About Intellectual Property IP Training Respect for IP IP Outreach IP for… IP and... IP in... Patent & Technology Information Trademark Information Industrial Design Information Geographical Indication Information Plant Variety Information (UPOV) IP Laws, Treaties & Judgments IP Resources IP Reports Patent Protection Trademark Protection Industrial Design Protection Geographical Indication Protection Plant Variety Protection (UPOV) IP Dispute Resolution IP Office Business Solutions Paying for IP Services Negotiation & Decision-Making Development Cooperation Innovation Support Public-Private Partnerships AI Tools & Services The Organization Working with WIPO Accountability Patents Trademarks Industrial Designs Geographical Indications Copyright Trade Secrets WIPO Academy Workshops & Seminars IP Enforcement WIPO ALERT Raising Awareness World IP Day WIPO Magazine Case Studies & Success Stories IP News WIPO Awards Business Universities Indigenous Peoples Judiciaries Genetic Resources, Traditional Knowledge and Traditional Cultural Expressions Economics Finance Intangible Assets Gender Equality Global Health Climate Change Competition Policy Sustainable Development Goals Frontier Technologies Mobile Applications Sports Tourism PATENTSCOPE Patent Analytics International Patent Classification ARDI – Research for Innovation ASPI – Specialized Patent Information Global Brand Database Madrid Monitor Article 6ter Express Database Nice Classification Vienna Classification Global Design Database International Designs Bulletin Hague Express Database Locarno Classification Lisbon Express Database Global Brand Database for GIs PLUTO Plant Variety Database GENIE Database WIPO-Administered Treaties WIPO Lex - IP Laws, Treaties & Judgments WIPO Standards IP Statistics WIPO Pearl (Terminology) WIPO Publications Country IP Profiles WIPO Knowledge Center WIPO Technology Trends Global Innovation Index World Intellectual Property Report PCT – The International Patent System ePCT Budapest – The International Microorganism Deposit System Madrid – The International Trademark System eMadrid Article 6ter (armorial bearings, flags, state emblems) Hague – The International Design System eHague Lisbon – The International System of Appellations of Origin and Geographical Indications eLisbon UPOV PRISMA UPOV e-PVP Administration UPOV e-PVP DUS Exchange Mediation Arbitration Expert Determination Domain Name Disputes Centralized Access to Search and Examination (CASE) Digital Access Service (DAS) WIPO Pay Current Account at WIPO WIPO Assemblies Standing Committees Calendar of Meetings WIPO Webcast WIPO Official Documents Development Agenda Technical Assistance IP Training Institutions COVID-19 Support National IP Strategies Policy & Legislative Advice Cooperation Hub Technology and Innovation Support Centers (TISC) Technology Transfer Inventor Assistance Program WIPO GREEN WIPO's Pat-INFORMED Accessible Books Consortium WIPO for Creators WIPO Translate Speech-to-Text Classification Assistant Member States Observers Director General Activities by Unit External Offices Job Vacancies Procurement Results & Budget Financial Reporting Oversight
Arabic English Spanish French Russian Chinese
Laws Treaties Judgments Browse By Jurisdiction

Law No. I-1374 of June 11, 1996, on Legal Protection of Personal Data (as amended up to Law No. X-1444 of February 1, 2008), Lithuania

Back
Latest Version in WIPO Lex
Details Details Year of Version 2011 Dates Entry into force: July 3, 1996 Adopted: June 11, 1996 Type of Text Other Texts Subject Matter Enforcement of IP and Related Laws

Available Materials

Main Text(s) Related Text(s)
Main text(s) Main text(s) English Law No. I-1374 of June 11, 1996, on Legal Protection of Personal Data (as amended up to Law No. X-1444 of February 1, 2008)         Lithuanian 1996 m. birželio 11 d. Asmens duomenų teisinės apsaugos įstatymas Nr. I-1374 (su paskutiniais pakeitimais, padarytais 2011 m. gegužės 12 d. įstatymu Nr. XI-1372)        
 
Download PDF open_in_new

REPUBLIC OF LITHUANIA

LAW AMENDING THE LAW ON LEGAL PROTECTION OF PERSONAL DATA

11 June 1996 No. I-1374

Vilnius

(A new version of 1 February 2008, No. X-1444 )

Article 1. A New Version of the Law of the Republic of Lithuania on Legal Protection of Personal Data

The Law of the Republic of Lithuania on Legal Protection of Personal Data shall be amended and set forth to read as follows:

“REPUBLIC OF LITHUANIA

LAW ON LEGAL PROTECTION OF PERSONAL DATA

CHAPTER ONE

GENERAL PROVISIONS

Article 1. Purpose, Objectives and Scope of the Law

1. The purpose of this Law is protection of an individual’s right to private life while processing personal data.

2. This Law shall regulate relations arising in the course of the processing of personal data by automatic means, and during the processing of personal data by other than automatic means in filing systems: lists, card indexes, files, codes, etc. The Law shall establish the rights of natural persons as data subjects, the procedure for the protection of these rights, the rights, duties and liability of legal and natural persons while processing personal data.

3. This Law shall apply to the processing of personal data where:

1) personal data are processed by a data controller who is established and operating in the territory of Lithuania, as part of its/his activities. Where personal data are processed by a branch office or a representative office of a data controller of Member State of the European Union or another state of the European Economic Area, established and operating in the Republic of Lithuania, such branch office or representative office shall be bound by the provisions of this Law applicable to the data controller;

2) personal data are processed by a data controller which is established in the territory other than the Republic of Lithuania but which is bound by the laws of the Republic of Lithuania by virtue of international public law (including diplomatic missions and consular posts);

3) personal data are processed by a data controller established and operating in a non-member state of the European Union or another state of the European Economic Area (hereinafter – third state), which uses personal data processing means established in the Republic of Lithuania, with the exception of cases where such means are used only for transit of data through the territory of the Republic of Lithuania, the European Union or another state of the European Economic Area. In the case laid down in this subparagraph, the data controller must have its representative – an established branch office or a representative office in the Republic of Lithuania which shall be bound by the provisions of this Law applicable to the data controller.

4. This Law shall not apply if personal data are processed by a natural person only in the course of his personal activities unrelated to business or profession.

5. When personal data are processed for the purposes of State security or defence, this Law shall apply only where other laws of the Republic of Lithuania do not provide otherwise.

6. This Law shall not restrict or prohibit free movement of personal data when fulfilling European Union membership commitments of the Republic of Lithuania.

7. This Law shall harmonise regulation of legal protection of personal data in the Republic of Lithuania with the European Union legal acts referred to in the Annex to this Law.

Article 2. Definitions

1. Personal data shall mean any information relating to a natural person, the data subject, who is identified or who can be identified directly or indirectly by reference to such data as a personal identification number or one or more factors specific to his physical, physiological, mental, economic, cultural or social identity.

2. Data recipient shall mean a legal or a natural person to whom personal data are disclosed. The authorities supervising the implementation of this Law referred to in Articles 8 and 36 of this Law as well as other state and municipal institutions and agencies shall not be regarded as data recipients when they obtain personal data in response to a specific request for the purposes of fulfilling their control functions laid down in laws.

3. Disclosure of data shall mean disclosure of personal data by transmission or making them available by any other means (with the exception of publishing them in mass media).

4. Data processing shall mean any operation, which is performed with personal data such as collection, recording, accumulation, storage, classification, grouping, combining, alteration (supplementing or rectifying), disclosure, making available, use, logical and/or arithmetic operations, retrieval, dissemination, destruction or any other operation or a set of operations.

5. Data processing by automatic means shall mean any operation performed with personal data carried out in whole or in part by automatic means.

6. Data processor shall mean a legal or a natural person other than an employee of the data controller, processing personal data on behalf of the data controller. The data processor and/or the procedure of its/his nomination may be laid down in laws or other legal acts.

7. Data controller shall mean a legal or a natural person which alone or jointly with others determines the purposes and means of processing personal data. Where the purposes of processing personal data are laid down in laws or other legal acts, the data controller and/or the procedure for its/his nomination may be laid down in such laws or other legal acts.

8. Special categories of personal data shall mean data concerning racial or ethnic origin of a natural person, his political opinions or religious, philosophical or other beliefs, membership in trade unions, and his health, sexual life and criminal convictions.

9. Prior checking shall mean an advance inspection of processing data before it is started in the cases laid down in this Law.

10. Filing system shall mean any structured set of personal data arranged in accordance with specific criteria relating to the person, allowing an easy access to personal data in the file.

11. Consent shall mean an indication of will given freely by a data subject indicating his agreement to the processing of his personal data for the purposes known to him. His consent with regard to special categories of personal data must be expressed clearly, in a written or equivalent form or any other form giving an unambiguous evidence of the data subject’s free will.

12. Direct marketing shall mean an activity intended for offering goods or services to individuals by post, telephone or any other direct means and/or for obtaining their opinion about the offered goods or services.

13. Third party shall mean a legal or a natural person, with the exception of the data subject, the data controller, the data processor and persons who have been directly authorised by the data controller or the data processor to process data.

14. Internal administration shall mean activity which ensures an independent functioning of the data controller (structure administration, personnel management, management and use of available material and financial recourses, and clerical work).

15. Public data file shall mean a state register or any other data file which pursuant to laws and other legal acts is intended for the disclosure of information to the public and which may be lawfully used by the public.

16. Video surveillance shall mean processing of image data concerning natural person (hereinafter – image data) by using automated video surveillance means (video and photo cameras, etc.) irrespective of whether these data are recorded in a file or not.

CHAPTER TWO

PERSONAL DATA PROCESSING

Article 3. Requirements for Personal Data Processing

1. The data controller must ensure that personal data are:

1) collected for specified and legitimate purposes and later are not processed for purposes incompatible with the purposes determined before the personal data concerned are collected;

2) processed accurately, fairly and lawfully;

3) accurate and, where necessary, for purposes of personal data processing, kept up to date; inaccurate or incomplete data must be rectified, supplemented, erased or their further processing must be suspended;

4) identical, adequate and not excessive in relation to the purposes for which they are collected and further processed;

5) kept in a form which permits identification of data subjects for no longer than it is necessary for the purposes for which the data were collected and processed.

2. Personal data collected for other purposes may be processed for statistical, historical or scientific research purposes only in the cases laid down in laws, provided that adequate data protection measures are laid down in laws.

Article 4. Storage and Destruction of Personal Data

Personal data shall not be stored longer than it is necessary for data processing purposes. Personal data must be destroyed when they are no more needed for their processing purposes, with the exception of data which must be transferred to State archives in the cases laid down in laws.

Article 5. Criteria for Lawful Processing of Personal Data

1. Personal data may be processed if:

1) the data subject has given his consent;

2) a contract to which the data subject is party is being concluded or performed;

3) it is a legal obligation of the data controller under laws to process personal data;

4) processing is necessary in order to protect vital interests of the data subject;

5) processing is necessary for the exercise of official authority vested by laws and other legal acts in state and municipal institutions, agencies, enterprises or a third party to whom personal data are disclosed;

6) processing is necessary for the purposes of legitimate interests pursued by the data controller or by a third party to whom the personal data are disclosed, unless such interests are overridden by interests of the data subject.

2. It shall be prohibited to process special categories of personal data, except in the following cases:

1) the data subject has given his consent;

2) such processing is necessary for the purposes of employment or civil service while exercising rights and fulfilling obligations of the data controller in the field of labour law in the cases laid down in laws;

3) it is necessary to protect vital interests of the data subject or of any other person, where the data subject is unable to give his consent due to a physical disability or legal incapacity;

4) processing of personal data is carried out for political, philosophical, religious purposes or purposes concerning the trade-unions by a foundation, association or any other non-profit organisation, as part of its activities, on condition that the personal data processed concern solely the members of such organisation or to other persons who regularly participate in such organisation in connection with its purposes. Such personal data may not be disclosed to a third party without the data subject’s consent;

5) the personal data have been made public by the data subject;

6) the data are necessary, in the cases laid down in laws, in order to prevent and investigate criminal or other illegal activities;

7) the data are necessary for a court hearing;

8) it is a legal obligation of the data controller under laws to process such data.

3. The data about a person’s health may also be processed for the purposes and in the procedure laid down in Article 10 of this Law and other laws pertaining to health care.

4. Personal data relating to a person's record of conviction, criminal acts or security measures may be processed, for crime prevention, investigation purposes and in other cases laid down by laws, only by a state institution or agency in the manner laid down in laws. Other natural or legal persons may process such data in the cases laid down by laws provided that appropriate measures laid down in laws and other legal acts for the protection of legitimate interests of the data subject have been adequately implemented. Detailed data about previous convictions may be processed only according to the procedure laid by the Law on State Registers.

Article 6. Forms of Disclosure of Personal Data

In the cases laid down in this Law, personal data shall be disclosed under a personal data disclosure contract between the data controller and the data recipient in the case of a multiple disclosure or in response to a request of the data recipient in the case of a single disclosure. The contract must specify the purpose for which personal data will be used, the legal basis for disclosure and receipt, the conditions, the procedure of use and the extent of personal data that is disclosed. The request must specify the purpose for which personal data will be used, the legal basis for disclosure and receipt and the extent of personal data requested.

Article 7. Use of Personal Identification Number

1. Personal identification number is a unique sequence of digits. Personal identification number is assigned to a person in accordance with the procedure laid down in the Law on the Population Register.

2. It shall be permitted to use personal identification number when processing personal data only with the consent of the data subject, except in cases specified in paragraphs 4 and 5 of this Article, when the use of personal identification number shall be prohibited.

3. Personal identification number may be used without the consent of the data subject only if:

1) such a right is laid down in this and other laws;

2) a scientific or statistical research is carried out in the cases laid down in Articles 12 and 13 of this Law;

3) it is processed in State or institutional registers, provided that they have been officially set up in accordance with the procedure laid down in the Law on State Registers and in information systems provided that they have been set up in accordance with the procedure laid down in legal acts;

4) it is processed by legal persons involved in activities related to granting of loans and recovery of debts, insurance or financial leasing, health care and social insurance as well as in the activities of other institutions providing and administrating social care, educational establishments, science and studies institutions. Legal persons specified in this subparagraph may use personal identification number only for the purpose for which it has been received and only in these cases where it is necessary for a legitimate and specified purpose of personal data processing ;

5) classified data are processed in cases laid down by laws.

4. Personal identification number may not be made public.

5. Personal identification number may not be collected and processed for direct marketing purposes.

Article 8. Processing of Personal Data and the Freedom of Provision of Information to the Public

The processing of personal data by the media for the purpose of providing information to the public, artistic and literary expression shall be supervised by the Inspector of Journalist Ethics. His competencies shall be laid down in the Law on Provision of Information to the Public. In these cases only the provisions of Articles 1, 2, 3, 4, 5, 6, 7, 30, 53 and 54 of this Law shall apply to the processing of personal data.

Article 9. Personal Data Processing for Social Insurance and Social Assistance Purposes

For the purposes of social insurance and social assistance administrative institutions of the State Social Insurance Fund and legal persons providing or administering social assistance shall exchange personal data without the data subject’s consent.

Article 10. Personal Data Processing for Health Care Purposes

1. Personal data on a person’s health (its state, diagnosis, prognosis, treatment, etc.) may be processed by an authorised health care professional. A person’s health shall be subject to professional secrecy under the Civil Code, laws regulating patients’ rights and other legal acts.

2. Personal data processing for scientific medical research purposes shall be carried out in accordance with this and other laws.

3. Personal data on a person’s health may be processed by automatic means, also for scientific medical research purposes the data may be processed only having notified the State Data Protection Inspectorate. In this case the State Data Protection Inspectorate must carry out prior checking.

Article 11. Personal Data Processing for the Purposes of Elections, Referenda and Citizens' Legislative Initiative

1. Processing of personal data (name, surname, date of birth, personal identification number, address of the place of residence, citizenship, number of the identification document) for the purposes of elections, referenda, citizens' legislative initiative, political campaigns and financing of political parties shall be determined by this and other laws.

2. Information compiled by the Central Electoral Committee on the basis of statements and other documents submitted by candidates or their representatives and announced on the Internet website, about candidates, votes received by the candidates, lists of members of electoral or referendum committees, observers, representatives, members of initiative groups and lists of donors of political campaigns may be revised after the announcement of election or referendum results, only for the purposes of correction of language mistakes or when the information on the Internet website differs from the information in the statements and other documents delivered at the time prescribed by legal acts. Personal identification numbers of the candidates and any other persons, their citizenship or numbers of their identification documents, the exact address (street, number of the house, number of the apartment) of their place of residence may not be made public on the Internet website.

Article 12. Personal Data Processing for Scientific Research Purposes

1. Personal data may be processed for scientific research purposes on condition that the data subject has given his consent. Without the data subject’s consent, personal data may be processed for scientific research purposes only upon notifying the State Data Protection Inspectorate. In this case the State Data Protection Inspectorate must carry out a prior checking.

2. Personal data which have even used for scientific research purposes must be altered immediately in the manner which makes it impossible to identify the data subject.

3. The personal data collected and stored for scientific research purposes may not be used for any other purposes.

4. In these cases where the conducted researches do not require data identifying a person, the data controller shall provide to the data recipient such personal data from which identification of a person is not possible.

5. Research results shall be made public together with the personal data on condition that the data subject has given his consent to have his personal data made public.

Article 13. Personal Data Processing for Statistical Purposes

1. Processing of personal data for statistical purposes is the carrying out of statistical surveys and disclosure and storage of their results.

2. Personal data collected for other than statistical purposes may be used, in the cases laid down in laws, for the preparation of official statistical information.

3. Personal data collected for statistical purposes may be disclosed and used for other than statistical purposes in accordance with the procedure and in the cases laid down in the Law on Statistics.

4. Personal data collected for different statistical purposes shall be compared and combined only on condition that the personal data are protected against unlawful use for other than statistical purposes.

5. Special categories of personal data shall be collected for statistical purposes solely in the form which does not permit direct or indirect identification of the data subject, except in the cases laid down in laws.

Article 14. Personal Data Processing for Direct Marketing Purposes

1. Personal data may be processed for direct marketing purposes only after the data subject has given his consent.

2. Personal data may be processed for direct marketing purposes if, when collecting the data, the storage period for personal data is set.

3. The data controller must provide a clear, free-of-charge and easily realisable possibility for the data subject to give or refuse giving his consent for the processing of his personal data for direct marketing purposes.

4. Data controller while rendering services or selling goods in accordance with the procedure and conditions set by this Law, receives contact information (name, surname and address) from data subjects who are his customers may only use this data without a separate data subject’s consent for the marketing of his own goods or services of a similar nature provided that the customers have been given a clear, free-of-charge and easily realisable possibility not to give their consent or refuse giving their consent for the use of this data for the above-mentioned purposes at the time of collection of the data and, if initially the customer has not objected against such use of the data, at the time of each offer.

Article 15. Personal Data Processing for Electronic Communication Purposes

The processing of personal data in the field of electronic communications shall be governed by the Law on Electronic Communications and this Law.

CHAPTER THREE

VIDEO SURVEILLANCE

Article 16. Conditions on Video Surveillance

Video surveillance may be used for the purpose of ensuring public safety, public order and protecting person’s life, health, property and other rights and freedoms of persons but only in these cases when other ways or measures are insufficient and (or) inadequate for the achievement of the above mentioned purposes unless they are overridden by the interests of the data subject.

Article 17. Video Surveillance in the Workplace

Video surveillance in the workplace may be used only when because of the specifics of the work it is necessary to ensure safety of persons, property or the public and in other cases when other ways or measures are insufficient and (or) inadequate for the achievement of the above mentioned purposes.

Article 18. Requirements on Video Surveillance

1. Processing of image data must be set down in a written data controller’s document specifying the purpose and the extent of video surveillance, the retention period of video data, conditions of access to processed image data , conditions and procedure of destruction of these data and other requirements concerning legitimate processing of video data.

2. The data controller shall ensure that image data are processed only by persons authorised by the data controller who must be instructed on legal acts regulating legal protection of personal data and who obligated to abide by them by signing.

Article 19. Installation of Video Surveillance Devices

1. Taking into account the defined purpose of video surveillance, video surveillance devices must be installed in such a manner as to ensure that:

1) video surveillance covers not excessive part of the premises or territory than it is necessary;

2) image data are collected only of such an extent which is necessary.

2. It shall be prohibited to install and exploit installed video surveillance devices in such a manner that the area of surveillance covers residential premises and (or) appertain private territory or entrance to it, except for the cases specified by laws. In the common use premises video surveillance devices may be installed on the decision of the majority of co-owners.

3. It shall be prohibited to use video surveillance in premises where the data subject reasonably expects absolute protection of privacy and where such surveillance would undermine human dignity (e.g. toilets, changing-rooms, etc.).

Article 20. Notification of Data Subject about Video Surveillance

1. The data controller shall ensure that the following information is clearly and properly provided before the entrance to the premises or territory in which video surveillance is used:

1) that video surveillance is used there;

2) the data controller’s contact information (address or telephone number) and other requisites.

2. The data controller may provide as well other additional information relevant for ensuring that personal data are processed lawfully and without infringing the data subject’s rights (e.g. purpose of video surveillance).

3. If video surveillance is used in a work place and in the data controller’s premises or territories in which the data controller’s personnel work, the personnel must be notified of such processing of their image data in writing, according to the procedure laid down in Article 24(1) of this Law.

CHAPTER FOUR

EVALUATION OF SOLVENCY AND DEBT MANAGEMENT

Article 21. Personal Data Processing for the Purpose of Evaluating a Person's Solvency and Managing His Debt

1. The data controller shall have the right to process and disclose to third parties having legitimate interests data, including personal identification number, of data subjects who have failed to fulfil, in a timely and proper manner, their financial and (or) property obligations (hereinafter - debtors) for the purpose of evaluating their solvency and managing their debt, provided that data protection requirements set out in this Law and other legal acts are duly complied with.

2. The data controller shall have the right to disclose debtors’ data, including personal identification number, to other data controllers who process consolidated debtor files (hereinafter consolidated files). The data controller may process consolidated files for the purpose of disclosing such data to third parties having legitimate interests so that they could evaluate solvency of the data subject and manage his debt only if he has duly notified, according to the procedure laid down in Article 33 of this Law, the State Data Protection Inspectorate which must carry out a prior checking.

3. The data controller may disclose debtors' data on condition that he has sent a written reminder to the data subject about his default and where, within thirty calendar days of the sending (submitting) date of the reminder:

1) the debt is not settled and (or) the deadline for the repayment is not extended; or

2) the data subject does not contest the debt on compelling grounds.

4. The data controller may not process special categories of personal data.

5. Consolidated files may not be combined with personal data from other personal data files which have been compiled and are processed for purposes other than evaluation of solvency and debt management.

6. The data controller processing consolidated files, upon receiving debtors’ data from the data controller referred to in paragraph 2 of this Article, must provide each data subject with the following information (unless the data subject already has such information):

1) his (the data controller’s) and his representative’s, if any, requisites and address of registered office;

2) the purposes of the processing data subject’s personal data;

3) the sources and the type of the data subject’s data which have been collected, the recipient and the purposes for which the data are being disclosed, the existence of the data subject's right of access to his personal data and his right to request rectification of incorrect, inaccurate and incomplete personal data.

7. The data about the default of data subject on a timely and proper fulfilment of his financial and (or) property obligations may not be processed for a period longer than ten years from the date of settlement of the debt. Where the data subject repays his debt, data controllers must ensure that during the processing data about the data subject's default on timely and proper fulfilment of his financial and (or) property obligations the following information is specified:

1) settlement of the debt by the data subject;

2) the date of the debt settlement.

Article 22. Processing of Data about the Rendered Financial Services Connected to Risk Acceptance for the Purpose of Solvency Evaluation

1. Banks and other credit institutions as well as financial undertakings engaged in credit and (or) financial activities may disclose to each other the data subjects’ to whom these banks and other credit institutions as well as financial undertakings, who are engaged with credit and (or) financial activities, have rendered or intend to render financial services concerning the acceptance of the risk (as it is laid down in the Law on Financial Institutions) (hereinafter – services) and the data subjects’, providing security of obligations of the above mentioned persons’ to the above mentioned institutions and undertakings, personal data (name, surname, personal identification number (data of identity document if personal identification number is not given), the type and the amount of the requested and denied financial obligations, the types, the amount and the terms of performance of existing financial obligations, data about the performance of these obligations as well as data about previous financial obligations and their performance) for the purposes of evaluation of solvency on the condition that the data subjects have given their consent.

2. Banks and other credit institutions as well as financial undertakings engaged in credit and(or) financial activities may obtain personal data on the conditions and the extent of paragraph 1 of this Article only when the data subject:

1) applies to these institutions and undertakings for the services or for the security of financial obligations;

2) has received services from these institutions and undertaking or has given security for the financial obligations and it is necessary to evaluate the existence of the risk for the proper fulfilment of the undertaken obligations.

3. Banks and other credit institutions as well as financial undertakings engaged with credit and (or) financial activities shall ensure the received data subjects’ data are not:

1) processed for purposes incompatible with the purposes determined before the personal data concerned are collected;

2) stored for a period longer than twelve months, if a negative decision concerning the granting the service is taken.

4. Banks and other credit institutions as well as financial undertakings engaged with credit and (or) financial activities shall ensure that data about the services rendered, performance and proper fulfilment of them are not stored for a period longer than ten years from the date of fulfilment of these obligations, unless laws or legal acts passed on their basis establish otherwise.

CHAPTER FIVE

RIGHTS OF THE DATA SUBJECT

Article 23. Rights of the Data Subject

1. The data subject, in accordance with the procedure laid down in this Law, shall have the right:

1) to know (be informed) about the processing of his personal data;

2) to have an access to his personal data and to be informed of how they are processed;

3) to request rectification or destruction of his personal data or suspension of further processing of his personal data, with the exception of storage, where the data are processed not in compliance with the provisions of this Law and other laws;

4) to object against the processing of his personal data.

2. The data controller must provide the data subject with the conditions for exercising the rights laid down in this Article, with the exception of cases laid down in laws when it is necessary to ensure:

1) state security or defence;

2) public order and prevention, investigation, detection and prosecution of criminal offences;

3) important economic or financial interests of the state;

4) prevention, investigation and detection of violations of official or professional ethics;

5) protection of the rights and freedoms of the data subject or other persons.

3. The data controller must justify the refusal to grant the request of the data subject to exercise the rights granted to the data subject by this Law. Having received a request from the data subject, the data controller must reply him within thirty calendar days of the date of data subject’s application. Where the request of the data subject is written, the data controller’s reply must also be written.

4. The data subject may appeal against acts (omissions) of the data controller to the State Data Protection Inspectorate within three months of receipt of the reply from the data controller or within three months of the date when the time period for giving a reply referred to in paragraph 3 of this Article expires. The acts (omissions) of the State Data Protection Inspectorate may be appealed against in the court in accordance with the procedure laid down in laws.

Article 24. Informing the Data Subject about the Processing of Data Relating to Him

1. The data controller must provide the data subject from whom data relating him are collected directly, with the following information, except where the data subject already has it:

1) the identity and permanent place of residence of himself (the data controller) and his representative, if any (where the data controller or his representative is a natural person), or requisites and the address of registered office (where the data controller or its representative is a legal person);

2) the purposes of the processing of the data subject’s personal data;

3) other additional information (the recipient and the purposes of disclosure of the data subject’s personal data; particular personal data that the data subject must provide and the consequences of his failure to provide the data, the right of the data subject to have an access to his personal data and the right to request for rectification of incorrect, incomplete and inaccurate personal data) in the extent that is necessary for ensuring fair processing of personal data without infringing upon the data subject’s rights.

2. Where the data controller obtains personal data not from the data subject, he must inform the data subject about that before the start of personal data processing or, if he intends to disclose the data to third parties, he must inform the data subject about that no later than by the moment when the data are disclosed for the first time, except in the cases where laws or other legal acts determine the procedure for collection or disclosure of such data and data recipients. In such case, the data controller must provide the data subject with the following information, except where the data subject already has it:

1) the identity of himself (the data controller) and his representative, if any; his permanent place of residence (where the data controller or his representative is a natural person); or requisites and address of registered office (where the data controller or its representative is a legal person);

2) the purposes of the processing or the intended processing of the data subject’s personal data;

3) other additional information (the sources and the type of the data subject’s personal data which are or will be collected; the recipient of the data subject’s personal data and the purposes of the disclosure; the date subject’s right to have access to his personal data and his right to request rectification of incorrect, incomplete and inaccurate personal data to the extent necessary to ensure fair processing of personal data without infringing upon the rights of data subjects.

3. When the data controller collects or intends to collect personal data from the data subject and processes or intends to process the data for the purposes of direct marketing, before disclosing data subject’s data he must inform the data subject about the recipient of his personal data and the purposes for which his personal data will be disclosed.

4. Paragraph 2 of this Article shall not be applicable to the processing of personal data for the statistical, historical or scientific research purposes, where the disclosure of such information is impossible or too complicated (owing to a large number of data recipients, the outdated character of the data and excessively large expenses) or where the procedure for collecting and disclosing of data is laid down in laws. The data controller must duly notify the State Data Protection Inspectorate about that in accordance with the procedure laid down in Article 33 of this Law. The State Data Protection Inspectorate must carry out a prior checking.

Article 25. Data Subject’s Right of Access to His Personal Data

1. The data subject presenting to the data controller or the data processor a document certifying his identity shall have the right to obtain information on the sources and the type of his personal data that has been collected, the purpose of their processing and the data recipients to whom the data are disclosed or have been disclosed for at least the last year.

2. Having received an enquiry from the data subject concerning the processing of his personal data, the data controller must reply to data subject whether personal data relating to him are processed, and disclose to the data subject the requested data no later than within thirty calendar days of the date of the data subject’s enquiry. On a request of a data subject, such data must be disclosed in writing. Once a calendar year the data controller shall disclose such data to the data subject free of charge. When such data are disclosed for a fee, the amount of the fee shall not exceed the cost of disclosure of the data. The procedure governing the fee for disclosure of data shall be determined by the Government.

Article 26. Data Subject’s Right to Request Rectification, Destruction or Suspension of Further Processing of His Personal Data

1. Where the data subject, after familiarizing with his personal data, finds that his personal data are incorrect, incomplete and inaccurate and applies to the data controller, the latter must check the personal data concerned without delay and, at a written, oral or any other request of the data subject, rectify the incorrect, incomplete and inaccurate personal data and (or) suspend processing of such personal data, except storage, without delay.

2. Where the data subject, after familiarizing with his personal data, finds that his personal data are processed unlawfully and unfairly and applies to the data controller, the latter must check without delay and free of charge the lawfulness and fairness of the processing of personal data and, at a written request of the data subject, destroy the personal data collected unlawfully and unfairly or suspend processing of such personal data, except storage, without delay.

3. When, at the data subject’s request, processing of his (her) personal data are suspended, the personal data concerned must be stored until they are rectified or destroyed either at the data subject’s request or upon expiry of their storage period. Other processing operations of such personal data may be performed solely:

1) for the purpose of giving proof of the existence of circumstances due to which processing of the data was suspended;

2) where the data subject gives his consent for further processing of his personal data;

3) where the rights or legitimate interests of third parties have to be protected.

4. The data controller must notify the data subject of the performed or not performed rectification, destruction or suspension of processing of personal data at the data subject’s request without delay.

5. Personal data shall be rectified and destroyed or their processing shall be suspended at the data subject’s request on the basis of documents confirming his identity and his personal data.

6. If the data controller questions the correctness of personal data provided by the data subject, he must suspend processing of, check and update such personal data. Such personal data may be used solely for the purpose of checking their correctness.

7. The data controller must inform data recipients of the rectification, destruction or suspension of processing of the data subject’s personal data at the request of the data subject without delay, except if the disclosure of such information is impossible or too complicated (owing to a large number of data subjects, the period covered by the data, and excessively large expenses). If such is the case, the State Data Protection Inspectorate must be notified without delay.

Article 27. Data Subject’s Right to Withhold His Consent to the Processing of His Personal Data

1. In the cases referred to in subparagraphs 1(5) and 1(6) of Article 5 of this Law, and when the data are or are intended to be processed for the purposes of direct marketing, the data controller must inform the data subject about his right to object to the processing of his personal data.

2. In the cases laid down in subparagraphs 1(5) and 1(6) of Article 5 of this Law, the data subject shall have the right to object (in writing, orally or in any other form) to the processing of his personal data. Where the objection of the data subject is legally motivated, the data controller must suspend processing of his personal data, except in the cases laid down in laws, without delay and free of charge, and duly notify the data recipients.

3. The data subject shall have the right to object to the processing of his personal data without giving the motives for such objection where the data are or are intended to be processed for the purposes of direct marketing. In this case, the data controller must suspend processing of personal data, except in the cases laid down in laws, without delay and free of charge, and duly notify the data recipients.

4. At the data subject’s request, the data controller must notify the data subject about suspension of or refusal to suspend the processing of personal data.

Article 28. Evaluation of Personal Aspects by Automatic Means

1. No decision may be taken in respect of the data subject’s personal aspects (his creditworthiness, reliability, ability to work, etc.) where such aspects have been evaluated only by automatic means, where such a decision might have legal consequences for the data subject or affect him in other way, with the exception of the following cases:

1) the decision is taken in accordance with the procedure laid down in laws, where laws provide measures for the protection the data subject’s legitimate interests;

2) the decision is taken when concluding or performing a contract, provided that the data subject’s request to conclude or perform a contract has been granted;

3) the decision is taken when concluding or performing a contract, provided that appropriate measures have been implemented for the protection of the data subject’s legitimate interests, e.g. a procedure allowing the data subject to express his opinion is established.

2. Before starting an evaluation of personal aspects of the data subject by automatic means, the data controller must provide the data subject with the conditions to access evaluation criteria and principles determined by the data controller.

3. Where, following an evaluation of the data subject’s personal aspects by the data controller by automatic means, the data subject disagrees with the evaluation, he shall have the right to express his opinion about the evaluation of his personal aspects. The data controller must take the data subject’s opinion into account and, if necessary, repeat the evaluation by other than automatic means.

Article 29. Assistance to the Data Subject to Exercise His Right of Access to His Personal Data

1. The State Data Protection Inspectorate shall assist the data subject in exercising his right of access to his personal data.

2. The data subject, applying to the State Data Protection Inspectorate and presenting a document certifying his identity, shall have the right to request State Data Protection Inspectorate to collect his personal data or information on the processing of his personal data from the registered data controllers and to make the collected data or information available to him. When the data subject applies to the State Data Protection Inspectorate by electronic means, his request must be signed with a secure electronic signature. The reply to such a request shall be sent by electronic mail or, at the data subject’s request, by post to the address specified in the request or shall be hand-delivered. The reply sent by electronic mail must be signed with a secure electronic signature. The State Data Protection Inspectorate must reply to the data subject’s request within thirty calendar days.

3. When providing the data subject with the assistance referred to in paragraph 2 of this Article, the State Data Protection Inspectorate shall not have the right to collect the data defined in the Law on State and Official Secrets, which constitute classified information.

4. The levy of the size determined by the Government shall be taken for the assistance to the data subject referred to in paragraph 2 of this Article.

5. Having received from the State Data Protection Inspectorate an inquiry for the implementation of the right of a particular data subject to have an access to his personal data, data controllers registered in the State Register of Personal Data Controllers shall reply to the State Data Protection Inspectorate within fifteen calendar days, in accordance with the procedure established by the latter (specifying the personal data requested by the data subject or giving information of processing of his personal data, or indicating that personal data of data subject are not processed).

6. Data controllers must ensure security, confidentiality, integrity and accessibility of the data subjects’ data, received from and disclosed to the State Data Protection Inspectorate.

CHAPTER SIX

SECURITY OF DATA

Article 30. Security of Data

1. The data controller and data processor must implement appropriate organisational and technical measures intended for the protection of personal data against accidental or unlawful destruction, alteration and disclosure as well as against any other unlawful processing. These measures must ensure a level of security appropriate to the nature of the personal data to be protected and the risks represented by the processing and must be defined in a written document (personal data processing regulations approved by the data controller, a contract concluded by the data controller and the data processor, etc.).

2. The State Data Protection Inspectorate shall lay down the general requirements on the organisational and technical data protection measures.

3. The data controller shall process personal data himself and (or) shall authorise a data processor. Where the data controller authorises a data processor to process personal data, he must choose a data processor providing guarantees in respect of adequate technical and organisational data protection measures and ensuring compliance with those measures.

4. When authorising the data processor to process personal data, the data controller shall establish that personal data are processed only in accordance with the data controller’s instructions.

5. The relations between the data controller and the data processor who is not the data controller must be regulated by a written contract, except where such relations are regulated by laws or other legal acts.

6. Employees of the data controller, the data processor and their representatives, who process personal data must keep confidentiality of personal data, if such personal data are not intended for public disclosure. This obligation shall continue after leaving the public service, transfer to another position or expiry of employment or contractual relations.

7. Printed written information notifications about the services rendered to data subjects (natural persons), the obligations of data subjects (natural persons), performance of contracts with data subjects (natural persons), accounts, salary slips meant by the employer to the employee, individual proposals of commercial character for data subjects (natural persons), the contents of which contains personal data of data subjects, including, but not limiting, the data concerning the person’s name and surname, place of residence, taxes paid or not paid, fiscal code or tax reference number, number of settlement book, sent or disclosed to the data subjects (natural persons) must be disclosed in a closed form on which may be only information necessary for postal services and the contents of notifications may be visible only to the data subject (natural person), who is the addressee of the notification or, with his consent, to a third person, when opening or unpacking the disclosed notification. These provisions shall not apply where the notifications concerned are delivered to data subjects of personal data (natural persons) by hand and in confidence.

8. The data controllers and persons on whose order written information notifications referred to in paragraph 7 of this Article are delivered shall be responsible for proper implementation of the requirements indicated in paragraph 7 of this Article.

CHAPTER SEVEN

REGISTRATION OF DATA CONTROLLERS

Article 31. Notification of Data Processing

Personal data may be processed by automatic means only when the data controller or his representative (pursuant to Article 1(3)(3) of this Law) in accordance with the procedure established by the Government notifies the State Data Protection Inspectorate, except when personal data are processed:

1) for the purposes of internal administration;

2) for political, philosophical, religious or trade union-related purposes by a foundation, association or any other non-profit organisation on condition that the personal data processed relate solely to the members of such organisation or to other persons who regularly participate in it’s activities in connection with the purposes of such organization;

3) in the cases laid down in Article 8 of this Law;

4) in accordance with the procedure laid down in the Law on State Secrets and Official Secrets.

Article 32. Person or Unit Responsible for Data Protection

1. The data controller shall have the right to designate person or unit to be responsible for data protection.

2. The person or unit responsible for data protection shall:

1) make public the processing of personal data actions carried out by the data controller in accordance with the procedure established by the Government;

2) supervise as to whether personal data are processed in compliance with the provisions of this Law and other legal acts on data protection;

3) initiate the preparation of the notifications to the State Data Protection Inspectorate of the existence of circumstances specified in Article 33(1) of this Law;

4) monitor the processing of personal data carried out by the data controller’s employees;

5) present proposals, findings to the data controller regarding establishment of data protection and data processing measures and supervise implementation and use of these measures;

6) undertake measures to eliminate any violations in the processing of personal data without delay;

7) instruct employees authorised to process personal data on the provisions of this Law and other legal acts on personal data protection;

8) initiate the preparation of applications to the State Data Protection Inspectorate of the inquiries regarding processing and protection of personal data;

9) assist the data subjects in exercising their rights;

10) notify the State Data Protection Inspectorate in writing upon finding that the data controller processes personal data violating the provisions of this Law and other legal acts on data protection and refuses to rectify these violations.

3. The data controller must provide the person or unit responsible for data protection with complete information about the planned data processing and the intended use of automatic means of data processing, and set a reasonable term to present an opinion on the intended personal data processing.

4. The data controller must provide the person or unit responsible for data protection with the conditions to perform their functions specified in this Article independently.

5. The data controller must notify the State Data Protection Inspectorate of appointment or withdrawal of the person or unit responsible for data protection within thirty calendar days.

Article 33. Prior Checking

1. The State Data Protection Inspectorate shall carry out prior checking in the following cases:

1) where the data controller intends to process special categories of personal data by automatic means, except where the processing is carried out for the purposes of internal administration or in the cases laid down in Articles 5(2)(6) and 5(2)(7) of this Law;

2) where the data controller intends to process public data files by automatic means, unless laws and other legal acts lay down a procedure for the disclosure of data;

3) where the data controller of state or institutional registers or information systems of state and municipal institutions intends to authorise the data processor to process personal data, except in the cases where laws and other legal acts establish the right of the data controller to authorise a particular data processor to process personal data or where the data processor is a legal person established by the data controller;

4) in the cases laid down in Articles 10(3), 12(1), 21(2) and 24(4) of this Law.

2. The data controller must notify the State Data Protection Inspectorate, according to the procedure established by the latter, of the cases referred to in paragraph 1 of this Article. Such data processing may be carried out only if an authorisation has been granted by the State Data Protection Inspectorate. The State Data Protection Inspectorate must carry out prior checking in accordance with the procedure established by the State Data Protection Inspectorate and grant or refuse to grant an authorisation to the data controller to carry out personal data processing within two months of the date of receipt of the notification, except in cases where due to the complexity of the circumstances referred to in the notification, the extent of information or other relevant circumstances, the period of examination of the notification must be extended. In such cases the period of examination of the notification shall be extended but for not longer than one month, notifying the data controller about that. A decision of the State Data Protection Inspectorate to refuse an authorisation to the data controller to carry out data processing actions may be appealed against in accordance with the procedure laid down in laws.

Article 34. Registration of Data Controllers

1. Data controllers shall be registered in the State Register of Personal Data Controllers.

2. The State Register of Personal Data Controllers shall be administered by the State Data Protection Inspectorate.

CHAPTER EIGHT

TRANSFER OF PERSONAL DATA TO DATA RECIPIENTS IN FOREIGN COUNTRIES

Article 35. Transfer of Personal Data to Data Recipients in Foreign Countries

1. Personal data to data recipients in the European Union Member States or other countries of the European Economic Area shall be transferred on the same conditions and in accordance with the same procedure as that applicable to data recipients in the Republic of Lithuania.

2. Transfer of personal data to data recipients in third countries shall be subject to an authorisation from the State Data Protection Inspectorate, except in the cases referred to in paragraph 5 of this Article.

3. The State Data Protection Inspectorate shall grant or refuse to grant an authorisation for transfer of personal data to third countries no later than within two months from the date of the receipt of the application for the authorisation by the data controller. An authorisation shall be granted provided that there is an adequate level of legal protection of personal data in these countries. The level of legal protection of personal data shall be assessed by considering all circumstances related to transfer of data particularly the laws and other legal acts or acts prepared by the data controller on legal protection of personal data in force in the third country of destination, the nature of the data to be transferred, methods, purposes and duration of the data processing and safeguards applicable in the country concerned.

4. The State Data Protection Inspectorate may grant an authorisation to transfer personal data to a third country which cannot guarantee an adequate level of legal protection of personal data on condition that the data controller has established adequate data protection safeguards for the protection of an individual’s right to private life and the protection and exercise of other rights of the data subject. Such safeguards must be stipulated in the contract on the transfer of personal data to a third country or in other document concluded in writing.

5. Without an authorisation of the State Data Protection Inspectorate, personal data shall be transferred to a third country or to an international law enforcement organisation only if:

1) the data subject has given his consent for the transfer of his personal data;

2) the transfer of personal data is necessary for the conclusion or performance of a contract between the data controller and a third party in the interests of the data subject;

3) the transfer of personal data is necessary for the performance of a contract between the data controller and the data subject or for the implementation of pre-contractual measures to be taken in response to the data subject’s request;

4) the transfer of personal data is necessary (or required by laws) for important public interests or for the purpose of legal proceedings;

5) the transfer is necessary for the protection of vital interests of the data subject;

6) the transfer is necessary for the prevention or investigation of criminal offences;

7) personal data are transferred from a public data file in accordance with the procedure laid down in laws and other legal acts.

CHAPTER NINE

MONITORING OF IMPLEMENTATION OF THIS LAW

Article 36. Supervisory Authority and its Legal Status

1. The implementation of this Law, with the exception of Article 8, shall be supervised and monitored by the State Data Protection Inspectorate. The State Data Protection Inspectorate shall be a Government institution financed from the State budget. It shall be accountable to the Government. The regulations of the State Data Protection Inspectorate shall be approved by the Government.

2. The State Data Protection Inspectorate shall be a public legal person with its own bank account and a seal with the coat of arms of the Republic of Lithuania and its name.

3. The key objectives of the State Data Protection Inspectorate shall be supervision of data controllers activities when processing personal data, monitoring the legality of personal data processing, prevention of violations in data processing and ensuring protection of the rights of the data subject.

4. The State Data Protection Inspectorate shall have no right to monitor processing of personal data in courts.

Article 37. Legal Grounds and Principles of the Activities of the State Data Protection Inspectorate

1. In its activities, the State Data Protection Inspectorate shall be guided by the Constitution of the Republic of Lithuania, international agreements to which the Republic of Lithuania is a party, this Law and other laws and legal acts.

2. Activities of the State Data Protection Inspectorate shall be based on the principles of legality, impartiality, publicity and professionalism in the discharge of its functions. When discharging its functions established by this Law and making decisions related to the discharge of the functions established by this Law, the State Data Protection Inspectorate shall be independent. Its rights may be restricted only by law.

3. State and municipal institutions and agencies, members of the Seimas, other officials, political parties, public organisations, other legal and natural persons shall have no right to exert any kind of political, economic, psychological or social pressure or other illegal influence on the director of the State Data Protection Inspectorate, civil servants and employees employed under labour contracts. Interference with the activities of the State Data Protection Inspectorate shall entail liability in accordance with laws.

Article 38. Status of the Director of the State Data Protection Inspectorate

1. The Sate Data Protection Inspectorate shall be headed by the Director of the State Data Protection Inspectorate.

2. The Director of the State Data Protection Inspectorate shall be a civil servant, the head of the institution, taken into service through competition for the period of office of five years and shall be dismissed by the Prime Minister in accordance with the procedure established in the Law on Civil Service. A person may be appointed to the post of the Director of the State Data Protection Inspectorate for not more than two periods of office.

3. The Director of the State Data Protection Inspectorate shall suspend his membership in a political party for his period of office.

4.In addition to this Law, legal status of the Director of the State Data Protection Inspectorate shall be established by the Law on Civil Service.

Article 39. Deputy Directors of the State Data Protection Inspectorate

1. The Director of the State Data Protection Inspectorate shall have deputies.

2. Deputy Directors shall be taken into service by the Director of the State Data Protection Inspectorate in accordance with the procedure established in the Law on Civil Service.

3. In the absence of the Director of the State Data Protection Inspectorate, he shall, shall be substituted by one of his deputies, who shall temporarily discharge his functions.

Article 40. Functions of the State Data Protection Inspectorate

The State Data Protection Inspectorate shall:

1) administer the State Register of Personal Data Controllers, make its data public and supervise activities of data controllers relating to the processing of personal data;

2) examine requests of persons in accordance with the procedure laid down in the Law on Public Administration;

3) examine complaints and notifications of persons (hereinafter - complaints) in accordance with the procedure laid down in this Law;

4) check the legality of personal data processing and make decisions concerning violations in personal data processing;

5) grant authorisations to data controllers to transfer personal data to data recipients in third countries;

6) draw up and announce annual reports on its activities;

7) consult data controllers and draw up methodological recommendations on the protection of personal data and make them public on the Internet;

8) in accordance with the procedure laid down in laws, assist to data subjects residing abroad;

9) in the cases laid down in laws provide other countries with information about legal acts of the Republic of Lithuania on the data protection and practice of their administration;

10) in the cases laid down in this Law, carry out a prior checking and give conclusions to the data controller on the intended data processing;

11) cooperate with foreign institutions in charge of protection of personal data, the European Union institutions, agencies and international organisations and take part in their activities;

12) implement provisions of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No. 108);

13) give proposals to the Seimas, the Government, other state and municipal institutions and agencies for the drafting, amending and repealing of laws or other legal acts provided that their provisions concern issues falling within the competence of the State Data Protection Inspectorate;

14) assess personal data processing rules presented by data controllers;

15) discharge other functions established by this Law and other laws.

Article 41. Rights of the State Data Protection Inspectorate

The State Data Protection Inspectorate shall have the right:

1) to obtain, free of charge, from state and municipal institutions and agencies and other legal and natural persons all necessary information, copies and transcripts of documents, copies of data and access to all data and documents necessary for the discharge of its functions of supervision of personal data processing;

2) to obtain access, subject to a prior notice in writing, or without a prior notice where the lawfulness of personal data processing is to be checked in response to a complaint, to premises of the person being checked (including to premises leased or used on other basis), or to the territory where the documents and facilities related with the personal data processing are kept. Access to the territory, buildings and premises of the legal person (including to buildings and premises leased or used on any other basis), shall be permitted only during office hours of the legal person being checked upon presenting a certificate of civil servant. Access to residential premises (including premises leased or used on any other basis) of a natural person being checked, where documents and facilities related with the personal data processing are kept shall be permitted only upon producing a court order warranting entry into the residential premises;

3) to attend sessions of the Seimas and meetings of the Government and other state institutions when their agenda include issues related to data protection;

4) to invite experts (consultants) and form work groups for examination of data processing or data protection, for the drafting of documents on data protection and for making decisions on other issues falling within the competence of the State Data Protection Inspectorate;

5) to make recommendations and give instructions to data controllers on personal data processing and protection issues;

6) to draw up records of administrative offences in accordance with the procedure laid down in laws;

7) to exchange information with personal data supervisory authorities in other countries and with international organisations to the extent necessary for the discharge of their duties;

8) to take part in legal proceedings concerning violations of the provisions of international and national law on personal data protection;

9) to use photographic, video and audio recording equipment in gathering evidence during the check of lawfulness of personal data processing;

10) to exercise other rights laid down in laws and other legal acts.

CHAPTER TEN

ACCEPTABILITY AND INVESTIGATION OF COMPLAINTS

Article 42. Lodging of Complaints

1. A person shall have the right to lodge a complaint with the State Data Protection Inspectorate against acts (omissions) of the data controller violating the provisions of this Law.

2. The State Data Protection Inspectorate shall also investigate persons’ complaints transmitted to it by other institutions.

3. Complaints shall generally be lodged in writing, including electronic format. Documents lodged by electronic means must be signed with a secure electronic signature. Having received an oral complaint or if the State Data Protection Inspectorate has established the existence of elements constituting a violation of this Law from mass media and (or) other sources, , the State Data Protection Inspectorate may initiate an investigation on its own.

4. Oral or written enquires by persons asking for explanations, information or documents and not complaining of acts (omissions) by data controllers shall not be considered complaints.

Article 43. Complaint Requirements

1. The complaint shall contain the following information:

1) addressee - the State Data Protection Inspectorate;

2) full name and address of the complainant and, at the complainant’s choice, his telephone number or electronic mail address;

3) name of the complainer (data controller) and address of its registered office or his residence, or address of the place where data are processed;

4) description, time and circumstances of the act (omission) complained about;

5) the complainant’s application to the State Data Protection Inspectorate;

6) date of the complaint and the complainant’s signature.

2. The complaint may be covered with the evidence available or a description of them.

3. A failure to keep to the format of a complaint referred to in paragraph 1 of this Article or give requisites shall not be the basis for refusal to investigate the complaint.

Article 44. Anonymous Complaints

Anonymous complaints shall not be investigated, unless the Director of the State Data Protection Inspectorate decides otherwise.

Article 45. Refusal to Investigate a Complaint

1. The State Data Protection Inspectorate shall take a decision to refuse to investigate the complaint within five working days of the date of receipt of the complaint and notify the data subject, provided that:

1) the investigation of the circumstances referred to in a complaint falls outside the competence of the State Data Protection Inspectorate;

2) the complaint on the issue has already been investigated by the State Data Protection Inspectorate, except the cases when new circumstances are referred to or new facts are submitted;

3) a complaint on the issue has been investigated or is under investigation in court;

4) a procedural decision to start a pre-trial investigation of the subject of the complaint has already been made;

5) the text of the complaint is unreadable.

2. If a decision to refuse to investigate the complaint is taken, the reasons for the refusal must be specified.

3. Where the complaint falls outside the competence of the State Data Protection Inspectorate, the State Data Protection Inspectorate shall, within the period referred to in paragraph 1 of this Article, transmit the complaint to the institution with the required competence and notify the complainant about that. Where the competent institution is a court, the complaint shall be sent back to complainant with the relevant information.

Article 46. Dismiss of Investigation of a Complaint

1. The State Data Protection Inspectorate shall dismiss the investigation of the complaint, provided that the complainant’s request for the dismissal of investigation of the complaint is received. The State Data Protection Inspectorate may initiate an investigation on its own.

2. The investigation of the complaint shall be dismissed provided that the circumstances referred to in Article 45(1) occur during the investigation or in other cases laid down in this Law.

Article 47. Request for Additional Information from the Complainant

1. The request for documents and information necessary for the investigation of the complaint from the complainant must be lawful and motivated.

2. The complainant shall deliver the documents and information requested by the State Data Protection Inspectorate within the period specified in the request. The documents and information from the complainant may be requested repeatedly only in exceptional cases and with due justification of the necessity of these documents and information.

3. Where the complainant fails to deliver documents and information requested by the State Data Protection Inspectorate and the investigation without these documents and information is impossible, the complaint shall not be investigated.

Article 48. Receipt of a Complaint

Receipt of the complaint shall be confirmed by a letter of the State Data Protection Inspectorate. The letter shall indicate the date of receipt of the complaint, the name and telephone number of the civil servant of the State Data Protection Inspectorate investigating the complaint, and the reference number of the complaint. The letter confirming receipt of the complaint shall be hand-delivered to the complainant or sent to him by post or electronic mail no later than within three working days.

Article 49. Complaint’s Investigation Periods

A complaint must be investigated and a reply to the complainant given within two months of the date of receipt of the complaint, unless the investigation requires a longer period owing to the complexity of circumstances indicated in the complaint, plenitude of information or continuous character of actions complained about. In such cases, the period of investigation shall be extended but for not longer than two months. The entire period of investigation of a complaint may not be longer than four months. The complainant shall be informed of the decision of the State Data Protection Inspectorate to extend the period of investigation of the complaint. Complaints must be investigated in the shortest possible period.

Article 50. Binding Requirements of the State Data Protection Inspectorate

At the request of the State Data Protection Inspectorate, data controllers and other legal and natural persons must immediately deliver information, copies and transcripts of documents, copies of data, and to give access to all data, facilities related with the processing of personal data, and documents necessary for the discharge of its function of supervision of personal data processing.

Article 51. Investigation of Complaint and Decisions of the State Data Protection Inspectorate

1. Upon completion of an investigation, the State Data Protection Inspectorate shall make a motivated decision:

1) to admit the complaint as justified;

2) to reject the complaint;

3) to dismiss the investigation of the complaint.

2. The decision shall be signed by the Director of the State Data Protection Inspectorate

3. The Decisions of the State Data Protection Inspectorate may be appealed against in a court in accordance with the procedure laid down in laws.

Article 52. Obligation not to Disclose Secrets or Data Protected by Laws of the Republic of Lithuania

The Director of the State Data Protection Inspectorate, civil servants and other employees of the State Data Protection Inspectorate employed under labour contracts must keep state, official, professional, commercial (trade), bank and other secrets and personal data protected by laws, which they learned in the course of their official duties, in secret.

CHAPTER ELEVEN

LIABILITY

Article 53. Liability for Violation of this Law

Violations of this Law shall render data controllers, data processors and other persons liable under the laws.

Article 54. Compensation for Pecuniary and non-Pecuniary Damage

1. Any person who has sustained damage as a result of unlawful processing of personal data or any other acts (omissions) by the data controller, the data processor or other persons, violating the provisions of this Law shall be entitled to claim compensation for pecuniary and non-pecuniary damage caused to him.

2. The extent of pecuniary and non-pecuniary damage shall be determined by a court.”

Annex to the Law of the Republic of Lithuania

on Legal Protection of Personal Data

IMPLEMENTED LEGAL ACTS OF THE EUROPEAN UNION

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 2004 Special Edition, 13 Chapter, 15 volume, p. 355).”

Article 2. Entry into Force and Implementation of the Law

1. This Law, with the exception of part 2 of this Article, shall enter into force on 1 January 2009.

2. The Government and the State Data Protection Inspectorate shall adopt legal acts necessary for the implementation of his Law by 1 January 2009.

3. Data controllers who, upon entry of this Law into force, continue to process, for the purposes referred to in Article 10 of the Law on Legal Protection of Personal Data, special categories of personal data related to health by automatic means, must notify the State Data Protection Inspectorate in accordance with the procedure laid down in Article 31 and 33 of the Law on Legal Protection of Personal Data referred to in Article 1 of this Law no later than within two years of the date of entry of this Law into force. This notification by the data controllers shall not suspend or terminate personal data processing operations unless the State Data Protection Inspectorate decides otherwise.

4. The Director of the State Data Protection Inspectorate taken into service before the entry into force of this Law shall, with his consent, hold the office after the entry into force of this Law. The period of office of the Director of the State Data Protection Inspectorate shall start to count from the date of entry into force of this Law.

I promulgate this Law passed by the Seimas of the Republic of Lithuania

PRESIDENT OF THE REPUBLIC VALDAS ADAMKUS

 
Download PDF open_in_new
 1996 m. birželio 11 d. Asmens duomenų teisinės apsaugos įstatymas Nr. I-1374 (su paskutiniais pakeitimais, padarytais 2011 m. gegužės 12 d. įstatymu Nr. XI-1372)

Įstatymas skelbtas: Žin., 1996, Nr. 63-1479 Neoficialus įstatymo tekstas

LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS

ĮSTATYMAS

1996 m. birželio 11 d. Nr. I-1374 Vilnius

Nauja įstatymo redakcija nuo 2009 m. sausio 1 d.: Nr. X-1444, 2008-02-01, Žin., 2008, Nr. 22-804 (2008-02-22)

PIRMASIS SKIRSNIS BENDROSIOS NUOSTATOS

1 straipsnis. Įstatymo tikslas, paskirtis ir taikymo sritis 1. Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę

tvarkant asmens duomenis. 2. Šis įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis

automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus ir kita. Įstatymas nustato fizinių asmenų, kaip duomenų subjektų, teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

3. Šis įstatymas taikomas asmens duomenų tvarkymui, kai: 1) asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis

Lietuvos Respublikos teritorijoje. Kai asmens duomenis tvarko Europos Sąjungos valstybės narės ar kitos Europos ekonominės erdvės valstybės duomenų valdytojo filialas arba atstovybė, įsteigti ir veikiantys Lietuvos Respublikoje, jiems taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui;

2) asmens duomenis tvarko duomenų valdytojas, įsteigtas ne Lietuvos Respublikos teritorijoje, kuriam taikomi Lietuvos Respublikos įstatymai pagal tarptautinę viešąją teisę (įskaitant diplomatines atstovybes, konsulines įstaigas);

3) asmens duomenis tvarko duomenų valdytojas, kuris yra įsteigtas ir veikia valstybėje, kuri nėra Europos Sąjungos valstybė narė ar kita Europos ekonominės erdvės valstybė (toliau – trečioji valstybė), bet naudoja Lietuvos Respublikoje esančias asmens duomenų tvarkymo priemones, išskyrus atvejus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Lietuvos Respublikos, Europos Sąjungos ar kitos Europos ekonominės erdvės valstybės teritoriją. Šiame punkte nurodytu atveju duomenų valdytojas privalo turėti atstovą – įsteigtą filialą arba atstovybę Lietuvos Respublikoje, kuriam taikomos šio įstatymo nuostatos, skirtos duomenų valdytojui.

4. Šis įstatymas netaikomas, jeigu asmens duomenis tvarko fizinis asmuo ir tik asmeniniams poreikiams, nesusijusiems su verslu ar profesija, tenkinti.

5. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais, šis įstatymas taikomas tiek, kiek kiti įstatymai nenustato kitaip.

6. Šis įstatymas nevaržo ir nedraudžia laisvo asmens duomenų judėjimo, kai vykdomi Lietuvos Respublikos narystės Europos Sąjungoje įsipareigojimai.

7. Šiuo įstatymu Lietuvos Respublikos asmens duomenų teisinės apsaugos teisinis reglamentavimas suderintas su Europos Sąjungos teisės aktais, nurodytais šio įstatymo priede. Straipsnis papildomas nauja 5 dalimi, buvusios 5, 6 ir 7 dalys laikomos atitinkamai 6, 7 ir 8 dalimis nuo 2011 m. rugsėjo 1 d.:

5. Šis įstatymas netaikomas mirusių asmenų asmens duomenų tvarkymui. 6. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais, šis įstatymas

taikomas tiek, kiek kiti įstatymai nenustato kitaip.

7. Šis įstatymas nevaržo ir nedraudžia laisvo asmens duomenų judėjimo, kai vykdomi Lietuvos Respublikos narystės Europos Sąjungoje įsipareigojimai.

8. Šiuo įstatymu Lietuvos Respublikos asmens duomenų teisinės apsaugos teisinis reglamentavimas suderintas su Europos Sąjungos teisės aktais, nurodytais šio įstatymo priede. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

2 straipsnio redakcija iki 2011 m. rugsėjo 1 d.: 2 straipsnis. Pagrindinės šio įstatymo sąvokos 1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų

subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 36 straipsniuose, kitos valstybės ir savivaldybių institucijos ir įstaigos nėra duomenų gavėjai, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti.

3. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

4. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

5. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.

6. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.

7. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.

8. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.

9. Išankstinė patikra – numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant šio įstatymo nustatytais atvejais.

10. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

11. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.

12. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

13. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.

14. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

15. Viešoji duomenų rinkmena – valstybės registras ar kita duomenų rinkmena, kurie pagal įstatymus ar kitus teisės aktus skirti teikti informaciją visuomenei ir kuriais visuomenė gali teisėtai naudotis.

16. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje. 2 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.:

2 straipsnis. Pagrindinės šio įstatymo sąvokos 1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų

subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys. Šio įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 36 straipsniuose, kitos valstybės ir savivaldybių institucijos ir įstaigos nėra duomenų gavėjai, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti.

3. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

4. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

5. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.

6. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.

7. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.

8. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.

9. Išankstinė patikra – numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant šio įstatymo nustatytais atvejais.

10. Socialinis ir viešosios nuomonės tyrimas – sisteminis duomenų ir (ar) informacijos apie fizinius ir juridinius asmenis rinkimas ir interpretavimas statistikos, analizės ir kitais socialinių mokslų taikomais metodais siekiant gauti sprendimams priimti reikalingas įžvalgas. Atliekant socialinį ir viešosios nuomonės tyrimą, negali būti vykdoma tiesioginė rinkodara.

11. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.

12. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.

13. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

14. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.

15. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).

16. Vieša duomenų rinkmena – valstybės registras, informacinė sistema ar kita duomenų rinkmena, kurie pagal Lietuvos Respublikos įstatymus ar kitus teisės aktus skirti duomenims, informacijai, dokumentams ir (ar) jų kopijoms teikti asmenims ir kuriais asmenys gali teisėtai naudotis.

17. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.

18. Kredito įstaigos ir finansų įmonės sąvokos suprantamos taip, kaip jos apibrėžtos Finansų įstaigų įstatyme. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

ANTRASIS SKIRSNIS ASMENS DUOMENŲ TVARKYMAS

3 straipsnis. Asmens duomenų tvarkymo reikalavimai 1. Duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų: 1) renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi tikslais,

nesuderinamais su nustatytaisiais prieš renkant asmens duomenis; 2) tvarkomi tiksliai, sąžiningai ir teisėtai; 3) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar

neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas; 4) tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti; 5) saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne

ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi; 1 dalis papildoma 6 punktu nuo 2011 m. rugsėjo 1 d.:

6) tvarkomi pagal šiame ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.

2. Asmens duomenys, surinkti kitais tikslais, gali būti tvarkomi statistikos, istoriniais ar mokslinio tyrimo tikslais tik įstatymų nustatytais atvejais, kai įstatymuose nustatytos tinkamos duomenų apsaugos priemonės. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

4 straipsnis. Asmens duomenų saugojimas ir sunaikinimas Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai.

Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.

5 straipsnis. Asmens duomenų teisėto tvarkymo kriterijai 1. Asmens duomenys gali būti tvarkomi, jeigu: 1) duomenų subjektas duoda sutikimą; 2) sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas; 3) pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis; 4) siekiama apsaugoti duomenų subjekto esminius interesus; 5) įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti

valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys;

6) reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni.

2. Draudžiama tvarkyti ypatingus asmens duomenis, išskyrus atvejus, kai: 1) duomenų subjektas duoda sutikimą; 2) toks tvarkymas yra būtinas darbo ar valstybės tarnybos tikslais duomenų valdytojo

teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų nustatytais atvejais; 3) reikia apsaugoti duomenų subjekto arba kito asmens esminius interesus, kai

duomenų subjektas nepajėgia duoti sutikimo dėl fizinės negalios arba yra neveiksnus; 4) asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno

organizacija politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jei tvarkomi asmens duomenys yra susiję tik su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo;

5) duomenų subjektas asmens duomenis paskelbė viešai; 6) įstatymų nustatytais atvejais būtina užkirsti kelią nusikalstamoms ar kitoms

neteisėtoms veikoms arba būtina jas tirti; 7) jie yra reikalingi bylai nagrinėti teisme; 8) įstatymai įpareigoja duomenų valdytoją tvarkyti tokius duomenis. 3. Duomenys apie asmens sveikatą taip pat gali būti tvarkomi šio įstatymo 10

straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka. 4. Asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar

saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, tyrimą, taip pat kitais įstatymų nustatytais atvejais įstatymų nustatyta tvarka gali tvarkyti tik valstybės institucija ar įstaiga. Kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti įstatymų nustatytais atvejais, kai yra tinkamai įgyvendintos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti. Išsamūs duomenys apie asmenų teistumą gali būti tvarkomi tik Valstybės registrų įstatymo nustatyta tvarka.

6 straipsnis. Asmens duomenų teikimas Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo

ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. 6 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.:

6 straipsnis. Asmens duomenų teikimas Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo

ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninių ryšių priemonėmis. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

7 straipsnis. Asmens kodo naudojimas 1. Asmens kodas – unikali skaitmenų seka. Asmens kodas asmeniui suteikiamas

Gyventojų registro įstatymo nustatyta tvarka.

2. Naudoti asmens kodą, kai tvarkomi asmens duomenys, galima tik gavus duomenų subjekto sutikimą, išskyrus atvejus, nurodytus šio straipsnio 4 ir 5 dalyse, kai asmens kodą naudoti draudžiama.

3. Be duomenų subjekto sutikimo asmens kodą galima naudoti tik: 1) jeigu tokia teisė yra nustatyta šiame ir kituose įstatymuose; 2) atliekant mokslinį arba statistinį tyrimą šio įstatymo 12 ir 13 straipsniuose

nustatytais atvejais; 3) valstybės, žinybiniuose registruose, jeigu jie yra įteisinti Valstybės registrų

įstatymo nustatyta tvarka, ir informacinėse sistemose, jeigu jos yra įteisintos teisės aktų nustatyta tvarka;

4) juridiniams asmenims, kurių veikla susijusi su paskolų teikimu ir skolų išieškojimu, draudimu ar lizingo (finansinės nuomos) verslu, taip pat sveikatos apsaugos ir socialinio draudimo bei kitų socialinę paramą teikiančių ir administruojančių institucijų ir švietimo įstaigų, mokslo ir studijų institucijų veikloje. Šiame punkte nurodyti juridiniai asmenys asmens kodą gali naudoti tik tuo tikslu, kuriuo jis buvo gautas, ir tik tais atvejais, kai tai yra būtina teisėtam ir apibrėžtam asmens duomenų tvarkymo tikslui pasiekti;

5) įstatymų nustatytais atvejais tvarkant įslaptintus duomenis. 4. Draudžiama asmens kodą skelbti viešai. 5. Draudžiama rinkti ir naudoti asmens kodą tiesioginės rinkodaros tikslais.

8 straipsnis. Asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas

Asmens duomenų tvarkymą visuomenės informavimo priemonėse visuomenės informavimo, meninės ir literatūrinės raiškos tikslais prižiūri žurnalistų etikos inspektorius. Jo kompetenciją nustato Visuomenės informavimo įstatymas. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio įstatymo 1, 2, 3, 4, 5, 6, 7, 30, 53 ir 54 straipsnių nuostatos.

9 straipsnis. Asmens duomenų tvarkymas socialinio draudimo ir socialinės paramos tikslais

Socialinio draudimo ir socialinės paramos tikslais Valstybinio socialinio draudimo fondo administravimo įstaigos ir socialinę paramą teikiantys ar administruojantys juridiniai asmenys asmens duomenis vieni kitiems teikia be duomenų subjekto sutikimo.

10 straipsnis. Asmens duomenų tvarkymas sveikatos apsaugos tikslais 1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę, gydymą ir

kt.) gali tvarkyti įgaliotas sveikatos apsaugos sistemos darbuotojas. Asmens sveikatos paslaptis turi būti saugoma pagal Civilinį kodeksą, pacientų teises reglamentuojančius įstatymus ir kitus teisės aktus.

2. Asmens duomenys mokslinio medicininio tyrimo tikslais tvarkomi vadovaujantis šiuo ir kitais įstatymais.

3. Asmens duomenys apie asmens sveikatą automatiniu būdu, taip pat mokslinio medicininio tyrimo tikslais gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai. Šiuo atveju Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą.

11 straipsnis. Asmens duomenų tvarkymas rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos tikslais

1. Asmens duomenų (vardo, pavardės, gimimo datos, asmens kodo, gyvenamosios vietos adreso, pilietybę, asmens tapatybę patvirtinančio dokumento numerio) tvarkymą rinkimų, referendumo, vietos gyventojų apklausos, piliečių įstatymų leidybos iniciatyvos, politinių kampanijų, politinių partijų finansavimo tikslais nustato šis ir kiti įstatymai.

2. Vyriausiosios rinkimų komisijos pagal kandidatų ar jų atstovų pateiktus pareiškinius ir kitus dokumentus sudaryta ir interneto tinklalapyje paskelbta informacija apie kandidatus, taip pat kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų,

atstovų, iniciatyvinių grupių narių sąrašai po rinkimų, referendumo rezultatų paskelbimo, taip pat politinės kampanijos aukotojų sąrašai po jų paskelbimo gali būti keičiami, kai taisomos kalbos klaidos ar informacija interneto tinklalapyje skiriasi nuo informacijos, teisės aktų nustatytu laiku pateiktos pareiškiniuose ir kituose dokumentuose. Interneto tinklalapyje negali būti skelbiami kandidatų ir kitų asmenų asmens kodai, pilietybę ar asmens tapatybę patvirtinančių dokumentų numeriai, tikslus gyvenamosios vietos adresas (gatvė, namo, buto numeris).

12 straipsnis. Asmens duomenų tvarkymas mokslinio tyrimo tikslais 1. Atliekant mokslinį tyrimą, asmens duomenys tvarkomi, jeigu duomenų subjektas

davė sutikimą. Be duomenų subjekto sutikimo asmens duomenys mokslinio tyrimo tikslais gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai. Šiuo atveju Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą.

2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.

3. Moksliniam tyrimui surinkti ir saugomi asmens duomenys negali būti naudojami kitais tikslais.

4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.

5. Tyrimo rezultatai skelbiami kartu su asmens duomenimis, jeigu duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų paskelbti.

13 straipsnis. Asmens duomenų tvarkymas statistikos tikslais 1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų

rezultatų teikimas ir saugojimas. 2. Asmens duomenys, surinkti ne statistikos tikslais, įstatymų nustatytais atvejais gali

būti naudojami oficialiosios statistikos informacijai rengti. 3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne

statistikos tikslais Statistikos įstatymo nustatyta tvarka ir atvejais. 4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami

tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais.

5. Ypatingi asmens duomenys statistikos tikslais renkami tik tokia forma, kuri neleistų tiesiogiai ar netiesiogiai nustatyti duomenų subjekto tapatybę, išskyrus įstatymų nustatytus atvejus.

Įstatymas papildomas 131 straipsniu nuo 2011 m. rugsėjo 1 d.: 131 straipsnis. Asmens duomenų tvarkymas socialinio ir viešosios nuomonės

tyrimo tikslais 1. Atliekant socialinį ir viešosios nuomonės tyrimą, asmens duomenys gali būti

tvarkomi tik duomenų subjekto sutikimu. Duomenų subjekto kontaktiniai duomenys (adresas, telefono ryšio numeris) gali būti tvarkomi be duomenų subjekto sutikimo iki pirmojo tiesioginio kontakto su duomenų subjektu, turint tikslą su juo susisiekti. Duomenų subjektas sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo socialinio ir viešosios nuomonės tyrimo tikslais išreiškia tiesioginio kontakto su tyrėju metu arba rašytine ar jai prilyginta forma. Jeigu duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, šie asmens duomenys turi būti nedelsiant sunaikinti.

2. Socialinio ir viešosios nuomonės tyrimo tikslais privalo būti renkami tik atliekamam socialiniam ir viešosios nuomonės tyrimui būtini asmens duomenys, panaudoti konkrečiam socialiniam ir viešosios nuomonės tyrimui asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.

3. Draudžiama socialinio ir viešosios nuomonės tyrimo tikslais surinktus ir tvarkomus asmens duomenis naudoti kitais tikslais (reklamai, tiesioginei rinkodarai, komercinei veiklai ir pan.). Įstatymas papildytas straipsniu: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

14 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais 1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais tik po to, kai

duomenų subjektas duoda sutikimą. 2. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos

renkant yra nustatoma asmens duomenų saugojimo trukmė. 3. Duomenų valdytojas privalo sudaryti aiškią, nemokamą ir lengvai įgyvendinamą

galimybę duomenų subjektui išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais.

4. Duomenų valdytojas, kuris teikdamas paslaugas ar parduodamas prekes šio įstatymo nustatyta tvarka ir sąlygomis yra gavęs iš duomenų subjektų, esančių jo klientais, kontaktinius asmens duomenis (vardą, pavardę ir adresą), šiuos duomenis gali naudoti be atskiro duomenų subjekto sutikimo tik savo paties panašių prekių ar paslaugų rinkodarai, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio duomenų naudojimo pirmiau nurodytais tikslais, jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.

15 straipsnis. Asmens duomenų tvarkymas elektroninių ryšių srityje Asmens duomenys elektroninių ryšių srityje tvarkomi vadovaujantis Elektroninių

ryšių įstatymu ir šiuo įstatymu.

Įstatymas papildomas 151 straipsniu nuo 2011 m. liepos 1 d.: 151 straipsnis. Asmens duomenų tvarkymas vykdant policijos ir teisminį

bendradarbiavimą baudžiamosiose bylose, numatytą Sutarties dėl Europos Sąjungos veikimo trečiosios dalies V antraštinėje dalyje

Asmens duomenys vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, numatytą Sutarties dėl Europos Sąjungos veikimo trečiosios dalies V antraštinėje dalyje, tvarkomi vadovaujantis Asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymu ir šiuo įstatymu. Įstatymas papildytas straipsniu: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

TREČIASIS SKIRSNIS VAIZDO STEBĖJIMAS

16 straipsnis. Vaizdo stebėjimo sąlygos Vaizdo stebėjimas gali būti vykdomas siekiant užtikrinti visuomenės saugumą,

viešąją tvarką, apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises ir laisves, tačiau tik tais atvejais, kai kiti būdai ar priemonės yra nepakankamos ir (arba) netinkamos siekiant išvardytų tikslų ir jeigu duomenų subjekto interesai nėra svarbesni.

17 straipsnis. Vaizdo stebėjimas darbo vietoje Vaizdo stebėjimas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina

užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankamos ir (arba) netinkamos siekiant išvardytų tikslų.

18 straipsnis. Vaizdo stebėjimo reikalavimai 1. Vaizdo duomenų tvarkymas turi būti nustatytas duomenų valdytojo patvirtintame

rašytiniame dokumente, kuriame yra nurodomas vaizdo stebėjimo tikslas ir apimtis, vaizdo

duomenų saugojimo terminas, priėjimo prie tvarkomų vaizdo duomenų sąlygos, šių duomenų naikinimo sąlygos ir tvarka bei nustatyti kiti reikalavimai teisėtam vaizdo duomenų tvarkymui.

2. Duomenų valdytojas užtikrina, kad vaizdo duomenis tvarkytų tik duomenų valdytojo įgalioti asmenys, kurie turi būti supažindinti su asmens duomenų teisinę apsaugą reglamentuojančiais teisės aktais ir pasirašytinai įsipareigoję jų laikytis.

19 straipsnis. Vaizdo stebėjimo priemonių įrengimas 1. Vaizdo stebėjimo priemonės turi būti įrengiamos taip, kad atsižvelgiant į nustatytą

vaizdo stebėjimo tikslą: 1) vaizdo stebėjimas būtų vykdomas ne didesnėje patalpos ar teritorijos dalyje, negu

tai yra būtina; 2) būtų renkama ne daugiau vaizdo duomenų, negu tai yra būtina. 2. Draudžiama įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų

stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų nustatytus atvejus. Bendrojo naudojimo patalpose vaizdo stebėjimo priemonės gali būti įrengiamos bendraturčių daugumos sprendimu.

3. Draudžiama vykdyti vaizdo stebėjimą patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą (pvz., tualetuose, persirengimo kambariuose ir pan.).

20 straipsnis. Duomenų subjekto informavimas vykdant vaizdo stebėjimą 1. Duomenų valdytojas užtikrina, kad prieš patenkant į patalpas ar teritoriją, kurioje

vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama ši informacija: 1) apie vykdomą vaizdo stebėjimą; 2) duomenų valdytojo rekvizitai ir kontaktinė informacija (adresas arba telefono ryšio

numeris); 2 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

2) duomenų valdytojo juridinio asmens pavadinimas ir kodas, duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas arba telefono ryšio numeris).

2. Duomenų valdytojas gali pateikti ir kitą papildomą informaciją, kad būtų užtikrintas teisėtas vaizdo duomenų tvarkymas nepažeidžiant duomenų subjekto teisių (pvz., vaizdo stebėjimo tikslas).

3. Vykdant vaizdo stebėjimą darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, šie darbuotojai apie tokį jų vaizdo duomenų tvarkymą turi būti informuojami raštu šio įstatymo 24 straipsnio 1 dalyje nustatyta tvarka. 3 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

3. Vykdant vaizdo stebėjimą darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, šie darbuotojai apie tokį jų vaizdo duomenų tvarkymą turi būti pasirašytinai informuojami šio įstatymo 24 straipsnio 1 dalyje nustatyta tvarka. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

KETVIRTASIS SKIRSNIS MOKUMO VERTINIMAS IR ĮSISKOLINIMO VALDYMAS

Ketvirtojo skirsnio pavadinimo redakcija nuo 2011 m. rugsėjo 1 d.: KETVIRTASIS SKIRSNIS

ASMENS DUOMENŲ APIE MOKUMO IR FINANSINĖS RIZIKOS VERTINIMĄ IR ĮSISKOLINIMO VALDYMĄ TVARKYMAS

21 straipsnio redakcija iki 2011 m. rugsėjo 1 d.:

21 straipsnis. Asmens duomenų tvarkymas asmens mokumui įvertinti ir įsiskolinimui valdyti

1. Duomenų valdytojas turi teisę tvarkyti ir teikti teisėtą interesą turintiems tretiesiems asmenims laiku bei tinkamai finansinių ir (arba) turtinių įsipareigojimų jam neįvykdžiusių duomenų subjektų (toliau – skolininkų) duomenis, taip pat ir asmens kodą, kad būtų galima įvertinti asmens mokumą ir valdyti įsiskolinimą, jei tinkamai įgyvendinami šiame įstatyme ir kituose teisės aktuose nustatyti duomenų apsaugos reikalavimai.

2. Duomenų valdytojas turi teisę skolininkų duomenis, taip pat ir asmens kodą, teikti duomenų valdytojams, tvarkantiems jungtines skolininkų duomenų rinkmenas (toliau – jungtines rinkmenas). Duomenų valdytojas gali tvarkyti jungtines rinkmenas, turėdamas tikslą teikti tokius duomenis teisėtą interesą turintiems tretiesiems asmenims, kad šie galėtų įvertinti duomenų subjekto mokumą ir valdyti įsiskolinimą, tik šio įstatymo 33 straipsnio nustatyta tvarka pranešęs Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.

3. Duomenų valdytojas gali teikti skolininkų duomenis tik tuo atveju, jeigu jis duomenų subjektui raštu pateikė priminimą apie įsipareigojimų neįvykdymą ir per 30 kalendorinių dienų nuo tos dienos, kai duomenų valdytojas išsiuntė (pateikė) duomenų subjektui priminimą:

1) įsiskolinimas liko nepadengtas ir (arba) mokėjimo terminas nebuvo atidėtas arba 2) duomenų subjektas pagrįstai neginčijo įsiskolinimo. 4. Duomenų valdytojas negali tvarkyti ypatingų asmens duomenų. 5. Jungtinės rinkmenos negali būti jungiamos su asmens duomenimis iš kitų asmens

duomenų rinkmenų, kurios buvo sudarytos ir yra tvarkomos kitais negu mokumo vertinimo bei įsiskolinimo valdymo tikslais.

6. Duomenų valdytojas, tvarkantis jungtines rinkmenas, gavęs iš šio straipsnio 2 dalyje nurodyto duomenų valdytojo skolininkų duomenis, privalo kiekvienam duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):

1) apie savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, rekvizitus ir buveinę; 2) kokiais tikslais tvarkomi duomenų subjekto asmens duomenys; 3) iš kokių šaltinių ir kokie duomenų subjekto duomenys surinkti, kam ir kokiais

tikslais teikiami, apie duomenų subjekto teisės susipažinti su savo asmens duomenimis, reikalauti ištaisyti neteisingus, netikslius, neišsamius savo asmens duomenis buvimą.

7. Duomenys apie faktą, kad duomenų subjektas laiku ir tinkamai neįvykdė savo finansinių ir (arba) turtinių įsipareigojimų, negali būti tvarkomi ilgiau negu 10 metų nuo įsiskolinimo padengimo dienos. Kai duomenų subjektas įsiskolinimą padengia, duomenų valdytojai privalo užtikrinti, kad tvarkant duomenis apie duomenų subjekto tinkamai ir laiku neįvykdytus finansinius ir (arba) turtinius įsipareigojimus būtų nurodoma:

1) kad duomenų subjektas įsiskolinimą padengė; 2) įsiskolinimo padengimo data.

21 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.: 21 straipsnis. Asmens duomenų tvarkymas asmens mokumui įvertinti ir

įsiskolinimui valdyti 1. Duomenų valdytojas turi teisę tvarkyti ir teikti teisėtą interesą turintiems

tretiesiems asmenims laiku ir tinkamai finansinių ir (arba) turtinių įsipareigojimų jam neįvykdžiusių duomenų subjektų (toliau – skolininkai) duomenis, taip pat ir asmens kodus, kad būtų galima įvertinti asmens mokumą ir valdyti įsiskolinimą, jeigu tinkamai įgyvendinami šiame įstatyme ir kituose teisės aktuose nustatyti duomenų apsaugos reikalavimai.

2. Duomenų valdytojas turi teisę skolininkų duomenis, taip pat ir asmens kodus, teikti duomenų valdytojams, tvarkantiems jungtines skolininkų duomenų rinkmenas (toliau – jungtinės skolininkų rinkmenos). Duomenų valdytojas gali tvarkyti jungtines skolininkų rinkmenas, turėdamas tikslą teikti tokius duomenis teisėtą interesą turintiems tretiesiems asmenims, kad šie galėtų įvertinti duomenų subjekto mokumą ir valdyti įsiskolinimą, tik šio

įstatymo 33 straipsnio nustatyta tvarka pranešęs Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.

3. Duomenų valdytojas gali teikti skolininkų duomenis tik tuo atveju, jeigu jis duomenų subjektui paštu arba elektroninių ryšių priemonėmis pateikė rašytinį priminimą apie įsipareigojimų neįvykdymą ir per 30 kalendorinių dienų nuo dienos, kurią duomenų valdytojas išsiuntė (pateikė) duomenų subjektui priminimą:

1) skola liko nepadengta ir (arba) mokėjimo terminas nebuvo atidėtas arba 2) duomenų subjektas pagrįstai neginčijo skolos. 4. Duomenų valdytojas negali tvarkyti ypatingų asmens duomenų. 5. Jungtinės skolininkų rinkmenos negali būti jungiamos su asmens duomenimis iš

kitų asmens duomenų rinkmenų, kurios buvo sudarytos ir yra tvarkomos kitais negu mokumo vertinimo ir įsiskolinimo valdymo tikslais.

6. Duomenų valdytojas, tvarkantis jungtines skolininkų rinkmenas, gavęs iš šio straipsnio 2 dalyje nurodyto duomenų valdytojo skolininkų duomenis, privalo kiekvienam duomenų subjektui nurodyti (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):

1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, pavadinimą, juridinio asmens kodą ir buveinę;

2) kokiais tikslais tvarkomi duomenų subjekto asmens duomenys; 3) iš kokių šaltinių ir kokie duomenų subjekto duomenys surinkti, kam ir kokiais

tikslais teikiami, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis.

7. Duomenys apie faktą, kad duomenų subjektas laiku ir tinkamai neįvykdė savo finansinių ir (arba) turtinių įsipareigojimų, negali būti tvarkomi ilgiau negu 10 metų nuo skolos padengimo dienos. Kai duomenų subjektas skolą padengia, duomenų valdytojai privalo užtikrinti, kad tvarkant duomenis apie duomenų subjekto tinkamai ir laiku neįvykdytus finansinius ir (arba) turtinius įsipareigojimus būtų nurodoma:

1) kad duomenų subjektas skolą padengė; 2) skolos padengimo data.

Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

22 straipsnio redakcija iki 2011 m. rugsėjo 1 d.: 22 straipsnis. Duomenų apie suteiktas finansines paslaugas, susijusias su rizikos

prisiėmimu, tvarkymas mokumo vertinimo tikslais 1. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir

(arba) finansine veikla, gali gauti viena iš kitos duomenų subjektų, kuriems šie bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (arba) finansine veikla, yra suteikę ar ketina suteikti finansinių paslaugų, susijusių su rizikos prisiėmimu (kaip tai apibrėžia Finansų įstaigų įstatymas) (toliau – paslaugos), bei šių asmenų įsipareigojimus minėtoms įstaigoms ir įmonėms užtikrinančių duomenų subjektų asmens duomenis (vardą, pavardę, asmens kodą (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenis), pageidautų finansinių įsipareigojimų, dėl kurių buvo priimtas neigiamas sprendimas, rūšis ir sumas, esamų finansinių įsipareigojimų rūšis, sumas, vykdymo terminus, duomenis apie šių įsipareigojimų vykdymą, taip pat duomenis apie buvusius finansinius įsipareigojimus ir jų vykdymą) mokumo vertinimo tikslais, jei šie duomenų subjektai duoda sutikimą.

2. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (arba) finansine veikla, gali gauti asmens duomenis šio straipsnio 1 dalyje nurodytomis sąlygomis ir apimtimi tik tais atvejais, kai duomenų subjektas:

1) kreipiasi į šias įstaigas, įmones dėl paslaugų gavimo ar dėl finansinių įsipareigojimų užtikrinimo;

2) yra gavęs iš šių įstaigų, įmonių paslaugų ar yra užtikrinęs finansinius įsipareigojimus ir yra būtina nustatyti, ar nekyla grėsmė tinkamam prisiimtų įsipareigojimų vykdymui.

3. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (arba) finansine veikla, užtikrina, kad gauti duomenų subjektų duomenys nebūtų:

1) tvarkomi tikslais, kurie nėra suderinami su nustatytaisiais prieš renkant asmens duomenis;

2) saugomi ilgiau negu 12 mėnesių, jeigu buvo priimtas sprendimas atsisakyti suteikti paslaugą.

4. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (arba) finansine veikla, užtikrina, kad duomenys apie jų suteiktas paslaugas, jų vykdymą ir tinkamą įvykdymą nebūtų saugomi ilgiau negu 10 metų nuo šių įsipareigojimų įvykdymo dienos, jeigu įstatymai ar jų pagrindu priimti teisės aktai nenustato kitaip. 22 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.:

22 straipsnis. Asmens duomenų apie suteiktas finansines paslaugas, susijusias su rizikos prisiėmimu ar kreditingumo vertinimu, tvarkymas asmens mokumo ir finansinės rizikos vertinimo bei įsiskolinimo valdymo tikslais

1. Kredito įstaigos ir finansų įmonės, kurios teikia finansines paslaugas, susijusias su rizikos prisiėmimu ar kreditingumo vertinimu (toliau – finansinės paslaugos), (toliau – finansų įstaigos) turi teisę tvarkyti ir gauti viena iš kitos duomenų subjektų, kuriems yra suteikusios ar ketina suteikti finansinių paslaugų, ir jų įsipareigojimus minėtoms įstaigoms užtikrinančių duomenų subjektų asmens duomenis (vardą, pavardę, asmens kodą (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenis), adresą, telefono ryšio numerį, pageidautų finansinių ir (arba) turtinių įsipareigojimų, dėl kurių buvo priimtas teigiamas ar neigiamas sprendimas, rūšis ir sumas, esamų finansinių ir (arba) turtinių įsipareigojimų rūšis ir sumas, vykdymo terminus, duomenis apie šių įsipareigojimų vykdymą, duomenis apie buvusius finansinius ir (arba) turtinius įsipareigojimus ir jų vykdymą, įskaitant jungtinėse skolininkų rinkmenose esančius duomenų subjektų duomenis, taip pat duomenis apie duomenų subjektų pajamas, pajamų rūšis ir jų šaltinius, duomenis apie duomenų subjektų turtą, šeiminę padėtį, einamas pareigas (darbą) ir išsilavinimą) asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais, jeigu šie duomenų subjektai duoda sutikimą.

2. Jeigu duomenų subjektas duoda sutikimą, šio straipsnio 1 dalyje nurodyti duomenys asmenų mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais gali būti tvarkomi ir nuolat atnaujinami jungtinėse finansinės rizikos duomenų rinkmenose (toliau – jungtinės finansinės rizikos rinkmenos) pagal su finansų įstaigomis sudarytas duomenų teikimo sutartis. Jungtinių finansinės rizikos rinkmenų valdytojais gali būti finansų įstaigos, tik šio įstatymo 33 straipsnio nustatyta tvarka pranešusios Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.

3. Finansų įstaigos gali gauti asmens duomenis šio straipsnio 1 ir 6 dalyse nurodytomis sąlygomis ir apimtimi tik tais atvejais, kai duomenų subjektas:

1) kreipiasi į šias įstaigas dėl finansinių paslaugų gavimo ar dėl finansinių ir (arba) turtinių įsipareigojimų užtikrinimo ir (arba);

2) yra gavęs iš šių įstaigų finansinių paslaugų ar yra užtikrinęs finansinius ir (arba) turtinius įsipareigojimus ir yra būtina nustatyti, ar nekyla grėsmė tinkamam prisiimtų įsipareigojimų vykdymui.

4. Finansų įstaigos užtikrina, kad gauti duomenų subjektų duomenys nebūtų: 1) tvarkomi tikslais, kurie nėra suderinami su nustatytaisiais prieš renkant asmens

duomenis; 2) saugomi ilgiau negu 12 mėnesių, jeigu buvo priimtas sprendimas atsisakyti suteikti

finansinę paslaugą. 5. Finansų įstaigos užtikrina, kad duomenys apie jų suteiktas finansines paslaugas

nebūtų saugomi ilgiau negu 10 metų nuo šių paslaugų suteikimo ir įsipareigojimų įvykdymo dienos, jeigu įstatymai ar jų pagrindu priimti teisės aktai nenustato kitaip.

6. Visi asmens duomenys iš jungtinių finansinės rizikos rinkmenų gali būti teikiami tik finansų įstaigoms. Kitiems asmenims, kurie teikia paslaugas, susijusias su finansinės

rizikos prisiėmimu, asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais iš jungtinių finansinės rizikos rinkmenų teikiami tik šie apibendrinti duomenys: asmens vardas, pavardė, asmens kodas (jeigu asmens kodas nesuteiktas, – asmens dokumento duomenys) ir asmens kreditingumo reitingas.

7. Draudžiama iš jungtinių finansinės rizikos rinkmenų teikti asmens duomenis ir asmens kreditingumo reitingą kitais negu asmens mokumo ir finansinės rizikos vertinimo ir įsiskolinimo valdymo tikslais.

8. Duomenų subjektas turi teisę pareikšti jungtinės finansinės rizikos rinkmenos valdytojui savo nuomonę dėl asmens kreditingumo reitingo nustatymo šio įstatymo 28 straipsnyje nustatyta tvarka. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

PENKTASIS SKIRSNIS DUOMENŲ SUBJEKTO TEISĖS

23 straipsnis. Duomenų subjekto teisės 1. Duomenų subjektas šio įstatymo nustatyta tvarka turi teisę: 1) žinoti (būti informuotas) apie savo asmens duomenų tvarkymą; 2) susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi; 3) reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus

saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų;

4) nesutikti, kad būtų tvarkomi jo asmens duomenys. 2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame

straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti: 1) valstybės saugumą ar gynybą; 2) viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį

persekiojimą; 3) svarbius valstybės ekonominius ar finansinius interesus; 4) tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą; 5) duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą. 3. Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti duomenų

subjekto prašymą įgyvendinti šio įstatymo nustatytas duomenų subjekto teises. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą. Jeigu duomenų subjekto prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu.

4. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šio straipsnio 3 dalyje nustatytas terminas pateikti atsakymą. Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą) įstatymų nustatyta tvarka duomenų subjektas gali skųsti teismui.

24 straipsnis. Duomenų subjekto informavimas apie jo duomenų tvarkymą 1. Duomenų valdytojas privalo suteikti duomenų subjektui, kurio asmens duomenis

renka tiesiogiai iš jo, šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):

1) apie savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) ar rekvizitus ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo); 1 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) arba nurodyti pavadinimą, juridinio asmens kodą ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo);

2) kokiais tikslais ketinami tvarkyti duomenų subjekto asmens duomenys; 3) kitą papildomą informaciją (kam ir kokiais tikslais teikiami duomenų subjekto

asmens duomenys; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

2. Duomenų valdytojas, kuris asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, išskyrus atvejus, kai įstatymai ar kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):

1) apie savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jei duomenų valdytojas ar jo atstovas yra fizinis asmuo) ar rekvizitus ir buveinę (jei duomenų valdytojas ar jo atstovas yra juridinis asmuo); 1 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

1) savo (duomenų valdytojo) ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) arba nurodyti pavadinimą, juridinio asmens kodą ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo);

2) kokiais tikslais tvarkomi ar ketinami tvarkyti duomenų subjekto asmens duomenys; 3) kitą papildomą informaciją (iš kokių šaltinių ir kokie duomenų subjekto asmens

duomenys renkami ar ketinami rinkti; kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, prieš teikdamas duomenų subjekto duomenis, jis privalo informuoti duomenų subjektą, kam ir kokiais tikslais jo asmens duomenys bus teikiami.

4. Šio straipsnio 2 dalis netaikoma tvarkant asmens duomenis statistikos, istoriniais ar mokslinio tyrimo tikslais, kai tokios informacijos pateikti neįmanoma ar pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų) arba kai duomenų rinkimo ir teikimo tvarką nustato įstatymai. Apie tai duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai šio įstatymo 33 straipsnio nustatyta tvarka. Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą. 4 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

4. Šio straipsnio 2 dalis netaikoma tvarkant asmens duomenis statistikos, istoriniais ar mokslinio tyrimo tikslais, kai tokios informacijos pateikti neįmanoma ar pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų) arba kai duomenų rinkimo ir teikimo tvarką nustato įstatymai, taip pat tvarkant duomenų subjekto kontaktinius duomenis (adresą, telefono ryšio numerį) socialinio ir viešosios nuomonės tyrimo tikslais iki pirmojo tiesioginio kontakto su duomenų subjektu. Tokiu atveju duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai šio įstatymo 33 straipsnyje nustatyta tvarka. Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

25 straipsnis. Duomenų subjekto teisė susipažinti su savo asmens duomenimis

1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienus metus. 1 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

1. Duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus.

2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

26 straipsnis. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus

1. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo asmens duomenis patikrinti ir duomenų subjekto prašymu (išreikštu rašytine, žodine ar kita forma) nedelsdamas ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. 1 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

1. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo asmens duomenis patikrinti ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

2. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

3. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

1) turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;

2) jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis; 3) jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

4. Duomenų valdytojas privalo nedelsdamas pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.

5. Asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą.

6. Jeigu duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

7. Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

27 straipsnis. Duomenų subjekto teisė nesutikti, kad būtų tvarkomi jo asmens duomenys

1. Duomenų valdytojas šio įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais, privalo supažindinti duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys.

2. Duomenų subjektas šio įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti (raštu, žodžiu ar kitokia forma), kad būtų tvarkomi jo asmens duomenys. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus. 2 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

2. Duomenų subjektas šio įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys. Duomenų subjektas rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo pateikia duomenų valdytojui asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.

3. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais. Šiuo atveju duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus. 3 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

3. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros arba socialinio ir viešosios nuomonės tyrimo tikslais. Šiuo atveju duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.

4. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

28 straipsnis. Asmens savybių įvertinimas automatiniu būdu 1. Negali būti priimamas sprendimas dėl duomenų subjekto savybių (kreditingumo,

patikimumo, darbingumo ir kt.), jeigu tokios savybės buvo įvertintos tik automatiniu būdu, kai toks sprendimas gali sukelti duomenų subjektui teisinių pasekmių ar kitaip jį paveikti, išskyrus šiuos atvejus:

1) sprendimas yra priimamas įstatymų nustatyta tvarka, kai įstatymai numato duomenų subjekto teisėtų interesų apsaugos priemones;

2) sprendimas yra priimamas sudarant arba vykdant sutartį tuo atveju, kai duomenų subjekto prašymas sudaryti ar vykdyti sutartį yra patenkintas;

3) sprendimas yra priimamas sudarant arba vykdant sutartį, jeigu įgyvendintos tinkamos priemonės duomenų subjekto teisėtiems interesams apsaugoti, pavyzdžiui, yra nustatyta tvarka, leidžianti duomenų subjektui pareikšti savo nuomonę.

2. Duomenų valdytojas, prieš pradėdamas duomenų subjekto savybių vertinimą automatiniu būdu, privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytais vertinimo kriterijais ir principais.

3. Jeigu duomenų valdytojas įvertina duomenų subjekto savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, jis turi teisę pareikšti savo nuomonę dėl jo savybių įvertinimo. Duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti neautomatiniu būdu.

29 straipsnis. Paslauga duomenų subjektui įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis

1. Valstybinė duomenų apsaugos inspekcija padeda duomenų subjektui įgyvendinti jo teisę susipažinti su savo asmens duomenimis.

2. Duomenų subjektas, kreipdamasis į Valstybinę duomenų apsaugos inspekciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Valstybinę duomenų apsaugos inspekciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija. Jeigu duomenų subjektas į Valstybinę duomenų apsaugos inspekciją kreipiasi elektroniniu būdu, jo prašymas turi būti pasirašytas saugiu elektroniniu parašu. Atsakymas į tokį prašymą asmeniui pateikiamas elektroniniu paštu, o asmens pageidavimu – siunčiamas paštu prašyme nurodytu adresu arba įteikiamas. Atsakymas elektroniniu paštu turi būti pasirašytas saugiu elektroniniu parašu. Valstybinė duomenų apsaugos inspekcija privalo atsakyti į tokį duomenų subjekto prašymą per 30 kalendorinių dienų. 2 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

2. Duomenų subjektas, Valstybinei duomenų apsaugos inspekcijai pateikęs rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą arba pateikęs prašymą elektroninių ryšių priemonėmis ir Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka patvirtinęs savo asmens tapatybę, turi teisę prašyti duomenų priežiūros instituciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija. Atsakymas į šį prašymą asmeniui turi būti pateikiamas asmeniškai, paštu, automatiniu būdu arba elektroninių ryšių priemonėmis ne vėliau kaip per 30 kalendorinių dienų nuo prašymo pateikimo ir asmens tapatybės patvirtinimo.

3. Atlikdama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Valstybinė duomenų apsaugos inspekcija neturi teisės rinkti Valstybės ir tarnybos paslapčių įstatyme nustatytų duomenų, kurie yra įslaptinta informacija.

4. Už šio straipsnio 2 dalyje nustatytą paslaugą duomenų subjektui imama Vyriausybės nustatyto dydžio valstybės rinkliava.

5. Asmens duomenų valdytojų valstybės registre registruoti duomenų valdytojai, gavę Valstybinės duomenų apsaugos inspekcijos paklausimą dėl konkretaus duomenų subjekto teisės susipažinti su savo asmens duomenimis įgyvendinimo, privalo ne vėliau kaip per 15

kalendorinių dienų pateikti Valstybinei duomenų apsaugos inspekcijai atsakymą jos nustatyta tvarka (duomenų subjekto prašomus asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą arba nurodyti, kad duomenų subjekto duomenų netvarko).

6. Duomenų valdytojai privalo užtikrinti iš Valstybinės duomenų apsaugos inspekcijos gautų ir Valstybinei duomenų apsaugos inspekcijai teikiamų duomenų subjekto duomenų saugumą, konfidencialumą, vientisumą ir prieinamumą. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

ŠEŠTASIS SKIRSNIS DUOMENŲ SAUGUMAS

30 straipsnis. Duomenų saugumas 1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas

organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytinės formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.).

2. Valstybinė duomenų apsaugos inspekcija nustato bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms.

3. Duomenų valdytojas pats tvarko asmens duomenis ir (arba) įgalioja duomenų tvarkytoją. Jeigu duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

4. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus.

5. Duomenų valdytojo ir duomenų tvarkytojo, kuris nėra duomenų valdytojas, santykiai turi būti nustatomi rašytinėje sutartyje, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai.

6. Duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

7. Duomenų subjektams (fiziniams asmenims) siunčiami ar pateikiami spausdintiniai rašytiniai informacinio pobūdžio pranešimai apie duomenų subjektams (fiziniams asmenims) suteiktas paslaugas, duomenų subjektų (fizinių asmenų) prievoles, sutarčių su duomenų subjektais (fiziniais asmenimis) vykdymą, sąskaitos, darbdavio darbuotojui skirti atsiskaitymo lapeliai, individualūs komercinio pobūdžio pasiūlymai duomenų subjektams (fiziniams asmenims), kurių turinyje yra nurodomi duomenų subjektų (fizinių asmenų) asmens duomenys, įskaitant, tačiau neapsiribojant, duomenis apie asmens vardą ir pavardę, gyvenamąją vietą, sumokėtus ar nesumokėtus mokesčius, mokėtojo kodą ar numerį, atsiskaitomosios knygelės numerį, privalo būti pateikiami uždaru pavidalu, ant kurio gali būti tik pašto paslaugoms būtina informacija, ir tokių pranešimų turinys gali būti matomas tik duomenų subjektui (fiziniam asmeniui), kuriam adresuojamas pranešimas, ar jo sutikimu trečiajam asmeniui, atidarius ar išpakavus pateiktą pranešimą. Šios nuostatos netaikomos, jeigu minėti pranešimai įteikiami asmens duomenų subjektams (fiziniams asmenims) asmeniškai ir konfidencialiai.

8. Už šio straipsnio 7 dalyje nurodytų reikalavimų tinkamą vykdymą yra atsakingi duomenų valdytojai ir asmenys, kurių užsakymu siunčiami šio straipsnio 7 dalyje nurodyti rašytiniai informacinio pobūdžio pranešimai.

SEPTINTASIS SKIRSNIS DUOMENŲ VALDYTOJŲ REGISTRAVIMAS

31 straipsnis. Pranešimas apie duomenų tvarkymą Asmens duomenys gali būti tvarkomi automatiniu būdu tik tuo atveju, kai duomenų

valdytojas arba jo atstovas (pagal šio įstatymo 1 straipsnio 3 dalies 3 punktą) Vyriausybės nustatyta tvarka praneša Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai asmens duomenys tvarkomi:

1) vidaus administravimo tikslais; 2) politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais

tikslais, jeigu asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija, kai tvarkomi asmens duomenys yra susiję tik su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų;

3) šio įstatymo 8 straipsnyje nustatytais atvejais; 4) Valstybės ir tarnybos paslapčių įstatymo nustatyta tvarka.

32 straipsnis. Už duomenų apsaugą atsakingas asmuo ar padalinys 1. Duomenų valdytojas turi teisę paskirti už duomenų apsaugą atsakingą asmenį ar

padalinį. 2. Už duomenų apsaugą atsakingas asmuo ar padalinys: 1) viešai skelbia apie duomenų valdytojo atliekamus duomenų tvarkymo veiksmus

Vyriausybės nustatyta tvarka; 2) prižiūri, kad asmens duomenys būtų tvarkomi laikantis šio įstatymo ir kitų teisės

aktų, reglamentuojančių duomenų apsaugą, nuostatų; 3) inicijuoja pranešimų Valstybinei duomenų apsaugos inspekcijai apie aplinkybes,

nurodytas šio įstatymo 33 straipsnio 1 dalyje, rengimą; 4) kontroliuoja, kaip duomenų valdytojo darbuotojai tvarko asmens duomenis; 5) teikia siūlymus, išvadas duomenų valdytojui dėl duomenų apsaugos ir duomenų

tvarkymo priemonių nustatymo, prižiūri, kaip šios priemonės įgyvendinamos ir naudojamos; 6) nedelsdamas imasi priemonių pašalinti asmens duomenų tvarkymo pažeidimus; 7) supažindina darbuotojus, įgaliotus tvarkyti asmens duomenis, su šio įstatymo ir

kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatomis; 8) inicijuoja kreipimųsi į Valstybinę duomenų apsaugos inspekciją asmens duomenų

tvarkymo ir apsaugos klausimais rengimą; 9) padeda duomenų subjektams įgyvendinti jų teises; 10) raštu informuoja Valstybinę duomenų apsaugos inspekciją, jeigu nustato, kad

duomenų valdytojas tvarko asmens duomenis pažeisdamas šio įstatymo ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatas, ir jeigu atsisako pašalinti šiuos pažeidimus.

3. Duomenų valdytojas privalo suteikti už duomenų apsaugą atsakingam asmeniui ar padaliniui išsamią informaciją apie numatomą asmens duomenų tvarkymą, ketinamas naudoti automatines asmens duomenų tvarkymo priemones ir nustatyti protingą terminą išvadai dėl numatomo asmens duomenų tvarkymo pateikti.

4. Duomenų valdytojas privalo sudaryti sąlygas už duomenų apsaugą atsakingam asmeniui ar padaliniui savarankiškai atlikti šiame straipsnyje numatytas jo funkcijas.

5. Duomenų valdytojas per 30 kalendorinių dienų nuo už duomenų apsaugą atsakingo asmens ar padalinio paskyrimo ar atšaukimo dienos turi pranešti apie tai Valstybinei duomenų apsaugos inspekcijai.

33 straipsnis. Išankstinė patikra 1. Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą šiais atvejais: 1) kai duomenų valdytojas automatiniu būdu ketina tvarkyti ypatingus asmens

duomenis, išskyrus šių duomenų tvarkymą vidaus administravimo tikslais arba šio įstatymo 5 straipsnio 2 dalies 6 ir 7 punktuose nustatytais atvejais;

2) kai duomenų valdytojas automatiniu būdu ketina tvarkyti viešas duomenų rinkmenas, jeigu įstatymuose ar kituose teisės aktuose neapibrėžta duomenų teikimo tvarka;

3) kai valstybės ar žinybinių registrų arba valstybės ir savivaldybių institucijų informacinių sistemų duomenų valdytojas ketina įgalioti duomenų tvarkytoją tvarkyti asmens duomenis, išskyrus atvejus, kai įstatymuose ar kituose teisės aktuose įtvirtinta duomenų valdytojo teisė įgalioti tvarkyti asmens duomenis konkretų duomenų tvarkytoją arba kai duomenų tvarkytojas yra duomenų valdytojo įsteigtas juridinis asmuo;

4) šio įstatymo 10 straipsnio 3 dalyje, 12 straipsnio 1 dalyje, 21 straipsnio 2 dalyje ir 24 straipsnio 4 dalyje nustatytais atvejais. 1 dalies 4 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

4) šio įstatymo 10 straipsnio 3 dalyje, 12 straipsnio 1 dalyje, 21 straipsnio 2 dalyje, 22 straipsnio 2 dalyje, 24 straipsnio 4 dalyje ir kitų įstatymų nustatytais atvejais.

2. Duomenų valdytojas privalo Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka pranešti Valstybinei duomenų apsaugos inspekcijai apie atvejus, nurodytus šio straipsnio 1 dalyje. Tokie duomenų tvarkymo veiksmai gali būti atliekami tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą. Valstybinė duomenų apsaugos inspekcija privalo per 2 mėnesius nuo pranešimo gavimo dienos Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka atlikti išankstinę patikrą ir išduoti arba atsisakyti išduoti leidimą duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai dėl pranešime nurodytų aplinkybių sudėtingumo, informacijos apimties ar kitų svarbių aplinkybių pranešimo nagrinėjimą būtina pratęsti. Šiais atvejais pranešimo nagrinėjimo terminas pratęsiamas, bet ne ilgiau kaip vienu mėnesiu, apie tai informuojant duomenų valdytoją. Valstybinės duomenų apsaugos inspekcijos sprendimas neišduoti leidimo duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus gali būti skundžiamas įstatymų nustatyta tvarka. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

34 straipsnis. Duomenų valdytojų registravimas 1. Duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre. 2. Asmens duomenų valdytojų valstybės registrą tvarko Valstybinė duomenų

apsaugos inspekcija.

AŠTUNTASIS SKIRSNIS ASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS, ESANTIEMS

UŽSIENIO VALSTYBĖSE

35 straipsnis. Asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse

1. Asmens duomenys duomenų gavėjams, esantiems Europos Sąjungos valstybėse narėse ir kitose Europos ekonominės erdvės valstybėse, teikiami tomis pačiomis sąlygomis ir tvarka kaip ir duomenų gavėjams, esantiems Lietuvos Respublikoje.

2. Asmens duomenys teikiami duomenų gavėjams trečiosiose valstybėse gavus Valstybinės duomenų apsaugos inspekcijos leidimą, išskyrus šio straipsnio 5 dalyje nustatytus atvejus.

3. Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 2 mėnesius nuo duomenų valdytojo kreipimosi dienos išduoda arba atsisako išduoti leidimą teikti asmens duomenis į trečiąsias valstybes. Leidimas yra išduodamas, jeigu šiose valstybėse yra tinkamas asmens duomenų teisinės apsaugos lygis. Asmens duomenų teisinės apsaugos lygis vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų teikimu, ypač į trečiojoje valstybėje, į kurią ketinami teikti asmens duomenys, galiojančius įstatymus, kitus teisės aktus bei duomenų valdytojo parengtus dokumentus, užtikrinančius asmens duomenų teisinę apsaugą, į teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus, trukmę, saugumo priemones, kurių bus laikomasi toje valstybėje.

4. Valstybinė duomenų apsaugos inspekcija gali išduoti leidimą teikti asmens duomenis į trečiąją valstybę, kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio, jeigu duomenų valdytojas yra nustatęs tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į trečiąsias valstybes sutartyje arba kitame rašytinės formos dokumente.

5. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenys teikiami į trečiąją valstybę arba tarptautinei teisėsaugos organizacijai tik tuo atveju, jeigu:

1) duomenų subjektas davė sutikimą teikti asmens duomenis; 2) asmens duomenis teikti būtina, kad būtų sudaryta ar įvykdyta sutartis tarp

duomenų valdytojo ir trečiojo asmens duomenų subjekto interesais; 3) asmens duomenis teikti būtina, kad būtų įvykdyta sutartis tarp duomenų valdytojo

ir duomenų subjekto arba būtų įgyvendintos priemonės, kurių prieš sudarant sutartį imamasi duomenų subjekto prašymu;

4) asmens duomenis teikti būtina (arba įstatymų nustatyta) dėl svarbių visuomenės interesų arba jie yra reikalingi bylai teisme nagrinėti;

5) siekiama apsaugoti duomenų subjekto gyvybinius interesus; 6) būtina užkirsti kelią nusikalstamoms veikoms arba būtina jas tirti; 7) asmens duomenys įstatymų ir kitų teisės aktų nustatyta tvarka teikiami iš viešosios

duomenų rinkmenos. 5 dalies 7 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

7) asmens duomenys įstatymų ir kitų teisės aktų nustatyta tvarka teikiami iš viešos duomenų rinkmenos. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

DEVINTASIS SKIRSNIS ŠIO ĮSTATYMO VYKDYMO PRIEŽIŪRA

Devintojo skirsnio pavadinimo redakcija nuo 2011 m. rugsėjo 1 d.: DEVINTASIS SKIRSNIS

VALSTYBĖS POLITIKOS ASMENS DUOMENŲ APSAUGOS SRITYJE FORMAVIMAS IR ŠIO ĮSTATYMO VYKDYMO PRIEŽIŪRA

Įstatymas papildomas 351 straipsniu nuo 2011 m. rugsėjo 1 d.: 351 straipsnis. Teisingumo ministerijos funkcijos asmens duomenų apsaugos

srityje Teisingumo ministerija: 1) formuoja valstybės politiką asmens duomenų apsaugos srityje; 2) formuoja Lietuvos politiką Europos Sąjungos asmens duomenų apsaugos srityje; 3) rengia įstatymų, reglamentuojančių asmens duomenų apsaugą, projektus; 4) atlieka kituose teisės aktuose nustatytas funkcijas asmens duomenų apsaugos

srityje. Įstatymas papildytas straipsniu: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

36 straipsnis. Šio įstatymo vykdymo priežiūros institucija ir jos teisinis statusas 1. Kaip vykdomas šis įstatymas, išskyrus 8 straipsnį, prižiūri ir kontroliuoja

Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji atskaitinga Vyriausybei. Valstybinės duomenų apsaugos inspekcijos nuostatus tvirtina Vyriausybė. 1 dalies redakcija nuo 2011 m. rugsėjo 1 d.:

1. Kaip vykdomas šis įstatymas, išskyrus 8 ir 35 straipsnius, prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto.

1

Jos administracijos struktūrą tvirtina

Vyriausybė arba paveda tvirtinti Valstybinės duomenų apsaugos inspekcijos vadovui. Valstybinės duomenų apsaugos inspekcijos nuostatus tvirtina Vyriausybė.

2. Valstybinė duomenų apsaugos inspekcija yra viešasis juridinis asmuo, turintis atsiskaitomąją sąskaitą banke ir antspaudą su Lietuvos valstybės herbu bei savo pavadinimu.

3. Svarbiausi Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra prižiūrėti duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, užkirsti kelią duomenų tvarkymo pažeidimams, užtikrinti duomenų subjekto teisių apsaugą.

4. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti asmens duomenų tvarkymo teismuose. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

37 straipsnis. Valstybinės duomenų apsaugos inspekcijos veiklos teisiniai pagrindai ir principai

1. Valstybinė duomenų apsaugos inspekcija savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, šiuo ir kitais įstatymais bei kitais teisės aktais.

2. Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama šio įstatymo jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma. Jos teisės gali būti suvaržytos tik įstatymų.

3. Valstybės ir savivaldybių institucijos ir įstaigos, Seimo nariai ir kiti pareigūnai, politinės partijos, visuomeninės organizacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinės duomenų apsaugos inspekcijos direktoriui, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į Valstybinės duomenų apsaugos inspekcijos veiklą užtraukia įstatymų nustatytą atsakomybę.

38 straipsnis. Valstybinės duomenų apsaugos inspekcijos direktoriaus statusas 1. Valstybinei duomenų apsaugos inspekcijai vadovauja Valstybinės duomenų

apsaugos inspekcijos direktorius. 2. Valstybinės duomenų apsaugos inspekcijos direktorius yra valstybės tarnautojas –

įstaigos vadovas, į pareigas priimamas konkurso būdu 5 metų kadencijai ir iš jų atleidžiamas Ministro Pirmininko Valstybės tarnybos įstatymo nustatyta tvarka. Valstybinės duomenų apsaugos inspekcijos direktoriumi asmuo gali būti skiriamas ne daugiau kaip dvi kadencijas iš eilės.

3. Valstybinės duomenų apsaugos inspekcijos direktorius savo kadencijos laikotarpiu turi sustabdyti narystę politinėje partijoje.

4. Valstybinės duomenų apsaugos inspekcijos direktoriaus teisinę padėtį, be šio įstatymo, nustato ir Valstybės tarnybos įstatymas. 38 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.:

38 straipsnis. Valstybinės duomenų apsaugos inspekcijos vadovo statusas 1. Valstybinei duomenų apsaugos inspekcijai vadovauja Valstybinės duomenų

apsaugos inspekcijos direktorius. Jis yra valstybės biudžeto asignavimų valdytojas. 2. Valstybinės duomenų apsaugos inspekcijos direktorius yra valstybės pareigūnas –

įstaigos vadovas, kurį į pareigas 5 metų kadencijai priima ir iš jų atleidžia Vyriausybė Vyriausybės įstatymo nustatyta tvarka. Valstybinės duomenų apsaugos inspekcijos direktorius yra atskaitingas Vyriausybei ir teisingumo ministrui. Valstybinės duomenų apsaugos inspekcijos direktoriumi asmuo gali būti skiriamas ne daugiau kaip dvi kadencijas iš eilės.

3. Valstybinės duomenų apsaugos inspekcijos direktorius savo kadencijos laikotarpiu turi sustabdyti narystę politinėje partijoje. Straipsnio pakeitimai:

Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

39 straipsnis. Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojai

1. Valstybinės duomenų apsaugos inspekcijos direktorius turi pavaduotojų. 2. Pavaduotojus į pareigas priima Valstybinės duomenų apsaugos inspekcijos

direktorius Valstybės tarnybos įstatymo nustatyta tvarka. 3. Jeigu Valstybinės duomenų apsaugos inspekcijos direktoriaus nėra, jį laikinai

pavaduoja vienas iš pavaduotojų, laikinai atliekantis direktoriaus funkcijas.

40 straipsnis. Valstybinės duomenų apsaugos inspekcijos funkcijos Valstybinė duomenų apsaugos inspekcija: 1) tvarko Asmens duomenų valdytojų valstybės registrą, viešai skelbia jo duomenis ir

prižiūri duomenų valdytojų veiklą, susijusią su asmens duomenų tvarkymu; 2) nagrinėja asmenų prašymus Viešojo administravimo įstatymo nustatyta tvarka; 3) nagrinėja asmenų skundus ir pranešimus (toliau – skundai) šio įstatymo nustatyta

tvarka; 3 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

3) šio įstatymo nustatyta tvarka nagrinėja asmenų skundus ir pranešimus (toliau – skundai), pagal juos tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;

4) tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų; 4 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

4) Valstybinės duomenų apsaugos inspekcijos direktoriaus nustatyta tvarka tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;

5) išduoda leidimus duomenų valdytojams teikti asmens duomenis trečiųjų valstybių duomenų gavėjams;

6) rengia ir viešai skelbia savo veiklos metines ataskaitas; 7) teikia konsultacijas duomenų valdytojams, taip pat rengia metodines

rekomendacijas dėl asmens duomenų apsaugos ir jas viešai skelbia internete; 7 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

7) teikia konsultacijas duomenų subjektams, duomenų valdytojams ir tvarkytojams, kitiems asmenims dėl asmens duomenų ir privatumo apsaugos, taip pat rengia metodines rekomendacijas dėl asmens duomenų apsaugos ir jas viešai skelbia internete;

8) įstatymų nustatyta tvarka teikia pagalbą užsienyje gyvenantiems duomenų subjektams;

9) įstatymų nustatytais atvejais teikia informaciją kitoms valstybėms apie Lietuvos Respublikos duomenų apsaugą reglamentuojančius teisės aktus ir jų administravimo praktiką;

10) šio įstatymo nustatytais atvejais atlieka išankstinę patikrą ir teikia išvadas duomenų valdytojui apie numatomą duomenų tvarkymą; 10 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

10) šio ir kitų įstatymų nustatytais atvejais atlieka išankstinę patikrą ir teikia išvadas duomenų valdytojui apie numatomą duomenų tvarkymą;

11) bendradarbiauja su užsienio šalių asmens duomenų apsaugos institucijomis, Europos Sąjungos institucijomis, įstaigomis ir tarptautinėmis organizacijomis ir dalyvauja jų veikloje;

12) įgyvendina Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) nuostatas; 12 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

12) dalyvauja formuojant valstybės politiką asmens duomenų apsaugos srityje ir ją įgyvendina, taip pat įgyvendina Lietuvos politiką Europos Sąjungos asmens duomenų apsaugos srityje ir Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) nuostatas;

13) teikia pasiūlymus Seimui, Vyriausybei, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms dėl įstatymų ar kitų teisės aktų rengimo, keitimo, pripažinimo netekusiais galios, jeigu įstatymų ar kitų teisės aktų nuostatos yra susijusios su Valstybinės duomenų apsaugos inspekcijos kompetencijai priskirtais klausimais; 13 punkto redakcija nuo 2011 m. rugsėjo 1 d.:

13) dalyvauja rengiant įstatymų projektus, rengia kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, projektus, derina teisės aktų projektus ir teikia pasiūlymus Seimui, Vyriausybei, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms dėl įstatymų ar kitų teisės aktų rengimo, keitimo, pripažinimo netekusiais galios, jeigu įstatymų ar kitų teisės aktų nuostatos yra susijusios su Valstybinės duomenų apsaugos inspekcijos kompetencijai priskirtais klausimais;

14) vertina duomenų valdytojų pateiktas asmens duomenų tvarkymo taisykles; 15) atlieka kitas šiame ir kituose įstatymuose nustatytas funkcijas.

Straipsnis papildomas nauju 14 punktu, buvę 14 ir 15 punktai laikomi 15 ir 16 punktais nuo 2011 m. rugsėjo 1 d.:

14) teikia pasiūlymus Teisingumo ministerijai dėl valstybės politikos asmens duomenų apsaugos srityje formavimo ir dėl Lietuvos politikos Europos Sąjungos asmens duomenų apsaugos srityje formavimo;.

15) vertina duomenų valdytojų pateiktas asmens duomenų tvarkymo taisykles; 16) atlieka kitas šiame įstatyme ir kituose teisės aktuose nustatytas funkcijas.

Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

41 straipsnis. Valstybinės duomenų apsaugos inspekcijos teisės Valstybinė duomenų apsaugos inspekcija turi teisę: 1) nemokamai gauti iš valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir

fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant asmens duomenų tvarkymo priežiūros funkcijas;

2) iš anksto raštu įspėjus, o atliekant asmens duomenų tvarkymo teisėtumo patikrinimą pagal skundą – be išankstinio įspėjimo, įeiti į tikrinamo asmens patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu) arba teritoriją, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu. Įeiti į tikrinamo juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitu pagrindu) galima tik tikrinamo juridinio asmens darbo laiku pateikus valstybės tarnautojo pažymėjimą. Įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu), kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, galima tik pateikus teismo nutartį dėl leidimo įeiti į gyvenamąsias patalpas;

3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su duomenų apsauga;

4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl duomenų tvarkymo ar apsaugos ekspertizės, duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;

5) duoti duomenų valdytojui rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir apsaugos;

6) įstatymų nustatyta tvarka surašyti administracinių teisės pažeidimų protokolus; 7) keistis informacija su kitų valstybių asmens duomenų priežiūros institucijomis ir

tarptautinėmis organizacijomis tiek, kiek to reikia jų pareigoms atlikti;

8) dalyvauti teisme nagrinėjant bylas dėl tarptautinės ir nacionalinės teisės nuostatų asmens duomenų apsaugos klausimais pažeidimų;

9) asmens duomenų tvarkymo teisėtumo patikrinimo metu renkant įrodymus naudoti fotografavimo, filmavimo ir garso įrašymo įrangą;

10) kitas įstatymų ir kitų teisės aktų nustatytas teises.

Įstatymas papildomas 411 straipsniu nuo 2011 m. rugsėjo 1 d.: 411 straipsnis. Teismo leidimų įeiti į fizinių asmenų gyvenamąsias patalpas

išdavimo tvarka 1. Valstybinei duomenų apsaugos inspekcijai priėmus nutarimą atlikti patikrinimą

fizinio asmens gyvenamosiose patalpose (iš jų ir nuomojamose ar naudojamose kitu pagrindu), Vilniaus apygardos administraciniam teismui pateikiamas prašymas dėl teismo leidimo įeiti į fizinio asmens gyvenamąsias patalpas.

2. Prašyme dėl teismo leidimo įeiti į fizinio asmens gyvenamąsias patalpas turi būti nurodytas tikrinamo fizinio asmens vardas, pavardė, gyvenamųjų patalpų adresas, įtariamų pažeidimų pobūdis.

3. Prašymą dėl teismo leidimo įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas išnagrinėja Vilniaus apygardos administracinio teismo teisėjas ir priima motyvuotą nutartį prašymą patenkinti arba atmesti.

4. Prašymas dėl teismo leidimo įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas turi būti išnagrinėtas ir nutartis priimta ne vėliau kaip per 72 valandas nuo prašymo pateikimo momento.

5. Jeigu Valstybinė duomenų apsaugos inspekcija nesutinka su Vilniaus apygardos administracinio teismo teisėjo nutartimi atmesti prašymą, ji turi teisę per 7 kalendorines dienas nuo šios nutarties priėmimo ją apskųsti Lietuvos vyriausiajam administraciniam teismui.

6. Lietuvos vyriausiasis administracinis teismas turi išnagrinėti Valstybinės duomenų apsaugos inspekcijos skundą dėl Vilniaus apygardos administracinio teismo teisėjo nutarties ne vėliau kaip per 7 kalendorines dienas nuo šio skundo pateikimo. Valstybinės duomenų apsaugos inspekcijos atstovas turi teisę dalyvauti nagrinėjant skundą.

7. Lietuvos vyriausiojo administracinio teismo priimta nutartis yra galutinė ir neskundžiama. Įstatymas papildytas straipsniu: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

DEŠIMTASIS SKIRSNIS SKUNDŲ PRIĖMIMAS IR TYRIMAS

42 straipsnis. Skundų pateikimas 1. Asmuo turi teisę pateikti Valstybinei duomenų apsaugos inspekcijai skundą dėl

duomenų valdytojo veiksmų (neveikimo), kuriais pažeidžiamos šio įstatymo nuostatos. 2. Valstybinė duomenų apsaugos inspekcija tiria ir kitų institucijų jai persiųstus

asmenų skundus. 3. Skundai paprastai paduodami raštu, įskaitant elektroninę formą. Elektroniniu būdu

pateikti dokumentai turi būti pasirašyti saugiu elektroniniu parašu. Jeigu skundas gautas žodžiu arba Valstybinė duomenų apsaugos inspekcija nustatė šio įstatymo pažeidimo požymių iš visuomenės informavimo priemonių ir (arba) iš kitų šaltinių, ji gali pradėti tyrimą savo iniciatyva.

4. Skundais nelaikomi asmenų kreipimaisi žodžiu ar raštu, kuriuose neskundžiami duomenų valdytojų veiksmai (neveikimas), o prašoma paaiškinti, suteikti kitą informaciją ar pageidaujamus dokumentus.

43 straipsnis. Reikalavimai skundui 1. Skunde nurodoma:

1) adresatas – Valstybinė duomenų apsaugos inspekcija; 2) pareiškėjo vardas, pavardė, adresas ir pareiškėjo pageidavimu – jo telefono ryšio

numeris ar elektroninio pašto adresas; 3) skundžiamo duomenų valdytojo pavadinimas arba vardas, pavardė, buveinės,

gyvenamosios arba duomenų tvarkymo vietos adresas; 4) skundžiamų veiksmų (neveikimo) apibūdinimas, jų padarymo laikas ir aplinkybės; 5) pareiškėjo prašymas Valstybinei duomenų apsaugos inspekcijai; 6) skundo surašymo data ir pareiškėjo parašas. 2. Prie skundo gali būti pridedami turimi įrodymai ar jų aprašymas. 3. Šio straipsnio 1 dalyje nurodytos skundo formos nesilaikymas ar rekvizitų

nenurodymas negali būti pagrindas atsisakyti nagrinėti skundą.

44 straipsnis. Anoniminiai skundai Anoniminiai skundai nenagrinėjami, jeigu Valstybinės duomenų apsaugos inspekcijos

direktorius nenusprendžia kitaip.

45 straipsnis. Atsisakymas nagrinėti skundą 1. Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 5 darbo dienas nuo

skundo gavimo dienos priima sprendimą atsisakyti nagrinėti skundą, apie tai informuodama pareiškėją, jeigu:

1) skunde nurodytų aplinkybių tyrimas nepriklauso Valstybinės duomenų apsaugos inspekcijos kompetencijai;

2) skundas tuo pačiu klausimu buvo išnagrinėtas Valstybinėje duomenų apsaugos inspekcijoje, išskyrus atvejus, kai nurodoma naujų aplinkybių ar pateikiama naujų faktų;

3) skundas tuo pačiu klausimu buvo išnagrinėtas arba yra nagrinėjamas teisme; 4) dėl skundo dalyko yra priimtas procesinis sprendimas pradėti ikiteisminį tyrimą; 5) skundo tekstas yra neįskaitomas;

1 dalis papildoma 6 punktu nuo 2011 m. rugsėjo 1 d.: 6) nuo skunde nurodytų pažeidimų padarymo iki skundo padavimo yra praėję

daugiau kaip 1 metai.

2. Jeigu priimamas sprendimas atsisakyti nagrinėti skundą, turi būti nurodyti atsisakymo jį nagrinėti pagrindai.

3. Tais atvejais, kai skundas nepriskirtas Valstybinės duomenų apsaugos inspekcijos kompetencijai, Valstybinė duomenų apsaugos inspekcija per šio straipsnio 1 dalyje nurodytą terminą perduoda skundą institucijai, kuri turi reikiamą kompetenciją, ir apie tai praneša pareiškėjui. Kai kompetentinga institucija yra teismas, skundas grąžinamas pareiškėjui pateikiant reikalingą informaciją. Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

46 straipsnis. Skundo nagrinėjimo nutraukimas 1. Jeigu gaunamas pareiškėjo prašymas nenagrinėti skundo, Valstybinė duomenų

apsaugos inspekcija tyrimą nutraukia. Valstybinė duomenų apsaugos inspekcija gali pradėti tyrimą savo iniciatyva.

2. Skundo tyrimas nutraukiamas, jeigu tyrimo metu paaiškėja šio įstatymo 45 straipsnio 1 dalyje nurodytos aplinkybės arba kitais šio įstatymo nustatytais atvejais.

47 straipsnis. Papildomos informacijos iš pareiškėjo prašymas 1. Dokumentų ir informacijos, reikalingų skundo tyrimui, reikalavimas iš pareiškėjo

turi būti teisėtas ir motyvuotas. 2. Pareiškėjas Valstybinės duomenų apsaugos inspekcijos prašymu privalo pateikti

dokumentus ir informaciją per prašyme nurodytą terminą. Pakartotinai reikalauti dokumentų

ir informacijos iš pareiškėjo galima tik išimtiniais atvejais ir tinkamai motyvuojant šių dokumentų ir informacijos būtinumą.

3. Jeigu pareiškėjas nepateikia Valstybinės duomenų apsaugos inspekcijos prašomų dokumentų ir informacijos, be kurių neįmanomas skundo tyrimas, skundas netiriamas.

48 straipsnis. Skundo priėmimas Skundo priėmimo faktas patvirtinamas Valstybinės duomenų apsaugos inspekcijos

raštu. Rašte nurodoma skundo priėmimo data, skundą nagrinėjančio Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojo vardas, pavardė, telefono ryšio numeris, skundo registracijos numeris. Skundo priėmimo faktą patvirtinantis dokumentas pareiškėjui įteikiamas arba siunčiamas paštu ar elektroniniu paštu ne vėliau kaip per 3 darbo dienas.

49 straipsnis. Skundo ištyrimo terminai Skundas turi būti ištirtas ir pareiškėjui atsakyta per 2 mėnesius nuo skundo gavimo

dienos, išskyrus atvejus, kai dėl skunde nurodytų aplinkybių sudėtingumo, informacijos apimties ar skundžiamų veiksmų tęstinio pobūdžio būtina skundo tyrimą pratęsti. Šiais atvejais skundo tyrimo terminas pratęsiamas, bet ne ilgiau kaip 2 mėnesiais. Visas skundo tyrimo terminas negali būti ilgesnis negu 4 mėnesiai. Apie Valstybinės duomenų apsaugos inspekcijos sprendimą pratęsti skundo tyrimo terminą informuojamas pareiškėjas. Skundai turi būti ištirti per įmanomai trumpiausią laiką.

50 straipsnis. Valstybinės duomenų apsaugos inspekcijos reikalavimų privalomumas

Duomenų valdytojai ir kiti juridiniai ir fiziniai asmenys privalo Valstybinės duomenų apsaugos inspekcijos reikalavimu nedelsdami pateikti informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat sudaryti sąlygas susipažinti su visais duomenimis, įranga, susijusia su asmens duomenų tvarkymu, ir dokumentais, reikalingais atliekant asmens duomenų tvarkymo priežiūros funkcijas.

51 straipsnis. Skundo tyrimas ir Valstybinės duomenų apsaugos inspekcijos priimami sprendimai

1. Valstybinė duomenų apsaugos inspekcija, atlikusi tyrimą, priima motyvuotą sprendimą:

1) pripažinti skundą pagrįstu; 2) atmesti skundą; 3) nutraukti skundo tyrimą. 2. Sprendimą pasirašo Valstybinės duomenų apsaugos inspekcijos direktorius. 3. Valstybinės duomenų apsaugos inspekcijos sprendimai įstatymų nustatyta tvarka

gali būti skundžiami teismui.

52 straipsnis. Pareiga saugoti Lietuvos Respublikos įstatymų saugomas paslaptis ar duomenis

Valstybinės duomenų apsaugos inspekcijos direktorius, valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, privalo išsaugoti valstybės, tarnybos, profesines, komercines (gamybines), banko ir kitas įstatymų saugomas paslaptis ir įstatymų saugomus asmens duomenis, kuriuos sužinojo eidami pareigas.

VIENUOLIKTASIS SKIRSNIS ATSAKOMYBĖ

53 straipsnis. Atsakomybė už šio įstatymo pažeidimą Duomenų valdytojams, duomenų tvarkytojams ir kitiems asmenims, pažeidusiems šį

įstatymą, taikoma įstatymų nustatyta atsakomybė. 53 straipsnio redakcija nuo 2011 m. rugsėjo 1 d.:

53 straipsnis. Atsakomybė už šio įstatymo pažeidimus Asmenys, pažeidę šį įstatymą, atsako įstatymų nustatyta tvarka.

Straipsnio pakeitimai: Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28)

54 straipsnis. Turtinės ir neturtinės žalos atlyginimas 1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų

valdytojo ar duomenų tvarkytojo, taip pat dėl kitų asmenų veiksmų (neveikimo), pažeidžiančių šio įstatymo nuostatas, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.

2. Turtinės ir neturtinės žalos dydį nustato teismas.

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

RESPUBLIKOS PREZIDENTAS ALGIRDAS BRAZAUSKAS

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo priedas

ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL 2004 m. specialusis leidimas, 13 skyrius, 15 tomas, p. 355).

______________

Pakeitimai:

1. Lietuvos Respublikos Seimas, Įstatymas Nr. VIII-662, 98.03.12, Žin., 1998, Nr.31-819 (98.04.01) LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 1, 2, 3, 5, 6, 7, 8, 9, 14 STRAIPSNIŲ PAKEITIMO IR PAPILDYMO ĮSTATYMAS

2. Lietuvos Respublikos Seimas, Įstatymas Nr. VIII-1852, 00.07.17, Žin., 2000, Nr.64-1924 (00.07.31) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO ĮSTATYMAS Šis įstatymas įsigalioja nuo 2001 m. sausio 1 d., išskyrus: 1) 1 straipsnio 3 dalies 2 punktą, kuris įsigalioja Lietuvai tapus Europos Sąjungos nare; 2) 20 straipsnį, kuris įsigalioja 2003 m. sausio 1 d. Šio įstatymo 24 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis. Nauja įstatymo redakcija nuo 2001 m. sausio 1 d.

3. Lietuvos Respublikos Seimas, Įstatymas Nr. IX-719, 2002-01-22, Žin., 2002, Nr. 13-473 (2002-02-06) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 1, 2, 3, 5, 7, 14, 15, 16, 18, 20, 22, 24, 26 STRAIPSNIŲ PAKEITIMO IR PAPILDYMO ĮSTATYMAS

4.

Lietuvos Respublikos Seimas, Įstatymas Nr. IX-970, 2002-06-20, Žin., 2002, Nr. 68-2769 (2002-07-03) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAPILDYMO 10(1) STRAIPSNIU IR 15, 17 STRAIPSNIŲ PAKEITIMO ĮSTATYMAS

5. Lietuvos Respublikos Seimas, Įstatymas Nr. IX-1296, 2003-01-21, Žin., 2003, Nr. 15-597 (2003-02-12) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO ĮSTATYMAS Šis Įstatymas, išskyrus 1 straipsnio 3 dalies 3 punktą, 6 dalį, 23 straipsnį, įsigalioja nuo 2003 m. liepos 1 d. Šio Įstatymo 1 straipsnio 3 dalies 3 punktas ir 6 dalis įsigalioja Lietuvai tapus Europos Sąjungos nare. Šio Įstatymo 23 straipsnis įsigalioja nuo 2004 m. balandžio 1 d. Šio Įstatymo 28 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis. Nauja įstatymo redakcija nuo 2003 m. liepos 1 d.

6. Lietuvos Respublikos Seimas, Įstatymas Nr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 23 IR 26 STRAIPSNIŲ PAKEITIMO ĮSTATYMAS

7. Lietuvos Respublikos Seimas, Įstatymas Nr. X-1444, 2008-02-01, Žin., 2008, Nr. 22-804 (2008-02-22) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO ĮSTATYMAS Šis įstatymas, išskyrus šio straipsnio 2 dalį, įsigalioja nuo 2009 m. sausio 1 d. Nauja įstatymo redakcija

8. Lietuvos Respublikos Seimas, Įstatymas Nr. XI-1372, 2011-05-12, Žin., 2011, Nr. 65-3046 (2011-05-28) ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 1, 2, 3, 6, 20, 21, 22, 24, 25, 26, 27, 29, 33, 35, 36, 38, 40, 45, 53 STRAIPSNIŲ, KETVIRTOJO IR DEVINTOJO SKIRSNIŲ PAVADINIMŲ PAKEITIMO IR PAPILDYMO IR ĮSTATYMO PAPILDYMO 13(1), 15(1), 35(1), 41(1) STRAIPSNIAIS ĮSTATYMAS Šis įstatymas, išskyrus 6 straipsnį ir šio straipsnio 3 dalį, įsigalioja 2011 m. rugsėjo 1 d. Šio įstatymo 6 straipsnis įsigalioja 2011 m. liepos 1 d.

*** Pabaiga ***

Redagavo Aušrinė Trapinskienė (2011-05-31) ausrine.trapinskiene@lrs.lt


No data available.

WIPO Lex No. LT077