Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas

Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti aukštą asmens duomenų apsaugos lygį.

Šis įstatymas nustato asmens duomenų tvarkymo ypatumus, Valstybinės duomenų apsaugos inspekcijos teisinį statusą ir įgaliojimus, žurnalistų etikos inspektoriaus įgaliojimus, Valstybinės duomenų apsaugos inspekcijos ir žurnalistų etikos inspektoriaus (toliau kartu – priežiūros institucija,  priežiūros institucijos) atliekamo asmens duomenų ir (ar) privatumo apsaugą reglamentuojančių teisės aktų pažeidimų (toliau – pažeidimai) nagrinėjimo ir administracinių baudų skyrimo tvarką.

Šis įstatymas taikomas kartu su Reglamentu (ES) 2016/679 ir jo įgyvendinamaisiais teisės aktais bei kitais tiesiogiai taikomais Europos Sąjungos teisės aktais, kuriuose pateikiama nuoroda į Reglamentą (ES) 2016/679, (toliau – kiti tiesiogiai taikomi Europos Sąjungos teisės aktai).

Šis įstatymas taikomas, kai:

Šis įstatymas netaikomas Lietuvos Respublikos kompetentingų institucijų, kaip jos apibrėžiamos Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme, atliekamam asmens duomenų tvarkymui, kai šie duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, taip pat nacionalinio saugumo ar gynybos tikslais.

Šiuo įstatymu įgyvendinami Europos Sąjungos teisės aktai, nurodyti šio įstatymo priede.

Tiesioginė rinkodara – veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

Valdžios institucijos ir įstaigos – valstybės ir savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas.

Šiame įstatyme vartojama sąvoka „informacinė sistema“ suprantama taip, kaip apibrėžiama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip apibrėžiamos Reglamente (ES) 2016/679.

Asmens kodas gali būti tvarkomas, kai yra nors viena iš Reglamento (ES) 2016/679 6 straipsnio 1 dalyje nurodytų asmens duomenų tvarkymo teisėtumo sąlygų.

Draudžiama asmens kodą skelbti viešai.

Draudžiama tvarkyti asmens kodą tiesioginės rinkodaros tikslais.

Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas teisėtas tik jeigu taikoma bent viena iš šių sąlygų ir tik tokiu mastu, kokiu ji taikoma:

Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, remiantis šio straipsnio 1 dalies 2 punkte nurodyta sąlyga, galima tvarkyti, jeigu laikomasi Reglamente (ES) 2016/679 nurodytų reikalavimų ir taikomos šios duomenų subjektų teisių ir laisvių apsaugos priemonės:

Duomenų valdytojas gali rinkti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.

Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, buvimo vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse nurodytą informaciją.

Šio straipsnio nuostatos taip pat taikomos tvarkant asmenų, dirbančių Lietuvos Respublikos užimtumo įstatyme nurodytais darbo santykiams prilygintų teisinių santykių pagrindais, ir kandidatų, pretenduojančių dirbti šiais pagrindais, asmens duomenis.

Valstybinė duomenų apsaugos inspekcija stebi, kaip taikomas Reglamentas (ES) 2016/679 ir šis įstatymas, ir užtikrina, kad šie teisės aktai būtų taikomi, išskyrus šio įstatymo straipsnius, kurių taikymas pagal šio straipsnio 2 dalį yra žurnalistų etikos inspektoriaus kompetencija.

Žurnalistų etikos inspektorius stebi, kaip taikomas Reglamentas (ES) 2016/679 ir šis įstatymas, ir užtikrina, kad šie teisės aktai būtų taikomi, kai asmens duomenys tvarkomi žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Žurnalistų etikos inspektorius atlieka Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis ir turi Reglamente (ES) 2016/679 nustatytus priežiūros institucijos įgaliojimus. Žurnalistų etikos inspektoriui netaikomi Reglamento (ES) 2016/679 57 straipsnio 1 dalies j–l ir n–t punktai, 58 straipsnio 1 dalies b ir c punktai,  2 dalies e, g, h ir j punktai, 3 dalies a, c ir e–j punktai.

Valstybinė duomenų apsaugos inspekcija atstovauja Reglamento (ES) 2016/679 taikymo priežiūros institucijoms pagal Reglamentą (ES) 2016/679 įsteigtoje Europos duomenų apsaugos valdyboje.

Siekdamos užtikrinti, kad būtų laikomasi Reglamento (ES) 2016/679 63 straipsnyje nurodyto nuoseklumo užtikrinimo mechanizmo, priežiūros institucijos bendradarbiauja tarpusavyje, kai sprendžiami pagal šio straipsnio 2 dalį žurnalistų etikos inspektoriaus kompetencijai priklausantys klausimai.

Valstybinė duomenų apsaugos inspekcija yra Lietuvos Respublikos Vyriausybės įstaiga. Jos administracijos struktūrą, strateginį ir metinį veiklos planus tvirtina Valstybinės duomenų apsaugos inspekcijos direktorius.

Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis ir šiame įstatyme jai nustatytas funkcijas bei priimdama sprendimus dėl jų atlikimo, yra nepriklausoma. Jos teisės gali būti suvaržytos tik įstatymų.

Valstybės ir savivaldybių institucijos ir įstaigos, Lietuvos Respublikos Seimo nariai ir kiti pareigūnai, politinės partijos ir politinės organizacijos, asociacijos, kiti juridiniai ir fiziniai asmenys neturi teisės Valstybinei duomenų apsaugos inspekcijai, jos vadovui, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, daryti jokio politinio, ekonominio, psichologinio, socialinio spaudimo ar kitokio neteisėto poveikio. Kišimasis į Valstybinės duomenų apsaugos inspekcijos veiklą užtraukia įstatymų nustatytą atsakomybę.

Valstybinei duomenų apsaugos inspekcijai vadovauja Valstybinės duomenų apsaugos inspekcijos direktorius.

Valstybinės duomenų apsaugos inspekcijos direktoriumi gali būti skiriamas nepriekaištingos reputacijos Lietuvos Respublikos pilietis, turintis teisės bakalauro ir teisės magistro arba teisininko profesinį kvalifikacinį laipsnį (vienpakopį teisinį universitetinį išsilavinimą) ir ne mažesnį kaip 10 metų teisinio arba teisinio pedagoginio darbo stažą ir atitinkantis Reglamento (ES) 2016/679 53 straipsnio 2 dalyje nustatytus reikalavimus.

Valstybinės duomenų apsaugos inspekcijos direktorius yra valstybės tarnautojas – įstaigos vadovas. Valstybinės duomenų apsaugos inspekcijos direktorius yra atskaitingas Vyriausybei ir Lietuvos Respublikos teisingumo ministrui.

Valstybinės duomenų apsaugos inspekcijos direktorius savo kadencijos laikotarpiu turi sustabdyti narystę politinėje partijoje.

Valstybinės duomenų apsaugos inspekcijos direktorius atleidžiamas iš pareigų:

Valstybinės duomenų apsaugos inspekcijos direktorius turi pavaduotoją (pavaduotojų).

Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojas (pavaduotojai) turi atitikti Valstybinės duomenų apsaugos inspekcijos direktoriui šio įstatymo 9 straipsnio 2 ir 4 dalyse keliamus reikalavimus.

Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoją į pareigas priima ir iš pareigų atleidžia Valstybinės duomenų apsaugos inspekcijos direktorius Valstybės tarnybos įstatymo nustatyta tvarka.

Valstybinė duomenų apsaugos inspekcija atlieka Reglamente (ES) 2016/679 nustatytas priežiūros institucijos užduotis.

Valstybinė duomenų apsaugos inspekcija taip pat atlieka šias funkcijas: