl bendros užsienio ir saugumo politikos). Atsižvelgiant į tai, bendrai ES valstybėms narėms sprendžiant NSG klausimus, pagal Reglamentą 2016/679 taikytini asmens duomenų apsaugos reikalavimai netaikomi.
Direktyvos (ES) 2016/680 2 straipsnio 3 dalies a punkte taip pat nustatyta taikymo išimtis („Ši direktyva netaikoma asmens duomenų tvarkymui, kai: a) duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma <...>“), kuri yra analogiška Reglamento 2016/679 2 straipsnio 2 dalies a punktui (t. y. Direktyva (ES) 2016/680 neapima NSG srities).
Minėtos SESV, Reglamento 2016/679 ir Direktyvos (ES) 2016/680 nuostatos įtvirtina išskirtinę NSG srities svarbą. Tačiau Įstatymas, kuris buvo priimtas įgyvendinant Direktyvą (ES) 2016/680, sureguliavo asmens duomenų tvarkymą NSG tikslais iš esmės analogiškai asmens duomenų tvarkymui nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais. Nacionaliniu įstatymu (Įstatymu) Direktyvos (ES) 2016/680 nuostatų taikymo sritis išplėsta, neatsižvelgiant ar nepakankamai atsižvelgiant į NSG srities specifiką.
Dėl bendrųjų asmens duomenų perdavimo principų, numatytų Įstatymo 34 straipsnyje
Įstatymo pakeitimą paskatino sudėtingas asmens duomenų, tvarkomų NSG tikslais, perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms reglamentavimas.
Įstatymo VII skyriaus „Asmens duomenų perdavimai į trečiąsias valstybes arba tarptautinėms organizacijoms“ 34 straipsnyje nustatyti bendrieji asmens duomenų perdavimo principai.
Įstatymo 34 straipsnio 1 dalies 2 punktas numato, kad asmens duomenys perduodami duomenų valdytojui trečiojoje valstybėje arba tarptautinei organizacijai, kuri yra kompetentinga institucija NSG tikslais, tačiau pagal kompetentingos institucijos apibrėžtį, kai asmens duomenys tvarkomi NSG tikslais, duomenų valdytojas trečiojoje valstybėje arba tarptautinė organizacija nepatenka į kompetentingos institucijos sąvoką. Įstatymo 34 straipsnis nustato ir kitas sąlygas, kurios nuosekliai turėtų būti įvykdytos, siekiant perduoti duomenis trečiajai valstybei ar tarptautinei organizacijai, šio straipsnio 3 dalyje nustačius, kad „šio skirsnio nuostatos taikomos siekiant užtikrinti, kad nesumažėtų pagal šį įstatymą fiziniams asmenims užtikrinamos asmens duomenų apsaugos lygis“.
Vienas iš Įstatymo 34 straipsnio 1 dalyje numatytų bendrųjų asmens duomenų perdavimo principų yra išdėstytas šios dalies 4 punkte: „Europos Komisija yra priėmusi sprendimą dėl tinkamumo arba, kai toks sprendimas nepriimtas, buvo nustatytos arba egzistuoja tinkamos asmens duomenų apsaugos priemonės pagal šio įstatymo 36 straipsnį, o kai nėra Europos Komisijos sprendimo dėl tinkamumo ar tinkamų asmens duomenų apsaugos priemonių pagal šio įstatymo 36 straipsnį, yra taikomos nukrypti leidžiančios nuostatos konkrečiais atvejais pagal šio įstatymo 37 straipsnį <...>“. Vertinant minėtame punkte nurodytas sąlygas, būtina pažymėti:
1. Europos Komisija yra priėmusi sprendimus dėl tinkamumo tik 14 valstybių atžvilgiu. Dalis šių sprendimų yra taikytini Reglamento 2016/679 taikymo srityje ir dalis – Direktyvos (ES) 2016/680 taikymo srityje. Taigi sprendimų dėl tinkamumo pagrindas iš esmės nėra tinkamas bendradarbiavimui su Jungtinėmis Amerikos Valstijomis (JAV) užtikrinti (sprendimas dėl tinkamumo JAV atžvilgiu pripažintas negaliojančiu), taip pat ir kitomis užsienio valstybėmis, su kuriomis Lietuva turi bendrų interesų NSG požiūriu (mažas tokių sprendimų skaičius).
2. Kai nepriimtas Europos Komisijos sprendimas dėl tinkamumo arba nenustatytos tinkamos asmens duomenų apsaugos priemonės pagal Įstatymo 36 straipsnį, konkrečiais atvejais galima taikyti Įstatymo 37 straipsnyje nustatytas nukrypti leidžiančias nuostatas, tačiau susiduriama su sudėtingai pritaikomu reguliavimu konkrečiu duomenų perdavimo atveju: a) taikant Įstatymo 37 straipsnio 1 dalies 4 punktą kartu su Įstatymo 34 straipsnyje nurodytais bendraisiais asmens duomenų perdavimo principais, susiduriama su jau minėta kompetentingos institucijos problema, kai asmens duomenys tvarkomi NSG tikslais ir pagal kompetentingos institucijos apibrėžtį duomenų valdytojas trečiojoje valstybėje arba tarptautinė organizacija nepatenka į kompetentingos institucijos sąvoką (34 straipsnio 1 dalies 2 punktas); b) duomenų negalima perduoti Įstatymo 1 straipsnio 2 dalyje nurodytais tikslais (įskaitant ir NSG tikslus), jei duomenų subjekto pagrindinės teisės ir laisvės viršesnės už viešąjį interesą (Įstatymo 37 straipsnio 2 dalis); c) tokio pobūdžio duomenų perdavimus taip pat riboja bendrųjų duomenų perdavimo principų nuostata, numatanti, kad to „skirsnio nuostatos taikomos siekiant užtikrinti, kad nesumažėtų pagal šį įstatymą fiziniams asmenims užtikrinamos asmens duomenų apsaugos lygis“ (34 straipsnio 3 dalis).
Sudėtingas yra ir Įstatymo 38 straipsnyje numatytas asmens duomenų perdavimo trečiosiose valstybėse įsteigtiems duomenų gavėjams reglamentavimas.
Pažymėtina, kad tinkamų asmens duomenų apsaugos priemonių nustatymas, kad nesumažėtų pagal Įstatymą fiziniams asmenims užtikrinamos asmens duomenų apsaugos lygis, daugeliu atvejų praktiškai yra neįmanomas arba sudėtingai įgyvendinamas dėl toliau nurodytų priežasčių.
Tarptautinis bendradarbiavimas NSG srityje apima bendradarbiavimą ne tik su ES valstybėmis, tačiau ir su NATO valstybėmis narėmis ir kitomis valstybėmis, dalyvaujančiomis NATO Partnerystės taikos labui programoje, taip pat su šiems formatams nepriklausančiomis valstybėmis (pavyzdžiui, Afrikos ar Azijos valstybėmis, kuriose vykdomos tarptautinės operacijos, per kurias vykstama į tarptautines operacijas tranzitu), kuriose asmens duomenų apsaugos nacionaliniai mechanizmai yra įvairaus lygmens (daugeliu atvejų žemesnio lygmens nei ES asmens duomenų apsaugos standartai) arba iš viso neegzistuoja, taigi jų jurisdikcijoje veiksminga duomenų subjektų teisių teisminė gynyba, kaip to reikalauja aukšti ES standartai, ne visais atvejais gali būti visavertiškai užtikrinama. Be to, tarptautinis bendradarbiavimas NSG srityje vyksta įvairių daugiašalių susitarimų pagrindu (Šiaurės Atlanto sutarties šalių susitarimas dėl jų karinių pajėgų statuso (NATO SOFA), NATO valstybių ir Partnerystės taikos labui programoje dalyvaujančių kitų valstybių susitarimo dėl jų karinių pajėgų statuso (NATO PfP SOFA), Protokolo dėl tarptautinių karinių vadaviečių, įsteigtų įgyvendinant Šiaurės Atlanto sutartį, statuso, kt.), kuriuose dalyvauja įvairios asmens duomenų apsaugos lygio požiūriu valstybės, o galimybė Lietuvai vienašališkai daryti įtaką šių susitarimų turiniui asmens duomenų apsaugos požiūriu daugiašaliu formatu yra praktiškai neįmanoma.
Tarptautinis bendradarbiavimas NSG srityje taip pat apima bendradarbiavimą su tarptautinėmis universaliomis ir regioninėmis organizacijomis (pvz., Jungtinių Tautų Organizacija (JTO), Europos saugumo ir bendradarbiavimo organizacija (ESBO), kt.), kurių asmens duomenų apsaugos politika ne visais atvejais atitinka aukštus ES asmens duomenų apsaugos standartus, nes ši politika formuojama dalyvaujant šių organizacijų valstybėms narėms, kurios yra įvairios asmens duomenų apsaugos lygio požiūriu. Be to, praktinės galimybės duomenų subjektams įgyvendinti veiksmingą teisinę gynybą dėl asmens duomenų tvarkymo šių tarptautinių organizacijų atžvilgiu yra iš esmės ribotos dėl jų tarptautinio teisinio subjektiškumo ir taikomo imuniteto.
Daugelis susitarimų NSG srityje ginčus dėl jų vykdymo numato spręsti tarpusavio konsultacijomis, atsisakant ginčų perdavimo teisminėms institucijoms ar kitoms trečiosioms šalims, dėl NSG srities ypatingos svarbos ir jautrumo. Taigi duomenų subjektų teisių veiksmingos teisminės gynybos įgyvendinimas nėra visiškai suderinamas su minėta visuotinai priimta praktika.
Dalis asmens duomenų, kurie turėtų būti perduodami pagal NSG srities susitarimus (dvišales tarptautines sutartis dėl įslaptintos informacijos abipusės apsaugos ar kitus susitarimus), patenka į įslaptintos informacijos apsaugos reguliavimo sritį, todėl jų tvarkymui gali būti taikomi specifiniai reikalavimai, atitinkantys NSG tikslus.
Tikslingumą sudaryti ir išlaikyti sudarytus susitarimus NSG srityje nulemia Lietuvos Respublikos strateginiai NSG tikslai, Lietuvos Respublikos tarptautiniai įsipareigojimai dėl taikos ir saugumo pagal Jungtinių Tautų Chartiją, Lietuvos Respublikos tarptautiniai įsipareigojimai NATO šalims partnerėms dėl bendros gynybos ir pasirengimo gynybai, Seimo ar atitinkamai kitų institucijų sprendimai dėl karinių pajėgų siuntimo ar priėmimo pagal Lietuvos Respublikos tarptautinių operacijų, pratybų ir kitų karinio bendradarbiavimo renginių įstatymą. Šie veiksniai Lietuvos valstybei yra ypatingos svarbos.
Galiausiai tinkamų asmens duomenų apsaugos priemonių nustatymas reikalauja administracinių, techninių, finansinių, teisinių ir laiko resursų ne tik iš Lietuvos Respublikos, tačiau ir iš tarptautinio bendradarbiavimo partnerių. Tinkamų asmens duomenų apsaugos priemonių nustatymo procesas apimtų išsamų užsienio valstybės ar tarptautinės organizacijos teisinio reguliavimo asmens duomenų apsaugos požiūriu, reguliavimo taikymo praktikos, teisminės praktikos vertinimą, taip pat reguliarų asmens duomenų apsaugos priemonių efektyvumo tikrinimą, iš esmės taikant Reglamente 2016/679 nustatytus asmens duomenų apsaugos standartus ir neatsižvelgiant į NSG srities specifiką. Tai gali neigiamai paveikti tarptautinį bendradarbiavimą NSG srityje.
Atsižvelgiant į ES teisės taikymo sritį ir išimtinę ES valstybių narių kompetenciją NSG srityje, taip pat galimą asmens duomenų apsaugos reikalavimų taikymo Įstatymo nustatyta apimtimi neigiamą poveikį NSG, yra parengtas ir teikiamas Įstatymo pakeitimas.
Dėl kompetentingos institucijos sąvokos
Dėl poreikio tikslinti kompetentingos institucijos sąvoką pažymėtina, kad būtinybė NSG tikslais tvarkyti asmens duomenis ir kitiems subjektams nei valstybės institucijos matyti iš Lietuvos Respublikos mobilizacijos ir priimančiosios šalies paramos įstatymo ir jį įgyvendinančių teisės aktų nuostatų. Pvz., civilinė mobilizacijos institucija pagal Mobilizacijos ir priimančiosios šalies paramos įstatyme pateiktą sąvoką yra ne tik valstybės institucija, bet ir valstybės įstaiga, savivaldybės institucija ar įstaiga. Civilinei mobilizacijos institucijai pavaldus subjektas pagal tame pačiame įstatyme pateiktą sąvoką yra „viešasis ar privatusis juridinis asmuo, kuriame civilinė mobilizacijos institucija įgyvendina valstybės ar savivaldybės, kaip juridinio asmens savininkės, teises ir pareigas arba valstybės ar savivaldybės, kaip juridinio asmens dalyvės, turinčios daugiau kaip pusę šio juridinio asmens dalyvių balsavimo teisių, teises ir pareigas“, o mobilizacinis ūkio subjektas – „ūkio subjektas, su kuriuo sudaryta mobilizacinio užsakymo ir (ar) priimančiosios šalies paramos teikimo sutartis, išskyrus civilinei mobilizacijos institucijai pavaldų subjektą“. Civilinio mobilizacinio personalo rezervo sudarymo ir apskaitos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2022 m. sausio 5 d. nutarimu Nr. 23 „Dėl Lietuvos Respublikos mobilizacijos ir priimančiosios šalies paramos įstatymo įgyvendinimo“, 22 punktas numato: „Civilinė mobilizacijos institucija, civilinei mobilizacijos institucijai pavaldus subjektas, mobilizacinis ūkio subjektas tvarko asmens, įrašyto į Personalo rezervą, duomenis, nurodytus Mobilizacijos ir priimančiosios šalies paramos įstatymo 14 straipsnio 8 dalyje, pasirengimo mobilizacijai ir mobilizacijos vykdymo tikslais, siekdami užtikrinti nacionalinį saugumą ir gynybą, vadovaudamiesi Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu.“ Atsižvelgiant į nurodytą reglamentavimą, akivaizdu, kad kompetentinga institucija negali būti siejama tik su valstybės institucija. Be to, Mobilizacijos ir priimančiosios šalies paramos įstatymo 12 straipsnio 1 dalies 2 punkte yra numatyta, kad „jeigu mobilizacinio užsakymo ir (ar) priimančiosios šalies paramos teikimo sutartyje yra nustatyti mobilizacijos metu vykdytini įsipareigojimai, šių įsipareigojimų vykdymui užtikrinti Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka sudaro mobilizacinio ūkio subjekto civilinio mobilizacinio personalo rezervo sąrašą ir tvarko jo apskaitą“. Svarbu pabrėžti ir tai, kad pagal Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo 18 straipsnio 11 dalį NSG tikslais asmens duomenis tvarko ir paslapčių subjektai, minėtame įstatyme reglamentuota paslapčių subjekto sąvoka taip pat suponuoja poreikį praplėsti kompetentingos institucijos sąvoką Įstatymo 2 straipsnio 10 dalyje.
Įstatymo projekto tikslas – patobulinti teisinį reguliavimą, kai asmens duomenys tvarkomi NSG tikslais.
Įstatymo projekto uždaviniai:
2) papildyti Įstatymo nuostatas dėl atvejų, kai asmens duomenys tvarkomi NSG tikslais, numatant papildomus teisinius asmens duomenų tvarkymo pagrindus – tarptautinius įsipareigojimus (kurie apima ir tarptautines sutartis bei susitarimus) (Įstatymo 7 straipsnio 1 dalies ir 8 straipsnio pakeitimai);
3) patobulinti reglamentavimą dėl atvejų, kai asmens duomenys tvarkomi NSG tikslais, ir numatyti galimybę, esant būtinybei, asmens duomenis perduodant į trečiąsias valstybes ar tarptautinėms organizacijoms, kaip teisiniu pagrindu vadovautis taip pat ir tarptautiniais įsipareigojimais (kurie apima ir tarptautines sutartis bei susitarimus) (Įstatymo papildymas 341 straipsniu);
4) dėl Įstatymo nuostatų taikymo aiškumo bei dėl kitų šiuo Įstatymo projektu numatytų esminių pakeitimų atlikti redakcinio pobūdžio patikslinimus Įstatymo straipsniuose (Įstatymo 1 straipsnio 2 dalies, 7 straipsnio 1 dalies, 8 straipsnio, 26 straipsnio 6 dalies, 29 straipsnio 7 dalies, 34 straipsnio 4 dalies, 36 straipsnio 4 dalies, 37 straipsnio 3 dalies, 38 straipsnio 4 dalies, 39 straipsnio 3 dalies pakeitimai).
2. Įstatymo projekto iniciatoriai ir rengėjai
Įstatymo projektą parengė Krašto apsaugos ministerijos Karo tarnybos ir personalo departamento (direktorius plk. Ramūnas Švažas, tel. (8 5) 273 5570, el. p. [email protected]) vyriausioji patarėja Rita Karalienė (tel.: (8 5) 263 5948, 8 659 21 842, el. p. [email protected]), Tarptautinių ryšių ir operacijų grupės (vadovas Algirdas Norkus, tel. (8 5) 273 5630, el. p. [email protected]) vyresnioji patarėja Dalia Vitkauskaitė-Meurice (tel. (8 5) 273 5557, el. p. [email protected]), Teisės departamento (direktorė Judita Nagienė, tel. (8 5) 273 5545, el. p. [email protected]) vyresnioji patarėja Svetlana Lapėnienė (tel. (8 5) 278 7045, el. p. [email protected]).
3. Kaip šiuo metu reguliuojami Įstatymo projekte aptarti teisiniai santykiai
3.1. Pagal galiojančias Įstatymo nuostatas, tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo, įskaitant apsaugos nuo grėsmių visuomenės saugumui užtikrinimą ir prevenciją, tikslais, kompetentinga institucija yra ne tik valstybės institucija, bet ir kita įstaiga arba subjektas, kuriems šiais tikslais pavesta atlikti viešosios valdžios funkcijas arba naudotis viešaisiais įgaliojimais. Tačiau 1 straipsnio 2 dalyje reglamentuojant asmens duomenų tvarkymą NSG tikslais, taip pat kompetentingos institucijos sąvokos apibrėžime (Įstatymo 1 straipsnio 2 dalis, 2 straipsnio 10 dalis) minima tik juos tvarkanti Lietuvos Respublikos valstybės institucija.
3.2. Įstatymo 7 straipsnio 1 dalis ir 8 straipsnis kaip teisinius asmens duomenų tvarkymo pagrindus (šie pagrindai išlieka ir Įstatymo projekte) numato tik Lietuvos Respublikos ir ES teisės aktus, specialių kategorijų asmens duomenų tvarkymo atveju taip pat numato teisę tvarkyti asmens duomenis, kai tai reikalinga duomenų subjekto ar kito fizinio asmens gyvybiniams interesams apsaugoti arba šis duomenų tvarkymas susijęs su asmens duomenimis, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs.
3.3. Įstatymo 34 straipsnis nustato, kad asmens duomenys gali būti perduodami trečiajai valstybei arba tarptautinei organizacijai, įskaitant tolesnius perdavimus, tik tuo atveju, kai šis perdavimas atitinka Įstatymo reikalavimus ir Įstatymo VII skirsnyje nustatytas sąlygas. Perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms atveju atitiktis Įstatymo reikalavimams taip pat reiškia ir duomenų tvarkymo teisėtumą, t. y. svarbu, ar tokio perdavimo teisinis pagrindas yra numatytas ES ir Lietuvos Respublikos teisės aktuose (Įstatymo 7 straipsnio 1 dalis).
4. Kokios siūlomos naujos teisinio reguliavimo nuostatos ir kokių teigiamų rezultatų laukiama
4.1. Tikslinama kompetentingos institucijos sąvoka, numatant, kad: „Kompetentinga institucija taip pat laikoma Lietuvos Respublikos valstybės, savivaldybės institucija ar įstaiga, kuri tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, taip pat kitas subjektas, kuriam Lietuvos Respublikos teisės aktais pavesta atlikti funkcijas, susijusias su asmens duomenų tvarkymu nacionalinio saugumo ar gynybos tikslais.“
4.2. Papildytos Įstatymo nuostatos dėl atvejų, kai asmens duomenys tvarkomi NSG tikslais, – papildomai prie jau galiojančių pagrindų – Lietuvos Respublikos ir ES teisės aktų – numatant teisinį asmens duomenų tvarkymo pagrindą tiems atvejams, kai kompetentingos institucijos tvarko asmens duomenis NSG tikslais, – tarptautinius įsipareigojimus.
4.3. Numatyta galimybė, esant būtinybei, asmens duomenis perduodant į trečiąsias valstybes ar tarptautinėms organizacijoms, be Lietuvos Respublikos ir ES teisės aktų, kaip teisiniu pagrindu vadovautis ir tarptautiniais įsipareigojimais (kurie apima ir tarptautines sutartis bei susitarimus).
4.4. Atsižvelgiant į Konvencijos 14 straipsnio 2–4 dalis, patobulintas reglamentavimas ir reikalavimai dėl atvejų, kai asmens duomenys tvarkomi ir perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms NSG tikslais. Įstatymas papildomas 341 straipsniu, jame numatant tinkamo duomenų apsaugos lygio užtikrinimo kriterijus, kai kompetentinga institucija asmens duomenis tvarko NSG tikslais ir juos perduoda į trečiąją valstybę ar tarptautinei organizacijai. Taip pat reglamentuojami duomenų perdavimo atvejai, kai tinkamas asmens duomenų apsaugos lygis nenustatytas: perduoti duomenis būtina dėl gyvybinių ar kitų teisėtų duomenų subjekto interesų (pvz., dėl duomenų subjekto interesų, susijusių su jo sveikata, šeima, mokymais ir pan.) arba asmens duomenis būtina perduoti dėl NSG interesų, ir toks asmens duomenų perdavimas demokratinėje visuomenėje yra būtinas ir proporcingas.
Atitinkamai patikslinamas ir 34 straipsnis, papildant jį 4 dalimi ir nustatant, kad VII skyriaus nuostatos, išskyrus 341 straipsnį, netaikomos, kai kompetentingos institucijos asmens duomenis tvarko NSG tikslais.
4.5. Atlikti reikalingi redakciniai patikslinimai kituose Įstatymo straipsniuose.
Priėmus Įstatymo pakeitimą, bus optimizuotas reguliavimas, kai asmens duomenys tvarkomi ir perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms NSG tikslais, o kompetentingos institucijos sąvoka bus suderinta su nacionalinio saugumo poreikiais.
Protokolą įgyvendinančių nuostatų, susijusių su tinkamu asmens duomenų apsaugos lygio kriterijų nustatymu, ir atvejų, kai tinkamas asmens duomenų apsaugos lygis nenustatytas, nurodymas Įstatyme suteiktų daugiau aiškumo ir iš dalies palengvintų duomenų, tvarkomų NSG tikslais, perdavimą į trečiąsias valstybes ar tarptautinėms organizacijoms, kai toks perdavimas yra būtinas.
5. Numatomo teisinio reguliavimo poveikio vertinimo rezultatai (jeigu rengiant įstatymo projektą toks vertinimas turi būti atliktas ir jo rezultatai nepateikiami atskiru dokumentu), galimos neigiamos priimto įstatymo pasekmės ir kokių priemonių reikėtų imtis, kad tokių pasekmių būtų išvengta
Galimų neigiamų pasekmių nenumatoma.
6. Kokią įtaką priimtas įstatymas turės kriminogeninei situacijai, korupcijai
Priimtas įstatymas neturės įtakos kriminogeninei situacijai ir korupcijai.
7. Kaip įstatymo įgyvendinimas atsilieps verslo sąlygoms ir jo plėtrai
Teikiamo Įstatymo projekto įgyvendinimas nenumato įtakos verslo sąlygoms ir jo plėtrai.
8. Ar įstatymo projektas neprieštarauja strateginio lygmens planavimo dokumentams
Įstatymo projektas neprieštarauja strateginio lygmens planavimo dokumentams.
9. Įstatymo inkorporavimas į teisinę sistemą, kokius teisės aktus būtina priimti, kokius galiojančius teisės aktus reikia pakeisti ar pripažinti netekusiais galios
Priėmus įstatymą, kitų įstatymų priimti ar keisti nereikės.
10. Ar įstatymo projektas parengtas laikantis Lietuvos Respublikos valstybinės kalbos, Teisėkūros pagrindų įstatymų reikalavimų, o įstatymo projekto sąvokos ir jas įvardijantys terminai įvertinti Terminų banko įstatymo ir jo įgyvendinamųjų teisės aktų nustatyta tvarka
Įstatymo projektas parengtas laikantis Lietuvos Respublikos valstybinės kalbos ir Lietuvos Respublikos teisėkūros pagrindų įstatymų reikalavimų. Įstatymo projektu keičiama kompetentingos institucijos sąvoka buvo derinta Lietuvos Respublikos terminų banko įstatymo ir jo įgyvendinamųjų teisės aktų nustatyta tvarka.
11. Ar įstatymo projektas atitinka Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatas ir ES dokumentus
Įstatymo projektas neprieštarauja Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos ir ES dokumentų nuostatoms.
12. Jeigu įstatymui įgyvendinti reikia įgyvendinamųjų teisės aktų, – kas ir kada juos turėtų priimti
Įstatymui įgyvendinti įgyvendinamųjų teisės aktų priimti nereikės.
13. Kiek valstybės, savivaldybių biudžetų ir kitų valstybės įsteigtų fondų lėšų prireiks įstatymui įgyvendinti, ar bus galima sutaupyti
Įstatymui įgyvendinti valstybės, savivaldybių biudžetų ir kitų valstybės įsteigtų fondų lėšų neprireiks.
14. Įstatymo projekto rengimo metu gauti specialistų vertinimai ir išvados
Įstatymo projekto rengimo metu specialistų vertinimų, rekomendacijų ir išvadų nebuvo gauta.
15. Reikšminiai žodžiai, kurių reikia šiam projektui įtraukti į kompiuterinę paieškos sistemą, įskaitant Europos žodyno „Eurovoc“ terminus, temas bei sritis
Nėra.