2022-07-       Nr.
Į 2022-03-14 Nr.  S-2022-936-XIVP-1377

Lietuvos Respublikos Seimui

 

 

 

 

Dėl LIETUVOS RESPUBLIKOS Kriminalinės žvalgybos įstatymo Nr. XI‑2234 pakeitimo įstatymo projekto Nr. XIVP-1377 atitikties Europos Sąjungos teisei

 

 

Įvertinę Lietuvos Respublikos kriminalinės žvalgybos įstatymo Nr. XI‑2234 pakeitimo įstatymo projekto Nr. XIVP-1377 (toliau – Įstatymo projektas) atitiktį Europos Sąjungos teisei teikiame pastabų ir pasiūlymų.

Įstatymo projektas vertintinas atitikties 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvai (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR ir, atitinkamai, ją perkeliančiam Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymui (toliau – Teisėsaugos ADTAĮ) aspektu.

1.    Visų pirma pažymėtina, kad sistemiškai vertinant Įstatymo projektu keičiamo Lietuvos Respublikos kriminalinės žvalgybos įstatymo (toliau – keičiamas Įstatymas) nuostatas kyla neaiškumų dėl asmens duomenų subjektų teisių įgyvendinimui ir priežiūros institucijos vaidmeniui skirtų nuostatų. Keičiamame Įstatyme įtvirtinamas reguliavimas privalo atitikti ES teisę, o šio reikalavimo nesilaikymas gali sukelti teisines pasekmes Lietuvos Respublikai, t. y. Europos Komisija gali pradėti pažeidimo nagrinėjimo procedūrą. Vadovaujantis Teisėsaugos ADTAĮ 1 straipsnio 2 dalimi, šis įstatymas taikomas Lietuvos Respublikos kompetentingų institucijų atliekamam asmens duomenų tvarkymui, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, o kai Lietuvos Respublikos valstybės institucijos tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, šis įstatymas taikomas tiek, kiek kituose įstatymuose nenustatyta kitaip. Vadinasi, keičiamas Įstatymas turi atitikti Teisėsaugos ADTAĮ reikalavimus, įskaitant ir reikalavimus dėl duomenų subjektų teisių įgyvendinimo ir jų ribojimo, priežiūros institucijos, t. y. Valstybinės duomenų apsaugos inspekcijos, vykdomos šio įstatymo laikymosi priežiūros. Kitokios taisyklės nei nustatytos Teisėsaugos ADTAĮ keičiamame Įstatyme galėtų būti nustatytos tik tais atvejais, kai kriminalinė žvalgyba vykdoma nacionalinio saugumo srityje. Atsižvelgiant į tai, siūlytina iš esmės peržiūrėti keičiamo Įstatymo nuostatų, susijusių su duomenų subjektų teisių įgyvendinimu ir ribojimais, asmens duomenų tvarkymo priežiūra, atitiktį Teisėsaugos ADTAĮ III skyriaus, skirto duomenų subjektų teisėms, VIII skyriaus, skirto priežiūros institucijai, ir IX skyriaus, skirto Teisėsaugos ADTAĮ pažeidimų nagrinėjimui, nuostatoms.  

2.    Vadovaujantis Teisėsaugos ADTAĮ 7 straipsnio 1 dalimi, perkeliančia Direktyvos (ES) 2016/680 8 straipsnio 2 dalį, Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, turi būti nurodyti duomenų tvarkymo siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą. Siūlome papildyti keičiamą Įstatymą pagal šiuos reikalavimus.

3.    Direktyvos (ES) 2016/680 4 straipsnio 1 dalies b punkte ir, atitinkamai, Teisėsaugos ADTAĮ 3 straipsnio 1 dalies 2 punkte numatyta, kad asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu. Atsižvelgiant į tai, tikslintina keičiamo Įstatymo 20 straipsnio 1 dalis, sukonkretinant ir aiškiau apibrėžiant asmens duomenų tvarkymo tikslus.

4.    Keičiamo Įstatymo 20 straipsnio 1 dalyje nurodyti subjektai, kurie turi teisę tvarkyti asmens duomenis, šioje nuostatoje minint tik kriminalinės žvalgybos subjektus. Atsižvelgdami į keičiamo Įstatymo 2 straipsnyje vartojamas sąvokų apibrėžtis bei kitas keičiamo Įstatymo nuostatas, kuriose aptariami ir kitų institucijų (prokurorų, teismų), taip pat pačių kriminalinės žvalgybos pagrindinių institucijų veiksmai kriminalinėje žvalgyboje, siūlytume šioje nuostatoje nurodyti visus subjektus, kurie turi teisę tvarkyti asmens duomenis veikdami pagal šį įstatymą. 

5.    Keičiamo Įstatymo 20 straipsnyje siūlytina aptarti duomenų subjektų kategorijas (pvz., asmenys, kurie įtariami rengiantys, darantys ar padarę nusikaltimus, dingę asmenys, asmenys, kuriems turi būti taikoma apsauga nuo nusikalstamo poveikio ir pan.) ir pareigą duomenų subjektų asmens duomenis atskirti, kaip numatyta Direktyvos (ES) 2016/680 6 straipsnyje bei Teisėsaugos ADTAĮ 5 straipsnyje.

6.    Keičiamo Įstatymo 20 straipsnio 3 dalį siūlytina sukonkretinti, nurodant, kad neteikiama ne kriminalinės žvalgybos informacija, bet informacija apie tvarkomus asmens duomenis. Be to, atkreiptinas dėmesys, kad vadovaujantis Direktyvos (ES) 2016/680 16 straipsnio 4 dalimi ir Teisėsaugos ADTAĮ 14 straipsnio 5 dalimi, gali būti apribotas informacijos apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis pateikimas, bet ne pati duomenų subjekto teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą. Taip pat, vadovaujantis Direktyvos (ES) 2016/680 13 straipsnio 3 dalimi, 15 straipsnio 1 dalimi ir 16 straipsnio 4 dalimi bei, atitinkamai Teisėsaugos ADTAĮ 11 straipsnio 3 dalimi, 13 straipsnio 1 dalimi ir 14 straipsnio 5 dalimi, šioje nuostatoje siūlytina nurodyti, kad asmens duomenų subjektų teisės ribojamos tik tiek, kiek ir tol, kol tai, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga siekiant nurodytų tikslų.

7.     Atkreiptinas dėmesys, kad tikslai, kurių siekiant gali būti ribojamos duomenų subjektų teisės, yra įvardyti Direktyvos (ES) 2016/680 13 straipsnio 3 dalyje, 15 straipsnio 1 dalyje ir 16 straipsnio 4 dalyje bei, atitinkamai, Teisėsaugos ADTAĮ 11 straipsnio 3 dalyje, 13 straipsnio 1 dalyje ir 14 straipsnio 5 dalyje. Šiuo atveju neaiškus nurodytų nuostatų ir keičiamo Įstatymo 20 straipsnio 3 dalies 1-5 punktų santykis. Manytina, kad keičiamame Įstatyme, atsižvelgiant į paminėtas Direktyvos (ES) 2016/680 ir Teisėsaugos ADTAĮ nuostatas, turėtų būti aptarti atvejai, kuomet galima riboti duomenų subjektų teises, o ne tokiais ribojimais siekiami tikslai (pvz., jei kriminalinės žvalgybos tyrimas nebaigtas).

8.    Vadovaujantis Teisėsaugos ADTAĮ 30 straipsnio 5 dalimi, šio straipsnio 1 dalyje nurodytas pranešimas, t. y. pranešimas apie asmens duomenų saugumo pažeidimą, duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis šio įstatymo 11 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų. Tuo atveju, jei tai aktualu ir keičiamo Įstatymo kontekste, siūlome tai aptarti keičiamo Įstatymo 20 straipsnyje.

9.    Atsižvelgiant į tai, kad Teisėsaugos ADTAĮ įtvirtinti tam tikri reikalavimai, taikomi tais atvejais, kai ribojamos duomenų subjektų teisės (duomenų valdytojo pareiga kiekvieną prašymą įvertinti individualiai, duomenų subjekto teisė teikti skundus Valstybinei duomenų apsaugos inspekcijai, duomenų subjekto galimybė savo teises įgyvendinti per Valstybinę duomenų apsaugos inspekciją), keičiamo Įstatymo 20 straipsnio 4 dalyje siūlytina nurodyti, kad asmuo turi būti informuojamas ne tik šio įstatymo, bet ir Teisėsaugos ADTAĮ nustatyta tvarka. Taip pat keičiamo Įstatymo 20 straipsnio 4 dalį siūlome suderinti su Teisėsaugos ADTAĮ 13 straipsnio 2 dalimi.

10.    Direktyvos (ES) 2016/680 12 straipsnio 4 dalyje bei Teisėsaugos ADTAĮ 10 straipsnio 4 dalyje numatyta, kad duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į administracines išlaidas, už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą, arba atsisakyti imtis veiksmų pagal prašymą, jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas tenka duomenų valdytojui. Direktyvos (ES) 2016/680 preambulės 40 dalyje taip pat įvardytas kitas galimo duomenų subjekto piktnaudžiavimo pavyzdys – kai duomenų subjektas, pateikdamas prašymą, nurodo neteisingą ar klaidinančią informaciją. Atsižvelgiant į tai, kas išdėstyta, manytina, kad keičiamo Įstatymo 20 straipsnio 5 dalyje pateiktas per platus ir todėl Direktyvai (ES) 2016/680 prieštaraujantis atvejų, kai gali būti vertinama, jog asmuo savo prašymu piktnaudžiauja, sąrašas.

11.    Atsižvelgiant į Direktyvos (ES) 2016/680 13 straipsnio 2 ir 3 dalis bei Teisėsaugos ADTAĮ 11 straipsnio 2 ir 3 dalis, keičiamo Įstatymo 20 straipsnio 7 dalyje siūlytina nurodyti ir pareigą informuoti duomenų subjektą apie asmens duomenų tvarkymą.

12.    Keičiamo Įstatymo 20 straipsnio 8 dalį siūlytina papildyti nuoroda į Teisėsaugos ADTAĮ 44 straipsnio 1 dalį dėl galimybės skųsti kriminalinės žvalgybos pagrindinių institucijų veiksmus ar neveikimą Valstybinei duomenų apsaugos inspekcijai.

13.    Siekiant tinkamai įgyvendinti duomenų valdytojo atskaitomybės principą, įtvirtintą Teisėsaugos ADTAĮ 3 straipsnio 4 dalyje, taip pat šio įstatymo III skyriaus reikalavimus, siūlome apsvarstyti galimybę keičiamame Įstatyme sureguliuoti klausimus, susijusius, pvz., su duomenų valdytojo pareiga kiekvienu konkrečiu atveju įvertinti, ar duomenų subjektų teisės turi būti visiškai arba iš dalies apribotos; duomenų apsaugos pareigūno įtraukimu ir vaidmenimi priimant sprendimą dėl teisių apribojimo; pareiga fiksuoti raštu apribojimo priežastis, įskaitant apribojimo būtinumo, proporcingumo ir trukmės įvertinimą, teisinį pagrindą, riziką duomenų subjektų teisėms ir laisvėms, visus duomenų apsaugos pareigūno pateiktus vertinimus ir nuomones dėl apribojimo pritaikymo konkrečiu atveju; taip pat pareiga prireikus šią informaciją pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu ar kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, šio subjekto prašymu; duomenų apsaugos pareigūno pareiga periodiškai stebėti, ar priežastys, dėl kurių taikomas apribojimas, neišnyko, o jeigu jos išnyko, inicijuoti taikomų apribojimų peržiūrą; duomenų valdytojo pareiga nedelsiant panaikinti apribojimus, kai tik išnyksta priežastys, dėl kurių taikyti apribojimai; duomenų valdytojo pareiga pateikti informaciją duomenų subjektui apie priežastis, dėl kurių buvo taikomas apribojimas, jeigu priežasčių taikyti apribojimą nebėra, ir informuoti duomenų subjektą apie teisę bet kuriuo metu pateikti skundą Valstybinei duomenų apsaugos inspekcijai, teismui arba kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

14.    Atsižvelgiant į keičiamo Įstatymo 19 straipsnio 5 dalį, pagal kurią kriminalinės žvalgybos  informacija generaliniam prokurorui ar jo įgaliotam prokurorui sutikus, kriminalinės žvalgybos pagrindinės institucijos vadovo sprendimu gali būti išslaptinama ir panaudota tiriant drausminius ir (ar) tarnybinius nusižengimus esant informacijai apie korupcinio pobūdžio nusikalstamos veikos požymių turinčią veiką bei turto tyrimui dėl civilinio turto konfiskavimo atlikti, esant informacijai apie organizuoto nusikalstamumo, korupcinio, savanaudiško pobūdžio nusikalstamos veikos požymių turinčią veiką, pažymėtina, kad turėtų būti sistemiškai sprendžiami duomenų apsaugos klausimai panaudojant išslaptintą informaciją kitais tikslais, nei jie buvo surinkti. Lietuvos Respublikos Konstitucinis Teismas yra pažymėjęs[1], kad „atsižvelgiant į minėtuose Europos Sąjungos teisės aktuose [Direktyvoje (ES) 2016/680 ir Reglamente (ES) 2016/679] išdėstytus reikalavimus asmens duomenų inter alia rinkimui, naudojimui, tvarkymui, saugojimui, pažymėtina, kad įgaliotos valstybės institucijos, inter alia kriminalinės žvalgybos subjektai, tiek renkant kriminalinės žvalgybos informaciją KŽĮ nustatytais atvejais ir tvarka, tiek panaudojant šią informaciją pagal inter alia ginčijamą KŽĮ 19 straipsnio 3 dalį, tiek atitinkamos valstybės institucijos, kurioms buvo perduota ši informacija, be kita ko, korupcinio pobūdžio tarnybinių nusižengimų tyrimo tikslais, privalo imtis visų įmanomų priemonių, kad būtų užtikrinti minėtuose Europos Sąjungos teisės aktuose ir (ar) juos įgyvendinančiuose Lietuvos Respublikos teisės aktuose nustatyti žmogaus teisių asmens duomenų apsaugos srityje standartai.“ Siekiant aiškesnio ir nuoseklesnio asmens duomenų subjektų teises reglamentuojančio reguliavimo, peržiūrėtinos susijusių teisės aktų (inter alia, Lietuvos Respublikos valstybės tarnybos įstatymo) nuostatos dėl duomenų subjektų teisių įgyvendinimo.  

15.    Keičiamo Įstatymo 20 straipsnio 2 dalis ir atitinkamai kitos nuostatos koreguotinos nurodant įstatymo, reglamentuojančio asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinę apsaugą, pavadinimą, t. y. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymą.

16.    Atsižvelgiant į tai, kad Direktyvos (ES) 2016/680 nuostatos į Lietuvos Respublikos teisę perkeltos Teisėsaugos ADTAĮ, o specialieji įstatymai derinami su Teisėsaugos ADTAĮ, kaip numatyta Teisėsaugos ADTAĮ 11 straipsnio 3 dalyje, 13 straipsnio 1 dalyje bei 14 straipsnio 5 dalyje, bei į tai, kad projektu būtų detalizuojamos Teisėsaugos ADTAĮ nuostatos, siūlytume atsisakyti keičiamo Įstatymo 1 straipsnio 2 dalies ir keičiamo Įstatymo priedo, kuriame pateikta nuoroda į Direktyvą (ES) 2016/680.

17.    Vadovaujantis Teisėsaugos ADTAĮ 40 straipsnio 1 dalies 3 bei 4 punktais, kuriuose numatyta, kad Valstybinė duomenų apsaugos inspekcija teikia Lietuvos Respublikos Seimui pasiūlymus dėl teisėkūros ir administracinių priemonių, susijusių su žmogaus teisių ir laisvių apsauga tvarkant asmens duomenis pagal šį įstatymą, bei išvadas dėl įstatymų projektų, susijusių su duomenų tvarkymu, taip pat 26 straipsnio 5 dalimi, pagal kurią rengiant įstatymų ir kitų teisės aktų projektus, susijusius su asmens duomenų tvarkymu šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, šie projektai turi būti teikiami Valstybinei duomenų apsaugos inspekcijai, kad ji pateiktų savo išvadas, projektas derintinas su Valstybine duomenų apsaugos inspekcija.

 

 

Teisingumo viceministrė                                                                                             Jurga Greičienė

 

 

 

 

 

 

 

 

 

 

 

Viktorija Vasiliauskienė, (8 614) 31 340 el. p. [email protected]

Indrė Skersytė, (8 671) 86 457, el. p. [email protected]