ASMENS DUOMENŲ APSAUGOS TEISINIAI ASPEKTAI

VILNIAUS UNIVERSITETOKAUNO HUMANITARINIS FAKULTETASInformatikos katedra

ASMENS DUOMENŲ APSAUGOS TEISINIAI ASPEKTAIs a v a r a n k i š k a s d a r b a s

Atliko: A. Kalašinskas

KAUNAS 2004

TURINYS

1. ĮVADAS 42. TEISINĖS ASMENS DUOMENŲ APSAUGOS TENDENCIJOS EUROPOS SĄJUNGOJE 52.1 ES piliečių požiūris į privatumą IT kontekste 52.2 Pagrindinės ES valdžios institucijų veiklos gairės asmens duomenų teisinės apsaugos srityje 2003 – 2004 m. 63. TEISINIS DUOMENŲ APSAUGOS REGULIAVIMAS LIETUVOJE 133.1 Bendra situacija 133.2 Teisinė bazė 133.3 Kontrolė ir priežiūra 143.4 Problemos, iškylančios duomenų apsaugos teisinio reguliavimo prosesuose ir jų sprendimo būdai Lietuvoje 213.4.1 Dažniausiai pasitaikantys pažeidimai 213.4.2 Bendro pobūdžio problematika 244. IŠVADOS 266. PRIEDAI 306.1 Priedas nr.1 Lindqvist bylos esmė 306.2 Priedas nr.2 Asmens duomenų teisinės apsaugos įstatymas 32

1. ĮVADASDidėjant ekonominei informacijos naudai, didėja ir įvairių rūšių pagundos pasinaudoti tokia nauda neteisėtiems tikslams. Privatumą sauganti techninė bei programinė įranga susiduria su ypatingai pažeidžiama sistemos grandimi – žmogiškuoju faktoriumi.Teisinė duomenų apsauga apima platų spektrą sistemos elementų – reguliuoja tiek techninę, programinę sistemos dalis tiek ir tų sistemų administratorių bei vartotojų veiksmus – žmogiškąjį faktorių.Šio darbo tikslas – apibrėžti pagrindines teisinio asmens duomenų reguliavimo kryptis Lietuvoje bei visoje Europos sąjungoje, identifikuoti pagrindines iškylančias problemas bei tų problemų sprendimo variantus.Darbas susideda iš dviejų pagrindinių dalių – pirmoje, remiantis pastaraisiais metais vykusių konferencijų medžiaga nurodomos pagrindinės duomenų apsaugos specialistų darbo kryptys Europos sąjungos mastu.Antroje dalyje aprašoma situacija Lietuvoje, pateikiami asmes duomenų apsaugą reguliuojančių teisės aktų sąrašas, kontrolės ir įstatymų tobulinmo mechanizmai, pateikiamos ištraukos iš konkrečių bylų.

2. TEISINĖS ASMENS DUOMENŲ APSAUGOS TENDENCIJOS EUROPOS SĄJUNGOJE Duomenų apsaugos priežiūros institucijoms susiduriant su naujais iššūkiais (tokiais kaip biometrinių duomenų naudojimas, duomenų kaip prekės vaidmens didėjimas, taip pat globalizacija ir kt.) teisinį tokių situacijų formalizavimą bei jo lankstumą įgyvendinti darosi sudėtingiau.Europos Taryba jau nuo 1972 m. dirba duomenų apsaugos srityje, kreipdama dėmesį į asmens duomenų tvarkymą automatiniu būdu. 1981 m. Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu tebelieka svarbiausiu tarptautinės teisės dokumentu, kurio pagrindinis tikslas yra apginti žmogaus teisę į privatų gyvenimą, ir kuris keičiantis situacijai plečiasi ir adaptuojasi. Konvencijos papildomo protokolo priėmimas praplėtė reglamentavimą dviem aspektais – dėl duomenų apsaugos priežiūros institucijų nepriklausomumo ir dėl duomenų srautų, kertančių valstybių sienas.[1]2.1 ES piliečių požiūris į privatumą IT kontekste2003 m. rudenį Europos Komisija atliko Eurobarometer tyrimą dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. 2004 m. sausio pabaigoje Europos Komisija ataskaitoje apie šį tyrimą pateikė įdomią informaciją apie Europos Sąjungos piliečių požiūrį į privatumą, jų asmens duomenų tvarkymą viešosiose institucijose ir privačiose organizacijose.[2] Įdomu tai, kad beveik 3 iš 4 respondentų pasitiki policijos informacinėms sistemomis, kuriose tvarkoma asmeninė informacija, reikalinga vykdydant šios institucijos funkcijas. Didžiausias pasitikėjimo laipsnis nustatytas Šiaurės valstybėse, pvz., Suomijoje pasitiki 87 % respondentų. Mažiausiai pasitikima tinkamu asmens duomenų tvarkymu policijos sektoriuje Belgijoje – 64 % ir Jungtinėje Karalystėje – 66 %. Valstybinėmis institucijomis vidutiniškai pasitiki 55 % respondentų. Mažiausiai pasitikima šių institucijų tinkamu asmens duomenų tvarkymu Airijoje ir Jungtinėje Karalystėje. Didžiausias pasitikėjimas nustatytas Danijoje – 76 %.84 % apklaustųjų tiki, kad sveikatos priežiūros įstaigos tinkamai tvarko jų asmens duomenis. Tuo tarpu, draudimo kompanijomis pasitiki tik 48 % apklaustųjų. Dar mažiau Europos Sąjungos piliečių pasitiki kreditinių kortelių kompanijomis, nepasitikėjimas jomis siekia iki 42 %. 15 Europos Sąjungos valstybių piliečių pasitikėjimas bankais ir finansinėmis institucijomis siekia maždaug 55%.2.2 Pagrindinės ES valdžios institucijų veiklos gairės asmens duomenų teisinės apsaugos srityje 2003 – 2004 m.· Biometrinių duomenų naudojimas asmenybei identifikuoti. 2003 m. rugsėjo 8 d. Australijoje vyko konferencija “Kūnas kaip duomenys”, skirta šiuo metu ypač plačiai diskutuojamai galimybei identifikuoti asmenis panaudojant naudoti žmogaus lasteles bei kitus organus. Tokiu atvėju mūsų kūnas tampa informacijos šaltiniu, slaptažodžiu (pirštų atspaudai, balsas, parašas, DNR). Šie duomenys yra skirti ne tik tapatybei nustatyti, bet ir papildomų atpažinimo, identifikavimo programų sukūrimui. Čia atsiranda viena iš problemų – tam tikri biometriniai duomenys apima daugiau informacijos nei yra reikalinga identifikavimui. Kovoje prieš terorizmą prioritetas suteikiamas saugumui, tačiau ginant vienas vertybes automatiškai sumažinama kitų apsauga. Kalbant apie biometrinius duomenis reikia nepamiršti žmogaus teisės į sveikatą ir sveiką gyvenimą, taip pat į savo asmenybės apsaugą. Europos Sąjungos žmogaus teisių chartijos 7 ir 8 straipsniai aiškiai nustato šių žmogaus teisių apsaugos standartus, o duomenų apsauga įvardijama kaip viena iš svarbiausių asmens laisvės komponenčių, konstitucinė vertybė arba asmens konstitucionalizavimas [4]. Turi būti gerbiamas asmens fizinis ir intelektinis vientisumas, negalima atimti galimybės individui kontroliuoti savo kūną, asmenybę. Kita vertus, biometrinių duomenų naudojimas gali stiprinti saugumą, tačiau pamiršti šių duomenų naudojimo tikslo ir mechanizmų nereikėtų. Visų pirma duomenys turi būti tikslūs. Taip pat reikia atsižvelgti į tai, jog tam tikrų biometrinių duomenų naudojimas kelia problemas: kaip pavyzdį galima pateikti pirštų atspaudų naudojimą, kuomet tokie duomenys gali būti panaudoti visai kitiems tikslams, nei identifikavimas ar autentifikavimas – pirštų atspaudų atgaminimo rezultatai gali būti paskelbti, tokie duomenys gali būti paprasčiausiai pavogti. Biometriniai duomenys neturėtų būti saugomi duomenų bazėje. Duomenų subjekto sutikimas ne visada yra tinkamas sprendimas, gaunant genetinius duomenis.Sąvoka „asmeninė informacija“ turi būti suprantama kiek įmanoma plačiau. Konferencijoje buvo pateiktas pavyzdys, kuomet norvegų mokslininkas buvo pasamdytas ligoninės, tam kad atliktų savo kraujo tyrimus, tačiau po šių tyrimų mokslininkui nebuvo leista pasiimti savo kraujo mėginių, nes tai yra ligoninės turtas. Norvegijos Duomenų priežiūros institucija pritarė ligoninės požiūriui į kraujo mėginius. I-os instancijos teismas priėmė sprendimą, kad kraujo pavyzdžiai nėra asmens duomenys. Tačiau ši byla konferencijos vykimo metu dar nebuvo galutinai baigta, ji pateko į aukštesniam teismui [4]. Kūno materija nėra duomenys, tačiau informacija, gaunama iš jos, yra asmens duomenys, todėl visuomet tavrkant asmeninius duomenis turi būti tokio tvarkymo priežastis – teisinis pagrindas. Reikia spręsti, ar tinkamai yra taikomas asmens duomenų apsaugos įstatymas šiems audiniams. Pvz., jei asmuo rado nosinę su kraujo dėmėmis ir nunešė ją tirti, tai gali būti nusikaltimas, nes tai darysi be nosinės savininko žinios ir sutikimo. Kalbant apie biometrinius duomenis labai svarbu yra atkreipti dėmesį į tokius klausimus: ar yra įmanoma identifikuoti asmenį per atstumą, ar biometriniai duomenys palieka pėdsakus. Ypač svarbus yra kontekstas, kur šie duomenys yra tvarkomi ir naudojami. Biometriniai duomenys ne visada būna tikslūs, gali būti, kad ateityje žmogaus kūne bus įmanoma patalpinti prietaisus, kurių nebus galima pašalinti, ir žmogų bus galima visiškai kontroliuoti, t.y. jo buvimo vietą, jo pomėgius, ir t.t. Taigi, kalbant apie biometrinius duomenis buvo pasiekta vieninga nuomonė, kad, visų pirma, turi būti atskirti tie duomenys, kurie palieka pėdsakus, ir tie, kurie jų nepalieka. Taip pat yra svarbu, kad tokių duomenų saugojimas be duomenų subjekto informavimo būtų uždraustas. Vokietijoje yra leista naudoti tokius duomenis asmens tapatybės kortelėje. Europos Tarybos projektų grupė dėl duomenų apsaugos nutarė paruošti gaires dėl biometrinių duomenų tvarkymo. Dar vienas šios srities problematikos aspektas – akies rainelės (IRIS) atpažinimo ir identifikavimo technologijos, kalbant apie kurias, iškyla toks privatumo apsaugos klausimas: ar šios technologijos labai giliai įsibrauna į asmens privatų gyvenimą, ar šiomis technologijomis atliekamos procedūros yra atviros ir savanoriškos. IRIS yra individualus ir unikalus asmens duomuo. Kiekviena IRIS duomenų bazėje yra unikali, ji nesikeičia visą žmogaus gyvenimą. Nemažai valstybių IRIS naudoja kaip asmens pasą, pagal kurį galima tiksliai identifikuoti asmenį, pvz., Hong Konge, Korėjoje, Olandijoje, kt. IRIS yra naudojama oro uostuose. Šios technologijos labai patikimos, klaidos galimybė ypač maža. IRIS identifikavimo technologijos suteikia labai daug galimybių, ir tik nuo pačių žmonių priklauso, kokiu būdu jos bus panaudotos. Vienur yra kaupiamos IRIS duomenų bazės, kitur ši informacija yra mikroprocesorinėse kortelėse. Svarbu yra tai, jog Iš IRIS jokios kitos informacijos, išskyrus reikalingą asmens identifikavimui išgauti negalima [4]. · Duomenų teikimo trečiosioms šalims klausimai. Pastaruoju metu ši problema tampa visa aktualesnė. Keičiantis pasaulio politinei situacijai, stiprėjant tokiems reiškiniams kaip terorizmas taip pat globalizacija – duomenys vis dažniau “kerta” valstybių sienas, arba jų visai nepaiso. Teisinis tokių procesu reglamentavimas tampa problematiškas dėl nesuderintų atskirų valstybių teisės aktų bei grėsmių (terorizmo atvėju), atsirandančių duomenų nesuteikimo atvejais.Teisinės duomenų apsaugos specialistai pripažįsta, jog įtakos tam tikram savitumui privatumo apsaugos ir požiūrio į patį privatumą skirtinguose pasaulio

regionuose turėjo kultūrų, teisinių sistemų skirtumai, taip pat ekonominiai ir socialiniai aspektai, tradicijos.2003 – 2004 m. ypač aktualios diskusijos dėl apie JAV ir Europos Sąjungos nesutarimus dėl oro linijų keleivių duomenų perdavimo JAV, motyvuojant tuo, kad šie duomenys yra reikalingi kovai su terorizmu. 2003 m. birželio 16-18 d. Vykusios ES Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu patariamojo komiteto darbo grupės susitikime buvo išreikšta nuomonė, kad tikslas nėra labai aiškus, per daug platus ir nekonkretus. Jungtinės Karalystės atstovas pažymėjo, kad susitikimuose JAV pasienio pareigūnai patvirtino, kad jiems ypatingų asmens duomenų nereikia. Tačiau šiuo atveju reikia tiksliai nustatyti, kokie duomenys yra reikalingi, kad nebūtų pažeistas proporcingumo principas. [5] Pagrindiniai duomenų apsaugos principai, įtvirtinti Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu 5 straipsnyje, neturi būti pažeisti. Nors Konvencijos 9 straipsnis numato išimtis, tačiau jos negali būti aiškinamos ir taikomos perplačiai, kad netaptų taisykle.2003 m. lapkričio 20 – 21 d. Briuselyje vykusiame 29-ojo straipsnio duomenų apsaugos darbo grupės susitikime [6] pažymėta, kad derybose su JAV yra pasiekta pažanga, tačiau ji nepakankama. Akcentuota, kad perduodamų duomenų sąrašas turi būti mažinamas, duomenų saugojimo terminas tikslinamas, nustatant ilgesnį terminą dėl sunkių baudžiamųjų nusikaltimų. Reiktų numatyti papildomas saugumo priemones dėl senų duomenų saugojimo. Šiuo klausimu numatoma susitikti su specialiųjų tarnybų atstovais. Buvo kalbama apie tarptautinės sutarties dėl duomenų teikimo į JAV (taip pat į Australiją ir kt.) reikalingumą. Pabrėžta, kad reikia kuo greičiau atrasti teisiškai pagrįstą sprendimą dėl tokių duomenų teikimo ir ieškoti ilgalaikio sprendimo dėl duomenų apsaugos adekvatumo. Buvo kalbama apie būtinumą parengti integruotą požiūrį dėl vizų, paso, biometrinių duomenų, siekiant, kad žmogaus teisės būtų labiau užtikrinamos. Pasakota, kad Olandijoje buvo atliktas tikrinimas ir nustatyta, kad ne visos oro linijų kompanijos teisingai informuoja asmenis ir dėl to joms buvo pateikti raštai.· Paieškos variklių problema. 2003 m. birželio 16-18 d. Vykusios ES Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu patariamojo komiteto darbo grupės susitikime buvo atkreiptas dėmesys į būtinybę domėtis vadinamaisiais paieškos varikliais (pvz. www.google.com), kur yra galimybė įvedus vardą ir pavardę gauti apie žmogų visą informaciją, kuri yra paskelbta internete [7].· Ypatingas dėmesys – visuomenės informavimui ir švietimui. Duomenų apsaugos institucijos veiklos viešumas daro ją atsakingą prieš visuomenę, ši institucija turi būti pajėgi paaiškinti, ką ji veikia, atsiskaityti visuomenei apie savo veiklą. Ypač yra svarbu skelbti bylas, kurios buvo išspręstos, taikant asmens duomenų teisinės apsaugos įstatymą. Kitas būdas yra teikti informaciją privačiajam sektoriui, tokiu būdu skatinant geresnį įstatymo nuostatų laikymąsi ir tuo pačiu išvengti interesų konflikto ateityje [8].· Teisės aktų, reglamentuojančių asmens duomenų tvarkymą suvienodinimas visoje ES teritorijoje. Šioje srityje dirba Europos komisijos Darbo grupė asmens apsaugai tvarkant asmens duomenis (DG 29) tiek pareikšdama nuomones, tiek priimdama darbinius dokumentus, tačiau bendradarbiavimas Europoje nėra pakankamas. Europos taryba, Europos komisija, Europos tarybos valstybės narės kartais dubliuoja atliekamus darbus.[3]Greta atskirų klausimų sprendimo grupėse, toliau lygegrečiai vyksta prieš keletą metų pradėtas valstybių narių ir ES duomenų apsaugą reglamentuojančių teisės aktų harmonizavimas. Taip pat išlieka nuomonė, jog tkslinga nustatyti tarptautinius privatumo apsaugos standartus.Tarptautinė vartotojų organizacija (Consumers International) atliko tyrimą, kuriuo nustatė, jog 50% ES įkurtų internetinių verslo puslapių neturėjo privatumo pareiškimo. Vartotojams ypač svarbu, kad būtų keliamas vartotojų žinių lygis, sukurti privatumo praktikos standartai, stiprinamas įstatymų privatumo nuostatų įgyvendinimas, bendradarbiaujama su kitomis valstybėmis. Kalbant apie privatumo pareiškimą, – jis ų būti kiekviename internetiniame puslapyje, renkančiame ir tvarkančiame asmens duomenis siekiant pelno, ir būtų ne 10 lapų, o 5 trumpi sakiniai, kuriuos galima perskaityti per 20 sekundžių.· Ekonominės gerovės ir asmens teisės į privatų gyvenimą derinimas. Asmens duomenų ekonominė vertė yra būtina ekonominiuose sandoriuose, tačiau kita vertybė yra asmens teisė į privatų gyvenimą. Ką reiškia laisvas asmens duomenų judėjimas šiame pasaulyje? 2003 m. rugsėjo 10 – 12 d. Sidnėjuje (Australija) vykusios 25-osios tarptautinės duomenų apsaugos ir privatumo komisionierių konferencijos metu šiuo klausimu pranešimus skaitė keletas stambių tarptautinių kompanijų atstovai. ichael Mitchell, Australijos aviakompanijos „Qantas“ atstovas, pristatė savo kompanijos privatumo strategiją ir veiklą, stiprinant klientų pasitikėjimą dėl jų asmens duomenų tvarkymo. Konferencijos dalyviai buvo informuoti, kokią informaciją kompanija renka apie savo klientus (identifikavimo duomenys, kelionės agentas, dažnai keliaujančio keleivio statusas ir privilegijos, bilietų rezervavimas, bilietai, maršrutas (gali paprašyti medicininių duomenų), užsiregistravimas ir įsėdimas, saugumas ir pasienio kontrolė). Keleivių informacija naudojama operaciniais tikslais (Vokietijoje bilietų rezervavimo sistema), ekonominei prognozei, taip pat tiesioginei rinkodarai ir pan. Problemos kyla, tvarkant šiuos asmens duomenis, dažniausiai dėl informacijos naudojimo kompanijos dukterinėse įmonėse ir šakose, o taip pat dėl tarptautinių skirtumų privatumo įstatymuose. Tačiau pranešėjas pabrėžė, kad yra labai gerai kontroliuojamas priėjimas prie šių sąrašų. Pažymėtina ir Lenkijos patirtis šioje asmens duomenų apsaugos srityje [10] – Lenkijos duomenų apsaugos institucija priėmė sprendimą, kad bendrovės negali keistis duomenimis tų asmenų, kurie ketina tapti klientais, t.y. negalima rinkti duomenų ,,ateities tikslams“. · Informacijos rinkimas be duomenų subjekto sutikimo. Tai tiesioginis asmens privatumo teisės pažeidimas, pasitaikantis ganėtinai dažnai. ES, taipogi kitų valstybių duomenų apsaugos specialistai reiškia susirūpinimą dėl policijos darbe pasitaikančių pažeidimų (mobilaus telefono informacijos naudojimas be atitinkamų sankcijų, pirštų atspaudų ėmimas, kartais juos nuskenuojant tiesiog gatvėje, DNR charakteristikų darymas be subjekto informavimo). Tokie duomenys gali būti naudojami diskriminavimo ir kitais, pvz. įdarbinimo tikslais. Sena informacija gali būti klaidinga ir panaudota prieš duomenų subjektą. Tokią seną informaciją dažnai saugo policijos komisariatuose, daugumoje atvejų – dėl jau nebevykdomų tyrimų. Sutariama, jog visuomenei reikia teikti informaciją. Reikalingos tinkamos teisės gynimo priemonės, reikia atsižvelgti į naujas technologijas, kurias vis daugiau ir daugiau naudos teisėsaugos institucijos. · Mokslo tyrimams naudojami duomenys turi būti paversti absoliučiai anonimiškais. Šis klausimas buvo iškeltas 2003 m spalio 27 d. Romoje (Italija) vykusiame VII-ajame ES Skundu nagrinėjimo teisinėje duomenų apsaugoje seminare. Prancūzijos ir Graikijos atstovai pareiškė, jog net kai kiekvieno asmens duomenims yra suteiktas kodas, vis tiek yra galimybė juos vėl paversti individualizuotais, todėl turi būti stengiamasi, kad taip padaryti nebūtų įmanoma [10]. Buvo aptariama problema, ar ligoninėje gulinčio asmens sutikimas moksliniams tyrimams visada yra duodamas jo paties sutikimu, t.y. savanoriškai. Juk sergantis asmuo gali neadekvačiai vertinti savo veiksmus ar būdamas ligotas gali būti paveiktas kitų faktorių, pvz., gydytojo įtikinėjimas, ligos ir mirties baimė.

3. TEISINIS DUOMENŲ APSAUGOS REGULIAVIMAS LIETUVOJE3.1 Bendra situacija2003 m. Europos Komitetas užsakė tyrimą, kurio metu buvo atlikta Lietuvos gyventojų apklausa. Tyrimas parodė, kad apie asmens duomenų tvarkymo sąlygas ir su tuo susijusias teises žino daugiau nei pusė (61,5%) Lietuvos gyventojų, o jų pasitikėjimas duomenų valdytojais yra mažesnis už vidutinį (40%). Valstybinės duomenų apsaugos inspekcijos darbą teigiamai vertino daugiau nei pusė (57%) šio tyrimo duomenų valdytojų apklausos respondentų, vidutiniškai – 5%, neigiamai – 8% (nurodę Inspekcijos darbo lankstumo stoką), neturėjo nuomonės – 30% [11].3.2 Teisinė bazėLietuvoje, kaip ir visoje Europoje, vis dažniau asmens duomenys tvarkomi automatinėmis priemonėmis, taip pat ir internete. Reikalavimai asmens duomenų tvarkymui automatinėmis priemonėmis yra įtvirtinti Asmens duomenų teisinės apsaugos įstatyme, kuris suderintas su Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo Tvarkant asmens duomenis reikia vadovautis ne tik teisės aktais, bet ir teismų praktika. Labai svarbių sprendimų, aiškinant direktyvos nuostatas 2003 m. lapkričio mėn. priėmė Europos Teisingumo Teismas Lindqvist byloje (žr. priedą nr. 1: “Lindqvist bylos esmė”). 2003 m. sausio 21 d. LR Seime priimta nauja Asmens duomenų teisinės apsaugos įstatymo redakcija, kuri įsigaliojo nuo 2003 m. liepos 1 dienos. Įgyvendinant Asmens duomenų teisinės apsaugos įstatymą ir Telekomunikacijų įstatymą, Vyriausybės nutarimu buvo pakeisti Valstybinės duomenų apsaugos inspekcijos nuostatai – Valstybinė duomenų inspekcija paskirta atsakinga už asmens duomenų tvarkymo teisėtumo nacionalinėje Šengeno informacinėje sistemoje patikrinimą nuo Lietuvos Respublikos prisijungimo prie Šengeno susitarimo dienos. Pažymėtinas ir įstatymo pakeitimas dėl asmens duomenų keitimosi be duomenų subjekto žinios – atsižvelgiant į tai, kad bankų ir kitų kredito įstaigų bei finansų įmonių, kurios verčiasi kreditine ar finansine veikla, rizika nukentėti nuo nesąžiningų klientų yra didelė, šioms įmonėms suteikta teisė, sutikus duomenų subjektui, keistis paskolas paėmusių duomenų subjektų duomenimis, siekiant įvertinti jų mokumą.

Pagrindiniai teisės aktai, reglamentuojantys duomenų apsaugos veiklą Lietuvos Respublikoje, yra [13]:1. Asmens duomenų teisinės apsaugos įstatymas (žr. priedą nr.2: ”Asmens duomenų teisinės apsaugos įstatymas” );2. Įstatymas „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“;3. Administracinių teisės pažeidimų kodeksas;4. Telekomunikacijų įstatymas;5. Valstybės registrų įstatymas ;6. Lietuvos Respublikos Vyriausybės 2002 m. vasario 22 d. nutarimas Nr. 262 „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“.3.3 Kontrolė ir priežiūraDuomenų apsaugos teisinės bazės vykdymą kontroliuoja ir prižiūri Valstybinė duomenų apsaugos inspekcija. Europos Bendrijų teisė nustato, kad tokios institucijos turi padėti asmenims apsaugoti jų teisę į privataus gyvenimo neliečiamumą ir kartu prisidėti prie sąlygų laisvam duomenų judėjimui sudarymo.· Valstybinė duomenų apsaugos inspekcijos tikslai ir uždaviniai. Svarbiausieji Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra plėtoti duomenų apsaugą, prižiūrėti asmens duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, kovoti su duomenų tvarkymo pažeidimais ir užtikrinti duomenų subjekto teisių apsaugą.Svarbiausieji Inspekcijos uždaviniai yra “prižiūrėti ir kontroliuoti Asmens duomenų teisinės apsaugos įstatymo (išskyrus 8 straipsnį) vykdymą ir įgyvendinti Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu su Europos Tarybos Ministrų Komiteto priimtomis pataisomis nuostatas.Valstybinė duomenų apsaugos inspekcija siekia, kad asmens duomenų apsauga Lietuvos Respublikoje atitiktų Europos Sąjungos reikalavimus ir tinkamai būtų užtikrinama informacinės visuomenės aplinkoje” [12].· Duomenų valdytojų registravimo funkcija.Pagal Lietuvos Respublikos teisinės duomenų apsaugos įstatymą, kiekvienas juridinis asmuo, norėdamas tvarkyti kitų asmenų asmens duomenis privalo užsiregistruoti kaip duomenų valdytojas Valstybinėje duomenų apsaugos inspekcijoje. Tą galima padaryti užpildžius anketą raštu bei internetu. Žemiau pateikiamame paveiksle matome duomenų valdytojo registracijos dialogo langą. Pav. nr. 1 Asmens duomenų valdytojų registravimosi anketa Valstybinės duomenų apsaugos inspekcijos interneto svetainėje.Sekančioje diagramoje pateikiama duomenų valdytojų registravimo dinamika 2001 – 2003 m.

Pav. nr. 3: Duomenų valdytojų registravimo dinamika 2001 – 2003 m. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.· Skundų nagrinėjimo funkcija.Asmens duomenų teisinės apsaugos įstatymas suteikia teisę kiekvienam Lietuvos Respublikos gyventojui kreiptis į duomenų valdytoją ir skųstis dėl jo asmens duomenų tvarkymo. Duomenų subjektas turi teisę kreiptis į Inspekciją ir skųsti duomenų valdytojo veiksmus (neveikimą), kai duomenų valdytojas neįgyvendina jo teisių arba jas įgyvendina netinkamai.2003 m. gautų skundų Valstybinėje duomenų apsaugos isnpekcijoje pasiskirstymas pagal skundžiamą instituciją pateikiamas sekančioje diagramoje:

Pav. 3 Skundų pasiskirstymas pagal skundžiamą instituciją. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.Toliau pateiksiu keletą charakteringų skundų nagrinėjimo atvejų.“Inspekcija gavo skundą, kuriame buvo prašoma ištirti, ar SP UAB „Šilutės šilumos tinklai“, SP UAB „Šilutės vandenys“ ir UAB „Šilutės komunalininkas“, perduodamos skolų išieškojimu užsiimančiai bendrovei skolininkų asmens duomenis apie tai jų neinformavus, nepažeidė skolininkų teisių. Inspekcija, nagrinėdama skundą, patikrino asmens duomenų tvarkymo teisėtumą minėtose bendrovėse ir nustatė, kad jos tvarkė asmens duomenis automatiniu būdu, tačiau apie tai nebuvo pranešusios Inspekcijai, neinformavo duomenų subjektų, kad jų asmens duomenys buvo teikiami skolų išieškojimo bendrovei, nesupažindino duomenų subjektų su teise nesutikti dėl jų asmens duomenų tvarkymo. Inspekcija šių trijų bendrovių vadovams surašė administracinių teisės pažeidimų protokolus, kurių pagrindu teismas skyrė baudas…” [14]“…buvo gautas skundas, kuriame pareiškėjas, dirbantis Kultūros paveldo centre, teigė, kad kreipėsi į įstaigos direktorių su prašymu susipažinti su savo asmens byla. Įstaigos vadovas bylos nepateikė ir paprašė išdėstyti, kokie dokumentai domina, o paprašius pateikti visą bylą, ji pateikta nebuvo.Inspekcija tikrinimo metu nustatė, kad pareiškėjui buvo trukdoma įgyvendinti Asmens duomenų teisinės apsaugos įstatyme įtvirtintą duomenų subjekto teisę susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi. Taip pat buvo pažeisti minėto įstatymo straipsniai, numatantys duomenų valdytojo pareigą, gavus duomenų subjekto prašymą, pateikti atsakymą per nustatytą terminą bei pateikti duomenų subjektui jo prašomus duomenis. Kultūros paveldo centro direktoriui buvo surašytas administracinio teisės pažeidimo protokolas. Teismas 2003 metais bylos neišnagrinėjo…” [14]Sekančioje diagramoje pateikiami skundų nagrinėjimo rezultatai pagal pažeidimo pobūdį 2003-aisiais metais:

Pav. 4 Skundų pasiskirstymas pagl pobūdį. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.· Konsultacijos, rekomendacijos, visuomenės informavimo funkcijos.Inspekcija informuoja visuomenę duomenų apsaugos klausimais, rengdama pranešimus spaudai, jos atstovams pasisakant ir dalyvaujant televizijos ir radijo laidose. Informacija skelbiama Inspekcijos interneto svetainėje. Rengiami informaciniai lankstinukai (pvz. ,,Asmens duomenys bendrojo lavinimo mokyklose“, ,,Mums svarbu, kaip tvarkomi mūsų asmens duomenys“, ,,Ar žinote savo – duomenų subjekto – teises?“ ir kt.).Inspekcija rengia rekomendacijas, taip pat keičia anksčiau parengtas rekomendacijas, atsižvelgdama į šiuo metu galiojančius teisės aktus. · Tarptautinis bendradarbiavimas.Inspekcija, bendradarbiaudama su kitų šalių duomenų apsaugos priežiūros institucijomis, teikia informaciją joms apie savo veiklą, administracinius gebėjimus bei naujoves. Užsienio šalių duomenų apsaugos priežiūros institucijos kasmet Inspekcijai siunčia savo veiklos metines ataskaitas.· Valstybinės duomenų apsaugos inspekcijos silpnybės 1. netolygus gaunamų duomenų valdytojų pranešimų apie asmens duomenų tvarkymą srautas;2. darbuotojų patirties duomenų apsaugos srityje stoka;3. finansavimo trūkumas (ypač nepaprastosioms išlaidoms) ir dažna darbuotojų kaita, susijusi su perėjimu į geriau apmokamas pareigas kitose valstybės institucijose;4. finansavimo trūkumas aktyviai atstovauti Inspekciją darbo grupėje, sudarytoje pagal Direktyvos 95/46/EB 29 straipsnį, Šengeno Jungtinėje priežiūros institucijoje, Muitinės Jungtinėje priežiūros institucijoje, Europolo Jungtinėje priežiūros institucijoje; Tarptautinėje darbo grupėje dėl duomenų apsaugos telekomunikacijose ir dalyvauti tarptautiniuose renginiuose duomenų apsaugos klausimais;5. Lietuvos Respublikos telekomunikacijų įstatymo 6 straipsnio 1 dalyje yra nustatyta, kad Inspekcija yra atsakinga už Lietuvos Respublikos telekomunikacijų įstatymo 49-56 straipsnių įgyvendinimą, tačiau iki šiol jai nėra pavesta prižiūrėti šių normų vykdymą bei nėra suteikti įgaliojimai surašyti tokių administracinių teisės pažeidimų protokolus ar teikti nurodymus;· Veiklos gairės.2004 metais Lietuvai įstojus į Europos Sąjungą, asmens duomenų apsaugos srityje laukia nemažai permainų. Nuo įstojimo dienos prasiplės Inspekcijos, kaip institucijos, prižiūrinčios asmens duomenų tvarkymą ir plėtojančios duomenų apsaugą, veiklos sritis. 2004 metai yra baigiamieji Inspekcijos direktoriaus 2002 m. vasario 26 d. įsakymu Nr. 01-10-01 „Dėl duomenų apsaugos plėtojimo 2002–2004 metais programos patvirtinimo“ patvirtintos programos metai [14]. Programa svarbi informacinės ir žinių visuomenės plėtrai bei derinimui su pagrindinių žmogaus teisių ir laisvių apsauga. Programai vykdyti numatyta PHARE Dvynių projekto parama, kurioje pagrindinis dėmesys skiriamas administracinių gebėjimų stiprinimui ir visuomenės informavimui.

3.4 Problemos, iškylančios duomenų apsaugos teisinio reguliavimo prosesuose ir jų sprendimo būdai Lietuvoje3.4.1 Dažniausiai pasitaikantys pažeidimai· Juridiškai nepagrįstas duomenų apie asmenis teikimas tretiesiems asmenims.Pavyzdys: “2003 m. nustatyta, kad Valstybinė socialinio draudimo fondo valdyba neteisėtai teikia duomenis Vidaus reikalų ministerijai. Tarp šių institucijų sudarytoje duomenų teikimo sutartyje duomenų teikimo tikslu, remiantis Operatyvinės veiklos įstatymu nurodomas operatyvinės veiklos organizavimas, tačiau Vidaus reikalų ministerijai teisės aktai nesuteikia operatyvinės veiklos subjekto teisių”.· Perteklinių duomenų kaupimas ir teikimas.Pavyzdys: „2003 m. nustatyta kad Valstybinė socialinio draudimo fondo valdyba (VSDFV), teikdama Valstybės saugumo departamentui, VRM, Specialiųjų tyrimų tarnybai savo duomenų bazės kopiją su 2 milijonais įrašų, teikia minėtoms institucijoms perteklinius duomenis. Asmens duomenų teisinės apsaugos įstatymas nustato, kad duomenys turi būti tokios apimties, kuri reikalinga jų tvarkymo tikslams. VSDFV teikia minėtą bazės kopiją operatyvinės veiklos tikslams, nors akivaizdu, kad nusikaltimų tyrimui nėra būtinas toks didelis kiekis duomenų, t.y. operatyvinei veiklai reikalingi konkrečių asmenų, o ne visų Lietuvos gyventojų, apdraustų valstybiniu socialiniu draudimu, duomenys (pavardė, vardas, gimimo data, asmens kodas, asmens socialinio draudimo pažymėjimo serija, numeris, socialinio draudimo pažymėjimą išdavęs skyrius ir išdavimo data, laikotarpis, už kurį mokamos įmokos, draudžiamųjų pajamų suma, įmokų tarifas, įmokų suma, įmokų tipas, o taip pat duomenys apie draudėją). Operatyvinę veiklą vykdantys pareigūnai naudojasi gauta duomenų baze pateikdami užklausas apie įtariamus dėl daromų ar padariusių nusikaltimus asmenis, tačiau jie turi galimybę pamatyti ir visų asmenų, esančių duomenų bazės kopijoje, duomenis. Tokiu būdu pareigūnai gali sužinoti duomenis net ir tų asmenų, kurie nepatenka į operatyvinės veiklos akiratį ir nėra įtariami, paieškomi, darantys ar padarę nusikaltimus asmenys“ [15].

· Sudėtinga asmens duomenų kontrolė el. verslo sąlygomisInterneto puslapiuose, kuriuose įmonės siūlo tam tikras paslaugas ar prekes ir reikalauja nurodyti asmens duomenis, rekomenduojama pateikti pakankamai informacijos apie duomenų apsaugą šiuose puslapiuose: nurodyti duomenų valdytoją, jo tapatybę, duomenų tvarkymo tikslus, gavėjus, renkamus asmens duomenis, kt.. Visą šią informaciją rekomenduojama pateikti aiškia ir lengvai vartotojui suprantama forma, visomis kalbomis, kuriomis siūlomos prekės ar paslaugos. Taip pat rekomenduojama, kad įėjus į internetinį puslapį, tokia informacija automatiškai vartotojui pasirodytų ekrane. Rekomenduojama imtis priemonių, kad vartotojai galėtų lengvai įgyvendinti savo teises, tarp jų ir teisę reikalauti sunaikinti duomenis, jei jie nusprendė daugiau nesinaudoti tokių įmonių paslaugomis. Vartotojai turi būti tinkamai informuoti, kur ir kam gali pateikti jiems aktualius klausimus bei apskųsti duomenų valdytojo veiksmus. · Žmogaus informavimo apie jo duomenų tvarkymą problema2003 m. 09 10 –12 d. Sidnėjuje (Australija) vyko 25-oji tarptautinė duomenų apsaugos ir privatumo įgaliotinių konferencija, kurios tema – praktinis privatumas žmonėms, vyriausybei ir verslui. Australijos federalinis privatumo įgaliotinis pasiūlė tarptautinėje konferencijoje spręsti klausimą, kaip pasiekti, kad elektroninių paslaugų vartotojai domėtųsi skelbiama informacija apie privatumo principus, prieš pateikdami savo duomenis suprastų ir sužinotų, kas bus daroma su jais. Įgaliotinis atkreipė dėmesį į gerą pavyzdį – tarptautiniu mastu įdiegtą standartinį maisto produktų žymėjimą ir pasiūlė standartizuoti informacijos apie asmens duomenų tvarkymą pateikimą tinklalapiuose ir duomenų rinkimo formose, išdėstant informaciją, kuri asmenims labai svarbi ir kurią asmenys norėtų žinoti. Manoma, kad žmogaus supratimo apie savo teises gerinimas skatins duomenų valdytojus tobulinti ir sąžiningiau vykdyti asmeninės informacijos tvarkymą. · Reklaminių pranešimų siuntinėjimas tradiciniu ir elektroniniu paštu, be adresato sutikimoPastaruoju metu vis gausėja įmonių siūlančių savo prekes ar paslaugas paštu bei elektroniniu paštu. Dažniausiai tokių įmonių darbuotojai ar platinimo tarnybos siunčia (meta) reklaminius leidinius į visas pašto dėžutes, tačiau kartais gyventojai gauna konkrečiai jiems adresuotus laiškus, kuriuose būna reklaminiai leidiniai, komerciniai pasiūlymai. Gavusieji tokius laiškus dažnai klausia iš kur siuntėjas gavo jų asmens duomenis – vardus, pavardes, adresus, el. pašto adresą. Asmens duomenų teisinės apsaugos įstatymo 14 straipsnio 2 dalyje yra nustatyta, kad asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu duomenų subjektas duoda sutikimą. Asmenys, gavę reklaminius laiškus, paprastai teigia sutikimo tokiam asmens duomenų tvarkymui niekam nedavę.Pavyzdys: “Valstybinė duomenų apsaugos inspekcija gavo dviejų piliečių skundus dėl UAB “IMP Baltic”, kuri jiems adresuotais laiškais siūlė prenumeruoti leidinį “Gyvūnijos pasaulyje”. Inspekcija atliko asmens duomenų tvarkymo teisėtumo tikrinimą ir nustatė Asmens duomenų teisinės apsaugos įstatymo pažeidimus. Bendrovė tvarkė asmens duomenis tiesioginės rinkodaros tikslais be duomenų subjekto sutikimo ir nesant teisėto asmens duomenų tvarkymo kriterijaus. UAB “IMP Baltic” neinformavo duomenų subjektų iš kokių šaltinių renkami jų duomenys bei tvarkė duomenis nesąžiningai ir neteisėtai, nebuvo pranešusi Inspekcijai apie duomenų tvarkymą automatiniu būdu tiesioginės rinkodaros tikslu. Už šiuos pažeidimus UAB “IMP Baltic” klientų aptarnavimo skyriaus koordinatorei buvo surašytas administracinio teisės pažeidimo protokolas. Vilniaus miesto pirmasis apylinkės teismas, 2003 m. spalio 17 d. išnagrinėjęs bylą, pripažino, kad Inspekcijos nustatyti pažeidimai yra įrodyti ir įspėjo pažeidėją dėl būtinybės griežtai laikytis įstatymų reikalavimų. Tokia švelni bausmė buvo skirta atsižvelgiant į tai, kad pažeidėja pažeidimą pripažįsta, gailisi, anksčiau nei teista, nei bausta administracine tvarka nebuvo, ėmėsi priemonių pažeidimo padarinių šalinimui” [16].· Nepakankamas asmens duomenų teisinės apsaugos įstatymo svarbos įvertinimas, pripažinimas visuomenėjeNeretai pasitaiko atvejų, kuomet piliečiai nepakankamai įvertina asmens duomenų apsaugos viršenybę prieš konkrečius asmeninius interesus.Pavyzdys: “Šių metų spalio 24 d. Valstybinė duomenų apsaugos inspekcija gavo skundą, kad Kultūros paveldo centro direktorius neleidžia darbuotojui susipažinti su savo asmens byla. Inspekcijos specialistai atliko asmens duomenų tvarkymo teisėtumo patikrinimą ir nustatė, kad Kultūros paveldo centro direktorius pažeidė duomenų subjekto teises: Asmens duomenų teisinės apsaugos įstatymo 17 straipsnio 1 dalies 2 punkte įtvirtintą duomenų subjekto teisę susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi bei 19 straipsnio 2 dalį – duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi. Nepateikiant duomenų, nebuvo įvykdytas ir įstatymo 17 straipsnio 3 dalies reikalavimas, kad toks duomenų valdytojo atsisakymas turi būti motyvuotas” [17].3.4.2 Bendro pobūdžio problematika Aukščiau išvardinti pavyzdžiai atspindi tik dalį realios situacijos, tai yra taip vadinama “ledkalnio viršukalnė” – konkretūs pažeidimai, pasiekę teisėjo stalą. Iš tikrųju didesni ar mažesni asmens duomenų teisinės apsaugos įstatymo vienoki ar kitoki pažeidimai vyksta nuolatos, kiekvieną dieną šimtuose Lietuvos įstaigų, organizacijų, institucijų tiek privačiajame tiek ir viešajame sektoriuose.2003 m. gegužės 29 d. Lietuvos Respublikos Seime vyko diskusija tema „Asmens duomenų apsauga: kodėl valstybė negali garantuoti žmogaus teisės į privatumą“[19]. Buvo iškelti sekantys klausimai, atsakymai į kuriuos padėtų stiprinti teisinį duomenų apsaugos reguliavimą Lietuvoje:1. ar duomenų valdytojai sugeba tinkamai taikyti valstybės įteisintus duomenų apsaugos principus ir kaip valstybė gali jiems padėti;2. ar žmogus, būdamas duomenų subjektu, sugeba įgyvendinti savo teises ir kaip valstybė jam gali pagelbėti;3. ar teisinė bazė aiškiai ir tiksliai, kaip to reikalauja duomenų apsaugos principai, apibrėžia asmens duomenų tvarkymą viešajame sektoriuje, leisdama tik tokias išimtis, kurios būtinos demokratinėje visuomenėje ir kurios remiasi proporcingumo principu bei iš tikrųjų dera su valstybėje pripažintų bendrųjų interesų tikslais ar būtinybe ginti kitų asmenų teises ir laisves.2003 m. Informacinės visuomenės plėtros komitetas prie Lietuvos respublikos vyriausybės užsakė tyrimą, pavadinimu “Lietuvos respublikos teisės aktų, sudarančių kliūtis elektroninės komercijos plėtrai, studija”. Šį tyrimą atlikęs dr. Juozas Mačiulaitis greta kitų elektroninę komerciją reglamentuojančių teisinių dokumentų trūkumų, mini ir asmens duomenų teisinės apsaugos įstatymo spragas, viena iš kurių – nenumatyta elektroninio bendradarbiavimu užtikrinant asmens duomenų apsaugą galimybė: “Išanalizavus LR asmens duomenų teisinės apsaugos įstatymo nuostatas, darytina išvada, jog šio įstatymo nuostatos įtvirtinančios duomenų subjekto teisių susipažinti su savo asmens duomenimis, reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti savo asmens duomenų tvarkymo veiksmus, realizavimo tvarką užkertą kelią elektroniniam bendravimui. Šio įstatymo 19 str. 1 dalis turėtų būti papildyta, nustatant, kad duomenų subjektas, norintis gauti informaciją apie tai, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami, pateikus duomenų tvarkytojui ne tik “asmens dokumentą”, bet ir “kitu būdu leidžiančiu identifikuoti besikreipiantį asmenį”. Atitinkamai turėtų būti pakeistas ir šio įstatymo 20 straipsnio 5 punktas, kuriame įtvirtinta tvarka duomenų subjektui pateikiant prašymą reikalaujant ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti savo asmens duomenų tvarkymo veiksmus [18].

4. IŠVADOS1. 1981 m. Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu tebelieka svarbiausiu tarptautinės teisės dokumentu teisinės asmens duomenų apsaugos srityje.2. Remiantis tyrimais, ES valstybėse piliečiai labiausiai linkę pasitikėti policijos naudojamų duomenų tinkamai užtikrinama apsauga. Mažiausiai pasitikima kreditinių kortelių kompanijomis. Atlikus panašų tyrimą Lietuvoje, konstatuota, jog gyventojų pasitikėjimas duomenų valdytojais mažesnis už vidutinį, todėl svarbus vaidmuo tenka Valstybinei duomenų apsaugos inspekcijai, besirūpinančiai, kad tas pasitikėjimas išaugtų.3. Didinant asmens duomenų apsaugą artimiausiais metais prioritetas bus skiriamas tokioms sritims: biometrinių duomenų naudojimas asmenybei identifikuoti, duomenų teikimo trečiosioms šalims klausimai, paieškos variklių problemai, visuomenės informavimui ir švietimui, teisės aktų, reglamentuojančių asmens duomenų tvarkymą standartizavimui ir harmonizavimui, ekonominės gerovės ir asmens teisės į privatų gyvenimą derinimui.4. Reikalavimai asmens duomenų tvarkymui automatinėmis priemonėmis Lietuvoje yra įtvirtinti Asmens duomenų teisinės apsaugos įstatyme, kuris suderintas su Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo. Pastaraisias metais priimtos įstatymo pataisos suteikė įgaliojimus finansinėms institucijoms keistis informacija apie kliento mokumą tarpusavyje, be kliento (duomenų subjekto) sutikimo. Įstatymo laikymasi prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija.5. Lietuvoje aktualiausi, dažniausiai pasitaikantys sekantys pažeidimai bei problematika: juridiškai nepagrįstas duomenų apie asmenis teikimas tretiesiems asmenims, perteklinių duomenų kaupimas ir teikimas, sudėtinga asmens duomenų kontrolė el. verslo sąlygomis, reklaminių pranešimų siuntinėjimas tradiciniu ir elektroniniu paštu, be adresato sutikimo, nepakankamas asmens duomenų teisinės apsaugos įstatymo svarbos įvertinimas, pripažinimas visuomenėje. Kiekvienu konkrečiu atvėju reikėtu identifikuoti tokių pažeidinėjimų dažnumo priežastis ir jas užkirsti.

6. Užtikrinant tinkamą asmens duomenų apsaugą būtina ir toliau intensyviai šviesti visuomenę šiuo klausimu, idiegti atitinkamus standartinius pranešimus apie duomenų valdytoją bei kliento teises interneto puslapiuose, vykdyti specialias akcijas kontroliuojant įstatymo vykdymą bei tobulinti teisinę bazę. 5. LITERATŪROS SĄRAŠAS1. Ataskaita dėl dalyvavimo Europos tarybos ir Ispanijos duomenų apsaugos agentūros organizuotoje konferencijoje, V. Linartaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius 2002-12-13 [žiūrėta 2004 03 22]. Prieiga per ineternetą: .2. Survey on Personal Data Protection, Eurobarometer [interaktyvus], Website for the Public Opinion Analysis sector of the European Commission [žiūrėta 2004 03 22]. Prieiga per internetą: .3. Komandiruotės ataskaita, O. Jakštaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-04-04 [žiūrėta 2004 03 22]. Prieiga per inetrnetą: .4. Komandiruotės ataskaita, V. Linartaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-10-01[žiūrėta 2004 03 22]. Prieiga per internetą .5. Komandiruotės ataskaita, V.Linartaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-11-06 [žiūrėta 2004 03 22]. Prieiga per internetą: .6. Komandiruotės ataskaita, O. Jakštaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-11-26 [žiūrėta 2004 03 22], Prieiga per internetą: .7. Security Holes Take Out Google’s Orkut [interaktyvus], Search Engine Journal – Search Engine News, 2004-01-27 [žiūrėta 2004 03 23]. Prieiga per internetą:< www.searchenginejournal.com>. 8. Komandiruotės ataskaita, V.Linartaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-12-05 [žiūrėta 2004 03 23]. Prieiga per internetą: .9. Building trust on the web [interaktyvus], Consumer Webwach [žiūrėta 2004 03 23]. Prieiga per inernetą: .10. Komandiruotės ataskaita, Ž. Krivkaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius 2003-10-27 [žiūrėta 2004 03 23]. Prieiga per internetą: .11. Pranešimas spaudai apie Europos sąjungoje atliktą tyrimą dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo, O. Jakštaitė [interaktyvus], Valstybinė duomenų apsaugos inspekcija, Vilnius, 2004-03-01 [žiūrėta 2004 03 23]. Prieiga per internetą: .12. Valstybines duomenų apsaugos inspekcijos 2002 m. veiklos ataskaita.13. Informacinės visuomenės plėtros komitetas prie Lietuvos respublikos vyriausybės [interaktyvus], [žiūrėta 2004-04-15], Prieiga per internetą: .14. Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.15. Milijonai Lietuvos gyventojų nežino, kam teikiami jų asmens duomenys. Pranešimas spaudai [interaktyvus]. Valstybinė duomenų apsaugos inspekcija, Vilnius 2003 02 03 [žiūrėta 2004-04-15]. Prieiga per internetą: .16. Dėl asmens duomenų tvarkymo pažeidimų. Pranešimas spaudai [interakyvus]. Valstybinė duomenų apsaugos inspekcija, Vilnius, 2003-10-23 [žiūrėta 2004 03 10]. Prieiga per internetą: .17. Dėl asmens duomenų tvarkymo pažeidimų. Pranešimas spaudai [interakyvus]. Valstybinė duomenų apsaugos inspekcija. Vilnius, 2003-11-18 [žiūrėta 2004 03 10]. Prieiga per internetą: .18. Lietuvos respublikos teisės aktų, sudarančių kliūtis elektroninės komercijos plėtrai, studija. Dr. Juozas Mačiulaitis [interaktyvus]. Informacinės visuomenės plėtros komitetas prie Lietuvos respublikos vyriausybės, Vilnius 2004 [žiūrėta 2004-04-07], Prieiga per internetą: .

6. PRIEDAI6.1 Priedas nr.1 Lindqvist bylos esmė1998 m. Švedijos pilietė p. Lindqvist, vienos parapijos katechetė, savo namų asmeniniame kompiuteryje įdėjo interneto svetainę apie parapijos veiklą. Joje buvo informacija apie 18 parapijiečių, kartais nurodant tik asmens vardą, pavardę, o kartais paminint su sveikatos būkle susijusią informaciją, humoristine forma aprašant minėtų parapijiečių darbus arba pomėgius. Apie tokios informacijos skelbimą šioje interneto svetainėje minimi asmenys nebuvo informuoti ir tam davę sutikimo, taip pat nebuvo informuota Švedijos duomenų apsaugos inspekcija. Kai tik p. Lindqvist sužinojo, kad kai kurie jos svetainėje minimi asmenys nepatenkinti jos egzistavimu, tuoj pat ją panaikino.Švedijos Götta Apeliaciniame teisme p. Lindqvist už minėtus veiksmus buvo iškelta byla. Šis teismas nagrinėdamas bylą kreipėsi į Europos Teisingumo Teismą dėl Europos Parlamento ir Tarybos direktyvos dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (95/46/EB) interpretavimo. Europos Teisingumo Teismo išaiškinimaiKlausimas. Ar asmens paminėjimas interneto puslapyje, nurodant jo pavardę, vardą ar telefono numerį, patenka į Direktyvos 95/46/EB reguliavimo sritį? Ar kelių asmenų išvardijimas, pateikiant komentarus ir informaciją apie jų darbus bei pomėgius savo įkurtoje interneto namų svetainėje (home page), yra asmens duomenų tvarkymas automatiniu ar iš dalies automatiniu būdu? Atsakymas. Įvairių asmenų paminėjimas interneto puslapyje ir jų tapatybės nustatymas pagal pavardę ar kitu būdu, pavyzdžiui, pateikiant jų telefono numerius ar informaciją apie jų darbo sąlygas, pomėgį, yra asmens duomenų tvarkymas automatiniu ar iš dalies automatiniu būdu pagal Europos Parlamento ir Tarybos direktyvos dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (95/46/EC) 3(1) straipsnį.

Klausimas. Ar informacija namų svetainėje, kad asmuo susižalojo koją ir dėl sveikatos problemų dirba tik pusę dienos, yra asmens duomenys apie asmens sveikatą, kurie pagal 8(1) straipsnį negali būti tvarkomi?Atsakymas. Faktas, kad asmuo susižalojo koją ir dėl sveikatos problemų dirba tik pusę dienos, yra ypatingi asmens duomenys apie asmens sveikatą pagal Direktyvos 95/46/EB 8(1) straipsnį.Klausimas. Direktyvoje 95/46/EB nustatytais atvejais yra draudžiamas asmens duomenų teikimas trečiosioms šalims. Ar direktyvos požiūriu yra duomenų teikimas į trečiąją šalį, jei asmuo Švedijoje naudoja kompiuterį asmens duomenų perkėlimui į namų svetainę, kuri yra palaikoma Švedijoje esančio serverio, ir tokiu būdu šie asmens duomenys tampa prieinamais žmonėms trečiosiose šalyse? Ar atsakymas į šį klausimą būtų toks pats ir tais atvejais, jei niekas iš trečiosios šalies nesinaudojo duomenimis ar jei serveris būtų trečiojoje šalyje?Atsakymas. Nėra duomenų teikimas į trečiąsias šalis pagal Direktyvos 95/46/EB 25 straipsnį, kai individas valstybėje narėje įdeda asmens duomenis į interneto puslapį (internet page) tinklavietėje (internet site), iš kurios puslapis gali būti pasiekiamas ir kurią tvarko fizinis ar juridinis asmuo, įsisteigęs Švedijoje arba kitoje valstybėje narėje, ir dėl to duomenys tampa prieinami bet kam, kas prisijungia prie interneto, taip pat ir asmenims iš trečiųjų šalių.

6.2 Priedas nr.2 Asmens duomenų teisinės apsaugos įstatymas

Nauja įstatymo redakcija nuo 2003 m. liepos 1 d.:Nr. IX-1296, 2003-01-21, Žin., 2003, Nr. 15-597 (2003-02-12)

PIRMASIS SKIRSNISBENDROSIOS NUOSTATOS

1 straipsnis. Įstatymo tikslas, paskirtis ir taikymo sritis 1. Šio Įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu.2. Šis Įstatymas reglamentuoja santykius, kurie atsiranda tvarkant asmens duomenis automatiniu būdu, taip pat neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: sąrašus, kartotekas, bylas, sąvadus ir kita. Įstatymas nustato fizinių asmenų kaip duomenų subjektų teises, šių teisių apsaugos tvarką, juridinių ir fizinių asmenų teises, pareigas ir atsakomybę tvarkant asmens duomenis. 3. Šis Įstatymas taikomas asmens duomenų tvarkymui, kai:1) asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje;2) asmens duomenis tvarko duomenų valdytojas, įsteigtas ne Lietuvos Respublikos teritorijoje, bet kuriam taikomi Lietuvos Respublikos įstatymai pagal tarptautinę viešąją teisę (įskaitant diplomatines atstovybes, konsulines įstaigas); *3) asmens duomenis tvarko duomenų valdytojas, kuris yra įsteigtas ir veikia valstybėje, kuri nėra Europos Sąjungos narė, bet naudoja Lietuvos Respublikoje įrengtas automatines asmens duomenų tvarkymo priemones, išskyrus atvejus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Lietuvos Respublikos ir Europos Sąjungos teritoriją. Šiame punkte nurodytu atveju duomenų valdytojas privalo turėti atstovą – įsteigtą filialą arba atstovybę Lietuvos Respublikoje – kuriam taikomos šio Įstatymo nuostatos, skirtos duomenų valdytojui.4. Šis Įstatymas netaikomas, jeigu asmens duomenis tvarko fizinis asmuo ir tik savo asmeniniams poreikiams, nesusijusiems su verslu ar profesija, tenkinti. 5. Tvarkant asmens duomenis valstybės saugumo, gynybos tikslais, šis Įstatymas taikomas tiek, kiek kiti įstatymai nenustato kitaip.*6. Šiuo Įstatymu nevaržomas ir nedraudžiamas laisvas asmens duomenų judėjimas vykdant Lietuvos Respublikos narystės Europos Sąjungoje įsipareigojimus.7. Šiuo Įstatymu Lietuvos Respublikos asmens duomenų teisinės apsaugos reguliavimas suderinamas su Europos Sąjungos teisės aktais, nurodytais šio Įstatymo priede.*Pastaba. 1 straipsnio 3 dalies 3 punktas ir 6 dalis įsigalioja Lietuvai tapus Europos Sąjungos nare. (Tai nusako Įstatymas Nr. IX-1296)

2 straipsnis. Pagrindinės šio Įstatymo sąvokos1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai. 2. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys. Šio Įstatymo vykdymo priežiūros institucijos, nurodytos 8 ir 29 straipsniuose, kitos valstybės ir savivaldybių institucijos ir įstaigos nėra duomenų gavėjai, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti. 3. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

4. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (ar) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.5. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.6. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (ar) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.7. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, tai duomenų valdytojas ir (ar) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.8. Išankstinė patikra – numatomų duomenų tvarkymo veiksmų patikrinimas prieš juos pradedant šiame Įstatyme nustatytais atvejais.9. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą. 10. Susisteminta rinkmena – rinkmena asmens duomenų, sistemiškai išdėstytų pagal tam tikrus su asmeniu susijusius kriterijus, leidžiančius lengviau surasti asmens duomenis rinkmenoje.11. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią. 12. Tiesioginė rinkodara – veikla, kuri skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (ar) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.13. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.14. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).15. Vieša duomenų rinkmena – valstybės registras ar kita duomenų rinkmena, kuri pagal įstatymus ar kitus teisės aktus skirta teikti informaciją visuomenei ir kuria visuomenė gali teisėtai naudotis.

ANTRASIS SKIRSNISASMENS DUOMENŲ TVARKYMAS

3 straipsnis. Bendrieji duomenų tvarkymo principai 1. Asmens duomenys turi būti:1) renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir paskui tvarkomi su šiais tikslais suderintais būdais;2) tvarkomi tiksliai, sąžiningai ir teisėtai; 3) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;4) tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;5) saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi. 2. Asmens duomenys, surinkti kitais tikslais, gali būti tvarkomi statistikos, istoriniais ar mokslinio tyrimo tikslais tik įstatymų nustatytais atvejais, kai įstatymuose nustatytos tinkamos duomenų apsaugos priemonės.3. Duomenų valdytojas privalo užtikrinti, kad būtų įgyvendinti šio straipsnio 1 ir 2 dalyse išdėstyti asmens duomenų tvarkymo principai.

4 straipsnis. Asmens duomenų saugojimas ir sunaikinimasAsmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.

5 straipsnis. Asmens duomenų teisėto tvarkymo kriterijai1. Asmens duomenys gali būti tvarkomi, jeigu:1) duomenų subjektas duoda sutikimą; 2) sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas;3) pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis;4) siekiama apsaugoti duomenų subjekto esminius interesus; 5) įgyvendinami oficialūs įgaliojimai, suteikti valstybės bei savivaldybių institucijoms arba trečiajam asmeniui, kuriam teikiami asmens duomenys; 6) reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni. 2. Draudžiama tvarkyti ypatingus asmens duomenis, išskyrus atvejus, kai:1) duomenų subjektas duoda sutikimą;2) toks tvarkymas yra būtinas darbo ar valstybės tarnybos tikslu duomenų valdytojo teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų nustatytais atvejais; 3) reikia apsaugoti duomenų subjekto arba kito asmens esminius interesus, kai duomenų subjektas nepajėgia duoti sutikimo dėl fizinės negalios arba yra neveiksnus;4) asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jei tvarkomi asmens duomenys yra susiję tiktai su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo; 5) duomenų subjektas asmens duomenis paskelbė viešai;6) įstatymų nustatytais atvejais būtina užkirsti kelią nusikalstamoms ar kitoms neteisėtoms veikoms arba būtina jas tirti;7) jie yra reikalingi bylai nagrinėti teisme. 3. Duomenys apie asmens sveikatą taip pat gali būti tvarkomi šio Įstatymo 10 straipsnyje ir sveikatos sritį reglamentuojančių įstatymų nustatytais tikslais ir tvarka.4. Asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, tyrimą, taip pat kitais įstatymų nustatytais atvejais įstatymų nustatyta tvarka gali tvarkyti tik valstybės institucija ar įstaiga. Kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti įstatymų nustatytais atvejais, kai yra tinkamai įgyvendintos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti. Išsamūs duomenys apie asmenų teistumą gali būti tvarkomi tik Valstybės registrų įstatymo nustatyta tvarka.

6 straipsnis. Asmens duomenų teikimo būdaiAsmens duomenys šio Įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, sąlygos ir tvarka. Prašyme turi būti nurodytas duomenų naudojimo tikslas.

7 straipsnis. Asmens kodo naudojimas1. Asmens kodas – unikali skaitmenų seka, kuri asmeniui suteikiama Gyventojų registro įstatyme nustatyta tvarka. 2. Naudoti asmens kodą tvarkant asmens duomenis galima tik gavus duomenų subjekto sutikimą. 3. Be duomenų subjekto sutikimo asmens kodą galima naudoti tik:1) jei tokia teisė yra nustatyta šiame ir kituose įstatymuose; 2) atliekant mokslinį arba statistinį tyrimą šio Įstatymo 12 ir 13 straipsniuose nustatytais atvejais;3) valstybės registruose ir informacinėse sistemose, jeigu jie yra įteisinti teisės aktų nustatyta tvarka;4) juridiniams asmenims, kurių veikla susijusi su paskolų teikimu ir skolų išieškojimu, draudimu ar nuomos verslu, taip pat sveikatos apsaugos ir socialinio draudimo bei kitų socialinės globos institucijų ir švietimo įstaigų, mokslo ir studijų institucijų veikloje bei įstatymų nustatytais atvejais tvarkant įslaptintus duomenis.

8 straipsnis. Asmens duomenų tvarkymas ir visuomenės informavimo laisvės derinimas Asmens duomenų tvarkymą visuomenės informavimo priemonėse žurnalistikos, meninės ir literatūrinės raiškos bei kitais tikslais prižiūri žurnalistų etikos inspektorius. Jo kompetenciją nustato Visuomenės informavimo įstatymas. Šiais atvejais asmens duomenų tvarkymui taikomos tik šio Įstatymo 1, 2, 3, 4, 6, 7, 24, 33 ir 34 straipsnių nuostatos.

9 straipsnis. Asmens duomenų tvarkymas socialinio draudimo ir socialinės globos tikslaisSocialinių paslaugų teikėjai, atlikdami savo funkcijas socialinio draudimo ir kitais socialinės globos tikslais, asmens duomenis vieni kitiems teikia be duomenų subjekto sutikimo.

10 straipsnis. Asmens duomenų tvarkymas sveikatos apsaugos tikslais1. Asmens duomenis apie asmens sveikatą (jos būklę, diagnozę, prognozę bei gydymą ir kt.) gali tvarkyti įgaliotas sveikatos apsaugos sistemos darbuotojas. Asmens sveikatos paslaptis turi būti saugoma pagal Civilinį kodeksą, pacientų teises reglamentuojančius įstatymus ir kitus teisės aktus.2. Asmens duomenys mokslinio medicininio tyrimo tikslu tvarkomi vadovaujantis šiuo ir kitais įstatymais.

11 straipsnis. Asmens duomenų tvarkymas rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos tikslais1. Asmens duomenų (t. y. vardo, pavardės, gimimo datos, asmens kodo, gyvenamosios vietos adreso, pilietybę, asmens tapatybę patvirtinančio dokumento numerio) tvarkymą rinkimų, referendumų, piliečių įstatymų leidybos iniciatyvos, politinių kampanijų, politinių partijų finansavimo tikslais nustato šis ir kiti įstatymai.2. Vyriausiosios rinkimų komisijos pagal kandidatų ar jų atstovų pateiktus pareiškinius ir kitus dokumentus sudaryta ir interneto tinklapyje paskelbta informacija apie kandidatus, taip pat kandidatų gautus balsus, rinkimų, referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių sąrašai po rinkimų, referendumo rezultatų paskelbimo, taip pat politinės kampanijos aukotojų sąrašai po jų paskelbimo gali būti keičiami, kai taisomos kalbos klaidos ar informacija interneto tinklapyje skiriasi nuo informacijos, teisės aktų nustatytu laiku pateiktos pareiškiniuose ir kituose dokumentuose. Interneto tinklapyje negali būti skelbiami kandidatų ir kitų asmenų asmens kodai, pilietybę ar asmens tapatybę patvirtinančių dokumentų numeriai, tikslus gyvenamosios vietos adresas (gatvė, namo, buto numeris).

12 straipsnis. Asmens duomenų tvarkymas mokslinio tyrimo tikslais1. Atliekant mokslinį tyrimą, asmens duomenys tvarkomi, jei duomenų subjektas davė sutikimą. Be duomenų subjekto sutikimo asmens duomenys mokslinio tyrimo tikslais gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai, o ši privalo atlikti išankstinę patikrą.2. Moksliniam tyrimui panaudoti asmens duomenys turi būti nedelsiant pakeisti taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.3. Moksliniam tyrimui surinkti ir saugomi asmens duomenys negali būti naudojami kitais tikslais.4. Tais atvejais, kai atliekamiems tyrimams nėra būtini asmens tapatybę nustatantys duomenys, duomenų valdytojas teikia duomenų gavėjui tokius asmens duomenis, iš kurių negalima nustatyti asmens tapatybės.5. Tyrimo rezultatai skelbiami kartu su asmens duomenimis, jeigu duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų paskelbti.

13 straipsnis. Asmens duomenų tvarkymas statistikos tikslais1. Asmens duomenų tvarkymas statistikos tikslais yra statistinių tyrimų vykdymas, jų rezultatų teikimas bei saugojimas.2. Asmens duomenys, surinkti ne statistikos tikslais, įstatymų nustatytais atvejais gali būti naudojami oficialiosios statistikos informacijai rengti. 3. Asmens duomenys, surinkti statistikos tikslais, gali būti teikiami ir naudojami ne statistikos tikslais Statistikos įstatyme nustatyta tvarka ir atvejais.4. Asmens duomenys, surinkti skirtingiems statistikos tikslams, lyginami ir jungiami tik tuo atveju, jeigu užtikrinama asmens duomenų apsauga nuo neteisėto naudojimo ne statistikos tikslais. 5. Ypatingi asmens duomenys statistikos tikslais renkami tik tokia forma, kuri neleistų tiesiogiai ar netiesiogiai nustatyti duomenų subjekto tapatybę, išskyrus įstatymų nustatytus atvejus.

14 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė. 2. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu duomenų subjektas duoda sutikimą.

15 straipsnis. Asmens duomenų tvarkymas telekomunikacijų srityjeAsmens duomenys telekomunikacijų srityje tvarkomi vadovaujantis Telekomunikacijų įstatymu ir šiuo Įstatymu.

16 straipsnis. Asmens duomenų tvarkymas asmens mokumui įvertinti ir įsiskolinimui valdyti 1. Duomenų valdytojas turi teisę tvarkyti ir teikti teisėtą interesą turintiems tretiesiems asmenims laiku bei tinkamai finansinių ir (ar) turtinių įsipareigojimų jam neįvykdžiusių duomenų subjektų (toliau – skolininkų) duomenis, taip pat ir asmens kodą, kad būtų galima įvertinti asmens mokumą ir valdyti įsiskolinimą, jei tinkamai įgyvendinami šiame Įstatyme bei kituose teisės aktuose nustatyti duomenų apsaugos reikalavimai.2. Duomenų valdytojas turi teisę skolininkų duomenis, taip pat ir asmens kodą, teikti duomenų valdytojams, tvarkantiems jungtines skolininkų duomenų rinkmenas (toliau – jungtines rinkmenas). Duomenų valdytojas gali tvarkyti jungtines rinkmenas, turėdamas tikslą teikti tokius duomenis teisėtą interesą turintiems tretiesiems asmenims, kad šie galėtų įvertinti duomenų subjekto mokumą ir valdyti įsiskolinimą, tik šio Įstatymo 26 straipsnio nustatyta tvarka pranešęs Valstybinei duomenų apsaugos inspekcijai, kuri privalo atlikti išankstinę patikrą.3. Duomenų valdytojas gali teikti skolininkų duomenis tik tuo atveju, jeigu jis duomenų subjektui raštu pateikė priminimą apie įsipareigojimų neįvykdymą ir per 18 kalendorinių dienų nuo tos dienos, kai duomenų valdytojas išsiuntė (pateikė) duomenų subjektui priminimą:1) įsiskolinimas liko nepadengtas ir (ar) mokėjimo terminas nebuvo atidėtas arba;2) duomenų subjektas pagrįstai neginčijo įsiskolinimo. 4. Duomenų valdytojas negali tvarkyti ypatingų asmens duomenų.5. Jungtinės rinkmenos negali būti jungiamos su asmens duomenimis iš kitų asmens duomenų rinkmenų, kurios buvo sudarytos ir yra tvarkomos kitais negu mokumo vertinimo bei įsiskolinimo valdymo tikslais. 6. Duomenų valdytojas, tvarkantis jungtines rinkmenas, gavęs iš šio straipsnio 2 dalyje nurodyto duomenų valdytojo skolininkų duomenis, privalo kiekvienam duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi): 1) apie savo (duomenų valdytojo) ir savo atstovo, jei šis yra, rekvizitus ir buveinę;2) kokiais tikslais tvarkomi duomenų subjekto asmens duomenys;3) iš kokių šaltinių ir kokie duomenų subjekto duomenys surinkti, kam ir kokiais tikslais teikiami, apie duomenų subjekto teisės susipažinti su savo asmens duomenimis, reikalauti ištaisyti neteisingus, netikslius, neišsamius savo asmens duomenis buvimą.7. Duomenys apie faktą, kad duomenų subjektas laiku ir tinkamai neįvykdė savo finansinių ir (ar) turtinių įsipareigojimų, negali būti tvarkomi ilgiau negu 10 metų nuo įsiskolinimo padengimo dienos. Kai duomenų subjektas įsiskolinimą padengia, duomenų valdytojai privalo užtikrinti, kad tvarkant duomenis apie duomenų subjekto tinkamai ir laiku neįvykdytus finansinius ir (ar) turtinius įsipareigojimus būtų nurodoma:1) kad duomenų subjektas įsiskolinimą padengė;2) įsiskolinimo padengimo data. 8. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (ar) finansine veikla, gali teikti vieni kitiems iš jų paskolas (įskaitant lizingą – finansinę nuomą) paėmusių duomenų subjektų duomenis (vardą, pavardę, asmens kodą, paskolos rūšį, sumą, galutinį paskolos grąžinimo terminą), kad būtų galima įvertinti šių subjektų mokumą. Bankai ir kitos kredito įstaigos bei finansų įmonės, kurios verčiasi kreditine ir (ar) finansine veikla, gali kreiptis vienos į kitas norėdamos gauti šioje dalyje nurodytus asmens duomenis tik tuo atveju, kai duomenų subjektas kreipiasi į šias įstaigas, įmones dėl paskolos (įskaitant lizingą – finansinę nuomą) gavimo ir duoda sutikimą, kad šios įstaigos, įmonės gautų jo duomenis. Gauti duomenų subjektų duomenys negali būti:1) saugomi ilgiau negu 2 darbo dienas nuo tokių duomenų gavimo;2 ) jungiami su kitais asmens duomenimis.

TREČIASIS SKIRSNISDUOMENŲ SUBJEKTO TEISĖS

17 straipsnis. Duomenų subjekto teisės1. Duomenų subjektas šio Įstatymo nustatyta tvarka turi teisę:1) žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;2) susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;3) reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų;4) nesutikti, kad būtų tvarkomi jo asmens duomenys.2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:1) valstybės saugumą ar gynybą;2) viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;3) svarbius valstybės ekonominius ar finansinius interesus;4) tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą;5) duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.3. Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti duomenų subjekto prašymą įgyvendinti šiame Įstatyme nustatytas duomenų subjekto teises. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą. Jei duomenų subjekto prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu. 4. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šio straipsnio 3 dalyje nustatytas terminas pateikti atsakymą. Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą) įstatymų nustatyta tvarka duomenų subjektas gali skųsti teismui.

18 straipsnis. Duomenų subjekto informavimas apie jo duomenų tvarkymą1. Duomenų valdytojas privalo suteikti duomenų subjektui, kurio asmens duomenis renka tiesiogiai iš jo, šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):1) apie savo (duomenų valdytojo) ir savo atstovo, jei šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jei duomenų valdytojas ar jo atstovas yra fizinis asmuo) ar rekvizitus ir buveinę (jei duomenų valdytojas ar jo atstovas yra juridinis asmuo); 2) kokiais tikslais tvarkomi duomenų subjekto asmens duomenys;3) kitą papildomą informaciją (kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.2. Duomenų valdytojas, kuris asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, išskyrus atvejus, kai įstatymai ar kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):1) apie savo (duomenų valdytojo) ir savo atstovo, jei šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jei duomenų valdytojas ar jo atstovas yra fizinis asmuo) ar rekvizitus ir buveinę (jei duomenų valdytojas ar jo atstovas yra juridinis asmuo);2) kokiais tikslais tvarkomi ar ketinami tvarkyti duomenų subjekto asmens duomenys;3) kitą papildomą informaciją (iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys renkami ar ketinami rinkti; kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

3. Kai duomenų valdytojas renka ar ketina rinkti asmens duomenis iš duomenų subjekto ir juos tvarko ar ketina tvarkyti tiesioginės rinkodaros tikslais, prieš teikdamas duomenų subjekto duomenis, jis privalo informuoti duomenų subjektą, kam ir kokiais tikslais jo asmens duomenys bus teikiami.4. Šio straipsnio 2 dalis netaikoma tvarkant asmens duomenis statistikos arba istoriniais ar mokslinio tyrimo tikslais, kai tokios informacijos pateikti neįmanoma ar pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų senumo, nepagrįstai didelių sąnaudų) arba kai duomenų rinkimo ir teikimo tvarką nustato įstatymai. Apie tai duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai šio Įstatymo 26 straipsnio nustatyta tvarka.

19 straipsnis. Duomenų subjekto teisė susipažinti su savo asmens duomenimis 1. Duomenų subjektas, pateikdamas duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami. 2. Duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo tvarką nustato Vyriausybė.

20 straipsnis. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus 1. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo asmens duomenis patikrinti ir duomenų subjekto prašymu (išreikštu rašytine, žodine ar kita forma) nedelsdamas ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (ar) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.2. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.3. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:1) turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;2) jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis;3) jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.4. Duomenų valdytojas privalo nedelsdamas pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.5. Asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą.6. Jei duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti. 7. Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

21 straipsnis. Duomenų subjekto teisė nesutikti, kad būtų tvarkomi jo asmens duomenys 1. Duomenų valdytojas šio Įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais, taip pat kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu, privalo supažindinti duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys. 2. Duomenų subjektas šio Įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti (raštu, žodžiu ar kitokia forma), kad būtų tvarkomi jo asmens duomenys. Jei duomenų subjekto nesutikimas yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus. 3. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslu. Šiuo atveju duomenų valdytojas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.4. Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.

22 straipsnis. Asmens savybių įvertinimas automatiniu būdu1. Negali būti priimamas sprendimas dėl duomenų subjekto savybių (kreditingumo, patikimumo, darbingumo ir kt.), jei tokios savybės buvo įvertintos tik automatiniu būdu, kai toks sprendimas gali sukelti duomenų subjektui teisinių pasekmių ar kitaip jį paveikti, išskyrus šiuos atvejus:1) sprendimas yra priimamas įstatymų nustatyta tvarka, kai įstatymai numato duomenų subjekto teisėtų interesų apsaugos priemones; 2) sprendimas yra priimamas sudarant arba vykdant sutartį, su sąlyga, kad duomenų subjekto prašymas sudaryti ar vykdyti sutartį yra patenkintas;3) sprendimas yra priimamas sudarant arba vykdant sutartį, jeigu įgyvendintos tinkamos priemonės duomenų subjekto teisėtiems interesams apsaugoti, pavyzdžiui, yra nustatyta tvarka, leidžianti duomenų subjektui pareikšti savo nuomonę.2. Duomenų valdytojas, prieš pradėdamas duomenų subjekto savybių vertinimą automatiniu būdu, privalo sudaryti sąlygas duomenų subjektui susipažinti su duomenų valdytojo nustatytais vertinimo kriterijais ir principais. 3. Jei duomenų valdytojas įvertina duomenų subjekto savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, jis turi teisę pareikšti savo nuomonę dėl jo savybių įvertinimo. Duomenų valdytojas turi atsižvelgti į duomenų subjekto nuomonę ir prireikus vertinimą pakartoti neautomatiniu būdu.

23 straipsnis. Paslauga duomenų subjektui įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis1. Valstybinė duomenų apsaugos inspekcija padeda duomenų subjektui įgyvendinti jo teisę susipažinti su savo asmens duomenimis. 2. Duomenų subjektas, kreipdamasis į Valstybinę duomenų apsaugos inspekciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Valstybinę duomenų apsaugos inspekciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.3. Atlikdama šio straipsnio 2 dalyje nurodytą paslaugą duomenų subjektui, Valstybinė duomenų apsaugos inspekcija neturi teisės rinkti Valstybės ir tarnybos paslapčių įstatyme nustatytų duomenų, kurie yra įslaptinta informacija. 4. Už šio straipsnio 2 dalyje nustatytą paslaugą duomenų subjektui imama Vyriausybės nustatyto dydžio valstybės rinkliava.Straipsnio pakeitimai:Nr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24)

KETVIRTASIS SKIRSNISDUOMENŲ SAUGUMAS

24 straipsnis. Duomenų saugumas1. Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.).2. Duomenų valdytojas pats tvarko asmens duomenis ir (ar) įgalioja duomenų tvarkytoją. Jei duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi. 3. Duomenų valdytojas, įgaliodamas duomenų tvarkytoją tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus. 4. Duomenų valdytojo ir duomenų tvarkytojo, nesančio duomenų valdytoju, santykiai turi būti reglamentuojami rašytine sutartimi, išskyrus atvejus, kai tokius santykius nustato įstatymai ar kiti teisės aktai.5. Duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

PENKTASIS SKIRSNISDUOMENŲ VALDYTOJŲ REGISTRAVIMAS

25 straipsnis. Pranešimas apie duomenų tvarkymąAsmens duomenys gali būti tvarkomi automatiniu būdu tik kai duomenų valdytojas arba jo atstovas (pagal šio Įstatymo 1 straipsnio 3 dalies 3 punktą) Vyriausybės nustatyta tvarka praneša Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai asmens duomenys tvarkomi:

1) vidaus administravimo tikslais;2) politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jei asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija, kai tvarkomi asmens duomenys yra susiję tiktai su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų; 3) šio Įstatymo 8 straipsnyje nustatytais atvejais;4) šio Įstatymo 10 straipsnyje nustatytais atvejais;5) Valstybės ir tarnybos paslapčių įstatymo nustatyta tvarka.

26 straipsnis. Išankstinė patikra1. Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą šiais atvejais:1) kai duomenų valdytojas automatiniu būdu ketina tvarkyti ypatingus asmens duomenis, išskyrus šių duomenų tvarkymą vidaus administravimo tikslais arba šio Įstatymo 10 straipsnyje ir 5 straipsnio 2 dalies 6 ir 7 punktuose nustatytais atvejais;2) kai duomenų valdytojas automatiniu būdu ketina tvarkyti viešas duomenų rinkmenas, jei įstatymuose ar kituose teisės aktuose neapibrėžta duomenų teikimo tvarka;3) kai valstybės registrų ar valstybės ir savivaldybių institucijų informacinių sistemų duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, išskyrus atvejus, kai įstatymuose ar kituose teisės aktuose įtvirtinta duomenų valdytojo teisė įgalioti tvarkyti asmens duomenis konkretų duomenų tvarkytoją arba kai duomenų tvarkytojas yra duomenų valdytojo įsteigtas juridinis asmuo;4) šio Įstatymo 12 straipsnio 1 dalyje, 16 straipsnio 2 dalyje ir 18 straipsnio 4 dalyje nustatytais atvejais.2. Duomenų valdytojas privalo Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka ne vėliau kaip prieš 2 mėnesius iki numatomų duomenų tvarkymo veiksmų pradžios pranešti Valstybinei duomenų apsaugos inspekcijai apie atvejus, nurodytus šio straipsnio 1 dalyje. Tokie duomenų tvarkymo veiksmai gali būti atliekami tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą. Valstybinė duomenų apsaugos inspekcija privalo per 2 mėnesius nuo pranešimo gavimo dienos Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka atlikti išankstinę patikrą ir išduoti arba atsisakyti išduoti leidimą duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus. Valstybinės duomenų apsaugos inspekcijos sprendimas neišduoti leidimo duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus gali būti skundžiamas įstatymų nustatyta tvarka. Jei Valstybinė duomenų apsaugos inspekcija per 2 mėnesius nuo šioje dalyje nurodyto pranešimo gavimo dienos nepriima sprendimo dėl leidimo išdavimo ar atsisakymo jį išduoti, laikoma, kad leidimas duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, dėl kurių buvo pateiktas pranešimas, yra išduotas.Straipsnio pakeitimai:Nr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24)

27 straipsnis. Duomenų valdytojų registravimas1. Duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre. 2. Asmens duomenų valdytojų valstybės registrą tvarko Valstybinė duomenų apsaugos inspekcija.

ŠEŠTASIS SKIRSNISASMENS DUOMENŲ TEIKIMAS DUOMENŲ GAVĖJAMS, ESANTIEMS UŽSIENIO VALSTYBĖSE

*28 straipsnis. Asmens duomenų teikimas duomenų gavėjams, esantiems užsienio valstybėse1. Asmens duomenys teikiami duomenų gavėjams užsienio valstybėse, gavus Valstybinės duomenų apsaugos inspekcijos leidimą, išskyrus šio straipsnio 4 dalyje nustatytus atvejus. 2. Valstybinė duomenų apsaugos inspekcija išduoda leidimą teikti asmens duomenis į užsienio valstybes, jei šiose valstybėse yra tinkamas asmens duomenų teisinės apsaugos lygis. Asmens duomenų teisinės apsaugos lygis vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų teikimu, ypač į užsienio šalyje, į kurią teikiami asmens duomenys, galiojančius įstatymus bei kitus teisės aktus, užtikrinančius asmens duomenų teisinę apsaugą, į teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus, trukmę, saugumo priemones, kurių bus laikomasi toje valstybėje.3. Valstybinė duomenų apsaugos inspekcija gali išduoti leidimą teikti asmens duomenis į užsienio valstybę, kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio, jeigu duomenų valdytojas yra nustatęs tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į užsienio valstybes sutartyje.4. Be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenys teikiami į užsienio valstybę arba tarptautinei teisėsaugos organizacijai tik tuo atveju, jeigu:1) duomenų subjektas davė sutikimą teikti asmens duomenis;2) asmens duomenis teikti būtina, kad būtų sudaryta ar įvykdyta sutartis tarp duomenų valdytojo ir trečiojo asmens duomenų subjekto interesais;3) asmens duomenis teikti būtina, kad būtų įvykdyta sutartis tarp duomenų valdytojo ir duomenų subjekto arba būtų įgyvendintos priemonės, kurių prieš sudarant sutartį imamasi duomenų subjekto prašymu; 4) asmens duomenis teikti būtina (arba įstatymų nustatyta) dėl svarbių visuomenės interesų arba jie yra reikalingi bylai teisme nagrinėti;5) siekiama apsaugoti duomenų subjekto gyvybinius interesus;6) būtina užkirsti kelią nusikalstamoms veikoms arba būtina jas tirti;7) duomenys įstatymų ir kitų teisės aktų nustatyta tvarka teikiami iš viešos duomenų rinkmenos.*Pastaba. 28 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.(Tai nusako Įstatymas Nr. IX-1296)

SEPTINTASIS SKIRSNISĮSTATYMO VYKDYMO PRIEŽIŪRA

29 straipsnis. Įstatymo vykdymo priežiūros institucija1. Asmens duomenų teisinės apsaugos įstatymo, išskyrus 8 straipsnį, vykdymą prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji atskaitinga Vyriausybei. Valstybinės duomenų apsaugos inspekcijos nuostatus tvirtina Vyriausybė.2. Svarbiausi Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra prižiūrėti duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, užkirsti kelią duomenų tvarkymo pažeidimams, užtikrinti duomenų subjekto teisių apsaugą.3. Valstybinė duomenų apsaugos inspekcija neturi teisės kontroliuoti asmens duomenų tvarkymo teismuose.

30 straipsnis. Valstybinės duomenų apsaugos inspekcijos veiklos teisiniai pagrindai ir principai1. Valstybinė duomenų apsaugos inspekcija savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, šiuo ir kitais įstatymais bei kitais teisės aktais. 2. Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama šiame Įstatyme jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame Įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma – jos teisės gali būti suvaržytos tik įstatymo.3. Valstybės ir savivaldybių institucijos ir įstaigos, Seimo nariai ir kiti pareigūnai, politinės partijos, politinės ir visuomeninės organizacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinės duomenų apsaugos inspekcijos valstybės tarnautojams daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į Valstybinės duomenų apsaugos inspekcijos veiklą užtraukia įstatymų nustatytą atsakomybę.

31 straipsnis. Valstybinės duomenų apsaugos inspekcijos funkcijosValstybinė duomenų apsaugos inspekcija:1) tvarko Asmens duomenų valdytojų valstybės registrą, viešai skelbia jo duomenis ir vykdo registruotų duomenų valdytojų veiklos, susijusios su asmens duomenų tvarkymu, priežiūrą;2) nagrinėja asmenų prašymus ir skundus šio Įstatymo nustatytais atvejais Viešojo administravimo įstatymo nustatyta tvarka;3) tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų;4) išduoda leidimus duomenų valdytojams teikti asmens duomenis užsienio valstybių duomenų gavėjams;5) rengia ir viešai skelbia savo veiklos metines ataskaitas;6) teikia konsultacijas duomenų valdytojams, taip pat rengia metodines rekomendacijas dėl asmens duomenų apsaugos ir jas viešai skelbia internete;7) įstatymų nustatyta tvarka teikia pagalbą užsienyje gyvenantiems duomenų subjektams;8) įstatymų nustatytais atvejais teikia informaciją kitoms valstybėms apie Lietuvos Respublikos duomenų apsaugą reglamentuojančius teisės aktus ir jų administravimo praktiką;9) šio Įstatymo nustatytais atvejais atlieka išankstinę patikrą ir teikia išvadas duomenų valdytojui apie numatomą duomenų tvarkymą;10) įgyvendina Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) nuostatas; 11) teikia pasiūlymus Seimui, Vyriausybei, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms dėl įstatymų ar kitų teisės aktų rengimo, keitimo, pripažinimo netekusiais galios, jeigu įstatymų ar kitų teisės aktų nuostatos yra susijusios su Valstybinės duomenų apsaugos inspekcijos kompetencijai priskirtais klausimais;12) vertina duomenų valdytojų pateiktas asmens duomenų tvarkymo taisykles;13) atlieka kitas šiame bei kituose įstatymuose nustatytas funkcijas.

32 straipsnis. Valstybinės duomenų apsaugos inspekcijos teisėsValstybinė duomenų apsaugos inspekcija turi teisę:1) nemokamai gauti iš valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant asmens duomenų tvarkymo priežiūros funkcijas;2) iš anksto raštu įspėjus, įeiti į tikrinamo asmens patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu) arba teritoriją, kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu. Įeiti į tikrinamo juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitu pagrindu) galima tik tikrinamo juridinio asmens darbo laiku. Įeiti į tikrinamo fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitu pagrindu), kur yra dokumentai, įranga, susiję su asmens duomenų tvarkymu, galima tik pateikus teismo nutartį dėl leidimo įeiti į gyvenamąsias patalpas;

3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su duomenų apsauga;4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl duomenų tvarkymo ar apsaugos ekspertizės, duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;5) duoti duomenų valdytojui rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir apsaugos;6) Administracinių teisės pažeidimų kodekso nustatyta tvarka surašyti administracinių teisės pažeidimų protokolus;7) keistis informacija su kitų valstybių asmens duomenų priežiūros institucijomis ir tarptautinėmis organizacijomis tiek, kiek to reikia jų pareigoms vykdyti;8) dalyvauti teisme nagrinėjant bylas dėl tarptautinės ir nacionalinės teisės nuostatų asmens duomenų apsaugos klausimais pažeidimų;9) kitas įstatymų ir kitų teisės aktų nustatytas teises.

AŠTUNTASIS SKIRSNISATSAKOMYBĖ

33 straipsnis. Atsakomybė už šio Įstatymo pažeidimąDuomenų valdytojams, duomenų tvarkytojams ir kitiems asmenims, pažeidusiems šį Įstatymą, taikoma Lietuvos Respublikos įstatymų nustatyta atsakomybė.

34 straipsnis. Turtinės ir neturtinės žalos atlyginimas1. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat kitų asmenų veiksmų ar neveikimo, pažeidžiančių šio Įstatymo nuostatas, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą.2. Turtinės ir neturtinės žalos dydį nustato teismas.

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

RESPUBLIKOS PREZIDENTAS ALGIRDAS BRAZAUSKAS

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo priedas

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas yra suderintas su 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo.

______________Pakeitimai:

1.Lietuvos Respublikos Seimas, ĮstatymasNr. VIII-662, 98.03.12, Žin., 1998, Nr.31-819 (98.04.01)LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 1, 2, 3, 5, 6, 7, 8, 9, 14 STRAIPSNIŲ PAKEITIMO IR PAPILDYMO ĮSTATYMAS

2.Lietuvos Respublikos Seimas, ĮstatymasNr. VIII-1852, 00.07.17, Žin., 2000, Nr.64-1924 (00.07.31)ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO ĮSTATYMASŠis įstatymas įsigalioja nuo 2001 m. sausio 1 d., išskyrus:1) 1 straipsnio 3 dalies 2 punktą, kuris įsigalioja Lietuvai tapus Europos Sąjungos nare;2) 20 straipsnį, kuris įsigalioja 2003 m. sausio 1 d.Šio įstatymo 24 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.Nauja įstatymo redakcija nuo 2001 m. sausio 1 d.

3.Lietuvos Respublikos Seimas, ĮstatymasNr. IX-719, 2002-01-22, Žin., 2002, Nr. 13-473 (2002-02-06)ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 1, 2, 3, 5, 7, 14, 15, 16, 18, 20, 22, 24, 26 STRAIPSNIŲ PAKEITIMO IR PAPILDYMO ĮSTATYMAS

4.Lietuvos Respublikos Seimas, ĮstatymasNr. IX-970, 2002-06-20, Žin., 2002, Nr. 68-2769 (2002-07-03)ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAPILDYMO 10(1) STRAIPSNIU IR 15, 17 STRAIPSNIŲ PAKEITIMO ĮSTATYMAS

5.Lietuvos Respublikos Seimas, ĮstatymasNr. IX-1296, 2003-01-21, Žin., 2003, Nr. 15-597 (2003-02-12)ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO PAKEITIMO ĮSTATYMASŠis Įstatymas, išskyrus 1 straipsnio 3 dalies 3 punktą, 6 dalį, 23 straipsnį, įsigalioja nuo 2003 m. liepos 1 d.Šio Įstatymo 1 straipsnio 3 dalies 3 punktas ir 6 dalis įsigalioja Lietuvai tapus Europos Sąjungos nare.Šio Įstatymo 23 straipsnis įsigalioja nuo 2004 m. balandžio 1 d.Šio Įstatymo 28 straipsnis, Lietuvai tapus Europos Sąjungos nare, taikomas tik asmens duomenų teikimui į valstybes, nesančias Europos Sąjungos narėmis.Nauja įstatymo redakcija nuo 2003 m. liepos 1 d.

6.Lietuvos Respublikos Seimas, ĮstatymasNr. IX-2111, 2004-04-13, Žin., 2004, Nr. 60-2120 (2004-04-24)ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO 23 IR 26 STRAIPSNIŲ PAKEITIMO ĮSTATYMAS