Legalize
Legalize / Lietuva / Įstatymas

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 pakeitimo įstatymas

Tipas Įstatymas
Publikavimas 2024-05-14
Būsena Galiojantis
Ministerija Lietuvos Respublikos Seimas
Šaltinis TAR
Pakeitimų istorija JSON API

LIETUVOS RESPUBLIKOS

ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO NR. I-1374 PAKEITIMO

ĮSTATYMAS

2024 m. gegužės 14 d. Nr. XIV-2626

Vilnius

1 straipsnis. 1 straipsnio pakeitimas

1.

Pakeisti 1 straipsnio 3 dalį ir ją išdėstyti taip:

„3. Šis įstatymas taikomas kartu su Reglamentu (ES) 2016/679 ir jo įgyvendinamaisiais teisės aktais bei kitais tiesiogiai taikomais Europos Sąjungos teisės aktais, kuriuose pateikiama nuoroda į Reglamentą (ES) 2016/679, (toliau – kiti tiesiogiai taikomi Europos Sąjungos teisės aktai).“

2.

Papildyti 1 straipsnį nauja 5 dalimi:

„5. Šis įstatymas netaikomas Lietuvos Respublikos kompetentingų institucijų, kaip jos apibrėžiamos Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme, atliekamam asmens duomenų tvarkymui, kai šie duomenys tvarkomi nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais, taip pat nacionalinio saugumo ar gynybos tikslais.“

3.

Buvusią 1 straipsnio 5 dalį laikyti 6 dalimi.

2 straipsnis. 2 straipsnio pakeitimas

Pakeisti 2 straipsnio 3 dalį ir ją išdėstyti taip:

„3. Šiame įstatyme vartojama sąvoka „informacinė sistema“ suprantama taip, kaip apibrėžiama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip apibrėžiamos Reglamente (ES) 2016/679.“

3 straipsnis. 5 straipsnio pakeitimas

1.

Pakeisti 5 straipsnio 1 dalį ir ją išdėstyti taip:

„1. Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas teisėtas tik jeigu taikoma bent viena iš šių sąlygų ir tik tokiu mastu, kokiu ji taikoma:

1) Tvarkyti šiuos duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbo funkcijoms atlikti.

2) Tvarkyti šiuos duomenis būtina, siekiant teisėtų darbdavio interesų, išskyrus atvejus, kai kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už tuos interesus viršesni, ypač kai duomenų subjektas yra vaikas.“

2.

Papildyti 5 straipsnį nauja 2 dalimi:

„2. Kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, remiantis šio straipsnio 1 dalies 2 punkte nurodyta sąlyga, galima tvarkyti, jeigu laikomasi Reglamente (ES) 2016/679 nurodytų reikalavimų ir taikomos šios duomenų subjektų teisių ir laisvių apsaugos priemonės:

1) Darbdavys atlieka teisėtų savo interesų tvarkyti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas vertinimą ir raštu parengia šio vertinimo ataskaitą. Atliekant šį vertinimą, atsižvelgiama į konkrečių pareigų ar darbo funkcijų ypatumus, riziką, kuri darbdaviui gali kilti asmeniui, teistam už tam tikras nusikalstamas veikas, einant pareigas ar atliekant darbo funkcijas, taip pat į reikalavimo asmeniui būti neteistam už tam tikras nusikalstamas veikas pagrįstumą ir proporcingumą, kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo pagrindines teises ir laisves bei kitas reikšmingas aplinkybes. Atliekant šį vertinimą konsultuojamasi su duomenų apsaugos pareigūnu, jeigu jis paskirtas pagal Reglamentą (ES) 2016/679.

2) Darbdavys yra patvirtinęs ir savo interneto svetainėje, jeigu ją turi, paskelbęs pareigų, kurias einančiam asmeniui keliamas reikalavimas būti neteistam už tam tikras nusikalstamas veikas, arba darbo funkcijų, kurias atliekančiam asmeniui keliamas šis reikalavimas, sąrašą. Šiame sąraše turi būti nurodomos ir nusikalstamos veikos, už kurias toks asmuo turi būti neteistas.

3) Tvarkomi tik to kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ar darbuotojo asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kurio ketinamos eiti pareigos arba ketinamos atlikti darbo funkcijos ar einamos pareigos arba atliekamos darbo funkcijos yra įtrauktos į šios dalies 2 punkte nurodytą sąrašą.

4) Darbdavio nurodytos apimties duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas darbdaviui pateikia pats kandidatas, pretenduojantis eiti pareigas arba atlikti darbo funkcijas, arba darbuotojas.“

3.

Buvusias 5 straipsnio 2–4 dalis laikyti atitinkamai 3–5 dalimis.

4 straipsnis. Įstatymo papildymas 71 straipsniu

Papildyti Įstatymą 71 straipsniu:

„71 straipsnis. Kitų tiesiogiai taikomų Europos Sąjungos teisės aktų priežiūra

Kituose tiesiogiai taikomuose Europos Sąjungos teisės aktuose minima priežiūros institucija, nurodyta Reglamente (ES) 2016/679, atsižvelgiant į šio įstatymo 7 straipsnio 1 ir 2 dalyse nurodytą kompetenciją, yra Valstybinė duomenų apsaugos inspekcija arba žurnalistų etikos inspektorius. Priežiūros institucija atlieka kituose tiesiogiai taikomuose Europos Sąjungos teisės aktuose nustatytas priežiūros institucijos užduotis ir turi juose nustatytus priežiūros institucijos įgaliojimus.“

5 straipsnis. 12 straipsnio pakeitimas

Pakeisti 12 straipsnį ir jį išdėstyti taip:

„12 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai ir teisės

1.

Valstybinė duomenų apsaugos inspekcija turi Reglamente (ES) 2016/679 nustatytus priežiūros institucijos įgaliojimus.

2.

Valstybinė duomenų apsaugos inspekcija turi teisę:

1) neatlygintinai gauti iš duomenų valdytojų ir duomenų tvarkytojų, valstybės ir savivaldybių institucijų ir įstaigų, kitų juridinių ir fizinių asmenų visą reikalingą informaciją, dokumentų kopijas ir nuorašus, duomenų kopijas, taip pat susipažinti su visais duomenimis ir dokumentais, reikalingais atliekant priežiūros institucijos užduotis ir funkcijas;

2) pažeidimų nagrinėjimo metu be išankstinio įspėjimo įeiti į tikrinamo asmens, skundžiamo asmens ar su jais susijusių asmenų patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais) arba teritoriją, kur yra dokumentų ir (ar) įrangos, susijusios su asmens duomenų tvarkymu. Įeiti į juridinio asmens teritoriją, pastatus, patalpas (tarp jų ir nuomojamus ar naudojamus kitais pagrindais) galima tik juridinio asmens darbo laiku, pateikus valstybės tarnautojo pažymėjimą. Įeiti į fizinio asmens gyvenamąsias patalpas (tarp jų ir nuomojamas ar naudojamas kitais pagrindais), kur yra dokumentų ir (ar) įrangos, susijusios su asmens duomenų tvarkymu, galima fiziniam asmeniui iš anksto raštu sutikus leisti įeiti į šias patalpas arba, kai tokio rašytinio sutikimo nėra, pateikus teismo nutartį dėl leidimo įeiti į fizinio asmens gyvenamąsias patalpas;

3) dalyvauti Seimo, Vyriausybės, kitų valstybės institucijų posėdžiuose, kai svarstomi klausimai, susiję su asmens duomenų ir (ar) privatumo apsauga;

4) kviesti ekspertus (konsultantus), sudaryti darbo grupes dėl asmens duomenų tvarkymo ar apsaugos ekspertizės, asmens duomenų apsaugos dokumentų rengimo, taip pat kitiems Valstybinės duomenų apsaugos inspekcijos kompetencijos klausimams spręsti;

5) teikti duomenų valdytojams, duomenų tvarkytojams ir kitiems juridiniams ar fiziniams asmenims rekomendacijas ir nurodymus dėl asmens duomenų tvarkymo ir (ar) privatumo apsaugos;

6) keistis informacija su kitų valstybių asmens duomenų apsaugos priežiūros institucijomis ir tarptautinėmis organizacijomis tiek, kiek to reikia jų funkcijoms atlikti;

7) kreiptis į teismą ar kitaip dalyvauti nagrinėjant bylą teisme siekiant užtikrinti Reglamento (ES) 2016/679, kitų Europos Sąjungos, tarptautinių ir Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, nuostatų vykdymą;

8) pažeidimų nagrinėjimo metu naudoti technines priemones;

9) pažeidimų nagrinėjimo metu gauti žodinius ir rašytinius paaiškinimus iš juridinių ir fizinių asmenų ir reikalauti, kad jie atvyktų į Valstybinės duomenų apsaugos inspekcijos patalpas duoti paaiškinimų;

10) naudoti turimą informaciją (įskaitant asmens duomenis), gautą pažeidimų nagrinėjimo metu ar atliekant kitas funkcijas;

11) pasitelkti policijos pareigūnus viešajai tvarkai palaikyti ir galimam prievartos panaudojimui užtikrinti.

3.

Valstybinė duomenų apsaugos inspekcija taip pat turi kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, įstatymų ir kitų teisės aktų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, nustatytų teisių.

4.

Jei Valstybinė duomenų apsaugos inspekcija, nagrinėdama skundą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, ir jos sprendimas priklauso nuo šio Europos Komisijos sprendimo galiojimo, ji sustabdo skundo nagrinėjimą ir Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka kreipiasi į Lietuvos vyriausiąjį administracinį teismą su prašymu kreiptis į kompetentingą Europos Sąjungos teisminę instituciją dėl Europos Komisijos sprendimo dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo. Jei Lietuvos vyriausiasis administracinis teismas, nagrinėdamas Valstybinės duomenų apsaugos inspekcijos prašymą, turi pagrindą manyti, kad Europos Komisijos sprendimas dėl tinkamumo, dėl standartinių duomenų apsaugos sąlygų priėmimo ar dėl patvirtintų elgesio kodeksų visuotinio galiojimo yra neteisėtas, jis priima sprendimą kreiptis į kompetentingą Europos Sąjungos teisminę instituciją su prašymu priimti prejudicinį sprendimą pagal Sutarties dėl Europos Sąjungos veikimo 267 straipsnį.“

6 straipsnis. Įstatymo papildymas 141 straipsniu

Papildyti Įstatymo III skyrių 141 straipsniu:

„141 straipsnis. Viešas priežiūros institucijos sprendimų skelbimas

1.

Priežiūros institucija, siekdama didinti visuomenės informuotumą apie su asmens duomenų tvarkymu susijusias taisykles, apsaugos priemones, teises ir pavojus bei jų supratimą, savo sprendimus, priimtus atlikus tyrimą ir (ar) patikrinimą ir (ar) išnagrinėjus skundą, išskyrus sprendimus, priimtus pagal šio įstatymo 27 ir 29 straipsnius, ne vėliau kaip per 5 darbo dienas nuo sprendimo priėmimo dienos paskelbia viešai savo interneto svetainėje, nepažeisdama asmens duomenų apsaugos, valstybės, tarnybos, profesinės, komercinės paslapties, kitos įstatymų saugomą paslaptį sudarančios ar kitos įstatymų saugomos informacijos apsaugos reikalavimų. Kai priežiūros institucija, atlikusi tyrimą ir (ar) patikrinimą ir (ar) išnagrinėjusi skundą, nenustato Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų, šio įstatymo ir (ar) kitų įstatymų, reglamentuojančių asmens duomenų ir (ar) privatumo apsaugą, pažeidimų, skelbdama savo sprendimą neatskleidžia duomenų valdytojo ir (ar) duomenų tvarkytojo, kurio atžvilgiu priimtas šis sprendimas, tapatybės.

2.

Šio straipsnio 1 dalyje nurodyti sprendimai skelbiami 10 metų nuo jų paskelbimo dienos.

3.

Sprendimų skelbimo tvarką nustato priežiūros institucija.“

7 straipsnis. 16 straipsnio pakeitimas

Pakeisti 16 straipsnį ir jį išdėstyti taip:

„16 straipsnis. Sertifikavimo įstaigų akreditavimas

1.

Sertifikavimo įstaigas pagal Reglamento (ES) 2016/679 43 straipsnį akredituoja ir šio akreditavimo tvarką nustato Valstybinė duomenų apsaugos inspekcija.

2.

Už sertifikavimo įstaigos, pageidaujančios būti akredituotos, akreditavimą ir jo atnaujinimą imama valstybės rinkliava.“

8 straipsnis. 17 straipsnio pakeitimas

Pakeisti 17 straipsnį ir jį išdėstyti taip:

„17 straipsnis. Tikrinamo asmens, pareiškėjo, skundžiamo asmens ir pažeidimo padarymu įtariamo asmens teisės ir pareigos

1.

Tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo turi Reglamente (ES) 2016/679 ir šiame įstatyme nurodytas teises ir pareigas.

2.

Tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo taip pat turi teisę:

1) gauti paaiškinimus apie tyrimo ir (ar) patikrinimo arba skundo nagrinėjimo dalyką ir pagrindą;

2) savo iniciatyva pateikti papildomus paaiškinimus ir (ar) informaciją, susijusią su tyrimo ir (ar) patikrinimo atlikimu arba skundo nagrinėjimu;

3) apskųsti priežiūros institucijos veiksmus ar neveikimą;

4) susipažinti su skundu, priežiūros institucijos turima tyrimo ir (ar) patikrinimo atlikimo, skundo nagrinėjimo ir administracinės baudos skyrimo medžiaga, išskyrus valstybės, tarnybos, profesinę, komercinę, kitą įstatymų saugomą paslaptį sudarančią ar kitą įstatymų saugomą informaciją.

3.

Laikoma, kad šio straipsnio 1 dalyje nurodyti asmenys yra tinkamai informuoti ir jiems tinkamai pranešta, jei priežiūros institucija šiame skyriuje nurodytais atvejais sprendimus, pranešimus, kitus dokumentus ir informaciją (toliau kartu šiame straipsnyje – dokumentai) šiems asmenims:

1) siunčia per Nacionalinę elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinę sistemą (toliau – E. pristatymo sistema);

2) siunčia registruotąja pašto siunta Juridinių asmenų registre nurodytu juridinio asmens buveinės adresu, Lietuvos Respublikos gyventojų registre nurodytu juridinio asmens vadovo gyvenamosios vietos adresu arba fizinio asmens gyvenamosios vietos adresu;

3) įteikia jiems atvykus į priežiūros instituciją;

4) siunčia kitais jų raštu nurodytais kontaktiniais duomenimis;

5) siunčia informacinėse sistemose, kurios naudojamos elektroniniu būdu teikiamoms paslaugoms gauti ar prievolėms vykdyti, nurodytais elektroninio pašto arba kitų elektroninių ryšių priemonių adresais.

4.

Kai priežiūros institucijai žinomas tik tikrinamo, skundžiamo ar pažeidimo padarymu įtariamo asmens elektroninio pašto arba kitos elektroninių ryšių priemonės adresas, laikoma, kad šis asmuo yra tinkamai informuotas ir jam tinkamai pranešta, jei priežiūros institucija rašytinius reikalavimus atskleisti savo tapatybę, taip pat atlikti šio įstatymo 14 straipsnyje nurodytus veiksmus minėtam asmeniui siunčia elektroninių ryšių priemonėmis šiuo elektroninio pašto arba kitos elektroninių ryšių priemonės adresu.

5.

Dokumentų įteikimo gavėjui diena laikoma:

1) dokumentų, siunčiamų per E. pristatymo sistemą, – kita darbo diena, einanti po priežiūros institucijos dokumentų išsiuntimo dienos;

2) dokumentų, siunčiamų registruotąja pašto siunta, – diena, kai jie įteikiami gavėjui. Atsisakymas priimti dokumentus, siunčiamus registruotąja pašto siunta, arba pasirašyti dėl jų gavimo prilygsta dokumentų įteikimui;

3) dokumentus įteikiant jam atvykus į priežiūros instituciją – diena, kurią gavėjas priežiūros institucijai liekančiuose dokumentuose parašu patvirtina dokumento gavimo faktą arba kai priežiūros institucijos atstovas pažymi, kad gavėjas atsisakė priimti dokumentą ar patvirtinti jo gavimo faktą;

4) dokumentų ir (ar) rašytinių reikalavimų, siunčiamų elektroninių ryšių priemonėmis, – kita darbo diena, einanti po priežiūros institucijos dokumentų ir (ar) rašytinių reikalavimų išsiuntimo dienos.“

9 straipsnis. 18 straipsnio pakeitimas

Pakeisti 18 straipsnio 5 dalį ir ją išdėstyti taip:

„5. Jeigu priežiūros institucija nesutinka su teismo nutartimi atmesti prašymą išduoti teismo leidimą įeiti į fizinio asmens gyvenamąsias patalpas, ji turi teisę per 7 kalendorines dienas nuo šios nutarties įteikimo priežiūros institucijai dienos šią nutartį apskųsti Lietuvos vyriausiajam administraciniam teismui.“

10 straipsnis. Įstatymo papildymas 191 straipsniu

Papildyti Įstatymo V skyriaus pirmąjį skirsnį 191 straipsniu:

„191 straipsnis. Priežiūros institucijų bendradarbiavimas atliekant pažeidimų nagrinėjimą

1.

Nagrinėdamos pažeidimus, priežiūros institucijos, veikdamos pagal savo kompetenciją ir atlikdamos savo užduotis ir funkcijas, aktyviai bendradarbiauja, kad būtų užtikrinta veiksminga Reglamento (ES) 2016/679, kitų tiesiogiai taikomų Europos Sąjungos teisės aktų ir šio įstatymo taikymo priežiūra.

2.

Priežiūros institucijos, siekdamos išnagrinėti Reglamento (ES) 2016/679 ir kitų tiesiogiai taikomų Europos Sąjungos teisės aktų pažeidimus, bendradarbiaudamos tarpusavyje turi teisę viena kitai teikti bet kurią būtiną informaciją, įskaitant valstybės, tarnybos, profesinę, komercinę, kitą įstatymų saugomą paslaptį sudarančią ar kitą įstatymų saugomą informaciją.

3.

Jei priežiūros institucijai, atliekančiai pažeidimo nagrinėjimą, kyla abejonių, ar nagrinėti pažeidimą priklauso jos kompetencijai, ji turi teisę Viešojo administravimo įstatymo nustatyta tvarka tarnybinės pagalbos kreiptis į kitą priežiūros instituciją, prašydama pateikti nuomonę dėl pažeidimo nagrinėjimo priskyrimo jos kompetencijai. Kartu pateikiami reikalingi dokumentai ir informacija.

4.

Pažeidimo nagrinėjimo terminas sustabdomas, kol gaunama reikiamos priežiūros institucijos nuomonė.

5.

Nuomonę teikianti priežiūros institucija prireikus konsultuojasi su kita priežiūros institucija.“

Šis dokumentas nepakeičia oficialaus paskelbimo Teisės aktų registre. Neprisiimame atsakomybės už galimus netikslumus, atsiradusius perkeliant originalą į šį formatą.