LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO
ĮSTATYMAS
2000 m. liepos 17 d. Nr. VIII-1852
Vilnius
(Žin., 1996, Nr. 63-1479; 1998, Nr. 31-819)
1 straipsnis. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nauja redakcija
Pakeisti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir jį išdėstyti taip:
„LIETUVOS RESPUBLIKOS
ASMENS DUOMENŲ TEISINĖS APSAUGOS
ĮSTATYMAS
PIRMASIS SKIRSNIS
BENDROSIOS NUOSTATOS
1 straipsnis. Įstatymo tikslas, paskirtis ir taikymo sritis
1. Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir sudaryti sąlygas laisvam asmens duomenų judėjimui.
2. Šis įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus. Įstatymas nustato fizinių asmenų, kaip duomenų subjektų, teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų (taip pat įmonių, neturinčių juridinio asmens teisių) teises, pareigas ir atsakomybę tvarkant asmens duomenis.
3. Šis įstatymas taikomas:
1) juridiniams ir fiziniams asmenims (taip pat įmonėms, neturinčioms juridinio asmens teisių), kurie tvarko asmens duomenis Lietuvos Respublikos teritorijoje;
2) duomenų valdytojo atstovui Lietuvos Respublikoje, jei duomenų valdytojas, veikdamas valstybėje, kuri nėra Europos Sąjungos narė, naudoja Lietuvos Respublikoje įrengtas automatines asmens duomenų tvarkymo priemones, išskyrus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Europos Sąjungos teritoriją; tokiu atveju atstovui taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui.
4. Šis įstatymas netaikomas, jeigu asmens duomenys tvarkomi:
1) valstybės saugumo, gynybos ir operatyvinės veiklos tikslais, taip pat Europos Sąjungos bendrosios užsienio ir saugumo politikos tikslais;
2 straipsnis. Pagrindinės šio įstatymo sąvokos
1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
2. Ypatingi asmens duomenys – duomenys apie fizinio asmens rasinę ir etninę kilmę, politinius, religinius, filosofinius ar kitus įsitikinimus, narystę profesinėse sąjungose ir politinėse partijose, sveikatą, lytinį gyvenimą, teistumą.
3. Duomenų valdytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie vieni arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones, tvarko asmens duomenis.
4. Duomenų tvarkytojas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kurie yra duomenų valdytojo įgalioti tvarkyti asmens duomenis.
5. Duomenų gavėjas – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), kuriems teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 25 straipsniuose, taip pat 14 straipsnyje nurodyta Ryšių reguliavimo tarnyba nėra duomenų gavėjai, kai šios institucijos gauna asmens duomenis jų tvarkymo kontrolės tikslu.
6. Sutikimas – savanoriškas duomenų subjekto leidimas tvarkyti jo asmens duomenis jam žinomu tikslu. Dėl ypatingų asmens duomenų sutikimas išreiškiamas rašytine forma, dėl kitų asmens duomenų – bet kokia forma.
7. Trečiasis asmuo – juridinis ar fizinis asmuo (taip pat įmonė, neturinti juridinio asmens teisių), išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją.
8. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas ar naikinimas arba veiksmų rinkinys.
9. Duomenų teikimas – asmens duomenų atskleidimas, perdavimas, sąlygų susipažinti su jais sudarymas įvairiomis priemonėmis.
10. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.
11. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių–finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).
12. Išankstinė patikra – procedūrų, numatomų naudoti tvarkant asmens duomenis, išankstinis patikrinimas siekiant nustatyti jų veiksmingumą ir teisingumą.
ANTRASIS SKIRSNIS
ASMENS DUOMENŲ TVARKYMAS
3 straipsnis. Duomenų valdytojo pareigos
Duomenų valdytojo pareiga yra užtikrinti, kad asmens duomenys būtų:
1) renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir po to tvarkomi su šiais tikslais suderintais būdais;
4 straipsnis. Asmens duomenų saugojimas ir sunaikinimas
1. Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.
5 straipsnis. Asmens duomenų teisėto tvarkymo kriterijai
1. Asmens duomenys gali būti tvarkomi, jeigu:
5) įgyvendinami valstybės valdžios ir valdymo bei savivaldybių įstaigų įgaliojimai, suteikti duomenų valdytojui arba trečiajam asmeniui, kuriam teikiami asmens duomenys;
2. Ypatingi asmens duomenys gali būti tvarkomi tik tais atvejais, kai:
2) tai yra būtina darbo ar valstybės tarnybos tikslu duomenų valdytojo teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų ir kitų teisės aktų nustatytais atvejais;
3) reikia apsaugoti duomenų subjekto arba kito asmens gyvybę, kai duomenų subjektas nepajėgia duoti sutikimo arba yra teismo pripažintas neveiksniu;
4) asmens duomenis tvarko fondas, asociacija, profesinė sąjunga, politinė partija ar kita ne pelno organizacija savo veiklos tikslu, jei tvarkomi asmens duomenys yra susiję su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo;
3. Duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) taip pat gali būti tvarkomi šio įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.
6 straipsnis. Asmens duomenų teikimo formos
Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, sąlygos ir tvarka. Prašyme turi būti nurodytas duomenų naudojimo tikslas.
7 straipsnis. Asmens kodo naudojimas
1. Asmens kodas – unikali skaitmenų seka, kuri asmeniui suteikiama Gyventojų registro įstatyme nustatyta tvarka. Jo naudojimui taikomos tik šio straipsnio nuostatos.
2. Asmens kodą be duomenų subjekto sutikimo galima naudoti tik:
2) atliekant mokslinį arba statistinį tyrimą. Šiuo atveju taikomos atitinkamai 11 ir 12 straipsnių nuostatos;
8 straipsnis. Asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas
9 straipsnis. Asmens duomenų tvarkymas socialinės globos tikslais
10 straipsnis. Asmens duomenų tvarkymas sveikatos apsaugos tikslais
1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali tvarkyti sveikatos apsaugos sistemos darbuotojas. Pagal sveikatos sistemą ar pacientų teises reglamentuojančius įstatymus, Vyriausybės nutarimus bei Sveikatos apsaugos ministerijos teisės aktus šis darbuotojas privalo saugoti asmens sveikatos paslaptį.
2. Asmens duomenys apie asmens sveikatą (jos būklę, diagnozę, prognozę ir gydymą) gali būti tvarkomi tokiais tikslais:
11 straipsnis. Asmens duomenų tvarkymas mokslinio tyrimo tikslais
1. Atliekant mokslinį tyrimą, asmens duomenys be duomenų subjekto sutikimo tvarkomi tik tuomet, jeigu tyrimo negalima atlikti nenustačius asmens tapatybės. Tokiu atveju tyrimo programą turi patvirtinti Vyriausybė ar jos įgaliota institucija.
2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.
4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.
12 straipsnis. Asmens duomenų tvarkymas statistikos tikslais
1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas bei saugojimas.
2. Asmens duomenys, surinkti ne statistikos tikslais, gali būti naudojami oficialiosios statistikos informacijai rengti, jeigu šiame ir kituose įstatymuose nenustatyta kitaip.
3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatyme nustatyta tvarka ir atvejais.
4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.
13 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais
1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.
14 straipsnis. Asmens duomenų tvarkymas telekomunikacijų srityje
1. Asmens duomenų tvarkymas telekomunikacijų srityje yra asmens duomenų tvarkymas, susijęs su bendrųjų telekomunikacijų paslaugų teikimu bendraisiais telekomunikacijų tinklais, ypač skaitmeniniu visuminių paslaugų tinklu ir bendraisiais judriaisiais skaitmeniniais tinklais.
2. Asmens duomenys negali būti tvarkomi viešuose abonentų sąrašuose, jeigu duomenų subjektas nesutinka dėl savo asmens duomenų tvarkymo. Duomenų valdytojas arba duomenų tvarkytojas privalo supažindinti duomenų subjektą su jo teise nesutikti dėl jo asmens duomenų tvarkymo.
3. Abonento (duomenų subjekto) sutikimu viešuose spausdintuose ar elektroniniuose abonentų sąrašuose pateikiami tik abonento vardas, pavardė, telefono numeris ir adresas. Jeigu abonentas nesutinka, duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo neteikti jo asmens duomenų. Viešuose elektroniniuose abonentų sąrašuose neturi būti leidžiama asmens duomenų paieška pagal abonento telefono numerį. Draudžiama pagal abonento telefono numerį teikti jo asmens duomenis tretiesiems asmenims, jeigu Lietuvos Respublikos įstatymai nenustato kitaip.
4. Abonentui detali sąskaita už jam suteiktas telekomunikacijų paslaugas išduodama, kai jis pateikia prašymą. Telekomunikacijų paslaugų teikėjas ar telekomunikacijų tinklų operatorius detalioje sąskaitoje pateikia abonento, kuriam buvo skambinama, numerį, vykusių pokalbių ar paslaugų rūšį, pradžią (datą ir laiką), trukmę ir kainą.
5. Su bendrųjų telekomunikacijų paslaugų abonentu susiję srauto duomenys (abonento numeris, adresas, abonento, kuriam buvo skambinama, numeris, vykusių pokalbių ar paslaugų rūšis, pradžia, trukmė) turi būti panaikinti ar padaryti tokie, kad pagal juos nustatyti asmens tapatybę būtų galima ne anksčiau kaip po 3 metų nuo pokalbio pabaigos.
6. Telekomunikacijų paslaugas teikiančių įmonių darbuotojams leidžiama tvarkyti šio straipsnio 4 ir 5 dalyse nurodytus srauto ir sąskaitų duomenis tik tiek, kiek yra būtina atliekant tarnybines pareigas.
7. Ryšių reguliavimo tarnyba turi teisę gauti šio straipsnio 4 dalyje nurodytus srauto duomenis ginčams tarp bendrųjų telekomunikacijų paslaugų teikėjų ir jų abonentų spręsti.
8. Duomenų valdytojai (telekomunikacijų paslaugų teikėjas ir telekomunikacijų operatorius) privalo užtikrinti telekomunikacijų tinklo saugumą šio įstatymo 21 straipsnio nustatyta tvarka. Iškilus telekomunikacijų tinklo ar jo dalies pažeidimo grėsmei, bendrųjų telekomunikacijų paslaugų teikėjas privalo informuoti abonentus, kurie naudojasi to tinklo ar jo dalies teikiamomis paslaugomis, apie galimą tinklo saugumo pažeidimo grėsmę.
TREČIASIS SKIRSNIS
DUOMENŲ SUBJEKTO TEISĖS
15 straipsnis. Duomenų subjekto teisės
1. Duomenų subjektas įstatymų nustatyta tvarka turi teisę:
3) reikalauti ištaisyti ar sunaikinti savo asmens duomenis 18 straipsnio 1 dalyje nustatytais atvejais;
2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
3. Duomenų valdytojas turi konkrečiais motyvais pagrįsti atsisakymą vykdyti duomenų subjekto prašymą, išreikštą rašytine forma, ir pateikti jam atsakymą raštu. Duomenų subjektas gali skųsti duomenų valdytojo atsisakymą Vyriausybės įgaliotai institucijai per 30 kalendorinių dienų nuo atsakymo gavimo, o Vyriausybės įgaliotos institucijos atsakymą – teismui įstatymų nustatyta tvarka.
16 straipsnis. Duomenų subjekto informavimas apie jo duomenų tvarkymą
1. Duomenų valdytojas privalo informuoti duomenų subjektą, kurio asmens duomenis jis renka tiesiogiai iš jo, apie savo (duomenų valdytojo) tapatybę, kokiu tikslu tvarkomi duomenų subjekto asmens duomenys ir kam jie teikiami. Ši nuostata netaikoma, kai:
2. Kai duomenų valdytojas renka asmens duomenis apie duomenų subjektą netiesiogiai, jis privalo apie tai informuoti duomenų subjektą iki asmens duomenų tvarkymo pradžios, jeigu įstatymai ar kiti teisės aktai neapibrėžia tokių duomenų rinkimo ir teikimo tvarkos. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti informaciją apie savo (duomenų valdytojo) tapatybę, taip pat iš kokių šaltinių ir kokie jo asmens duomenys renkami ar ketinami rinkti, kokiu tikslu jie tvarkomi ar ketinami tvarkyti, kam teikiami ar ketinami teikti.
17 straipsnis. Duomenų subjekto teisė susipažinti su savo asmens duomenimis
1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami.
2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė ar jos įgaliota institucija.
18 straipsnis. Duomenų subjekto teisė reikalauti ištaisyti ar sunaikinti savo asmens duomenis
1. Jei duomenų subjektas mano, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo asmens duomenis patikrinti ir ištaisyti. Jei duomenų subjektas mano, kad jo asmens duomenys yra tvarkomi neteisėtai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir duomenų subjekto prašymu sunaikinti neteisėtai sukauptus asmens duomenis.
2. Duomenų valdytojas privalo nedelsdamas duomenų subjektui pranešti apie jo prašymu (reikalavimu) atliktą ar neatliktą asmens duomenų ištaisymą ar sunaikinimą.
3. Asmens duomenys taisomi ir naikinami pagal duomenų subjekto prašymą (reikalavimą) ir jo tapatybę bei jo asmens duomenis patvirtinančius dokumentus.
4. Jei duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo apriboti tokių asmens duomenų tolesnį tvarkymą, juos patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
5. Duomenų valdytojas privalo informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis.
19 straipsnis. Duomenų subjekto teisė nesutikti dėl savo asmens duomenų tvarkymo
1. Duomenų valdytojas šio įstatymo 5 straipsnio 1 dalies 1, 2, 5 ir 6 punktuose bei 2 dalies 1 ir 4 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu, privalo supažindinti duomenų subjektą su jo teise nesutikti (taip pat anuliuoti duotą sutikimą) dėl jo asmens duomenų tvarkymo, nereikalaudamas atlyginimo už veiksmų atlikimą.
2. Duomenų subjektas turi teisę pasirinkti duoti sutikimą ar neduoti sutikimo, ar panaikinti duotą sutikimą dėl savo asmens duomenų tvarkymo veiksmo tais atvejais, kai duomenų tvarkymo veiksmas atliekamas duomenų valdytojo iniciatyva. Nesutikimas ir prašymas panaikinti duotą sutikimą išdėstomas raštu.
3. Jei duomenų valdytojas įvertina duomenų subjekto asmenines savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytu vertinimo metodu. Duomenų subjektas turi teisę pareikšti savo nuomonę dėl duomenų įvertinimo ir vertinimo metodo, duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti.
4. Jei duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, duomenų valdytojas privalo nedelsdamas nutraukti asmens duomenų tvarkymą, išskyrus įstatymų numatytus atvejus, ir informuoti duomenų gavėjus.
5. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo nutraukimą ar atsisakymą nutraukti duomenų tvarkymą.
20 straipsnis. Paslauga duomenų subjektui
1. Vyriausybės įgaliota institucija padeda duomenų subjektui įgyvendinti jo teisę, nustatytą šio įstatymo 17 straipsnyje.
2. Duomenų subjektas, kreipdamasis į Vyriausybės įgaliotą instituciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Vyriausybės įgaliotą instituciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.
3. Vykdydama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Vyriausybės įgaliota institucija neturi teisės rinkti ypatingų asmens duomenų, jei įstatymai nenustato kitaip.
KETVIRTASIS SKIRSNIS
DUOMENŲ SAUGUMAS
21 straipsnis. Duomenų saugumas
1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.
2. Jei duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų tokių priemonių laikymąsi.
3. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.
4. Teisę tvarkyti asmens duomenis turi tik duomenų valdytojo arba duomenų tvarkytojo įgalioti darbuotojai.
5. Asmens duomenis tvarkantys darbuotojai, įsidarbindami ir dirbdami, turi raštu įsipareigoti saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti viešam skelbimui. Šis įsipareigojimas galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams.
PENKTASIS SKIRSNIS
DUOMENŲ VALDYTOJŲ REGISTRAVIMAS
22 straipsnis. Pranešimas apie duomenų tvarkymą
Duomenų valdytojas automatiniu būdu gali tvarkyti asmens duomenis tik Vyriausybės nustatyta tvarka pranešęs Vyriausybės įgaliotai institucijai, išskyrus, jeigu asmens duomenys tvarkomi:
ŠEŠTASIS SKIRSNIS
ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS, ESANTIEMS UŽSIENIO VALSTYBĖSE
24 straipsnis. Asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse
1. Asmens duomenys teikiami duomenų gavėjams užsienio valstybėse, gavus Vyriausybės įgaliotos institucijos leidimą, išskyrus šio straipsnio 4 ir 5 dalyje numatytus atvejus.
2. Vyriausybės įgaliota institucija išduoda leidimą teikti asmens duomenis į užsienio valstybes, jei šiose valstybėse yra tinkamas asmens duomenų saugumo lygis. Vyriausybės įgaliota institucija vertina duomenų saugumo lygį, atsižvelgdama į užsienio šalies, į kurią teikiami asmens duomenys, galiojančius įstatymus bei kitus teisės aktus, užtikrinančius asmens duomenų teisinę apsaugą pagal teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus ir trukmę.
3. Vyriausybės įgaliota institucija gali išduoti leidimą teikti asmens duomenis į užsienio valstybę, kuri negali užtikrinti tinkamos asmens duomenų teisinės apsaugos, jeigu reikalavimus duomenų gavėjui dėl duomenų apsaugos priemonių sutartyje išdėsto duomenų valdytojas, teikiantis asmens duomenis.
4. Be Vyriausybės įgaliotos institucijos leidimo asmens duomenys teikiami į užsienio valstybę tik tuo atveju, jeigu:
2) asmens duomenis teikti būtina, kad duomenų subjekto prašymu būtų sudaryta ar įvykdyta sutartis tarp duomenų valdytojo ir trečiojo asmens;
3) asmens duomenys reikalingi vykdyti sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių;
SEPTINTASIS SKIRSNIS
ĮSTATYMO VYKDYMO PRIEŽIŪRA
25 straipsnis. Įstatymo vykdymo priežiūros institucija
1. Asmens duomenų teisinės apsaugos įstatymo, išskyrus 8 straipsnį, vykdymą prižiūri ir kontroliuoja Vyriausybės įgaliota institucija. Vyriausybės įgaliota institucija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji yra atskaitinga Vyriausybei. Vyriausybės įgaliotos institucijos nuostatus tvirtina Vyriausybė.
2. Vyriausybės įgaliota institucija vadovaujasi Lietuvos Respublikos Konstitucija, įstatymais, Lietuvos Respublikos tarptautinėmis sutartimis ir, atlikdama šiame įstatyme jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma – jos teisės gali būti suvaržytos tik įstatymo. Vyriausybės įgaliotos institucijos tarnautojų veiksmai, susiję su šiame įstatyme šiai institucijai nustatytų funkcijų atlikimu, skundžiami tik įstatymų nustatyta tvarka.
26 straipsnis. Įstatymo vykdymo priežiūros institucijos funkcijos
Vyriausybės įgaliota institucija:
1) tvarko Asmens duomenų valdytojų valstybės registrą, viešai skelbia jo duomenis ir vykdo registruotų duomenų valdytojų veiklos, susijusios su asmens duomenų tvarkymu, priežiūrą;
2) nagrinėja asmenų prašymus ir skundus šio įstatymo nustatytais atvejais Viešojo administravimo įstatymo nustatyta tvarka;
3) tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;
27 straipsnis. Įstatymo vykdymo priežiūros institucijos teisės
1. Vyriausybės įgaliota institucija turi teisę:
1) nemokamai gauti visą reikiamą informaciją apie asmens duomenų tvarkymą iš duomenų valdytojų, susipažinti su tvarkomais asmens duomenimis ir atlikti patikrinimus šio įstatymo nustatytais atvejais asmens duomenų tvarkymo vietose;
3) surašyti administracinių teisės pažeidimų protokolus Administracinių teisės pažeidimų kodekso nustatyta tvarka;
4) keistis informacija su kitų valstybių asmens duomenų priežiūros institucijomis tiek, kiek tai reikalinga jų pareigoms vykdyti;
5) kviesti ekspertus (konsultantus) dėl duomenų tvarkymo ar apsaugos ekspertizės, taip pat dėl duomenų apsaugos dokumentų rengimo;
3. Vyriausybės įgaliotos institucijos tarnautojai privalo saugoti asmens duomenų paslaptį dėl jų gaunamos viešai neskelbtinos informacijos ir ją saugoti perėję dirbti į kitas pareigas, pasitraukę iš valstybės tarnybos ar pasibaigus darbo santykiams.
4. Duomenų valdytojai ar kiti asmenys, rengdami asmens duomenų tvarkymo taisykles (kodeksus), turi jas pateikti įvertinti Vyriausybės įgaliotai institucijai.
5. Vyriausybės įgaliotai institucijai turi būti pranešama, jei manoma, kad ketinamas asmens duomenų tvarkymas gali sukelti pavojų duomenų subjekto teisėms ar turėti didelį duomenų pažeidimo poveikį (dėl duomenų pobūdžio ar apimties, dėl duomenų subjektų skaičiaus, dėl duomenų tvarkymo tikslų, dėl teikiamų duomenų apimties ar dažnumo).
AŠTUNTASIS SKIRSNIS
ATSAKOMYBĖ
28 straipsnis. Atsakomybė už šio įstatymo pažeidimą
29 straipsnis. Turtinės ir neturtinės žalos atlyginimas
1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.
2 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas
1. Šis įstatymas įsigalioja nuo 2001 m. sausio 1 d., išskyrus:
2. Šio įstatymo 24 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.
3. Pasiūlymai Lietuvos Respublikos Vyriausybei:
1) iki 2000 m. rugsėjo 1 d. priimti sprendimą dėl Valstybinės duomenų apsaugos inspekcijos prie Valdymo reformų ir savivaldybių reikalų ministerijos struktūrinės reformos;
2) iki 2001 m. sausio 1 d. priimti sprendimą šio įstatymo 17 straipsnio 2 dalies ir 20 straipsnio 4 dalies nuostatoms įgyvendinti;