I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenys turi būti:

2. Tam pačiam arba kitam duomenų valdytojui tvarkyti asmens duomenis kitais šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais nei tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu vadovaujantis Europos Sąjungos arba Lietuvos Respublikos teisės aktais duomenų valdytojui leidžiama tvarkyti tokius asmens duomenis tokiu tikslu ir duomenų tvarkymas tokiu tikslu yra būtinas bei proporcingas.

3. To paties ar kito duomenų valdytojo vykdomas asmens duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimą mokslinio, statistinio ar istorinio tyrimo tikslu siekiant šio įstatymo 1 straipsnio 2 dalyje nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

4. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi šio straipsnio 1–3 dalių, ir turi sugebėti įrodyti, kad jų laikomasi.

Asmens duomenų ištrynimo arba asmens duomenų saugojimo poreikio periodinės peržiūros terminai nustatomi Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais. Šių terminų laikymasis užtikrinamas procedūrinėmis priemonėmis.

Jei duomenų valdytojas tvarko skirtingų kategorijų duomenų subjektų asmens duomenis, jis, kiek įmanoma, privalo aiškiai šiuos duomenis atskirti. Šis reikalavimas taikomas tvarkant šių kategorijų duomenų subjektų asmens duomenis:

1. Duomenų valdytojas, kiek įmanoma, faktais pagrįstus asmens duomenis turi atskirti nuo asmeniniais vertinimais pagrįstų asmens duomenų.

2. Kompetentingos institucijos privalo imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, patikrina asmens duomenų kokybę prieš juos persiųsdama arba prieš suteikdama galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę duomenis gaunančiai kompetentingai institucijai įvertinti asmens duomenų tikslumo, išsamumo ir patikimumo laipsnį, taip pat jų naujumą.

3. Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, duomenų gavėjas nedelsiant apie tai informuojamas. Tokiu atveju šie asmens duomenys pagal šio įstatymo 14 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu jis būtinas, ir tiek, kiek jis būtinas kompetentingai institucijai atlikti funkcijas šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, ir grindžiamas Europos Sąjungos arba Lietuvos Respublikos teisės aktais. Lietuvos Respublikos teisės aktuose, reguliuojančiuose asmens duomenų tvarkymą, turi būti nurodyti duomenų tvarkymo siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą.

2. Kompetentingų institucijų šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais renkami asmens duomenys negali būti tvarkomi kitais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus. Jei asmens duomenys tvarkomi kitais tikslais, taikomas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

3. Kai kompetentingoms institucijoms pagal Lietuvos Respublikos teisės aktus yra pavesta atlikti kitas funkcijas, nei tas, kurios vykdomos šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, tvarkant asmens duomenis tokiais tikslais, įskaitant archyvavimą dėl viešojo intereso, naudojimą mokslinių ar istorinių tyrimų tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymas.

4. Tais atvejais, kai Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, taikomuose duomenis persiunčiančiai kompetentingai institucijai, numatytos specialios asmens duomenų tvarkymo sąlygos, asmens duomenis persiunčianti kompetentinga institucija turi informuoti tokių asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

5. Asmens duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose Europos Sąjungos valstybėse narėse arba agentūroms, organams ir įstaigoms, įsteigtiems pagal Sutarties dėl Europos Sąjungos veikimo (OL 2016 C 202, p. 47) V antraštinės dalies 4 ir 5 skyrius, pagal šio straipsnio 4 dalį netaiko kitokių sąlygų nei tos, kurios taikomos panašiems asmens duomenų persiuntimams, kai jie atliekami Lietuvos Respublikoje.

Asmens duomenų tvarkymas, kuriuo atskleidžiama rasinė ar etninė kilmė, politinės pažiūros, religiniai, filosofiniai įsitikinimai ar priklausymas profesinėms sąjungoms, taip pat genetinių duomenų, biometrinių duomenų tvarkymas, siekiant konkrečiai nustatyti fizinio asmens tapatybę, arba sveikatos duomenų ar duomenų apie lytinį gyvenimą ar seksualinę orientaciją tvarkymas leidžiamas tik tada, jei tai tikrai būtina ir jei taikomos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, ir jeigu:

1. Draudžiama priimti sprendimą remiantis tik automatiniu duomenų tvarkymu, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla neigiamų teisinių pasekmių arba kuris jam turi didelės įtakos, išskyrus tuos atvejus, kai tai leidžiama pagal Europos Sąjungos ar Lietuvos Respublikos  teisės aktus, kurie taikomi duomenų valdytojui ir kuriais nustatytos tinkamos duomenų subjekto teisių ir laisvių apsaugos priemonės, bent jau teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo.

2. Šio straipsnio 1 dalyje nurodyti sprendimai negali būti grindžiami šio įstatymo 8 straipsnyje nurodytais specialių kategorijų asmens duomenimis, nebent yra nustatytos tinkamos priemonės duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti.

3. Draudžiamas profiliavimas, sukeliantis fizinių asmenų diskriminaciją remiantis šio įstatymo 8 straipsnyje nurodytais specialių kategorijų asmens duomenimis.

1. Duomenų valdytojas turi imtis visų  pagrįstų priemonių, kad šio įstatymo 11 straipsnyje nurodyta informacija ir pranešimai pagal šio įstatymo 12–16 ir 30 straipsnius, susiję su asmens duomenų tvarkymu, duomenų subjektui būtų pateikiami glausta, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama elektroniniu būdu ir (ar) bet kokiomis kitomis tinkamomis priemonėmis. Duomenų valdytojas duomenų subjekto prašomą pateikti informaciją apie asmens duomenų tvarkymą pateikia tokia pačia forma, kokia buvo gautas prašymas.

2. Duomenų valdytojas sudaro palankias sąlygas naudotis šio įstatymo 12–16 straipsniuose nustatytomis duomenų subjekto teisėmis.

3. Duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos, raštu pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal šio įstatymo 12–15 straipsnius, arba atsisakymą imtis veiksmų pagal duomenų subjekto prašymą. Šis terminas prireikus gali būti pratęstas iki trijų mėnesių, atsižvelgiant į duomenų subjekto pateiktų prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo dienos raštu informuoja duomenų subjektą apie termino pratęsimą ir pratęsimo priežastis. Jei duomenų valdytojas atsisako imtis veiksmų pagal duomenų subjekto prašymą, jis informuoja duomenų subjektą apie atsisakymo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą ar, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, galimybę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

4. Duomenų valdytojas šio straipsnio 1 dalyje nurodytą informaciją ir pranešimus teikia bei kitus veiksmus, susijusius su duomenų subjektų teisių įgyvendinimu, atlieka nemokamai. Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, duomenų valdytojas gali:

5. Šio straipsnio 4 dalyje nurodytu atveju pareiga įrodyti, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka duomenų valdytojui.

6. Atlyginimo, imamo vadovaujantis šio straipsnio 4 dalies 1 punktu, dydis neturi viršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Atlyginimo dydį duomenų valdytojas nustato ir tvirtina atsižvelgdamas į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.

7. Jei duomenų valdytojas turi pagrįstų abejonių dėl šio įstatymo 12 arba 14 straipsnyje nurodytą prašymą pateikusio fizinio asmens tapatybės, jis gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

1. Duomenų valdytojas privalo duomenų subjektui padaryti prieinamą (paskelbti duomenų valdytojo interneto svetainėje arba padaryti kitu būdu prieinamą) šią informaciją:

2. Tais atvejais, kai duomenų valdytojas ketina tvarkyti ar tvarko duomenų subjekto asmens duomenis, jis duomenų subjektui turi pateikti šią informaciją, kad duomenų subjektas galėtų pasinaudoti savo teisėmis:

3. Informacijos teikimas duomenų subjektui pagal šio straipsnio 2 dalį gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama Lietuvos Respublikos įstatymuose nurodytais atvejais tiek, kiek ir tol, kol tai, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga siekiant:

4. Informacijos teikimas duomenų subjektui pagal šio straipsnio 2 dalį gali būti atidėtas, apribotas arba ši informacija gali būti neteikiama tiek, kiek ir tol, kol tai, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtina ir proporcinga siekiant užtikrinti nacionalinį saugumą.

Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei jie tvarkomi, jis turi teisę susipažinti su asmens duomenimis ir šia informacija apie:

1. Duomenų subjekto teisė susipažinti su duomenimis, nustatyta šio įstatymo 12 straipsnyje,  gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nurodytais atvejais tiek, kiek ir tol, kol toks apribojimas, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:

2. Duomenų subjekto teisė susipažinti su duomenimis, nustatyta šio įstatymo 12 straipsnyje,  gali būti visiškai arba iš dalies apribota tiek, kiek ir tol, kol toks apribojimas, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant užtikrinti nacionalinį saugumą.

3. Šio straipsnio 1 ir (ar) 2 dalyse nurodytais atvejais duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą suteikti teisę susipažinti su duomenimis arba tokios teisės apribojimą ir tokio atsisakymo ar apribojimo priežastis. Tokia informacija gali būti nesuteikta, jeigu jos pateikimas pakenktų tikslui, nurodytam šio straipsnio 1 ir (ar) 2 dalyse. Duomenų valdytojas turi informuoti duomenų subjektą apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą ar, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, teisę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

4. Duomenų valdytojas turi kiekvienu konkrečiu atveju įvertinti, ar teisė susipažinti su asmens duomenimis turi būti visiškai arba iš dalies apribota, taip pat dokumentuoti faktines arba teisines priežastis, kuriomis pagrįstas sprendimas apriboti šią teisę, ir prireikus šią informaciją pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu arba, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų, jo prašymu.

1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištaisytų netikslius jo asmens duomenis. Atsižvelgdamas į asmens duomenų tvarkymo tikslus, duomenų subjektas taip pat turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys.

2. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištrintų jo asmens duomenis, jeigu jų tvarkymas pažeidžia šio įstatymo 3 straipsnį, 7 straipsnio 1 dalį ir (ar) 8 straipsnį arba jeigu asmens duomenys turi būti ištrinti vykdant teisinę prievolę, kuri taikoma duomenų valdytojui. Duomenų valdytojas privalo nedelsdamas ištrinti asmens duomenis, jei duomenų subjekto prašymas pagrįstas.

3. Duomenų valdytojas apriboja asmens duomenų tvarkymą jų neištrindamas, jeigu:

4. Jeigu duomenų tvarkymas ribojamas pagal šio straipsnio 3 dalies 1 punktą, duomenų valdytojas, prieš panaikindamas duomenų tvarkymo apribojimą, informuoja apie tai duomenų subjektą.

5. Duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie tokio atsisakymo priežastis. Pareiga pateikti tokią informaciją gali būti visiškai arba iš dalies apribota Lietuvos Respublikos įstatymuose nurodytais atvejais tiek, kiek toks apribojimas, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant:

6. Duomenų valdytojas turi raštu informuoti duomenų subjektą apie bet kokį atsisakymą ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą ir apie tokio atsisakymo priežastis. Pareiga pateikti tokią informaciją gali būti visiškai arba iš dalies apribota tiek, kiek toks apribojimas, atsižvelgiant į susijusio fizinio asmens pagrindines teises ir teisėtus interesus, demokratinėje visuomenėje yra būtinas ir proporcingas siekiant užtikrinti nacionalinį saugumą.

7. Duomenų valdytojas šio straipsnio 5 ir (ar) 6 dalyse nurodytais atvejais turi informuoti duomenų subjektą apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai arba kreiptis į teismą ar, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais, galimybę pateikti skundą kitam subjektui, kuris pagal Lietuvos Respublikos įstatymus, reglamentuojančius kompetentingų institucijų veiklą, nagrinėja skundus dėl žmogaus teisių ir laisvių pažeidimų.

8. Duomenų valdytojas nedelsdamas turi pranešti apie netikslių asmens duomenų ištaisymą kompetentingai institucijai, iš kurios tie netikslūs asmens duomenys buvo gauti.

9. Tais atvejais, kai pagal šio straipsnio 1–3 dalis asmens duomenys buvo ištaisyti ar ištrinti arba buvo apribotas jų tvarkymas, duomenų valdytojas nedelsdamas turi informuoti duomenų gavėjus, o duomenų gavėjai turi ištaisyti ar ištrinti asmens duomenis arba apriboti asmens duomenų tvarkymą.

1. Duomenų subjektas šio įstatymo 11 straipsnio 3 dalyje, 13 straipsnio 3 dalyje ir 14 straipsnio 5 dalyje nurodytais atvejais gali įgyvendinti savo teises ir kreiptis į Valstybinę duomenų apsaugos inspekciją jos nustatyta tvarka, išskyrus, kai asmens duomenys tvarkomi nacionalinio saugumo ar gynybos tikslais. Duomenų valdytojas turi informuoti duomenų subjektą apie tokią galimybę.

2. Jei naudojamasi šio straipsnio 1 dalyje nurodyta teise, Valstybinė duomenų apsaugos inspekcija informuoja duomenų subjektą bent apie tai, kad ji atliko visus būtinus patikrinimus arba peržiūrą. Valstybinė duomenų apsaugos inspekcija taip pat informuoja duomenų subjektą apie jo teisę kreiptis į teismą.

Vykstant baudžiamajam procesui, duomenų subjektas teisėmis, nurodytomis šio įstatymo 11, 12 ir 14 straipsniuose, naudojasi tiek, kiek Lietuvos Respublikos baudžiamojo proceso kodeksas nenustato kitokios teisių įgyvendinimo tvarkos.

1. Duomenų valdytojas, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio įstatymo. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, šio straipsnio 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą asmens duomenų apsaugos politiką.

1. Duomenų valdytojas, atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu įgyvendina tinkamas technines ir organizacines priemones (pseudonimų suteikimą ir (ar) kitas priemones), kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų apsaugotos duomenų subjektų teisės.

2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, saugojimo laikotarpiui ir prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.

1. Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriai nustato savo atsakomybę už šio įstatymo nuostatų, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir su pareigomis duomenų subjektui pateikti šio įstatymo 11 straipsnyje nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė nustatoma Europos Sąjungos arba Lietuvos Respublikos teisės aktuose. Tokiame  susitarime turi būti nustatyta, į kurį duomenų valdytoją duomenų subjektas turi kreiptis dėl savo teisių įgyvendinimo.

2. Nepaisant šio straipsnio 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis šiame įstatyme nustatytomis teisėmis kiekvieno iš duomenų valdytojų atžvilgiu.

1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio įstatymo reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.

3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas rašytine sutartimi ar Europos Sąjungos arba Lietuvos Respublikos teisės aktu, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomas duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:

4. Jeigu duomenų tvarkytojas, pažeisdamas šį įstatymą, nustato duomenų tvarkymo tikslus ir priemones, to duomenų tvarkymo atžvilgiu tas duomenų tvarkytojas laikomas duomenų valdytoju.

Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, gali tvarkyti asmens duomenis tik pagal duomenų valdytojo nurodymus, nebent Europos Sąjungos arba Lietuvos Respublikos teisės aktai numato kitaip.

1. Duomenų valdytojai tvarko visų kategorijų duomenų tvarkymo veiklos, už kurią jie atsako, įrašus, kuriuose pateikiama ši informacija:

2. Kiekvienas duomenų tvarkytojas tvarko su visų kategorijų duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

3. Šio straipsnio 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektroninės formos įrašus.

4. Duomenų valdytojas ir duomenų tvarkytojas turi pateikti šio straipsnio 1 ir 2 dalyse nurodytus įrašus Valstybinei duomenų apsaugos inspekcijai jos prašymu, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

1. Duomenų valdytojas užtikrina, kad būtų saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas, atliktas automatinėse duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris atliko asmens duomenų užklausą arba juos atskleidė, tapatybę ir tokių asmens duomenų gavėjų tapatybę.

2. Registracijos įrašai naudojami tik siekiant patikrinti duomenų tvarkymo teisėtumą, vykdyti savikontrolę, užtikrinti asmens duomenų vientisumą bei saugumą, taip pat baudžiamojo proceso tikslais.

3. Duomenų valdytojas ir duomenų tvarkytojas turi pateikti registracijos įrašus Valstybinei duomenų apsaugos inspekcijai jos prašymu, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

Gavęs Valstybinės duomenų apsaugos inspekcijos prašymą, duomenų valdytojas ir duomenų tvarkytojas bendradarbiauja su Valstybine duomenų apsaugos inspekcija jai vykdant funkcijas.

1. Kai dėl duomenų tvarkymo rūšies, visų pirma naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, žmogaus teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir parengia poveikio duomenų apsaugai vertinimo ataskaitą.

2. Poveikio duomenų apsaugai vertinimo ataskaitoje pateikiamas bendras numatytų duomenų tvarkymo operacijų aprašymas, pavojaus duomenų subjektų teisėms ir laisvėms vertinimas, numatytos priemonės tam pavojui pašalinti, apsaugos priemonės, saugumo priemonės ir mechanizmai, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi šio įstatymo, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus, ir kita, duomenų valdytojo nuomone, svarbi informacija.

1. Duomenų valdytojas arba duomenų tvarkytojas iš anksto konsultuojasi su Valstybine duomenų apsaugos inspekcija prieš tvarkydamas asmens duomenis, kurie bus įtraukti į naujai kuriamą susistemintą rinkinį, jeigu:

2. Valstybinė duomenų apsaugos inspekcija gali sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, dėl kurių turi būti konsultuojamasi pagal šio straipsnio 1 dalį, sąrašą.

3. Duomenų valdytojas turi pateikti Valstybinei duomenų apsaugos inspekcijai poveikio duomenų apsaugai vertinimo ataskaitą, o Valstybinės duomenų inspekcijos prašymu – ir kitą informaciją, kad Valstybinė duomenų apsaugos inspekcija galėtų įvertinti, ar duomenų tvarkymas atitinka šio įstatymo reikalavimus, ir visų pirma pavojų duomenų subjekto asmens duomenų apsaugai ir susijusias apsaugos priemones.

4. Jeigu Valstybinė duomenų apsaugos inspekcija laikosi nuomonės, kad šio straipsnio 1 dalyje nustatytas duomenų tvarkymas šio įstatymo nuostatas pažeistų, visų pirma tais atvejais, kai duomenų valdytojas nepakankamai nustatė arba nepakankamai sumažino pavojų, Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per šešias savaites nuo prašymo suteikti konsultaciją gavimo dienos turi raštu pateikti duomenų valdytojui ir, jei reikia, duomenų tvarkytojui rekomendacijas ir gali pasinaudoti bet kuriomis šio įstatymo 41 straipsnyje nurodytomis  teisėmis. Šis terminas gali būti pratęstas vieną mėnesį, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. Valstybinė duomenų apsaugos inspekcija informuoja duomenų valdytoją ir, jei reikia,  duomenų tvarkytoją, apie termino pratęsimą ir pratęsimo priežastis per vieną mėnesį nuo prašymo suteikti konsultaciją gavimo dienos.

5. Rengiant įstatymų ir kitų teisės aktų projektus, susijusius su asmens duomenų tvarkymu šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, šie projektai turi būti teikiami Valstybinei duomenų apsaugos inspekcijai, kad ji pateiktų savo išvadas.

6. Šio straipsnio nuostatos, išskyrus šio straipsnio 5 dalį, netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis tvarko nacionalinio saugumo arba gynybos tikslais.

Duomenų valdytojai turi diegti veiksmingus mechanizmus, kuriais būtų skatinama jiems konfidencialiai pranešti apie šio įstatymo pažeidimus dėl asmens duomenų tvarkymo duomenų valdytojo atsakomybės srityje.

1. Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdami į technines galimybes, įgyvendinimo sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat įvairios tikimybės ir rimtumo pavojus žmogaus teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, visų pirma kiek tai susiję su šio įstatymo 8 straipsnyje nurodytu specialių kategorijų asmens duomenų tvarkymu.

2. Automatinio duomenų tvarkymo srityje duomenų valdytojas arba duomenų tvarkytojas, atlikę rizikos vertinimą, turi įgyvendinti priemones, kuriomis siekiama:

1. Duomenų valdytojas nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, turi pranešti apie jį Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus žmogaus teisėms ir laisvėms. Jeigu pranešimas Valstybinei duomenų apsaugos inspekcijai pateikiamas vėliau nei per 72 valandas, prie jo pridedama informacija apie vėlavimo priežastis.

2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas apie tai praneša duomenų valdytojui.

3. Šio straipsnio 1 dalyje nurodytame pranešime turi būti:

4. Jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nedelsiant gali būti teikiama dalimis.

5. Duomenų valdytojas dokumentuoja visus šio straipsnio 1 dalyje nurodytus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, Valstybinė duomenų apsaugos inspekcija turi turėti galimybę patikrinti, ar laikomasi šio straipsnio nuostatų.

6. Kai asmens duomenų saugumo pažeidimas yra susijęs su asmens duomenimis, kurie buvo persiųsti kitos Europos Sąjungos valstybės narės duomenų valdytojo arba kitos Europos Sąjungos valstybės narės duomenų valdytojui, šio straipsnio 3 dalyje nurodyta informacija nedelsiant turi būti pateikta tos Europos Sąjungos valstybės narės duomenų valdytojui.

7. Šio straipsnio nuostatos netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis tvarko nacionalinio saugumo arba gynybos tikslais.

1. Jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.

2. Šio straipsnio 1 dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama šio įstatymo 29 straipsnio 3 dalies 2–5 punktuose nurodyta informacija.

3. Šio straipsnio 1 dalyje nurodytu atveju pranešti duomenų subjektui nereikalaujama, jeigu įvykdoma bent viena iš šių sąlygų:

4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, Valstybinė duomenų apsaugos inspekcija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus žmogaus teisėms ir laisvėms, gali pareikalauti, kad duomenų valdytojas tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš šio straipsnio 3 dalyje nurodytų sąlygų, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

5. Šio straipsnio 1 dalyje nurodytas pranešimas duomenų subjektui gali būti atidėtas, apribotas arba jo galima nepateikti, laikantis šio įstatymo 11 straipsnio 3 dalyje nurodytų sąlygų ir pagrindų.

1. Duomenų valdytojas turi paskirti duomenų apsaugos pareigūną. Prievolė paskirti duomenų apsaugos pareigūną netaikoma teismams, kai jie asmens duomenis tvarko vykdydami teisingumą.

2. Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti šio įstatymo 33 straipsnyje nurodytas užduotis.

3. Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms kompetentingoms institucijoms, atsižvelgiant į jų organizacinę struktūrą ir dydį.

4. Duomenų valdytojas viešai paskelbia duomenų apsaugos pareigūno kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą). Duomenų valdytojas duomenų apsaugos pareigūno vardą, pavardę ir jo kontaktinius duomenis (adresą, telefono ryšio numerį ir (ar) elektroninio pašto adresą) perduoda Valstybinei duomenų apsaugos inspekcijai per 10 darbo dienų nuo jo paskyrimo dienos, išskyrus atvejus, kai asmens duomenys tvarkomi nacionalinio saugumo arba gynybos tikslais.

1. Duomenų valdytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

2. Duomenų valdytojas padeda duomenų apsaugos pareigūnui atlikti šio įstatymo 33 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinus išteklius ir galimybę susipažinti su asmens duomenimis bei duomenų tvarkymo operacijomis, taip pat išlaikyti savo ekspertines žinias.

1. Duomenų valdytojas duomenų apsaugos pareigūnui paveda atlikti šias užduotis:

2. Duomenų valdytojas turi teisę pavesti duomenų apsaugos pareigūnui atlikti ir kitas užduotis, susijusias su šio įstatymo įgyvendinimu. Duomenų valdytojas užtikrina, kad dėl to nekiltų interesų konfliktas.

1. Kompetentingos institucijos gali perduoti asmens duomenis, kurie yra tvarkomi arba kuriuos ketinama tvarkyti juos perdavus trečiajai valstybei arba tarptautinei organizacijai, įskaitant ir tolesnius perdavimus į kitą trečiąją valstybę arba tarptautinei organizacijai, tik tuo atveju, kai toks perdavimas atitinka šio įstatymo reikalavimus ir šiame skirsnyje nustatytas sąlygas, tai yra:

2. Perduoti duomenis be kitos Europos Sąjungos valstybės narės išankstinio leidimo pagal šio straipsnio 1 dalies 3 punktą leidžiama tik tuo atveju, jeigu asmens duomenis būtina perduoti siekiant užkirsti kelią tiesioginei ir didelei grėsmei Lietuvos Respublikos arba trečiosios valstybės visuomenės saugumui arba Lietuvos Respublikos esminiams interesams, o išankstinio leidimo laiku gauti negalima. Apie tokį asmens duomenų perdavimą nedelsiant informuojama kitos Europos Sąjungos valstybės narės institucija, atsakinga už išankstinio leidimo suteikimą.

3. Visos šio skirsnio nuostatos taikomos siekiant užtikrinti, kad nesumažėtų šiuo įstatymu fiziniams asmenims užtikrinamos apsaugos lygis.

1. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Europos Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus leidimo nereikia.

2. Europos Komisijos sprendimas, nustatantis, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių trečiojoje valstybėje, arba tarptautinė organizacija nebeužtikrina tinkamo lygio apsaugos, nedaro poveikio asmens duomenų perdavimui į atitinkamą trečiąją valstybę, teritoriją arba nurodytam vienam ar daugiau sektorių trečiojoje valstybėje, arba atitinkamai tarptautinei organizacijai pagal šio įstatymo 36 ir 37 straipsnius.

1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo, asmens duomenys gali būti perduodami į trečiąją valstybę arba tarptautinei organizacijai, jeigu:

2. Duomenų valdytojas informuoja Valstybinę duomenų apsaugos inspekciją apie duomenų perdavimo pagal šio straipsnio 1 dalies 2 punktą kategorijas.

3. Jeigu atliekamas duomenų perdavimas pagal šio straipsnio 1 dalies 2 punktą, toks perdavimas dokumentuojamas ir dokumentai pateikiami Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant asmens duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis.

4. Šio straipsnio 2 ir 3 dalys netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis perduoda nacionalinio saugumo arba gynybos tikslais.

1. Jeigu nepriimtas Europos Komisijos sprendimas dėl tinkamumo arba nenustatytos tinkamos apsaugos priemonės pagal šio įstatymo 36 straipsnį, asmens duomenų perdavimas ar tam tikros kategorijos perdavimai į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekami tik su sąlyga, kad perduoti duomenis būtina:

2. Asmens duomenys negali būti perduodami, jeigu duomenis perduodanti kompetentinga institucija nustato, kad atitinkamo duomenų subjekto pagrindinės teisės ir laisvės yra viršesnės už viešąjį interesą, kai duomenų perdavimas atliekamas remiantis šio straipsnio 1 dalies 4 ir 5 punktais.

3. Jeigu atliekamas duomenų perdavimas pagal šio straipsnio 1 dalį, jis dokumentuojamas ir dokumentai turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant duomenų perdavimo datą ir laiką, informaciją apie asmens duomenis gaunančią kompetentingą instituciją, perdavimo pagrindimą ir perduotus asmens duomenis, išskyrus atvejus, kai asmens duomenys perduodami nacionalinio saugumo arba gynybos tikslais.

1. Nukrypstant nuo šio įstatymo 34 straipsnio 1 dalies 2 punkto ir nedarant poveikio bet kokiems dvišaliams ar daugiašaliams tarptautiniams susitarimams, galiojantiems tarp Europos Sąjungos valstybių narių ir trečiųjų valstybių teisminio bendradarbiavimo baudžiamosiose bylose ir teisėsaugos institucijų bendradarbiavimo srityje, Lietuvos Respublikos valstybės institucija, veikianti kaip kompetentinga institucija, individualiais ir konkrečiais atvejais asmens duomenis trečiosiose valstybėse įsteigtiems duomenų gavėjams perduoda tiesiogiai tik tuo atveju, kai toks perdavimas atitinka šio įstatymo reikalavimus ir yra tenkinamos visos šios sąlygos:

2. Duomenis perduodanti kompetentinga institucija informuoja Valstybinę duomenų apsaugos inspekciją apie duomenų perdavimus pagal šio straipsnio 1 dalį.

3. Jeigu atliekamas duomenų perdavimas pagal šio straipsnio 1 dalį, jis dokumentuojamas ir dokumentai turi būti pateikti Valstybinei duomenų apsaugos inspekcijai jos prašymu, nurodant duomenų perdavimo datą ir laiką, informaciją apie duomenų gavėją, perdavimo pagrindimą ir perduotus asmens duomenis.

4. Šio straipsnio 2 ir 3 dalys netaikomos Lietuvos Respublikos valstybės institucijoms, kai jos asmens duomenis perduoda nacionalinio saugumo arba gynybos tikslais.

1. Valstybinė duomenų apsaugos inspekcija yra atsakinga už šio įstatymo taikymo stebėseną, kad būtų apsaugotos žmogaus pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Europos Sąjungoje.

2. Valstybinė duomenų apsaugos inspekcija bendradarbiauja su kitų Europos Sąjungos valstybių narių priežiūros institucijomis ir Europos Komisija, dalyvauja Europos duomenų apsaugos valdybos, įsteigtos Reglamentu (ES) 2016/679 (toliau – Valdyba), veikloje.

3. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti asmens duomenų tvarkymo, kurį atlieka teismai, vykdydami teisingumą. Ji taip pat neturi teisės kontroliuoti asmens duomenų tvarkymo, kurį atlieka Lietuvos Respublikos valstybės institucijos nacionalinio saugumo ar gynybos tikslais.

4. Valstybinė duomenų apsaugos inspekcija, pagal šį įstatymą vykdydama jai pavestas funkcijas ir naudodamasi jai suteiktomis teisėmis, veikia visiškai nepriklausomai. Valstybinės duomenų apsaugos inspekcijos nepriklausomumo garantijas numato Reglamentas (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymas.

5. Valstybinė duomenų apsaugos inspekcija, vadovaudamasi Reglamentu (ES) 2016/679, rengia metinę veiklos ataskaitą. Joje gali būti informacija apie šio įstatymo pažeidimus ir taikytas nuobaudas. Metinė veiklos ataskaita pateikiama Europos Komisijai ir Valdybai. Ji pateikiama kitoms valstybės institucijoms ir paskelbiama Valstybinės duomenų apsaugos inspekcijos interneto svetainėje Lietuvos Respublikos teisės aktų nustatyta tvarka.

1. Valstybinė duomenų apsaugos inspekcija:

2. Valstybinė duomenų apsaugos inspekcija savo funkcijas duomenų subjekto ir duomenų apsaugos pareigūno atžvilgiu vykdo nemokamai. Jeigu duomenų subjekto ar duomenų apsaugos pareigūno prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio, Valstybinė duomenų apsaugos inspekcija gali imti pagrįstą atlyginimą arba gali atsisakyti imtis veiksmų pagal prašymą. Atlyginimo dydis neturi viršyti Valstybinės duomenų apsaugos inspekcijos patirtų administracinių išlaidų. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tenka Valstybinei duomenų apsaugos inspekcijai.

Valstybinė duomenų apsaugos inspekcija, be Asmens duomenų teisinės apsaugos įstatyme nustatytų teisių, taip pat turi teisę taikyti šias poveikio priemones:

1. Valstybinė duomenų apsaugos inspekcija kitoms Europos Sąjungos valstybių narių priežiūros institucijoms teikia informaciją ir savitarpio pagalbą. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, įskaitant prašymus vykdyti konsultacijas, tikrinimus ir tyrimus.

2. Valstybinė duomenų apsaugos inspekcija imasi visų būtinų priemonių, kad atsakytų į kitos priežiūros institucijos prašymą nedelsdama ir ne vėliau kaip per vieną mėnesį nuo jo gavimo dienos. Tokios priemonės gali būti reikšmingos informacijos apie tyrimo eigą persiuntimas.

3. Valstybinė duomenų apsaugos inspekcija, gavusi prašymą, negali atsisakyti jo patenkinti, išskyrus atvejus, kai:

4. Valstybinė duomenų apsaugos inspekcija, gavusi prašymą, informuoja prašymą pateikusią priežiūros instituciją apie jo nagrinėjimo rezultatus arba priemones, kurių imtasi siekiant į jį atsakyti. Valstybinė duomenų apsaugos inspekcija bet kurio atsisakymo pagal šio straipsnio 3 dalį atveju pateikia atsisakymo patenkinti prašymą priežastis.

5. Valstybinė duomenų apsaugos inspekcija, gavusi prašymą, paprastai teikia kitų priežiūros institucijų prašomą informaciją elektroninėmis priemonėmis, naudodamasi standartizuota forma.

6. Valstybinė duomenų apsaugos inspekcija už veiksmus, kurių ji imasi gavusi savitarpio pagalbos prašymą, atlyginimo neima. Priežiūros institucijos gali tarpusavyje susitarti dėl taisyklių, reglamentuojančių viena kitai mokamą kompensaciją už konkrečias išlaidas, patirtas dėl savitarpio pagalbos teikimo išimtinėmis aplinkybėmis.

7. Valstybinės duomenų apsaugos inspekcijos pagalbos prašymuose kitoms Europos Sąjungos valstybių narių priežiūros institucijoms nurodoma visa būtina informacija, įskaitant prašymo tikslą ir priežastis. Informacija, kuria pasikeista, naudojama tik tam tikslui, kuriam jos buvo prašoma.

1. Valstybinė duomenų apsaugos inspekcija gali pradėti tyrimą ir (ar) tikrinimą savo iniciatyva bet kokiu klausimu, susijusiu su galimu šio įstatymo pažeidimu.

2. Valstybinė duomenų apsaugos inspekcija tyrimus ir (ar) tikrinimus savo iniciatyva dėl galimo šio įstatymo pažeidimo atlieka Asmens duomenų teisinės apsaugos įstatymo, kiek nenustato šis įstatymas, nustatyta tvarka. Kai atlikdama tyrimą ir (ar) tikrinimą savo iniciatyva Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme numatyti tyrimo ir (ar) tikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminai.

1. Duomenų subjektas turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai, jeigu mano, kad su juo susiję asmens duomenys tvarkomi pažeidžiant šio įstatymo nuostatas.

2. Jeigu skundas pateikiamas dėl kitoje Europos Sąjungos valstybėje narėje atliekamo duomenų tvarkymo, Valstybinė duomenų apsaugos inspekcija nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos, persiunčia gautą skundą kitos Europos Sąjungos valstybės narės kompetentingai priežiūros institucijai. Duomenų subjektas nedelsdamas, bet ne vėliau kaip per 5 darbo dienas nuo skundo gavimo Valstybinėje duomenų apsaugos inspekcijoje dienos, informuojamas apie skundo persiuntimą. Šiuo atveju Valstybinė duomenų apsaugos inspekcija duomenų subjekto prašymu toliau teikia jam pagalbą.

3. Valstybinė duomenų apsaugos inspekcija skundus nagrinėja šio įstatymo ir Asmens duomenų teisinės apsaugos įstatymo, kiek nenustato šis įstatymas, nustatyta tvarka. Kai nagrinėdama skundus Valstybinė duomenų apsaugos inspekcija kreipiasi savitarpio pagalbos į kitų Europos Sąjungos valstybių narių priežiūros institucijas, netaikomi Asmens duomenų teisinės apsaugos įstatyme numatyti skundo nagrinėjimo terminai.

1. Fiziniai ar juridiniai asmenys turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos sprendimus teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

2. Jei Valstybinė duomenų apsaugos inspekcija gauto skundo nenagrinėja arba per tris mėnesius nuo skundo gavimo dienos Valstybinėje duomenų apsaugos inspekcijoje nepraneša duomenų subjektui apie pagal šio įstatymo 44 straipsnį pateikto skundo nagrinėjimo pažangą, jei skundas ar jo dalis neišnagrinėta, ar rezultatus, duomenų subjektas turi teisę skųsti Valstybinės duomenų apsaugos inspekcijos veiksmus ar neveikimą teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

Duomenų subjektas turi teisę Administracinių bylų teisenos įstatymo nustatyta tvarka skųsti teismui duomenų valdytojo arba duomenų tvarkytojo veiksmus ar neveikimą, jeigu mano, kad šiuo įstatymu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį įstatymą.

Duomenų subjektas turi teisę įgalioti pelno nesiekiančią įstaigą, organizaciją ar asociaciją, įsteigtą pagal Europos Sąjungos valstybės narės teisės aktus, kurios steigimo dokumentuose nurodyti tikslai atitinka viešąjį interesą ir kuri veikia asmens duomenų apsaugos srityje, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis šio įstatymo 44–46 straipsniuose.

Asmuo, patyręs turtinę ir neturtinę žalą dėl neteisėto duomenų tvarkymo operacijos arba dėl kito veiksmo, kuriuo pažeidžiamos šio įstatymo nuostatos, turi teisę iš duomenų valdytojo reikalauti atlyginti jam padarytą žalą.

1. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 17–33 straipsnių nuostatas, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 0,5 procento duomenų valdytojo ar duomenų tvarkytojo metinio biudžeto einamaisiais metais ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne daugiau negu trisdešimt tūkstančių eurų.

2. Duomenų valdytojui ar duomenų tvarkytojui, pažeidusiam šio įstatymo 3–15, 34–38 straipsnių nuostatas, taip pat nesilaikančiam šio įstatymo 41 straipsnio 1–3 punktuose nurodytų Valstybinės duomenų inspekcijos taikytų priemonių, Valstybinė duomenų apsaugos inspekcija turi teisę skirti administracinę baudą iki 1 procento duomenų valdytojo ar duomenų tvarkytojo metinio biudžeto einamaisiais metais ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, bet ne daugiau negu šešiasdešimt tūkstančių eurų.

1. Valstybinė duomenų apsaugos inspekcija administracines baudas skiria vadovaudamasi šiuo įstatymu ir Asmens duomenų teisinės apsaugos įstatymu, kiek nenustato šis įstatymas.

2. Valstybinė duomenų apsaugos inspekcija užtikrina, kad už šio įstatymo pažeidimus skiriamos administracinės baudos kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

3. Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su šio įstatymo 41 straipsnio 1–3 punktuose nustatytomis poveikio priemonėmis arba vietoj jų. Sprendžiant dėl administracinės baudos skyrimo ir jos dydžio, kiekvienu konkrečiu atveju atsižvelgiama į:

4. Valstybinė duomenų apsaugos inspekcija gali ir kitas šio straipsnio 3 dalyje nenurodytas aplinkybes pripažinti atsakomybę lengvinančiomis aplinkybėmis.

5. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl neatsargumo pažeidžia kelias šio įstatymo nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri šiame įstatyme nustatyta už sunkesnį pažeidimą.

6. Valstybinės duomenų apsaugos sprendimas dėl administracinės baudos skyrimo vykdomas Asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka.