1. Šio Įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu.

2. Šis Įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu ir taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus ir kita. Įstatymas nustato fizinių asmenų kaip duomenų subjektų teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų  teises, pareigas ir atsakomybę tvarkant asmens duomenis.

3. Šis Įstatymas taikomas asmens duomenų tvarkymui, kai:

4. Šis Įstatymas netaikomas, jeigu asmens duomenis tvarko fizinis asmuo ir tik savo asmeniniams poreikiams, nesusijusiems su verslu ar profesija, tenkinti.

5. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais, šis Įstatymas taikomas tiek, kiek kiti įstatymai nenustato kitaip.

6. Šiuo Įstatymu nevaržomas ir nedraudžiamas laisvas asmens duomenų judėjimas, vykdant Lietuvos Respublikos  narystės Europos Sąjungoje įsipareigojimus.

7. Šiuo Įstatymu siekiama suderinti Lietuvos Respublikos asmens duomenų teisinės apsaugos reguliavimą su Europos Sąjungos teisės aktais, nurodytais šio Įstatymo priede.

1. Asmens duomenys - bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai. 

2. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ir etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose ir politinėse partijose, sveikata, lytiniu gyvenimu, teistumu.

3. Duomenų valdytojas - juridinis ar fizinis asmuo, kurie vieni arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones.

4. Duomenų tvarkytojas - juridinis ar fizinis (nesantis duomenų valdytojo darbuotoju) asmuo, kurie yra duomenų valdytojo įgalioti tvarkyti asmens duomenis.

5. Duomenų gavėjas - juridinis ar fizinis asmuo, kuriems teikiami asmens duomenys. Šio Įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 29 straipsniuose, kitos valstybės ir savivaldybių institucijos ir įstaigos nėra duomenų gavėjai, kai šios institucijos ir įstaigos gauna asmens duomenis pagal konkretų paklausimą, vykdydamos įstatymų nustatytas funkcijas .

6. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Dėl ypatingų asmens duomenų sutikimas turi būti išreikštas aiškiai - rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią).

7. Trečiasis asmuo - juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją, asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.

8. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, laikymas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

9. Duomenų teikimas - asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

10. Susisteminta rinkmena - rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

11. Vidaus administravimas - veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių-finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

12. Išankstinė patikra - numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant šiame įstatyme nustatytais atvejais.

13. Tiesioginė rinkodara - veikla, kuri skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

14. Duomenų tvarkymas automatiniu būdu – tai duomenų tvarkymo veiksmai,  visiškai ar iš dalies atliekami automatinėmis priemonėmis.

15. Vieša duomenų rinkmena – valstybės registras ar kita duomenų rinkmena, kuri pagal įstatymus ar kitus teisės aktus skirta teikti informaciją visuomenei ir kuria teisėtai gali naudotis plačioji visuomenė.

1. Asmens duomenys turi būti:

2. Asmens duomenys, surinkti kitais tikslais, gali būti tvarkomi statistikos, istoriniais ar mokslinio tyrimo tikslais tik įstatymų nustatytais atvejais, kai įstatymuose numatytos tinkamos duomenų apsaugos priemonės.

3. Duomenų valdytojas privalo užtikrinti, kad būtų įgyvendinti šio straipsnio 1 ir 2 dalyse išdėstyti asmens duomenų tvarkymo principai.

Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.

1. Asmens duomenys gali būti tvarkomi, jeigu:

2. Draudžiama tvarkyti ypatingus asmens duomenis, išskyrus kai:

3. Duomenys apie asmens sveikatą taip pat gali būti tvarkomi šio Įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.

4. Asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, tyrimą ir kitais įstatymų nustatytais atvejais, gali tvarkyti tik viešasis juridinis asmuo įstatymų nustatyta tvarka. Kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti įstatymų nustatytais atvejais, kai tinkamai įgyvendintos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti.

Asmens duomenys šio Įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, sąlygos ir tvarka. Prašyme turi būti nurodytas duomenų naudojimo tikslas.

1. Asmens kodas - unikali skaitmenų seka, kuri asmeniui suteikiama Gyventojų registro įstatyme nustatyta tvarka.

2. Asmens kodą naudoti, tvarkant asmens duomenis, galima tik gavus duomenų subjekto sutikimą.

3. Be duomenų subjekto sutikimo asmens kodą galima naudoti tik:

Asmens duomenų tvarkymą žurnalistikos, meninės ir literatūrinės raiškos tikslais prižiūri Žurnalistų etikos inspektorius, kurio kompetenciją nustato, Visuomenės informavimo įstatymas. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio Įstatymo 1, 2, 3, 4, 6, 7, 22, 33 ir 34 straipsnių nuostatos.

Socialinio draudimo ir socialinės globos įstaigos, atlikdamos savo funkcijas, asmens duomenis viena kitai gali teikti be duomenų subjekto sutikimo.

1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą, kt.) gali tvarkyti įgaliotas sveikatos apsaugos sistemos darbuotojas. Pagal sveikatos sistemą ar pacientų teises reglamentuojančius įstatymus, Vyriausybės nutarimus bei Sveikatos apsaugos ministro įsakymus bei kitus teisės aktus šis darbuotojas privalo saugoti asmens sveikatos paslaptį.

2. Asmens duomenys mokslinio medicininio tyrimo tikslu tvarkomi vadovaujantis Biomedicininių tyrimų etikos įstatymu.

1. Asmens duomenų (t. y. vardo, pavardės, gimimo datos, asmens kodo, gyvenamosios vietos adreso, pilietybę, asmens tapatybę patvirtinančio dokumento numerio) tvarkymą rinkimų, referendumų, piliečių įstatymų leidybos iniciatyvos, politinių kampanijų, politinių partijų finansavimo tikslais nustato šis ir kiti įstatymai.

2. Vyriausiosios rinkimų komisijos pagal kandidatų ar jų atstovų pateiktus pareiškinius ir kitus dokumentus sudaryta ir interneto tinklapyje paskelbta informacija apie kandidatus, taip pat kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių sąrašai po rinkimų, referendumo rezultatų paskelbimo, taip pat politinės kampanijos aukotojų sąrašai po jų paskelbimo gali būti keičiami, kai taisomos kalbos klaidos ar informacija interneto tinklapyje skiriasi nuo informacijos, teisės aktų nustatytu laiku pateiktos pareiškiniuose ir kituose dokumentuose. Interneto tinklapyje negali būti skelbiami kandidatų ir kitų asmenų asmens kodai, pilietybę ar asmens tapatybę patvirtinančių dokumentų numeriai, tikslus gyvenamosios vietos adresas (gatvė, namo, buto numeris).

1. Atliekant mokslinį tyrimą, asmens duomenys tvarkomi, jei duomenų subjektas davė sutikimą. Be duomenų subjekto sutikimo asmens duomenys mokslinio tyrimo tikslais gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.

2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.

3. Moksliniam tyrimui surinkti ir saugomi asmens duomenys negali būti naudojami kitais tikslais.

4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.

5. Tyrimo rezultatai skelbiami kartu su asmens duomenimis, jeigu duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų paskelbti.

1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas bei saugojimas.

2. Asmens duomenys, surinkti ne statistikos tikslais, gali būti naudojami oficialiosios statistikos informacijai rengti, jeigu šiame ir kituose įstatymuose nenustatyta kitaip.

3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatyme nustatyta tvarka ir atvejais.

4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.

5. Ypatingi asmens duomenys statistikos tikslais renkami tik tokia forma, kuri neleistų tiesiogiai ar netiesiogiai nustatyti duomenų subjekto tapatybę, išskyrus įstatymų nustatytus atvejus.

1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.

2. Asmens duomenys negali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų subjektas turi būti supažindintas su savo teise nesutikti dėl savo asmens duomenų tvarkymo.

1. Duomenų subjektas įstatymų nustatyta tvarka turi teisę:

2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:

3. Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti duomenų subjekto prašymą, išreikštą rašytine forma, įgyvendinti šiame Įstatyme nustatytas duomenų subjekto teises, ir pateikti jam atsakymą raštu per 30 kalendorinių dienų nuo prašymo gavimo. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus/neveikimą Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šioje dalyje nustatytas terminas atsakymui pateikti.

1. Duomenų valdytojas privalo suteikti duomenų subjektui, kurio asmens duomenis renka tiesiogiai iš jo, šią informaciją, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi:

2. Duomenų valdytojas, kuris asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą, pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami, išskyrus atvejus, kai įstatymai ar kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti šią informaciją, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi:

3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, jis privalo informuoti duomenų subjektą kam ir kokiais tikslais jo asmens duomenys bus teikiami prieš teikdamas duomenų subjekto duomenis.

4. Šio straipsnio 2 dalis netaikoma tvarkant asmens duomenis statistikos arba istoriniais ar mokslinio tyrimo tikslais, kai tokios informacijos pateikti neįmanoma ar pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų), arba kai duomenų rinkimo ir teikimo tvarką nustato įstatymai. Tokiais atvejais duomenų valdytojas privalo informuoti Valstybinę duomenų apsaugos inspekciją šio Įstatymo 24 straipsnio nustatyta tvarka.

1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami.

2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė ar jos įgaliota institucija.

1. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo asmens duomenis patikrinti ir duomenų subjekto prašymu (išreikštu rašytine, žodine ar kita forma) nedelsdamas ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus.

2. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus.

3. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi kol bus ištaisyti ar sunaikinti (duomenų subjektui prašant arba pasibaigus duomenų saugojimo terminui), kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

4. Duomenų valdytojas privalo nedelsdamas duomenų subjektui pranešti apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.

5. Asmens duomenys taisomi ir naikinami arba sustabdomi jų tvarkymo veiksmai pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą.

6. Jei duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, juos patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.                                                       

7. Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

1. Duomenų valdytojas šio Įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose  nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu, privalo supažindinti duomenų subjektą su jo teise nesutikti dėl jo asmens duomenų tvarkymo veiksmų.

2.  Duomenų subjektas šio Įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti (raštu, žodžiu ar kitokia forma) dėl savo asmens duomenų tvarkymo veiksmų. Jei duomenų subjekto nesutikimas dėl savo asmens duomenų tvarkymo veiksmų yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų numatytus atvejus, ir informuoti duomenų gavėjus.

3. Duomenų subjektas turi teisę nesutikti dėl savo asmens duomenų tvarkymo veiksmų, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu. Šiuo atveju duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų numatytus atvejus, ir informuoti duomenų gavėjus.

4. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.

1. Negali būti priimamas sprendimas dėl duomenų subjekto savybių (kreditingumo, patikimumo, darbingumo, kt.), jei tokios savybės buvo įvertintos tik automatiniu būdu, kai toks sprendimas gali sukelti duomenų subjektui teisines pasekmes ar kitaip jį paveikti, išskyrus šiuos atvejus:

2. Duomenų valdytojas, prieš pradėdamas duomenų subjekto savybių vertinimą automatiniu būdu, privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatyta vertinimo tvarka.

3. Jei duomenų valdytojas įvertina duomenų subjekto savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, duomenų subjektas turi teisę pareikšti savo nuomonę dėl jo savybių įvertinimo ir vertinimo tvarkos. Duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti neautomatiniu būdu.

1. Valstybinė duomenų apsaugos inspekcija padeda duomenų subjektui įgyvendinti jo teisę, susipažinti su savo asmens duomenimis.

2. Duomenų subjektas, kreipdamasis į Valstybinę duomenų apsaugos inspekciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Valstybinę duomenų apsaugos inspekciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.

3. Vykdydama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Valstybinė duomenų apsaugos inspekcija neturi teisės rinkti Valstybės ir tarnybos paslapčių įstatyme nustatytų duomenų, kurie yra įslaptinta informacija.

4. Šio straipsnio 2 dalyje nustatyta paslauga duomenų subjektui teikiama atlygintinai. Atlyginimo dydis neturi viršyti duomenų rinkimo ir teikimo paslaugos sąnaudų.

1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Minėtos priemonės turi užtikrinti  tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką ir turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (asmens duomenų tvarkymo taisyklėse,  duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.).

2. Jei duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.

3. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.

4. Duomenų valdytojo ir duomenų tvarkytojo, nesančio duomenų valdytoju, santykiai turi būti reglamentuojami rašytine sutartimi, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai.

5. Duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis privalo saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti viešam skelbimui. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

6. Duomenų valdytojai ar kiti asmenys turi teisę savanoriškai rengti asmens duomenų tvarkymo taisykles (instrukcijas), kurios padėtų tinkamai įgyvendinti šio Įstatymo ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas. Parengę asmens duomenų tvarkymo taisykles (instrukcijas), duomenų valdytojai ar kiti asmenys turi jas pateikti įvertinti Valstybinei duomenų apsaugos inspekcijai.

Duomenų valdytojas automatiniu būdu gali tvarkyti asmens duomenis tik kai jis arba jo atstovas (pagal šio Įstatymo 1 straipsnio 3 dalies 3 punktą) Vyriausybės nustatyta tvarka praneša Valstybinei duomenų apsaugos inspekcijai, išskyrus, jeigu asmens duomenys tvarkomi:

1. Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą šiais atvejais:

2. Duomenų valdytojas arba duomenų apsaugos įgaliotinis privalo Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka ne vėliau kaip prieš 2 mėnesius iki numatomų duomenų tvarkymo veiksmų pradžios pranešti Valstybinei duomenų apsaugos inspekcijai apie atvejus, nurodytus šio straipsnio 1 dalyje, išskyrus išimtį numatytą šio straipsnio 3 dalyje. Tokie duomenų tvarkymo veiksmai gali būti atliekami tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą. Valstybinė duomenų apsaugos inspekcija privalo per 2 mėnesius nuo pranešimo gavimo dienos atlikti jo nustatyta tvarka išankstinę patikrą ir išduoti arba atsisakyti išduoti leidimą duomenų valdytojui atlikti  asmens duomenų tvarkymo veiksmus. Valstybinės duomenų apsaugos inspekcijos sprendimas neišduoti  leidimo duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus gali būti skundžiamas įstatymų nustatyta tvarka. Jei Valstybinė duomenų apsaugos inspekcija per 2 mėnesius nuo šioje dalyje nurodyto pranešimo gavimo dienos nepriima sprendimo dėl leidimo išdavimo ar atsisakymo jį išduoti, laikoma, kad leidimas duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, dėl kurių buvo pateiktas pranešimas, yra išduotas.

1. Duomenų valdytojai, siekdami tinkamai įgyvendinti šio Įstatymo nuostatas, turi teisę paskirti duomenų apsaugos įgaliotinį.

2. Duomenų valdytojo paskirtas duomenų apsaugos įgaliotinis atsiskaito už savo pareigų, numatytų šio Įstatymo 26 straipsnio 1 dalyje, vykdymą jį paskyrusio duomenų valdytojo (juridinio asmens) valdymo organui arba fiziniam asmeniui, kuris yra duomenų valdytojas. Duomenų valdytojas privalo sudaryti sąlygas duomenų apsaugos įgaliotiniui savarankiškai vykdyti savo funkcijas.

3. Duomenų apsaugos įgaliotiniu gali būti skiriamas asmuo, susipažinęs su Lietuvos Respublikos įstatymais, Vyriausybės nutarimais ir kitais teisės aktais, reglamentuojančiais  duomenų apsaugą, taip pat turintis žinių informacijos technologijų taikymo srityje.

4. Duomenų apsaugos įgaliotinis turi pranešti jį paskyrusio duomenų valdytojo (juridinio asmens) valdymo organui arba fiziniam asmeniui, kuris yra duomenų valdytojas, kai atsiranda aplinkybių, trukdančių duomenų apsaugos įgaliotiniui veikti.

1. Duomenų apsaugos įgaliotinis privalo:       

2. Duomenų apsaugos įgaliotinio teisės:

1. Duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre.

2. Asmens duomenų valdytojų valstybės registrą tvarko Valstybinė duomenų apsaugos inspekcija.

1. Asmens duomenys teikiami duomenų gavėjams užsienio valstybėse, gavus Valstybinės duomenų apsaugos inspekcijos leidimą, išskyrus šio straipsnio 4 dalyje numatytus atvejus.

2. Valstybinė duomenų apsaugos inspekcija išduoda leidimą teikti asmens duomenis į užsienio valstybes, jei šiose valstybėse yra tinkamas asmens duomenų teisinės apsaugos lygis. Asmens duomenų teisinės apsaugos lygis vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų teikimu, ypač į užsienio šalyje, į kurią teikiami asmens duomenys, galiojančius įstatymus bei kitus teisės aktus, užtikrinančius asmens duomenų teisinę apsaugą, į teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus, trukmę, saugumo priemones, kurių bus laikomasi toje valstybėje.

3. Valstybinė duomenų apsaugos inspekcija gali išduoti leidimą teikti asmens duomenis į užsienio valstybę, kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio, jeigu duomenų valdytojas yra nustatęs tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto  teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į užsienio valstybes sutartyje.

4. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenys teikiami į užsienio valstybę arba tarptautinei teisėsaugos organizacijai tik tuo atveju, jeigu:

1. Asmens duomenų teisinės apsaugos įstatymo, išskyrus 8 straipsnį, vykdymą prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji yra atskaitinga Vyriausybei. Valstybinės duomenų apsaugos inspekcijos nuostatus tvirtina Vyriausybė.

2. Svarbiausieji Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra prižiūrėti duomenų valdytojų veiklą, tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, kovoti su duomenų tvarkymo pažeidimais, užtikrinti duomenų subjekto teisių apsaugą.

3. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti asmens duomenų tvarkymo teismuose.

1. Valstybinė duomenų apsaugos inspekcija savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, šiuo Įstatymu, kitais įstatymais ir teisės aktais.

2. Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo, nepriklausomumo, vykdant savo funkcijas, principais.

3. Valstybės ir savivaldybių institucijos ir įstaigos, Lietuvos Respublikos Seimo nariai ir kiti pareigūnai, politinės partijos, politinės ir visuomeninės organizacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojams daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į valstybinės duomenų apsaugos inspekcijos veiklą užtraukia  įstatymų numatytą atsakomybę.

Valstybinė duomenų apsaugos inspekcija:

Valstybinė duomenų apsaugos inspekcija turi teisę:

Duomenų valdytojams, duomenų tvarkytojams ir kitiems asmenims, pažeidusiems šį Įstatymą, taikoma Lietuvos Respublikos įstatymų nustatyta atsakomybė.

1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo arba kitų asmenų veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.

2. Turtinės ir neturtinės žalos dydį nustato teismas.

1. Šis įstatymas, išskyrus 1 straipsnio 3 dalies 3 punktą, 6 dalį, 7, 21 straipsnius, įsigalioja nuo 2003 m. sausio 1 d.

2. Šio Įstatymo 1 straipsnio 3 dalies 3 punktas ir 6 dalis įsigalioja Lietuvai tapus Europos  Sąjungos nare.

3. Šio Įstatymo 7 ir 21 straipsniai įsigalioja nuo 2004 m. sausio 1 d.

1. Vyriausybė iki 2002 m. gruodžio 15 d. pateikia Seimui su šio Įstatymo įgyvendinimu susijusių įstatymų pakeitimų ir papildymų projektus.

2. Vyriausybė iki 2002 m. gruodžio 31 d. patvirtina šiam Įstatymui įgyvendinti reikalingus teisės aktus.

3. Duomenų valdytojai, kurie įsigaliojus šiam Įstatymui tęsia asmens duomenų tvarkymo veiksmus šio Įstatymo 24 straipsnio 1 dalyje nustatytais atvejais, privalo apie tai pranešti Valstybinei duomenų apsaugos inspekcijai ne vėliau kaip per 2 mėnesius nuo šio Įstatymo įsigaliojimo dienos. Duomenų valdytojų pranešimas nesustabdo ir nenutraukia  asmens duomenų tvarkymo veiksmų atlikimo, jeigu Valstybinė duomenų apsaugos inspekcija nenustato kitaip.“