Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas

Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti, kad Europos Sąjungos ir Lietuvos Respublikos teisės aktuose numatytas kompetentingų institucijų keitimasis asmens duomenimis Europos Sąjungoje nebūtų ribojamas ar draudžiamas dėl su fizinių asmenų apsauga tvarkant asmens duomenis susijusių priežasčių, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.

Šis įstatymas taikomas Lietuvos Respublikos kompetentingų institucijų atliekamam asmens duomenų tvarkymui, kai asmens duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kai Lietuvos Respublikos kompetentingos institucijos tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, šis įstatymas taikomas tiek, kiek kituose įstatymuose nenustatyta kitaip.

Šis įstatymas reglamentuoja santykius, kurie atsiranda Lietuvos Respublikos kompetentingoms institucijoms tvarkant asmens duomenis visiškai arba iš dalies automatinėmis priemonėmis ir tvarkant asmens duomenis, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, neautomatinėmis priemonėmis, kai šie duomenys tvarkomi šio straipsnio 2 dalyje nurodytais tikslais.

Šiame įstatyme nustatytas asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, teisinės apsaugos reglamentavimas suderintas su šio įstatymo priede nurodytais Europos Sąjungos teisės aktais.

Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti visų pirma pagal identifikatorių, pavyzdžiui, vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio neatsargiai arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

Biometriniai duomenys – po specialaus techninio apdorojimo gaunami asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima tiksliai nustatyti arba patvirtinti to fizinio asmens tapatybę, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys.

Duomenų gavėjas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valstybės institucijos, kurios pagal Europos Sąjungos valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjomis; tvarkydamos tuos duomenis tos valstybės institucijos laikosi duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.

Duomenų tvarkymas – bet kokia automatinėmis arba neautomatinėmis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

Duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje.

Duomenų tvarkytojas – fizinis arba juridinis asmuo, valstybės institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

Duomenų valdytojas – kompetentinga institucija, kuri viena ar drauge su kitomis kompetentingomis institucijomis nustato asmens duomenų tvarkymo tikslus ir priemones. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, duomenų valdytojas arba konkretūs jo skyrimo kriterijai taip pat gali būti nustatyti Europos Sąjungos arba Lietuvos Respublikos teisės aktuose.

Genetiniai duomenys – asmens duomenys, kurie yra susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie jo fiziologiją ar sveikatą, ir kurie gaunami visų pirma analizuojant biologinį to fizinio asmens mėginį.

Kompetentinga institucija – valstybės institucija, įgaliota vykdyti nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar baudžiamąjį persekiojimą už jas arba bausmių vykdymą, įskaitant apsaugos nuo grėsmių visuomenės saugumui užtikrinimą ir jų prevenciją, arba bet kokia kita įstaiga arba subjektas, kuriems pagal Europos Sąjungos valstybės narės teisės aktus pavesta atlikti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, taip pat apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Kompetentinga institucija taip pat laikoma Lietuvos Respublikos valstybės, savivaldybės institucija ar įstaiga, kuri tvarko asmens duomenis nacionalinio saugumo ar gynybos tikslais, taip pat kitas subjektas (išskyrus privatų juridinį asmenį), kuriam pagal Lietuvos Respublikos teisės aktus pavesta atlikti funkcijas, susijusias su asmens duomenų tvarkymu nacionalinio saugumo ar gynybos tikslais.

Profiliavimas – bet kokios formos automatinis asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.

Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskiriami konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti.

Susistemintas rinkinys – bet kuris sistemingai sutvarkytas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu.

Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.

Tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, arba bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

Asmens duomenys turi būti:

Tam pačiam arba kitam duomenų valdytojui tvarkyti asmens duomenis kitais šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais negu tikslas, kuriuo asmens duomenys renkami, leidžiama, jeigu vadovaujantis Europos Sąjungos arba Lietuvos Respublikos teisės aktais duomenų valdytojui leidžiama tvarkyti tuos asmens duomenis tokiu tikslu ir duomenų tvarkymas tokiu tikslu yra būtinas ir proporcingas.

To paties ar kito duomenų valdytojo atliekamas asmens duomenų tvarkymas gali apimti archyvavimą dėl viešojo intereso, naudojimą mokslinio, statistinio ar istorinio tyrimo tikslais siekiant šio įstatymo 1 straipsnio 2 dalyje nurodytų tikslų, jeigu taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.

Duomenų valdytojas yra atsakingas už šio straipsnio 1, 2 ir 3 dalių nuostatų laikymąsi ir turi sugebėti įrodyti, kad jų laikomasi.

Duomenų valdytojas, kiek įmanoma, faktais pagrįstus asmens duomenis turi atskirti nuo asmeniniais vertinimais pagrįstų asmens duomenų.

Kompetentingos institucijos privalo imtis visų pagrįstų priemonių siekdamos užtikrinti, kad asmens duomenys, kurie yra netikslūs, neišsamūs arba pasenę, nebūtų persiunčiami ir nebūtų sudaroma galimybė jais naudotis. Tuo tikslu kiekviena kompetentinga institucija, kiek tai įmanoma, patikrina asmens duomenų kokybę prieš juos persiųsdama arba prieš suteikdama galimybę jais naudotis. Kiekvienu asmens duomenų persiuntimo atveju, kiek tai įmanoma, pridedama būtina papildoma informacija, kuri suteikia galimybę asmens duomenis gaunančiai kompetentingai institucijai įvertinti asmens duomenų tikslumą, išsamumą ir patikimumą, taip pat jų naujumą.

Paaiškėjus, kad buvo persiųsti neteisingi asmens duomenys arba asmens duomenys buvo persiųsti neteisėtai, apie tai nedelsiant pranešama duomenų gavėjui. Tokiu atveju šie asmens duomenys pagal šio įstatymo 14 straipsnį ištaisomi ar ištrinami arba apribojamas jų tvarkymas.

Duomenų tvarkymas yra teisėtas tik tuo atveju, kai jis būtinas, ir tiek, kiek jis būtinas kompetentingos institucijos funkcijoms šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais atlikti, ir grindžiamas Europos Sąjungos arba Lietuvos Respublikos teisės aktais. Kai kompetentinga institucija duomenis tvarko nacionalinio saugumo ar gynybos tikslais, duomenų tvarkymas yra teisėtas ir tuo atveju, kai jis grindžiamas tarptautiniais įsipareigojimais nacionalinio saugumo ar gynybos srityje. Lietuvos Respublikos teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, turi būti nurodyti duomenų tvarkymo siekiai, tvarkytini asmens duomenys, duomenų tvarkymo tikslai ir kiti duomenų tvarkymo reikalavimai, kuriais siekiama užtikrinti teisėtą asmens duomenų tvarkymą.

Kompetentingų institucijų šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais renkami asmens duomenys negali būti tvarkomi kitais tikslais, nebent taip juos tvarkyti yra leidžiama pagal Europos Sąjungos arba Lietuvos Respublikos teisės aktus. Jei asmens duomenys tvarkomi kitais tikslais, taikomas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

Kai kompetentingoms institucijoms pagal Lietuvos Respublikos teisės aktus yra pavesta atlikti kitas funkcijas negu tos, kurios atliekamos šio įstatymo 1 straipsnio 2 dalyje nurodytais tikslais, tvarkant asmens duomenis tokiais tikslais, įskaitant jų archyvavimą dėl viešojo intereso, naudojimą mokslinio ar istorinio tyrimo tikslais ar statistiniais tikslais, taikomas Reglamentas (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymas.

Tais atvejais, kai Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, taikomuose asmens duomenis persiunčiančiai kompetentingai institucijai, numatytos specialios asmens duomenų tvarkymo sąlygos, asmens duomenis persiunčianti kompetentinga institucija turi informuoti asmens duomenų gavėją apie tas sąlygas ir reikalavimą jų laikytis.

Asmens duomenis persiunčianti kompetentinga institucija duomenų gavėjams kitose Europos Sąjungos valstybėse narėse arba pagal Sutarties dėl Europos Sąjungos veikimo V antraštinės dalies 4 ir 5 skyrius įsteigtoms agentūroms, organams ir įstaigoms pagal šio straipsnio 4 dalį netaiko kitokių sąlygų negu tos, kurios taikomos panašiems asmens duomenų persiuntimams, kai jie atliekami Lietuvos Respublikoje.