Lietuvos Respublikoje asmens duomenų teisinę apsaugą reglamentuoja 1996 m. birželio 11 d. Asmens duomenų teisinės apsaugos įstatymas Nr. I-1374 (toliau – Įstatymas), kurio pagrindinis tikslas yra dvipusis - ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir kartu sudaryti sąlygas laisvam asmens duomenų judėjimui. Duomenų tvarkymą Įstatymas apibrėžia kaip bet kurį su asmens duomenimis atliekamą veiksmą, tai yra jų rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, grupavimą, jungimą, keitimą (papildymą ar taisymą), teikimą, paskelbimą, naudojimą, laikymą, logines ir/ar aritmetines operacijas, paiešką, skleidimą, naikinimą ar kitokį veiksmą ar veiksmų rinkinį.
Įstatymo 3 str. kiekvieną duomenų valdytoją įpareigoja užtikrinti, kad asmens duomenys būtų: (i) renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir po to tvarkomi su šiais tikslais suderintais būdais; (ii) tvarkomi tiksliai, sąžiningai ir teisėtai; (iii) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; (iv) tokios apimties, kuri būtina asmens duomenims tvarkyti; (v) laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne vėliau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
Kiekvienas asmuo, kurio duomenys yra tvarkomi, turi tam tikras teises, kaip pavyzdžiui, žinoti apie savo asmens duomenų tvarkymą, susipažinti su jais ir kaip jie tvarkomi, reikalauti ištaisyti ir sunaikinti savo asmens duomenis, nesutikti dėl jų tvarkymo ir panašiai. Tuo tarpu duomenų valdytojai privalo sudaryti visas sąlygas įgyvendinti duomenų subjekto teises.
Duomenų valdytojas privalo informuoti duomenų subjektą apie savo, kaip duomenų valdytojo, tapatybę, kokiu tikslu tvarkomi duomenų subjekto asmens duomenys ir kam jie teikiami.
Vadovaujantis Įstatymo 17 str. 2 d., duomenų valdytojas, gavęs duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir raštu pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per trisdešimt kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Įstatymo 18 str. 1 d. numato, kad jeigu duomenų subjektas mano, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo asmens duomenis patikrinti ir ištaisyti. Jeigu duomenų subjektas mano, kad jo asmens duomenys yra tvarkomi neteisėtai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir duomenų subjekto prašymu sunaikinti neteisėtai sukauptus asmens duomenis.
Duomenų subjektas turi teisę pasirinkti ar duoti sutikimą, ar ne, taip pat ar panaikinti duotą sutikimą dėl savo asmens duomenų tvarkymo veiksmo tais atvejais, kai duomenų tvarkymo veiksmas atliekamas duomenų valdytojo iniciatyva. Jeigu duomenų subjektas nesutinka dėl jo asmens duomenų tvarkymo, vadovaujantis Įstatymo 19 str. 4 d., duomenų valdytojas privalo nedelsdamas nutraukti asmens duomenų tvarkymą ir informuoti apie tai duomenų gavėjus.
Tam, kad būtų užtikrintas asmens duomenų saugumas, remiantis Įstatymo 21 str. 1 d., kiekvienas duomenų valdytojas privalo įgyvendinti tinkamas technines ir organizacines priemones, garantuojančias, kad asmens duomenys nebūtų netyčia ar neteisėtai sunaikinti ar netyčia prarasti, pakeisti, neleistinai atskleisti ar palikti prieinami. Be abejo, nuspręsti, ką reiškia sąvoka “tinkamos techninės organizacinės priemonės”, yra gana sunku, kadangi tokiu atveju susiduriama su kaštais, tai yra ne tik pačių technologijų kaina, bet taip pat ir personalo išlaikymu bei kitomis išlaidomis. Todėl minėtos saugumo užtikrinimo priemonės turėtų garantuoti tokį saugumo lygį, kuris atitiktų tvarkymo keliamą riziką bei saugotinų duomenų pobūdį.
Taip pat reikėtų paminėti, kad Įstatymo 22 str. įpareigoja tuos duomenų valdytojus, kurie renka, kaupia, apdoroja, saugo, teikia duomenis apie fizinius asmenis automatiniu būdu, prieš pradedant tokį asmens duomenų tvarkymą pranešti apie tai Valstybinei duomenų apsaugos inspekcijai (išskyrus tuos, kurie tvarko savo surinktus duomenis tik vidaus administravimo, sveikatos apsaugos tikslais, taip pat kurių tvarkomi duomenys sudaro valstybės ar tarnybinę paslaptį arba kai asmens duomenis tvarko fondas, asociacija, profesinė sąjunga, politinė partija ar kita ne pelno organizacija savo veiklos tikslu, jei tvarkomi duomenys yra susiję su šios organizacijos nariais ar asmenimis, kurie nuolat dalyvauja jos veikloje). Vadovaujantis Įstatymo 23 str., duomenų valdytojai registruojami Asmens duomenų valdytojų valstybės registre.
Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo veiksmų ar neveikimo, turi teisę, Lietuvos Respublikos įstatymų nustatyta tvarka, reikalauti atlyginti jam padarytą turtinę ir/ar neturtinę žalą.
Pateikta informacija yra bendro pobūdžio, ja neturi būti remiamasi kaip galutine teisine nuomone, konsultacija ar patarimu.
Parengė Advokatų kontora “Jaskutėlis, Sutkienė ir Masiokas” (1991-2001 metais advokatų kontoros
"McDermott, Will & Emery" biuras)
