1. Duomenų apsaugos plėtojimo 2002-2004 metais programa (toliau vadinama – programa) parengta atsižvelgiant į Europos Komisijos 2001 m. reguliarų pranešimą apie Lietuvos pasirengimą narystei Europos Sąjungoje. Šiame pranešime pažymėta Lietuvos pažanga duomenų apsaugos srityje ir pabrėžtas būtinumas tiksliau suderinti duomenų apsaugos teisinę bazę su Europos Bendrijų teise, stiprinti Inspekciją ir suteikti jai didesnį nepriklausomumo laipsnį, tęsti mokymus Inspekcijos personalo kvalifikacijai kelti. Pranešime pažymėta, kad, siekiant tinkamai įgyvendinti įstatyminę bazę, reikėtų priimti Duomenų apsaugos plėtojimo programą. Europos Komisija nurodė, kad Nacionalinės Acquis priėmimo programos administracinių gebėjimų stiprinimo dalyje ypatingas dėmesys turėtų būti skirtas duomenų apsaugai.

2. Programa svarbi informacinės visuomenės plėtrai bei šios plėtros derinimui su pagrindinių žmogaus teisių ir laisvių apsauga, Lietuvos integracijai į Europos Sąjungą bei siekiant konstruktyvaus politinio ir ekonominio bendradarbiavimo su kitomis valstybėmis ir tarptautinėmis organizacijomis. Lietuvos Respublikos Vyriausybė 2000 m. spalio 4 d. posėdyje nustatė, kad duomenų apsauga yra vienas iš svarbiausių horizontalių prioritetų Lietuvos pasirengimo narystei Europos Sąjungoje (Žin., 2000, Nr. 89-2771). Europos Sąjungoje pripažįstama, kad duomenų apsauga vaidina svarbų vaidmenį žmogaus teisių apsaugoje, ypač informacinės visuomenės ir spartaus informacinių technologijų vystymosi sąlygomis. Pagrindines asmens duomenų apsaugos gaires 1980 metais nubrėžė Ekonominio bendradarbiavimo ir plėtros organizacija, atsižvelgdama į vis spartesnį pasaulio ekonominį ir demokratijos vystymąsi ir siekdama apsaugoti asmens privatumą bei nesudaryti kliūčių laisvam informacijos judėjimui. Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, kurią Lietuvos Respublika ratifikavo 1995 m. balandžio 27 d. (Žin., 1995, Nr. 37-913), 8 straipsnyje įtvirtinta kiekvieno asmens teisė į pagarbą jo privačiam ir šeimos gyvenimui. Demokratinės valstybės sąlygomis yra svarbu nustatyti pusiausvyrą tarp viešo ir privataus intereso, derinti asmens teisę į pagarbą jo privačiam gyvenimui ir saviraiškos laisvę, kad visuomenės nariai galėtų laisvai ir saugiai naudotis šioje Konvencijoje įtvirtintomis teisėmis ir laisvėmis. Konvencijos 8 str. 2 d. numato pagrindus, kada žmogaus teisė į privatų gyvenimą gali būti apribota. Pagal Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 1 straipsnį, Konvencijoje apibrėžtos teisės ir laisvės turi būti garantuotos kiekvienam valstybės jurisdikcijai priklausiančiam asmeniui, todėl valstybė, gerbdama joje įtvirtintas teises ir laisves, turi įgyvendinti tinkamas, efektyvias jų apsaugos priemones nacionaliniuose įstatymuose. Europos Sąjunga, pabrėždama duomenų apsaugos svarbą, 2000 m. gruodžio 8 d. Europos Sąjungos pagrindinių teisių chartijoje įtvirtino asmens teisę į savo asmens duomenų apsaugą 8 straipsnyje, o teisę į privataus ir šeimos gyvenimo gerbimą – 7 straipsnyje.

3. Pagrindinis šios programos tikslas – plėtoti duomenų apsaugos sistemą 2002-2004 metais, vadovaujantis Lietuvos Respublikos Vyriausybės patvirtintomis derybinėmis pozicijomis dėl narystės Europos Sąjungoje „Laisvė teikti paslaugas“ (Žin., 2000, Nr. 70-2074) ir „Teisingumas ir vidaus reikalai“ (Žin., 2000, Nr. 111-3593), ir pasiekti, kad nacionalinį duomenų apsaugos lygį Europos Sąjunga pripažintų tinkamu ir kad duomenų apsauga tinkamai veiktų pasaulio informacinės visuomenės aplinkoje. Programa apima ne tik teisinius asmens duomenų apsaugos aspektus, bet taip pat su tuo susijusius technologinius duomenų saugumo aspektus. Visuomenėje dažnai tapatinamos duomenų apsaugos ir duomenų saugumo sąvokos. Šia programa siekiama įtvirtinti duomenų apsaugos sampratą pagal Europos Sąjungoje nustatytus principus, siejant ją su pagrindiniu tikslu – užtikrinti žmogaus, kaip duomenų subjekto, teisių apsaugą tvarkant asmens duomenis.

4. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 (Žin., 2001, Nr. 83-2890) patvirtintų Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) nuostatų 6 punkte nurodyta, kad vienas iš svarbiausių įstaigos veiklos tikslų yra plėtoti duomenų apsaugą, todėl šia programa siekiama nustatyti duomenų apsaugos plėtojimo kryptis Lietuvoje.

5. Lietuvos Respublikos Konstitucija įtvirtina žmogaus privataus gyvenimo neliečiamumo teisę (22 str.) ir žmogaus teisę nekliudomai ieškoti, gauti ir skleisti informaciją, kuri gali būti ribojama tik įstatymu, jei tai būtina apsaugoti žmogaus sveikatai, garbei ir orumui, privačiam gyvenimui, dorovei ar ginti konstitucinei santvarkai (25 str.). Teisę į privataus ir šeimos gyvenimo gerbimą ir saviraiškos laisvę, apimančią teisę gauti bei skleisti informaciją, įtvirtina ir 1950 m. Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija, kurią Lietuvos Respublika ratifikavo 1995 metais.

6. Duomenų apsaugos teisinė bazė Lietuvoje pradėta kurti 1996 metais, priėmus Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą (Žin., 1996, Nr. 63-1479), kuris buvo tik iš dalies suderintas su Europos Parlamento ir Tarybos bendrąja direktyva „Dėl asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (95/46/EB)“. Tais pačiais metais priimtas Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043). Per pastaruosius kelerius metus sukurti modernios duomenų apsaugos teisinės bazės pagrindai. 1998 m. papildytas Lietuvos Respublikos administracinių teisės pažeidimų kodeksas, numatant administracinę atsakomybę už neteisėtą asmens duomenų tvarkymą, neteisėtą valstybės informacinių sistemų duomenų tvarkymą, kliudymą asmeniui susipažinti su savo duomenimis ar informacija apie tokius duomenis (Žin., 1998, Nr. 40-1065). 2000 m. rugpjūčio 26 d. priimtame Lietuvos Respublikos baudžiamajame kodekse (Žin., 2000, Nr. 89-2741) numatyta baudžiamoji atsakomybė už neteisėtą informacijos apie privatų asmens gyvenimą rinkimą, atskleidimą, panaudojimą, taip pat kompiuterinės informacijos sunaikinimą, pakeitimą, pasisavinimą ir skleidimą. Priimti ir kiti teisės aktai: Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimas Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075), valdymo reformų ir savivaldybių reikalų ministro 1999 m. sausio 25 d. įsakymas Nr. 7 „Dėl valstybės ir vietos savivaldos informacinių sistemų įteisinimo tvarkos“ (Žin., 1999, Nr. 13-325), Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimas Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo iš registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“ (Žin., 2001, Nr. 20-651), Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimas Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“ (Žin., 2002, Nr. 20-768).

7. Siekiant perimti Europos Bendrijų Acquis duomenų apsaugos srityje, 2000 m. liepos 17d. buvo priimta nauja Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo redakcija (Žin., 2000, Nr. 64-1924), kurios nuostatos iš esmės suderintos su Europos Parlamento ir Tarybos direktyvomis – 1995 m. spalio 24 d. direktyva „Dėl asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (95/46/EB)“ ir 1997 m. gruodžio 15 d. direktyva „Dėl asmens duomenų apdorojimo ir privatumo apsaugos telekomunikacijų sektoriuje (97/66/EB)“. 2000 m. vasario 11 d. pasirašyta 1981 m. Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108). 2001 m. vasario 20 d. Lietuvos Respublikos Seimas priėmė įstatymą „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“ (Žin., 2001, Nr. 32-1055). 2001 m. lapkričio 8 d. Lietuva pasirašė Europos Tarybos Ministrų Komiteto 2001 m. gegužės 23 d. priimtą Konvencijos ETS Nr. 108 papildomą protokolą dėl priežiūros institucijų ir duomenų srautų, kertančių valstybės sienas, kuriame yra įtvirtinta nuostata, kad priežiūros institucijos yra tinkama teisės gynimo priemonė ir esminė demokratinės visuomenės duomenų apsaugos priežiūros sistemos dalis tada, kai turi veiksmingus įgaliojimus ir savo funkcijas vykdo nepriklausomai. Derinant su Europos Parlamento ir Tarybos direktyva 1999/93/EB, 2000 m. liepos 11 d. priimtas Lietuvos Respublikos elektroninio parašo įstatymas (Žin., 2000, Nr. 61-1827), kuris sudaro palankias galimybes duomenų saugumui stiprinti. Įgyvendinant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą, Seimui pateiktas Lietuvos Respublikos administracinių teisės pažeidimų kodekso 214¹⁴, 214¹⁶ ir 259¹ straipsnių pakeitimo ir papildymo įstatymo projektas dėl Lietuvos Respublikos administracinių teisės pažeidimų kodekso pakeitimo, kuriuo numatoma išplėsti administracinę atsakomybę už asmens duomenų tvarkymo pažeidimus. Siekiant suderinti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatas su Konvencija ETS Nr. 108, Seime 2002 m. sausio 22 d. priimtas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 1, 2, 3, 5, 7, 14, 15, 16, 18, 20, 22, 24, 26 straipsnių pakeitimo ir papildymo įstatymas (Žin., 2002, Nr. 13-473), kuriame praplėsta įstatymo taikymo sritis. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas netaikomas, jeigu asmens duomenys tvarkomi fizinio asmens ir tik savo asmeninėje veikloje. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais šis įstatymas taikomas tiek, kiek kiti įstatymai nenustato kitaip. Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006) buvo patvirtinta Informacijos technologijų saugos valstybinė strategija, kuri skirta vykdyti informacijos technologijų saugos teisinio reglamentavimo plėtrą bei nustatyti bendruosius duomenų saugos reikalavimus pagal duomenų kategorijas, atsižvelgiant į tarptautinius standartus, Ekonominio bendradarbiavimo ir plėtros organizacijos, NATO ir Europos Sąjungos rekomendacijas, Europolo ir Šengeno informacinių sistemų reikalavimus.

8. Sukurta ir tobulinama duomenų apsaugos priežiūros sistema. 1996 m. spalio 10 d. įsteigta Inspekcija, kuri nuo 1997 m. prižiūri asmens duomenų tvarkymo teisėtumą ir plėtoja duomenų apsaugos sistemą Lietuvos Respublikoje. Kartu su anksčiau veikusiomis ministerijomis – Ryšių ir informatikos ministerija, o vėliau Valdymo reformų ir savivaldybių reikalų ministerijos Informacijos ir informatikos departamentu – Inspekcija dalyvavo vertinant ir įteisinant valstybės ir vietos savivaldos informacines sistemas. Tačiau toks įteisinimas dažniausiai būdavo formalus ir neatitiko tarptautinių standartų bei praktikos. Valstybės registrų sistemos techninio, technologinio derinimo ir sąveikos funkcijas atliko Ryšių ir informatikos ministerijos, vėliau Valdymo reformų ir savivaldybių reikalų ministerijos, dabar Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės padalinys – Registrų tarnyba, o valstybės registrų naudojimo priežiūra ir kontrolė Lietuvos Respublikos valstybės registrų įstatymu pavesta Valstybės registrų tarnybai ir Valstybinei duomenų apsaugos inspekcijai.

9. Vykdant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir įgyvendinant Lietuvos Respublikos įstatymą „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“ (Žin., 2001, Nr. 32-1055), Valstybinė duomenų apsaugos inspekcija prie Valdymo reformų ir savivaldybių reikalų ministerijos Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 (Žin., 2001, Nr. 83-2890) nuo 2001 m. spalio 1 d. buvo pertvarkyta į Vyriausybės įstaigą Valstybinę duomenų apsaugos inspekciją. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu yra įtvirtintas Inspekcijos nepriklausomumas. Lietuvos Respublikos Vyriausybės 2000 m. gruodžio 22 d. nutarimu Nr. 1487 „Dėl Lietuvos Respublikos derybinių pozicijų derybose dėl narystės Europos Sąjungoje patvirtinimo“ (Žin., 2000, Nr. 111-3593) patvirtintoje Lietuvos Respublikos derybinėje pozicijoje „Teisingumas ir vidaus reikalai“ numatyta iki 2001 m. III ketvirčio praplėsti Inspekcijos kompetenciją teisingumo ir vidaus reikalų srityse. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 (Žin., 2001, Nr. 83-2890) Inspekcija paskirta atsakinga už Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) nuostatų įgyvendinimą.

10. Europos Komisijos 2001 m. reguliariame pranešime apie Lietuvos pasirengimą narystei Europos Sąjungoje pažymėta Lietuvos pažanga duomenų apsaugos srityje ir pabrėžtas būtinumas tiksliau suderinti duomenų apsaugos teisinę bazę su Europos Bendrijų teise, stiprinti Inspekciją ir suteikti jai didesnį nepriklausomumo laipsnį, tęsti mokymus Inspekcijos personalo kvalifikacijai kelti. Pranešime pažymėta, kad siekiant tinkamai įgyvendinti įstatyminę bazę, reikėtų priimti Duomenų apsaugos plėtojimo programą. Europos Komisija nurodė, kad Nacionalinės Acquis priėmimo programos administracinių gebėjimų stiprinimo dalyje ypatingas dėmesys turėtų būti skirtas duomenų apsaugai.

11. Duomenų apsaugos valdymo programa valstybės biudžeto formavimo sistemoje yra Lietuvos Respublikos Vyriausybės strateginio prioriteto „Plėtoti informacinę visuomenę“ dalimi.

12. Informacinės visuomenės plėtros klausimus sprendžia:

13. Svarbiausieji programos tikslai yra šie:

14. Strateginiai programos įgyvendinimo uždaviniai yra šie:

15. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas yra pagrindinis duomenų apsaugą reglamentuojantis teisės aktas. Inspekcijos iniciatyva Europos Tarybos ir Europos Komisijos ekspertai atliko įstatymo ekspertizę ir jos rezultatus aptarė su Inspekcijos ir kitų institucijų ekspertais. Ekspertai pažymėjo, kad įstatymas iš esmės yra suderintas su Europos Sąjungos reikalavimais, tačiau kai kurios nuostatos turi būti suformuluotos tiksliau, siekiant sukurti saugią teisinę bazę, kurioje būtų aiškesnės įstatyminės nuostatos duomenų subjektams ir tiems, kurie vykdys teisingumą. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymas yra jau pradėtas rengti, keitimai derinami su Europos Tarybos ir Europos Komisijos ekspertų 2001 m. rugsėjo mėn. Vilniuje vykusio susitikimo metu pateiktomis pastabomis. Ekspertai pažymėjo, kad įstatyme ypač svarbu tiksliau apibrėžti nuostatas dėl Inspekcijos nepriklausomumo. Ypač reikia atsižvelgti į Europos Tarybos rekomendacijas, priimtas Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) pagrindu. Direktyvos 95/46/EB 28 str. 2 d. numato, kad su priežiūros institucija turi būti tariamasi, kai yra rengiamos administracinės priemonės ar taisyklės dėl asmenų teisių ir laisvių apsaugos tvarkant asmens duomenis. Tikslinga papildyti Lietuvos Respublikos Vyriausybės darbo reglamento 55 dalį nuostata, numatančia, kad Lietuvos Respublikos Vyriausybei teikiamų teisės aktų projektai turi būti derinami su Inspekcija, kai tai yra susiję su asmens duomenų tvarkymu ir apsauga.

16. 1995 m. Konvencijoje, grindžiamoje Europos Sąjungos sutarties K.3 straipsniu dėl Europos Policijos skyriaus įkūrimo (Europolo konvencija), kurios tikslas – pagerinti valstybių narių kompetentingų institucijų bendradarbiavimą, užkertant kelią ir kovojant su terorizmu, organizuotu nusikalstamumu, neteisėta narkotikų prekyba, pinigų plovimu ir kitomis tarptautinio nusikalstamumo formomis, taip pat 1990 m. Šengeno konvencijoje dėl 1985 m. birželio 14 d. Šengeno susitarimo, sudaryto tarp Beneliukso ekonominės sąjungos valstybių, Vokietijos Federacinės Respublikos ir Prancūzijos Respublikos vyriausybių, dėl laipsniško jų bendrų sienų kontrolės panaikinimo taikymo (Šengeno konvencija), kuria siekiama sukurti konkrečių priemonių įgyvendinimo mechanizmą, kad vidaus sienų panaikinimas, taip pat laisvas asmenų judėjimas nekeltų pavojaus valstybės saugumui, įtvirtintos nuostatos, kad asmens duomenų tvarkymas šiose konvencijose numatytais tikslais turi atitikti Konvencijoje ETS Nr. 108 nustatytą duomenų apsaugos lygį. Pagrindiniai Konvencijoje ETS Nr. 108 nustatyti duomenų apsaugos principai – dėl asmens duomenų kokybės, dėl ypatingų asmens duomenų tvarkymo, dėl duomenų subjekto teisių ir garantijų, dėl institucijos, teikiančios pagalbą Konvencijos nuostatoms įgyvendinti, – turi būti įteisinti nacionaliniuose teisės aktuose. Siekiant pasirašyti ir prisiimti įsipareigojimus pagal 1995 m. Europolo konvenciją, sukurti nacionalinę Šengeno informacinę sistemą, kaip neatsiejamą bendrosios Šengeno informacinės sistemos dalį, reikia nustatyti reikalavimus asmens duomenų apsaugai teisingumo ir vidaus reikalų srityse. Atsižvelgiant į Europos Tarybos Rekomendaciją Nr. R (87)15 dėl asmens duomenų naudojimo policijos sektoriuje, asmens duomenų tvarkymas policijos sektoriuje yra ypatingas, todėl pagrindinių duomenų apsaugos principų, išdėstytų Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, neužtenka, kad būtų užtikrintas pilnas tarptautinių reikalavimų duomenų apsaugai vykdymas. Įstatymas nustato bendras normas ir reikalavimus duomenų apsaugai bei saugumui, tačiau būtinas detalesnis policijos asmens duomenų bazių tvarkymo reglamentavimas įstatyme, kur būtų numatytas ir išsamiai detalizuojamas duomenų tvarkymas policijos sektoriuje. Seime rengiamas Operatyvinės veiklos įstatymo pakeitimo projektas. Priėmus šį įstatymą, tikslinga peržiūrėti, ar nereikalingas papildomas duomenų tvarkymo reglamentavimas dėl duomenų, patenkančių į Europolo ir Šengeno informacines sistemas, apsaugos.

17. 2001 m. lapkričio 8 d. Lietuvos Respublika pasirašė 1981 m. Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) papildomą protokolą dėl priežiūros institucijų ir duomenų srautų, kertančių valstybės sienas. Reikia parengti įstatymo dėl papildomo protokolo ratifikavimo projektą. Šį protokolą būtų tikslinga ratifikuoti tik po to, kai Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas bus pakeistas ryšium su Inspekcijos nepriklausomumo sustiprinimu.

18. Reikia tęsti Europos Parlamento ir Tarybos direktyvos „Dėl asmens duomenų apdorojimo ir privatumo apsaugos telekomunikacijų sektoriuje (97/66/EB)“ perėmimą į nacionalinę teisę ir išplėsti duomenų apsaugos reglamentavimą telekomunikacijų sektoriuje, įtraukiant juridinių asmenų (abonentų) duomenų apsaugą. Šią direktyvą Europos Sąjungoje ruošiamasi iš dalies pakeisti siejant su naujomis technologijomis ir todėl, perimant ją į nacionalinę teisę, reikėtų atsižvelgti į 2000 m. Europos Komisijos pasiūlymą dėl direktyvos 97/66/EB keitimo bei naujausius Europos Sąjungos dokumentus šioje srityje. Lietuvos Respublikos Ministro Pirmininko 2001 m. lapkričio 9 d. potvarkiu Nr. 257 „Dėl darbo grupės sudarymo“ Susisiekimo ministerijoje yra sudaryta darbo grupė Lietuvos Respublikos telekomunikacijų įstatymo naujos redakcijos projektui parengti.

19. Asmens duomenų teisinė apsauga yra nauja veiklos sritis, trūksta teisminės praktikos, todėl praktinės problemos ir trūkumai gali išryškėti tik per ilgesnį laikotarpį. Įgyvendinant programą, būtina atlikti šio įstatymo taikymo analizę, paruošti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo komentarus ir įvertinti duomenų apsaugos įgyvendinimo pasekmes informacinėje visuomenėje ir poveikį tiek kiekvienam žmogui atskirai, įvairioms verslo grupėms, tiek įstatymo vykdymo priežiūros institucijai.

20. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo priežiūra ir kontrolė, išskyrus asmens duomenų tvarkymą visuomenės informavimo tikslais, pavesta Inspekcijai. Inspekcija įgyvendina ir Lietuvos Respublikos įstatymo „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“ nuostatas. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme yra įtvirtintas šios priežiūros institucijos nepriklausomumas, atliekant duomenų apsaugos priežiūros ir kontrolės funkcijas bei priimant su šių funkcijų atlikimu susijusius sprendimus. Vykdant derybų dėl narystės Europos Sąjungoje įsipareigojimus, reikia užtikrinti optimalius resursus priežiūros institucijos funkcionavimui, sudaryti sąlygas šios institucijos administracinių gebėjimų stiprinimui ir nepriklausomumui užtikrinti. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1156 (Žin., 2001, Nr. 83-2890) Inspekcijai buvo nustatyti maksimaliai leistini 22 etatai (anksčiau buvo – 8). Padidinus etatų skaičių, turi būti išspręstas finansavimo ir papildomų darbo vietų klausimas. Europos Komisija nuolat pabrėžia, kad asmens duomenų apsaugos priežiūros institucijai reikia suteikti efektyvius įgalinimus ir didesnius žmogiškuosius bei finansinius resursus. Turėtų būti išspręstas gerai parengtų specialistų duomenų apsaugai plėtoti ir įgyvendinti trūkumo klausimas. Būtina organizuoti asmens duomenų apsaugos priežiūros institucijos valstybės tarnautojų kvalifikacijos kėlimą, perimant Europos Sąjungos valstybių pažangią patirtį duomenų apsaugos srityje. Pagal Lietuvos Respublikos Vyriausybės 2000 m. gruodžio 22 d. nutarimą „Dėl Lietuvos Respublikos derybinių pozicijų derybose dėl narystės Europos Sąjungoje patvirtinimo“ Nr. 1487 (Žin., 2000, Nr. 111-3593) Lietuvos Respublika sieks iki 2002 metų IV ketvirčio pasirašyti su Europolu bendradarbiavimo sutartį. Pagal Europolo konvenciją Konvencijos šalis narė turi paskirti nepriklausomą nacionalinės priežiūros instituciją, kuri, vadovaudamasi nacionaliniais teisės aktais, stebės duomenų įvedimo, atgaminimo ar bet kokį kitokį asmens duomenų perdavimo Europolui leistinumą ir tirs, ar tai nepažeidžia duomenų subjekto teisių. Šengeno konvencijos 114 str. taip pat įpareigoja pasirašiusią Konvenciją valstybę paskirti kontrolės instituciją, kuri, vadovaudamasi nacionaliniais teisės aktais, atliktų nepriklausomą Šengeno informacinės sistemos nacionalinės sekcijos duomenų failo kontrolę ir patikrintų, ar tvarkant duomenis šioje nacionalinėje sekcijoje nėra pažeidžiamos asmens teisės. Pagal šios Konvencijos 128 str. valstybės gali pradėti perdavinėti asmens duomenis tik tada, kai paskiria ir įpareigoja nacionalinę priežiūros instituciją atlikti nepriklausomą kontrolę dėl asmens duomenų tvarkymo teisėtumo. Siekiant narystės Europos Sąjungoje ir įgyvendinti minėtų konvencijų nuostatas, būtina užtikrinti duomenų, tvarkomų teisingumo ir vidaus reikalų srityse, priežiūrą.

Asmens duomenų tvarkymą žurnalistikos, meninės ir literatūrinės raiškos bei kitais visuomenės informavimo tikslais (Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 8 straipsnis) prižiūri institucijos, numatytos Lietuvos Respublikos visuomenės informavimo įstatyme. Lietuvos Respublikos visuomenės informavimo įstatyme numatyta žurnalistų etikos inspektoriaus teisė nagrinėti asmenų skundus dėl visuomenės informavimo priemonėse pažeistos jų garbės ir orumo ir dėl teisės į privataus gyvenimo apsaugą pažeidimo visuomenės informavimo priemonėse. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių įstaigų įstatyme yra apibrėžta privačios informacijos gavimo tvarka ir nustatyta pareiškėjo teisė skųsti viešojo administravimo subjektų veiksmus (ar neveikimą) Administracinių ginčų komisijai dėl informacijos nepateikimo, neišsamios informacijos pateikimo arba atsisakymo pateikti informaciją ar oficialų dokumentą. Kai kuriose valstybėse, Europos Sąjungos narėse, yra viena duomenų apsaugos teisės ir informacijos laisvės priežiūros institucija, kuri nagrinėja asmenų skundus dėl šių teisių ir laisvių pažeidimo. Todėl būtina atlikti tyrimą ir įvertinti poreikį reformuoti esamas informacijos (duomenų) priežiūros institucijas, jų funkcijas bei įgaliojimus, kad būtų sukurta informacijos priežiūros kolektyvinio administravimo sistema.

22. Europos Bendrijų teisė ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas nustato sąlygas tarpvalstybiniams duomenų mainams. Teikiant duomenis į užsienio valstybę vyrauja tinkamo asmens duomenų apsaugos įvertinimo ir pripažinimo principas. Todėl reikalinga aktyvinti tarptautinį bendradarbiavimą, perimant kitų valstybių patirtį. Reikia pasiekti, kad Europos Komisija asmens duomenų apsaugos lygį Lietuvoje oficialiai pripažintų atitinkančiu Europos Sąjungos reikalavimus.

23. Vienas pagrindinių reikalavimų, keliamų duomenų apsaugai, siekiant konstruktyvaus tarptautinio bendradarbiavimo ir įsijungimui į Europos Sąjungos vidaus rinką, yra valstybės pareiga užtikrinti, kad duomenų valdytojai sugebėtų įgyvendinti tam tikras technines ir organizacines priemones, užtikrinančias tinkamą duomenų saugumo lygį. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 21 str. įtvirtinta kiekvieno duomenų valdytojo pareiga užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką. Europos Bendrijų teisė nereikalauja aukščiausio lygio saugumo priemonių ir leidžia, nustatant saugumo priemones, atsižvelgti į informacijos technologijų lygį ir jų įdiegimo išlaidas. Bendrovė „Computer associates“ atliko valstybės informacinių sistemų, tvarkančių asmens duomenis ir kitokius duomenis, auditą ir įvertino duomenų, tvarkomų kai kuriose valstybinėse institucijose, saugumą. Atlikto audito išvadose pažymėta, kad visos valstybinės institucijos, tvarkančios asmens duomenis, laikosi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo. Tačiau duomenų saugumą vertinant pagal tarptautinius standartus nustatyta, kad duomenų saugumas ir jo supratimas valstybinėse institucijose yra nepakankamas, ir yra pavojus duomenų tikslumui, jų išsaugojimui nuo sunaikinimo ir neteisėto duomenų naudojimo. Todėl būtina gerinti duomenų saugumo organizavimą ir valdymą kiekvienoje valstybinėje institucijoje. Duomenų saugumas turi būti suprantamas kaip daugelio procesų visuma, kurių metu yra suvokiama duomenų saugumo reikšmė, vertinama duomenų pažeidžiamumo rizika, atliekama diegiamų priemonių sąnaudų ir naudingumo analizė, nustatoma atsakomybė, diegiamos duomenų apsaugos priemonės, atitinkančios duomenų saugumo reikalavimus, įgyvendinama įdiegtų priemonių veikimo stebėjimo bei tobulinimo sistema, nustatomi veiklos tęstinumo planai ir pažeistų duomenų atkūrimo planai.

24. Lietuvos Respublikos Vyriausybė 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075) įpareigojo valstybės ir vietos savivaldos informacinių sistemų duomenų valdytojus parengti specialius reikalavimus duomenų apsaugos priemonėms, jų įgyvendinimo programas ir paskirti duomenų apsaugos įgaliotinius. Šiuo nutarimu Lietuvos Respublikos Vyriausybė patvirtino Bendruosius duomenų apsaugos reikalavimus, kurie iš esmės atitinka Europos Tarybos sprendimą 92/242/EEB „Dėl informacinių sistemų saugumo“, tačiau reikia sustiprinti jo įgyvendinimą. Visi Inspekcijoje registruoti valstybės ir vietos savivaldos institucijų asmens duomenų valdytojai yra paskyrę duomenų apsaugos įgaliotinius, kurie turi institucijų viduje organizuoti duomenų apsaugą. Kai kurios privačios įmonės ir organizacijos taip pat yra paskyrusios duomenų apsaugos įgaliotinius. „Computer associates“ audito išvadose pažymėta, kad labai nedaug institucijų yra paskyrusios asmenis, atsakingus už duomenų saugumo valdymą, ir dauguma institucijų neturi saugumo plano, susieto su rizika, taip pat saugumo dokumentacijos, testavimo ir saugumo priemonių efektyvumo vertinimo programų. Lietuvos Respublikos valstybės kontrolės Kontrolės ir veiklos audito skyrius nuo 2001-01-05 iki 2001-09-17 atliko patikrinimą, siekdamas apžvelgti informatikos sritį reglamentuojančią teisinę bazę bei susijusių institucijų veiklą, įvertinti veiklos kuriant ir diegiant informacines sistemas kontrolę. Buvo rekomenduota daugiau dėmesio skirti informacijos apsaugos priemonių taikymui bei sugriežtinti šių priemonių taikymo kontrolę. Svarbu, kad kiekvienas dideles ar svarbias duomenų rinkmenas tvarkantis duomenų valdytojas paskirtų duomenų apsaugos įgaliotinius, turinčius reikiamą kvalifikaciją organizuoti duomenų apsaugą, bei prižiūrėti, kaip laikomasi duomenų apsaugos reikalavimų duomenų valdytojo struktūriniuose padaliniuose. Svarbu, kad duomenų valdytojai ir jų paskirti duomenų apsaugos įgaliotiniai veiksmingai dalyvautų duomenų apsaugos sistemos kūrime. Dėl to reikia siekti, kad duomenų apsaugos ir informacijos technologijų srityje duomenų apsaugos priežiūros institucijos, informacinės visuomenės plėtrą koordinuojančios institucijos bei komisijos bendradarbiautų ir keistųsi patirtimi su duomenų apsaugos įgaliotiniais. Direktyva 95/46/EB nurodo, kad reikalavimą pranešti galima supaprastinti, kai duomenų valdytojas turi savo nepriklausomą duomenų apsaugos įgaliotinį, kuris prižiūri visus valdytojo atliekamus duomenų tvarkymo veiksmus, kad jų metu būtų laikomasi duomenų apsaugos reikalavimų. Tokiu būdu būtų supaprastinta pranešimo tvarka ir įdiegiama kontrolė duomenų valdytojo duomenų tvarkymo vietose, padidėtų kvalifikuotų duomenų apsaugos specialistų, pagerėtų asmens duomenų tvarkymo supratimas ir būtų pasiektas saugesnis duomenų tvarkymas, sumažėtų Asmens duomenų valdytojų valstybės registro tvarkymo sąnaudos.

25. Būtina, kad visi valstybės ir vietos savivaldos informacinių sistemų duomenų valdytojai turėtų efektyviai veikiančias saugumo programas. Ypač svarbu, kad tokios programos būtų įdiegtos policijos sektoriuje ir efektyviai veiktų, užtikrinant šiame sektoriuje tvarkomų duomenų saugumą.

26. Yra sukurtos metodinės pagalbos priemonės duomenų valdytojams: įteisinti nacionaliniai standartai, kurie nustato duomenų saugumo kompiuteriuose aspektus ir informacijos technologijos saugumo valdymo gaires. 1999 m. Inspekcija parengė duomenų apsaugos reikalavimų nustatymo metodiką. Atsižveldama į Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2000 m. lapkričio 21 d. priimtą dokumentą „Privatumas internete“, Inspekcija parengė rekomendacijas asmens duomenų apsaugai internete ir viešai paskelbė Inspekcijos interneto tinklapyje. Reikia užtikrinti nenutrūkstamą metodinių priemonių kūrimo procesą analizuojant naujausius pasiekimus tarptautiniu mastu. Būtina nuolat analizuoti naujus tarptautinius ir Europos standartus ir siekti, kad jie būtų perimami kaip Lietuvos standartai. Vadovaujantis Lietuvos Respublikos standartizacijos įstatymu, tai turėtų atlikti nacionalinės standartizacijos institucijos sudarytas atitinkamas technikos komitetas ar pakomitetis. Kol bus įsteigta ir įstatymų nustatyta tvarka įregistruota nacionalinė standartizacijos institucija, jos funkcijas vykdo Lietuvos standartizacijos departamentas.

27. Kol kas nėra nustatyta duomenų saugumo vertinimo sistema, todėl būtina pradėti kurti duomenų saugumo atitikties įvertinimo sistemą, kurios tikslas – nustatyti kokybišką sukurtų informacinių sistemų, taip pat programinės įrangos, skirtos duomenims tvarkyti, saugumo įvertinimo mechanizmą, atitinkantį Europos Tarybos rekomendaciją dėl informacijos saugumo vertinimo kriterijų 95/144/EB. Šiame dokumente išdėstytos nuostatos dėl bendrų informacinių sistemų saugumo įvertinimo kriterijų, siekiant sudaryti sąlygas laisvam informacijos judėjimui bendroje rinkoje, užtikrinant informacinių sistemų saugumą. Tik informacinių sistemų saugumas gali garantuoti verslo programų ir jų rezultatų, intelektualios nuosavybės ir konfidencialumo nepažeidžiamumą ir patikimumą. Informacinių sistemų saugumo reikalavimai nuolat plečiasi, todėl yra reikalingi bendri standartai ir būtinybė derinti šiuos reikalavimus su duomenų apsaugos nuostatomis. Tokia sistema turėtų būti kuriama atsižvelgiant į Europos Komisijos DG XIII dokumentą „Informacijos technologijos saugumo įvertinimo metodika (ITSEM)“, į informacijos technologijos saugumo standartinius įvertinimo kriterijus ITSEC, kuriuos yra priėmusios Prancūzija, Vokietija, Olandija, Didžioji Britanija, ir sistemoje aiškiai nustatyti vertinimo kriterijus ir vertinimo tvarką. Tikslinga tokią sistemą susieti su asmens duomenų tvarkymo išankstine patikra, kurios vykdymą reglamentuoja Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

28. Pažymėtina, kad Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006) patvirtintoje Informacijos technologijų saugos valstybinėje strategijoje yra numatyti darbai susiję su informacijos technologijų saugos teisinio reglamentavimo plėtra ir bendrųjų duomenų saugos reikalavimų pagal duomenų kategorijas, atsižvelgiant į tarptautinius standartus, nustatymu.

29. Viena pagrindinių duomenų subjekto teisių, garantuojamų duomenų apsaugos sistemoje, yra duomenų subjekto teisė žinoti (būti informuotam) apie savo duomenų tvarkymą. 1997 m. Inspekcija pradėjo registruoti duomenų valdytojus bei skelbti registruotų duomenų valdytojų sąrašą interneto svetainėje www. ada. lt. Registruotų asmens duomenų valdytojų skaičius sparčiai auga. 2000 m. kovo 27 d. Lietuvos Respublikos Vyriausybė įsteigė Asmens duomenų valdytojų valstybės registrą, kuris buvo įteisintas 2001 m. lapkričio 23 d. Registras turėtų sudaryti galimybę kiekvienam suinteresuotam asmeniui gauti išsamius duomenis apie visus registruotus duomenų valdytojus, jų tvarkomas duomenų grupes, tvarkymo tikslus ir teisinį pagrindą, asmens duomenų šaltinius bei kitus registro duomenis.

30. Kiekvienas duomenų subjektas turi teisę susipažinti su savo asmens duomenimis, kuriuos tvarko duomenų valdytojai automatiniu būdu ar neautomatiniu būdu susistemintose rinkmenose, juos patikslinti, taip pat esant teisėtam pagrindui nesutikti, kad būtų renkami, saugomi ar atliekami kiti su juo susijusių duomenų tvarkymo veiksmai. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme numatyta paslauga duomenų subjektui, kurią nuo 2003 m. sausio 1 d. turėtų teikti Inspekcija, surinkdama iš registruotų duomenų valdytojų duomenų subjekto asmens duomenis bei juos pateikdama duomenų subjektui. Tuo siekiama padėti duomenų subjektui įgyvendinti jo teisę. Šios įstatymo nuostatos įgyvendinimui reikalinga sukurti ir įdiegti informacinę sistemą, kuri leistų surinkti prašomą informaciją automatiniu būdu, įdiegiant saugią „viešojo rakto“ infrastruktūros technologiją duomenų subjekto ir duomenų valdytojo atpažinimui.

31. Duomenų apsaugos sritis yra palyginti nauja, daugelis žmonių nežino apie teisę į savo duomenų apsaugą bei šių teisių garantijas informacinėje visuomenėje, todėl visuomenei trūksta informacijos apie duomenų apsaugos svarbą ir žmogaus dalyvavimo galimybes. Reikia informuoti visuomenę apie duomenų apsaugą, apie žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir šios teisės įgyvendinimą.

32. Mokymas ir švietimas yra labai reikšminga duomenų apsaugos plėtojimo programos dalis.

33. Žinių bei informacijos trūksta ir duomenų valdytojams bei tvarkytojams, vykdantiems asmens duomenų tvarkymą. Duomenų apsaugos seminarai ir paskaitos jau rengiamos Teisės universiteto studentams, Vilniaus universiteto Teisės fakulteto studentams. Nedelsiant reikia pradėti spręsti duomenų apsaugos literatūros kūrimo Lietuvoje klausimą, organizuoti dėstytojų rengimą, tobulinti duomenų apsaugos mokymo programas aukštosiose mokyklose, ypač teisę ir informatiką studijuojantiems studentams. Reikia numatyti interaktyvaus mokymo galimybes.

34. Siekiant padėti duomenų valdytojams tinkamai ir efektyviai įgyvendinti duomenų apsaugos priemones, būtina organizuoti duomenų apsaugos įgaliotinių mokymus. Nuo 2000 m. rugsėjo mėn. Lietuvos viešojo administravimo institute vyksta duomenų apsaugos seminarai valstybės tarnautojams. Reikalinga toliau tęsti asmens duomenų apsaugos mokymus ir pasiekti, kad bent valstybės ir savivaldybių institucijų atsakingi už duomenų apsaugą asmenys būtų išklausę duomenų apsaugos mokymo kursą. Mokymo kursas yra bendras, supažindinantis su pagrindiniais duomenų apsaugos principais bei reikalavimais, todėl reikia parengti specialų kursą šia tematika duomenų apsaugos įgaliotiniams.

35. Atsižvelgiant į tai, kad duomenų apsaugos programa valstybės biudžeto formavimo sistemoje yra Lietuvos Respublikos Vyriausybės strateginio prioriteto „Plėtoti informacinę visuomenę“ dalimi, ir į tai, kad Lietuvos informacinės visuomenės strateginiame plane neįtraukti darbai, susiję su duomenų apsaugos plėtra, šia programa siekiama sujungti informacinės visuomenės plėtros ir duomenų apsaugos plėtros strategijas.

______________