1. Šis įstatymas reguliuoja santykius, atsirandančius renkant, kaupiant, apdorojant, saugant, naudojant ir teikiant duomenis apie fizinius asmenis informacinėms sistemoms arba kitokiam su tuo susijusiam arba galimam susieti duomenų tvarkymui (toliau – informacinėms sistemoms). Įstatymo tikslas – nustatyti duomenų subjektų teises ir šių teisių apsaugos tvarką, teisių į duomenis bei duomenų apsaugos garantijas tvarkant asmens duomenis informacinėse sistemose.

2. Šis įstatymas saugo asmens duomenis, tarp jų ir ypatingus asmens duomenis, kurių tvarkymas ar teikimas gali padaryti žalos pačiam duomenų subjektui ar su juo susijusiems asmenims.

1. Asmens duomenys – duomenys apie konkretų arba iš duomenų nustatomą fizinį asmenį, jo dalykinius santykius ir išvados apie asmenį, padarytos remiantis šiais duomenimis.

2. Duomenų apdorojimas – duomenų papildymas, keitimas, ištrynimas, taisymas, klasifikavimas.

3. Duomenų gavėjas – fizinis arba juridinis asmuo, kuriam teikiami duomenys, išskyrus atvejus, kai duomenys gaunami pagal užklausas apie konkretų duomenų subjektą.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

4. Duomenų įrašas – vientisas automatizuotai tvarkomas duomenų apie fizinį asmenį rinkinys.

5. Duomenų subjektas – fizinis asmuo, kurio duomenis saugo šis įstatymas.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

6. Duomenų tvarkymas – duomenų rinkimas, kaupimas, apdorojimas, saugojimas, teikimas.

7. Duomenų teikimas – duomenų perdavimas (pranešimas kitam asmeniui) bei paskelbimas (sąlygų susipažinti su asmens duomenimis sudarymas).

8. Duomenų valdytojas – fizinis arba juridinis asmuo, kuris Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka tvarko asmens duomenis, vadovauja duomenų tvarkymo įstaigoms ir suteikia teisę duomenų tvarkymo įstaigoms naudoti duomenis, gautus pagal asmens duomenų teikimo sutartį. Duomenų valdytojas ir duomenų tvarkymo įstaiga gali būti tas pats fizinis arba juridinis asmuo.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

9. Informacinės sistemos nuostatai – dokumentas, kuriame nustatyta kompiuterizuotosios informacinės sistemos arba kitokio asmens duomenų tvarkymo ir apdorojimo tvarka. Nuostatuose turi būti nurodytas duomenų valdytojas ir duomenų tvarkymo įstaiga, nustatytas duomenų tvarkymo objektas ir tikslai, duomenų sąrašas, kiekis, rinkimo ir teikimo tvarka, duomenų rinkėjai, duomenų apsaugos priemonių reikalavimai.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

10. Ypatingi asmens duomenys – asmens duomenys apie jo rasinę kilmę, tautinį ir etninį priklausomumą, politinius, religinius ir kitus įsitikinimus, partiškumą, teistumą, sveikatą, patologinius defektus ir intymų gyvenimą (privatų asmens gyvenimą).

11. Informacinė sistema – institucijos tam tikrai veiklai reikalingų dokumentų ir (arba) duomenų tvarkymo bei paieškos sistema, kuri veikia taikydama informacijos technologiją: kompiuterius, jų programas, duomenų bazes, duomenų perdavimo tinklus bei jų naudojimą reglamentuojančius norminius aktus.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

12. Valstybinė duomenų apsaugos inspekcija – institucija, kontroliuojanti informacinių sistemų duomenų apsaugą bei duomenų teikimo ir naudojimo teisėtumą.

13. Trečioji šalis – kiekvienas fizinis ar juridinis asmuo, kuris nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkymo įstaiga ir kuris nėra duomenų valdytojo ar duomenų tvarkymo įstaigos įgaliotas apdoroti ar tvarkyti asmens duomenis.

Papildyta straipsnio dalimi:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

1. Asmens duomenys gali būti tvarkomi, jei:

2. Draudžiama tvarkyti ypatingus asmens duomenis, išskyrus, kai:

1. Asmens duomenų teisinė apsauga galioja visą fizinio asmens gyvenimą, o jam mirus, – 75 metus po paskutinio įrašo. Teisinės apsaugos laikas skaičiuojamas nuo sausio 1 dienos po tų metų, kai buvo padarytas paskutinis įrašas.

2. Asmens duomenų saugojimo terminus nustato Lietuvos archyvų departamentas, o kontroliuoja Valstybinė duomenų apsaugos inspekcija.

3. Pasibaigus asmens duomenų saugojimo laikui, asmens duomenų teisinė apsauga išlieka pagal šio įstatymo 4 straipsnio 1 dalies reikalavimus.

1. Asmens duomenys yra kaupiami ir saugomi duomenų įrašuose, už kurių apsaugą ir tvarkymą yra atsakingas duomenų valdytojas. Duomenų tvarkymą reglamentuoja informacinės sistemos, kurios objektas yra asmens duomenys, nuostatai. Asmens duomenys tvarkomi tik pagal asmens duomenų teisėto tvarkymo kriterijus.

2. Duomenų įrašai saugomi tik konkrečiam tikslui. Neturi būti renkami, kaupiami, apdorojami duomenys, kurie nėra skirti saugoti arba naudoti. Duomenys renkami, kaupiami, apdorojami, saugomi ir naudojami tik pagal įstatymo nustatytą duomenų įrašo paskirtį arba su duomenų subjekto leidimu, o jei duomenų subjektas neveiksnus, - su jo tėvų (įtėvių) arba globėjų leidimu. Duomenų valdytojai užtikrina duomenų subjektų teisę duoti sutikimą šioje dalyje numatytiems veiksmams atlikti.

3. Duomenų valdytojai, išskyrus tuos, kurie tvarko savo surinktus duomenis tik vidaus administraciniams tikslams arba kurių tvarkomi duomenys sudaro valstybės ar tarnybinę paslaptį, privalo registruotis Valstybinėje duomenų apsaugos inspekcijoje.

1. Duomenų subjektai turi teisę susipažinti su savo duomenimis ir juos patikslinti. Jie taip pat turi teisę gauti informaciją, iš kokių šaltinių gauti duomenys, kokiu tikslu ir kada jie buvo panaudoti, yra naudojami arba gali būti panaudoti.

2. Duomenų valdytojas, gavęs motyvuotą prašymą, privalo šias žinias pateikti duomenų subjektui nemokamai ne vėliau kaip per 10 dienų nuo kreipimosi dienos. Jo prašymu šios žinios pateikiamos raštu.

3. Duomenų subjektui duomenys susipažinti nepateikiami, jeigu:

4. Šio įstatymo nustatyti teisės susipažinti su asmens duomenimis apribojimai bei duomenų teikimo tvarka nurodoma informacinės sistemos nuostatuose.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

5. Atsisakymas suteikti prašomus duomenis turi būti pagrįstas konkrečiais motyvais ir duodamas raštu. Atsisakymą per 30 kalendorinių dienų galima apskųsti Valstybinei duomenų apsaugos inspekcijai, o Valstybinės duomenų apsaugos inspekcijos atsakymą – teismui įstatymų nustatyta tvarka.

1. Jei nustatoma, kad asmens duomenys yra neteisingi, ginčytinas jų teisingumas ar abejojama jų teisingumu, duomenų valdytojas gali duomenis taisyti, sunaikinti, paženklinti arba atskirti nuo teisingų duomenų apribodamas jų tolesnį tvarkymą. Kai ginčijamas duomenų teisingumas, duomenys dokumentuose, duomenų įrašai ar kiti šaltiniai paženklinami užrašu „ginčijamas duomuo“.

2. Asmens duomenys sunaikinami, jeigu:

3. Duomenys gali būti sunaikinami tik su Valstybinės duomenų apsaugos inspekcijos ir Lietuvos archyvų departamento leidimu, išskyrus 7 straipsnio 2 dalies 1 ir 2 punktuose numatytus atvejus.

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

4. Apie duomenų taisymą ir sunaikinimą reikia informuoti asmens duomenų subjektą ir kitus suinteresuotus asmenis, kuriems tie duomenys buvo teikiami. Informuoti nebūtina tada, kai tuo nepažeidžiami atitinkamų asmenų interesai.

5. Vietoje sunaikinimo galima taikyti duomenų tvarkymo apribojimą, jeigu:

6. Duomenis, kurių tvarkymas apribotas, galima panaudoti nustatyta tvarka be jų subjekto sutikimo tada, kai tai būtina mokslinio tyrimo darbui ir kai tai nepadarys žalos duomenų subjektui arba tretiesiems asmenims. Tokiu atveju duomenys perduodami nenurodant jų subjekto (nepateikiant duomenų, kurie leistų identifikuoti konkretų asmenį).

1. Duomenų valdytojas ir duomenų gavėjas privalo turėti visas reikalingas priemones asmens duomenų paslapčiai išsaugoti. Duomenys turi būti apsaugoti nuo neteisėto kaupimo, keitimo, perdavimo, paskelbimo, sunaikinimo. Įstatymų numatyta užklausa gauti duomenis turi būti fiksuojama Informacinės sistemos nuostatuose nustatyta tvarka. Asmenys, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir gavimu, raštu įsipareigoja saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo santykiams visą asmens duomenų teisinės apsaugos laiką, jeigu įstatymas nenumato ko kita.

2. Be duomenų subjekto sutikimo asmens duomenys gali būti teikiami, jei to reikalauja:

1. Asmens duomenys teikiami pagal duomenų valdytojo ir duomenų gavėjo asmens duomenų teikimo sutartį, kurios formą nustato Valstybinė duomenų apsaugos inspekcija. Sutartyje turi būti nurodyta asmens duomenų teikimo tikslas, sąlygos ir tvarka.

2. Asmens duomenys gali būti teikiami kitiems duomenų valdytojams ir gavėjams tik gavus duomenų subjekto raštišką sutikimą, o jeigu duomenų subjektas neveiksnus, – gavus jo tėvų (įtėvių) arba globėjų sutikimą, išskyrus 8 straipsnio 2 dalyje numatytus atvejus ir tuos atvejus, kai teikimas atitinka asmens duomenų teisėto tvarkymo kriterijus.

3. Už asmens duomenų teisingumą ir teikimo teisėtumą atsako duomenų valdytojas.

4. Duomenų gavėjas pagal asmens duomenų teikimo sutartį gautus duomenis gali panaudoti tik sutartyje numatytam tikslui. Kitam tikslui gautus asmens duomenis galima panaudoti tik su Valstybinės duomenų apsaugos inspekcijos leidimu, kuris išduodamas pagal duomenų gavėjo prašymą ir asmens duomenų teikimo sutartį. Valstybinė duomenų apsaugos inspekcija leidimą panaudoti asmens duomenis išduoda tik įstatymų nustatytais atvejais, jeigu tai būtinai reikalinga arba sutinka duomenų subjektas.

5. Už gautų asmens duomenų naudojimo teisėtumą atsako juos gavęs duomenų gavėjas.

Kai asmens duomenys netenka savo praktinės reikšmės ar likviduojamas duomenų valdytojas, pastarasis privalo pranešti apie tai Valstybinei duomenų apsaugos inspekcijai ir Lietuvos archyvų departamentui. Lietuvos archyvų departamentas priima sprendimą dėl tolesnio duomenų saugojimo valstybiniuose archyvuose arba jų sunaikinimo.

1. Asmens duomenis teisės aktų nustatyta tvarka galima perduoti į užsienio valstybes tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą ir jeigu tai nepažeidžia duomenų subjekto teisių, taip pat jeigu šalyje, į kurią perduodami duomenys, garantuojama tinkama asmens duomenų teisinė apsauga.

2. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenis, laikantis šio straipsnio 1 dalyje nustatytų garantijų, galima perduoti į užsienio valstybes pagal Lietuvos Respublikos tarptautines sutartis.

Duomenų valdytojai ir kiti asmenys, pažeidę šio įstatymo reikalavimus, traukiami teisinėn atsakomybėn pagal įstatymus.

1. Duomenų subjektas turi teisę reikalauti atlyginti turtinę žalą, padarytą netinkamai saugant, neteisėtai pakeitus ar kitaip iškraipius, perdavus, paskelbus asmens duomenis arba jeigu asmens duomenys pasidarė neteisingi dėl duomenų valdytojo kaltės. Duomenų subjektas taip pat turi teisę reikalauti, kad jam būtų atlyginta tokių veiksmų padaryta moralinė žala.

2. Turtinės ir moralinės žalos dydį nustato teismas.

1. Lietuvos Respublikos Vyriausybė ar jos įgaliotos institucijos per pusę metų nuo šio įstatymo priėmimo priima šio įstatymo normoms įgyvendinti reikalingus teisės aktus arba pateikia Seimui tokių teisės aktų projektus

Straipsnio dalies pakeitimai:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

2. Lietuvos Respublikos Vyriausybė ar jos įgaliotos institucijos iki 1998 m. liepos 1 d. nustato duomenų subjektų sutikimų gavimo tvarką

Papildyta straipsnio dalimi:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

3. Lietuvos Respublikos Vyriausybė ar jos įgaliotos institucijos iki 1998 m. birželio 1 d. nustato valstybės ir vietos savivaldos asmens duomenų valdytojų informacinių sistemų įteisinimo tvarką ir planą.

Papildyta straipsnio dalimi:

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662