1. Šis įstatymas reguliuoja santykius, atsirandančius renkant, kaupiant, apdorojant, saugant, naudojant ir teikiant duomenis apie fizinius asmenis valstybės kompiuterizuotosioms informacinėms sistemoms, tarp jų ir valstybiniams registrams (toliau – informacinėms sistemoms). Įstatymo tikslas – nustatyti duomenų subjektų teises ir šių teisių apsaugos tvarką, teisių į duomenis bei duomenų apsaugos garantijas tvarkant asmens duomenis informacinėse sistemose.

2. Šis įstatymas netaikomas santykiams, kuriuos reguliuoja kiti įstatymai.

1. Asmens duomenys – duomenys apie konkretų arba iš duomenų nustatomą fizinį asmenį, jo dalykinius santykius ir išvados apie asmenį, padarytos remiantis šiais duomenimis.

2. Duomenų apdorojimas – duomenų papildymas, keitimas, ištrynimas, taisymas, klasifikavimas.

3. Duomenų gavėjas – fizinis arba juridinis asmuo, kuriam teikiami duomenys.

4. Duomenų įrašas – vientisas automatizuotai tvarkomas duomenų apie fizinį asmenį rinkinys.

5. Duomenų subjektas – asmuo, kurio duomenis saugo šis įstatymas.

6. Duomenų tvarkymas – duomenų rinkimas, kaupimas, apdorojimas, saugojimas, teikimas.

7. Duomenų teikimas – duomenų perdavimas (pranešimas kitam asmeniui) bei paskelbimas (sąlygų susipažinti su asmens duomenimis sudarymas).

8. Duomenų valdytojas – fizinis arba juridinis asmuo, kuris teisėtai tvarko duomenis.

9. Informacinės sistemos nuostatai – Vyriausybės patvirtinti valstybės kompiuterizuotosios informacinės sistemos (valstybinio registro) nuostatai, kuriuose turi būti nurodytas duomenų valdytojas (tvarkymo įstaiga), nustatyta tvarkymo objektas ir tikslai, duomenų sąrašas, apimtis, rinkimo ir teikimo tvarka, duomenų rinkėjai ir pan.

10. Ypatingi asmens duomenys – asmens duomenys apie jo rasinę kilmę, tautinį ir etninį priklausomumą, politinius, religinius ir kitus įsitikinimus, partiškumą, teistumą, sveikatą, patologinius defektus ir intymų gyvenimą (privatų asmens gyvenimą).

11. Valstybės kompiuterizuotoji informacinė sistema – institucijos tam tikrai veiklai reikalingų dokumentų ir(arba) duomenų tvarkymo bei paieškos sistema, kuri veikia taikydama informacijos technologiją: kompiuterius, jų programas, duomenų bazes, duomenų perdavimo tinklus bei jų naudojimą reglamentuojančius norminius aktus.

12. Valstybinė duomenų apsaugos inspekcija – institucija, kontroliuojanti informacinių sistemų duomenų apsaugą bei duomenų teikimo ir naudojimo teisėtumą.

Šis įstatymas saugo ypatingus ir kitus asmens duomenis (toliau – asmens duomenis), kurių paskelbimas ar perdavimas kitiems asmenims gali padaryti žalos pačiam duomenų subjektui ar su juo susijusiems asmenims.

1. Asmens duomenų teisinė apsauga galioja visą fizinio asmens gyvenimą, o jam mirus, – 75 metus po paskutinio įrašo. Teisinės apsaugos laikas skaičiuojamas nuo sausio 1 dienos po tų metų, kai buvo padarytas paskutinis įrašas.

2. Asmens duomenų saugojimo terminus nustato Lietuvos archyvų departamentas, o kontroliuoja Valstybinė duomenų apsaugos inspekcija.

3. Pasibaigus asmens duomenų saugojimo laikui, asmens duomenų teisinė apsauga išlieka pagal šio įstatymo 4 straipsnio 1 dalies reikalavimus.

1. Asmens duomenys yra kaupiami ir saugomi duomenų įrašuose, už kurių apsaugą ir tvarkymą yra atsakingas duomenų valdytojas. Duomenų tvarkymą reglamentuoja informacinės sistemos, kurios objektas yra asmens duomenys, Vyriausybės nustatyta tvarka patvirtinti nuostatai.

2. Duomenų įrašai saugomi tik konkrečiu tikslu. Neturi būti renkami, kaupiami, apdorojami ir saugomi duomenys, kurie nėra skirti saugoti bei naudoti. Duomenys renkami, kaupiami, apdorojami, saugomi ir naudojami tik pagal duomenų įrašo paskirtį arba su duomenų subjekto leidimu, o jeigu duomenų subjektas neveiksnus, – su jo tėvų (įtėvių) arba globėjų leidimu.

3. Duomenų valdytojai yra registruojami Valstybinėje duomenų apsaugos inspekcijoje.

1. Duomenų subjektai turi teisę susipažinti su savo duomenimis ir juos patikslinti. Jie taip pat turi teisę gauti informaciją, iš kokių šaltinių gauti duomenys, kokiu tikslu ir kada jie buvo panaudoti, yra naudojami arba gali būti panaudoti.

2. Duomenų valdytojas, gavęs motyvuotą prašymą, privalo šias žinias pateikti duomenų subjektui nemokamai ne vėliau kaip per 10 dienų nuo kreipimosi dienos. Jo prašymu šios žinios pateikiamos raštu.

3. Duomenų subjektui duomenys susipažinti nepateikiami, jeigu:

4. Šio įstatymo nustatyti teisės susipažinti su asmens duomenimis apribojimai bei duomenų realizavimo tvarka nurodoma informacinės sistemos nuostatuose.

5. Atsisakymas suteikti prašomus duomenis turi būti pagrįstas konkrečiais motyvais ir duodamas raštu. Atsisakymą per 30 kalendorinių dienų galima apskųsti Valstybinei duomenų apsaugos inspekcijai, o Valstybinės duomenų apsaugos inspekcijos atsakymą – teismui įstatymų nustatyta tvarka.

1. Jei nustatoma, kad asmens duomenys yra neteisingi, ginčytinas jų teisingumas ar abejojama jų teisingumu, duomenų valdytojas gali duomenis taisyti, sunaikinti, paženklinti arba atskirti nuo teisingų duomenų apribodamas jų tolesnį tvarkymą. Kai ginčijamas duomenų teisingumas, duomenys dokumentuose, duomenų įrašai ar kiti šaltiniai paženklinami užrašu „ginčijamas duomuo“.

2. Asmens duomenys sunaikinami, jeigu:

3. Duomenys gali būti sunaikinami tik su Valstybinės duomenų apsaugos inspekcijos ir Lietuvos archyvų departamento leidimu.

4. Apie duomenų taisymą ir sunaikinimą reikia informuoti asmens duomenų subjektą ir kitus suinteresuotus asmenis, kuriems tie duomenys buvo teikiami. Informuoti nebūtina tada, kai tuo nepažeidžiami atitinkamų asmenų interesai.

5. Vietoje sunaikinimo galima taikyti duomenų tvarkymo apribojimą, jeigu:

6. Duomenis, kurių tvarkymas apribotas, galima panaudoti nustatyta tvarka be jų subjekto sutikimo tada, kai tai būtina mokslinio tyrimo darbui ir kai tai nepadarys žalos duomenų subjektui arba tretiesiems asmenims. Tokiu atveju duomenys perduodami nenurodant jų subjekto (nepateikiant duomenų, kurie leistų identifikuoti konkretų asmenį).

1. Duomenų valdytojas privalo turėti visas reikalingas priemones asmens duomenų paslapčiai išsaugoti. Duomenys turi būti apsaugoti nuo neteisėto kaupimo, keitimo, perdavimo, paskelbimo, sunaikinimo. Įstatymų numatyta užklausa gauti duomenis turi būti fiksuojama informacinės sistemos nuostatuose nustatyta tvarka. Asmenys, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, raštu pasirašytinai įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu įstatymas nenumato ko kita.

2. Be duomenų subjekto sutikimo asmens duomenys gali būti perduoti, jei to reikalauja:

1. Asmens duomenys perduodami kitiems duomenų valdytojams pagal Valstybinės duomenų apsaugos inspekcijos nustatytos formos asmens duomenų perdavimo sutartį tarp perduodančiojo duomenis duomenų valdytojo ir gaunančių duomenis duomenų valdytojų. Sutartyje turi būti nurodyta asmens duomenų perdavimo tikslas, sąlygos ir tvarka.

2. Asmens duomenys gali būti perduoti kitiems duomenų valdytojams tik gavus jų subjekto raštišką sutikimą, o jeigu duomenų subjektas neveiksnus – su jo tėvų (įtėvių) arba globėjų sutikimu.

3. Perduoti asmens duomenis be jų subjekto sutikimo galima, jeigu perdavėjas duomenis teikia kitam duomenų valdytojui atlikdamas įstatymo (nuostatų) nustatytas tarnybines funkcijas, o gavėjas pagal įstatymą turi teisę gauti tokius duomenis ir asmens duomenų subjektas neturi teisinio pagrindo prieštarauti tokiam perdavimui.

4. Atsakomybė už asmens duomenų teisingumą bei perdavimo teisėtumą tenka perduodančiam valdytojui.

5. Gavėjas gautus asmens duomenis gali panaudoti tik sutartyje numatytu tikslu. Kitu tikslu gautus asmens duomenis galima panaudoti tik su Valstybinės duomenų apsaugos inspekcijos leidimu. Valstybinė duomenų apsaugos inspekcija leidimą panaudoti asmens duomenis išduoda tik įstatymų nustatytais atvejais, jeigu tai būtinai reikalinga arba sutinka duomenų subjektas.

6. Už gautų asmens duomenų naudojimo teisėtumą atsako juos gavęs duomenų valdytojas.

Kai asmens duomenys netenka savo praktinės reikšmės ar likviduojamas duomenų valdytojas, pastarasis privalo pranešti apie tai Valstybinei duomenų apsaugos inspekcijai ir Lietuvos archyvų departamentui. Lietuvos archyvų departamentas priima sprendimą dėl tolesnio duomenų saugojimo valstybiniuose archyvuose arba jų sunaikinimo.

1. Asmens duomenis teisės aktų nustatyta tvarka galima perduoti į užsienio valstybes tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą ir jeigu tai nepažeidžia duomenų subjekto teisių, taip pat jeigu šalyje, į kurią perduodami duomenys, garantuojama tinkama asmens duomenų teisinė apsauga.

2. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenis, laikantis šio straipsnio 1 dalyje nustatytų garantijų, galima perduoti į užsienio valstybes pagal Lietuvos Respublikos tarptautines sutartis.

Duomenų valdytojai ir kiti asmenys, pažeidę šio įstatymo reikalavimus, traukiami teisinėn atsakomybėn pagal įstatymus.

1. Duomenų subjektas turi teisę reikalauti atlyginti turtinę žalą, padarytą netinkamai saugant, neteisėtai pakeitus ar kitaip iškraipius, perdavus, paskelbus asmens duomenis arba jeigu asmens duomenys pasidarė neteisingi dėl duomenų valdytojo kaltės. Duomenų subjektas taip pat turi teisę reikalauti, kad jam būtų atlyginta tokių veiksmų padaryta moralinė žala.

2. Turtinės ir moralinės žalos dydį nustato teismas.

Vyriausybė per pusę metų nuo šio įstatymo priėmimo priima šio įstatymo normoms įgyvendinti reikalingus teisės aktus arba pateikia Seimui tokių teisės aktų projektus.