Projektas

 

LIETUVOS RESPUBLIKOS

ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO NR. I-1374 PAKEITIMO

ĮSTATYMAS

 

2022 m.                                      d. Nr.

Vilnius

 

 

1 straipsnis. 1 straipsnio pakeitimas

Pakeisti 1 straipsnio 3 dalį ir ją išdėstyti taip:

3. Šis įstatymas taikomas kartu su Reglamentu (ES) 2016/679 ir jo įgyvendinamaisiais teisės aktais bei kitais tiesiogiai taikomais Europos Sąjungos teisės aktais, kurių materialinė ir teritorinė taikymo sritis atitinka Reglamento (ES) 2016/679 2 ir 3 straipsniuose nurodytą taikymo sritį (toliau – tiesiogiai taikomi Europos Sąjungos teisės aktai).

 

2 straipsnis. 5 straipsnio pakeitimas

1. Pakeisti 5 straipsnio 1 dalį ir ją išdėstyti taip:

1. Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų ir tik tokiu mastu, kokiu ji taikoma:

1) Tvarkyti šiuos duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti.

2) Tvarkyti šiuos duomenis būtina siekiant teisėtų darbdavio interesų, išskyrus atvejus, kai kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.“

2. Papildyti 5 straipsnį nauja 2 dalimi:

2. Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, remiantis šio straipsnio 1 dalies 2 punkte nurodyta sąlyga, galima tvarkyti, jeigu laikomasi Reglamente (ES) 2016/679 nurodytų reikalavimų ir taikomos šios duomenų subjektų teisių ir laisvių apsaugos priemonės:

1) Darbdavys fiksuoja raštu, įskaitant elektroninę formą, teisėtų jo interesų tvarkyti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas vertinimą. Atliekant šį vertinimą, atsižvelgiama į konkrečių pareigų ar darbo funkcijų ypatumus, riziką, kuri darbdaviui gali kilti asmeniui einant pareigas ar atliekant darbo funkcijas, reikalavimo asmeniui būti neteistam už atitinkamas nusikalstamas veikas pagrįstumą ir proporcingumą, kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo pagrindines teises ir laisves bei kitas reikšmingas aplinkybes. Atliekant šį vertinimą konsultuojamasi su duomenų apsaugos pareigūnu, jei jis paskirtas pagal Reglamentą (ES) 2016/679.

2) Darbdavys yra patvirtinęs ir savo interneto svetainėje, jei ją turi, paskelbęs pareigų, kurias einančiam asmeniui keliamas reikalavimas būti neteistam už atitinkamas nusikalstamas veikas, arba darbo funkcijų, kurias atliekančiam asmeniui keliamas šis reikalavimas, sąrašą. Šiame sąraše taip pat nurodomos nusikalstamos veikos, už kurias toks asmuo turi būti neteistas.

3) Tvarkomi tik to kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kurio ketinamos eiti arba einamos pareigos ar ketinamos atlikti ar atliekamos darbo funkcijos yra įtrauktos į šios dalies 2 punkte nurodytą sąrašą.“

3. Buvusias 5 straipsnio 2–4 dalis laikyti atitinkamai 3–5 dalimis.

 

3 straipsnis. Įstatymo papildymas 71 straipsniu

Papildyti Įstatymą 71 straipsniu:

71 straipsnis. Tiesiogiai taikomų Europos Sąjungos teisės aktų priežiūra

Tiesiogiai taikomuose Europos Sąjungos teisės aktuose minima priežiūros institucija, nurodyta Reglamente (ES) 2016/679 ar įsteigta pagal taikytinas asmens duomenų, tvarkomų vadovaujantis Reglamentu (ES) 2016/679, apsaugos taisykles, atsižvelgiant į šio straipsnio 1 ir
2 dalyse nurodytą kompetenciją, yra Valstybinė duomenų apsaugos inspekcija arba žurnalistų etikos inspektorius. Priežiūros institucija atlieka tiesiogiai taikomuose Europos Sąjungos teisės aktuose
nustatytas priežiūros institucijos užduotis ir turi juose nustatytus priežiūros institucijos įgaliojimus.“

 

4 straipsnis. 12 straipsnio pakeitimas

Pakeisti 12 straipsnį ir jį išdėstyti taip:

12 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai ir teisės

1. Valstybinė duomenų apsaugos inspekcija turi Reglamente (ES) 2016/679 nustatytus priežiūros institucijos įgaliojimus.

2. Valstybinė duomenų apsaugos inspekcija turi teisę:

1) neatlygintinai gauti iš duomenų valdytojų ir duomenų tvarkytojų, valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant priežiūros institucijos užduotis ir funkcijas;

2) pažeidimų nagrinėjimo metu be išankstinio įspėjimo įeiti į tikrinamo asmens, skundžiamo asmens ar su jais susijusių asmenų patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais) arba teritoriją, kur yra dokumentai ir (ar) įranga, susiję su asmens duomenų tvarkymu. Įeiti į juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitais pagrindais) galima tik juridinio asmens darbo laiku, pateikus valstybės tarnautojo pažymėjimą. Įeiti į fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais), kur yra dokumentų ir (ar) įrangos, susijusios su asmens duomenų tvarkymu, galima fiziniam asmeniui iš anksto raštu sutikus leisti įeiti į šias patalpas arba, nesant jo rašytinio sutikimo, pateikus teismo nutartį dėl leidimo įeiti į fizinio asmens gyvenamąsias patalpas;

3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su asmens duomenų ir (ar) privatumo apsauga;

4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl asmens duomenų tvarkymo ar apsaugos ekspertizės, asmens duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;

5) teikti duomenų valdytojams, duomenų tvarkytojams ir kitiems juridiniams ar fiziniams asmenims rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir (ar) privatumo apsaugos;

6) keistis informacija su kitų valstybių asmens duomenų apsaugos priežiūros institucijomis ir tarptautinėmis organizacijomis tiek, kiek to reikia jų funkcijoms atlikti;

7) pradėti teismo procesą ar kitaip dalyvauti teismo procese siekiant užtikrinti
Reglamento
(ES) 2016/679, kitų Europos Sąjungos, tarptautinių ir Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, nuostatų vykdymą;

8) pažeidimų nagrinėjimo metu naudoti technines priemones;

9) pažeidimų nagrinėjimo metu gauti žodinius ir rašytinius paaiškinimus iš juridinių ir fizinių asmenų ir reikalauti, kad jie atvyktų į Valstybinės duomenų apsaugos inspekcijos patalpas duoti paaiškinimų;

10) naudoti turimą informaciją (įskaitant asmens duomenis), gautą pažeidimų nagrinėjimo metu ar atliekant kitas funkcijas;

11) pasitelkti policijos pareigūnus viešajai tvarkai palaikyti ir galimam prievartos panaudojimui užtikrinti.

3. Valstybinė duomenų apsaugos inspekcija taip pat turi kitas tiesiogiai taikomų Europos Sąjungos teisės aktų, įstatymų ir kitų teisės aktų nustatytas teises.

4. Jei Valstybinė duomenų apsaugos inspekcija, nagrinėdama skundą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, ir jos sprendimas priklauso nuo šio Europos Komisijos sprendimo galiojimo, ji sustabdo skundo nagrinėjimą ir Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka kreipiasi į Lietuvos vyriausiąjį administracinį teismą su prašymu kreiptis į kompetentingą Europos Sąjungos teisminę instituciją dėl Europos Komisijos sprendimo dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo. Jei Lietuvos vyriausiasis administracinis teismas, nagrinėdamas Valstybinės duomenų apsaugos inspekcijos prašymą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, jis priima sprendimą kreiptis į kompetentingą Europos Sąjungos teisminę instituciją su prašymu priimti prejudicinį sprendimą pagal Sutarties dėl Europos Sąjungos veikimo 267 straipsnį.“

 

5 straipsnis. Įstatymo papildymas 141 straipsniu

Papildyti Įstatymo III skyrių 141 straipsniu:

141 straipsnis. Viešas skelbimas

1. Priežiūros institucija, siekdama didinti visuomenės informuotumą apie su asmens duomenų tvarkymu susijusias taisykles, apsaugos priemones, teises ir pavojus bei jų supratimą, savo sprendimus, priimtus atlikus tyrimą ir (ar) patikrinimą ir (ar) išnagrinėjus skundą, išskyrus sprendimus, priimtus pagal šio įstatymo 27 ir 29 straipsnius, ne vėliau kaip per 5 darbo dienas nuo sprendimo priėmimo dienos paskelbia viešai savo interneto svetainėje, nepažeisdama asmens duomenų apsaugos, valstybės, tarnybos, profesinės, komercinės, kitos įstatymų saugomą paslaptį sudarančios ar kitos įstatymų saugomos informacijos apsaugos reikalavimų.

2. Šio straipsnio 1 dalyje nurodyti sprendimai skelbiami 10 metų.

3. Sprendimų paskelbimo tvarką nustato priežiūros institucija.

 

6 straipsnis. 16 straipsnio pakeitimas

Pakeisti 16 straipsnį ir jį išdėstyti taip:

16 straipsnis. Sertifikavimo įstaigų akreditavimas

1. Sertifikavimo įstaigas pagal Reglamento (ES) 2016/679 43 straipsnį akredituoja, taip pat  akreditavimo tvarką nustato Valstybinė duomenų apsaugos inspekcija.

2. Už sertifikavimo įstaigos, pageidaujančios būti akredituotos, akreditavimą ir jo atnaujinimą imama valstybės rinkliava.“

 

7 straipsnis. 17 straipsnio pakeitimas

Pakeisti 17 straipsnį ir jį išdėstyti taip:

17 straipsnis. Tikrinamo asmens, pareiškėjo, skundžiamo asmens ir pažeidimo padarymu įtariamo asmens teisės ir pareigos

1. Tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo turi Reglamente (ES) 2016/679 ir šiame įstatyme nurodytas teises ir pareigas.

2. Tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo taip pat turi teisę:

1) gauti paaiškinimus apie tyrimo ir (ar) patikrinimo arba skundo nagrinėjimo dalyką ir pagrindą;

2) savo iniciatyva pateikti papildomus paaiškinimus ir (ar) informaciją, susijusią su tyrimo ir (ar) patikrinimo atlikimu arba skundo nagrinėjimu;

3) apskųsti priežiūros institucijos veiksmus ar neveikimą;

4) susipažinti su skundu, priežiūros institucijos turima tyrimo ir (ar) patikrinimo atlikimo, skundo nagrinėjimo ir administracinės baudos skyrimo medžiaga, išskyrus valstybės, tarnybos, profesinę, komercinę, kitą įstatymų saugomą paslaptį sudarančią ar kitą įstatymų saugomą informaciją.

3. Laikoma, kad šio straipsnio 1 dalyje nurodyti asmenys yra tinkamai informuoti ir jiems tinkamai pranešta, jei priežiūros institucija šiame skyriuje nurodytais atvejais sprendimus, pranešimus, kitus dokumentus ir informaciją (toliau kartu šiame straipsnyje – dokumentai) šiems asmenims:

1) siunčia per Nacionalinę elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinę sistemą (toliau – E. pristatymo sistema);

2) siunčia registruotąja pašto siunta Juridinių asmenų registre nurodytu juridinio asmens buveinės adresu, Lietuvos Respublikos gyventojų registre nurodytu juridinio asmens vadovo gyvenamosios vietos adresu arba fizinio asmens gyvenamosios vietos adresu;

3) įteikia jiems atvykus į priežiūros instituciją;

4) siunčia kitais jų raštu nurodytais kontaktiniais duomenimis;

5) siunčia valstybės informacinėse sistemose ar registruose, kurie naudojami elektroniniu būdu teikiamoms paslaugoms gauti ar prievolėms vykdyti, nurodytais elektroninio pašto adresais.

4. Kai žinomas tik tikrinamo, skundžiamo ar pažeidimo padarymu įtariamo asmens elektroninio pašto adresas, laikoma, kad šis asmuo yra tinkamai informuotas ir jam tinkamai pranešta, jei priežiūros institucija rašytinius reikalavimus atskleisti savo tapatybę, taip pat atlikti šio įstatymo 14 straipsnyje nurodytus veiksmus minėtam asmeniui siunčia elektroninių ryšių priemonėmis šiuo elektroninio pašto adresu.

5. Dokumentų įteikimo gavėjui diena laikoma:

1) dokumentų, siunčiamų per E. pristatymo sistemą, kita darbo diena, einanti po priežiūros institucijos dokumentų išsiuntimo dienos;

2) dokumentų, siunčiamų registruotąja pašto siunta, dešimtoji darbo diena po dokumentų išsiuntimo dienos;

3) dokumentus įteikiant jam atvykus į priežiūros instituciją diena, kurią gavėjas priežiūros institucijai liekančiuose dokumentuose parašu patvirtina dokumento gavimo faktą arba kai priežiūros institucijos atstovas pažymi, kad gavėjas atsisakė priimti dokumentą ar patvirtinti jo gavimo faktą;

4) dokumentų ir (ar) rašytinių reikalavimų, siunčiamų elektroninių ryšių
priemonėmis, –
kita darbo diena, einanti po priežiūros institucijos dokumentų ir (ar) rašytinių reikalavimų išsiuntimo dienos.“

 

8 straipsnis. 18 straipsnio pakeitimas

Pakeisti 18 straipsnio 5 dalį ir ją išdėstyti taip:

5. Jeigu priežiūros institucija nesutinka su Vilniaus apygardos administracinio teismo nutartimi atmesti prašymą išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas, ji turi teisę per 7 kalendorines dienas nuo šios nutarties įteikimo priežiūros institucijai dienos šią nutartį apskųsti Lietuvos vyriausiajam administraciniam teismui.“

 

9 straipsnis. Įstatymo papildymas 191 straipsniu

Papildyti Įstatymo V skyriaus pirmąjį skirsnį 191 straipsniu:

191 straipsnis. Priežiūros institucijų bendradarbiavimas atliekant pažeidimų nagrinėjimą

1. Priežiūros institucijos, veikdamos pagal savo kompetenciją ir vykdydamos savo užduotis ir funkcijas, atlikdamos pažeidimų nagrinėjimą aktyviai bendradarbiauja, kad būtų užtikrinta veiksminga Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų ir šio įstatymo taikymo priežiūra.

2. Priežiūros institucijos, siekdamos išnagrinėti Reglamento (ES) 2016/679 ir kitų tiesiogiai taikomų Europos Sąjungos teisės aktų pažeidimus, bendradarbiaudamos tarpusavyje turi teisę teikti viena kitai ir naudoti kaip įrodymus bet kurią būtiną informaciją, įskaitant valstybės, tarnybos, profesinę, komercinę, kitą įstatymų saugomą paslaptį sudarančią ar kitą įstatymų saugomą  informaciją.

3. Jei priežiūros institucijai, atliekančiai pažeidimo nagrinėjimą, kyla abejonių, ar pažeidimo nagrinėjimas priklauso jos kompetencijai, ji nedelsdama kreipiasi į kitą priežiūros instituciją su prašymu pateikti išvadą dėl pažeidimo nagrinėjimo priskyrimo jos kompetencijai. Kartu pateikiami reikalingi dokumentai ir informacija.

4. Priežiūros institucija išvadą dėl pažeidimo nagrinėjimo priskyrimo jos kompetencijai turi pateikti ne vėliau kaip per 15 darbo dienų nuo kreipimosi dėl išvados pateikimo gavimo dienos. Šis terminas skaičiuojamas nuo dienos, kurią priežiūros institucija gauna reikalingus dokumentus ir informaciją.

5. Pažeidimo nagrinėjimo terminas sustabdomas, kol bus gauta atitinkamos priežiūros institucijos išvada.

6. Prireikus išvadą teikianti institucija konsultuojasi su kita priežiūros institucija.

7. Pažeidimo nagrinėjimą atliekanti priežiūros institucija, gavusi kitos priežiūros institucijos išvadą, kad atliekamas pažeidimo nagrinėjimas priskirtinas jos kompetencijai, perduoda šiai priežiūros institucijai visą turimą su pažeidimo nagrinėjimu susijusią medžiagą.“

 

10 straipsnis. Įstatymo papildymas 192 straipsniu

Papildyti Įstatymo V skyriaus pirmąjį skirsnį 192 straipsniu:

192 straipsnis. Pažeidimų nagrinėjimo terminų skaičiavimo sustabdymas

Šio įstatymo 21 straipsnio 1 ir 2 dalyse bei 30 straipsnio 2 dalyje nustatytų terminų skaičiavimas sustabdomas, jeigu priežiūros institucija dėl jos nurodymų nevykdymo pradeda administracinės baudos skyrimo procedūrą arba kol gaunama ekspertų (konsultantų) ar kitos priežiūros institucijos išvada, būtina pažeidimui tinkamai įvertinti.“

 

11 straipsnis. 20 straipsnio pakeitimas

Pakeisti 20 straipsnį ir jį išdėstyti taip:

20 straipsnis. Tyrimai ir (ar) patikrinimai, atliekami Valstybinės duomenų apsaugos inspekcijos iniciatyva, ir jų atlikimo tvarka

1. Valstybinė duomenų apsaugos inspekcija gali savo iniciatyva pradėti tyrimą ir (ar) patikrinimą bet kokiu klausimu, susijusiu su Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, galimu pažeidimu.

2. Valstybinė duomenų apsaugos inspekcija savo iniciatyva atlieka tyrimus ir (ar) patikrinimus dėl Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, galimo pažeidimo šių teisės aktų ir Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.

3. Kai Valstybinė duomenų apsaugos inspekcija veikia vadovaudamasi Reglamento (ES) 2016/679 VII skyriaus 1 ir (ar) 2 skirsnių nuostatomis, netaikomi šio įstatymo 21 straipsnyje nustatyti tyrimo ir (ar) patikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminai.

4. Kai tyrimas ir (ar) patikrinimas atliekamas Valstybinės duomenų apsaugos inspekcijos iniciatyva, skundai, kurių dalykas sutampa su atliekamo tyrimo ir (ar) patikrinimo dalyku, nenagrinėjami.“

 

12 straipsnis. 23 straipsnio pakeitimas

Pakeisti 23 straipsnį ir jį išdėstyti taip:

23 straipsnis. Skundų nagrinėjimo tvarka

1. Priežiūros institucija nagrinėja skundus dėl Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų šių teisės aktų ir priežiūros institucijos nustatyta tvarka.

2. Priežiūros institucija, vadovaudamasi Reglamento (ES) 2016/679 57 straipsnio 1 dalies
f punktu, gali pasirinkti tinkamiausius ir efektyviausius skundų nagrinėjimo būdus ir priemones, nustatytus Reglamente
(ES) 2016/679, šiame įstatyme ir priežiūros institucijos patvirtintoje tvarkoje, reglamentuojančioje skundų nagrinėjimą, atsižvelgdama į konkrečią situaciją ir:

1) einamaisiais metais nustatytus priežiūros institucijos veiklos prioritetus;

2) galimus sisteminius pažeidimus;

3) duomenų subjektų, kurių teisėms ir laisvėms daromas poveikis, skaičių;

4) galimų pažeidimo pasekmių duomenų subjektui mastą ir pobūdį;

5) galimą esminį priežiūros institucijos sprendimo poveikį duomenų valdytojo ir (ar) duomenų tvarkytojo asmens duomenų tvarkymo operacijų tobulinimui;

6) poreikį išaiškinti esminį Reglamento (ES) 2016/679 taikymo klausimą;

7) nagrinėjamų aplinkybių atsiradimo datą ir tai, ar nagrinėjamas galimas pažeidimas nebekelia padarinių, padariniai buvo pašalinti arba buvo suteikta tinkama padarinių pašalinimo garantija.

3. Kai nagrinėjant skundą vadovaujamasi Reglamento (ES) 2016/679 VII skyriaus 1 ir (ar) 2 skirsnių nuostatomis, netaikomi šio įstatymo 30 straipsnio 2 dalyje nustatyti skundo nagrinėjimo terminai.

4. Jei priežiūros institucija nustato, kad ji nagrinėja pareiškėjo pateiktus 2 ar daugiau skundų dėl to paties skundžiamo asmens arba skundas pateiktas skirtingų pareiškėjų, tačiau dėl tų pačių pažeidimų ir to paties skundžiamo asmens, jos sprendimu šie skundai iki skundo nagrinėjimo termino pabaigos gali būti sujungiami ir nagrinėjami kaip vienas skundas.

5. Priežiūros institucija turi teisę inicijuoti veiksmus, kad skundo dalykas būtų išspręstas taikiai jos nustatyta tvarka.“

 

13 straipsnis. 24 straipsnio pakeitimas

Pakeisti 24 straipsnį ir jį išdėstyti taip:

24 straipsnis. Skundo pateikimas ir jo turinys

1. Skundą Valstybinei duomenų apsaugos inspekcijai turi teisę pateikti šie pareiškėjai:

1) duomenų subjektas, nurodytas Reglamento (ES) 2016/679 77 straipsnio 1 dalyje, – dėl Reglamento (ES) 2016/679 pažeidimų;

2) duomenų subjektas – dėl kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, šio ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų;

3) pelno nesiekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio 1 dalies reikalavimus, pagal Reglamento (ES) 2016/679 80 straipsnio 2 dalį – dėl Reglamento (ES) 2016/679 ir šio įstatymo pažeidimų;

4) fizinis ar juridinis asmuo – dėl Lietuvos Respublikos elektroninių ryšių įstatymo IX skyriaus, išskyrus 73 straipsnio 5 dalį, 76 straipsnio 7 dalį ir 80 straipsnio 2 ir 3 dalis, pažeidimų.

2. Skundą žurnalistų etikos inspektoriui turi teisę pateikti šie pareiškėjai:

1) duomenų subjektas, nurodytas Reglamento (ES) 2016/679 77 straipsnio 1 dalyje, – dėl Reglamento (ES) 2016/679 pažeidimų;

2) duomenų subjektas – dėl kitų tiesiogiai taikomų Europos Sąjungos teisės aktų ir įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų;

3) pelno nesiekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio 1 dalies reikalavimus, pagal Reglamento (ES) 2016/679 80 straipsnio 2 dalį – dėl Reglamento (ES) 2016/679 pažeidimų.

3. Skundą raštu galima pateikti tiesiogiai atvykus į priežiūros instituciją, atsiunčiant paštu arba elektroninėmis priemonėmis.

4. Prie skundo, kurį pateikia šio straipsnio 1 dalies 3 punkte arba 2 dalies 3 punkte nurodytas pareiškėjas, papildomai turi būti pateikta informacija ir (arba) pridėti dokumentai, patvirtinantys, kad šis pareiškėjas veikia asmens duomenų apsaugos srityje, jeigu šios informacijos ir (arba) dokumentų nėra valstybės ar žinybiniuose registruose, valstybės ir savivaldybės informacinėse sistemose.

5. Prie skundo, kurį pateikia pareiškėjo atstovas, turi būti pridėtas pareiškėjo atstovo įgaliojimus patvirtinantis dokumentas. Prie skundo, kurį šio straipsnio 1 dalies 1, 2 punktuose arba
2 dalies 1 punkte nurodyto pareiškėjo vardu pateikia
pelno nesiekianti įstaiga, organizacija ar asociacija pagal Reglamento (ES) 2016/679 80 straipsnio 1 dalį ar įstatymus, reglamentuojančius asmens duomenų ir (ar) privatumo apsaugą, papildomai turi būti pateikta informacija ir (arba) pridėti dokumentai, patvirtinantys, kad ji veikia asmens duomenų apsaugos srityje, jeigu šios informacijos ir (arba) dokumentų nėra valstybės ar žinybiniuose registruose, valstybės ir savivaldybės informacinėse sistemose

6. Skunde nurodoma:

1) adresatas – priežiūros institucija;

2) skundo surašymo data;

3) pareiškėjo ir jo atstovo, jeigu jis yra, duomenys:

a) fizinio asmens vardas, pavardė, kontaktiniai duomenys;

b) juridinio asmens pavadinimas, kodas ir kontaktiniai duomenys;

c) atstovavimo pagrindas, kai skundą pateikia pareiškėjo atstovas;

4) skundžiamo asmens tapatybė (juridinio asmens pavadinimas ir kodas, fizinio asmens vardas ir pavardė), kontaktiniai duomenys, jeigu jie žinomi;

5) skundžiamų veiksmų (neveikimo) apibūdinimas, jų padarymo laikas ir aplinkybės;

6) pareiškėjo prašymas priežiūros institucijai;

7) pareiškėjo ar jo atstovo, jeigu jis yra, parašas; skundas, kuris pateikiamas elektroninėmis priemonėmis, turi būti pasirašytas pareiškėjo ar jo atstovo, jeigu jis yra, kvalifikuotu elektroniniu parašu arba suformuotas tokiu būdu, kuris užtikrina elektroninę asmens atpažintį ir teksto autentiškumą;

8) informacija apie pareiškėjo kreipimąsi į duomenų valdytoją ir (ar) duomenų tvarkytoją dėl Reglamento (ES) 2016/679 15–22 straipsnių galimo pažeidimo ir duomenų valdytojo ir (ar) duomenų tvarkytojo atsakymo, jeigu jis pateiktas, pareiškėjui kopija.

7. Prie skundo turi būti pridėti turimi dokumentai, reikalingi skundui nagrinėti, ar jų aprašymas.

8. Prieš Valstybinei duomenų apsaugos inspekcijai pateikdamas skundą, susijusį su galimais vaizdo stebėjimo teisėtumo pažeidimais, pareiškėjas turi kreiptis į vaizdo stebėjimą vykdantį asmenį (jeigu pareiškėjui žinoma jo tapatybė ar kontaktiniai duomenys) dėl informacijos apie vykdomą vaizdo stebėjimą gavimo. Jeigu vaizdo stebėjimą vykdantis asmuo nepateikia pareiškėjui informacijos apie vykdomą vaizdo stebėjimą per vieną mėnesį nuo pareiškėjo kreipimosi, pateikta informacija pareiškėjo netenkina arba jis neturi galimybės kreiptis į vaizdo stebėjimą vykdantį asmenį, pareiškėjas turi teisę pateikti skundą. Kartu su skundu turi būti pateikta informacija apie pareiškėjo kreipimąsi į vaizdo stebėjimą vykdantį asmenį ir šio asmens atsakymo, jeigu jis pateiktas, pareiškėjui kopija arba nurodytos priežastys, dėl kurių nėra galimybės į jį kreiptis.“

 

14 straipsnis. 26 straipsnio pripažinimas netekusiu galios

Pripažinti netekusiu galios 26 straipsnį.

 

15 straipsnis. 27 straipsnio pakeitimas

Pakeisti 27 straipsnį ir jį išdėstyti taip:

27 straipsnis. Atsisakymas nagrinėti skundą

1. Priežiūros institucija priima sprendimą atsisakyti nagrinėti skundą ar jo dalį ir apie tai ne vėliau kaip per 5 darbo dienas nuo skundo gavimo priežiūros institucijoje dienos praneša pareiškėjui, nurodydama atsisakymo nagrinėti skundą ar jo dalį pagrindą (pagrindus), jeigu:

1) skundas ar jo dalis neatitinka šio įstatymo 24 straipsnio 6 dalyje nurodytų reikalavimų, taikomų skundo turiniui, arba jeigu prie skundo nėra pateikti dokumentai, reikalingi skundui  išnagrinėti. Šio įstatymo 24 straipsnio 6 dalyje nurodytos informacijos nenurodymas skunde arba dokumentų nepateikimas negali būti pagrindas atsisakyti nagrinėti skundą, jei skundas be šios informacijos arba dokumentų gali būti nagrinėjamas;

2) skunde nurodytų aplinkybių ar dalies jų tyrimas nepriklauso priežiūros institucijos kompetencijai;

3) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta priežiūros institucijoje, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;

4) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta arba yra nagrinėjama Lietuvos Respublikos ar kitos Europos Sąjungos valstybės narės teisme;

5) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta arba yra nagrinėjama kitos Europos Sąjungos valstybės narės priežiūros institucijoje;

6) dėl skundo ar jo dalies dalyko yra pradėtas ikiteisminis tyrimas arba nutarimas dėl ikiteisminio tyrimo nutraukimo arba atsisakymo pradėti ikiteisminį tyrimą yra apskųstas;

7) skundo tekstas neįskaitomas, neaiškiai suformuluotas pareiškėjo prašymas ar skundo turinys nesuprantamas;

8) nuo skunde ar jo dalyje nurodytų pažeidimų padarymo iki skundo pateikimo praėjo daugiau kaip 2 metai;

9) skundas ar jo dalis dėl Reglamento (ES) 2016/679 1522 straipsnių galimo pažeidimo pateikta nepraėjus Reglamento (ES) 2016/679 12 straipsnio 3 dalyje nustatytam vieno mėnesio terminui;

10) prie skundo nėra pateikti šio įstatymo 24 straipsnio 4 ir 5 dalyse nurodyti dokumentai.

2. Valstybinė duomenų apsaugos inspekcija priima sprendimą atsisakyti nagrinėti skundą ar jo dalį ir apie tai šio straipsnio 1 dalyje nustatyta tvarka praneša pareiškėjui, jeigu dėl skundo ar jo dalies dalyko yra pradėtas tyrimas ir (ar) patikrinimas Valstybinės duomenų apsaugos inspekcijos iniciatyva.

3. Kai skunde nurodytų aplinkybių ar dalies jų tyrimas nepriklauso priežiūros institucijos kompetencijai, priežiūros institucija per šio straipsnio 1 dalyje nurodytą terminą perduoda skundą ar jo dalį kompetentingai institucijai ir apie tai praneša pareiškėjui. Kai kompetentinga institucija yra teismas, skundas ar jo dalis grąžinama pareiškėjui pateikiant informaciją, kur jam reikėtų kreiptis.

4. Jeigu priežiūros institucija šio straipsnio 1 dalyje nustatyta tvarka neinformuoja apie atsisakymą nagrinėti skundą ar jo dalį, laikoma, kad priimtas nagrinėti visas skundas.“

 

16 straipsnis. 29 straipsnio pakeitimas

Pakeisti 29 straipsnį ir jį išdėstyti taip:

29 straipsnis. Skundo nagrinėjimo nutraukimas

1. Priežiūros institucija priima sprendimą nutraukti skundo ar jo dalies nagrinėjimą, jeigu nagrinėjant skundą ar jo dalį:

1) gaunamas pareiškėjo prašymas nenagrinėti skundo ar jo dalies;

2) paaiškėja, kad yra šio įstatymo 27 straipsnio 1 dalies 2–6, 8–10 punktuose nurodytas pagrindas (nurodyti pagrindai) atsisakyti nagrinėti skundą ar jo dalį;

3) pareiškėjas priežiūros institucijos reikalavimu nepateikia papildomų dokumentų ir (ar) informacijos, be kurių neįmanoma išnagrinėti skundo ar jo dalies;

4) paaiškėja, kad negalima skundo ar jo dalies išnagrinėti dėl informacijos trūkumo ar kitų reikšmingų aplinkybių;

5) paaiškėja, kad pareiškėjas mirė;

6) skundo dalykas išsprendžiamas taikiai;

7) nėra galimybės įteikti skundžiamam asmeniui dokumentų ir priežiūros institucija išnaudojo visas šiame įstatyme nustatytas galimybes įteikti dokumentus.

2. Valstybinė duomenų apsaugos inspekcija, be šio straipsnio 1 dalyje nurodytų pagrindų nutraukti skundo ar jo dalies nagrinėjimą, taip pat priima sprendimą nutraukti skundo ar jo dalies nagrinėjimą, jeigu dėl skundo ar jo dalies dalyko yra pradėtas tyrimas ir (ar) patikrinimas Valstybinės duomenų apsaugos inspekcijos iniciatyva.

3. Apie skundo ar jo dalies nagrinėjimo nutraukimą ne vėliau kaip per 5 darbo dienas nuo šio straipsnio 1 ar 2 dalyje nurodyto sprendimo priėmimo dienos pranešama pareiškėjui, išskyrus šio straipsnio 1 dalies 5 punkte nurodytą atvejį.“

 

 

17 straipsnis. 32 straipsnio pakeitimas

Pakeisti 32 straipsnį ir jį išdėstyti taip:

32 straipsnis. Administracinių baudų skyrimo tvarka

1. Priežiūros institucija už Reglamento (ES) 2016/679 ir šio įstatymo pažeidimus administracines baudas skiria vadovaudamasi Reglamentu (ES) 2016/679 ir šiuo įstatymu.

2. Kai administracinė bauda skiriama pagal šio įstatymo 321 straipsnį, vadovaujamasi šio straipsnio 1 dalyje nustatyta tvarka.

3. Administracines baudas pagal kompetenciją skiria Valstybinės duomenų apsaugos inspekcijos direktorius arba žurnalistų etikos inspektorius ar jų įgaliotas asmuo.

4. Kai priežiūros institucija veikia vadovaudamasi Reglamento (ES) 2016/679 VII skyriaus 1 ir (ar) 2 skirsnių nuostatomis, netaikomi šio įstatymo 34 straipsnio 9 dalyje nustatyti administracinės baudos skyrimo terminai.“

 

18 straipsnis. Įstatymo papildymas 321 straipsniu

Papildyti Įstatymą 321 straipsniu:

321 straipsnis. Atsakomybė už tiesiogiai taikomų Europos Sąjungos teisės aktų pažeidimus

Jei tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar juos įgyvendinančiuose įstatymuose nenustatyta kitaip, už šių tiesiogiai taikomų Europos Sąjungos teisės aktų pažeidimus, padarytus tvarkant asmens duomenis, mutatis mutandis skiriama administracinė bauda, nurodyta Reglamento (ES) 2016/679 83 straipsnyje ir šio įstatymo 33 straipsnyje.“

 

19 straipsnis. 34 straipsnio pakeitimas

Pakeisti 34 straipsnio 9 dalį ir ją išdėstyti taip:

9. Kai byla nagrinėjama rašytinės procedūros tvarka, priežiūros institucija sprendimą dėl administracinės baudos skyrimo priima per 20 darbo dienų nuo šio straipsnio 1 dalyje nurodytame dokumente priežiūros institucijos nustatyto termino pabaigos. Jei byla nagrinėjama žodinės procedūros tvarka posėdyje, priežiūros institucija sprendimą dėl administracinės baudos skyrimo priima per 20 darbo dienų nuo posėdžio dienos. Priežiūros institucija sprendimą dėl administracinės baudos skyrimo ne vėliau kaip per 3 darbo dienas nuo priėmimo dienos išsiunčia asmeniui, dėl kurio šis sprendimas priimtas, ir pareiškėjui. Sprendimas dėl administracinės baudos skyrimo pareiškėjui nesiunčiamas tais atvejais, kai bauda skiriama už priežiūros institucijos nurodymų nevykdymą.“

 

20 straipsnis. Įstatymo priedo pakeitimas

Pakeisti Įstatymo priedą ir jį išdėstyti taip:

 

„Lietuvos Respublikos

asmens duomenų teisinės apsaugos

įstatymo

priedas

 

ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI

 

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

________________“.

 

 

 

21 straipsnis. Įstatyme nustatyto galiojančio teisinio reguliavimo ex post vertinimas

1. Lietuvos Respublikos teisingumo ministerija atlieka šiame įstatyme nustatyto galiojančio teisinio reguliavimo, susijusio su priežiūros institucijų atliekamu skundų nagrinėjimu, poveikio
ex post vertinimą (toliau – ex post vertinimas).

2. Atliekant ex post vertinimą, turi būti nustatyta, kokį poveikį šiame įstatyme nustatytos priemonės, susijusios su priežiūros institucijų atliekamu skundų nagrinėjimu, turėjo asmenų teisei į asmens duomenų apsaugą.

3. Ex post vertinimo laikotarpis – 2 metai nuo šio įstatymo įsigaliojimo dienos.

4. Ex post vertinimas turi būti atliktas iki 2025 m. liepos 1 d.

 

22 straipsnis. Įstatymo įsigaliojimas, įgyvendinimas ir taikymas

1. Šis įstatymas, išskyrus 5 straipsnį ir šio straipsnio 3 ir 4 dalis, įsigalioja
2023 m. sausio 2 d.

2. Šio įstatymo 5 straipsnis įsigalioja 2023 m. liepos 1 d.

3. Lietuvos Respublikos Vyriausybė, Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius iki 2022 m. gruodžio 31 d. priima šio įstatymo, išskyrus 5 straipsnį, įgyvendinamuosius teisės aktus.

4. Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius iki 2023 m. birželio 30 d. priima šio įstatymo 5 straipsnio įgyvendinamuosius teisės aktus.

5. Iki 2023 m. sausio 2 d. priežiūros institucijoms pateikti skundai nagrinėjami, taip pat pradėti tyrimai ir (ar) patikrinimai atliekami iki šio įstatymo įsigaliojimo nustatyta tvarka.

6. Šio įstatymo 9 straipsnyje išdėstyto Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo V skyriaus pirmojo skirsnio 191 straipsnio nuostatos taikomos ir asmens duomenų ir (ar) privatumo apsaugą reglamentuojančių teisės aktų pažeidimų nagrinėjimo procedūroms, pradėtoms iki šio įstatymo įsigaliojimo, jeigu šio įstatymo įsigaliojimo metu jos nėra užbaigtos ir dėl jų nėra priimtas priežiūros institucijos sprendimas.

 

 

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

 

 

 

Respublikos Prezidentas