LIETUVOS RESPUBLIKOS

ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO

ĮSTATYMAS

 

2000 m. liepos 17 d. Nr. VIII-1852

Vilnius

 

(Žin., 1996, Nr. 63-1479; 1998, Nr. 31-819)

 

1 straipsnis. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nauja redakcija

Pakeisti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir jį išdėstyti taip:

 

LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ TEISINĖS APSAUGOS
ĮSTATYMAS

 

PIRMASIS SKIRSNIS

BENDROSIOS NUOSTATOS

 

1 straipsnis. Įstatymo tikslas, paskirtis ir taikymo sritis

1. Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir sudaryti sąlygas laisvam asmens duomenų judėjimui.

2. Šis įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus. Įstatymas nustato fizinių asmenų, kaip duomenų subjektų, teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų (taip pat įmonių, neturinčių juridinio asmens teisių) teises, pareigas ir atsakomybę tvarkant asmens duomenis.

3. Šis įstatymas taikomas:

1) juridiniams ir fiziniams asmenims (taip pat įmonėms, neturinčioms juridinio asmens teisių), kurie tvarko asmens duomenis Lietuvos Respublikos teritorijoje;

2) duomenų valdytojo atstovui Lietuvos Respublikoje, jei duomenų valdytojas, veikdamas valstybėje, kuri nėra Europos Sąjungos narė, naudoja Lietuvos Respublikoje įrengtas automatines asmens duomenų tvarkymo priemones, išskyrus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Europos Sąjungos teritoriją; tokiu atveju atstovui taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui.

4. Šis įstatymas netaikomas, jeigu asmens duomenys tvarkomi:

1) valstybės saugumo, gynybos ir operatyvinės veiklos tikslais, taip pat Europos Sąjungos bendrosios užsienio ir saugumo politikos tikslais;

2) bendradarbiaujant su valstybėmis Europos Sąjungos narėmis teisingumo ir vidaus reikalų srityse;

3) fizinio asmens ir tik savo asmeninėje veikloje.

 

2 straipsnis. Pagrindinės šio įstatymo sąvokos

1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

2. Ypatingi asmens duomenys – duomenys apie fizinio asmens rasinę ir etninę kilmę, politinius, religinius, filosofinius ar kitus įsitikinimus, narystę profesinėse sąjungose ir politinėse partijose, sveikatą, lytinį gyvenimą, teistumą.

3. Duomenų valdytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie vieni arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones, tvarko asmens duomenis.

4. Duomenų tvarkytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie yra duomenų valdytojo įgalioti tvarkyti asmens duomenis.

5. Duomenų gavėjas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kuriems teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 25 straipsniuose, taip pat 14 straipsnyje nurodyta Ryšių reguliavimo tarnyba nėra duomenų gavėjai, kai šios institucijos gauna asmens duomenis jų tvarkymo kontrolės tikslu.

6. Sutikimas – savanoriškas duomenų subjekto leidimas tvarkyti jo asmens duomenis jam žinomu tikslu. Dėl ypatingų asmens duomenų sutikimas išreiškiamas rašytine forma, dėl kitų asmens duomenų – bet kokia forma.

7. Trečiasis asmuo – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją.

8. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas ar naikinimas arba veiksmų rinkinys.

9. Duomenų teikimas – asmens duomenų atskleidimas, perdavimas, sąlygų susipažinti su jais sudarymas įvairiomis priemonėmis.

10. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

11. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių–finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

12. Išankstinė patikra – procedūrų, numatomų naudoti tvarkant asmens duomenis, išankstinis patikrinimas siekiant nustatyti jų veiksmingumą ir teisingumą.

13. Tiesioginė rinkodara – veikla, kuri skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

 

ANTRASIS SKIRSNIS

ASMENS DUOMENŲ TVARKYMAS

 

3 straipsnis. Duomenų valdytojo pareigos

Duomenų valdytojo pareiga yra užtikrinti, kad asmens duomenys būtų:

1) renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir po to tvarkomi su šiais tikslais suderintais būdais;

2) tvarkomi tiksliai ir teisėtai;

3) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami;

4) tokios apimties, kuri būtina asmens duomenims tvarkyti.

 

4 straipsnis. Asmens duomenų saugojimas ir sunaikinimas

1. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.

2. Asmens duomenų perdavimo valstybiniams archyvams tvarką nustato Lietuvos archyvų departamentas.

 

5 straipsnis. Asmens duomenų teisėto tvarkymo kriterijai

1. Asmens duomenys gali būti tvarkomi, jeigu:

1) duomenų subjektas duoda sutikimą tvarkyti savo asmens duomenis;

2) sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas;

3) pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis;

4) siekiama apsaugoti duomenų subjekto gyvybę ir kai duomenų subjektas nepajėgia duoti sutikimo;

5) įgyvendinami valstybės valdžios ir valdymo bei savivaldybių įstaigų įgaliojimai, suteikti duomenų valdytojui arba trečiajam asmeniui, kuriam teikiami asmens duomenys;

6) reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni.

2. Ypatingi asmens duomenys gali būti tvarkomi tik tais atvejais, kai:

1) duomenų subjektas duoda raštišką sutikimą;

2) tai yra būtina darbo ar valstybės tarnybos tikslu duomenų valdytojo teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų ir kitų teisės aktų nustatytais atvejais;

3) reikia apsaugoti duomenų subjekto arba kito asmens gyvybę, kai duomenų subjektas nepajėgia duoti sutikimo arba yra teismo pripažintas neveiksniu;

4) asmens duomenis tvarko fondas, asociacija, profesinė sąjunga, politinė partija ar kita ne pelno organizacija savo veiklos tikslu, jei tvarkomi asmens duomenys yra susiję su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo;

5) duomenų subjektas asmens duomenis paskelbė viešai;

6) jie yra reikalingi bylai nagrinėti teisme.

3. Duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) taip pat gali būti tvarkomi šio įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.

4. Asmens duomenys, surinkti kitais tikslais, gali būti tvarkomi istoriniais ar mokslinio tyrimo tikslais, jeigu yra nustatytos tinkamos asmens duomenų apsaugos priemonės.

 

6 straipsnis. Asmens duomenų teikimo formos

Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, sąlygos ir tvarka. Prašyme turi būti nurodytas duomenų naudojimo tikslas.

 

7 straipsnis. Asmens kodo naudojimas

1. Asmens kodas – unikali skaitmenų seka, kuri asmeniui suteikiama Gyventojų registro įstatyme nustatyta tvarka. Jo naudojimui taikomos tik šio straipsnio nuostatos.

2. Asmens kodą be duomenų subjekto sutikimo galima naudoti tik:

1) jei tokia teisė yra nustatyta įstatymuose ar kituose teisės aktuose;

2) atliekant mokslinį arba statistinį tyrimą. Šiuo atveju taikomos atitinkamai 11 ir 12 straipsnių nuostatos;

3) institucijose, įstaigose ir įmonėse, kurių veikla susijusi su paskolų suteikimu ir skolų išieškojimu, draudimu ar nuomos verslu, sveikatos apsaugos ir socialinio draudimo bei kitų socialinės globos institucijų veikloje, taip pat švietimo įstaigų, mokslo ir studijų institucijų veikloje.

 

8 straipsnis. Asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas

Asmens duomenų tvarkymą žurnalistikos, meninės ir literatūrinės raiškos bei kitais visuomenės informavimo tikslais prižiūri institucijos, numatytos Visuomenės informavimo įstatyme. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio įstatymo 1, 2, 3, 4, 7, 21, 28 ir 29 straipsnių nuostatos.

 

9 straipsnis. Asmens duomenų tvarkymas socialinės globos tikslais

Socialinių paslaugų teikėjai, atlikdami savo funkcijas socialinio draudimo ir kitais socialinės globos tikslais, asmens duomenis vieni kitiems teikia be duomenų subjekto sutikimo.

 

10 straipsnis. Asmens duomenų tvarkymas sveikatos apsaugos tikslais

1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali tvarkyti sveikatos apsaugos sistemos darbuotojas. Pagal sveikatos sistemą ar pacientų teises reglamentuojančius įstatymus, Vyriausybės nutarimus bei Sveikatos apsaugos ministerijos teisės aktus šis darbuotojas privalo saugoti asmens sveikatos paslaptį.

2. Asmens duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali būti tvarkomi tokiais tikslais:

1) prevencinės (profilaktinės) medicinos;

2) medicininės diagnostikos;

3) sveikatos priežiūros ir gydymo;

4) sveikatos apsaugos sistemos valdymo.

3. Asmens duomenys mokslinio medicininio tyrimo tikslu tvarkomi vadovaujantis Biomedicininių tyrimų etikos įstatymu.

 

11 straipsnis. Asmens duomenų tvarkymas mokslinio tyrimo tikslais

1. Atliekant mokslinį tyrimą, asmens duomenys be duomenų subjekto sutikimo tvarkomi tik tuomet, jeigu tyrimo negalima atlikti nenustačius asmens tapatybės. Tokiu atveju tyrimo programą turi patvirtinti Vyriausybė ar jos įgaliota institucija.

2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.

3. Moksliniam tyrimui surinkti ir saugomi asmens duomenys negali būti naudojami kitais tikslais.

4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.

5. Tyrimo rezultatai skelbiami kartu su asmens duomenimis, jeigu duomenų subjektas duoda sutikimą.

 

12 straipsnis. Asmens duomenų tvarkymas statistikos tikslais

1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas bei saugojimas.

2. Asmens duomenys, surinkti ne statistikos tikslais, gali būti naudojami oficialiosios statistikos informacijai rengti, jeigu šiame ir kituose įstatymuose nenustatyta kitaip.

3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatyme nustatyta tvarka ir atvejais.

4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.

5. Ypatingi asmens duomenys statistikos tikslais renkami tik tokia forma, kuri neleistų tiesiogiai ar netiesiogiai nustatyti duomenų subjekto tapatybę, išskyrus įstatymų nustatytus atvejus.

 

13 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais

1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.

2. Asmens duomenys negali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų subjektas turi būti supažindintas su savo teise nesutikti dėl savo asmens duomenų tvarkymo.

 

14 straipsnis. Asmens duomenų tvarkymas telekomunikacijų srityje

1. Asmens duomenų tvarkymas telekomunikacijų srityje yra asmens duomenų tvarkymas, susijęs su bendrųjų telekomunikacijų paslaugų teikimu bendraisiais telekomunikacijų tinklais, ypač skaitmeniniu visuminių paslaugų tinklu ir bendraisiais judriaisiais skaitmeniniais tinklais.

2. Asmens duomenys negali būti tvarkomi viešuose abonentų sąrašuose, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų valdytojas arba duomenų tvarkytojas privalo supažindinti duomenų subjektą su jo teise nesutikti dėl jo asmens duomenų tvarkymo.

3. Abonento (duomenų subjekto) sutikimu viešuose spausdintuose ar elektroniniuose abonentų sąrašuose pateikiami tik abonento vardas, pavardė, telefono numeris ir adresas. Jeigu abonentas nesutinka, duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo neteikti jo asmens duomenų. Viešuose elektroniniuose abonentų sąrašuose neturi būti leidžiama asmens duomenų paieška pagal abonento telefono numerį. Draudžiama pagal abonento telefono numerį teikti jo asmens duomenis tretiesiems asmenims, jeigu Lietuvos Respublikos įstatymai nenustato kitaip.

4. Abonentui detali sąskaita už jam suteiktas telekomunikacijų paslaugas išduodama, kai jis pateikia prašymą. Telekomunikacijų paslaugų teikėjas ar telekomunikacijų tinklų operatorius detalioje sąskaitoje pateikia abonento, kuriam buvo skambinama, numerį, vykusių pokalbių ar paslaugų rūšį, pradžią (datą ir laiką), trukmę ir kainą.

5. Su bendrųjų telekomunikacijų paslaugų abonentu susiję srauto duomenys (abonento numeris, adresas, abonento, kuriam buvo skambinama, numeris, vykusių pokalbių ar paslaugų rūšis, pradžia, trukmė) turi būti panaikinti ar padaryti tokie, kad pagal juos nustatyti asmens tapatybę būtų galima ne anksčiau kaip po 3 metų nuo pokalbio pabaigos.

6. Telekomunikacijų paslaugas teikiančių įmonių darbuotojams leidžiama tvarkyti šio straipsnio 4 ir 5 dalyse nurodytus srauto ir sąskaitų duomenis tik tiek, kiek yra būtina atliekant tarnybines pareigas.

7. Ryšių reguliavimo tarnyba turi teisę gauti šio straipsnio 4 dalyje nurodytus srauto duomenis ginčams tarp bendrųjų telekomunikacijų paslaugų teikėjų ir jų abonentų spręsti.

8. Duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo užtikrinti telekomunikacijų tinklo saugumą šio įstatymo 21 straipsnio nustatyta tvarka. Iškilus telekomunikacijų tinklo ar jo dalies pažeidimo grėsmei, bendrųjų telekomunikacijų paslaugų teikėjas privalo informuoti abonentus, kurie naudojasi to tinklo ar jo dalies teikiamomis paslaugomis, apie galimą tinklo saugumo pažeidimo grėsmę.

 

TREČIASIS SKIRSNIS

DUOMENŲ SUBJEKTO TEISĖS

 

15 straipsnis. Duomenų subjekto teisės

1. Duomenų subjektas įstatymų nustatyta tvarka turi teisę:

1) žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;

2) susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;

3) reikalauti ištaisyti ar sunaikinti savo asmens duomenis 18 straipsnio 1 dalyje nustatytais atvejais;

4) nesutikti dėl savo asmens duomenų tvarkymo.

2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:

1) valstybės saugumą ar gynybą;

2) viešąją tvarką, nusikaltimų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;

3) svarbius valstybės ekonominius ar finansinius interesus;

4) tarnybinės ar profesinės etikos pažeidimų nustatymą.

3. Duomenų valdytojas turi konkrečiais motyvais pagrįsti atsisakymą vykdyti duomenų subjekto prašymą, išreikštą rašytine forma, ir pateikti jam atsakymą raštu. Duomenų subjektas gali skųsti duomenų valdytojo atsisakymą Vyriausybės įgaliotai institucijai per 30 kalendorinių dienų nuo atsakymo gavimo, o Vyriausybės įgaliotos institucijos atsakymą – teismui įstatymų nustatyta tvarka.

4. Šio skirsnio nuostatos taikomos tvarkant asmens duomenis automatiniu būdu. Tvarkant asmens duomenų susistemintas rinkmenas neautomatiniu būdu, šio skirsnio nuostatos taikomos tiek, kiek neprieštarauja kitiems įstatymams.

 

16 straipsnis. Duomenų subjekto informavimas apie jo duomenų tvarkymą

1. Duomenų valdytojas privalo informuoti duomenų subjektą, kurio asmens duomenis jis renka tiesiogiai iš jo, apie savo (duomenų valdytojo) tapatybę, kokiu tikslu tvarkomi duomenų subjekto asmens duomenys ir kam jie teikiami. Ši nuostata netaikoma, kai:

1) renkamos informacijos sandarą ir tvarkymą apibrėžia įstatymai ar kiti teisės aktai;

2) duomenų subjektas tokią informaciją turi.

2. Kai duomenų valdytojas renka asmens duomenis apie duomenų subjektą netiesiogiai, jis privalo apie tai informuoti duomenų subjektą iki asmens duomenų tvarkymo pradžios, jeigu įstatymai ar kiti teisės aktai neapibrėžia tokių duomenų rinkimo ir teikimo tvarkos. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti informaciją apie savo (duomenų valdytojo) tapatybę, taip pat iš kokių šaltinių ir kokie jo asmens duomenys renkami ar ketinami rinkti, kokiu tikslu jie tvarkomi ar ketinami tvarkyti, kam teikiami ar ketinami teikti.

3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, jis privalo informuoti duomenų subjektą prieš teikdamas duomenų subjekto duomenis tretiesiems asmenims pirmą kartą.

 

17 straipsnis. Duomenų subjekto teisė susipažinti su savo asmens duomenimis

1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami.

2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė ar jos įgaliota institucija.

3. Duomenų subjekto teisė susipažinti su savo asmens duomenimis, tvarkomais neautomatiniu būdu valstybės ir savivaldybių įstaigose, įgyvendinama pagal Teisės gauti informaciją iš valstybės ir savivaldybių įstaigų įstatymą.

 

18 straipsnis. Duomenų subjekto teisė reikalauti ištaisyti ar sunaikinti savo asmens duomenis

1. Jei duomenų subjektas mano, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo asmens duomenis patikrinti ir ištaisyti. Jei duomenų subjektas mano, kad jo asmens duomenys yra tvarkomi neteisėtai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir duomenų subjekto prašymu sunaikinti neteisėtai sukauptus asmens duomenis.

2. Duomenų valdytojas privalo nedelsdamas duomenų subjektui pranešti apie jo prašymu (reikalavimu) atliktą ar neatliktą asmens duomenų ištaisymą ar sunaikinimą.

3. Asmens duomenys taisomi ir naikinami pagal duomenų subjekto prašymą (reikalavimą) ir jo tapatybę bei jo asmens duomenis patvirtinančius dokumentus.

4. Jei duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo apriboti tokių asmens duomenų tolesnį tvarkymą, juos patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

5. Duomenų valdytojas privalo informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis.

6. Duomenų valdytojas privalo ne mažiau kaip 3 metus saugoti visus duomenų subjekto reikalavimu taisomus asmens duomenis tokiu būdu, kad prireikus juos būtų galima atkurti.

 

19 straipsnis. Duomenų subjekto teisė nesutikti dėl savo asmens duomenų tvarkymo

1. Duomenų valdytojas šio įstatymo 5 straipsnio 1 dalies 1, 2, 5 ir 6 punktuose bei 2 dalies 1 ir 4 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu, privalo supažindinti duomenų subjektą su jo teise nesutikti (taip pat anuliuoti duotą sutikimą) dėl jo asmens duomenų tvarkymo, nereikalaudamas atlyginimo už veiksmų atlikimą.

2. Duomenų subjektas turi teisę pasirinkti duoti sutikimą ar neduoti sutikimo, ar panaikinti duotą sutikimą dėl savo asmens duomenų tvarkymo veiksmo tais atvejais, kai duomenų tvarkymo veiksmas atliekamas duomenų valdytojo iniciatyva. Nesutikimas ir prašymas panaikinti duotą sutikimą išdėstomas raštu.

3. Jei duomenų valdytojas įvertina duomenų subjekto asmenines savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytu vertinimo metodu. Duomenų subjektas turi teisę pareikšti savo nuomonę dėl duomenų įvertinimo ir vertinimo metodo, duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti.

4. Jei duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, duomenų valdytojas privalo nedelsdamas nutraukti asmens duomenų tvarkymą, išskyrus įstatymų numatytus atvejus, ir informuoti duomenų gavėjus.

5. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo nutraukimą ar atsisakymą nutraukti duomenų tvarkymą.

6. Duomenų subjekto prašymu duomenų valdytojas privalo išsaugoti visus nutrauktus tvarkyti duomenų subjekto asmens duomenis.

 

20 straipsnis. Paslauga duomenų subjektui

1. Vyriausybės įgaliota institucija padeda duomenų subjektui įgyvendinti jo teisę, nustatytą šio įstatymo 17 straipsnyje.

2. Duomenų subjektas, kreipdamasis į Vyriausybės įgaliotą instituciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Vyriausybės įgaliotą instituciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.

3. Vykdydama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Vyriausybės įgaliota institucija neturi teisės rinkti ypatingų asmens duomenų, jei įstatymai nenustato kitaip.

4. Šio straipsnio 2 dalyje nustatyta paslauga duomenų subjektui teikiama atlygintinai. Atlyginimo dydis neturi viršyti duomenų rinkimo ir teikimo paslaugos sąnaudų. Atlyginimo už paslaugą tvarką nustato Vyriausybė ar jos įgaliota institucija.

 

KETVIRTASIS SKIRSNIS

DUOMENŲ SAUGUMAS

 

21 straipsnis. Duomenų saugumas

1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.

2. Jei duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.

3. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.

4. Teisę tvarkyti asmens duomenis turi tik duomenų valdytojo arba duomenų tvarkytojo įgalioti darbuotojai.

5. Asmens duomenis tvarkantys darbuotojai, įsidarbindami ir dirbdami, turi raštu įsipareigoti saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti viešam skelbimui. Šis įsipareigojimas galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.

 

PENKTASIS SKIRSNIS

DUOMENŲ VALDYTOJŲ REGISTRAVIMAS

 

22 straipsnis. Pranešimas apie duomenų tvarkymą

Duomenų valdytojas automatiniu būdu gali tvarkyti asmens duomenis tik Vyriausybės nustatyta tvarka pranešęs Vyriausybės įgaliotai institucijai, išskyrus, jeigu asmens duomenys tvarkomi:

1) vidaus administravimo tikslais;

2) 5 straipsnio 2 dalies 4 punkte nustatytais atvejais;

3) 8 straipsnyje nustatytais atvejais;

4) 10 straipsnyje nustatytais atvejais.

 

23 straipsnis. Duomenų valdytojų registravimas

1. Duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre, kurį steigia ir jo nuostatus tvirtina Vyriausybė.

2. Asmens duomenų valdytojų valstybės registrą tvarko Vyriausybės įgaliota institucija.

 

ŠEŠTASIS SKIRSNIS

ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS, ESANTIEMS UŽSIENIO VALSTYBĖSE

 

24 straipsnis. Asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse

1. Asmens duomenys teikiami duomenų gavėjams užsienio valstybėse, gavus Vyriausybės įgaliotos institucijos leidimą, išskyrus šio straipsnio 4 ir 5 dalyje numatytus atvejus.

2. Vyriausybės įgaliota institucija išduoda leidimą teikti asmens duomenis į užsienio valstybes, jei šiose valstybėse yra tinkamas asmens duomenų saugumo lygis. Vyriausybės įgaliota institucija vertina duomenų saugumo lygį, atsižvelgdama į užsienio šalies, į kurią teikiami asmens duomenys, galiojančius įstatymus bei kitus teisės aktus, užtikrinančius asmens duomenų teisinę apsaugą pagal teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus ir trukmę.

3. Vyriausybės įgaliota institucija gali išduoti leidimą teikti asmens duomenis į užsienio valstybę, kuri negali užtikrinti tinkamos asmens duomenų teisinės apsaugos, jeigu reikalavimus duomenų gavėjui dėl duomenų apsaugos priemonių sutartyje išdėsto duomenų valdytojas, teikiantis asmens duomenis.

4. Be Vyriausybės įgaliotos institucijos leidimo asmens duomenys teikiami į užsienio valstybę tik tuo atveju, jeigu:

1) duomenų subjektas davė sutikimą teikti duomenis;

2) asmens duomenis teikti būtina, kad duomenų subjekto prašymu būtų sudaryta ar įvykdyta sutartis tarp duomenų valdytojo ir trečiojo asmens;

3) asmens duomenys reikalingi vykdyti sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių;

4) asmens duomenis teikti būtina dėl valstybės interesų;

5) jie yra reikalingi bylai teisme nagrinėti;

6) siekiama apsaugoti duomenų subjekto gyvybę.

5. Taip pat be Vyriausybės įgaliotos institucijos leidimo asmens duomenis galima teikti į užsienio valstybes pagal Lietuvos Respublikos tarptautines sutartis.

 

SEPTINTASIS SKIRSNIS

ĮSTATYMO VYKDYMO PRIEŽIŪRA

 

25 straipsnis. Įstatymo vykdymo priežiūros institucija

1. Asmens duomenų teisinės apsaugos įstatymo, išskyrus 8 straipsnį, vykdymą prižiūri ir kontroliuoja Vyriausybės įgaliota institucija. Vyriausybės įgaliota institucija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji yra atskaitinga Vyriausybei. Vyriausybės įgaliotos institucijos nuostatus tvirtina Vyriausybė.

2. Vyriausybės įgaliota institucija vadovaujasi Lietuvos Respublikos Konstitucija, įstatymais, Lietuvos Respublikos tarptautinėmis sutartimis ir, atlikdama šiame įstatyme jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma – jos teisės gali būti suvaržytos tik įstatymo. Vyriausybės įgaliotos institucijos tarnautojų veiksmai, susiję su šiame įstatyme šiai institucijai nustatytų funkcijų atlikimu, skundžiami tik įstatymų nustatyta tvarka.

 

26 straipsnis. Įstatymo vykdymo priežiūros institucijos funkcijos

Vyriausybės įgaliota institucija:

1) tvarko Asmens duomenų valdytojų valstybės registrą, viešai skelbia jo duomenis ir vykdo registruotų duomenų valdytojų veiklos, susijusios su asmens duomenų tvarkymu, priežiūrą;

2) nagrinėja asmenų prašymus ir skundus šio įstatymo nustatytais atvejais Viešojo administravimo įstatymo nustatyta tvarka;

3) tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;

4) išduoda leidimus duomenų valdytojams teikti asmens duomenis užsienio valstybių duomenų gavėjams;

5) rengia ir viešai skelbia savo veiklos metines ataskaitas;

6) rengia metodines rekomendacijas dėl asmens duomenų apsaugos ir teikia duomenų valdytojams.

 

27 straipsnis. Įstatymo vykdymo priežiūros institucijos teisės

1. Vyriausybės įgaliota institucija turi teisę:

1) nemokamai gauti visą reikiamą informaciją apie asmens duomenų tvarkymą iš duomenų valdytojų, susipažinti su tvarkomais asmens duomenimis ir atlikti patikrinimus šio įstatymo nustatytais atvejais asmens duomenų tvarkymo vietose;

2) duoti nurodymus duomenų valdytojams dėl asmens duomenų tvarkymo ir apsaugos;

3) surašyti administracinių teisės pažeidimų protokolus Administracinių teisės pažeidimų kodekso nustatyta tvarka;

4) keistis informacija su kitų valstybių asmens duomenų priežiūros institucijomis tiek, kiek tai reikalinga jų pareigoms vykdyti;

5) kviesti ekspertus (konsultantus) dėl duomenų tvarkymo ar apsaugos ekspertizės, taip pat dėl duomenų apsaugos dokumentų rengimo;

6) dalyvauti teisme nagrinėjant bylas dėl tarptautinės ir nacionalinės teisės nuostatų asmens duomenų apsaugos klausimais pažeidimų.

2. Vyriausybės įgaliota institucija neturi teisės kontroliuoti asmens duomenų tvarkymo teismuose.

3. Vyriausybės įgaliotos institucijos tarnautojai privalo saugoti asmens duomenų paslaptį dėl jų gaunamos viešai neskelbtinos informacijos ir ją saugoti perėję dirbti į kitas pareigas, pasitraukę iš valstybės tarnybos ar pasibaigus darbo santykiams.

4. Duomenų valdytojai ar kiti asmenys, rengdami asmens duomenų tvarkymo taisykles (kodeksus), turi jas pateikti įvertinti Vyriausybės įgaliotai institucijai.

5. Vyriausybės įgaliotai institucijai turi būti pranešama, jei manoma, kad ketinamas asmens duomenų tvarkymas gali sukelti pavojų duomenų subjekto teisėms ar turėti didelį duomenų pažeidimo poveikį (dėl duomenų pobūdžio ar apimties, dėl duomenų subjektų skaičiaus, dėl duomenų tvarkymo tikslų, dėl teikiamų duomenų apimties ar dažnumo).

6. Šio straipsnio 5 dalyje nustatytais atvejais Vyriausybės įgaliota institucija atlieka išankstinę patikrą ir teikia išvadas dėl numatomo asmens duomenų tvarkymo.

 

AŠTUNTASIS SKIRSNIS

ATSAKOMYBĖ

 

28 straipsnis. Atsakomybė už šio įstatymo pažeidimą

Duomenų valdytojams, duomenų tvarkytojams ir kitiems asmenims, pažeidusiems šį įstatymą, taikoma Lietuvos Respublikos įstatymų nustatyta atsakomybė.

 

29 straipsnis. Turtinės ir neturtinės žalos atlyginimas

1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.

2. Turtinės ir neturtinės žalos dydį nustato teismas.

3. Duomenų valdytojas, duomenų tvarkytojas arba kitas asmuo, atlyginę asmeniui padarytą žalą, patirtą nuostolį išreikalauja įstatymų nustatyta tvarka iš asmens duomenis tvarkančio darbuotojo, dėl kurio kaltės atsirado ši žala.“

 

2 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas

1. Šis įstatymas įsigalioja nuo 2001 m. sausio 1 d., išskyrus:

1) 1 straipsnio 3 dalies 2 punktą, kuris įsigalioja Lietuvai tapus Europos Sąjungos nare;

2) 20 straipsnį, kuris įsigalioja 2003 m. sausio 1 d.

2. Šio įstatymo 24 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.

3. Pasiūlymai Lietuvos Respublikos Vyriausybei:

1) iki 2000 m. rugsėjo 1 d. priimti sprendimą dėl Valstybinės duomenų apsaugos inspekcijos prie Valdymo reformų ir savivaldybių reikalų ministerijos struktūrinės reformos;

2) iki 2001 m. sausio 1 d. priimti sprendimą šio įstatymo 17 straipsnio 2 dalies ir 20 straipsnio 4 dalies nuostatoms įgyvendinti;

3) per 6 mėnesius nuo šio įstatymo įsigaliojimo pateikti Seimui įstatymų, susijusių su šio įstatymo nuostatomis, pakeitimo ir papildymo įstatymų projektus, taip pat pakeisti ir suderinti kitus teisės aktus, reikalingus šio įstatymo nuostatoms įgyvendinti.

 

 

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

 

 

 

RESPUBLIKOS PREZIDENTAS                                                                  VALDAS ADAMKUS