Projektas Nr. XIIIP-2273(2)
LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ, TVARKOMŲ VYKDANT POLICIJOS IR TEISMINĮ BENDRADARBIAVIMĄ BAUDŽIAMOSIOSE BYLOSE, TEISINĖS APSAUGOS ĮSTATYMO NR. XI-1336 PAKEITIMO
ĮSTATYMAS
2018 m. d. Nr.
Vilnius
1 straipsnis. Lietuvos Respublikos asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymo Nr. XI-1336 nauja redakcija
Pakeisti Lietuvos Respublikos asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymą Nr. XI-1336 ir jį išdėstyti taip:
1 straipsnis. Įstatymo paskirtis ir taikymas
1. Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti, kad Europos Sąjungos ir Lietuvos Respublikos teisės aktuose numatytas kompetentingų institucijų keitimasis asmens duomenimis Europos Sąjungoje nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.
2. Šis įstatymas taikomas Lietuvos Respublikos kompetentingų institucijų atliekamam asmens duomenų tvarkymui, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kai Lietuvos Respublikos valstybės institucijos tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, šis įstatymas taikomas tiek, kiek kituose įstatymuose nenustatyta kitaip.
3. Šis įstatymas reglamentuoja santykius, kurie atsiranda Lietuvos Respublikos kompetentingoms institucijoms tvarkant asmens duomenis visiškai arba iš dalies automatinėmis priemonėmis ir tvarkant asmens duomenis, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, neautomatinėmis priemonėmis, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.
4. Šiame įstatyme nustatytas asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, teisinės apsaugos reglamentavimas suderintas su šio įstatymo priede nurodytais Europos Sąjungos teisės aktais.
2 straipsnis. Pagrindinės šio įstatymo sąvokos
1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, pavyzdžiui, vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis, interneto identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
2. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
3. Biometriniai duomenys – po specialaus techninio apdorojimo gaunami asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima tiksliai nustatyti arba patvirtinti to fizinio asmens tapatybę, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys.
4. Duomenų gavėjas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valstybės institucijos, kurios pagal Europos Sąjungos valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjomis; tvarkydamos tuos duomenis šios valstybės institucijos laikosi duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.
5. Duomenų tvarkymas – bet kokia automatinėmis arba neautomatinėmis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
6. Duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje.
7. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
8. Duomenų valdytojas – kompetentinga institucija, kuri viena ar drauge su kitomis kompetentingomis institucijomis nustato asmens duomenų tvarkymo tikslus ir priemones. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, duomenų valdytojas arba konkretūs jo skyrimo kriterijai taip pat gali būti nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose.
9. Genetiniai duomenys – asmens duomenys, kurie yra susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie šio asmens fiziologiją ar sveikatą, ir kurie gaunami visų pirma analizuojant biologinį šio asmens mėginį.
10. Kompetentinga institucija – valstybės institucija, įgaliota vykdyti nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už nusikalstamas veikas arba bausmių vykdymą, įskaitant apsaugos nuo grėsmių visuomenės saugumui užtikrinimą ir jų prevenciją, arba bet kokia kita įstaiga arba subjektas, kuriems pagal Europos Sąjungos valstybės narės teisės aktus pavesta atlikti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už nusikalstamas veikas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kompetentinga institucija taip pat laikoma Lietuvos Respublikos valstybės institucija, kuri tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais.
11. Profiliavimas – bet kokios formos automatinis asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.
12. Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskiriami konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti.
13. Susistemintas rinkinys – bet kuris sistemingai sutvarkytas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu.
14. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
3 straipsnis. Asmens duomenų tvarkymo principai
1. Asmens duomenys turi būti:
2) renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir netvarkomi su šiais tikslais nesuderinamu būdu;
4) tikslūs ir prireikus atnaujinami. Turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi;
5) laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu tai yra būtina tais tikslais, kuriais jie tvarkomi;
2. Tam pačiam arba kitam duomenų valdytojui tvarkyti asmens duomenis kitais šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais negu tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu vadovaujantis Europos Sąjungos arba Lietuvos Respublikos teisės aktais duomenų valdytojui leidžiama tvarkyti tuos asmens duomenis tokiu tikslu ir duomenų tvarkymas tokiu tikslu yra būtinas ir proporcingas.
3. To paties ar kito duomenų valdytojo atliekamas asmens duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimą mokslinio, statistinio ar istorinio tyrimo tikslais siekiant šio įstatymo 1 straipsnio 2 dalyje nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.
4 straipsnis. Asmens duomenų saugojimo ir peržiūros terminai
Asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai nustatomi Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais. Šių terminų laikymasis užtikrinamas techninėmis ir organizacinėmis priemonėmis.
5 straipsnis. Skirtingų kategorijų duomenų subjektų atskyrimas
Duomenų valdytojas, kuris tvarko skirtingų kategorijų duomenų subjektų asmens duomenis, privalo, kiek įmanoma, aiškiai šiuos duomenis atskirti. Šis reikalavimas taikomas tvarkant šių kategorijų duomenų subjektų asmens duomenis:
1) asmenų, apie kuriuos turima informacijos, kad jie daro, padarė arba rengiasi padaryti nusikalstamą veiką;
4) kitų su nusikalstama veika susijusių asmenų (pavyzdžiui, asmenų, kurie galėtų būti kviečiami liudyti atliekant nusikalstamų veikų tyrimą arba vėliau baudžiamojo proceso metu, asmenų, kurie gali suteikti informacijos apie nusikalstamas veikas, arba asmenų, kurie yra susiję su vienu iš šio straipsnio 1 ir 2 punktuose nurodytų asmenų);
6 straipsnis. Asmens duomenų skirstymas ir asmens duomenų kokybės patikrinimas
1. Duomenų valdytojas, kiek įmanoma, faktais pagrįstus asmens duomenis turi atskirti nuo asmeniniais vertinimais pagrįstų asmens duomenų.
2. Kompetentingos institucijos privalo imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, patikrina asmens duomenų kokybę prieš juos persiųsdama arba prieš suteikdama galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę asmens duomenis gaunančiai kompetentingai institucijai įvertinti asmens duomenų tikslumą, išsamumą ir patikimumą, taip pat jų naujumą.
7 straipsnis. Asmens duomenų tvarkymo sąlygos
1. Duomenų tvarkymas yra teisėtas tik tuo atveju, kai jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai funkcijoms šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais atlikti, ir grindžiamas Europos Sąjungos arba Lietuvos Respublikos teisės aktais. Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, turi būti nurodyti duomenų tvarkymo siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą.
2. Kompetentingų institucijų šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais renkami asmens duomenys negali būti tvarkomi kitais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus. Jei asmens duomenys tvarkomi kitais tikslais, taikomas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
3. Kai kompetentingoms institucijoms pagal Lietuvos Respublikos teisės aktus yra pavesta atlikti kitas funkcijas, negu tos, kurios atliekamos šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, tvarkant asmens duomenis tokiais tikslais, įskaitant jų archyvavimą dėl viešojo intereso, naudojimą mokslinio ar istorinio tyrimo tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymas.
4. Tais atvejais, kai Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, taikomuose asmens duomenis persiunčiančiai kompetentingai institucijai, numatytos specialios asmens duomenų tvarkymo sąlygos, asmens duomenis persiunčianti kompetentinga institucija turi informuoti asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.
5. Asmens duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose Europos Sąjungos valstybėse narėse arba pagal Sutarties dėl Europos Sąjungos veikimo V antraštinės dalies 4 ir 5 skyrius įsteigtoms agentūroms, organams ir įstaigoms pagal šio straipsnio 4 dalį netaiko kitokių sąlygų negu tos, kurios taikomos panašiems asmens duomenų persiuntimams, kai jie atliekami Lietuvos Respublikoje.
8 straipsnis. Specialių kategorijų asmens duomenų tvarkymas
Duomenų tvarkymas, kuriuo atskleidžiama rasinė ar etninė kilmė, politinės pažiūros, religiniai, filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas, siekiant konkrečiai nustatyti fizinio asmens tapatybę, arba sveikatos duomenų ar duomenų apie lytinį gyvenimą ar seksualinę orientaciją tvarkymas leidžiamas tik tais atvejais, kai tai tikrai būtina ir taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir:
9 straipsnis. Automatinis individualių sprendimų priėmimas
1. Draudžiama remiantis tik automatiniu duomenų tvarkymu, įskaitant profiliavimą, priimti sprendimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris jam turi didelės įtakos, išskyrus atvejus, kai tai leidžiama pagal Europos Sąjungos ar Lietuvos Respublikos teisės aktus, kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, bent jau teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo.
2. Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami šio įstatymo 8 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti.
III SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS
10 straipsnis. Pranešimai ir duomenų subjektų naudojimosi savo teisėmis sąlygos
1. Duomenų valdytojas turi imtis visų pagrįstų priemonių, kad šio įstatymo 11 straipsnyje nurodyta informacija ir pranešimai pagal šio įstatymo 12, 13, 14, 15, 16 ir 30 straipsnius, susiję su asmens duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama elektroniniu būdu ir (ar) bet kokiomis kitomis tinkamomis priemonėmis. Duomenų valdytojas duomenų subjekto prašomą pateikti informaciją apie asmens duomenų tvarkymą pateikia tokia pačia forma, kokia buvo gautas prašymas.
2. Duomenų valdytojas sudaro palankias sąlygas naudotis šio įstatymo 12, 13, 14, 15 ir 16 straipsniuose nustatytomis duomenų subjekto teisėmis.
3. Duomenų valdytojas nedelsdamas, bet ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos, raštu pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal šio įstatymo 12, 13, 14 ir 15 straipsnius, arba atsisakymą imtis veiksmų pagal duomenų subjekto prašymą. Šis terminas prireikus gali būti pratęstas iki trijų mėnesių, atsižvelgiant į duomenų subjekto pateiktų prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos raštu praneša duomenų subjektui apie šioje dalyje nurodyto termino pratęsimą ir pratęsimo priežastis. Jei duomenų valdytojas atsisako imtis veiksmų pagal duomenų subjekto prašymą, jis praneša duomenų subjektui apie atsisakymo priežastis ir apie duomenų subjekto teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.
4. Duomenų valdytojas šio straipsnio 1 dalyje nurodytą informaciją ir pranešimus teikia ir kitus su duomenų subjektų teisių įgyvendinimu susijusius veiksmus atlieka nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:
5. Šio straipsnio 4 dalyje nurodytais atvejais pareiga įrodyti, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka duomenų valdytojui.
6. Atlyginimas, imamas vadovaujantis šio straipsnio 4 dalies 1 punktu, turi neviršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Atlyginimo dydį duomenų valdytojas nustato ir tvirtina atsižvelgdamas į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.
11 straipsnis. Duomenų subjektui prieinama informacija ir informacija, kuri turi būti pateikta duomenų subjektui
1. Duomenų valdytojas privalo duomenų subjektui padaryti prieinamą (paskelbti savo interneto svetainėje arba padaryti kitu būdu prieinamą) šią informaciją:
1) duomenų valdytojo pavadinimą, juridinio asmens kodą, buveinę ir kontaktinius duomenis (telefono ryšio numerį ir (ar) elektroninio pašto adresą);
2) duomenų apsaugos pareigūno, jei duomenų valdytojas privalo jį paskirti, kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą);
4) informaciją apie duomenų subjekto teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai ir jos adresą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, informaciją apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, ir šio subjekto adresą;
2. Tais atvejais, kai duomenų valdytojas ketina tvarkyti ar tvarko duomenų subjekto asmens duomenis, jis duomenų subjektui turi pateikti šią informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:
3) asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
4) duomenų gavėjų, jei jų yra, kategorijas, įskaitant duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;
3. Šio straipsnio 2 dalyje nurodytos informacijos teikimas duomenų subjektui gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nustatytais atvejais tiek, kiek ir tol, kol tai, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga siekiant:
2) nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už nusikalstamas veikas arba bausmių vykdymui;
12 straipsnis. Duomenų subjekto teisė susipažinti su asmens duomenimis
Duomenų subjektas turi teisę gauti duomenų valdytojo patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o kai šie duomenys tvarkomi, duomenų subjektas turi teisę susipažinti su asmens duomenimis ir šia informacija apie:
3) duomenų gavėjus arba duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, kategorijas, ypač apie duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;
4) numatomą asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
5) duomenų subjekto teisę reikalauti, kad duomenų valdytojas ištaisytų ar ištrintų duomenų subjekto asmens duomenis arba apribotų jų tvarkymą;
6) duomenų subjekto teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai ir jos adresą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, ir šio subjekto adresą;
13 straipsnis. Teisės susipažinti su asmens duomenimis apribojimai
1. Šio įstatymo 12 straipsnyje nustatyta duomenų subjekto teisė susipažinti su asmens duomenimis, gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nustatytais atvejais tiek, kiek ir tol, kol šis apribojimas, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:
2) nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už nusikalstamas veikas arba bausmių vykdymui;
2. Šio straipsnio 1 dalyje nurodytais atvejais duomenų valdytojas turi raštu pateikti duomenų subjektui informaciją apie bet kokį atsisakymą suteikti teisę susipažinti su asmens duomenimis arba šios teisės apribojimą ir šio atsisakymo ar apribojimo priežastis. Ši informacija gali būti nepateikta, jeigu jos pateikimas pakenktų šio straipsnio 1 dalyje nurodytam tikslui. Duomenų valdytojas turi pateikti duomenų subjektui informaciją apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.
3. Duomenų valdytojas turi kiekvienu konkrečiu atveju įvertinti, ar teisė susipažinti su asmens duomenimis turi būti visiškai arba iš dalies apribota, taip pat fiksuoti raštu, įskaitant elektroninę formą, faktines arba teisines priežastis, kuriomis pagrįstas sprendimas apriboti šią teisę, ir prireikus šią informaciją pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, šio subjekto prašymu.
14 straipsnis. Teisė reikalauti ištaisyti ar ištrinti asmens duomenis ir apriboti jų tvarkymą
1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgdamas į asmens duomenų tvarkymo tikslus, duomenų subjektas taip pat turi teisę reikalauti, kad būtų papildyti neišsamūs jo asmens duomenys.
2. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištrintų jo asmens duomenis, jeigu jų tvarkymas pažeidžia šio įstatymo 3 straipsnio, 7 straipsnio 1 dalies ir (ar) 8 straipsnio nuostatas arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui. Duomenų valdytojas privalo nedelsdamas ištrinti asmens duomenis, kai duomenų subjekto prašymas pagrįstas.
3. Duomenų valdytojas apriboja asmens duomenų tvarkymą jų neištrindamas, kai:
1) duomenų subjektas užginčija asmens duomenų tikslumą ir jų tikslumo ar netikslumo patvirtinti neįmanoma arba
4. Kai duomenų tvarkymas ribojamas pagal šio straipsnio 3 dalies 1 punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, apie tai praneša duomenų subjektui.
5. Duomenų valdytojas turi raštu pateikti duomenų subjektui informaciją apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie šio atsisakymo priežastis. Pareiga pateikti šią informaciją gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nurodytais atvejais tiek, kiek šis apribojimas, atsižvelgiant į šio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:
2) nepakenkti nusikalstamų veikų prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už nusikalstamas veikas arba bausmių vykdymui;
6. Duomenų valdytojas šio straipsnio 5 dalyje nurodytais atvejais turi pateikti duomenų subjektui informaciją apie jo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą, o kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, – apie teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.
7. Duomenų valdytojas nedelsdamas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.
8. Tais atvejais, kai pagal šio straipsnio 1, 2 ir 3 dalis asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas, duomenų valdytojas nedelsdamas turi apie tai pranešti duomenų gavėjams, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą.
15 straipsnis. Duomenų subjekto naudojimasis savo teisėmis ir Valstybinės duomenų apsaugos inspekcijos atliekamas patikrinimas
1. Šio įstatymo 11 straipsnio 3 dalyje, 13 straipsnio 2 dalyje ir 14 straipsnio 5 dalyje nurodytais atvejais duomenų subjekto teisės gali būti įgyvendintos per Valstybinę duomenų apsaugos inspekciją, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais. Duomenų subjektas turi kreiptis į Valstybinę duomenų apsaugos inspekciją jos nustatyta tvarka dėl savo teisių įgyvendinimo. Duomenų valdytojas turi suteikti duomenų subjektui informaciją apie šią galimybę.
2. Kai duomenų subjekto teisės įgyvendinamos šio straipsnio 1 dalyje nurodyta tvarka, Valstybinė duomenų apsaugos inspekcija praneša duomenų subjektui bent apie tai, kad ji atliko visus būtinus patikrinimus arba peržiūrą. Valstybinė duomenų apsaugos inspekcija taip pat praneša duomenų subjektui apie jo teisę kreiptis į teismą.
IV SKYRIUS
DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS
17 straipsnis. Duomenų valdytojo prievolės
1. Duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio įstatymo. Šios priemonės prireikus peržiūrimos ir atnaujinamos.
18 straipsnis. Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga
1. Duomenų valdytojas, atsižvelgdamas į technines galimybes, įgyvendinimo sąnaudas ir į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, tiek nustatydamas duomenų tvarkymo priemones, tiek duomenų tvarkymo metu įgyvendina tinkamas technines ir organizacines priemones (pseudonimų suteikimą ir (ar) kitas priemones), kuriomis siekiama veiksmingai įgyvendinti asmens duomenų apsaugos principus ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų apsaugotos duomenų subjektų teisės.
2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, saugojimo laikotarpiui ir prieinamumui. Visų pirma šioje dalyje nurodytomis priemonėmis užtikrinama, kad standartizuotai, be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
19 straipsnis. Bendri duomenų valdytojai
1. Du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslus ir priemones, yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriai nustato savo atsakomybę už šio įstatymo nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su pareigomis pateikti duomenų subjektui šio įstatymo 11 straipsnyje nurodytą informaciją, laikymąsi, išskyrus atvejus, kai duomenų valdytojų atsakomybė nustatoma Europos Sąjungos arba Lietuvos Respublikos teisės aktuose. Šioje dalyje nurodytame susitarime turi būti nustatyta, į kurį duomenų valdytoją duomenų subjektas turi kreiptis dėl savo teisių įgyvendinimo.
20 straipsnis. Duomenų tvarkytojas
1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio duomenų valdytojo leidimo atveju duomenų tvarkytojas praneša duomenų valdytojui apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.
3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas rašytinėje sutartyje ar Europos Sąjungos arba Lietuvos Respublikos teisės akte, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis, duomenų subjektų kategorijos ir duomenų valdytojo prievolės ir teisės. Šioje dalyje numatytuose sutartyje ar teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:
2) užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma įstatymuose nustatyta konfidencialumo prievolė;
3) visomis tinkamomis priemonėmis padeda duomenų valdytojui užtikrinti, kad būtų laikomasi nuostatų dėl duomenų subjekto teisių;
4) pagal duomenų valdytojo pasirinkimą, baigęs teikti su duomenų tvarkymu susijusias paslaugas, ištrina visus asmens duomenis arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Europos Sąjungos arba Lietuvos Respublikos teisės aktuose nustatytas reikalavimas asmens duomenis saugoti;
5) pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad laikomasi šio straipsnio nuostatų;
21 straipsnis. Duomenų valdytojui ar duomenų tvarkytojui pavaldžių subjektų atliekamas duomenų tvarkymas
22 straipsnis. Duomenų tvarkymo veiklos įrašai
1. Duomenų valdytojai tvarko visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, įrašus, kuriuose pateikiama ši informacija:
1) duomenų valdytojo, bendrų duomenų valdytojų, jei jie yra, ir duomenų apsaugos pareigūno, jei jį privaloma paskirti, pavadinimas ir (ar) vardas ir pavardė, kontaktiniai duomenys (adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas);
3) duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas;
6) asmens duomenų perdavimų trečiajai valstybei arba tarptautinei organizacijai, jei asmens duomenys perduodami, kategorijos;
7) informacija apie duomenų tvarkymo operacijos, įskaitant duomenų perdavimus, kuriai yra skirti asmens duomenys, teisinį pagrindą;
2. Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:
1) duomenų tvarkytojo ar duomenų tvarkytojų, kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, ir duomenų apsaugos pareigūno, jei jį privaloma paskirti, pavadinimas ir (ar) vardas ir pavardė, kontaktiniai duomenys (adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas);
3) asmens duomenų perdavimai trečiajai valstybei arba tarptautinei organizacijai, jeigu duomenų valdytojas aiškiai paveda tai padaryti, nurodant tą trečiąją valstybę arba tarptautinę organizaciją;
3. Šio straipsnio 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektroninės formos įrašus.
23 straipsnis. Registracijos įrašai
1. Duomenų valdytojas užtikrina, kad būtų saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas, atliktas automatinėse duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti šių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris atliko asmens duomenų užklausą arba asmens duomenis atskleidė, tapatybę ir šių asmens duomenų gavėjų tapatybę.
2. Registracijos įrašai naudojami tik duomenų tvarkymo teisėtumui patikrinti, savikontrolei, asmens duomenų vientisumui ir saugumui užtikrinti, taip pat baudžiamojo proceso tikslais.
24 straipsnis. Bendradarbiavimas su Valstybine duomenų apsaugos inspekcija
25 straipsnis. Poveikio duomenų apsaugai vertinimas
1. Kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir parengia poveikio duomenų apsaugai vertinimo ataskaitą.
2. Poveikio duomenų apsaugai vertinimo ataskaitoje pateikiamas bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos šio pavojaus pašalinimo priemonės, asmens duomenų apsaugos priemonės, asmens duomenų saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio įstatymo, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus, ir kita, duomenų valdytojo nuomone, svarbi informacija.
26 straipsnis. Išankstinės konsultacijos su Valstybine duomenų apsaugos inspekcija
1. Duomenų valdytojas arba duomenų tvarkytojas, prieš tvarkydamas asmens duomenis, kurie bus įtraukti į kuriamą naują susistemintą rinkinį, iš anksto konsultuojasi su Valstybine duomenų apsaugos inspekcija, jeigu:
1) poveikio duomenų apsaugai vertinimo ataskaitoje nurodyta, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jei duomenų valdytojas nesiimtų šio pavojaus mažinimo priemonių; arba
2. Valstybinė duomenų apsaugos inspekcija gali sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, dėl kurių turi būti su ja konsultuojamasi pagal šio straipsnio 1 dalį, sąrašą.
3. Duomenų valdytojas turi pateikti Valstybinei duomenų apsaugos inspekcijai poveikio duomenų apsaugai vertinimo ataskaitą, o Valstybinės duomenų inspekcijos prašymu ir kitą informaciją, kad Valstybinė duomenų apsaugos inspekcija galėtų įvertinti, ar duomenų tvarkymas atitinka šio įstatymo reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.
4. Valstybinė duomenų apsaugos inspekcija, nustačiusi, kad šio straipsnio 1 dalyje nurodytas duomenų tvarkymas šio įstatymo nuostatas pažeistų, visų pirma dėl to, kad duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, ne vėliau kaip per šešias savaites nuo prašymo suteikti konsultaciją gavimo dienos turi raštu pateikti duomenų valdytojui ir, jei reikia, duomenų tvarkytojui rekomendacijas ir gali pasinaudoti bet kuriomis šio įstatymo 41 straipsnyje nurodytomis teisėmis. Šis terminas gali būti pratęstas vieną mėnesį atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Valstybinė duomenų apsaugos inspekcija praneša duomenų valdytojui ir, jei reikia, duomenų tvarkytojui apie šioje dalyje nurodyto rekomendacijų pateikimo termino pratęsimą ir šio pratęsimo priežastis per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo dienos.
5. Rengiant įstatymų ir kitų teisės aktų projektus, susijusius su asmens duomenų tvarkymu šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, šie projektai turi būti teikiami Valstybinei duomenų apsaugos inspekcijai, kad ji pateiktų savo išvadas.
V SKYRIUS
ASMENS DUOMENŲ SAUGUMAS
28 straipsnis. Duomenų tvarkymo saugumas
1. Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į technines galimybes, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su šio įstatymo 8 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.
2. Automatinio duomenų tvarkymo srityje duomenų valdytojas arba duomenų tvarkytojas, atlikę rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:
1) nesuteikti neįgaliotiems asmenims prieigos prie duomenų tvarkymo įrangos, naudojamos asmens duomenims tvarkyti (prieigos prie įrangos kontrolė);
2) užkirsti kelią neteisėtam duomenų laikmenų skaitymui, kopijavimui, keitimui ar pašalinimui (asmens duomenų laikmenų kontrolė);
3) užkirsti kelią neteisėtam asmens duomenų įvedimui ir neteisėtam saugomų asmens duomenų tikrinimui, keitimui ar ištrynimui (asmens duomenų saugojimo kontrolė);
4) neleisti neįgaliotiems asmenims, kurie naudojasi asmens duomenų perdavimo įranga, naudotis automatinėmis duomenų tvarkymo sistemomis (naudotojo kontrolė);
5) užtikrinti, kad asmenys, įgalioti naudotis automatine duomenų tvarkymo sistema, turėtų prieigą tik prie tų asmens duomenų, kuriems taikomas jų prieigos leidimas (prieigos prie asmens duomenų kontrolė);
6) užtikrinti, kad būtų įmanoma patikrinti ir nustatyti įstaigas, kurioms asmens duomenys buvo persiųsti ar gali būti persiųsti arba kurioms buvo suteikta galimybė su jais susipažinti naudojant asmens duomenų perdavimo įrangą (perdavimo kontrolė);
7) užtikrinti galimybę vėliau patikrinti ir nustatyti, kokie asmens duomenys buvo įvesti į automatines duomenų tvarkymo sistemas, kada tai padaryta ir kas asmens duomenis įvedė (įvedimo kontrolė);
8) užkirsti kelią neteisėtam asmens duomenų skaitymui, kopijavimui, keitimui arba ištrynimui asmens duomenų perdavimo metu arba duomenų laikmenos gabenimo metu (siuntimo kontrolė);
29 straipsnis. Pranešimas apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai
1. Duomenų valdytojas nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą, turi pranešti apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai, nebent šis pažeidimas neturėtų kelti pavojaus žmogaus teisėms ir laisvėms. Jeigu pranešimas apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai pateikiamas vėliau negu per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.
2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas apie tai praneša duomenų valdytojui.
3. Šio straipsnio 1 dalyje nurodytame pranešime turi būti:
1) aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, duomenų subjektų kategorijas ir apytikslį jų skaičių, taip pat asmens duomenų įrašų kategorijas ir apytikslį jų skaičių;
2) nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas ir pavardė, kontaktiniai duomenys (adresas, telefono ryšio numeris ir (ar) elektroninio pašto adresas);
4) aprašytos priemonės, kurių ėmėsi duomenų valdytojas arba kurių siūloma jam imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, galimų neigiamų šio pažeidimo padarinių mažinimo priemones;
4. Jeigu šio straipsnio 3 dalyje nurodytos informacijos neįmanoma pateikti tuo pačiu metu, ši informacija toliau nedelsiant gali būti teikiama dalimis.
5. Duomenų valdytojas fiksuoja raštu, įskaitant elektroninę formą, visus šio straipsnio 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, šio pažeidimo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi dokumentais, kuriuose užfiksuoti asmens duomenų saugumo pažeidimai, Valstybinė duomenų apsaugos inspekcija turi turėti galimybę patikrinti, ar laikomasi šio straipsnio nuostatų.
6. Kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kuriuos persiuntė kitos Europos Sąjungos valstybės narės duomenų valdytojas arba kurie buvo persiųsti kitos Europos Sąjungos valstybės narės duomenų valdytojui, šio straipsnio 3 dalyje nurodyta informacija nedelsiant turi būti pateikta tos Europos Sąjungos valstybės narės duomenų valdytojui.
30 straipsnis. Pranešimas apie asmens duomenų saugumo pažeidimą duomenų subjektui
1. Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas apie asmens duomenų saugumo pažeidimą praneša duomenų subjektui.
2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama šio įstatymo 29 straipsnio 3 dalies 2,3, 4 ir 5 punktuose nurodyta informacija.
3. Šio straipsnio 1 dalyje nurodytu atveju pranešti duomenų subjektui nereikalaujama, jeigu įvykdoma bent viena iš šių sąlygų:
1) duomenų valdytojas įgyvendino tinkamas technologines ir organizacines apsaugos priemones ir šios priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami (šifravimo priemones ir (ar) kitas priemones);
2) duomenų valdytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti šio straipsnio 1 dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;
4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Valstybinė duomenų apsaugos inspekcija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus žmogaus teisėms ir laisvėms, gali pareikalauti, kad duomenų valdytojas tą padarytų, arba nuspręsti, kad įvykdyta bet kuri iš šio straipsnio 3 dalyje nurodytų sąlygų, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.
VI SKYRIUS
DUOMENŲ APSAUGOS PAREIGŪNAS
31 straipsnis. Duomenų apsaugos pareigūno skyrimas
1. Duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Prievolė paskirti duomenų apsaugos pareigūną netaikoma teismams, kai jie asmens duomenis tvarko vykdydami teisingumą.
2. Duomenų apsaugos pareigūnas skiriamas atsižvelgiant į profesines savybes, visų pirma duomenų apsaugos teisės ir praktikos ekspertines žinias, taip pat gebėjimą atlikti šio įstatymo 33 straipsnyje nurodytas funkcijas.
3. Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.
4. Duomenų valdytojas viešai paskelbia duomenų apsaugos pareigūno kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą). Duomenų valdytojas duomenų apsaugos pareigūno vardą, pavardę ir kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą) perduoda Valstybinei duomenų apsaugos inspekcijai per 10 darbo dienų nuo duomenų apsaugos pareigūno paskyrimo dienos, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.
32 straipsnis. Duomenų apsaugos pareigūno veiklos ypatumai
1. Duomenų valdytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.
2. Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti šio įstatymo 33 straipsnyje nurodytas funkcijas suteikdamas šioms funkcijoms atlikti būtinus išteklius ir galimybę susipažinti su asmens duomenimis ir duomenų tvarkymo operacijomis, taip pat išlaikyti duomenų apsaugos pareigūno ekspertines žinias.
33 straipsnis. Duomenų apsaugos pareigūno funkcijos
1. Duomenų valdytojas duomenų apsaugos pareigūnui paveda atlikti šias funkcijas:
1) teikti duomenų valdytojui ir duomenis tvarkantiems jo darbuotojams informaciją apie jų prievoles pagal šį įstatymą ir kitus Europos Sąjungos bei Lietuvos Respublikos teisės aktus dėl asmens duomenų apsaugos ir patarti šiais klausimais;
2) stebėti, kaip laikomasi šio įstatymo, kitų Europos Sąjungos ar Lietuvos Respublikos teisės aktų dėl duomenų apsaugos ir duomenų valdytojo asmens duomenų apsaugos politikos, įskaitant atsakomybių paskirstymą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą ir mokymą, susijusius auditus;
3) duomenų valdytojo prašymu konsultuoti jį dėl poveikio duomenų apsaugai vertinimo ir stebėti šio vertinimo atlikimą pagal šio įstatymo 25 straipsnį;
4) bendradarbiauti su Valstybine duomenų apsaugos inspekcija, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais;
VII SKYRIUS
ASMENS DUOMENŲ PERDAVIMAI Į TREČIĄSIAS VALSTYBES ARBA TARPTAUTINĖMS ORGANIZACIJOMS
34 straipsnis. Bendrieji asmens duomenų perdavimo principai
1. Kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, įskaitant ir tolesnius jų perdavimus į kitą trečiąją valstybę arba tarptautinei organizacijai, tik tuo atveju, kai šis perdavimas atitinka šio įstatymo reikalavimus ir šiame skirsnyje nustatytas sąlygas, tai yra:
2) asmens duomenys perduodami duomenų valdytojui trečiojoje valstybėje arba tarptautinei organizacijai, kuri yra kompetentinga institucija šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais;
3) tuo atveju, kai asmens duomenys persiunčiami ar suteikiama galimybė susipažinti su asmens duomenimis, gautais iš kitos Europos Sąjungos valstybės narės, ta Europos Sąjungos valstybė narė pagal savo nacionalinę teisę yra suteikusi išankstinį leidimą perduoti asmens duomenis;
4) Europos Komisija yra priėmusi sprendimą dėl tinkamumo arba, kai toks sprendimas nepriimtas, buvo nustatytos arba egzistuoja tinkamos asmens duomenų apsaugos priemonės pagal šio įstatymo 36 straipsnį, o kai nėra Europos Komisijos sprendimo dėl tinkamumo ar tinkamų asmens duomenų apsaugos priemonių pagal šio įstatymo 36 straipsnį, yra taikomos nukrypti leidžiančios nuostatos konkrečiais atvejais pagal šio įstatymo 37 straipsnį;
5) tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar tarptautinei organizacijai atveju kompetentinga institucija, kuri atliko pirminį asmens duomenų perdavimą, arba kita Lietuvos Respublikos kompetentinga institucija, tinkamai atsižvelgusios į visus susijusius veiksnius, įskaitant nusikalstamos veikos sunkumą, pirminio asmens duomenų perdavimo tikslą ir asmens duomenų apsaugos trečiojoje valstybėje arba tarptautinėje organizacijoje, kuriai toliau perduodami asmens duomenys, lygį, leidžia toliau perduoti duomenis.
2. Perduoti asmens duomenis be kitos Europos Sąjungos valstybės narės išankstinio leidimo pagal šio straipsnio 1 dalies 3 punktą leidžiama tik tuo atveju, kai asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei Lietuvos Respublikos arba trečiosios valstybės visuomenės saugumui arba Lietuvos Respublikos esminiams interesams, o išankstinio leidimo laiku gauti negalima. Apie tokį asmens duomenų perdavimą nedelsiant pranešama kitos Europos Sąjungos valstybės narės institucijai, atsakingai už išankstinio leidimo perduoti asmens duomenis suteikimą.
35 straipsnis. Asmens duomenų perdavimas remiantis Europos Komisijos sprendimu dėl tinkamumo
1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Europos Komisija nusprendė, kad ši trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių šioje trečiojoje valstybėje, arba ši tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Šiuo atveju dėl duomenų perdavimo specialaus leidimo nereikia.
2. Europos Komisijos sprendimas, nustatantis, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio asmens duomenų apsaugos, neturi įtakos asmens duomenų perdavimui į tą trečiąją valstybę, teritoriją arba nurodytam vienam ar daugiau sektorių trečiojoje valstybėje, arba tai tarptautinei organizacijai pagal šio įstatymo 36 ir 37 straipsnius.
36 straipsnis. Asmens duomenų perdavimas taikant tinkamas apsaugos priemones
1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo, asmens duomenys gali būti perduodami į trečiąją valstybę arba tarptautinei organizacijai, kai:
1) su asmens duomenų apsauga susijusios tinkamos apsaugos priemonės yra numatytos teisiškai privalomame dokumente arba
2. Duomenų valdytojas pateikia Valstybinei duomenų apsaugos inspekcijai informaciją apie asmens duomenų perdavimo pagal šio straipsnio 1 dalies 2 punktą kategorijas.
3. Asmens duomenų perdavimas šio straipsnio 1 dalies 2 punkte nurodytu atveju fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, pateikiami Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis.
37 straipsnis. Nukrypti leidžiančios nuostatos konkrečiais atvejais
1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo arba nenustatytos tinkamos asmens duomenų apsaugos priemonės pagal šio įstatymo 36 straipsnį, asmens duomenų perdavimas ar tam tikros kategorijos asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekami tik su sąlyga, kad perduoti asmens duomenis būtina:
2) kad būtų apsaugoti teisėti duomenų subjekto interesai, kai tai nustatyta Lietuvos Respublikos teisės aktuose;
3) kad būtų užkirstas kelias tiesioginei ir didelei grėsmei Lietuvos Respublikos arba trečiosios valstybės visuomenės saugumui;
2. Asmens duomenys negali būti perduodami, jeigu asmens duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už viešąjį interesą, kai asmens duomenų perdavimas atliekamas remiantis šio straipsnio 1 dalies 4 ir 5 punktais.
3. Asmens duomenų perdavimas pagal šio straipsnio 1 dalį fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis, išskyrus atvejus, kai asmens duomenys perduodami nacionalinio saugumo arba gynybos tikslais.
38 straipsnis. Asmens duomenų perdavimai trečiosiose valstybėse įsteigtiems duomenų gavėjams
1. Nukrypstant nuo šio įstatymo 34 straipsnio 1 dalies 2 punkto ir nedarant poveikio dvišaliams ar daugiašaliams tarptautiniams susitarimams, galiojantiems tarp Europos Sąjungos valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir teisėsaugos institucijų bendradarbiavimo srityje, Lietuvos Respublikos valstybės institucija, veikianti kaip kompetentinga institucija, konkrečiais ir atskirais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams perduoda tiesiogiai tik tuo atveju, kai toks perdavimas atitinka šio įstatymo reikalavimus ir yra tenkinamos visos šios sąlygos:
1) perduoti asmens duomenis tikrai būtina siekiant atlikti asmens duomenis perduodančios kompetentingos institucijos funkcijas, nurodytas Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais;
2) asmens duomenis perduodanti kompetentinga institucija nustato, kad jokios duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės už viešąjį interesą, dėl kurio šiuo konkrečiu atveju būtina perduoti asmens duomenis;
3) asmens duomenis perduodanti kompetentinga institucija mano, kad asmens duomenų perdavimas trečiosios valstybės institucijai, kuri yra kompetentinga šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, yra neveiksmingas arba netinkamas visų pirma dėl to, kad perdavimo neįmanoma atlikti laiku;
4) trečiosios valstybės institucijai, kuri yra kompetentinga šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, nedelsiant apie tai pranešama, išskyrus atvejus, kai tai yra neveiksminga arba netinkama;
2. Asmens duomenis perduodanti kompetentinga institucija praneša Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų perdavimus pagal šio straipsnio 1 dalį.
3. Asmens duomenų perdavimas pagal šio straipsnio 1 dalį fiksuojamas raštu, įskaitant elektroninę formą, ir dokumentai, kuriuose užfiksuotas šis perdavimas, turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie duomenų gavėją, asmens duomenų perdavimo pagrindimą ir perduotus asmens duomenis.
VIII SKYRIUS
PRIEŽIŪROS INSTITUCIJA
39 straipsnis. Valstybinė duomenų apsaugos inspekcija
1. Valstybinė duomenų apsaugos inspekcija yra atsakinga už šio įstatymo taikymo stebėseną, kad būtų apsaugotos žmogaus pagrindinės teisės ir laisvės tvarkant asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Europos Sąjungoje.
2. Valstybinė duomenų apsaugos inspekcija bendradarbiauja su kitų Europos Sąjungos valstybių narių priežiūros institucijomis ir Europos Komisija, dalyvauja Reglamentu (ES) 2016/679 įsteigtos Europos duomenų apsaugos valdybos(toliau – Valdyba) veikloje.
3. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti duomenų tvarkymo, kurį atlieka teismai, vykdydami teisingumą. Ji taip pat neturi teisės kontroliuoti duomenų tvarkymo, kurį atlieka Lietuvos Respublikos valstybės institucijos nacionalinio saugumo ar gynybos tikslais.
4. Valstybinė duomenų apsaugos inspekcija, pagal šį įstatymą atlikdama jai pavestas funkcijas ir naudodamasi jai suteiktomis teisėmis, veikia visiškai nepriklausomai. Valstybinės duomenų apsaugos inspekcijos nepriklausomumo garantijos nustatytos Reglamente (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatyme.
5. Valstybinė duomenų apsaugos inspekcija, vadovaudamasi Reglamentu (ES) 2016/679, kasmet rengia metinę veiklos ataskaitą. Joje gali būti informacija apie šio įstatymo pažeidimus ir taikytas nuobaudas. Valstybinės duomenų apsaugos inspekcijos metinė veiklos ataskaita pateikiama Europos Komisijai ir Valdybai. Ši ataskaita Lietuvos Respublikos teisės aktų nustatyta tvarka pateikiama kitoms valstybės institucijoms ir paskelbiama Valstybinės duomenų apsaugos inspekcijos interneto svetainėje.
40 straipsnis. Valstybinės duomenų apsaugos inspekcijos funkcijos
1. Valstybinė duomenų apsaugos inspekcija:
2) skatina visuomenės informuotumą apie su duomenų tvarkymu susijusius pavojus, taisykles, asmens duomenų apsaugos priemones ir teises bei jų supratimą;
3) teikia Lietuvos Respublikos Seimui, Lietuvos Respublikos Vyriausybei, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms pasiūlymus dėl teisėkūros ir administracinių priemonių, susijusių su žmogaus teisių ir laisvių apsauga tvarkant asmens duomenis pagal šį įstatymą;
4) teikia išvadas dėl įstatymų ir kitų teisės aktų projektų, susijusių su duomenų tvarkymu šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais;
5) skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal šį įstatymą;
6) bet kurio duomenų subjekto prašymu suteikia jam informaciją apie naudojimąsi šiame įstatyme nustatytomis jo teisėmis ir prireikus šiuo tikslu bendradarbiauja su kitų Europos Sąjungos valstybių narių priežiūros institucijomis;
7) nagrinėja duomenų subjektų arba pagal šio įstatymo 47 straipsnį įgaliotų įstaigų, organizacijų ar asociacijų skundus;
9) bendradarbiauja su kitomis Europos Sąjungos valstybių narių priežiūros institucijomis, įskaitant dalijimąsi informacija, ir teikia joms savitarpio pagalbą;
10) atlieka tyrimus ir (ar) patikrinimus dėl šio įstatymo taikymo, įskaitant atvejus, kai šie tyrimai ir (ar) patikrinimai atliekami pagal iš kitos Europos Sąjungos valstybės narės priežiūros institucijos arba kitos valstybės institucijos gautą informaciją;
11) stebi pokyčius ir įvykius, turinčius įtakos asmens duomenų apsaugai, visų pirma informacinių ir ryšių technologijų raidą;
2. Valstybinė duomenų apsaugos inspekcija savo funkcijas duomenų subjektams ir duomenų apsaugos pareigūnams atlieka nemokamai. Jeigu duomenų subjekto ar duomenų apsaugos pareigūno prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio, Valstybinė duomenų apsaugos inspekcija gali imti pagrįstą atlyginimą arba gali atsisakyti imtis veiksmų pagal šį prašymą. Šio atlyginimo dydis neturi viršyti Valstybinės duomenų apsaugos inspekcijos patirtų administracinių išlaidų. Pareiga įrodyti, kad šioje dalyje nurodytas prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka Valstybinei duomenų apsaugos inspekcijai.
41 straipsnis. Valstybinės duomenų apsaugos inspekcijos teisės
Valstybinė duomenų apsaugos inspekcija, be Asmens duomenų teisinės apsaugos įstatyme nustatytų teisių, taip pat turi teisę taikyti šias poveikio priemones:
1) įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio įstatymo nuostatos;
2) nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio įstatymo nuostatomis;
3) nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant duomenų tvarkymo uždraudimą;
42 straipsnis. Savitarpio pagalba
1. Valstybinė duomenų apsaugos inspekcija kitoms Europos Sąjungos valstybių narių priežiūros institucijoms teikia informaciją ir savitarpio pagalbą. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, įskaitant prašymus suteikti konsultacijas, atlikti patikrinimus ir tyrimus.
2. Valstybinė duomenų apsaugos inspekcija imasi visų būtinų priemonių, kad atsakytų į kitos priežiūros institucijos savitarpio pagalbos prašymą nedelsdama ir ne vėliau kaip per vieną mėnesį nuo šio prašymo gavimo dienos. Tai gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.
3. Valstybinė duomenų apsaugos inspekcija, gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, negali atsisakyti jo tenkinti, išskyrus atvejus, kai:
4. Valstybinė duomenų apsaugos inspekcija, gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, praneša šį prašymą pateikusiai priežiūros institucijai apie jo nagrinėjimo rezultatus arba priemones, kurių imtasi siekiant į jį atsakyti. Valstybinė duomenų apsaugos inspekcija, atsisakiusi tenkinti prašymą bet kuriuo šio straipsnio 3 dalyje nurodytu atveju, šį prašymą pateikusiai priežiūros institucijai pateikia atsisakymo patenkinti prašymą priežastis.
5. Valstybinė duomenų apsaugos inspekcija kitų priežiūros institucijų prašomą informaciją paprastai teikia elektroninėmis priemonėmis, naudodamasi standartizuota forma.
6. Valstybinė duomenų apsaugos inspekcija už veiksmus, kurių ji imasi gavusi kitos priežiūros institucijos savitarpio pagalbos prašymą, atlyginimo neima. Priežiūros institucijos gali tarpusavyje susitarti dėl konkrečių išlaidų, patirtų teikiant savitarpio pagalbą išimtinėmis aplinkybėmis, kompensavimo taisyklių.
IX SKYRIUS
ŠIO ĮSTATYMO PAŽEIDIMŲ NAGRINĖJIMAS IR ATSAKOMYBĖ
43 straipsnis. Tyrimai ir (ar) patikrinimai, atliekami Valstybinės duomenų apsaugos inspekcijos iniciatyva, ir jų atlikimo tvarka
1. Valstybinė duomenų apsaugos inspekcija gali savo iniciatyva pradėti tyrimą ir (ar) patikrinimą bet kokiu klausimu, susijusiu su galimu šio įstatymo pažeidimu.
2. Valstybinė duomenų apsaugos inspekcija tyrimus ir (ar) patikrinimus savo iniciatyva dėl galimo šio įstatymo pažeidimo atlieka Asmens duomenų teisinės apsaugos įstatymo, kiek nenustatyta šiame įstatyme, nustatyta tvarka. Kai atlikdama tyrimą ir (ar) patikrinimą savo iniciatyva Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme numatyti tyrimo ir (ar) patikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminai.
44 straipsnis. Teisė pateikti skundą Valstybinei duomenų apsaugos inspekcijai ir skundų nagrinėjimo tvarka
1. Duomenų subjektas, manydamas, kad su juo susiję asmens duomenys tvarkomi pažeidžiant šio įstatymo nuostatas, turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
2. Jeigu skundas pateiktas dėl kitoje Europos Sąjungos valstybėje narėje atliekamo duomenų tvarkymo, Valstybinė duomenų apsaugos inspekcija nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos, šį skundą persiunčia kitos Europos Sąjungos valstybės narės kompetentingai priežiūros institucijai. Duomenų subjektui apie jo skundo persiuntimą pranešama nedelsiant, ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos. Šiuo atveju Valstybinė duomenų apsaugos inspekcija duomenų subjekto prašymu toliau teikia jam pagalbą.
3. Valstybinė duomenų apsaugos inspekcija skundus nagrinėja šio įstatymo ir Asmens duomenų teisinės apsaugos įstatymo, kiek nenustatyta šiame įstatyme, nustatyta tvarka. Kai nagrinėdama skundus Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme nustatyti skundų nagrinėjimo terminai.
45 straipsnis. Teisė skųsti Valstybinės duomenų apsaugos inspekcijos sprendimus, veiksmus ar neveikimą
1. Fiziniai ar juridiniai asmenys turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos sprendimus teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
2. Jei Valstybinė duomenų apsaugos inspekcija gauto skundo nenagrinėja arba per tris mėnesius nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos nepraneša duomenų subjektui apie pagal šio įstatymo 44 straipsnį pateikto skundo nagrinėjimo pažangą, kai skundas ar jo dalis neišnagrinėta, ar rezultatus, duomenų subjektas turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos veiksmus ar neveikimą teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.
46 straipsnis. Teisė skųsti duomenų valdytojo arba duomenų tvarkytojo veiksmus ar neveikimą teismui
47 straipsnis. Atstovavimas duomenų subjektams
Duomenų subjektas turi teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, kuri įsteigta pagal Europos Sąjungos valstybės narės teisės aktus, kurios steigimo dokumentuose nurodyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, jo vardu pateikti skundą ir jo vardu naudotis šio įstatymo 44, 45 ir 46 straipsniuose nurodytomis teisėmis.
48 straipsnis. Teisė į turtinės ir neturtinės žalos atlyginimą
49 straipsnis. Už šio įstatymo pažeidimus skiriamos administracinės baudos
1. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 17–33 straipsnių nuostatas, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 0,5 procento duomenų valdytojo ar duomenų tvarkytojo einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne didesnę negu trisdešimt tūkstančių eurų.
2. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 3–15, 34–38 straipsnių nuostatas, taip pat nesilaikančiam šio įstatymo 41 straipsnio 1, 2 ir 3 punktuose nurodytų Valstybinės duomenų inspekcijos taikytų priemonių, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 1 procento duomenų valdytojo ar duomenų tvarkytojo einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne didesnę negu šešiasdešimt tūkstančių eurų.
50 straipsnis. Administracinių baudų skyrimas ir sprendimų dėl administracinės baudos skyrimo vykdymas
1. Valstybinė duomenų apsaugos inspekcija administracines baudas skiria vadovaudamasi šiuo įstatymu ir Asmens duomenų teisinės apsaugos įstatymu, kiek nenustatyta šiame įstatyme.
2. Valstybinė duomenų apsaugos inspekcija užtikrina, kad už šio įstatymo pažeidimus skiriamos administracinės baudos kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasančios.
3. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su šio įstatymo 41 straipsnio 1, 2 ir 3 punktuose nustatytomis poveikio priemonėmis arba vietoj jų. Sprendžiant dėl administracinės baudos skyrimo ir jos dydžio, kiekvienu konkrečiu atveju atsižvelgiama į:
1) pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;
3) bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;
4) duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal šio įstatymo 18 ir 28 straipsnius įgyvendintas technines ir organizacines priemones;
6) bendradarbiavimą su Valstybine duomenų apsaugos inspekcija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį;
8) tai, kokiu būdu Valstybinė duomenų apsaugos inspekcija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip, – kokiu mastu);
4. Valstybinė duomenų apsaugos inspekcija, spręsdama dėl administracinės baudos skyrimo ir jos dydžio, gali atsižvelgti ir į kitus, šio straipsnio 3 dalyje nenurodytus, veiksnius, lengvinančius duomenų valdytojo ar duomenų tvarkytojo atsakomybę.
5. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią duomenų tvarkymo operaciją ar susijusias duomenų tvarkymo operacijas, tyčia ar dėl neatsargumo pažeidžia kelias šio įstatymo nuostatas, bendra skiriamos administracinės baudos suma nėra didesnė už sumą, kuri šiame įstatyme nustatyta už sunkiausią iš padarytų pažeidimų.
Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo
Priedas
ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR“ (OL 2016 L 119, p. 89).“
2 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas