ГЛАВА ПЕРВАЯ
ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Цель, назначение и область применения Закона
1. Цель настоящего Закона - защита права человека на неприкосновенность частной жизни при ведении личных данных.
2. Настоящий Закон регламентирует отношения, которые возникают при ведении личных данных автоматическим способом, а также при ведении неавтоматическим способом систематизированных реестров с личными данными: списков, картотек, дел, сводов и других. Законом устанавливаются права физических лиц как субъектов данных, порядок защиты этих прав, права, обязанности и ответственность юридических и физических лиц при ведении личных данных.
3. Настоящий Закон применяется для ведения личных данных, если:
1) ведение личных данных осуществляет в своей деятельности управляющий данными, учрежденный и действующий на территории Литовской Республики. Если ведение личных данных осуществляет филиал или представительство управляющего данными государства-члена Европейского Союза или другого государства Европейского экономического пространства, учрежденные и действующие в Литовской Республике, в отношении них применяются положения настоящего Закона, предусмотренные для управляющего данными;
2) ведение личных данных осуществляет управляющий данными, учрежденный не на территории Литовской Республики, в отношении которого применяются законы Литовской Республики в соответствии с международным публичным правом (в том числе дипломатические представительства, консульские учреждения);
3) ведение личных данных осуществляет управляющий данными, который учрежден и действует в государстве, которое не является членом Европейского Союза или не является государством Европейского экономического пространства (далее – третье государство), но использует оборудованные в Литовской Республике средства ведения личных данных, за исключением случаев, если такие средства применяются только для пересылки данных транзитом через территорию Литовской Республики, Европейского Союза или другого государства Европейского экономического пространства. В указанном в настоящем пункте случае управляющий данными обязан иметь представителя – учрежденный филиал или представительство в Литовской Республике – в отношении которого применяются положения настоящего Закона, предназначенные управляющему данными.
4. Настоящий Закон не применяется, если ведение личных данных осуществляет физическое лицо и только для удовлетворения личных потребностей, не связанных с бизнесом или профессией.
5. При ведении личных данных в целях государственной безопасности, обороны, настоящий Закон применяется в том объеме, в каком другими законами не установлено иначе.
6. Настоящим Законом не ограничивается и не запрещается свободное передвижение личных данных при выполнения обязательств Литовской Республики, связанных с членством в Европейском Союзе.
7. Настоящим Законом юридическое регламентирование правовой защиты Литовской Республикой личных данных согласуется с правовыми актами Европейского Союза, указанными в приложении к настоящему Закону.
Статья 2. Основные понятия настоящего Закона
1. Личные данные – любая информация, связанная с физическим лицом – субъектом данных, идентичность личности которого установлена или может быть установлена непосредственно или косвенным путем с использованием таких данных как личный код, один или несколько физических, физиологических, психологических, экономических, культурных или социальных признаков, характерных для лица.
2. Получатель данных – юридическое или физическое лицо, которому представляются личные данные. Органы, осуществляющие надзор за исполнением настоящего Закона, указанные в статьях 8 и 36, другие государственные органы и учреждения, а также органы и учреждения самоуправлений не являются получателями данных, когда эти органы и учреждения в соответствии с конкретным запросом получают личные данные для исполнения контролирующих функций, установленных законами.
3. Представление данных – оглашение личных данных путем их передачи или предоставления доступа к ним другим способом (за исключением обнародования в средствах информирования общественности).
4. Ведение данных – любое осуществляемое с личными данными действие: сбор, запись, накопление, сохранение, классифицирование, группировка, объединение, замена (дополнение или исправление), представление, обнародование, использование, логические и (или) арифметические операции, поиск, распространение, уничтожение или другое действие либо набор действий.
5. Ведение данных автоматическим способом – действия по ведению данных полностью или частично осуществляемые с помощью автоматических средств.
6. Распорядитель данных – юридическое или физическое лицо (которое не является работником управляющего данными), уполномоченное управляющим данными для ведения личных данных. Распорядитель данных и (или) порядок его назначения могут быть установлены в законах или других правовых актах.
7. Управляющий данными – юридическое или физическое лицо, которое самостоятельно или совместно с другими устанавливает цели и методы ведения личных данных. Если цели ведения данных устанавливаются законами или другими правовыми актами, управляющий данными и (или) порядок его назначения могут устанавливаться в тех законах или других правовых актах.
8. Особые личные данные – данные, связанные с расовым или этническим происхождением физического лица, политическими, религиозными, философскими или другими убеждениями, членством в профессиональных союзах, здоровьем, половой жизнью, а также информация о судимости лица.
9. Предварительная поверка – поверка намеченных действий по ведению данных до их начала в установленных настоящим Законом случаях.
10. Систематизированный реестр – реестр личных данных, изложенных систематически в соответствии с определенными связанными с лицом критериями, которые позволяют легче найти личные данные в реестре.
11. Согласие – добровольное выражение воли субъекта данных относительно ведения его личных данных с известной ему целью. Согласие на ведение особых личных данных должно быть выражено ясно – в письменной форме, в приравненной к ней или в другой форме, несомненно доказывающей волю субъекта данных.
12. Прямой маркетинг – деятельность, направленная на предложение по почте, по телефону или другим прямым способом товаров или услуг лицам и (или) на ознакомление с их мнением относительно предлагаемых товаров или услуг.
13. Третье лицо - юридическое или физическое лицо, за исключением субъекта данных, распорядителя данных, управляющего данными и лиц, которые непосредственно уполномочены распорядителем данных или управляющим данными для ведения данных.
14. Внутреннее администрирование – деятельность, при помощи которой обеспечивается самостоятельное функционирование распорядителя данных (устройство структуры, управление персоналом, управление и использование имеющихся материальных и финансовых ресурсов, ведение делопроизводства).
15. Публичный реестр данных – государственный регистр или другой реестр данных, который в соответствии с законами или другими правовыми актами предоставляет обществу информацию и которым общество может пользоваться на законном основании.
ГЛАВА ВТОРАЯ
ВЕДЕНИЕ ЛИЧНЫХ ДАННЫХ
Статья 3. Требования к ведению личных данных
1. Управляющий данными обязан обеспечить, чтобы:
1) сбор личных данных осуществлялся в определенных и законных целях, и в дальнейшем не осуществлялось бы их ведение в целях, не согласованных с теми, которые были установлены до сбора личных данных;
2) ведение осуществлялось точно, добросовестно и на законном основании;
3) личные данные были точными, и если это необходимо для ведения личных данных, постоянно обновлялись; неточные или неполные данные должны быть исправлены, дополнены, уничтожены или приостановлено их ведение;
4) личные данные были идентичными, надлежащими и представлены только в том объеме, который необходим для их сбора и дальнейшего ведения;
5) личные данные сохранялись в такой форме, чтобы идентификацию субъектов данных можно было бы установить на срок не более того, который необходим в целях, для которых осуществлялись сбор и ведение этих данных.
2. Ведение личных данных, собранных в иных целях, может осуществляться в статистических, исторических или научно-исследовательских целях только в установленных законами случаях, когда в законах установлены надлежащие меры по защите данных.
Статья 4. Сохранение и уничтожение личных данных
Личные данные сохраняются не дольше, чем это необходимо в целях ведения данных. Когда личные данные перестают быть необходимыми в целях их ведения, они должны быть уничтожены, за исключением тех, которые в установленных законами случаях должны быть переданы в государственные архивы.
Статья 5. Критерии законного ведения личных данных
1. Ведение личных данных может осуществляться, если:
1) субъект данных дает свое согласие;
2) заключается или выполняется договор, когда одна из сторон является субъектом данных;
3) в соответствии с законами управляющему данными вменяется в обязанность ведение личных данных;
4) осуществляется стремление защитить существенные интересы субъекта данных;
5) осуществляются официальные полномочия, предоставленные законами и другими правовыми актами государственным органам, учреждениям и предприятиям, а также органам, учреждениям и предприятиям самоуправлений либо третьему лицу, которому представляются личные данные;
6) необходимо осуществление ведения в связи с законным интересом, который связан с управляющим данными или третьим лицом, которому представляются личные данные, и если интересы субъекта данных не являются более важными.
2. Запрещается ведение особых личных данных, за исключением случаев, когда:
1) субъект данных дает согласие;
2) такое ведение является необходимым в рабочих целях или в целях государственной службы для осуществления прав и обязанностей управляющего данными в области трудового права в установленных законодательством случаях;
3) необходимо защитить существенные интересы субъекта данных или другого лица, если субъект данных не в состоянии дать согласие по причине физического недуга или является недееспособным;
4) ведение личных данных в своей деятельности осуществляет фонд, ассоциация или другая некоммерческая организация в политических, философских, религиозных целях или целях, связанных с профессиональными союзами, если эти личные данные связаны только с членами этих организаций или с лицами, которые постоянно принимают участие в их деятельности для достижения преследуемых этой организацией целей. Эти личные данные не могут представляться третьему лицу без согласия субъекта данных;
5) субъект данных обнародовал личные данные публично;
6) в установленных законами случаях необходимо пресечь преступные или другие незаконные деяния или необходимо их расследовать;
7) они необходимы для рассмотрения дела в суде;
8) законами возлагается обязательство на управляющего данными осуществлять ведение таких данных.
3. Ведение данных о здоровье лица также может осуществляться в целях и порядке, установленных в статье 10 настоящего Закона и законами, регламентирующими область здравоохранения.
4. Ведение личных данных, связанных с судимостью лица, преступными деяниями или мерами безопасности, при осуществлении превенции преступных деяний, при расследовании, а также в других предусмотренных законами случаях в установленном законами порядке может осуществлять только государственный орган или учреждение. Другие физические или юридические лица могут осуществлять ведение таких данных в установленных законами случаях, если надлежащим образом осуществляются установленные в законах и других правовых актах меры по защите законных интересов субъекта данных. Ведение исчерпывающих данных о судимости лиц может осуществляться только в установленном Законом о государственных регистрах порядке.
Статья 6. Представление личных данных
Личные данные в предусмотренных настоящим Законом случаях представляются в соответствии с заключенным управляющим данными и получателем данных договором о представлении личных данных (в случае многократного представления) или в соответствии с ходатайством получателя данных (в случае однократного представления). В договоре должны указываться цель использования личных данных, правовое основание представления и получения, условия, порядок и объем представляемых личных данных. В ходатайстве должна быть указана цель использования личных данных, правовое основание представления и получения, а также объем запрашиваемых к представлению личных данных.
Статья 7. Использование личного кода
1. Личный код – уникальная последовательность цифр. Личный код присваивается лицу в установленном Законом о регистре населения порядке.
2. Использование личного кода при ведении личных данных допускается только после получения согласия субъекта данных, за исключением случаев, указанных в частях 4 и 5 настоящей статьи, когда использование личного кода запрещается.
3. Без согласия субъекта данных личный код можно использовать только:
1) если такое право установлено в этом и других законах;
2) при проведении научного или статистического исследования в установленных в статьях 12 и 13 настоящего Закона случаях;
3) в государственных, ведомственных регистрах, если они узаконены в установленном Законом о государственных регистрах порядке, и в информационных системах, если они узаконены в установленном правовыми актами порядке;
4) юридическим лицам, деятельность которых связана с предоставлением кредитов и взысканием долгов, предпринимательством в области страхования или лизинга (финансовой аренды), а также в деятельности органов здравоохранения и социального страхования и других органов, предоставляющих социальную поддержку, а также администрирующих органов и образовательных, научных и учебных учреждений. Указанные в настоящем пункте юридические лица личный код могут использовать только с той целью, с какой он был получен, и только в тех случаях, когда это было необходимо для достижения законной и определенной цели ведения личных данных;
5) в установленных законами случаях при ведении засекреченных данных.
4. Запрещается обнародовать публично личный код.
5. Запрещается собирать и использовать личный код в целях прямого маркетинга.
Статья 8. Согласование ведения личных данных и свободы общественной информации
Надзор за ведением личных данных в средствах общественной информации в целях информирования общества, художественного и литературного выражения осуществляет инспектор по журналистской этике. Рамки его компетенции устанавливаются Законом об общественной информации. В этих случаях в отношении ведения личных данных применяются положения статей 1, 2, 3, 4, 5, 6, 7, 30, 53 и 54 настоящего Закона.
Статья 9. Ведение личных данных в целях социального страхования и социальной поддержки
В целях социального страхования и социальной поддержки административные учреждения Фонда государственного социального страхования и юридические лица, предоставляющие социальную поддержку или администрирование, личные данные представляют друг другу без согласия субъекта данных.
Статья 10. Ведение личных данных в целях здравоохранения
1. Личные данные о здоровье лица (о его состоянии, диагнозе, прогнозе, лечении и др.) может вести уполномоченный работник системы здравоохранения. Тайна о здоровье лица должна сохраняться в соответствии с Гражданским кодексом, регламентирующими права пациентов законами и другими правовыми актами.
2. Ведение личных данных с целью научного медицинского исследования осуществляется на основании настоящего и других законов.
3. Ведение личных данных о здоровье лица, осуществляемое автоматическим способом, в том числе в целях научного медицинского исследования, может осуществляться только после уведомления Государственной инспекции по защите данных. В этом случае Государственная инспекция по защите данных обязана осуществить предварительную проверку.
Статья 11. Ведение личных данных с целью проведения выборов, референдума, законотворческой инициативы граждан
1. Ведение личных данных (имени, фамилии, даты рождения, личного кода, адреса места жительства, гражданства, номера документа, удостоверяющего идентичность личности) в целях проведения выборов, референдумов, опроса местных жителей, законотворческой инициативы граждан, проведения политических кампаний, финансирования политических партий устанавливается настоящим и другими законами.
2. Составленная и обнародованная на сайте в Интернете информация Главной избирательной комиссии по представленным кандидатами или их представителями заявительным и другим документам о кандидатах, а также полученные кандидатами голоса, списки членов избирательной комиссии, комиссии по проведению референдума, наблюдателей, представителей, членов инициативных групп после оглашения результатов выборов, референдума, а также списки лиц, пожертвовавших средства на политическую кампанию после их обнародования могут изменяться, если исправляемые языковые ошибки или информация на сайте в Интернете отличается от информации, представленной в установленный правовыми актами срок в заявительных и других документах. На сайте в Интернете не могут быть обнародованы личные коды, гражданство или номера документов, удостоверяющих идентичность личности, точные адреса места жительства (улица, номер дома, квартиры) кандидатов и других лиц.
Статья 12. Ведение личных данных в научно-исследовательских целях
1. При проведении научного исследования ведение личных данных осуществляется с согласия субъекта данных. Без согласия субъекта данных ведение личных данных в научно-исследовательских целях может осуществляться только после сообщения в Государственную инспекцию по защите данных. В этом случае Государственная инспекция по защите данных обязана провести предварительную поверку.
2. Использованные в научном исследовании личные данные должны быть незамедлительно изменены таким образом, чтобы нельзя было идентифицировать личность субъекта данных.
3. Собранные и сохраняемые для научного исследования личные данные не могут быть использованы в других целях.
4. В тех случаях, когда для проводимых исследований данные, идентифицирующие личность лица не являются необходимыми, управляющий данными представляет получателю данных такие личные данные, на основании которых нельзя идентифицировать личность лица.
5. Результаты исследования обнародуются наряду с личными данными, если субъект данных дает свое согласие на обнародование его личных данных.
Статья 13. Ведение личных данных в статистических целях
1. Ведением личных данных в статистических целях является проведение статистических исследований, представление и сохранение их результатов.
2. Личные данные, собранные не в статистических целях, в установленных законами случаях могут использоваться в подготовке официальной статистической информации.
3. Личные данные, собранные в статистических целях, могут представляться и использоваться не в статистических целях в установленном Законом о статистике порядке и в установленных случаях.
4. Личные данные, собранные для различных статистических целей, сравниваются и объединяются только в том случае, если обеспечивается защита личных данных от незаконного использования не в статистических целях.
5. Сбор особых личных данных осуществляется в статистических целях только в такой форме, которая не позволила бы прямо или косвенно идентифицировать личность субъекта данных, за исключением установленных законами случаев.
Статья 14. Ведение личных данных в целях прямого маркетинга
1. Ведение личных данных может осуществляться в целях прямого маркетинга только после получения согласия субъекта личных данных.
2. Ведение личных данных может осуществляться в целях прямого маркетинга, если при их сборе устанавливается продолжительность сохранения личных данных.
3. Управляющий данными обязан создать ясную, бесплатную, легко осуществимую возможность для субъекта данных выразить согласие или несогласие относительно ведения его личных данных в целях прямого маркетинга.
4. Управляющий данными, который при предоставлении услуг или продаже товаров в установленном настоящим законом порядке и на установленных условиях получил от субъектов данных, являющихся его клиентами, контактные личные данные (имя, фамилия и адрес), эти данные может использовать без отдельного согласия субъекта данных только в целях маркетинга своих похожих товаров или услуг, если клиентам создается ясная, бесплатная и легко осуществимая возможность не согласиться или отказаться от такого использования данных в указанных ранее целях, если клиент сразу не протестовал против такого использования данных при представлении каждого предложения.
Статья 15. Ведение личных данных в области электронной связи
Ведение личных данных в области электронной связи осуществляется на основании Закона об электронной связи и настоящего Закона.
ГЛАВА ТРЕТЬЯ
ВИДЕОНАБЛЮДЕНИЕ
Статья 16. Условия видеонаблюдения
Видеонаблюдение может осуществляться с целью обеспечения общественной безопасности, общественного порядка, защиты жизни, здоровья, имущества лиц и других прав и свобод лиц, однако только в тех случаях, когда другие способы или меры являются недостаточными и (или) неприемлемыми для достижения указанных целей, и если интересы субъекта данных не являются более важными.
Статья 17. Видеонаблюдение на рабочем месте
Видеонаблюдение на рабочем месте может осуществляться, если в связи со спецификой работы необходимо обеспечить безопасность лиц, имущества или общественную безопасность и в других случаях, когда другие способы или меры являются недостаточными и (или) ненадлежащими для достижения указанных целей.
Статья 18. Требования к видеонаблюдению
1. Ведение видеоданных должно быть установлено в утвержденном управляющим данными письменном документе, в котором указывается цель и объем видеонаблюдения, срок хранения видеоданных, условия доступа к видеоданным, ведение которых осуществляется, условия и порядок уничтожения этих данных, а также установлены другие требования в отношении законного ведения видеоданных.
2. Управляющий данными гарантирует, что ведение видеоданных будет осуществляться только лицами, уполномоченными управляющим данными, которые должны быть ознакомлены с правовыми актами, регламентирующими правовую защиту личных данных, и дали подписку об их соблюдении.
Статья 19. Монтаж средств видеонаблюдения
1. Средства видеонаблюдения должны быть оборудованы таким образом, чтобы с учетом установленной цели видеонаблюдения:
1) видеонаблюдение осуществлялось бы в помещении или на части территории, не больше, чем это необходимо;
2) осуществлялся бы сбор видеоданных в объеме не больше необходимого.
2. Запрещается монтаж и эксплуатация оборудованных средств видеонаблюдения, если в их поле наблюдения попадают жилое помещение и (или) относящаяся к нему частная территория либо вход на нее, за исключением установленных законами случаев. В помещениях общего пользования средства видеонаблюдения могут быть оборудованы по решению большинства совладельцев имущества.
3. Запрещается осуществление видеонаблюдения в помещениях, в которых субъект данных обоснованно рассчитывает на абсолютную защиту приватности, и где такое наблюдение унижало бы достоинство человека (напр., в туалетах, в комнатах для переодевания и т. п.).
Статья 20. Информирование субъекта данных при осуществлении видеонаблюдения
1. Управляющий данными обеспечивает, чтобы перед входом в помещение или на территорию, на которой осуществляется видеонаблюдение, была четко и ясно представлена следующая информация:
1) об осуществляемом видеонаблюдении;
2) реквизиты управляющего данными и контактная информация (адрес или номер телефонной связи).
2. Управляющий данными может представить и другую дополнительную информацию для того, чтобы законное ведение видеоданных не нарушало бы прав субъекта данных (напр., цель видеонаблюдения).
3. При осуществлении видеонаблюдения на рабочем месте и в помещениях или на территориях управляющего данными, где работают его работники, эти работники о ведении таких видеоданных должны быть информированы в письменной форме в установленном в части 1 статьи 24 настоящего Закона порядке.
ГЛАВА ЧЕТВЕРТАЯ
ОЦЕНКА ПЛАТЕЖЕСПОСОБНОСТИ И УПРАВЛЕНИЕ
ЗАДОЛЖЕННОСТЬЮ
Статья 21. Ведение личных данных для оценки платежеспособности и управления задолженностью
1. Управляющий данными вправе осуществлять ведение и предоставлять третьим лицам, имеющим законный интерес, данные субъектов данных, которые своевременно и надлежащим образом не выполнили данные ему финансовые и (или) имущественные обязательства (далее – должников), в том числе и личный код, для того чтобы можно было оценить платежеспособность лица и управлять задолженностью, если надлежащим образом осуществляются установленные в настоящем Законе и других правовых актах требования по защите данных.
2. Управляющий данными вправе предоставлять данные должников, в том числе и личный код, управляющим данными, которые осуществляют ведение объединенного реестра данных должников (далее – объединенный реестр). Управляющий данными может осуществлять ведение объединенных реестров с целью предоставления таких данных третьим лицам, имеющим законный интерес, для того чтобы они могли оценить платежеспособность субъекта данных и управлять задолженностью, только после сообщения в установленном в статье 33 настоящего Закона порядке в Государственную инспекцию по защите данных, которая обязана провести предварительную проверку.
3. Управляющий данными может предоставлять данные должников только в том случае, если он представил в письменной форме субъекту данных напоминание о невыполнении обязательств, и в течение 30 календарных дней со дня, когда управляющий данными выслал (представил) субъекту данных напоминание:
1) задолженность осталась непогашенной и (или) срок выплаты не был отложен либо
2) субъект данных обоснованно не оспорил задолженность.
4. Управляющий данными не может осуществлять ведение особых личных данных.
5. Объединенные реестры не могут объединяться с личными данными из других реестров личных данных, которые были составлены и ведение которых осуществляется в других, нежели оценка платежеспособности и управление задолженностью, целях.
6. Управляющий данными, осуществляющий ведение объединенного реестра, после получения данных указанных в части 2 настоящей статьи должников, обязан каждому субъекту данных представить следующую информацию (за исключением случаев, когда субъект данных уже владеет такой информацией):
1) о своих реквизитах и местонахождении (управляющего данными) и своего представителя, если он есть;
2) в каких целях осуществляется ведение личных данных субъекта данных;
3) из каких источников и какие данные субъекта данных были собраны, кому и в каких целях представлены, о праве субъекта данных на ознакомление со своими личными данными, требовании исправить неверные, неточные, неполные личные данные.
7. Ведение данных о факте, что субъект данных своевременно и надлежащим образом не выполнил свои финансовые и (или) имущественные обязательства, не может осуществляться дольше, чем в течение 10 лет со дня покрытия задолженности. Если субъект данных покрыл задолженность, управляющий данными обязан обеспечить, чтобы при ведении данных субъекта данных о не выполненных своевременно и надлежащим образом его финансовых и (или) имущественных обязательствах, должно быть указано:
1) что субъект данных задолженность погасил;
2) дата погашения задолженности.
Статья 22. Ведение данных о предоставленных финансовых услугах, связанных с принятием риска, в целях оценки платежеспособности
1. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, могут получать друг у друга личные данные субъектов данных, которым эти банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, предоставили или намерены предоставить финансовые услуги, связанные с принятием риска (как это определено в Законе о финансовых учреждениях) (далее – услуги), а также личные данные субъектов данных, которые гарантировали обязательства этих лиц перед упомянутыми учреждениями и предприятиями (имя, фамилию, личный код (если личный код не представлен – данные личного документа), виды и суммы желаемых финансовых обязательств, по которым было принято отрицательное решение, виды существующих финансовых обязательств, суммы, сроки выполнения, данные о выполнении этих обязательств, а также данные о бывших финансовых обязательствах и их выполнении) в целях оценки платежеспособности, если эти субъекты данных дают свое согласие.
2. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, могут получить личные данные на указанных в части 1 настоящей статьи условиях и в указанном объеме только в тех случаях, если субъект данных:
1) обратился в эти учреждения, предприятия для получения услуг или для обеспечения финансовых обязательств;
2) получил из этих учреждений, предприятий услуги или гарантии финансовых обязательств, и существует необходимость установить, не возникает ли угроза для надлежащего выполнения взятых обязательств.
3. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью обеспечивают, чтобы:
1) ведение полученных данных субъектов данных не осуществлялось бы в целях, несогласованных с целями, установленными до сбора личных данных;
2) сохранялись бы в течение более 12 месяцев, если было принято решение об отказе в предоставлении услуги.
4. Банки, а также другие кредитные учреждения и финансовые предприятия, которые занимаются кредитной и (или) финансовой деятельностью, обеспечивают, чтобы данные о предоставленных ими услугах, их исполнении и надлежащем выполнении не сохранялись бы более 10 лет со дня выполнения этих обязательств, если законами или принятыми на их основании правовыми актами не установлено иначе.
ГЛАВА ПЯТАЯ
ПРАВА СУБЪЕКТА ДАННЫХ
Статья 23. Права субъекта данных
1. Субъект данных в установленном настоящим Законом порядке вправе:
1) знать (быть информированным) о ведении его личных данных;
2) ознакомиться со своими личными данными и с тем, каким образом осуществляется их ведение;
3) требовать исправления, уничтожения своих личных данных или приостановления, за исключением сохранения, действий по ведению его личных данных, если ведение данных осуществляется без соблюдения положений настоящего и других законов;
4) не согласиться с ведением его личных данных.
2. Управляющий данными обязан создать условия для субъекта данных реализовать установленные в настоящей статье права, за исключением установленных законами случаев, когда необходимо обеспечить:
1) безопасность или оборону государства;
2) общественный порядок, превенцию преступных деяний, расследование, определение или уголовное преследование;
3) важные экономические или финансовые государственные интересы;
4) превенцию, расследование и определение нарушений служебной или профессиональной этики;
5) защиту прав и свобод субъекта данных или других лиц.
3. Управляющий данными должен мотивированно обосновать отказ от выполнения ходатайства субъекта данных об осуществлении установленных в настоящем Законе прав субъекта данных. Управляющий данными после получения ходатайства субъекта данных не позднее чем в течение 30 календарных дней со дня обращения субъекта данных должен представить ему ответ. Если ходатайство субъекта данных представлено в письменной форме, управляющий данными должен представить ответ ему в письменной форме.
4. Субъект данных может обжаловать действия (бездействие) управляющего данными в Государственную инспекцию по защите данных в течение 3 месяцев со дня получения ответа от управляющего данными или 3 месяцев с того дня, когда закончился срок, установленный в части 3 настоящей статьи, для представления ответа. Действия (бездействие) Государственной инспекции по защите данных в установленном законами случае субъект данных может обжаловать в суд.
Статья 24. Информирование субъекта данных о ведении его данных
1. Управляющий данными обязан представить субъекту данных, личные данные которого получает непосредственно от него, следующую информацию (за исключением случаев, когда субъект данных уже обладает такой информацией):
1) о своей (управляющего данными) и своего представителя, если он есть, идентичности, и постоянном месте жительства (если управляющий данными или его представитель являются физическими лицами) или реквизиты и местонахождение (если управляющий данными или его представитель являются юридическим лицом);
2) в каких целях осуществляется ведение или намечается ведение личных данных субъекта данных;
3) другая дополнительная информация (для кого и в каких целях представляются личные данные субъекта данных; какие свои личные данные субъект данных обязан представить, и каковы последствия непредставления данных, о праве субъекта данных ознакомиться со своими личными данными и праве требовать исправления неверных, неполных, неточных его личных данных), в том объеме, в каком она необходима для обеспечения правильного ведения личных данных без нарушения прав субъекта данных.
2. Управляющий данными, который получает личные данные не от субъекта данных, обязан информировать об этом субъект данных с началом ведения личных данных или, если он намеревается представить данные третьим лицам, обязан об этом информировать субъект данных не позднее, чем до того момента, когда данные представляются впервые, за исключением случаев, когда законами или другими правовыми актами определены порядок сбора и представления таких данных, а также получатели данных. В этом случае управляющий данными обязан субъекту данных предоставить следующую информацию (за исключением случаев, когда субъект данных уже владеет такой информацией):
1) о своей (управляющего данными) и своего представителя, если он есть, идентичности, и постоянном месте жительства (если управляющий данными или его представитель являются физическими лицами) или реквизиты и местонахождение (если управляющий данными или его представитель являются юридическим лицом);
2) в каких целях осуществляется или намечается ведение личных данных субъекта данных;
3) другую дополнительную информацию (из каких источников производится или намечается сбор и каких личных данных субъекта данных; для кого и в каких целях представляются личные данные субъекта данных; о праве субъекта данных ознакомиться со своими личными данными и праве требовать исправления неверных, неполных, неточных своих личных данных), в том объеме, в каком она необходима для обеспечения правильного ведения личных данных без нарушения прав субъекта данных.
3. Если управляющий данными осуществляет или намеревается осуществить сбор личных данных у субъекта данных и осуществляет их ведение или намеривается осуществлять в целях прямого маркетинга, до представления данных субъекта данных, он обязан информировать субъекта данных, кому и в каких целях его личные данные будут представлены.
4. Часть 2 настоящей статьи не применяется при ведении личных данных в статистических, исторических либо научно-исследовательских целях, если такую информацию представить невозможно или слишком затруднительно (в связи с большим количеством субъектов данных, давностью данных, необоснованно большими затратами) или когда порядок сбора и представления данных устанавливается законами. Об этом управляющий данными обязан сообщить в Государственную инспекцию по защите данных в установленном в статье 33 настоящего закона порядке. Государственная инспекция по защите данных обязана осуществить предварительную проверку.
Статья 25. Право субъекта данных на ознакомление со своими личными данными
1. Субъект данных, при предъявлении управляющему данными или распорядителю документа, удостоверяющего идентичность личности, вправе получить информацию, из каких источников и какие его личные данные собраны, с какой целью осуществляется их ведение, каким получателям данных представляются и представлялись в течение как минимум последнего года.
2. Управляющий данными, после получения запроса субъекта данных о ведении его личных данных, обязан ответить осуществляется ли ведение связанных с ним личных данных и представить субъекту данных запрашиваемые данные не позднее чем в течение 30 календарных дней со дня обращения субъекта данных. По ходатайству субъекта данных такие сведения должны быть представлены в письменной форме. Такие сведения управляющий данными представляет субъекту данных безвозмездно один раз в течение календарного года. При возмездном представлении размер платы не должен превышать затрат на представление данных. Порядок представления данных устанавливается Правительством.
Статья 26. Право субъекта данных требовать исправления, уничтожения или приостановления действий по ведению его личных данных
1. Если после ознакомления со своими личными данными, субъект данных устанавливает, что его личные данные неверны, неполны или неточны, и обращается к управляющему данными, управляющий данными незамедлительно обязан произвести проверку личных данных и по ходатайству субъекта данных (выраженной в письменной, устной или иной форме) незамедлительно внести исправления неверных, неполных, неточных личных данных и (или) приостановить действия по ведению таких личных данных, за исключением хранения.
2. Если субъект данных после ознакомления со своими личными данными устанавливает, что ведение его личных данных осуществляется незаконно, недобросовестно, и обращается к управляющему данными, управляющий данными незамедлительно обязан безвозмездно произвести проверку законности, добросовестности ведения личных данных и по ходатайству субъекта данных (изложенному в письменной форме) незамедлительно уничтожить накопленные незаконным или недобросовестным путем личные данные или приостановить действия по осуществлению ведения таких личных данных, за исключением хранения.
3. После приостановления по ходатайству субъекта данных действий по ведению его личных данных, личные данные, действия по ведению которых приостановлены, должны сохраняться до исправления или уничтожения (по ходатайству субъекта данных или по истечении строка хранения данных). Другие действия по ведению с такими личными данными могут осуществляться только:
1) с целью доказать наличие обстоятельств, в связи с которыми действия по ведению данных были приостановлены;
2) если субъект данных дает согласие на дальнейшее ведение своих личных данных;
3) если необходимо защитить права или законные интересы третьих лиц.
4. Управляющий данными обязан незамедлительно сообщить субъекту данных об осуществленном или не осуществленном по его ходатайству исправлении, уничтожении или приостановлении действий по ведению личных данных.
5. Исправление и уничтожение личных данных или приостановление действий по их ведению осуществляются в соответствии с документами, удостоверяющими идентичность личности субъекта данных и его личные данные, после получения ходатайства субъекта данных.
6. Если управляющий данными сомневается в правильности личных данных, представленных субъектом данных, он обязан приостановить действия по ведению таких данных, осуществить проверку и уточнение данных. Такие личные данные могут использоваться только для проверки их правильности.
7. Управляющий данными обязан незамедлительно информировать получателей данных о ходатайстве субъекта данных об исправлении или уничтожении личных данных, приостановленных действиях по ведению личных данных, за исключением случаев, когда представить такую информацию невозможно или слишком сложно (из-за большого количества субъектов данных, периода данных, необоснованно больших затрат). В таком случае должна быть незамедлительно извещена Государственная инспекция по защите данных.
Статья 27. Право субъекта данных на несогласие с ведением его личных данных
1. Управляющий данными в установленных в пунктах 5 и 6 части 1 статьи 5 настоящего Закона случаях, а также когда ведение данных осуществляется или намечается их ведение в целях прямого маркетинга, обязан ознакомить субъекта данных с его правом на несогласие с ведением его личных данных.
2. Субъект данных в указанных в пунктах 5 и 6 части 1 статьи 5 настоящего Закона случаях имеет право выразить (в письменной, устной или иной форме) несогласие с ведением его личных данных. Если несогласие субъекта данных является юридически обоснованным, управляющий данными обязан незамедлительно и безвозмездно прекратить действия по ведению личных данных, за исключением установленных законами случаев, и информировать получателей данных.
3. Субъект данных вправе выразить несогласие с ведением его личных данных без указания мотивов несогласия, если ведение данных осуществляется или намечается их ведение с целью прямого маркетинга. В этом случае управляющий данными обязан незамедлительно и безвозмездно прекратить действия по ведению личных данных, за исключением установленных законами случаев, и информировать получателей данных.
4. По ходатайству субъекта данных управляющий данными обязан сообщить субъекту данных о его прекращении действий по ведению его личных данных или отказе в прекращении действий по ведению данных.
Статья 28. Оценка качеств лица автоматическим способом
1. Не может приниматься решение относительно качеств субъекта данных (кредитоспособности, надежности, работоспособности и т.д.), если такие качества были оценены только автоматическим способом, если такое решение может вызвать правовые последствия для субъекта данных или иным образом повлиять на него, за исключением следующих случаев:
1) решение принимается в установленном законами порядке, если законами предусмотрены меры по защите законных интересов субъекта данных;
2) решение принимается при заключении или выполнении договора в том случае, если ходатайство субъекта данных о заключении или исполнении договора удовлетворено;
3) решение принимается при заключении или выполнении договора, если осуществляются надлежащие меры по защите законных интересов субъекта данных, например, установлен порядок, позволяющий субъекту данных высказать свое мнение.
2. Управляющий данными до начала оценки качеств субъекта данных автоматическим способом обязан создать условия субъекту данных для ознакомления с установленными управляющим данными критериями и принципами оценки.
3. Если управляющий данными оценивает качества субъекта данных автоматическим способом и субъект данных не согласен с такой оценкой, он вправе заявить о своем мнении относительно оценки его качеств. Управляющий данными должен учитывать мнение субъекта данных и при необходимости повторить оценку не автоматическим способом.
Статья 29. Услуга, предоставляемая субъекту данных для реализации его права на ознакомление со своими личными данными
1. Государственная инспекция по защите данных оказывает помощь субъекту данных в реализации его права на ознакомление с его личными данными.
2. Субъект данных при обращении в Государственную инспекцию по защите данных и предъявлении документа, удостоверяющего идентичность личности, вправе просить Государственную инспекцию по защите данных собрать у зарегистрированных управляющих данными его личные данные или информацию о ведении его личных данных и ознакомить его с собранными данными или информацией. Если субъект данных в Государственную инспекцию по защите данных обращается электронным способом, его ходатайство должно быть подписано безопасной электронной подписью. Ответ на такое ходатайство представляется лицу по электронной почте, а по желанию лица – пересылается по почте по указанному адресу или вручается. Ответ по электронной почте должен быть подписан безопасной электронной подписью. Государственная инспекция по защите данных обязана ответить на такое ходатайство субъекта данных в течение 30 календарных дней.
3. При предоставлении указанной в части 2 настоящей статьи услуги субъекту данных Государственная инспекция по защите данных не имеет права осуществлять сбор данных, установленных в Законе о государственной и служебной тайнах, которые составляют засекреченную информацию.
4. За предоставление установленной в части 2 настоящей статьи услуги субъекту данных взимается государственная пошлина установленного Правительством размера.
5. Зарегистрированные в Государственном регистре управляющих личными данными управляющие данными после получения запроса из Государственной инспекции по защите данных относительно осуществления права конкретного субъекта данных на ознакомление с его личными данными обязаны не позднее чем в течение 15 календарных дней представить в Государственную инспекцию по защите данных ответ в установленном ею порядке (запрошенные субъектом данных личные данные или информация о ведении его личных данных или указание на то, что ведение данных субъекта данных не осуществляется).
6. Управляющие данными обязаны обеспечить безопасность, конфиденциальность, беспрерывность и доступность полученных из Государственной инспекции по защите данных и представленных в Государственную инспекцию по защите данных субъекта.
ГЛАВА ШЕСТАЯ
СОХРАННОСТЬ ДАННЫХ
Статья 30. Сохранность данных
1. Управляющий данными и распорядитель данных обязаны применять надлежащие организационные и технические меры, направленные на защиту личных данных от непреднамеренного или незаконного уничтожения, представления, раскрытия, а также от любого другого незаконного ведения. Упомянутые меры должны обеспечить такой уровень сохранности, который соответствовал бы характеру подлежащих сохранению личных данных и риску, связанному с их ведением, и должны быть изложены в письменном документе (в правилах ведения личных данных, утвержденных управляющим данными, в заключенном управляющим данными и распорядителем данных договоре и т.п.).
2. Государственная инспекция по защите данных устанавливает общие требования в отношении организационных и технических мер по сохранности данных.
3. Управляющий данными самостоятельно осуществляет ведение данных и (или) уполномочивает распорядителя данных. Если управляющий данными уполномочивает распорядителя данных осуществлять ведение личных данных, он обязан подобрать такого распорядителя данных, который гарантировал бы необходимые технические и организационные меры по защите данных и обеспечил бы соблюдение таких мер.
4. Управляющий данными, уполномочивая распорядителя данных на ведение личных данных, устанавливает, что ведение данных должно осуществляться только в соответствии с указаниями управляющего данными.
5. Отношения управляющего данными и распорядителя данных, который не является управляющим данными, должны быть установлены в письменном договоре, за исключением случаев, когда такие отношения устанавливаются законами или другими правовыми актами.
6. Работники управляющего данными, распорядителя данных и их представителей, которые осуществляют ведение личных данных, обязаны сохранять тайну личных данных, если эти личные данные не предназначены для публичного обнародования. Эта обязанность сохраняется и после ухода с государственной службы, перехода на другую должность либо после прекращения трудовых или договорных отношений.
7. Субъектам данных (физическим лицам) сообщения информационного характера высылаются или представляются в письменной печатной форме о представленных субъектам данных (физическим лицам) услугах, обязательствах субъектов данных (физических лиц), о выполнении договоров с субъектами данных (физическими лицами), счета, расчетные листы, предназначенные работодателем работнику, индивидуальные предложения коммерческого характера субъектам данных (физическим лицам), в содержании которых указываются личные данные субъектов данных (физических лиц), в том числе, но не исключительно, данные об имени и фамилии лица, о местожительстве, уплаченных или неуплаченных налогах, о коде или номере налогоплательщика, номере расчетной книжки, должны быть представлены в запечатанном пакете, на котором может содержаться только информация, необходимая для почтовых услуг, и содержание таких извещений может быть доступно только субъекту данных (физическому лицу), которому адресовано извещение, или с его согласия третьему лицу после вскрытия или распечатки пакета извещения. Эти положения не применяются, если упомянутые извещения вручаются субъектам данных (физическим лицам) лично и конфиденциально.
8. За надлежащее выполнение указанных в части 7 настоящей статьи требований ответственность несут управляющие данными и лица, по заказу которых рассылаются указанные в части 7 настоящей статьи письменные извещения информационного характера.
ГЛАВА СЕДЬМАЯ
РЕГИСТРАЦИЯ УПРАВЛЯЮЩИХ ДАННЫМИ
Статья 31. Уведомление о ведении данных
Ведение личных данных может осуществляться автоматическим способом только в том случае, если управляющий данными или его представитель (в соответствии с пунктом 3 части 3 статьи 1 настоящего Закона) в установленном Правительством порядке сообщают в Государственную инспекцию по защите данных, за исключением случаев, когда ведение личных данных осуществляется:
1) в целях внутреннего администрирования;
2) в политических, философских, религиозных целях или в целях, связанных с профессиональными союзами, если ведение личных данных осуществляет в своей деятельности фонд, ассоциация или другая некоммерческая организация, когда личные данные, ведение которых осуществляется, связаны только с членами этой организации или с лицами, которые постоянно иным образом принимают участие в ее деятельности для достижения намеченных этой организацией целей;
3) в установленных в статье 8 настоящего Закона случаях;
4) в установленном Законом о государственной и служебной тайнах порядке.
Статья 32. Ответственное за защиту данных лицо или подразделение
1. Управляющий данными вправе назначить ответственное за защиту данных лицо или подразделение.
2. Ответственное за защиту данных лицо или подразделение:
1) публично объявляет о действиях управляющего данными по ведению данных в установленном Правительством порядке;
2) осуществляет надзор за соблюдением при ведении личных данных положений настоящего Закона и других правовых актов, регламентирующих защиту данных;
3) инициирует подготовку сообщений в Государственную инспекцию по защите данных об обстоятельствах, указанных в части 1 статьи 33 настоящего Закона;
4) осуществляет контроль за тем, как работники управляющего данными осуществляют ведение личных данных;
5) представляет предложения, заключения управляющему данными о защите данных и определению средств для ведения данных, осуществляет надзор за исполнением и использованием этих средств;
6) незамедлительно принимает меры по устранению нарушений при ведении личных данных;
7) представляет работникам, уполномоченным для ведения личных данных, с положения настоящего Закона и других правовых актов, регламентирующих защиту личных данных;
8) инициирует подготовку обращений в Государственную инспекцию по защите данных по вопросам ведения и защиты личных данных;
9) оказывает помощь субъектам данных в реализации их прав;
10) в письменной форме информирует Государственную инспекцию по защите данных, если устанавливает, что управляющий данными осуществляет ведение личных данных с нарушением положений настоящего Закона и других правовых актов, регламентирующих защиту данных, и отказывается устранить эти нарушения.
3. Управляющий данными обязан представить ответственному за защиту данных лицу или подразделению исчерпывающую информацию о намечаемом ведении личных данных, намеченном использовании автоматических средств для ведения личных данных и установить разумный срок для представления заключения относительно намеченного ведения личных данных.
4. Управляющий данными обязан создать условия ответственному за защиту данных лицу или подразделению для самостоятельного исполнения установленных в настоящей статье его функций.
5. Управляющий данными в течение 30 календарных дней со дня назначения или отзыва лица или подразделения, ответственного за защиту данных, должен сообщить об этом в Государственную инспекцию по защите данных.
Статья 33. Предварительная поверка
1. Государственная инспекция по защите данных осуществляет предварительную поверку в следующих случаях:
1) если управляющий данными намерен осуществлять автоматическим способом ведение особых личных данных, за исключением ведения этих данных в целях внутреннего администрирования или в установленных в пунктах 6 и 7 части 2 статьи 5 настоящего Закона случаях;
2) если управляющий данными намерен осуществлять автоматическим способом ведение публичных реестров данных, если в законах или других правовых актах не установлен порядок представления данных;
3) если управляющий данными государственных или ведомственных регистров либо информационных систем данных государственных органов и органов самоуправлений намерен уполномочить распорядителя данных на ведение личных данных, за исключением случаев, когда в законах или других правовых актах закреплено право управляющего данными уполномочивать конкретного распорядителя данных на ведение личных данных или, если распорядитель данных является юридическим лицом, учрежденным управляющим данными;
4) в установленных в части 3 статьи 10, части 1 статьи 12, части 2 статьи 21 и части 4 статьи 24 настоящего Закона случаях.
2. Управляющий данными обязан в установленном Государственной инспекцией по защите данных порядке сообщить в Государственную инспекцию по защите данных о случаях, указанных в части 1 настоящей статьи. Такие действия по ведению данных могут осуществляться только после получения разрешения Государственной инспекции по защите данных. Государственная инспекция по защите данных обязана в течение 2 месяцев со дня получения извещения в установленном Государственной инспекцией по защите данных порядке осуществить предварительную поверку и выдать разрешение или отказать в выдаче разрешения управляющему данными на осуществление действий по ведению личных данных, за исключением случаев, когда в связи со сложностью указанных в извещении обстоятельств, объемом информации или другими важными обстоятельствами рассмотрение извещения необходимо продлить. Решение Государственной инспекции по защите данных не выдавать разрешение управляющему данными на осуществление действий по ведению личных данных может быть обжаловано в установленном законами порядке.
Статья 34. Регистрация управляющих данными
1. Управляющие данными регистрируются в Регистре управляющих личными данными.
2. Ведение Государственного регистра управляющих личными данными осуществляет Государственная инспекция по защите данных.
ГЛАВА ВОСЬМАЯ
ПРЕДСТАВЛЕНИЕ ЛИЧНЫХ ДАННЫХ ПОЛУЧАТЕЛЯМ ДАННЫХ, НАХОДЯЩИМСЯ В ИНОСТРАННЫХ ГОСУДАРСТВАХ
Статья 35. Представление личных данных получателям данных, находящимся в иностранных государствах
1. Личные данные представляются получателям данных, находящимся в государствах – членах Европейского Союза и других государствах Европейского экономического пространства, представляются на тех же условиях и в том же порядке, что и получателям данных, находящимся в Литовской Республике.
2. Личные данные представляются получателям данных в третьих государствах после получения разрешения Государственной инспекции по защите данных, за исключением установленных в части 5 настоящей статьи случаев.
3. Государственная инспекция по защите данных не позднее чем в течение 2 месяцев со дня обращения управляющего данными выдает или отказывает в выдаче разрешения на представление личных данных в третьи государства. Разрешение выдается, если в этих государствах существует соответствующий уровень правовой защиты личных данных. Уровень правовой защиты личных данных оценивается с учетом всех обстоятельств, связанных с представлением данных, особенно действующих в третьем государстве, в которое представляются личные данные, законов, других правовых актов и подготовленных управляющим данными документов, обеспечивающих правовую защиту личных данных, с учетом характера представляемых данных, способов, целей, продолжительности ведения данных, средств защиты, которые будут соблюдаться в том государстве.
4. Государственная инспекция по защите данных может выдать разрешение на представление личных данных в третье государство, которое не гарантирует надлежащий уровень правовой защиты личных данных, если управляющий данными установил надлежащие меры по защите неприкосновенности частной жизни лица, по защите и реализации других прав субъекта данных. Такие меры защиты должны быть изложены в договоре о представлении личных данных в третье государство или в другом документе письменной формы.
5. Без разрешения Государственной инспекции по защите данных личные данные представляются в третье государство или международной правоохранительной организации только в том случае, если:
1) субъект данных дал согласие на представление данных;
2) представление личных данных необходимо для заключения или выполнения договора между управляющим данными и третьим лицом в интересах субъекта данных;
3) представление личных данных необходимо для выполнения договора между управляющим данными и субъектом данных или осуществления мер, которые были приняты до заключения договора по ходатайству субъекта данных;
4) представление личных данных необходимо (или установлено законами) по важным общественным интересам или они необходимы для рассмотрения дела в суде;
5) с целью защиты жизненно важных интересов субъекта данных;
6) необходимо предотвратить преступные деяния или необходимо их расследовать;
7) личные данные в установленном законами или другими правовыми актами порядке представляются из публичного реестра данных.
ГЛАВА ДЕВЯТАЯ
НАДЗОР ЗА ОСУЩЕСТВЛЕНИЕМ НАСТОЯЩЕГО ЗАКОНА
Статья 36. Орган по надзору за осуществлением настоящего Закона и его правовой статус
1. Надзор и контроль за осуществлением настоящего Закона, за исключением статьи 8, осуществляет Государственная инспекция по защите данных. Государственная инспекция по защите данных является правительственным учреждением, финансируемым из государственного бюджета. Она подотчетна Правительству. Положение о Государственной инспекции по защите данных утверждает Правительство.
2. Государственная инспекция по защите данных является публичным юридическим лицом, имеющим расчетный счет в банке и печать с гербом Литовского государства и своим наименованием.
3. Важнейшими целями деятельности Государственной инспекции по защите данных является надзор за деятельностью управляющих данными при ведении личных данных, контроль за законностью ведения личных данных, предотвращение нарушений в ведении данных, обеспечение защиты прав субъекта данных.
3. Государственная инспекция по защите данных не вправе осуществлять контроль за ведением личных данных в судах.
Статья 37. Правовые основы и принципы деятельности Государственной инспекции по защите данных
1. Государственная инспекция по защите данных в своей деятельности руководствуется Конституцией Литовской Республики, международными договорами Литовской Республики, настоящим и другими законами, а также другими правовыми актами.
2. Деятельность Государственной инспекции по защите данных основывается на принципах законности, беспристрастности, публичности, профессионализма в исполнении своих функций. Государственная инспекция по защите данных при исполнении установленных настоящим Законом функций и принятии решений, связанных с выполнением установленных в настоящем Законе в отношении нее функций, является независимой. Ее права могут быть ограничены только законами.
3. Государственные органы и учреждения, а также органы и учреждения самоуправлений, члены Сейма и другие должностные лица, политические партии, общественные организации, другие юридические и физические лица не имеют права оказывать на директора, государственных служащих и работающих по трудовому договору работников Государственной инспекции по защите данных какое-либо политическое, экономическое, психологическое, социальное давление или другое незаконное воздействие. Вмешательство в деятельность Государственной инспекции по защите данных влечет установленную законами ответственность.
Статья 38. Статус директора Государственной инспекции по защите данных
1. Государственной инспекцией по защите данных руководит директор Государственной инспекции по защите данных.
2. Директор Государственной инспекции по защите данных является государственным служащим – руководителем учреждения, на должность принимается в конкурсном порядке на срок полномочий продолжительностью 5 лет и освобождается от нее Премьер-министром в установленном Законом о государственной службе порядке. Директором Государственной инспекции по защите данных лицо может быть назначено не более двух сроков полномочий подряд.
3. Директор Государственной инспекции по защите данных на свой срок полномочий должен приостановить членство в политической партии.
4. Правовое положение директора Государственной инспекции по защите данных помимо настоящего Закона определяется и Законом о государственной службе.
Статья 39. Заместители директора Государственной инспекции по защите данных
1. Директор Государственной инспекции по защите данных имеет заместителей.
2. Заместителей на должность принимает директор Государственной инспекции по защите данных в установленном Законом о государственной службе порядке.
3. В отсутствие директора Государственной инспекции по защите данных его временно замещает один из заместителей, который временно выполняет функции директора.
Статья 40. Функции Государственной инспекции по защите данных
Государственная инспекция по защите данных:
1) осуществляет ведение Государственного регистра управляющих личными данными, публично обнародует их данные и осуществляет надзор за связанной с ведением личных данных деятельностью зарегистрированных управляющих данными;
2) рассматривает ходатайства лиц в установленном Законом о публичном администрировании порядке;
3) рассматривает жалобы и сообщения лиц (далее – жалобы) в установленном настоящим Законом порядке;
4) осуществляет проверку законности ведения личных данных и принимает решения относительно нарушений в ведении личных данных;
5) выдает разрешения управляющим данными представлять личные данные получателям данных третьих государств;
6) подготавливает и публично обнародует годовые отчеты о своей деятельности;
7) консультирует управляющих данными, а также подготавливает методические рекомендации относительно защиты личных данных и обнародует их в Интеренете;
8) в установленном законами порядке предоставляет помощь живущим заграницей субъектам данных;
9) в установленных законами случаях представляет информацию другим государствам о правовых актах Литовской Республики, регламентирующих защиту данных, и о практике их администрирования;
10) в установленных в настоящем Законе случаях проводит предварительную проверку и представляет заключение управляющему данными о намечаемом ведении данных;
11) сотрудничает с органами иностранных государств, органами, учреждениями Европейского Союза и международными организациями, осуществляющими защиту личных данных, и принимает участие в их деятельности;
12) осуществляет положения Конвенции о защите лиц в связи с автоматизированным ведением личных данных (ССЕ № 108);
13) представляет предложения в Сейм, Правительство, другие государственные органы и учреждения, а также органы и учреждения самоуправлений относительно подготовки, изменения, признания утратившими силу законов или других правовых актов, если положения законов или других правовых актов связаны с вопросами, относящимися к компетенции Государственной инспекции по защите данных;
14) оценивает представленные управляющими данными правила ведения личных данных;
15) исполняет другие установленные в настоящем и других законах функции.
Статья 41. Права Государственной инспекции по защите данных
Государственная инспекция по защите данных имеет право:
1) безвозмездно получать от государственных органов и учреждений, а также органов и учреждений самоуправлений, других юридических и физических лиц всю необходимую информацию, копии документов, копии данных, а также ознакомиться со всеми данными и документами, необходимые для исполнения функций по надзору за ведением личных данных;
2) после предварительного письменного предупреждения, а при проверке законности ведения личных данных по жалобе – без предварительного предупреждения, входить в помещения проверяемого лица (в том числе, и арендуемые или используемые на других основаниях) или на территорию, где находятся документы, оборудование, связанные с ведением личных данных. Вход на территорию, в здания, помещения (в том числе, в арендуемые или используемые на других основаниях) проверяемого юридического лица возможен только в рабочее время проверяемого юридического лица после предъявления удостоверения государственного служащего. Вход в жилое помещение проверяемого физического лица (в том числе, в арендуемое или используемое на других основаниях) где находятся документы, оборудование, связанные с ведением личных данных, возможен только после предъявления постановления суда относительно разрешения на вход в жилое помещение;
3) принимать участие в заседаниях Сейма, Правительства, других государственных органов в случае рассмотрения вопросов, связанных с защитой данных;
4) приглашать экспертов (консультантов), создавать рабочие группы для экспертизы ведения или защиты данных, подготовки документов по защите данных, а также для решения других вопросов, входящих в компетенцию Государственной инспекции по защите данных;
5) давать управляющему данными рекомендации и указания относительно ведения и защиты личных данных;
6) в установленном законами порядке составлять протоколы административных правонарушений;
7) обмениваться информацией с органами надзора за личными данными других государств и международными организациями в том объеме, в каком это необходимо для выполнения их обязанностей;
8) принимать участие при рассмотрении в суде дел о нарушениях положений международного и национального права по вопросам защиты личных данных;
9) во время проверки законности ведения личных данных при сборе доказательств использовать оборудование для производства фотосъемки, киносъемки и звукозаписи;
10) другие установленные в законах и других правовых актах права.
ГЛАВА ДЕСЯТАЯ
ПРИЕМ И РАССМОТРЕНИЕ ЖАЛОБ
Статья 42. Подача жалоб
1. Лицо вправе подать в Государственную инспекцию по защите данных жалобу относительно действий (бездействия) управляющего данными, которыми нарушаются положения настоящего Закона.
2. Государственная инспекция по защите данных расследует и другие жалобы лиц, перенаправленные ей другими органами.
3. Жалобы, как правило, подаются в письменной форме, в том числе в электронной форме. Представленные электронным способом документы должны быть подписаны безопасной электронной подписью. Если жалоба получена в устной форме или Государственная инспекция по защите данных установила признаки нарушения настоящего Закона из средств информирования общества и (или) из других источников, она может начать расследование по собственной инициативе.
4. Жалобами не считаются обращения лиц в устой или письменной форме, в которых не обжалуются действия (бездействие) управляющих данными, а содержится просьба о разъяснении, представлении другой информации или необходимых документов.
Статья 43. Требования к жалобе
1. В жалобе указывается:
1) адресат – Государственная инспекция по защите данных;
2) имя, фамилия, адрес заявителя и по желанию заявителя – номер его телефонной связи или адрес электронной почты;
3) наименование или имя, фамилия, местонахождение, адрес места жительства или места ведения данных обжалуемого управляющего данными;
4) определение обжалуемых действий (бездействия), время и обстоятельства их совершения;
5) ходатайство заявителя Государственной инспекции по защите данных;
6) дата написания жалобы и подпись заявителя.
2. К жалобе могут быть приложены имеющиеся доказательства или их описание.
3. Несоответствие жалобы указанной в части 1 настоящей статьи форме или неуказание реквизитов не может являться основанием для отказа в рассмотрении жалобы.
Статья 44. Анонимные жалобы
Анонимные жалобы не подлежат рассмотрению, если директор Государственной инспекции по защите данных не решает иначе.
Статья 45. Отказ в рассмотрении жалобы
1. Государственная инспекция по защите данных не позднее чем в течение 5 рабочих дней со дня получения жалобы принимает решение отказать в рассмотрении жалобы, информируя об этом заявителя, если:
1) рассмотрение указанных в жалобе обстоятельств не входит в компетенцию Государственной инспекции по защите данных;
2) жалоба по тому же вопросу была рассмотрена в Государственной инспекции по защите данных, за исключением случаев, когда указываются новые обстоятельства или представляются новые факты;
3) жалоба по тому же вопросу была рассмотрена или находится на рассмотрении в суде;
4) по предмету жалобы принято процессуальное решение о начале досудебного расследования;
5) текст жалобы невозможно прочесть.
2. В случае принятия решения об отказе в рассмотрении жалобы, должны быть указаны основания отказа в ее рассмотрении.
3. В тех случаях, когда жалоба не относится к компетенции Государственной инспекции по защите данных, Государственная инспекция по защите данных в течение указанного в части 1 настоящей статьи срока передает жалобу в орган, который обладает необходимой компетенцией, и сообщает об этом заявителю. Если компетентным органом является суд, жалоба возвращается заявителю с предоставлением необходимой информации.
Статья 46. Прекращение рассмотрения жалобы
1. Если получено ходатайство заявителя не рассматривать жалобу, Государственная инспекция по защите данных прекращает рассмотрение. Государственная инспекция по защите данных может начать расследование по собственной инициативе.
2. Рассмотрение жалобы прекращается, если во время рассмотрения выясняются указанные в части 1 статьи 45 настоящего Закона обстоятельства или в других установленных настоящим Законом случаях.
Статья 47. Обращение к заявителю с просьбой о представлении дополнительной информации
1. Требование от заявителя документов и информации, необходимых для расследования жалобы, должно быть законным и мотивированным.
2. Заявитель по просьбе Государственной инспекции по защите данных обязан представить документы и информацию в течение указанного в просьбе срока. Повторно требовать от заявителя документы и информацию можно только в исключительных случаях и при надлежащей мотивации необходимости этих документов и информации.
3. Если заявитель не представляет в Государственную инспекцию по защите данных запрашиваемые документы и информацию, без которых невозможно расследование жалобы, жалоба не расследуется.
Статья 48. Прием жалобы
Факт приема жалобы подтверждается Государственной инспекцией по защите данных в письменной форме. В письме указывается дата приема жалобы, имя, фамилия, номер телефонной связи работника Государственной инспекции по защите данных, рассматривающего жалобу, регистрационный номер жалобы. Подтверждающий факт приема жалобы документ заявителю вручается или пересылается по почте либо по электронной почте не позднее, чем в течение 3 рабочих дней.
Статья 49. Сроки расследования жалобы
Жалоба должна быть расследована и ответ заявителю дан в течение 2 месяцев со дня получения жалобы, за исключением случаев, когда в связи со сложностью указанных в жалобе обстоятельств, объемом информации или продолжительным характером обжалуемых действий срок расследования жалобы необходимо продлить. В этих случаях срок расследования жалобы продлевается, но не более чем на 2 месяца. Весь срок расследования жалобы не может превышать 4 месяцев. О решении Государственной инспекции по защите данных о продлении срока расследования жалобы информируется заявитель. Жалобы должны быть расследованы в течение возможного кратчайшего срока.
Статья 50. Обязательность требований Государственной инспекции по защите данных
Управляющие данными, а также другие юридические и физические лица обязаны по требованию Государственной инспекции по защите данных незамедлительно предоставить информацию, копии документов, копии данных, а также создать условия для ознакомления со всеми данными, оборудованием, связанным с ведением личных данных, и с документами, необходимыми для выполнения функции по надзору за ведением личных данных.
Статья 51. Расследование жалобы и принимаемые Государственной инспекцией по защите данных решения
1. Государственная инспекция по защите данных после проведения расследования принимает мотивированное решение:
1) признать жалобу обоснованной;
2) отклонить жалобу;
3) прекратить расследование жалобы.
2. Решение подписывает директор Государственной инспекции по защите данных.
3. Решения Государственной инспекции по защите данных в установленном законами порядке могут быть обжалованы в суд.
Статья 52. Обязанность хранить охраняемые законами Литовской Республики тайны или данные
Директор, государственные служащие и работники, работающие по трудовому договору, Государственной инспекции по защите данных обязаны сохранять государственные, служебные, профессиональные, коммерческие (производственные), банковские и другие охраняемые законами тайны и охраняемые законами личные данные, которые стали им известны во время замещения должности.
ГЛАВА ОДИННАДЦАТАЯ
ОТВЕТСТВЕННОСТЬ
Статья 53. Ответственность за нарушение настоящего Закона
В отношении управляющих данными, распорядителей данных и других лиц, нарушивших настоящий Закон, применяется установленная законами ответственность.
Статья 54. Возмещение имущественного и неимущественного ущерба
1. Лицо, понесшее ущерб в результате незаконного ведения личных данных либо других действий (бездействия) управляющего данными или распорядителя данных, а также других лиц, нарушающих положения настоящего Закона, имеет право требовать возмещения нанесенного ему имущественного и неимущественного ущерба.
2. Размер имущественного и неимущественного ущерба устанавливается судом.
Приложение к Закону Литовской Республики о правовой защите личных данных
ОСУЩЕСТВЛЯЕМЫЕ ПРАВОВЫЕ АКТЫ ЕВРОПЕЙСКОГО СОЮЗА
Директива Европейского Парламента и Совета от 24 октября 1995 г. 95/46/ЕС о защите лиц при ведении личных данных и о свободном передвижении таких данных (ОИ 2004 г. специальное издание, раздел 13, том 15, стр. 355)».
Статья 2. Введение в действие и осуществление Закона
1. Настоящий Закон, за исключением части 2 настоящей статьи, вводится в действие с 1 января 2009г.
2. Правительство и Государственная инспекция по защите данных до 1 января 2009 г. утверждает необходимые для осуществления настоящего закона правовые акты.
3. Управляющие данными, которые после введение в действие настоящего Закона продолжают ведение автоматическим способом особых личных данных о здоровье в целях, указанных в статье 10 Закона о защите личных данных, изложенного в статье 1 настоящего Закона, обязаны об этом сообщить в Государственную инспекцию по защите данных в порядке, установленном в статье 31 и 33 Закона о защите личных данных, изложенного в статье 1 настоящего Закона, не позднее чем в течение 2 лет со дня введение в действие настоящего Закона. Сообщение управляющих данными не приостанавливает и не прекращает действия по ведению личных данных, если Государственная инспекция по защите данных не устанавливает иначе.
4. Принятый на должность до введение в действие настоящего Закона директор Государственной инспекции по защите данных с его согласия замещает должность и после введение в действие настоящего Закона. Со дня введение в действие настоящего Закона начинает отсчитываться срок полномочий директора Государственной инспекции по защите данных.
Обнародую настоящий Закон, принятый Сеймом Литовской Республики
ПРЕЗИДЕНТ РЕСПУБЛИКИ ВАЛДАС АДАМКУС
|