Suvestinė redakcija nuo 2019-11-14 iki 2020-12-31

 

Įstatymas paskelbtas: Žin. 1996, Nr. 63-1479, i. k. 0961010ISTA00I-1374

 

Nauja redakcija nuo 2018-07-16:

Nr. XIII-1426, 2018-06-30, paskelbta TAR 2018-07-11, i. k. 2018-11733

 

LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ TEISINĖS APSAUGOS
ĮSTATYMAS

 

1996 m. birželio 11 d. Nr. I-1374

Vilnius

 

 

TAR pastaba. Nuo įstatymo Nr. XIII-1426 įsigaliojimo (2018-07-16) Lietuvos Respublikos įstatymuose ir kituose teisės aktuose pateiktos nuorodos į Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą yra laikomos nuorodomis į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir, kai taikoma, Asmens duomenų teisinės apsaugos įstatymą.

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1 straipsnis. Įstatymo paskirtis ir taikymas

1. Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti aukštą asmens duomenų apsaugos lygį.

2. Šis įstatymas nustato asmens duomenų tvarkymo ypatumus, Valstybinės duomenų apsaugos inspekcijos teisinį statusą ir įgaliojimus, žurnalistų etikos inspektoriaus įgaliojimus, Valstybinės duomenų apsaugos inspekcijos ir žurnalistų etikos inspektoriaus (toliau kartu – priežiūros institucija,  priežiūros institucijos) atliekamo asmens duomenų ir (ar) privatumo apsaugą reglamentuojančių teisės aktų pažeidimų (toliau – pažeidimai) nagrinėjimo ir administracinių baudų skyrimo tvarką.

3. Šis įstatymas taikomas kartu su Reglamentu (ES) 2016/679 ir jo įgyvendinamaisiais teisės aktais.

4. Šis įstatymas taikomas, kai:

1) asmens duomenis tvarko duomenų valdytojas arba duomenų tvarkytojas, kurio buveinė yra Lietuvos Respublikoje, vykdydamas savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Europos Sąjungoje, ar ne;

2) asmens duomenis tvarko ne Lietuvos Respublikoje įsteigtas duomenų valdytojas, kuriam taikomi Lietuvos Respublikos įstatymai pagal tarptautinę viešąją teisę (įskaitant Lietuvos Respublikos diplomatines atstovybes, konsulines įstaigas);

3) Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, kuris pagal Reglamento (ES) 2016/679 27 straipsnį yra paskyręs atstovą, įsisteigusį Lietuvos Respublikoje, ir duomenų tvarkymo veikla yra susijusi su prekių arba paslaugų siūlymu šiems duomenų subjektams Europos Sąjungoje, nepaisant to, ar už šias prekes arba paslaugas duomenų subjektui reikia mokėti, ar ne, arba su elgesio, kai šie duomenų subjektai veikia Europos Sąjungoje, stebėsena.

5. Šiuo įstatymu įgyvendinami Europos Sąjungos teisės aktai, nurodyti šio įstatymo priede.

 

2 straipsnis. Pagrindinės šio įstatymo sąvokos

1. Tiesioginė rinkodara – veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

2. Valdžios institucijos ir įstaigos – valstybės ir savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas.

3. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

 

 

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO YPATUMAI

 

3 straipsnis. Asmens kodo tvarkymo ypatumai

1. Asmens kodas gali būti tvarkomas, kai yra nors viena iš Reglamento (ES) 2016/679 6 straipsnio 1 dalyje nurodytų asmens duomenų tvarkymo teisėtumo sąlygų.

2. Draudžiama asmens kodą skelbti viešai.

3. Draudžiama tvarkyti asmens kodą tiesioginės rinkodaros tikslais.

 

 

4 straipsnis. Asmens duomenų tvarkymas ir saviraiškos ir informacijos laisvė

Kai asmens duomenys tvarkomi žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais, netaikomi Reglamento (ES) 2016/679 8, 12–23, 25, 30, 33–39, 41–50, 88–91 straipsniai.

 

 

5 straipsnis. Asmens duomenų tvarkymo su darbo santykiais susijusiais atvejais ypatumai

1. Draudžiama tvarkyti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini norint patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti.

2. Duomenų valdytojas gali rinkti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.

3. Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, buvimo vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse nurodytą informaciją.

4. Šio straipsnio nuostatos taip pat taikomos tvarkant asmenų, dirbančių Lietuvos Respublikos užimtumo įstatyme nurodytais darbo santykiams prilygintų teisinių santykių pagrindais, ir kandidatų, pretenduojančių dirbti šiais pagrindais, asmens duomenis.

 

 

6 straipsnis. Vaiko, kuriam siūlomos informacinės visuomenės paslaugos, amžius sutikimui duoti

Kai vaikui tiesiogiai siūlomos informacinės visuomenės paslaugos, vaiko asmens duomenų tvarkymas yra teisėtas, jei sutikimą pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą duoda ne jaunesnis negu 14 metų vaikas.

 

 

 

III SKYRIUS

PRIEŽIŪROS INSTITUCIJOS

 

7 straipsnis. Reglamento (ES) 2016/679 ir šio įstatymo taikymo priežiūra

1. Valstybinė duomenų apsaugos inspekcija stebi, kaip taikomas Reglamentas (ES) 2016/679 ir šis įstatymas, ir užtikrina, kad šie teisės aktai būtų taikomi, išskyrus šio įstatymo straipsnius, kurių taikymas pagal šio straipsnio 2 dalį yra žurnalistų etikos inspektoriaus kompetencija.

2. Žurnalistų etikos inspektorius stebi, kaip taikomas Reglamentas (ES) 2016/679 ir šis įstatymas, ir užtikrina, kad šie teisės aktai būtų taikomi, kai asmens duomenys tvarkomi žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Žurnalistų etikos inspektorius atlieka Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis ir turi Reglamente (ES) 2016/679 nustatytus priežiūros institucijos įgaliojimus. Žurnalistų etikos inspektoriui netaikomi Reglamento (ES) 2016/679 57 straipsnio 1 dalies j–l ir n–t punktai, 58 straipsnio 1 dalies b ir c punktai,  2 dalies e, g, h ir j punktai, 3 dalies a, c ir e–j punktai.

3. Valstybinė duomenų apsaugos inspekcija atstovauja Reglamento (ES) 2016/679 taikymo priežiūros institucijoms pagal Reglamentą (ES) 2016/679 įsteigtoje Europos duomenų apsaugos valdyboje.

4. Siekdamos užtikrinti, kad būtų laikomasi Reglamento (ES) 2016/679 63 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo, priežiūros institucijos bendradarbiauja tarpusavyje, kai sprendžiami pagal šio straipsnio 2 dalį žurnalistų etikos inspektoriaus kompetencijai priklausantys klausimai.

 

8 straipsnis. Valstybinės duomenų apsaugos inspekcijos statusas ir veiklos principai

1. Valstybinė duomenų apsaugos inspekcija yra Lietuvos Respublikos Vyriausybės įstaiga. Jos administracijos struktūrą tvirtina Valstybinės duomenų apsaugos inspekcijos direktorius.

2. Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis ir šiame įstatyme jai nustatytas funkcijas bei priimdama sprendimus dėl jų atlikimo, yra nepriklausoma. Jos teisės gali būti suvaržytos tik įstatymų.

3. Valstybės ir savivaldybių institucijos ir įstaigos, Lietuvos Respublikos Seimo nariai ir kiti pareigūnai, politinės partijos ir politinės organizacijos, asociacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinei duomenų apsaugos inspekcijai, jos vadovui, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į Valstybinės duomenų apsaugos inspekcijos veiklą užtraukia įstatymų nustatytą atsakomybę.

 

9 straipsnis. Valstybinės duomenų apsaugos inspekcijos vadovas

1. Valstybinei duomenų apsaugos inspekcijai vadovauja Valstybinės duomenų apsaugos inspekcijos direktorius.

2. Valstybinės duomenų apsaugos inspekcijos direktoriumi gali būti skiriamas nepriekaištingos reputacijos Lietuvos Respublikos pilietis, turintis teisės bakalauro ir teisės magistro arba teisininko profesinį kvalifikacinį laipsnį (vienpakopį teisinį universitetinį išsilavinimą) ir ne mažesnį kaip 10 metų teisinio arba teisinio pedagoginio darbo stažą ir atitinkantis Reglamento (ES) 2016/679 53 straipsnio 2 dalyje nustatytus reikalavimus.

Straipsnio dalies pakeitimai:

Nr. XIII-1791, 2018-12-18, paskelbta TAR 2018-12-21, i. k. 2018-21119

 

3. Valstybinės duomenų apsaugos inspekcijos direktorius yra valstybės tarnautojas – įstaigos vadovas. Valstybinės duomenų apsaugos inspekcijos direktorius yra atskaitingas Vyriausybei ir Lietuvos Respublikos teisingumo ministrui.

Straipsnio dalies pakeitimai:

Nr. XIII-1791, 2018-12-18, paskelbta TAR 2018-12-21, i. k. 2018-21119

 

4. Valstybinės duomenų apsaugos inspekcijos direktorius savo kadencijos laikotarpiu turi sustabdyti narystę politinėje partijoje.

5. Valstybinės duomenų apsaugos inspekcijos direktorius atleidžiamas iš pareigų:

1) savo noru;

2) pasibaigus kadencijai;

3) kai nustatoma, kad jis padarė sunkų nusižengimą;

4) nebeatitinka šio straipsnio 2 ir 4 dalyse nustatytų reikalavimų.;

5) kai jam sukanka 65 metai.

Papildyta straipsnio punktu:

Nr. XIII-1791, 2018-12-18, paskelbta TAR 2018-12-21, i. k. 2018-21119

 

10 straipsnis. Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojas (pavaduotojai)

1. Valstybinės duomenų apsaugos inspekcijos direktorius turi pavaduotoją (pavaduotojų).

2. Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojas (pavaduotojai) turi atitikti Valstybinės duomenų apsaugos inspekcijos direktoriui šio įstatymo 9 straipsnio 2 ir 4 dalyse keliamus reikalavimus.

3. Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoją į pareigas priima ir iš pareigų atleidžia Valstybinės duomenų apsaugos inspekcijos direktorius Valstybės tarnybos įstatymo nustatyta tvarka.

 

11 straipsnis. Valstybinės duomenų apsaugos inspekcijos užduotys ir funkcijos

1. Valstybinė duomenų apsaugos inspekcija atlieka Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis.

2. Valstybinė duomenų apsaugos inspekcija taip pat atlieka šias funkcijas:

1) teikia duomenų subjektams, duomenų valdytojams ir duomenų tvarkytojams konsultacijas dėl asmens duomenų ir privatumo apsaugos, taip pat rengia metodines rekomendacijas dėl asmens duomenų apsaugos ir jas viešai skelbia savo interneto svetainėje;

2) Neteko galios nuo 2019-11-14

Straipsnio punkto naikinimas:

Nr. XIII-2500, 2019-11-07, paskelbta TAR 2019-11-13, i. k. 2019-18189

 

3) bendradarbiauja su kitų valstybių asmens duomenų apsaugos priežiūros institucijomis, Europos Sąjungos institucijomis, įstaigomis ir tarptautinėmis organizacijomis ir dalyvauja jų veikloje;

4) dalyvauja formuojant valstybės politiką asmens duomenų apsaugos srityje ir ją įgyvendina;

5) įgyvendina 1981 m. sausio 28 d. Strasbūre sudarytos Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) ir jos protokolų nuostatas;

Straipsnio punkto pakeitimai:

Nr. XIII-2500, 2019-11-07, paskelbta TAR 2019-11-13, i. k. 2019-18189

 

6) kitas šiame įstatyme ir kituose teisės aktuose nustatytas funkcijas.

 

12 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai ir teisės

1. Valstybinė duomenų apsaugos inspekcija turi Reglamente (ES) 2016/679 nustatytus priežiūros institucijos įgaliojimus.

2. Valstybinė duomenų apsaugos inspekcija taip pat turi teisę:

1) neatlygintinai gauti iš duomenų valdytojų ir duomenų tvarkytojų, valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant priežiūros institucijos užduotis ir funkcijas;

2) pažeidimų nagrinėjimo metu be išankstinio įspėjimo įeiti į tikrinamo asmens, skundžiamo asmens ar su jais susijusių asmenų patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais) arba teritoriją, kur yra dokumentai ir (ar) įranga, susiję su asmens duomenų tvarkymu. Įeiti į juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitais pagrindais) galima tik juridinio asmens darbo laiku, pateikus valstybės tarnautojo pažymėjimą. Įeiti į fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais), kur yra dokumentų ir (ar) įrangos, susijusios su asmens duomenų tvarkymu, galima tik pateikus teismo nutartį dėl leidimo įeiti į fizinio asmens gyvenamąsias patalpas;

3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su asmens duomenų ir (ar) privatumo apsauga;

4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl asmens duomenų tvarkymo ar apsaugos ekspertizės, asmens duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;

5) teikti duomenų valdytojams, duomenų tvarkytojams ir kitiems juridiniams ar fiziniams asmenims rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir (ar) privatumo apsaugos;

6) keistis informacija su kitų valstybių asmens duomenų apsaugos priežiūros institucijomis ir tarptautinėmis organizacijomis tiek, kiek to reikia jų funkcijoms atlikti;

7) dalyvauti teisme nagrinėjant bylas dėl tarptautinės, Europos Sąjungos ir nacionalinės teisės nuostatų asmens duomenų apsaugos klausimais pažeidimų;

8) pažeidimų nagrinėjimo metu naudoti technines priemones;

9) pažeidimų nagrinėjimo metu gauti žodinius ir rašytinius paaiškinimus iš juridinių ir fizinių asmenų ir reikalauti, kad jie atvyktų į Valstybinės duomenų apsaugos inspekcijos patalpas duoti paaiškinimų;

10) naudoti turimą informaciją (įskaitant asmens duomenis), gautą pažeidimų nagrinėjimo metu ar atliekant kitas funkcijas;

11) pasitelkti policijos pareigūnus viešajai tvarkai palaikyti ir galimam prievartos panaudojimui užtikrinti;

12) kitas įstatymų ir kitų teisės aktų nustatytas teises.

3. Jei Valstybinė duomenų apsaugos inspekcija, nagrinėdama skundą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, ir nuo šio Europos Komisijos sprendimo galiojimo priklauso Valstybinės duomenų apsaugos inspekcijos sprendimas, ji sustabdo skundo nagrinėjimą ir Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka kreipiasi į Lietuvos vyriausiąjį administracinį teismą su prašymu kreiptis į kompetentingą Europos Sąjungos teisminę instituciją dėl Europos Komisijos sprendimo dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo. Jei Lietuvos vyriausiasis administracinis teismas, nagrinėdamas Valstybinės duomenų apsaugos inspekcijos prašymą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, jis priima sprendimą kreiptis į kompetentingą Europos Sąjungos teisminę instituciją su prašymu priimti prejudicinį sprendimą pagal Sutarties dėl Europos Sąjungos veikimo (OL 2016 C 202, p. 47) 267 straipsnį.

4. Valstybinė duomenų apsaugos inspekcija, atlikdama tyrimus ir (ar) patikrinimus savo iniciatyva bei nagrinėdama skundus, taip pat turi Lietuvos Respublikos administracinių nusižengimų kodekse nustatytas Valstybinės duomenų apsaugos inspekcijos teises ir įgaliojimus.

 

13 straipsnis. Pareiga saugoti paslaptis ir konfidencialią informaciją 

Valstybinės duomenų apsaugos inspekcijos direktorius, žurnalistų etikos inspektorius, šių priežiūros institucijų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, privalo saugoti valstybės, tarnybos, profesinę, komercinę ar kitą įstatymų saugomą paslaptį sudarančią informaciją, taip pat bet kokią kitą konfidencialią informaciją, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais, tiek eidami pareigas, tiek ir pasibaigus jų tarnybos (darbo) santykiams.

 

14 straipsnis. Priežiūros institucijos reikalavimų privalomumas

Juridiniai ir fiziniai asmenys privalo vykdyti priežiūros institucijos reikalavimus (įskaitant  reikalavimą atvykti į priežiūros institucijos patalpas duoti paaiškinimų, bet tuo neapsiribojant), nedelsdami pateikti informaciją ir (ar) paaiškinimus, dokumentų kopijas ir nuorašus, duomenų kopijas, sudaryti sąlygas susipažinti su visais duomenimis ir (ar) įranga, susijusiais su asmens duomenų tvarkymu, ir dokumentais, reikalingais priežiūros institucijos funkcijoms atlikti.

 

IV SKYRIUS

VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS LEIDIMŲ PERDUOTI ASMENS DUOMENIS Į TREČIĄSIAS VALSTYBES AR TARPTAUTINĖMS ORGANIZACIJOMS IŠDAVIMAS IR SERTIFIKAVIMO ĮSTAIGŲ AKREDITAVIMAS

 

15 straipsnis. Valstybinės duomenų apsaugos inspekcijos leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms pagal Reglamento (ES) 2016/679 46 straipsnio 3 dalį išdavimas

1. Valstybinė duomenų apsaugos inspekcija pagal Reglamento (ES) 2016/679 46 straipsnio 3 dalį leidimą perduoti asmens duomenis į trečiąją valstybę ar tarptautinei organizacijai arba motyvuotą rašytinį atsisakymą šį leidimą išduoti privalo pateikti duomenų valdytojui ne vėliau kaip per 20 darbo dienų. Šis terminas skaičiuojamas nuo dienos, kurią Valstybinė duomenų apsaugos inspekcija gauna visus leidimui gauti reikalingus dokumentus ir informaciją.

2. Dėl aplinkybių sudėtingumo, informacijos apimties ar kitų svarbių objektyvių aplinkybių šio straipsnio 1 dalyje nustatytas leidimo perduoti asmens duomenis į trečiąją valstybę ar tarptautinei organizacijai išdavimo terminas gali būti vieną kartą pratęstas iki 10 darbo dienų. Valstybinė duomenų apsaugos inspekcija, priėmusi sprendimą pratęsti šio straipsnio 1 dalyje nurodytą terminą, privalo nedelsdama, bet ne vėliau kaip iki šio straipsnio 1 dalyje nurodyto termino pabaigos, pranešti duomenų valdytojui apie leidimo išdavimo termino pratęsimą ir priežastis, dėl kurių terminas pratęstas.

3. Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarką nustato Valstybinė duomenų apsaugos inspekcija.

 

16 straipsnis. Sertifikavimo įstaigų akreditavimas

1. Sertifikavimo įstaigas pagal Reglamento (ES) 2016/679 43 straipsnį akredituoja, taip pat  akreditavimo ir akreditavimo pažymėjimų išdavimo tvarką nustato Valstybinė duomenų apsaugos inspekcija.

2. Sertifikavimo įstaigos, pageidaujančios būti akredituotos, akreditavimo išlaidas apmoka pagal Vyriausybės nustatyta tvarka patvirtintus įkainius.

 

V SKYRIUS

PRIEŽIŪROS INSTITUCIJŲ ATLIEKAMAS PAŽEIDIMŲ NAGRINĖJIMAS

 

PIRMASIS SKIRSNIS

BENDROSIOS NUOSTATOS

 

17 straipsnis. Tikrinamo asmens, pareiškėjo, skundžiamo asmens ir pažeidimo padarymu įtariamo asmens teisės ir pareigos

1. Tikrinamas asmuo, kai Valstybinė duomenų apsaugos inspekcija savo iniciatyva atlieka tyrimą ir (ar) patikrinimą, pareiškėjas ir skundžiamas asmuo, kai priežiūros institucija nagrinėja skundą, taip pat administracinės baudos skyrimo procedūros metu pažeidimo padarymu įtariamas asmuo turi Reglamente (ES) 2016/679 ir šiame įstatyme nurodytas teises ir pareigas.

2. Tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo taip pat turi teisę:

1) gauti paaiškinimus apie tyrimo ir (ar) patikrinimo arba skundo nagrinėjimo dalyką ir pagrindą;

2) savo iniciatyva pateikti papildomus paaiškinimus ir (ar) informaciją, susijusią su tyrimo ir (ar) patikrinimo atlikimu arba skundo nagrinėjimu;

3) apskųsti priežiūros institucijos veiksmus ar neveikimą;

4) susipažinti su tyrimo ir (ar) patikrinimo atlikimo, skundo nagrinėjimo ir administracinės baudos skyrimo medžiaga, išskyrus valstybės, tarnybos, profesinę, komercinę ar kitą įstatymų saugomą paslaptį sudarančią informaciją.

3. Laikoma, kad šio straipsnio 1 dalyje nurodyti asmenys yra tinkamai informuoti ir jiems tinkamai pranešta, jei priežiūros institucija šiame skyriuje nurodytais atvejais sprendimus, pranešimus, kitus dokumentus ir informaciją šiems asmenims siunčia Lietuvos Respublikos juridinių asmenų registre nurodytu buveinės adresu arba Lietuvos Respublikos gyventojų registre nurodytu gyvenamosios vietos adresu, išskyrus atvejus, kai asmuo nurodo kitą korespondencijos įteikimo adresą, arba Juridinių asmenų registre arba Gyventojų registre nurodytu asmens elektroninių siuntų pristatymo adresu.

 

18 straipsnis. Teismo leidimų įeiti į fizinių asmenų gyvenamąsias patalpas išdavimas

1. Priežiūros institucija, nagrinėdama pažeidimą nusprendusi įeiti į fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais), Vilniaus apygardos administraciniam teismui pateikia prašymą išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas.

2. Prašyme išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas turi būti nurodytas fizinio asmens vardas, pavardė, gyvenamųjų patalpų adresas, įtariamo pažeidimo pobūdis ir numatomi atlikti veiksmai.

3. Išnagrinėjęs prašymą išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas, Vilniaus apygardos administracinis teismas priima motyvuotą nutartį prašymą patenkinti arba atmesti.

4. Prašymas išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas turi būti išnagrinėtas ir nutartis priimta ne vėliau kaip per 72 valandas nuo prašymo pateikimo momento.

5. Jeigu priežiūros institucija nesutinka su Vilniaus apygardos administracinio teismo nutartimi atmesti prašymą išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas, ji turi teisę per 7 kalendorines dienas nuo šios nutarties priėmimo dienos šią nutartį apskųsti Lietuvos vyriausiajam administraciniam teismui.

6. Lietuvos vyriausiasis administracinis teismas turi priežiūros institucijos skundą dėl Vilniaus apygardos administracinio teismo nutarties išnagrinėti ne vėliau kaip per 7 kalendorines dienas nuo šio skundo gavimo dienos. Priežiūros institucijos atstovas turi teisę dalyvauti nagrinėjant skundą.

7. Lietuvos vyriausiojo administracinio teismo priimta nutartis dėl priežiūros institucijos skundo dėl Vilniaus apygardos administracinio teismo nutarties yra galutinė ir neskundžiama.

 

19 straipsnis. Informacijos apie priežiūros institucijos atliekamą pažeidimo nagrinėjimą teikimas

Priežiūros institucija informacijos apie atliekamą pažeidimo nagrinėjimą visuomenės informavimo priemonėms, kitiems su tyrimo ir (ar) patikrinimo atlikimu arba skundo nagrinėjimu nesusijusiems asmenims neteikia tol, kol tyrimas ir (ar) patikrinimas arba skundo nagrinėjimas nėra baigtas, išskyrus atvejus, kai priežiūros institucija gali teikti informaciją apie atliekamo tyrimo ir (ar) patikrinimo arba skundo nagrinėjimo faktą, kai informacija teikiama ne priežiūros institucijos iniciatyva.

 

ANTRASIS SKIRSNIS

TYRIMŲ IR (AR) PATIKRINIMŲ VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS INICIATYVA ATLIKIMAS

 

20 straipsnis. Tyrimai ir (ar) patikrinimai, atliekami Valstybinės duomenų apsaugos inspekcijos iniciatyva, ir jų atlikimo tvarka

1. Valstybinė duomenų apsaugos inspekcija gali savo iniciatyva pradėti tyrimą ir (ar) patikrinimą bet kokiu klausimu, susijusiu su Reglamento (ES) 2016/679, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, galimu pažeidimu.

2. Pagrindas pradėti tyrimą ir (ar) patikrinimą Valstybinės duomenų apsaugos inspekcijos iniciatyva gali būti visuomenės, valdžios institucijų ir įstaigų, kitų valstybių asmens duomenų apsaugos priežiūros institucijų, tarptautinių organizacijų, nacionalinių ir tarptautinių nevyriausybinių organizacijų ar kitų šaltinių, taip pat visuomenės informavimo priemonėse pateikta informacija asmens duomenų ir (ar) privatumo apsaugos klausimais. Valstybinė duomenų apsaugos inspekcija gali savo iniciatyva pradėti tyrimą ir (ar) patikrinimą ir nesiremdama kitų šaltinių pateikta informacija.

3. Valstybinė duomenų apsaugos inspekcija savo iniciatyva atlieka tyrimus ir (ar) patikrinimus dėl Reglamento (ES) 2016/679, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, galimo pažeidimo šių teisės aktų ir Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka.

4. Kai atliekant tyrimus ir (ar) patikrinimus Valstybinės duomenų apsaugos inspekcijos iniciatyva vadovaujamasi Reglamento (ES) 2016/679 60 straipsniu, netaikomas šio įstatymo 21 straipsnis.

 

21 straipsnis. Tyrimo ir (ar) patikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminai

1. Tyrimas ir (ar) patikrinimas Valstybinės duomenų apsaugos inspekcijos iniciatyva atliekamas ne ilgiau kaip 4 mėnesius nuo sprendimo atlikti šį tyrimą ir (ar) patikrinimą priėmimo.

2. Atsižvelgiant į tyrimo ir (ar) patikrinimo sudėtingumą, tikrinamo asmens veiklos pobūdį, tyrimo ir (ar) patikrinimo mastą, tikrinamo asmens ir kitų juridinių ar fizinių asmenų vengimą vykdyti Valstybinės duomenų apsaugos inspekcijos reikalavimus, tyrimo ir (ar) patikrinimo metu paaiškėjusias naujas aplinkybes arba kitas objektyvias priežastis, šio straipsnio 1 dalyje nustatytas terminas Valstybinės duomenų apsaugos inspekcijos sprendimu gali būti pratęstas, bet ne ilgiau kaip 2 mėnesiams. Bendras tyrimo ir (ar) patikrinimo Valstybinės duomenų apsaugos inspekcijos iniciatyva atlikimo terminas negali būti ilgesnis negu 6 mėnesiai nuo sprendimo atlikti tyrimą ir (ar) patikrinimą priėmimo. Apie tyrimo ir (ar) patikrinimo termino pratęsimą ir priežastis, dėl kurių šis terminas pratęstas, Valstybinė duomenų apsaugos inspekcija privalo nedelsdama, bet ne vėliau kaip iki šio straipsnio 1 dalyje nurodyto termino pabaigos, pranešti tikrinamam asmeniui.

 

22 straipsnis. Valstybinės duomenų apsaugos inspekcijos sprendimai atlikus tyrimą ir (ar) patikrinimą savo iniciatyva

1. Valstybinė duomenų apsaugos inspekcija, baigusi tyrimą ir (ar) patikrinimą savo iniciatyva, motyvuotai nusprendžia:

1) konstatuoti, kad pažeidimų nenustatyta;

2) teikti duomenų valdytojui ir (ar) duomenų tvarkytojui nurodymus, rekomendacijas ir (ar) taikyti kitas Reglamento (ES) 2016/679 58 straipsnio 2 dalyje, šio įstatymo 33 straipsnyje ir kituose įstatymuose, reglamentuojančiuose asmens duomenų ir (ar) privatumo apsaugą, nurodytas priemones. Jei ketinama skirti administracinę baudą, atliekami šio skyriaus ketvirtajame skirsnyje nurodyti veiksmai;

3) surašyti administracinio nusižengimo protokolą pažeidimą padariusiam asmeniui.

2. Apie priimtą sprendimą Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo dienos raštu praneša tikrinamam asmeniui, išskyrus šio straipsnio 1 dalies 2 punkte nurodytą atvejį, kai ketinama skirti administracinę baudą.

3. Valstybinės duomenų apsaugos inspekcijos sprendimai gali būti skundžiami teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

 

TREČIASIS SKIRSNIS

SKUNDŲ NAGRINĖJIMAS

 

23 straipsnis. Skundų nagrinėjimo tvarka

1. Priežiūros institucija nagrinėja skundus dėl Reglamento (ES) 2016/679, šio įstatymo ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų šių teisės aktų ir priežiūros institucijos nustatyta tvarka.

2. Kai nagrinėjant skundą vadovaujamasi Reglamento (ES) 2016/679 60 straipsniu, netaikoma šio įstatymo 30 straipsnio 2 dalis.

 

24 straipsnis. Skundo pateikimas ir jo turinys

1. Skundą Valstybinei duomenų apsaugos inspekcijai turi teisę pateikti šie pareiškėjai:

1) duomenų subjektas, nurodytas Reglamento (ES) 2016/679 77 straipsnio 1 dalyje, – dėl Reglamento (ES) 2016/679 pažeidimų;

2) duomenų subjektas – dėl šio ir kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų;

3) fizinis ar juridinis asmuo – dėl Lietuvos Respublikos elektroninių ryšių įstatymo devintojo skirsnio, išskyrus 61 straipsnio 5 dalį, 64 straipsnio 7 dalį ir 68 straipsnio 2 dalį, pažeidimų.

2. Skundą žurnalistų etikos inspektoriui turi teisę pateikti duomenų subjektas, nurodytas Reglamento (ES) 2016/679 77 straipsnio 1 dalyje, dėl Reglamento (ES) 2016/679 pažeidimų.

3. Skundą raštu galima pateikti tiesiogiai atvykus į priežiūros instituciją, atsiunčiant paštu arba elektroninėmis priemonėmis.

4. Prie skundo, kurį pateikia pareiškėjo atstovas, turi būti pridėtas pareiškėjo atstovo įgaliojimus patvirtinantis dokumentas. Prie skundo, kurį šio straipsnio 1 dalies 1, 2 punktuose arba 2 dalyje nurodyto pareiškėjo vardu pateikia pelno nesiekianti įstaiga, organizacija ar asociacija pagal Reglamento (ES) 2016/679 80 straipsnio 1 dalį ar įstatymus, reglamentuojančius asmens duomenų ir (ar) privatumo apsaugą, papildomai turi būti pridėti dokumentai, patvirtinantys, kad ji veikia asmens duomenų apsaugos srityje. 

5. Skunde nurodoma:

1) adresatas – priežiūros institucija;

2) skundo surašymo data;

3) pareiškėjo ir jo atstovo, jeigu jis yra, duomenys:

a) fizinio asmens vardas, pavardė, kontaktiniai duomenys;

b) juridinio asmens pavadinimas, kodas ir kontaktiniai duomenys;

c) atstovavimo pagrindas, kai skundą pateikia pareiškėjo atstovas;

4) skundžiamo asmens tapatybė (juridinio asmens pavadinimas ir kodas, fizinio asmens vardas ir pavardė), kontaktiniai duomenys, jeigu jie žinomi;

5) skundžiamų veiksmų (neveikimo) apibūdinimas, jų padarymo laikas ir aplinkybės;

6) pareiškėjo prašymas priežiūros institucijai;

7) pareiškėjo ar jo atstovo, jeigu jis yra, parašas; skundas, kuris pateikiamas elektroninėmis priemonėmis,  turi būti pasirašytas pareiškėjo ar jo atstovo, jeigu jis yra, kvalifikuotu elektroniniu parašu arba suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą.

6. Prie skundo turi būti pridėti turimi dokumentai, reikalingi skundui nagrinėti, ar jų aprašymas.

 

25 straipsnis. Anoniminiai skundai

Anoniminiai skundai nenagrinėjami, jeigu Valstybinės duomenų apsaugos inspekcijos direktorius arba žurnalistų etikos inspektorius nenusprendžia kitaip.

 

26 straipsnis. Skundo priėmimas

Skundo ar jo dalies priėmimo faktas patvirtinamas priežiūros institucijos raštu. Šiame rašte nurodoma skundo priėmimo data, skundą ar jo dalį nagrinėjančio priežiūros institucijos atstovo vardas, pavardė, telefono ryšio numeris, skundo registracijos numeris ir galimybė pareiškėjo teises ginti teisme. Skundo ar jo dalies priėmimo faktą patvirtinantis dokumentas pareiškėjui įteikiamas, išsiunčiamas paštu ar elektroninėmis priemonėmis ne vėliau kaip per 3 darbo dienas nuo skundo gavimo priežiūros institucijoje dienos.

 

27 straipsnis. Atsisakymas nagrinėti skundą

1. Priežiūros institucija priima sprendimą atsisakyti nagrinėti skundą ar jo dalį ir apie tai ne vėliau kaip per 5 darbo dienas nuo skundo gavimo priežiūros institucijoje dienos praneša pareiškėjui, nurodydama atsisakymo nagrinėti skundą ar jo dalį pagrindą (pagrindus), jeigu:

1) skundas ar jo dalis neatitinka šio įstatymo 24 straipsnio 5 dalyje nurodytų reikalavimų, taikomų skundo turiniui. Šio įstatymo 24 straipsnio 5 dalyje nurodytos informacijos nenurodymas skunde negali būti pagrindas atsisakyti nagrinėti skundą, jei skundas be šios informacijos gali būti nagrinėjamas;

2) skunde nurodytų aplinkybių ar dalies jų tyrimas nepriklauso priežiūros institucijos kompetencijai;

3) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta priežiūros institucijoje, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;

4) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta arba yra nagrinėjama Lietuvos Respublikos ar kitos Europos Sąjungos valstybės narės teisme;

5) skundas ar jo dalis tuo pačiu klausimu buvo išnagrinėta kitos Europos Sąjungos valstybės narės priežiūros institucijoje;

6) dėl skundo ar jo dalies dalyko yra pradėtas ikiteisminis tyrimas;

7) skundo tekstas neįskaitomas, neaiškiai suformuluotas pareiškėjo prašymas ar skundo turinys nesuprantamas;

8) nuo skunde ar jo dalyje nurodytų pažeidimų padarymo iki skundo padavimo praėjo daugiau kaip 2 metai.

2. Kai skunde nurodytų aplinkybių ar dalies jų tyrimas nepriklauso priežiūros institucijos kompetencijai, priežiūros institucija per šio straipsnio 1 dalyje nurodytą terminą perduoda skundą ar jo dalį kompetentingai institucijai ir apie tai praneša pareiškėjui. Kai kompetentinga institucija yra teismas, skundas ar jo dalis grąžinamas pareiškėjui pateikiant informaciją, kur jam reikėtų kreiptis.

 

28 straipsnis. Papildomų dokumentų ir (ar) informacijos reikalavimas iš pareiškėjo

1. Priežiūros institucijos reikalavimas iš pareiškėjo pateikti papildomus dokumentus ir (ar) informaciją, reikalingus skundui ar jo daliai nagrinėti, turi būti motyvuotas. Pareiškėjui pranešama apie papildomų dokumentų ir (ar) informacijos nepateikimo padarinius.

2. Pareiškėjas priežiūros institucijos reikalavimu privalo pateikti skundui ar jo daliai nagrinėti reikalingus papildomus dokumentus ir informaciją per priežiūros institucijos nurodytą terminą, bet ne vėliau kaip per 10 darbo dienų nuo priežiūros institucijos reikalavimo gavimo dienos.

 

29 straipsnis. Skundo nagrinėjimo nutraukimas

1. Priežiūros institucija priima sprendimą nutraukti skundo ar jo dalies nagrinėjimą, jeigu nagrinėjant skundą ar jo dalį:

1) gaunamas pareiškėjo prašymas nenagrinėti skundo ar jo dalies;

2) paaiškėja, kad yra šio įstatymo 27 straipsnio 1 dalies 2–6, 8 punktuose nurodytas pagrindas (nurodyti pagrindai) atsisakyti nagrinėti skundą ar jo dalį;

3) pareiškėjas priežiūros institucijos reikalavimu nepateikia papildomų dokumentų ir (ar) informacijos, be kurių neįmanoma išnagrinėti skundo ar jo dalies;

4) paaiškėja, kad negalima skundo ar jo dalies išnagrinėti dėl informacijos trūkumo ar kitų reikšmingų aplinkybių;

5) paaiškėja, kad pareiškėjas mirė.

2. Apie skundo ar jo dalies nagrinėjimo nutraukimą ne vėliau kaip per 3 darbo dienas nuo šio straipsnio 1 dalyje nurodyto sprendimo priėmimo dienos pranešama pareiškėjui, išskyrus šio straipsnio 1 dalies 5 punkte nurodytą atvejį.

 

30 straipsnis. Pareiškėjo informavimo ir skundo nagrinėjimo terminai

1. Priežiūros institucija  praneša pareiškėjui apie skundo nagrinėjimo pažangą, jei skundas ar jo dalis neišnagrinėta, ar rezultatus ne vėliau kaip per 3 mėnesius nuo skundo gavimo priežiūros institucijoje dienos.

2. Skundas ar jo dalis turi būti išnagrinėta ir pareiškėjui atsakyta per 4 mėnesius nuo skundo gavimo priežiūros institucijoje dienos, išskyrus atvejus, kai dėl skunde ar jo dalyje nurodytų ar nagrinėjimo metu paaiškėjusių aplinkybių sudėtingumo, informacijos apimties, skundžiamo asmens ir kitų juridinių ar fizinių asmenų vengimo vykdyti priežiūros institucijos reikalavimus, skundžiamų veiksmų tęstinio pobūdžio arba kitų objektyvių priežasčių būtina skundo ar jo dalies nagrinėjimą pratęsti. Šiais atvejais skundo ar jo dalies nagrinėjimo terminas pratęsiamas, bet ne ilgiau kaip 2 mėnesiams. Bendras skundo ar jo dalies nagrinėjimo terminas negali būti ilgesnis negu 6 mėnesiai nuo skundo gavimo priežiūros institucijoje dienos. Apie skundo ar jo dalies nagrinėjimo termino pratęsimą ir pratęsimo priežastis pranešama pareiškėjui. Skundas ar jo dalis turi būti išnagrinėta per įmanomai trumpiausią laiką.

 

31 straipsnis. Priežiūros institucijos sprendimai išnagrinėjus skundą

1. Priežiūros institucija, baigusi skundo ar jo dalies nagrinėjimą, motyvuotai nusprendžia:

1) pripažinti skundą ar jo dalį pagrįsta;

2) atmesti skundą ar jo dalį.

2. Kai skundas ar jo dalis pripažįstama pagrįsta, Valstybinė duomenų apsaugos inspekcija motyvuotai:

1) teikia duomenų valdytojui ir (ar) duomenų tvarkytojui nurodymus, rekomendacijas ir (ar) taiko kitas Reglamento (ES) 2016/679 58 straipsnio 2 dalyje, šio įstatymo 33 straipsnyje ir kituose įstatymuose, reglamentuojančiuose asmens duomenų ir (ar) privatumo apsaugą, nurodytas priemones. Jei ketinama skirti administracinę baudą, atliekami šio skyriaus ketvirtajame skirsnyje nurodyti veiksmai;

2) surašo administracinio nusižengimo protokolą pažeidimą padariusiam asmeniui.

3. Kai skundas ar jo dalis pripažįstama pagrįsta, žurnalistų etikos inspektorius motyvuotai teikia duomenų valdytojui ir (ar) duomenų tvarkytojui nurodymus, rekomendacijas ir (ar) taiko kitas Reglamento (ES) 2016/679 58 straipsnio 2 dalyje ir šio įstatymo 33 straipsnyje nurodytas priemones. Jei ketinama skirti administracinę baudą, atliekami šio skyriaus ketvirtajame skirsnyje nurodyti veiksmai.

4. Apie priimtą sprendimą priežiūros institucija ne vėliau kaip per 3 darbo dienas nuo jo priėmimo dienos raštu praneša pareiškėjui ir skundžiamam asmeniui, išskyrus šio straipsnio 2 dalies 1 punkte ir 3 dalyje nurodytus atvejus, kai ketinama skirti administracinę baudą.

5. Priežiūros institucijos sprendimas gali būti skundžiamas teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

 

KETVIRTASIS SKIRSNIS

ADMINISTRACINĖS BAUDOS

 

32 straipsnis. Administracinių baudų skyrimo tvarka

1. Priežiūros institucija už Reglamento (ES) 2016/679 ir šio įstatymo pažeidimus administracines baudas skiria vadovaudamasi Reglamentu (ES) 2016/679 ir šiuo įstatymu.

2. Administracines baudas pagal kompetenciją skiria Valstybinės duomenų apsaugos inspekcijos direktorius arba žurnalistų etikos inspektorius ar jų įgaliotas asmuo.

3. Sprendimas dėl administracinės baudos skyrimo gali būti priimtas, jeigu praėjo ne daugiau kaip 2 metai nuo pažeidimo padarymo dienos, o kai pažeidimas trunkamasis, – nuo jo paaiškėjimo dienos.

 

33 straipsnis. Valdžios institucijoms ar įstaigoms skiriamos administracinės baudos

1. Valdžios institucijai ar įstaigai, pažeidusiai Reglamento (ES) 2016/679 83 straipsnio 4 dalies a, b ir c punktų nuostatas, priežiūros institucija turi teisę skirti administracinę baudą iki 0,5 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu trisdešimt tūkstančių eurų.

2. Valdžios institucijai ar įstaigai, pažeidusiai Reglamento (ES) 2016/679 83 straipsnio 5 dalies a–e punktų nuostatas ir (ar) Reglamento (ES) 2016/679 83 straipsnio 6 dalį, priežiūros institucija turi teisę skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų.

3. Valdžios institucijai ar įstaigai, kuri vykdo ūkinę komercinę veiklą, už Reglamento (ES) 2016/679 nuostatų pažeidimą priežiūros institucija turi teisę skirti administracinę baudą, nurodytą Reglamento (ES) 2016/679 83 straipsnio 4, 5 ir 6 dalyse.

 

34 straipsnis. Administracinių baudų skyrimo procedūra

1. Priežiūros institucija pažeidimo padarymu įtariamam asmeniui išsiunčia dokumentą, kuriame išdėstytas siūlymas skirti administracinę baudą. Pažeidimo padarymu įtariamam asmeniui pasiūloma per priežiūros institucijos nustatytą terminą, kuris negali būti trumpesnis negu 10 darbo dienų nuo šio priežiūros institucijos dokumento gavimo dienos, raštu pateikti savo paaiškinimus dėl šiame dokumente išdėstytų aplinkybių, išskyrus atvejus, kai šie paaiškinimai jau buvo gauti atliekant tyrimą ir (ar) patikrinimą ar nagrinėjant skundą, suteikti informacijos, reikšmingos skiriant administracinę baudą ir pareikšti nuomonę dėl bylos nagrinėjimo žodinės procedūros tvarka. Paaiškinimų ir kitos informacijos nepateikimas per šioje dalyje nurodytą terminą netrukdo spręsti klausimą dėl administracinės baudos skyrimo.

2. Priežiūros institucija, pasirengusi nagrinėti bylą, ją paprastai nagrinėja rašytinės procedūros tvarka pagal jai pateiktus paaiškinimus. Bylą nagrinėjant rašytinės procedūros tvarka, posėdis nerengiamas.

3. Priežiūros institucija pažeidimo padarymu įtariamo asmens prašymu arba savo iniciatyva dėl aplinkybių sudėtingumo ar kitų svarbių aplinkybių gali nuspręsti bylą nagrinėti žodinės procedūros tvarka, kai būtina išklausyti žodinius pažeidimo padarymu įtariamo asmens paaiškinimus ar kitais atvejais, kai byla gali būti geriau išnagrinėta žodinės procedūros tvarka. Nagrinėjant bylą žodinės procedūros tvarka, pažeidimo padarymu įtariamam asmeniui, pareiškėjui ir kitiems suinteresuotiems asmenims turi būti pranešta apie posėdžio, kuriame nagrinėjama byla, vietą, datą ir laiką ne vėliau kaip prieš 10 darbo dienų iki posėdžio dienos.

4. Posėdyje, kuriame nagrinėjama byla, gali dalyvauti ir pateikti paaiškinimus pažeidimo padarymu įtariamas asmuo ir kiti asmenys, kurių dalyvavimas reikalingas bylai tinkamai išnagrinėti.

5. Pažeidimo padarymu įtariamo asmens ar jo atstovo neatvykimas netrukdo nagrinėti bylą, jeigu pažeidimo padarymu įtariamam asmeniui apie posėdį dėl bylos nagrinėjimo buvo tinkamai pranešta ir jis nepateikė įrodymų, kad negali atvykti dėl svarbių priežasčių.

6. Posėdis, kuriame nagrinėjama byla, yra viešas, išskyrus atvejus, kai priežiūros institucija savo iniciatyva arba pažeidimo padarymu įtariamo asmens ir (ar) pareiškėjo prašymu nusprendžia bylą nagrinėti uždarame posėdyje siekdama apsaugoti valstybės, tarnybos, profesines, komercines paslaptis ar kitas įstatymų saugomas paslaptis arba užtikrinti asmens teises į privataus gyvenimo neliečiamumą ir (ar) asmens duomenų apsaugą.

7. Posėdis, kuriame nagrinėjama byla, vyksta lietuvių kalba.

8. Posėdžio, kuriame nagrinėjama byla, metu daromas posėdžio garso įrašas. Jis laikomas posėdžio protokolu.

9. Kai byla nagrinėjama rašytinės procedūros tvarka, priežiūros institucija sprendimą dėl administracinės baudos skyrimo priima per 20 darbo dienų nuo šio straipsnio 1 dalyje nurodytame dokumente priežiūros institucijos nustatyto termino pabaigos. Jei byla nagrinėjama žodinės procedūros tvarka posėdyje, priežiūros institucija sprendimą dėl administracinės baudos skyrimo priima per 20 darbo dienų nuo posėdžio dienos. Priežiūros institucija sprendimą dėl administracinės baudos skyrimo ne vėliau kaip per 3 darbo dienas nuo priėmimo dienos išsiunčia asmeniui, dėl kurio šis sprendimas priimtas, ir pareiškėjui.

10. Priežiūros institucijos sprendimas dėl administracinės baudos skyrimo turi būti motyvuotas. Jame turi būti nurodyta:

1) sprendimą priėmusios institucijos pavadinimas;

2) bylos nagrinėjimo data ir vieta;

3) duomenys apie asmenį, dėl kurio priimtas sprendimas;

4) sprendimo priėmimo teisinis pagrindas; 

5) pažeidimai, jei jie nustatyti, ir jų aplinkybės;

6) surinkti įrodymai ir jų vertinimas;

7) pažeidimo padarymu įtariamo asmens ir kitų asmenų paaiškinimai (jeigu jie pateikti), jų vertinimas;

8) priimtas sprendimas – skirti administracinę baudą arba jos neskirti;

9) sprendimo apskundimo terminai ir tvarka.

11. Priežiūros institucijos sprendimas dėl administracinės baudos skyrimo gali būti skundžiamas teismui Administracinių bylų teisenos įstatymo nustatyta tvarka.

 

35 straipsnis. Sprendimo dėl administracinės baudos skyrimo vykdymas

1. Priežiūros institucijos sprendimas dėl administracinės baudos skyrimo turi būti įvykdytas ne vėliau kaip per 3 mėnesius nuo dienos, kurią jis buvo išsiųstas ar įteiktas asmeniui, kuriam administracinė bauda paskirta. Apskundus priežiūros institucijos sprendimą dėl administracinės baudos skyrimo, jis turi būti įvykdytas ne vėliau kaip per 3 mėnesius nuo teismo sprendimo įsiteisėjimo dienos. Administracinė bauda turi būti sumokėta į valstybės biudžetą.

2. Priežiūros institucijos sprendimas dėl administracinės baudos skyrimo yra vykdomasis dokumentas, vykdomas Lietuvos Respublikos civilinio proceso kodekso nustatyta tvarka. Jis gali būti pateiktas vykdyti ne vėliau kaip per 3 metus nuo jo priėmimo dienos.

 

 

 

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

 

 

 

RESPUBLIKOS PREZIDENTAS                                                       ALGIRDAS BRAZAUSKAS

 

 

Lietuvos Respublikos

asmens duomenų teisinės apsaugos

įstatymo

priedas

 

ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI

 

1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1).

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos Seimas, Įstatymas

Nr. VIII-662, 1998-03-12, Žin., 1998, Nr. 31-819 (1998-04-01), i. k. 0981010ISTAVIII-662

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 5, 6, 7, 8, 9, 14 straipsnių pakeitimo ir papildymo įstatymas

 

2.

Lietuvos Respublikos Seimas, Įstatymas

Nr. VIII-1852, 2000-07-17, Žin., 2000, Nr. 64-1924 (2000-07-31), i. k. 1001010ISTAIII-1852

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas

 

3.

Lietuvos Respublikos Seimas, Įstatymas

Nr. IX-719, 2002-01-22, Žin., 2002, Nr. 13-473 (2002-02-06), i. k. 1021010ISTA00IX-719

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 5, 7, 14, 15, 16, 18, 20, 22, 24, 26 straipsnių pakeitimo ir papildymo įstatymas

 

4.

Lietuvos Respublikos Seimas, Įstatymas

Nr. IX-970, 2002-06-20, Žin., 2002, Nr. 68-2769 (2002-07-03), i. k. 1021010ISTA00IX-970

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo papildymo 10(1) straipsniu ir 15, 17 straipsnių pakeitimo įstatymas

 

5.

Lietuvos Respublikos Seimas, Įstatymas

Nr. IX-1296, 2003-01-21, Žin., 2003, Nr. 15-597 (2003-02-12), i. k. 1031010ISTA0IX-1296

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas

 

6.

Lietuvos Respublikos Seimas, Įstatymas

Nr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24), i. k. 1041010ISTA0IX-2111

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 23 ir 26 straipsnių pakeitimo įstatymas

 

7.

Lietuvos Respublikos Seimas, Įstatymas

Nr. X-1444, 2008-02-01, Žin., 2008, Nr. 22-804 (2008-02-23), i. k. 1081010ISTA00X-1444

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas

 

8.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28), i. k. 1111010ISTA0XI-1372

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 6, 20, 21, 22, 24, 25, 26, 27, 29, 33, 35, 36, 38, 40, 45, 53 straipsnių, ketvirtojo ir devintojo skirsnių pavadinimų pakeitimo ir papildymo ir Įstatymo papildymo 13-1, 15-1, 35-1, 41-1 straipsniais įstatymas

 

9.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XII-1430, 2014-12-11, paskelbta TAR 2014-12-23, i. k. 2014-20555

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 15 straipsnio pakeitimo įstatymas

 

10.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XII-2103, 2015-12-01, paskelbta TAR 2015-12-09, i. k. 2015-19490

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 36 straipsnio pakeitimo įstatymas

 

11.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XII-2709, 2016-11-03, paskelbta TAR 2016-11-09, i. k. 2016-26494

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 41 straipsnio pakeitimo įstatymas

 

12.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XIII-1426, 2018-06-30, paskelbta TAR 2018-07-11, i. k. 2018-11733

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 pakeitimo įstatymas

 

13.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XIII-1791, 2018-12-18, paskelbta TAR 2018-12-21, i. k. 2018-21119

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 9 straipsnio pakeitimo įstatymas

 

14.

Lietuvos Respublikos Seimas, Įstatymas

Nr. XIII-2500, 2019-11-07, paskelbta TAR 2019-11-13, i. k. 2019-18189

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 11 straipsnio pakeitimo įstatymas