mega pasiūlymas vasarį👉 Plačiau

BDAR (GDPR) vadovas įmonėms 💼 Taisyklės, prievolės ir sankcijos

Išsamus BDAR reglamentavimo paaiškinimas: kokie duomenys saugomi 🛡️ kokios įmonių prievolės ir kaip išvengti didelių baudų ⚖️ Užtikrinkite savo verslo saugumą.

Andrej Manasejev

6/19/202649 min skaitymo

Kas yra BDAR ir kodėl tai yra pamatas verslui internete?

BDAR (Bendrasis duomenų apsaugos reglamentas) – tai Europos Sąjungos teisės aktas (oficialiai: Europos Parlamento ir Tarybos reglamentas (ES) 2016/679), nustatantis vieningas ir griežtas asmens duomenų apsaugos bei privatumo taisykles visoje Europos Ekonominėje Erdvėje (EEE). Šis reglamentas imperatyviai nurodo, kaip organizacijos privalo rinkti, saugoti ir tvarkyti fizinių asmenų duomenis, siekiant užtikrinti fundamentalias žmogaus teises į privatumą bei garantuoti saugų, laisvą duomenų judėjimą ES viduje.

BDAR apibrėžimas praktikoje: Ką tai reiškia verslui?

Žvelgiant per praktinę verslo prizmę, BDAR yra privalomas teisinis standartas bet kuriai įmonei ar organizacijai, renkančiai informaciją apie fizinius asmenis. Norint kokybiškai įgyvendinti BDAR reikalavimus svetainėms, būtina suprasti kelis esminius reglamento veikimo aspektus:

Universalus taikymo mastas: Reglamentas taikomas visoms organizacijoms, veikiančioms ES ar EEE rinkoje. Dar svarbiau – jis taikomas eksteritoriniu principu (BDAR 3 straipsnis), t. y. net ir už ES ribų įsikūrusioms įmonėms, jei jos stebi ES gyventojų elgseną internete ar siūlo jiems paslaugas. Tai reiškia, kad teisės aktas vienodai įpareigoja ir nedidelę Lietuvos įmonę, administruojančią klientų sąrašą, ir tarptautinę e-komercijos platformą.
Plati asmens duomenų samprata: Pagal BDAR 4 straipsnį, asmens duomenimis laikoma bet kokia informacija, pagal kurią galima tiesiogiai ar netiesiogiai identifikuoti žmogų. Tai apima ne tik vardą ar el. pašto adresą, bet ir IP adresą, slapukų (angl. cookies) identifikatorius, buvimo vietos duomenis bei pirkimų istoriją.
Duomenų subjektų teisės: Reglamentas (15–17 straipsniai) suteikia vartotojams svertus kontroliuoti savo informaciją. Žmogus turi teisę susipažinti su organizacijos sukauptais jo duomenimis, reikalauti juos ištaisyti arba pasinaudoti teise „būti pamirštam“ (reikalauti ištrinti duomenis), jei nebėra teisėto pagrindo jų toliau saugoti.

Skirtumas tarp BDAR ir GDPR: Terminologijos paaiškinimas

Teisine prasme jokio skirtumo tarp BDAR ir GDPR nėra – tai yra absoliučiai tas pats dokumentas, tik vadinamas skirtingomis kalbomis.

BDAR yra oficialus lietuviškas pavadinimas („Bendrasis duomenų apsaugos reglamentas“).
GDPR yra angliškos frazės „General Data Protection Regulation“ akronimas.

Lietuvos Respublikos teisiniuose aktuose, oficialiuose dokumentuose ir Valstybinės duomenų apsaugos inspekcijos (VDAI) gairėse vartojama santrumpa BDAR. Tuo tarpu tarptautiniame verslo kontekste, IT sistemų architektūroje (pvz., WordPress įskiepiuose) ar globaliose sutartyse standartu laikoma santrumpa „GDPR“. Nepriklausomai nuo to, kurią santrumpą matote, organizacijai taikomi tie patys Reglamento (ES) 2016/679 reikalavimai.

Kada ir kodėl BDAR buvo priimtas? Skaitmeninė evoliucija ir sankcijos

Priėmimo chronologija: BDAR buvo priimtas 2016 m. balandžio 27 d. Oficialiai jis įsigaliojo 2016 m. gegužės 24 d., o po dvejų metų pereinamojo laikotarpio – 2018 m. gegužės 25 d. – tapo tiesiogiai taikomas visose ES valstybėse narėse, įskaitant Lietuvą. Šis dokumentas pakeitė technologiškai pasenusią 1995 m. Duomenų apsaugos direktyvą (95/46/EB).

Atsiradimo priežastys: Pagrindinis postūmis kurti naują reglamentą buvo pasikeitusi skaitmeninė realybė. Socialiniai tinklai, debesų kompiuterija (angl. cloud computing), mobiliosios aplikacijos ir didžiųjų duomenų (angl. Big Data) analitika lėmė, kad senoji direktyva tapo neefektyvi. BDAR tikslas – harmonizuoti duomenų apsaugos standartus visoje Europoje, grąžinti piliečiams savo duomenų kontrolę ir nustatyti vieningas, prognozuojamas taisykles globaliam verslui.

Teisinė atsakomybė ir baudos: Kadangi duomenų apsauga tapo prioritetu, reglamentas numato ne tik deklaratyvius principus, bet ir griežtą sankcijų mechanizmą. Remiantis BDAR 83 straipsniu, už itin šiurkščius pažeidimus priežiūros institucijos gali skirti administracines baudas iki 20 mln. eurų arba iki 4 % ankstesnių finansinių metų bendros pasaulinės metinės apyvartos (priklausomai nuo to, kuri suma yra didesnė). Ši rizika yra pagrindinis veiksnys, skatinantis įmones atlikti kruopščią asmens duomenų inventorizaciją, diegti aukščiausio lygio kibernetinio saugumo priemones bei skaidriai informuoti vartotojus apie asmens duomenų tvarkymo procesus.

Universalus taikymo mastas: Reglamentas taikomas visoms organizacijoms, veikiančioms ES ar EEE rinkoje. Dar svarbiau – jis taikomas eksteritoriniu principu (BDAR 3 straipsnis), t. y. net ir už ES ribų įsikūrusioms įmonėms, jei jos stebi ES gyventojų elgseną internete ar siūlo jiems paslaugas. Tai reiškia, kad teisės aktas vienodai įpareigoja ir nedidelę Lietuvos įmonę, administruojančią klientų sąrašą, ir tarptautinę e-komercijos platformą.
Plati asmens duomenų samprata: Pagal BDAR 4 straipsnį, asmens duomenimis laikoma bet kokia informacija, pagal kurią galima tiesiogiai ar netiesiogiai identifikuoti žmogų. Tai apima ne tik vardą ar el. pašto adresą, bet ir IP adresą, slapukų (angl. cookies) identifikatorius, buvimo vietos duomenis bei pirkimų istoriją.
Duomenų subjektų teisės: Reglamentas (15–17 straipsniai) suteikia vartotojams svertus kontroliuoti savo informaciją. Žmogus turi teisę susipažinti su organizacijos sukauptais jo duomenimis, reikalauti juos ištaisyti arba pasinaudoti teise „būti pamirštam“ (reikalauti ištrinti duomenis), jei nebėra teisėto pagrindo jų toliau saugoti.

Skirtumas tarp BDAR ir GDPR: Terminologijos paaiškinimas

Teisine prasme jokio skirtumo tarp BDAR ir GDPR nėra – tai yra absoliučiai tas pats dokumentas, tik vadinamas skirtingomis kalbomis.

BDAR yra oficialus lietuviškas pavadinimas („Bendrasis duomenų apsaugos reglamentas“).
GDPR yra angliškos frazės „General Data Protection Regulation“ akronimas.

Kada ir kodėl BDAR buvo priimtas? Skaitmeninė evoliucija ir sankcijos

Kam taikomas BDAR Lietuvoje: Nuo smulkaus verslo svetainių iki tarptautinių korporacijų

Svarstant, kaip įgyvendinti BDAR reikalavimus svetainėms, būtina suprasti reglamento teritorinį ir materialinį taikymo mastą. Bendrasis duomenų apsaugos reglamentas yra taikomas ne pagal organizacijos dydį, apyvartą ar teisinę formą, o remiantis asmens duomenų tvarkymo faktu. Pagal BDAR 3 straipsnį (Teritorinis taikymas), reglamentas Lietuvoje apima praktiškai visą verslą, viešąjį sektorių ir netgi už Europos Sąjungos (ES) ribų įsisteigusias įmones, jei šios turi sąlytį su ES gyventojų duomenimis.

1. Lietuvoje įsisteigusios įmonės ir organizacijos

BDAR taikomas absoliučiai visoms Lietuvoje registruotoms įmonėms, įstaigoms ir nevyriausybinėms organizacijoms, kurios savo profesinėje veikloje renka, saugo ar kitaip tvarko fizinių asmenų (klientų, darbuotojų, tiekėjų, svetainės lankytojų) duomenis.

Sektorių apimtis: Tai apima bankus, draudimo bendroves, gydymo įstaigas, elektroninės ir fizinės mažmeninės prekybos atstovus bei paslaugų teikėjus.
Serverių lokacija: Teisinė atsakomybė taikoma nepriklausomai nuo to, kur fiziškai yra saugomi duomenys. Net jei Lietuvos įmonės svetainė talpinama debesijos serveriuose (angl. cloud servers) JAV ar Azijoje, duomenų valdytojas yra ES jurisdikcijoje, todėl jam galioja visi BDAR reikalavimai.

2. Užsienio įmonės, orientuotos į ES piliečius (Eksteritorinis taikymas)

Pagal BDAR 3 straipsnio 2 dalį, reglamentas galioja ir už ES ribų (trečiosiose valstybėse) įsisteigusioms įmonėms, jei išsipildo bent viena iš šių sąlygų:

Prekių ar paslaugų siūlymas: Įmonė siūlo prekes ar paslaugas (net ir nemokamas) ES gyventojams. Pavyzdžiui, JAV, Jungtinėje Karalystėje ar Kinijoje registruota el. prekybos platforma arba SaaS paslauga, kuri turi vartotojų Lietuvoje ir renka jų registracijos bei mokėjimo duomenis.
Elgsenos stebėjimas: Įmonė stebi ES esančių asmenų elgesį (pvz., per svetainėje įdiegtus sekimo pikselius, analitikos įrankius ir tikslinius slapukus).
Papildomos prievolės: Tokios įmonės privalo laikytis tarptautinio duomenų perdavimo taisyklių (BDAR V skyrius – taikyti standartines sutarčių sąlygas (SCC) ar remtis sprendimais dėl tinkamumo) ir, vadovaujantis BDAR 27 straipsniu, raštu paskirti savo atstovą Europos Sąjungoje.

3. Viešasis sektorius ir valdžios institucijos

Viešojo sektoriaus subjektai nėra atleidžiami nuo duomenų apsaugos. BDAR taikomas visoms valstybės ir savivaldybių institucijoms bei įstaigoms, kurios tvarko asmens duomenis vykdydamos viešojo intereso užduotis (socialinė apsauga, švietimas, sveikatos apsauga, mokesčių administravimas, valstybės registrai).

Duomenų apsaugos pareigūnas (DAP): Vadovaujantis BDAR 37 straipsnio 1 dalies a punktu, Lietuvos valdžios institucijos ir įstaigos privalo paskirti duomenų apsaugos pareigūną (išskyrus teismus, kai jie vykdo savo teismines funkcijas).
Informacijos laisvės suderinamumas: Pagal BDAR 86 straipsnį, viešojo sektoriaus subjektai turi pareigą subalansuoti visuomenės teisę gauti informaciją ir susipažinti su oficialiais dokumentais su griežtais asmens duomenų apsaugos reikalavimais.

4. Smulkusis verslas ir individualios veiklos vykdytojai

Rinkoje gajus mitas, jog BDAR skirtas tik didelėms korporacijoms. Iš tiesų, reglamentas vienodai taikomas ir mažoms įmonėms, mažosioms bendrijoms (MB) bei savarankiškai dirbantiems asmenims (vykdantiems individualią veiklą ar turintiems verslo liudijimą), jei jie tvarko ES gyventojų duomenis (pvz., administruoja klientų kontaktus, vizitų rezervacijų sąrašus, el. parduotuvės užsakymus).

Išimtys: Remiantis BDAR 30 straipsnio 5 dalimi, įmonėms, turinčioms mažiau nei 250 darbuotojų, taikomos administracinės nuolaidos – joms ne visada privaloma tvarkyti detalius duomenų tvarkymo veiklos įrašus (angl. RoPA). Tai galioja tik tuo atveju, jei duomenų tvarkymas nėra nuolatinis, nekelia pavojaus asmenų teisėms ir neapima specialiųjų kategorijų duomenų.
Bazinės pareigos išlieka: Nepaisant dydžio, net ir smulkiausias verslas privalo turėti privatumo politiką svetainėje, užtikrinti teisėtą duomenų tvarkymo pagrindą ir taikyti adekvačias kibernetinio saugumo priemones.

Kokie duomenys laikomi asmeniniais vertinant BDAR reikalavimus svetainėms?

Vienas didžiausių iššūkių įgyvendinant BDAR reikalavimus svetainėms – teisingas asmens duomenų sąvokos supratimas. Pagal Bendrojo duomenų apsaugos reglamento 4 straipsnį, asmens duomenys yra bet kokia informacija apie fizinį asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta (tiesiogiai ar netiesiogiai). Internetinėje erdvėje tai apima ne tik akivaizdžius identifikatorius (vardą, el. paštą), bet ir techninius parametrus (IP adresą, slapukų ID) bei lankytojo elgsenos ar buvimo vietos istoriją.

1. Tiesioginiai asmens duomenys (Vardas, el. paštas, telefonas)

Tiesioginiai asmens duomenys – tai informacija, kuri leidžia tiesiogiai ir be papildomų duomenų identifikuoti konkretų svetainės lankytoją ar klientą.

Ką tai apima: Vardas, pavardė, asmens kodas, elektroninio pašto adresas (ypač, jei jame figūruoja asmens vardas ir pavardė), telefono numeris, fizinis gyvenamosios ar pristatymo vietos adresas. Reglamentas aiškiai nurodo, kad oficialūs identifikatoriai, tokie kaip asmens tapatybės kortelės numeris, banko mokėjimo kortelės duomenys ar ligoninės paciento numeris, yra traktuojami kaip asmens duomenys.
Praktika svetainėse: Tai reiškia, kad elektroninės prekybos (e-komercijos) klientų duomenų bazės, darbuotojų kontaktų puslapiai, CRM (angl. Customer Relationship Management) sistemose saugomi profiliai ar naujienlaiškių prenumeratorių sąrašai visada yra asmens duomenys. Jų rinkimui ir tvarkymui privaloma taikyti visus BDAR skaidrumo bei teisėtumo principus.

2. Netiesioginiai ir techniniai duomenys (IP adresai, Slapukai, Vietos duomenys)

Netiesioginiai duomenys – tai informacija, kuri pati savaime galbūt neidentifikuoja asmens, tačiau, apjungta su kita informacija ar pasitelkus technines priemones, leidžia jį atpažinti. Svetainių administratoriai dažnai daro kritinę klaidą manydami, kad analitikos duomenys nėra asmens duomenys.

Techniniai identifikatoriai: Prie šios kategorijos priskiriami IP adresai, slapukų (angl. cookies) identifikatoriai, MAC adresai, įrenginio ar reklamos ID (pvz., Google Click ID), taip pat buvimo vietos (geolokacijos) duomenys.
Reglamentavimas: Remiantis BDAR 30-ąja konstatuojamąja dalimi bei Europos Sąjungos Teisingumo Teismo (ESTT) praktika, IP adresai ir slapukai laikomi asmens duomenimis, jei svetainės valdytojas ar trečioji šalis (pvz., Google Analytics, Meta) turi priemonių juos susieti su konkrečiu naudotoju ar jo įrenginiu.
Elgsena ir pseudonimizavimas: Prie netiesioginių duomenų priskiriami lankytojų naršymo, elgsenos, profiliavimo duomenys, pirkimų istorija ir interesų kategorijos, jei jie susiejami su paskyra. Svarbu pabrėžti: net jei svetainė naudoja pseudonimizavimą (t. y. asmens vardas sistemoje pakeičiamas atsitiktiniu ID kodu), tol, kol egzistuoja techninė galimybė atkurti tapatybę panaudojant papildomą informaciją, šiems duomenims taikomi BDAR reikalavimai.

3. Specialiųjų kategorijų (Jautrūs) asmens duomenys

Bendrasis duomenų apsaugos reglamentas (9 straipsnis) išskiria specialiųjų kategorijų asmens duomenis, kuriems taikomas išskirtinai griežtas apsaugos režimas. Jų tvarkymas iš esmės yra draudžiamas, išskyrus griežtai reglamente numatytas išimtis.

Kokie tai duomenys? Tai informacija, atskleidžianti asmens rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose. Prie jautrių duomenų priskiriami sveikatos duomenys, genetiniai ir biometriniai duomenys (kai jie naudojami asmens tapatybei nustatyti), taip pat duomenys apie asmens lytinį gyvenimą ir lytinę orientaciją.
Rizikos valdymas: Šie duomenys laikomi itin jautriais, nes jų nutekėjimas gali sukelti diskriminaciją ar tiesioginį pavojų asmens teisėms. Jei svetainė (pvz., privačios klinikos registracijos forma, pažinčių portalas) renka tokią informaciją, būtinas itin tvirtas teisinis pagrindas (dažniausiai – aiškus ir nedviprasmiškas duomenų subjekto sutikimas, būtinumas sveikatos apsaugos tikslais ar svarbus viešasis interesas) bei papildomos, aukščiausio lygio techninės ir organizacinės apsaugos priemonės (šifravimas ir pan.).

Pagrindiniai BDAR principai: Pamatas svetainių atitikčiai

Įgyvendinant BDAR reikalavimus svetainėms, svarbu suprasti, kad Bendrasis duomenų apsaugos reglamentas nenurodo vien tik techninių taisyklių „ką daryti“. Tai yra kompleksinė teisinė filosofija, nurodanti „kaip mąstyti“ apie asmens duomenis. Visi asmens duomenų tvarkymo veiksmai – nuo kontaktinės formos užpildymo iki duomenų saugojimo serveriuose bei jų ištrynimo – privalo atitikti bazinius principus, įtvirtintus BDAR 5 straipsnyje.

1. Teisėtumas, sąžiningumas ir skaidrumas

Asmens duomenys privalo būti tvarkomi teisėtai, sąžiningai ir skaidriai.

Teisėtumas: Kiekvienam asmens duomenų tvarkymo procesui svetainėje būtinas aiškus teisinis pagrindas (pvz., vartotojo sutikimas, sutarties vykdymas, teisinė prievolė ar teisėtas duomenų valdytojo interesas, numatyti BDAR 6 str.).
Skaidrumas: Vartotojas turi aiškiai suprasti, kas, kokius duomenis, kokiu tikslu ir kiek laiko tvarko. Būtent šiam principui įgyvendinti svetainėse naudojamos išsamios privatumo politikos, slapukų sutikimo moduliai (CMP) bei informaciniai pranešimai prie formų.
Sąžiningumas: Griežtai draudžiamas „paslėptas“ asmens duomenų rinkimas. Negalima rinkti duomenų vienu deklaruojamu tikslu, o realybėje juos naudoti kitam, apie kurį duomenų subjektas nebuvo tinkamai informuotas.

2. Tikslo apribojimas

Asmens duomenys gali būti renkami tik nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu.

Duomenų rinkimo momentu (pavyzdžiui, vartotojui pildant registracijos formą), tikslas turi būti konkrečiai ir aiškiai įvardytas.
Jei ateityje duomenis norima panaudoti kitais tikslais, tas naudojimas turi būti suderinamas su pirminiu tikslu arba privalu gauti naują vartotojo sutikimą. Pavyzdžiui, klientų el. pašto adresų, gautų išimtinai prekių pristatymo ir sutarties vykdymo tikslais, negalima automatiškai įtraukti į agresyvios tiesioginės rinkodaros (naujienlaiškių) duomenų bazę be papildomo, aiškaus sutikimo.

3. Duomenų kiekio minimizavimas (Mažinimas)

Svetainės administratoriai privalo užtikrinti, kad renkami asmens duomenys būtų adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi.

Praktikoje tai reiškia pabaigą duomenų kaupimui „dėl visa ko“ ar „galbūt pravers ateityje“.
Jeigu vartotojo užklausai atsakyti ar naujienlaiškiui išsiųsti pakanka tik el. pašto adreso bei vardo, nėra jokio teisinio pagrindo reikalauti asmens kodo, lyties ar tikslaus gyvenamosios vietos adreso. Šis principas kritiškai svarbus rizikos valdymui: kuo mažiau perteklinių duomenų saugoma svetainės duomenų bazėse, tuo mažesnė finansinė ir reputacinė žala kils galimo kibernetinio incidento atveju.

4. Tikslumas ir saugojimo trukmės apribojimas

Tikslumas: Duomenys privalo būti tikslūs ir, prireikus, nuolat atnaujinami. Organizacija turi imtis visų pagrįstų priemonių, kad netikslūs, pasenę ar klaidingi asmens duomenys būtų nedelsiant ištrinti arba ištaisyti.
Saugojimo trukmės apribojimas: Duomenys laikomi tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie buvo surinkti. Duomenų valdytojas privalo turėti aiškią duomenų saugojimo politiką bei ištrynimo procedūras. Išimtys gali būti taikomos tik tais atvejais, kai duomenys toliau tvarkomi viešojo intereso archyvavimo, mokslinių, istorinių tyrimų ar statistiniais tikslais (taikant BDAR 89 str. 1 d. numatytas papildomas apsaugos priemones, tokias kaip pseudonimizavimas).

5. Vientisumas ir konfidencialumas (Saugumo užtikrinimas)

Asmens duomenys svetainėse turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones (TOM) būtų užtikrintas tinkamas jų saugumas.

Tai apima apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo, apsaugą nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
Siekiant įgyvendinti šį BDAR reikalavimą svetainėms, būtina diegti SSL/HTTPS sertifikatus, taikyti duomenų šifravimą, griežtą prieigos prie TVS (Turinio valdymo sistemos) kontrolę, kurti reguliarias atsargines kopijas, vykdyti darbuotojų mokymus bei turėti paruoštą incidentų valdymo planą.
Atskaitomybės principas: Šis principas įpareigoja duomenų valdytoją ne tik laikytis visų aukščiau išvardintų taisyklių, bet ir gebėti įrodyti, kad jų yra laikomasi – tam būtinas tinkamas procedūrų dokumentavimas.

BDAR reikalavimai svetainėms: Praktinis gidas, kaip užtikrinti atitiktį

BDAR reikalavimai svetainėms toli gražu nereiškia vien tik formalaus privatumo politikos patalpinimo ar paprastos slapukų (angl. cookies) sutikimo juostos įdiegimo. Tai – kompleksinis ir nuoseklus informavimo, sutikimų valdymo, asmens duomenų minimizavimo bei aukščiausio lygio saugumo standartas. Lietuvos priežiūros institucijos (pvz., Valstybinė duomenų apsaugos inspekcija – VDAI) bei teisininkai šių standartų laikymąsi tikrina itin atidžiai.

Žemiau pateikiame išsamius, oficialiais teisės aktais grįstus praktinius reikalavimus pagrindiniams jūsų interneto svetainės elementams.

1. Privatumo politika – privalomi elementai pagal BDAR

Privatumo politika yra pagrindinis teisinis įrankis, leidžiantis įvykdyti BDAR 13 ir 14 straipsniuose įtvirtintą duomenų valdytojo informavimo pareigą.

Ką būtina nurodyti privatumo politikoje?

Duomenų valdytojo rekvizitai: Tikslus įmonės pavadinimas, įmonės kodas, registracijos adresas ir kontaktiniai duomenys. Jei paskirtas, būtina nurodyti Duomenų apsaugos pareigūno (DAP) kontaktus.
Tvarkymo detalės: Konkrečios tvarkomų asmens duomenų kategorijos, aiškūs tvarkymo tikslai bei teisiniai pagrindai (sutikimas, sutarties vykdymas, teisėtas interesas ir kt.).
Duomenų saugojimo terminai: Konkretūs laikotarpiai, kiek laiko bus saugomi duomenys, arba kriterijai, pagal kuriuos tas laikotarpis nustatomas.
Duomenų gavėjai ir perdavimas trečiosioms šalims: Privaloma aiškiai atskleisti, ar duomenys perduodami trečiosioms šalims (pvz., Google LLC, Meta Platforms Ireland), ar jie perkeliami už Europos Ekonominės Erdvės (EEE) ribų, ir kokios standartinės sutarčių sąlygos (SCC) ar kitos priemonės užtikrina jų apsaugą.
Duomenų subjekto teisės: Informacija apie vartotojo teisę susipažinti su duomenimis, reikalauti juos ištrinti (teisė „būti pamirštam“), ištaisyti, apriboti tvarkymą bei teisė nesutikti.

Geroji SEO ir UX praktika: Dokumentas turi būti lengvai pasiekiamas iš kiekvieno svetainės puslapio (dažniausiai – svetainės poraštėje). Tekstas turi būti parašytas aiškia, teisiškai neišprususiam vartotojui suprantama kalba, vengiant sausų „copy-paste“ šablonų. Europos duomenų apsaugos valdyba (EDPB) rekomenduoja naudoti sluoksniuotą, vizualiai suprantamą politiką (trumpa esminė santrauka + išsamus teisinis tekstas).

2. Slapukų (Cookies) sutikimas ir skaidrus valdymas

Lietuvoje slapukų (angl. cookies) naudojimą griežtai reguliuoja du pagrindiniai aktai: BDAR ir Lietuvos Respublikos elektroninių ryšių įstatymas (kuriuo įgyvendinama ePrivacy direktyva).

Būtinieji slapukai: Be išankstinio vartotojo sutikimo galima naudoti tik techniškai būtinus slapukus, kurie užtikrina bazinį svetainės veikimą (pvz., pirkinių krepšelio išsaugojimas, saugus prisijungimas prie paskyros, saugumo funkcijos).
Sutikimu grįsti slapukai: Visi kiti slapukai (analitikos, statistikos, rinkodaros, socialinių tinklų ar įterptinio turinio) gali būti aktyvuojami tik gavus aiškų, laisvą ir iš anksto duotą vartotojo sutikimą. Jie negali būti įrašomi į vartotojo įrenginį, kol šis neatliko aktyvaus veiksmo.
„Cookie wall“ draudimas: „Slapukų sienos“ (praktika, kai be sutikimo vartotojui blokuojama prieiga prie svetainės turinio) prieštarauja BDAR principams. Sutikimas turi būti duodamas laisva valia, o ne priverstinai mainais už prieigą prie informacijos.
Sutikimo lango (Banerio) struktūra: Teisiškai tvarkingame slapukų modulyje (CMP) turi būti bent trys aiškūs lygiaverčiai mygtukai: „Sutinku su visais“, „Nesutinku / Atmesti visus“ ir „Nustatymai / Valdyti slapukus“.
Sutikimo atšaukimas: Vartotojui turi būti suteikta galimybė atšaukti savo sutikimą lygiai taip pat lengvai, kaip jį ir davė (pvz., nuolatos matoma plaukiojanti piktograma ekrano kampe). Pačioje slapukų politikoje privalu paaiškinti slapukų kategorijas, konkrečius tiekėjus, galiojimo (saugojimo) terminus bei duomenų perdavimo faktus.

3. Kontaktinių formų ir registracijos duomenų rinkimas

Visos kontaktinės formos, naujienlaiškių prenumeratos moduliai ar paskyrų kūrimo sistemos renka asmens duomenis.

Skaidrumas ir informavimas: Prie formos turi būti aiškiai nurodyta, kokie laukai yra privalomi, koks yra asmens duomenų tvarkymo tikslas (pvz., atsakyti į užklausą, parengti komercinį pasiūlymą) ir koks teisinis pagrindas taikomas (dažniausiai – sutarties vykdymas, pasiruošimas sudaryti sutartį ar teisėtas valdytojo interesas).
Duomenų minimizavimo principas: Forma negali turėti perteklinių laukų (BDAR 5 straipsnis). Jei užklausos administravimui nereikia asmens kodo, lyties ar tikslaus gyvenamosios vietos adreso – jų prašyti griežtai draudžiama.
Tiesioginė rinkodara: Sutikimas gauti rinkodaros pranešimus (naujienlaiškius, akcijas) privalo būti atskirtas nuo pagrindinės formos paskirties. Tai turi būti neiš anksto pažymėtas langelis (unchecked checkbox). Vartotojas turi aiškiai žinoti, kokio pobūdžio pranešimus ir kokiais kanalais jis gaus.
Saugumas (HTTPS) ir duomenų perdavimas: Svetainė privalo naudoti saugų šifruotą ryšį (SSL/HTTPS). Privatumo politikoje būtina nurodyti prieigos ribojimo praktikas bei atskleisti, ar kontaktiniai duomenys bus integruojami į trečiųjų šalių sistemas (pvz., CRM platformas, masinio el. pašto siuntimo paslaugų teikėjus, tokius kaip „Mailchimp“ ar „MailerLite“).

4. Trečiųjų šalių įskiepių (Google, Meta ir kt.) integravimas

Populiarūs analitiniai ir rinkodaros įskiepiai („Google Analytics 4“, „Google Ads“, „Meta / Facebook Pixel“, „YouTube“ integracijos, „Hotjar“, „HubSpot“ ir kt.) fiksavimo metu renka vartotojų asmens duomenis (IP adresus, unikalius naršyklių ID, elgsenos indikatorius). Pagal BDAR – tai yra asmens duomenų tvarkymas.

Politikos atnaujinimas: Visi šie įrankiai privalo būti aiškiai išvardinti privatumo ir slapukų politikoje. Turi būti atskleista, kokie duomenys perduodami, kokiais tikslais ir kokiems juridiniams asmenims (pvz., Google LLC, Meta Platforms Ireland Ltd.), ir ar taikomas duomenų perdavimas už EEE ribų (remiantis atitinkamais ES sprendimais dėl tinkamumo).
„Google“ reikalavimai (Consent Mode): Pasauliniai tiekėjai, tokie kaip Google Analytics ir Google Ads, reikalauja, kad svetainės savininkai sudarytų Duomenų tvarkymo sutarties sąlygas (Data Processing Terms) ir griežtai laikytųsi ES naudotojų sutikimo politikos (EU User Consent Policy). Nuo 2024 m. kovo mėn. privalomas Google Consent Mode v2 įdiegimas – įrankių negalima naudoti be tinkamo vartotojo sutikimo signalo.
Praktinis įgyvendinimas (Auditas): Techniškai tai reiškia nulinę toleranciją „užslėptiems“ analitikos ar sekimo kodams. Nei Google Analytics, nei Facebook Pixel žymos negali užsikrauti, kol lankytojas nepaspaudė „Sutinku“ slapukų skydelyje. Tam užtikrinti būtina reguliari įskiepių ir skriptų inventorizacija bei realus IT auditas, garantuojantis, jog vartotojų srauto duomenys nėra nutekinami trečiosioms šalims be vartotojo žinios.

Šių techninių įskiepių bei žymų (angl. tags) tvarkymas yra išimtinai vidinio SEO kompetencija. Būtent todėl analitinių kodų auditas ir suderinimas su BDAR reikalavimais yra tiesioginis techninis vidinio SEO optimizavimas. Nuoseklus šių elementų valdymas garantuoja, kad vartotojų srauto duomenys nebūtų nutekami trečiosioms šalims be vartotojo žinios, o svetainės higiena atitiktų aukščiausius technologinius standartus.

Duomenų subjektų teisės pagal BDAR: Ką privalu užtikrinti Jūsų svetainėje?

Įgyvendinant BDAR reikalavimus svetainėms, būtina suprasti, kad reglamentas asmenims (duomenų subjektams) suteikia ne abstrakčias „moralines teises“, o konkretų, teisiškai įpareigojantį teisių rinkinį. Įmonės ir institucijos privalo turėti veikiančias procedūras šių teisių realizavimui, kai į jas kreipiasi klientas, darbuotojas ar svetainės lankytojas. Tai yra griežtai reglamentuoti procesai (apibrėžti BDAR III skyriuje), kurių negalima blokuoti, vilkinti ar ignoruoti.

1. Teisė susipažinti su savo duomenimis (BDAR 15 str.)

Duomenų subjektas turi teisę gauti duomenų valdytojo patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, ir, jei taip – susipažinti su šių duomenų kopija bei gauti pagrindinę informaciją apie tvarkymą (tvarkymo tikslus, saugojimo terminus, duomenų gavėjus ir pan.).

Įgyvendinimas: Ši teisė realizuojama gavus oficialų „duomenų subjekto prašymą“. Pagal BDAR 12 straipsnio 3 dalį, duomenų valdytojas privalo atsakyti per vieną mėnesį (sudėtingais atvejais terminą galima pratęsti dar dviem mėnesiams, t. y. iš viso iki 3 mėnesių) ir pirmąją duomenų kopiją pateikti nemokamai.
Praktikoje: Klientas gali elektroniniu paštu ar per svetainės formą paprašyti: „Kokius duomenis apie mane turite, kokiu tikslu ir kiek laiko juos saugote?“. Įmonė privalo pateikti susistemintą atsakymą, apimantį tvarkymo logiką ir konkrečių duomenų išrašą. Jei Jums reikia pagalbos diegiant ar audituojant šias procedūras svetainėje, susisiekite su mūsų komandos ekspertais, kurie padės užtikrinti sklandų atitikties procesą.

2. Teisė reikalauti ištaisyti duomenis (BDAR 16 str.)

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas be nepagrįsto delsimo ištaisytų netikslius ar papildytų neišsamius jo asmens duomenis (pvz., pasikeitusį pristatymo adresą, klaidingą el. paštą ar pasenusią informaciją apie paslaugų istoriją).

Proaktyvumas: Jei duomenų valdytojas pats pastebi, kad duomenys (pavyzdžiui, klientų registracijos bazėje) yra nebetikslūs, jis privalo juos atnaujinti savarankiškai, kai tai techniškai ir pagrįstai įmanoma.
Praktikoje: Teisė į tikslumą reiškia, kad jūsų svetainė turi turėti realias procedūras duomenų tikslinimui (pvz., savitarnos paskyros valdymo puslapį, kur klientas gali pats atnaujinti savo profilį) bei procesą, kaip šios korekcijos automatiškai sinchronizuojamos vidinėse sistemose (CRM, el. prekybos platformose ar buhalterijos programose).

3. Teisė būti pamirštam / Teisė į ištrynimą (BDAR 17 str.)

Duomenų subjektas turi teisę reikalauti ištrinti savo asmens duomenis, jei jie nebėra būtini siekiamiems tikslams, jei asmuo atšaukė savo sutikimą, jei duomenys buvo tvarkomi neteisėtai arba jei baigėsi paslaugų teikimo sutartis ir neliko kitų teisinių pagrindų juos saugoti.

Išimtys (Ne absoliuti teisė): Valdytojas turi teisę ir pareigą atsisakyti tenkinti ištrynimo prašymą, jei tų duomenų saugojimas yra privalomas pagal kitus ES ar nacionalinius teisės aktus (pvz., mokestinės prievolės, sąskaitų-faktūrų archyvavimas buhalterijoje 10 metų) arba jei duomenys būtini siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
Praktikoje: Klientui pareikalavus „Ištrinkite visus mano duomenis iš jūsų sistemų“, įmonė privalo audituoti savo duomenų bazes, ištrinti rinkodaros ir profiliavimo duomenis, tačiau aiškiai informuoti klientą, kurie specifiniai duomenys (pvz., pirkimo kvitai) liks saugomi dėl įstatyminių prievolių.

4. Teisė prieštarauti ir apriboti duomenų tvarkymą (BDAR 18 ir 21 str.)

Teisė prieštarauti (21 str.): Subjektas turi teisę bet kuriuo metu prieštarauti jo duomenų tvarkymui, kai valdytojas remiasi „teisėto intereso“ pagrindu. Tai ypač aktualu tiesioginei rinkodarai. Gavusi tokį prieštaravimą, įmonė privalo nedelsiant nutraukti duomenų tvarkymą rinkodaros tikslais – jokių išimčių čia nėra. Žmogus turi būti pašalintas iš naujienlaiškių, SMS ar telemarketingo sąrašų.
Teisė apriboti tvarkymą (18 str.): Subjektas gali reikalauti laikinai „užšaldyti“ (apriboti) duomenų tvarkymą, kol, pavyzdžiui, tikrinamas tų duomenų tikslumas arba nagrinėjamas teisinis pagrindas. Tuo laikotarpiu įmonė duomenis gali tik saugoti, bet atlikti jokių kitų tvarkymo veiksmų negali.

5. Teisė į duomenų perkeliamumą (BDAR 20 str.)

Duomenų subjektas turi teisę gauti savo paties pateiktus duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (pvz., CSV, JSON, XML formatų failais) ir nevaržomai perduoti juos kitam duomenų valdytojui (konkurentui).

Taikymo ribos: Ši teisė galioja tik tiems duomenims, kuriuos asmuo pateikė pats, ir tik tuomet, kai jie tvarkomi automatizuotomis priemonėmis (pvz., el. parduotuvės paskyros duomenys, socialinio tinklo profilis), o teisinis tvarkymo pagrindas yra sutikimas arba sutartis. Tai netaikoma rankiniu būdu tvarkomoms popierinėms kartotekoms.
Praktikoje: Klientas gali pareikalauti: „Eksportuokite mano pirkimų istoriją ir profilio duomenis CSV formatu, kad galėčiau juos perkelti į kitą platformą.“ Įmonė šį skaitmeninį eksportą privalo atlikti neatlygintinai ir per vieną mėnesį.

BDAR techninė dalis: Kaip praktiškai įgyvendinti BDAR reikalavimus svetainėms?

Vertinant BDAR reikalavimus svetainėms, būtina suprasti pamatinę taisyklę: BDAR techniniai reikalavimai nėra baigtinis ir fiksuotas kontrolinis sąrašas (angl. checklist). Reglamentas remiasi rizika grįstu požiūriu. Duomenų valdytojas privalo įdiegti tokias technines ir organizacines priemones (trumpinama kaip TOM), kurios realiai atitinka organizacijos veiklos mastą, tvarkomų duomenų jautrumą bei kylančią riziką fizinių asmenų teisėms.

Žemiau pateikiamas bazinis praktinis karkasas IT infrastruktūros ir vidinių procesų lygmeniu.

1. Duomenų šifravimas ir saugus saugojimas

Pagal BDAR 32 straipsnį (Duomenų tvarkymo saugumas), asmens duomenų pseudonimizavimas ir šifravimas yra išskiriami kaip vienos pagrindinių priemonių rizikai suvaldyti. Duomenys privalo būti šifruojami dviem lygmenimis: tiek juos perduodant (pvz., HTTPS, TLS protokolai, VPN tinklai), tiek ramybės būsenoje (duomenų bazių, serverių diskų šifravimas bei šifruotos atsarginės kopijos).

Rizikos mažinimas: Šifravimas drastiškai sumažina finansinę ir reputacinę žalą saugumo incidento (duomenų nutekėjimo) atveju. Net jei įsilaužėliai neteisėtai pasiekia ar pavagia duomenų bazę, be dešifravimo raktų informacija išlieka neįskaitoma ir nepanaudojama.
Praktinis įgyvendinimas svetainėse: Visos interneto svetainės privalo turėti galiojantį SSL/HTTPS sertifikatą. Duomenų bazės turi būti šifruojamos taikant griežtą prieigos raktų valdymą. Šifruotos atsarginės kopijos (angl. backups) ir patys dešifravimo raktai privalo būti saugomi atskirai (jokiu būdu ne tame pačiame serveryje ir atviro kodo Git repozitorijose).

2. Prieigos kontrolė ir naudotojų teisių valdymas

Saugumo architektūra privalo veikti pagal „mažiausių privilegijų“ bei „būtiniausio poreikio“ (angl. need-to-know) principus: kiekvienam darbuotojui ar trečiajai šaliai suteikiama tik tiek prieigos prie asmens duomenų, kiek yra objektyviai būtina konkrečioms darbo funkcijoms atlikti.

Tapatybės nustatymas: Rekomenduojama (o jautriems duomenims – privaloma) naudoti individualias, personalizuotas paskyras. Griežtai nerekomenduojama praktika dalintis bendrais administratoriaus prisijungimais (pvz., vienas bendras admin slaptažodis visai komandai). Privalu įdiegti dviejų faktorių autentifikaciją (2FA), naudotojus skirstyti pagal vaidmenis ir vykdyti reguliarias prieigų peržiūras (darbuotojui išėjus iš darbo ar pakeitus pareigas, prieiga prie sistemų privalo būti nedelsiant panaikinta).
Dokumentavimas: Prieigos valdymo politika turi būti aiškiai aprašyta vidaus taisyklėse: kas suteikia ar panaikina teises, kaip loguojami (fiksuojami) prisijungimai ir kaip valdomi kibernetiniai incidentai. Vien techninio teisių „uždėjimo“ nepakanka – atskaitomybės principas reikalauja gebėti Valstybinei duomenų apsaugos inspekcijai (VDAI) įrodyti, kad priemonės realiai veikia ir yra proporcingos rizikai.

3. Duomenų tvarkymo veiklos įrašai (RoPA)

BDAR 30 straipsnis įpareigoja duomenų valdytojus ir tvarkytojus vesti Duomenų tvarkymo veiklos įrašus (angl. Records of Processing Activities – RoPA). Tai vidinis registras, kuriame detaliai aprašomi: tvarkymo tikslai, duomenų subjektų ir pačių duomenų kategorijos, gavėjai (įskaitant perdavimus į trečiąsias šalis už ES ribų), numatomi saugojimo terminai ir taikomos techninės saugumo priemonės.

Kam tai privaloma? Šie įrašai yra absoliučiai privalomi visoms valdžios institucijoms. Privatiems subjektams, turintiems mažiau nei 250 darbuotojų, taikoma išimtis, tačiau su svarbia išlyga: įrašus privalu vesti, jei duomenų tvarkymas kelia pavojų asmenų teisėms, jei tvarkomi specialiųjų kategorijų (jautrūs) duomenys arba jei tvarkymas nėra atsitiktinis.
Praktika verslui: Kadangi elektroninių parduotuvių, paslaugų svetainių ar naujienlaiškių prenumeratorių bazių administravimas yra nuolatinis (ne atsitiktinis) procesas, praktikoje šis registras tampa privalomas daugumai rimtą komercinę veiklą vykdančių įmonių. Už jo turinį tiesiogiai atsako duomenų valdytojas, o Duomenų apsaugos pareigūnas (jei toks paskirtas) atlieka konsultacinę funkciją – padeda sukurti struktūrą bei įvertinti rizikas.

4. Duomenų apsaugos pareigūnas (DAP): Kada jo paskyrimas privalomas?

Remiantis BDAR 37 straipsniu, Duomenų apsaugos pareigūno (DAP) paskyrimas yra teisiškai privalomas trimis atvejais:

Viešajam sektoriui: Visoms valdžios institucijoms ir įstaigoms (išskyrus teismus, kai jie vykdo savo teismines funkcijas).
Sistemingam stebėjimui: Kai pagrindinė organizacijos veikla apima reguliarų ir sistemingą duomenų subjektų stebėjimą dideliu mastu (tai apima dideles e-komercijos platformas, telekomunikacijų bendroves, skaitmeninės reklamos tinklus ar sekimą pažangiais slapukais).
Jautrių duomenų tvarkymui: Kai pagrindinė veikla yra specialiųjų kategorijų (sveikatos, biometrinių ir kt.) ar duomenų apie apkaltinamuosius nuosprendžius tvarkymas dideliu mastu (pvz., ligoninės, privačios klinikos, draudimo bendrovės).

Savanoriškas paskyrimas ir atsakomybės ribos: Net jei organizacija formaliai nepatenka į privalomus kriterijus, ji gali paskirti DAP savanoriškai. Tokiu atveju pareigūnui galioja visi griežti BDAR reikalavimai (funkcinis nepriklausomumas, tiesioginė atskaitomybė aukščiausiai vadovybei, interesų konflikto vengimas). Būtina pabrėžti teisinį niuansą: DAP nėra įmonės „atpirkimo ožys“. Vadovaujantis BDAR 24 straipsniu, už reglamento laikymąsi ir galimas baudas visada atsako pati organizacija (duomenų valdytojas). DAP vaidmuo yra ekspertinis – stebėti atitiktį, konsultuoti, dalyvauti atliekant Poveikio duomenų apsaugai vertinimus (DPIA) bei veikti kaip oficialus kontaktinis asmuo bendraujant su priežiūros institucijomis ir duomenų subjektais.

BDAR pažeidimai ir baudos: Kokios rizikos kyla neužtikrinus BDAR reikalavimų svetainėms?

Vertinant BDAR reikalavimus svetainėms, būtina įsisąmoninti, jog Bendrasis duomenų apsaugos reglamentas (BDAR) numato vieną griežčiausių sankcijų sistemų visoje Europos Sąjungoje. Administracinės baudos yra skaičiuojamos ne tik fiksuotomis sumomis, bet ir procentine išraiška nuo įmonės pasaulinės metinės apyvartos. Tai reiškia, kad net ir, atrodytų, smulki „techninė klaida“ (pvz., netvarkingas slapukų modulis ar nesaugi kontaktų forma) gali virsti itin brangiu incidentu, jei pažeidimas pripažįstamas sisteminiu.

1. Baudų dydžiai: Iki 4 % pasaulinės metinės apyvartos

Pagal BDAR 83 straipsnį, administracinės baudos yra skirstomos į dvi pagrindines pakopas, priklausomai nuo pažeidimo sunkumo:

I pakopa (iki 10 mln. eurų arba 2 % apyvartos): Už „mažesnius“ ar administracinio pobūdžio pažeidimus (pvz., netinkamas duomenų tvarkymo veiklos įrašų vedimas, saugumo reikalavimų neužtikrinimas pagal 32 str. ar nepranešimas laiku apie saugumo pažeidimą priežiūros institucijai) gali būti skiriamos baudos iki 10 000 000 EUR arba iki 2 % ankstesnių finansinių metų bendros pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma didesnė.
II pakopa (iki 20 mln. eurų arba 4 % apyvartos): Už „sunkesnius“ pažeidimus – kai pažeidžiami pagrindiniai asmens duomenų tvarkymo principai (5 str.), duomenų subjektų teisės (12–22 str.), tarptautinio duomenų perdavimo į trečiąsias šalis taisyklės (44–49 str.) ar nevykdomi priežiūros institucijų nurodymai – baudos gali siekti iki 20 000 000 EUR arba iki 4 % bendros pasaulinės metinės apyvartos.

Vertinimo kriterijai: Praktikoje priežiūros institucijos (Lietuvoje – VDAI) vertina ne tik paties pažeidimo pobūdį, sunkumą ir trukmę. Pagal BDAR 83 str. 2 dalį, atsižvelgiama į tai, ar organizacija turėjo įdiegusi atitinkamas saugumo priemones, ar aktyviai bendradarbiavo tyrimo metu, kaip greitai sureagavo į incidentą ir ar tai nėra pakartotinis pažeidimas.

2. Žymiausi BDAR baudų pavyzdžiai Europoje

Siekiant suprasti BDAR veikimo mastą, pravartu apžvelgti Europos duomenų apsaugos valdybos (EDPB) ir nacionalinių institucijų praktiką:

Meta (anksčiau – Facebook): Šiuo metu absoliuti rekordininkė. Airijos duomenų apsaugos komisija (DPC) skyrė rekordinę 1,2 mlrd. eurų baudą už neteisėtą ES naudotojų asmens duomenų perdavimą į JAV serverius, grubiai pažeidžiant BDAR tarptautinio duomenų perdavimo taisykles.
Amazon: Liuksemburgo priežiūros institucija (CNPD) skyrė 746 mln. eurų baudą už neteisėtą klientų duomenų tvarkymą. Ši sankcija tapo ilgo tyrimo, susijusio su netinkamu slapukų (angl. cookies) sutikimų valdymu, personalizuota reklama ir neteisėtu vartotojų profiliavimu, rezultatu.
H&M: Vokietijos Hamburgo duomenų apsaugos institucija bendrovei skyrė virš 35 mln. eurų baudą už perteklinį savo darbuotojų stebėjimą ir jautrių asmens duomenų (informacijos apie sveikatą, šeiminę padėtį, religinius įsitikinimus) rinkimą. Šis atvejis tapo klasikiniu BDAR taikymo darbdaviams precedentu.

3. BDAR pažeidimai Lietuvoje: VDAI praktika ir rezonansinės bylos

Lietuvos Valstybinės duomenų apsaugos inspekcijos (VDAI) praktika rodo, kad griežtos sankcijos taikomos ne tik tarptautinėms korporacijoms, bet ir vietinėje rinkoje veikiantiems technologijų vienaragiams bei paslaugų teikėjams:

Vinted (UAB Vinted): Tai didžiausia iki šiol Lietuvoje skirta bauda už BDAR pažeidimus. Po tarptautinio tyrimo VDAI skyrė rekordinę 2 385 276 eurų baudą. Pažeidimai tiesiogiai susiję su netinkamu duomenų subjektų teisių įgyvendinimu (pažeisti BDAR 12, 15 ir 17 straipsniai). Įmonė netinkamai nagrinėjo vartotojų prašymus dėl teisės „būti pamirštam“ (ištrinti duomenis) ir teisės susipažinti su asmens duomenimis. Be to, nustatyta skaidrumo trūkumų taikant vadinamąją „šešėlinio blokavimo“ (angl. shadow banning) praktiką platformoje.
CityBee (UAB Prime leasing): Viena labiausiai nuskambėjusių bylų, po kurios VDAI skyrė 110 000 eurų baudą. Sankcija pritaikyta po to, kai dėl kibernetinio incidento buvo nutekinti daugiau nei 100 tūkst. klientų jautrūs duomenys (asmens kodai, vairuotojo pažymėjimų numeriai). Bauda skirta už BDAR 32 straipsnio (Duomenų tvarkymo saugumas) pažeidimą – įmonė neužtikrino adekvačių, riziką atitinkančių techninių ir organizacinių priemonių (TOM). Šis atvejis yra klasikinis pavyzdys, kodėl, įgyvendinant BDAR reikalavimus svetainėms ir aplikacijoms, sistemingas duomenų bazių šifravimas bei griežta prieigos kontrolė yra gyvybiškai svarbūs.
MisterTango: Elektroninių pinigų įstaigai skirta 61 500 eurų bauda už perteklinį duomenų tvarkymą, adekvačių saugumo spragų neužkardymą bei operatyvų nepranešimą apie kibernetinį incidentą priežiūros institucijai (BDAR 33 str. pažeidimas).
Vilniaus miesto savivaldybės administracija: Nubausta 15 000 eurų bauda. Pažeidimai buvo susiję su neteisėtu, neproporcingu vaizdo stebėjimu bei kitais baziniais asmens duomenų tvarkymo teisėtumo principo pažeidimais.

4. Kaip pranešti apie duomenų saugumo pažeidimą?

Saugumo incidentai (angl. Data Breach) privalo būti valdomi pagal griežtą teisinį protokolą:

Pranešimas institucijai (BDAR 33 str.): Duomenų valdytojas privalo pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) apie asmens duomenų saugumo pažeidimą nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo to momento, kai apie jį sužinojo.
Pranešimo turinys: Oficialiame rašte turi būti nurodytas pažeidimo pobūdis (paveiktų asmenų kategorijos, duomenų įrašų tipai ir apytikslis skaičius), Duomenų apsaugos pareigūno (DAP) kontaktiniai duomenys, tikėtinos incidento pasekmės ir aprašytos priemonės, kurių jau imtasi arba planuojama imtis siekiant suvaldyti riziką ir sumažinti žalą.
Pranešimas duomenų subjektams (BDAR 34 str.): Jei nustatoma, kad pažeidimas kelia didelę riziką fizinių asmenų teisėms ir laisvėms (pvz., kyla tapatybės vagystės, finansinio sukčiavimo, šantažo ar diskriminacijos rizika), valdytojas privalo nedelsiant, aiškia ir suprantama kalba informuoti pačius nukentėjusius asmenis. Išimtys šiai taisyklei taikomos tik tada, jei nutekėję duomenys buvo patikimai užšifruoti (ir dešifravimo raktai nebuvo prarasti) arba jei asmenų informavimas reikalautų neproporcingai didelių techninių pastangų (tokiu atveju skelbiamas viešas pranešimas).

BDAR atitikties auditas smulkiam verslui: Kaip įgyvendinti praktiškai?

Vertinant BDAR reikalavimus svetainėms ir smulkiajam bei vidutiniam verslui (MVĮ), atitikties auditas visada prasideda nuo inventorizacijos ir baigiasi gyvu, nuolat veikiančiu praktikų rinkiniu. Tikslas – sukurti realiai veikiantį asmens duomenų apsaugos standartą organizacijoje, o ne tik formalius dokumentus, skirtus „dulkėti lentynoje“.

Remiantis oficialiomis Valstybinės duomenų apsaugos inspekcijos (VDAI) gairėmis, skirtomis MVĮ sektoriui, žemiau pateikiamas praktinis karkasas, padėsiantis žingsnis po žingsnio atlikti vidinį atitikties auditą.

1.Duomenų inventorizacija: Būtina atlikti prieš rengiant privatumo politiką.

Identifikuokite, kokius asmens duomenis tvarkote, iš kur jie gaunami, kam perduodami ir kur fiziškai saugomi (serveriuose, el. pašte, popierinėse bylose).

2.Teisinių pagrindų susiejimas: Remiantis BDAR 6 straipsniu.

Priskirkite kiekvienai duomenų tvarkymo veiklai konkretų teisėtumo pagrindą (pvz., sutarties vykdymas, teisėtas duomenų valdytojo interesas, asmens sutikimas ar teisinė prievolė).

3.Rizikos vertinimas ir saugumo priemonės: Remiantis BDAR 32 straipsniu.

Įvertinkite rizikas duomenų subjektams ir, atsižvelgdami į VDAI saugumo gaires, parinkite adekvačias technines bei organizacines priemones (šifravimą, prieigos kontrolę).

4.Dokumentacijos atnaujinimas: Faktinės praktikos atspindys.

Parengite arba atnaujinkite privalomus dokumentus: privatumo politiką, duomenų tvarkymo veiklos įrašus (RoPA), vidines tvarkas ir formų šablonus.

5.Darbuotojų mokymai ir periodinis auditas: Rekomenduojama atlikti bent 1 kartą per metus.

Apmokykite komandą ir įsiveskite reguliarų vidinį BDAR atitikties „mini auditą“ (ypač po didesnių IT sistemų, tiekėjų ar procesų pokyčių).

Dokumentų rinkinys: Ką privaloma turėti?

Vadovaujantis BDAR atskaitomybės principu (5 str. 2 d.), nėra vieno universalaus, baigtinio privalomų dokumentų sąrašo – reikalavimai priklauso nuo įmonės veiklos masto ir specifikos. Visgi, tipinis smulkaus verslo dokumentų branduolys privalo apimti:

Asmens duomenų tvarkymo taisykles: Pagrindinį vidinį organizacijos dokumentą.
Duomenų tvarkymo veiklos įrašus (RoPA): Pagal BDAR 30 straipsnį.
Privatumo ir slapukų politiką: Pagal BDAR 13–14 straipsnius (privaloma skelbti viešai svetainėje).
Duomenų subjektų teisių įgyvendinimo tvarką: Aiškų algoritmą, kaip per 1 mėnesį bus atsakoma į vartotojų prašymus.
Saugumo ir incidentų valdymo tvarką: Procesą, kaip bus valdomi duomenų nutekėjimai (BDAR 33 str.).
Duomenų tvarkymo sutartis (DTS): Su visais IT ir paslaugų tiekėjais, tvarkančiais asmens duomenis jūsų vardu (BDAR 28 str.).

Papildomi, sudėtingesni dokumentai, tokie kaip Poveikio duomenų apsaugai vertinimas (DPIA – BDAR 35 str.) ar oficiali Duomenų apsaugos pareigūno (DAP) paskyrimo tvarka, yra privalomi tik tuomet, kai veikla susijusi su aukšta rizika fizinių asmenų teisėms ar didelio masto jautrių duomenų stebėsena.

Vidinis BDAR kontrolinis sąrašas (Čeklistas)

VDAI ir Europos duomenų apsaugos valdyba (EDPB) ragina smulkųjį verslą reguliariai testuoti savo sistemų higieną. Sukurkite vidinį kontrolinį sąrašą ir patikrinkite šiuos bazinius punktus bent kartą per metus arba prieš planuojamą institucijų patikrinimą:

Ar inventorizuotos visos duomenų tvarkymo veiklos ir ar tiksliai pildomas duomenų tvarkymo veiklos registras?
Ar kiekvienai duomenų bazei nustatytas konkretus teisėtumo pagrindas, tvarkymo tikslas ir ištrynimo (saugojimo) terminas?
Ar jūsų svetainėje esanti privatumo bei slapukų politika realiai ir faktualiai atspindi jūsų įmonės praktiką?
Ar techniškai sukonfigūruota griežta prieigos kontrolė, atliekamos duomenų bazių atsarginės kopijos, naudojamas šifravimas ir patvirtinta incidentų valdymo procedūra?
Ar darbuotojai žino, kaip atpažinti asmens duomenų saugumo pažeidimą ir per kiek laiko apie jį privalu informuoti VDAI

Kito žingsnio rekomendacija

Daugeliui verslų supratus BDAR reikalavimų gausą ir jų techninį sudėtingumą, kyla natūralus poreikis patikrinti esamą svetainės būklę. Ar Jūsų svetainė ne tik atitinka teisinius standartus, bet yra techniškai saugi ir optimizuota? Jei turite klausimų dėl BDAR ir DI integracijos ar norite užtikrinti maksimalų saugumą bei skaidrumą, kviečiame užsisakyti išsamų svetainės SEO auditą. Tai leis ne tik suderinti techninius parametrus, bet ir konvertuoti informacinį interesą į realią verslo naudą.

BDAR Atitikties Savitikra

Norint greitai įvertinti dabartinę Jūsų įmonės atitikties būklę, svarbu ne tik turėti dokumentus, bet ir realiai suprasti, kaip jie veikia kasdienėje veikloje. Rekomenduojame periodiškai peržiūrėti savo procesus ir įsitikinti, ar jie atitinka VDAI gaires bei DI akto reikalavimus.

Jei ieškote partnerio, kuris ne tik teikia paslaugas, bet ir prisiima finansinę atsakomybę už pasiektą rezultatą per „Success Fee“ modelį, kviečiame sužinoti daugiau apie mūsų agentūros atsakomybę ir rezultatus. Tai padės Jums geriau suprasti, kodėl skaidrus veiklos modelis yra esminis tiek vykdant SEO darbus, tiek užtikrinant duomenų apsaugą.

Norint greitai įvertinti dabartinę Jūsų įmonės atitikties būklę, išbandykite šį interaktyvų kontrolinį įrankį:

BDAR ir dirbtinis intelektas (AI): Nauji reikalavimai svetainėms nuo 2025 m.

Sparčiai populiarėjant dirbtiniam intelektui, BDAR reikalavimai svetainėms įgauna visiškai naują dimensiją. Nuo 2025 m. asmens duomenų apsaugos klausimai tiesiogiai persidengia su naujuoju Europos Sąjungos Dirbtinio intelekto aktu (angl. AI Act – Reglamentas (ES) 2024/1689).

Šie du dokumentai sukuria dvigubą reguliacinį sluoksnį bet kuriai organizacijai, kurios AI sistemos (pavyzdžiui, svetainėse integruoti pokalbių robotai ar rekomendacijų algoritmai) apdoroja asmens duomenis.

BDAR ir toliau reguliuoja bazinius principus: ar apskritai turite teisinį pagrindą tvarkyti asmens duomenis, kaip užtikrinate vartotojų teises ir kibernetinį saugumą.
DI aktas (AI Act) reguliuoja paties modelio architektūrą: kaip AI sistema turi būti suprojektuota, valdoma, kaip atliekamas rizikų vertinimas, užtikrinama duomenų kokybė ir garantuojama žmogaus priežiūra (angl. human oversight).

BDAR ir toliau reguliuoja bazinius principus: ar apskritai turite teisinį pagrindą tvarkyti asmens duomenis, kaip užtikrinate vartotojų teises ir kibernetinį saugumą. Tuo tarpu DI aktas (AI Act) reguliuoja paties modelio architektūrą: kaip AI sistema turi būti suprojektuota, valdoma, kaip atliekamas rizikų vertinimas, užtikrinama duomenų kokybė ir garantuojama žmogaus priežiūra (angl. human oversight). Kadangi SEO4TOP pozicionuoja save kaip GEO (Generative Engine Optimization) srities lyderę, mes nuolat analizuojame šią reguliacinę aplinką. Skaitykite oficialias mūsų agentūros AI ir LLM modelių gaires, kuriose detaliai išdėstome, kaip techniškai suderinti inovatyvius sprendimus su griežtais atitikties reikalavimais.

2025 m. įsigaliojantys esminiai DI akto (AI Act) reikalavimai

Naujasis reglamentas įsigalioja palaipsniui, tačiau 2025-ieji yra kritiniai metai:

Nuo 2025 m. vasario mėn.: Oficialiai uždraudžiamos „nepriimtinos rizikos“ (angl. unacceptable risk) AI praktikos. Tai apima socialinį reitingavimą, manipuliavimą žmogaus elgsena, biometrinį skirstymą į kategorijas pagal jautrius duomenis bei emocijų atpažinimą darbo vietoje ir švietimo įstaigose.
Nuo 2025 m. rugpjūčio mėn.: Pradedami taikyti specialūs reikalavimai bendrosios paskirties DI (GPAI) ir generatyvinio DI modeliams. Svetainių valdytojams tai reiškia naujas skaidrumo pareigas: privalomas aiškus DI sugeneruoto turinio žymėjimas (įskaitant deepfake atpažįstamumą), techninės dokumentacijos rengimas bei sistemingas rizikų valdymas.

Šie reikalavimai papildo BDAR principus (skaidrumą, sąžiningumą ir duomenų kiekio minimizavimą). Griežtai draudžiama naudoti „juodosios dėžės“ (angl. black box) modelius, kurie priima sprendimus be galimybės paaiškinti jų logikos, ypač jei tai diskriminuoja ar kitaip pažeidžia asmenų teises.

BDAR ir automatizuotas sprendimų priėmimas (Profiliavimas)

BDAR kontekste 2025 m. pagrindinis akcentas tenka automatizuotam sprendimų priėmimui ir profiliavimui (remiantis BDAR 22 straipsniu). Organizacijos, naudojančios AI algoritmus kreditų vertinimui, dinaminei kainodarai el. komercijoje, automatizuotam kandidatų į darbo vietas atrankos procesui ar kitiems „teisiškai ar panašiai reikšmingiems“ sprendimams, privalo:

Suteikti aiškią, suprantamą informaciją apie DI naudojimą.
Turėti tvirtą teisėtą pagrindą profiliavimui (dažniausiai – aiškų vartotojo sutikimą).
Atlikti Poveikio duomenų apsaugai vertinimą (DPIA – pagal BDAR 35 str.).
Užtikrinti realią žmogaus įsikišimo galimybę ir suteikti vartotojui teisę ginčyti AI priimtą sprendimą.

Europos duomenų apsaugos valdyba (EDPB) savo gairėse pabrėžia: organizacija privalo gebėti paaiškinti, kokią rolę AI atlieka sprendime, kokie mokymo duomenys buvo naudojami ir kaip vartotojas DI kontekste gali realizuoti savo BDAR teises (teisę gauti informaciją, teisę reikalauti ištrinti duomenis ar teisę prieštarauti).

Praktiniai žingsniai verslui: Kaip integruoti AI į svetainę teisėtai?

Praktikoje tai reiškia, kad bet kokia AI integracija jūsų svetainėje (pokalbių robotai / chatbots, produktų rekomendacijų sistemos, automatizuotas profiliavimas ar generatyvinis turinys) turi būti audituojama per dvigubą prizmę – pagal BDAR reikalavimus ir pagal DI akto rizikos lygius.

2025–2026 m. laikotarpiu įmonėms ypač svarbu atlikti šiuos namų darbus:

Privatumo politikos atnaujinimas: Aiškiai deklaruoti AI įrankių naudojimą, nurodyti, kokie duomenys jiems perduodami, ir aprašyti automatizuoto sprendimų priėmimo logiką.
Papildomi rizikos vertinimai: Integruoti Poveikio duomenų apsaugai vertinimą (DPIA) kartu su Pagrindinių teisių poveikio vertinimu (angl. Fundamental Rights Impact Assessment), kurio reikalauja DI aktas aukštos rizikos sistemoms.
Mokymo duomenų ir turinio auditas: Peržiūrėti AI sistemų mokymui naudojamus duomenų šaltinius (užtikrinant teisėtą pagrindą ir šališkumo rizikų minimizavimą) bei užtikrinti viešai svetainėje skelbiamo DI sukurto turinio (tekstų, vaizdų, deepfake) tinkamą žymėjimą ir etiketes (pagal DI akto 50 straipsnį).

BDAR reikalavimai svetainėms el. prekyboje: Ką privalo žinoti e-parduotuvių savininkai?

Elektroninė parduotuvė BDAR prasme yra visateisis duomenų valdytojas (pagal BDAR 4 straipsnio 7 dalį). Apsipirkimo procesas internete yra absoliučiai neįmanomas be klientų asmens duomenų (vardo, pavardės, el. pašto, pristatymo adreso, IP adreso, pirkimų istorijos) tvarkymo. Todėl e-komercijoje BDAR nėra tik „gražus priedas“ ar formali varnelė – tai bazinė įstatyminė pareiga, už kurios ignoravimą gresia ne tik solidžios finansinės baudos, bet ir neatkuriama reputacinė žala.

Praktinis BDAR įgyvendinimas el. prekyboje susideda iš šių esminių žingsnių:

1. Duomenų minimizavimas ir „Svečio“ (Guest) apsipirkimas

Remiantis BDAR 5 straipsnio 1 dalies c punkte įtvirtintu duomenų kiekio minimizavimo principu, jūs negalite priversti pirkėjo kurti nuolatinės paskyros vien tam, kad jis galėtų įsigyti prekę.

Praktika: El. parduotuvėje privalo būti galimybė pirkti kaip svečiui (angl. guest checkout).
Riba: Šio proceso metu galite reikalauti ir rinkti tik tuos duomenis, kurie yra griežtai būtini konkrečios pirkimo–pardavimo sutarties įvykdymui ir prekės pristatymui (vardas, pristatymo adresas, kontaktinis telefonas, mokėjimo duomenys).
Techninis įgyvendinimas: Nors „Guest checkout“ funkcionalumas atrodo paprastas, techninis jo įdiegimas, užtikrinant sklandų duomenų srautą ir atitiktį, kartu su sudėtingų slapukų valdymo platformų (CMP) integravimu, dažnai kelia iššūkių. Būtent todėl verslui yra reikalingas profesionalus e-komercijos svetainių kūrimas, apimantis viską nuo techninio pagrindo iki teisinės higienos.

2. Išsami privatumo ir slapukų politika

Privalote įgyvendinti BDAR 13 straipsnyje numatytą informavimo pareigą. Jūsų svetainėje turi būti aiškiai matoma, lengvai randama ir suprantama kalba parašyta Privatumo bei Slapukų politika, kurioje tiksliai atskleista:

Kas jūs esate (įmonės rekvizitai).
Kokias duomenų kategorijas renkate (nuo pirkimų istorijos iki analitikos ir slapukų).
Kokie yra tvarkymo tikslai ir teisiniai pagrindai.
Kiek laiko duomenys saugomi.
Duomenų gavėjai: Kam tiksliai perduodami pirkėjų duomenys (pvz., siuntų kurjeriams, mokėjimų inicijavimo tarpininkams, rinkodaros platformoms).
Kokias teises turi duomenų subjektas (klientas).

3. Griežtas slapukų (Cookies) režimas

Slapukams taikomi reikalavimai kyla iš ePrivacy direktyvos bei BDAR.

Būtinieji slapukai: Be vartotojo sutikimo svetainėje gali veikti tik techniškai būtini slapukai (užtikrinantys pirkinių krepšelio veikimą, saugų prisijungimą, mokėjimo sesijas).
Rinkodaros ir analitikos slapukai: Visi kiti sekimo įrankiai (Google Analytics 4, Meta / Facebook Pixel, pakartotinės rinkodaros / remarketingo skriptai) gali būti aktyvuojami tik po aiškaus, iš anksto duoto aktyvaus vartotojo sutikimo (angl. opt-in). Sutikimą turi būti taip pat lengva atšaukti, kaip ir duoti.

4. Tiesioginė rinkodara (Naujienlaiškiai ir SMS)

Tiesioginė rinkodara el. prekyboje turi remtis aiškiu BDAR sutikimu (nepažymėtas checkbox'as) arba siaura įstatymo išimtimi.

Pagrindinė taisyklė: Negalite teisėtai siųsti reklaminių el. laiškų vien todėl, kad klientas kažkada pas jus apsipirko, jei formoje nebuvo atskiro, laisva valia pažymėto langelio „Sutinku gauti pasiūlymus“.
Išimtis („Soft opt-in“): Pagal Lietuvos Respublikos elektroninių ryšių įstatymą, esamiems klientams galite siųsti pasiūlymus apie savo panašias prekes ar paslaugas, tačiau tik tuo atveju, jei duomenų rinkimo metu pirkėjui buvo suteikta aiški ir nemokama galimybė nesutikti (pvz., langelis „Nenoriu gauti jokių pasiūlymų“) ir tokia atsisakymo galimybė yra pateikiama kiekviename siunčiamame laiške.

5. Duomenų saugojimo terminų nustatymas

Teiginys „saugome duomenis neribotą laiką“ iš esmės pažeidžia BDAR logiką. Privalote nustatyti realius, įstatymais pagrįstus terminus ir apie juos informuoti klientus:

Užsakymų istorija ir sąskaitos faktūros saugomos remiantis buhalterinės apskaitos įstatymais (Lietuvoje – 10 metų).
Rinkodaros tikslais duomenys saugomi tiek, kiek yra pagrįsta (paprastai 2–5 metai nuo sutikimo davimo, arba tol, kol klientas sutikimą atšaukia).

6. Techninio saugumo užtikrinimas ir incidentų valdymas

Remiantis BDAR 32 straipsniu, privaloma taikyti atitinkamas technines ir organizacines priemones (TOM):

Techninė higiena: Svetainėje privalomas SSL/HTTPS šifravimas, griežtas darbuotojų prieigos teisių valdymas (TVS sistemose), reguliarios atsarginės kopijos ir tvirta slaptažodžių politika.
Pažeidimų valdymas: Privalote turėti vidinį incidentų registravimo žurnalą ir aiškų veiksmų planą, kaip elgsitės įvykus duomenų saugumo pažeidimui (nutekėjimui). BDAR 33 straipsnis įpareigoja apie aukštos rizikos incidentus pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) ne vėliau kaip per 72 valandas.

BDAR ir darbuotojų duomenys: Ką leidžiama rinkti karjeros svetainėse ir vidinėse sistemose?

Vertinant BDAR reikalavimus svetainėms, dažnai pamirštama, kad įmonės tinklalapis yra ne tik e-komercijos, bet ir personalo pritraukimo (angl. e-recruitment) bei administravimo įrankis. Karjeros puslapiuose integruotos kandidatų anketos, CV įkėlimo formos ir vidiniai darbuotojų portalai (intranetai) privalo atitikti griežčiausius duomenų apsaugos standartus.

Pagrindinė taisyklė darbdaviams: leidžiama rinkti tik tuos duomenis, kurie yra objektyviai būtini darbo sutarčiai sudaryti, jai vykdyti, teisinėms prievolėms įgyvendinti arba teisėtiems darbdavio interesams pagrįsti. Viskas, kas skamba kaip „įdomu, bet nebūtina“, pagal Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnį yra traktuojama kaip neteisėtas, perteklinis duomenų tvarkymas.

1. Būtini duomenys darbo santykiams (Sutarties ir įstatymų vykdymas)

Šių duomenų rinkimas yra tiesiogiai pagrįstas BDAR 6 str. 1 d. (b) ir (c) punktais (sutarties vykdymas ir teisinė prievolė):

Tapatybės ir kontaktiniai duomenys: Vardas, pavardė, asmens kodas (tik tada, kai to imperatyviai reikalauja įstatymai, pvz., mokesčių administravimui), gimimo data, kontaktinis telefono numeris, el. pašto adresas ir faktinės gyvenamosios vietos adresas.
Darbo ir atlyginimo administravimas: Banko atsiskaitomosios sąskaitos numeris, pareigybės pavadinimas, darbo sutarties sąlygos, tiksli darbo laiko apskaita, atostogų grafikai, informacija apie ligos dienas bei sukauptą darbo stažą.
Teisinės prievolės valstybei: Informacija, kurią privaloma teikti Valstybinio socialinio draudimo fondui („Sodrai“), Valstybinei mokesčių inspekcijai (VMI), duomenys ligos ir motinystės išmokoms gauti, bei privalomi buhalterinės apskaitos dokumentai – pabrėžiant, kad renkama tik tiek informacijos, kiek numato LR Darbo kodeksas, mokesčių ir socialinės apsaugos teisės aktai.

2. Specialiųjų kategorijų (Jautrūs) duomenys

Remiantis BDAR 9 straipsniu, jautrių duomenų tvarkymas iš esmės yra draudžiamas. Sveikatos duomenys, narystė profesinėse sąjungose, duomenys apie neįgalumą, religiniai ar filosofiniai įsitikinimai gali būti tvarkomi tik išimtiniais atvejais, nurodytais BDAR 9 str. 2 d. (b) punkte – t. y. kai to tiesiogiai reikalauja darbo ir socialinės apsaugos teisė (pavyzdžiui, darbdaviui būtina pritaikyti darbo vietą neįgaliam asmeniui arba suteikti įstatymines socialines garantijas).

Profiliavimo draudimas: Darbdavys neturi teisės „profiluoti“ kandidatų ar esamų darbuotojų pagal jų sveikatos istoriją, politines pažiūras ar privatų gyvenimą (hobius, šeiminę padėtį) vien dėl smalsumo ar siekio įvertinti vadinamąjį organizacinės kultūros atitikimą (angl. culture fit). Tokia praktika yra perteklinė ir neteisėta.

3. Griežtai ribojamos praktikos: Atrankos ir darbuotojų stebėjimas

Europos duomenų apsaugos valdyba (EDPB) savo gairėse aiškiai apibrėžia ribas, kurių darbdaviai dažnai nepaiso:

Perteklinė informacija atrankose (Karjeros svetainėse): Kandidatų socialinių tinklų „šnaršymas“ ir analizė (išskyrus profesinius tinklus, tokius kaip LinkedIn, jei tai susiję su pareigomis), klausimai per darbo pokalbius ar anketose apie šeimos planavimą, religiją, politines pažiūras ar sveikatos būklę yra griežtai draudžiami, nebent tai yra specifinis profesinis reikalavimas (pvz., religinės institucijos darbuotojams).
Nuolatinis darbuotojų sekimas: Sistematizuotas darbuotojų stebėjimas – GPS lokacijos sekimas (angl. location tracking), detalus darbinio el. pašto skaitymas ar naršymo istorijos monitoringas – be aiškiai apibrėžto tikslo, proporcingumo įvertinimo ir išankstinio darbuotojų informavimo yra traktuojamas kaip grubus BDAR ir asmens teisės į privatumą pažeidimas.

4. Pagrindiniai BDAR principai darbdaviui

Siekiant užtikrinti atitiktį, organizacijos personalo (HR) ir IT skyriai privalo sinchronizuoti savo veiksmus:

Duomenų kiekio minimizavimas: Svetainių CV įkėlimo formose ir vidinėse sistemose rinkti tik tai, kas absoliučiai būtina.
Skaidrumas ir saugojimo terminai: Būtina parengti atskirą Darbuotojų ir kandidatų privatumo pranešimą, kuriame darbuotojai aiškiai informuojami, kokie duomenys ir kokiais tikslais yra tvarkomi. Duomenys negali būti saugomi (pvz., „kandidatų duomenų bazėje“ svetainės serveriuose) ilgiau, nei reikia konkretiems atrankos tikslams ar teisinėms pareigoms įvykdyti (paprastai kandidatų CV be atskiro sutikimo po atrankos privalo būti ištrinami).
Duomenų tvarkymo veiklos įrašai (RoPA): Darbdavys privalo vesti atskirą personalo duomenų tvarkymo veiklų registrą bei patvirtinti vidines IT saugumo taisykles, kurios aiškiai riboja prieigą – prie personalo duomenų gali prieiti tik tie asmenys, kuriems tai būtina tiesioginėms funkcijoms atlikti (pvz., HR specialistai, buhalterija).

BDAR reikalavimai nuotoliniam darbui ir debesų kompiuterijai (Cloud)

Perėjimas prie nuotolinio darbo ir debesų kompiuterijos paslaugų nekeičia pamatinių BDAR principų – duomenų valdytojas (darbdavys) ir toliau neša pilną teisinę atsakomybę už saugų bei teisėtą asmens duomenų tvarkymą. Tačiau praktinės rizikos drastiškai išauga dėl išsisklaidžiosios IT infrastruktūros, įvairių galinių įrenginių naudojimo ir trečiųjų šalių tiekėjų (debesijos) paslaugų.

Norint kokybiškai užtikrinti BDAR reikalavimus svetainėms (kai, pavyzdžiui, jūsų komanda svetainės turinio valdymo sistemą (TVS) ar klientų duomenų bazes administruoja iš namų), reikia ne „specialaus BDAR nuotoliniam darbui“, o griežtų vidinių taisyklių, stiprių techninių priemonių ir teisiškai sutvarkytų santykių su debesijos paslaugų teikėjais.

1. Nuotolinio darbo politika ir darbuotojų stebėsena

Valstybinė duomenų apsaugos inspekcija (VDAI) ir Europos duomenų apsaugos valdyba (EDPB) savo gairėse griežtai pabrėžia: nuotolinis darbas savaime nesuteikia darbdaviui teisės neproporcingai ir intensyviai sekti savo darbuotojų.

Privatumo ribos: Tokios praktikos kaip slaptas darbinio el. pašto skaitymas, nuolatinis ekrano vaizdo įrašymas, klaviatūros paspaudimų fiksavimas (angl. keylogging) ar darbuotojų namų aplinkos stebėjimas per kameras yra laikomi šiurkščiais privatumo pažeidimais.
Skaidrumas ir proporcingumas: Stebėsena galima tik išimtiniais atvejais, kai ji yra absoliučiai būtina, proporcinga ir remiasi aiškiu teisiniu pagrindu (BDAR 5 ir 6 straipsniai). Darbuotojai privalo būti iš anksto raštu supažindinti su taikomomis stebėjimo priemonėmis ir vidinėmis IT taisyklėmis.

2. Techninės priemonės nuotoliniam darbui (BDAR 32 straipsnis)

Vadovaujantis BDAR 32 straipsniu, organizacija privalo taikyti riziką atitinkančias technines ir organizacines priemones (TOM):

Įrangos kontrolė: Griežtai rekomenduojama naudoti tik įmonės suteiktus ir centralizuotai valdomus įrenginius. Asmeninių įrenginių naudojimas darbui (angl. Bring Your Own Device – BYOD) su asmens duomenimis turi būti techniškai apribotas arba jam turi būti taikoma griežta atskyrimo (angl. sandboxing) politika.
Saugumo protokolai: Prisijungiant prie įmonės sistemų (įskaitant el. parduotuvių ar svetainių administravimo paneles), privalomas saugus, šifruotas ryšys (VPN), kietųjų diskų šifravimas, stipri dviejų faktorių autentifikacija (MFA / 2FA), nuolat atnaujinama antivirusinė programinė įranga bei automatinis ekrano užrakinimas po ramybės būsenos.
Darbuotojų mokymai: Darbuotojai turi būti instruktuoti, kaip užtikrinti duomenų higieną namų aplinkoje: draudžiama jungtis prie jautrių sistemų per viešus, nešifruotus „Wi-Fi“ tinklus; privalu saugoti kompiuterio ekraną nuo pašalinių asmenų; griežtai draudžiama asmens duomenis atsisiųsti ir saugoti lokalioje kompiuterio atmintyje be atsarginių kopijų centralizuotuose įmonės serveriuose.

3. Debesų kompiuterija ir trečiųjų šalių paslaugos

Svetainių talpinimas (angl. hosting), CRM sistemos ar masinio el. pašto siuntimo įrankiai – visa tai yra debesų kompiuterijos paslaugos (SaaS, PaaS, IaaS).

Duomenų tvarkymo sutartys (DPA): Pagal BDAR 28 straipsnį, su kiekvienu debesijos paslaugų teikėju (pvz., „AWS“, „Google Cloud“, „Microsoft Azure“ ar vietiniu serverių tiekėju) privaloma pasirašyti Duomenų tvarkymo sutartį (angl. Data Processing Agreement – DPA). Joje turi būti aiškiai apibrėžtos atsakomybės ribos, saugumo priemonės bei incidentų pranešimo tvarka.
Duomenų perdavimas už EEE ribų (V skyrius): Duomenų valdytojas privalo tiksliai žinoti, kur logiškai ir fiziškai (kokiose valstybėse) yra saugomi duomenys. Jei debesijos serveriai yra už Europos Ekonominės Erdvės (EEE) ribų (pvz., JAV), privaloma taikyti BDAR V skyriuje numatytus apsaugos mechanizmus: pavyzdžiui, remtis Europos Komisijos sprendimais dėl tinkamumo arba pasirašyti Standartines sutarčių sąlygas (angl. Standard Contractual Clauses – SCC).
Veiklos įrašai: Visos su debesijos paslaugomis susijusios duomenų tvarkymo operacijos turi atsispindėti jūsų Duomenų tvarkymo veiklos įrašuose (RoPA), kaip to reikalauja BDAR 30 straipsnis.

4. Strateginiai žingsniai 2025–2026 metams

Siekiant suvaldyti išaugusias kibernetines grėsmes, 2025–2026 m. laikotarpiu organizacijoms kritiškai svarbu:

Nuolatinis auditas ir srautų žemėlapiai: Reguliariai atlikti duomenų judėjimo auditą – sudaryti tikslų žemėlapį (angl. Data Mapping), rodantį, kokie duomenys ir kokiais kanalais keliauja per nuotolinius darbuotojų įrenginius ir trečiųjų šalių debesų sistemas.
Incidentų valdymo planas (BDAR 33 str.): Turėti iš anksto paruoštą, aiškų kibernetinių incidentų valdymo planą (angl. Incident Response Plan). Komanda turi žinoti: kaip techniškai izoliuoti pažeistą nuotolinį įrenginį ar debesijos paskyrą, kaip surinkti sistemos žurnalų (angl. logs) duomenis, kaip įvertinti riziką duomenų subjektams ir kaip, prireikus, per 72 valandas pateikti oficialų pranešimą Valstybinei duomenų apsaugos inspekcijai (VDAI).

Kaip BDAR veikia rinkodarą ir el. pašto kampanijas Lietuvoje?

Vienas matomiausių aspektų, kur vartotojai susiduria su BDAR reikalavimais svetainėms, yra tiesioginė rinkodara. Lietuvoje elektroninio pašto, SMS, reklaminių skambučių ir naujienlaiškių siuntimą griežtai ir kompleksiškai reguliuoja du pagrindiniai teisės aktai: Bendrasis duomenų apsaugos reglamentas (BDAR) ir Lietuvos Respublikos elektroninių ryšių įstatymas (ERĮ).

Bazinė taisyklė: tiesioginės rinkodaros pranešimai gali būti siunčiami tik turint išankstinį asmens sutikimą, išskyrus labai siauras, įstatyme numatytas išimtis. Vykdant el. pašto kampanijas, verslas privalo užtikrinti teisėtą pagrindą, aiškų informavimą ir realiai veikiančią atsisakymo (angl. opt-out) galimybę.

1. Išankstinis sutikimas – pagrindinis reikalavimas (B2C sektoriuje)

Remiantis ERĮ nuostatomis, tiesioginės rinkodaros pranešimai fiziniams asmenims gali būti siunčiami tik gavus išankstinį abonento ar registruoto naudotojo sutikimą.

Sutikimo kokybė: Pagal BDAR 6 straipsnio 1 dalies a punktą ir 7 straipsnį, sutikimas privalo būti laisvas, konkretus, informuotas ir nedviprasmiškas. Griežtai draudžiama sutikimą „paslėpti“ svetainės pirkimo taisyklėse ar naudoti iš anksto pažymėtus langelius.
Praktika svetainėse: Registracijos ar pirkimo formoje turi būti atskiras, nepažymėtas langelis (angl. unchecked checkbox), pavyzdžiui: „Sutinku gauti naujienlaiškius ir specialius pasiūlymus“. Prieš duodant sutikimą, vartotojui turi būti aišku, kokius laiškus ir kokiu dažniu jis gaus.

2. Įstatyminė išimtis: Panašių prekių ir paslaugų rinkodara (Soft opt-in)

Nors sutikimas yra pagrindinė taisyklė, ERĮ numato vieną svarbią išimtį, leidžiančią tvarkyti el. pašto adresą tiesioginės rinkodaros tikslu teisėto intereso pagrindu (be atskiro išankstinio checkbox pažymėjimo). Tai galima daryti tik tuomet, kai vienu metu išpildomos visos šios sąlygos:

Asmuo jau yra jūsų klientas (duomenys gauti jam perkant prekę ar paslaugą).
Rinkodara vykdoma siūlant tik jūsų paties panašias prekes ar paslaugas.
Klientui duomenų rinkimo metu (pvz., pirkimo formoje) buvo suteikta aiški, nemokama ir lengvai įgyvendinama galimybė iš anksto nesutikti su tokiu duomenų naudojimu.
Kiekviename vėliau siunčiamame laiške pateikiama aiški nuoroda atsisakyti šių pranešimų.

3. „Šaltieji laiškai“ (Cold emails) ir B2B vs. B2C specifika

Lietuvos teisinėje praktikoje labai svarbu atskirti fizinius asmenis (B2C) ir juridinius asmenis (B2B):

Fiziniai asmenys (B2C): BDAR ir ERĮ griežtai draudžia siųsti „šaltus laiškus“ į asmenines dėžutes (pvz., @gmail.com, @yahoo.com) be išankstinio sutikimo. Tai yra neteisėta.
Juridiniai asmenys (B2B): Priešingai nei fiziniams asmenims, įstatymai nedraudžia siųsti tiesioginės rinkodaros pasiūlymų į bendruosius įmonių el. pašto adresus (pvz., info@imone.lt, sales@imone.lt), rastus viešose duomenų bazėse. Tokiems adresams išankstinis sutikimas nėra privalomas, tačiau jiems vis tiek privalu suteikti galimybę atsisakyti pranešimų.
Individualizuoti B2B adresai: Svarbu atkreipti dėmesį, kad jei el. pašto adresas identifikuoja konkretų darbuotoją (pvz., vardas.pavarde@imone.lt), Valstybinė duomenų apsaugos inspekcija (VDAI) jį traktuoja kaip asmens duomenį, ir jo tvarkymui rinkodaros tikslais turi būti taikomi BDAR reikalavimai (dažniausiai – teisėto intereso įvertinimas, ar pasiūlymas tiesiogiai susijęs su to asmens darbo funkcijomis).

4. Praktiniai reikalavimai el. pašto kampanijoms

Svetainių savininkai ir rinkodaros specialistai privalo užtikrinti techninę ir organizacinę higieną:

Identifikacija: Kiekviename laiške turi būti aiškiai identifikuojamas siuntėjas ir pateikiama nuoroda į svetainės privatumo politiką.
Atsisakymo mechanizmas: Kiekvienas naujienlaiškis privalo turėti aiškų mygtuką „Atsisakyti“ / „Unsubscribe“, kuris suveiktų automatiškai ir nedelsiant, nereikalaudamas iš vartotojo papildomų prisijungimų ar ilgų anketų pildymo.
Atskaitomybės principas: Remiantis BDAR 5 str. 2 dalimi, privalote registruoti ir saugoti skaitmeninius įrodymus (sistemos logus): kas, kada (tiksli data ir laikas), iš kokio IP adreso ir kokiame kontekste davė sutikimą. Be šių įrodymų VDAI patikrinimo metu jūsų turimas el. paštų sąrašas bus laikomas neteisėtu.

5. Baudos ir rizikos

Už BDAR ir tiesioginės rinkodaros reikalavimų pažeidimus numatytos itin griežtos sankcijos. Remiantis BDAR 83 straipsniu, baudos už neteisėtą duomenų tvarkymą rinkodaros tikslais (pažeidžiant asmens teises ir sutikimo sąlygas) gali siekti iki 20 mln. eurų arba 4 % pasaulinės metinės apyvartos. Lietuvoje VDAI nuolatos skiria baudas tiek mažoms, tiek didelėms įmonėms, kurios nesilaiko skaidrumo, perka nelegalias duomenų bazes ar siunčia naujienlaiškius be tinkamo vartotojų sutikimo.

BDAR ir Google Analytics 4: Kaip užtikrinti analitikos atitiktį?

Įgyvendinant BDAR reikalavimus svetainėms, Google Analytics 4 (GA4) integracija išlieka vienu jautriausių teisinių ir techninių iššūkių. Lietuvos ir Europos Sąjungos institucijų požiūriu, GA4 naudojimas yra teisėtas tik su sąlyga, kad prieš bet kokį duomenų rinkimą gaunamas aiškus vartotojo sutikimas ir įgyvendinamos papildomos apsaugos priemonės. GA4 įrankis „iš prigimties“ nėra automatiškai atitinkantis BDAR – jo atitiktis visiškai priklauso nuo jūsų atliktos konfigūracijos ir svetainėje veikiančio sutikimų valdymo modulio.

Ką privalote padaryti praktiškai?

Norėdami teisėtai naudoti GA4, svetainės administratoriai privalo užtikrinti šiuos techninius ir teisinius žingsnius:

Sutikimų valdymo platformos (CMP) diegimas: Vadovaujantis ePrivacy direktyva ir BDAR 6 straipsniu, privalu įdiegti CMP (angl. Consent Management Platform), kuri visiškai blokuoja GA4 žymas (angl. tags), kol lankytojas aiškiai nesutinka su statistikos / analitikos slapukų naudojimu. Turi veikti griežtas numatytojo blokavimo (angl. default deny) režimas.
„Google Consent Mode v2“ integracija: Nuo 2024 m. kovo mėnesio tai yra privalomas Google reikalavimas Europos rinkoje. Sistemoje turi būti sukonfigūruota taip, kad visi sutikimo parametrai iš pradžių turėtų statusą „denied“ (atmesta). Į statusą „granted“ (suteikta) jie pakeičiami tik po aktyvaus vartotojo veiksmo. Tik tada leidžiama siųsti analitikos duomenų paketus į „Google“ serverius.
Duomenų saugojimo terminai ir IP anonimizavimas: Nors GA4, priešingai nei senoji versija, IP adresų anonimizavimą atlieka automatiškai, šią konfigūraciją privalu patikrinti. Be to, GA4 nustatymuose turite apriboti vartotojo ir įvykių duomenų saugojimo laikotarpį (angl. Data Retention) iki trumpiausio pagrįsto termino – dažniausiai pasirenkamas 2 arba 14 mėnesių nustatymas, o ne neribotas saugojimas.
Duomenų tvarkymo sutartis (DPA): Pagal BDAR 28 straipsnį, GA4 administravimo aplinkoje (paskyros nustatymuose) privalote oficialiai elektroniniu būdu patvirtinti Google Ads Data Processing Terms. Taip pat turite aiškiai įtraukti Google LLC ar jos padalinį Airijoje kaip duomenų tvarkytoją į savo įmonės Duomenų tvarkymo veiklos įrašus (RoPA).
Privatumo ir slapukų politikos atnaujinimas: Privatumo politikoje (remiantis BDAR 13 str.) būtina tiksliai įvardyti, kad naudojate GA4, kokius duomenis renkate (puslapių peržiūros, įrenginio informacija) ir kokiu teisiniu pagrindu tai darote. Kadangi duomenys gali būti perduodami į JAV, būtina nurodyti, kad perdavimas remiasi Europos Komisijos priimtu „ES ir JAV duomenų privatumo sistemos“ (angl. EU-US Data Privacy Framework) sprendimu dėl tinkamumo.
Sistemos auditas ir testavimas: Tinkamą veikimą privaloma patikrinti atliekant realų naršyklės testą (naudojant Incognito režimą ir Developer Tools tinklo skiltį). Reikia techniškai įsitikinti, kad prieš paspaudžiant mygtuką „Sutinku“, jokie GA4 slapukai (pvz., ga, gid) neįrašomi į naršyklę ir jokios užklausos neiškeliauja į Google serverius.

Į ką atkreipti dėmesį 2025–2026 metais?

Duomenų minimizavimo strategija: Kadangi priežiūros institucijos toliau griežtina analitikos įrankių vertinimą, 2025–2026 m. rinkodaros požiūriu rekomenduojama taikyti griežtą duomenų minimizavimo principą (BDAR 5 str.). Rinkite tik tuos duomenis, kurie objektyviai būtini. Jei nenaudojate pakartotinės rinkodaros (angl. remarketing), GA4 nustatymuose verta išjungti „Google Signals“ ir papildomas reklamos funkcijas. Šį žingsnį būtina dokumentuoti kaip jūsų organizacijos pastangas minimizuoti rizikas.
Alternatyvų paieška: Dėl griežtos ES priežiūros institucijų praktikos duomenų perdavimo į trečiąsias šalis klausimais, dalis didžiųjų verslų pradeda diversifikuoti riziką – greta GA4 testuojamos europinės analitikos alternatyvos, kurios duomenis talpina išimtinai ES serveriuose arba naudoja pažangius, slapukų nereikalaujančius (angl. cookieless) matavimo metodus.

BDAR ir vaikų duomenys: Specialūs reikalavimai svetainėms ir programėlėms

Analizuojant BDAR reikalavimus svetainėms, vaikų asmens duomenų apsauga reikalauja išskirtinio duomenų valdytojų dėmesio. Vadovaujantis BDAR 38-ąja konstatuojamąja dalimi, vaikai laikomi ypač pažeidžiama asmenų grupe, nes jie gali prasčiau suvokti su asmens duomenų tvarkymu susijusias rizikas, pasekmes bei savo teises. Todėl vaikų duomenims – nesvarbu, ar jie renkami edukacinėse platformose, socialiniuose tinkluose, ar žaidimų programėlėse – taikomi gerokai griežtesni apsaugos ir skaidrumo standartai.

1. „Skaitmeninio sutikimo“ amžius (Lietuvos specifika)

Pagal BDAR 8 straipsnį, kai vaikui tiesiogiai siūlomos informacinės visuomenės paslaugos (el. parduotuvės, interneto svetainės, mobiliosios programėlės) ir duomenų tvarkymas grindžiamas sutikimu, toks tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra pasiekęs nustatytą amžiaus ribą. Priešingu atveju privalomas tėvų ar globėjų sutikimas.

Lietuvos teisinis reguliavimas: BDAR leidžia valstybėms narėms šią amžiaus ribą nustatyti nacionaliniu lygmeniu (nuo 13 iki 16 metų). Lietuva pasinaudojo šia teise: vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (ADTAĮ) 6 straipsniu, vaikas pats, be tėvų įsikišimo, sutikimą dėl informacinės visuomenės paslaugų gali duoti nuo 14 metų.
Praktika: Svetainės, kurios orientuotos į jaunesnę auditoriją, privalo įdiegti techninius amžiaus patikrinimo (angl. age verification) ir tėvų sutikimo fiksavimo mechanizmus.

2. Skaidrumo principas ir vaikams pritaikyta kalba

Remiantis BDAR 12 straipsniu, informacija apie duomenų tvarkymą turi būti pateikiama glaustai, skaidriai, suprantamai ir lengvai prieinama forma. Kai informacija skirta konkrečiai vaikui, privaloma naudoti aiškią ir paprastą, jo amžiui pritaikytą kalbą.

Teisiniu žargonu, sudėtingais terminais ir ilgais tekstais parašytos privatumo politikos yra laikomos niekinėmis, jei tikslinė svetainės ar programėlės auditorija yra vaikai. Svetainėse privalo būti parengta atskira, vizualiai patraukli ir vaikams lengvai suprantama privatumo pranešimo versija, paaiškinanti, kokie duomenys renkami, kodėl to reikia ir kokios yra vaiko teisės.

3. Duomenų kiekio minimizavimas ir saugojimo terminai

Svetainės negali rinkti vaikų duomenų „dėl visa ko“ ar ateities rinkodaros tikslams. Taikant BDAR 5 straipsnyje įtvirtintą duomenų kiekio minimizavimo principą, privaloma:

Vengti perteklinių laukų registracijos formose (pvz., reikalauti asmens kodo, tikslaus gyvenamosios vietos adreso ar informacijos apie tėvų profesiją, jei svetainė teikia tik bazinę edukacinę paslaugą).
Nustatyti ir griežtai laikytis saugojimo terminų. Vaikui nustojus naudotis paslauga (pvz., ištrynus žaidimo paskyrą), jo duomenys privalo būti nedelsiant anonimizuojami arba visam laikui sunaikinami iš visų duomenų bazių.

4. Griežti ribojimai rinkodarai ir elgsenos profiliavimui

Vaikų duomenų tvarkymas tiesioginės rinkodaros tikslais, jų elgsenos stebėjimas internete (angl. online tracking) ar automatizuotas profiliavimas yra traktuojamas kaip itin aukštos rizikos veikla.

Poveikio vertinimas (DPIA): Prieš diegiant bet kokius algoritmus, kurie profiliuoja vaikus ar siūlo jiems personalizuotą turinį/reklamą, organizacija privalo atlikti Poveikio duomenų apsaugai vertinimą (DPIA – pagal BDAR 35 str.).
Geroji praktika: Europos duomenų apsaugos valdyba (EDPB) primygtinai rekomenduoja vaikams skirtose svetainėse ir aplikacijose visiškai atsisakyti agresyvios, personalizuotos reklamos ir netikslinių trečiųjų šalių slapukų (pvz., rinkodaros pikselių).

5. Teisė „būti pamirštam“ pasiekus pilnametystę

Vaikai turi tas pačias teises kaip ir suaugusieji, tačiau BDAR (65-oji konstatuojamoji dalis) ypatingą dėmesį skiria vaiko teisei „būti pamirštam“ (teisei reikalauti ištrinti duomenis).

Vaikui tapus pilnamečiu (arba net dar esant nepilnamečiam, bet suvokiančiam savo teises), jis įgyja pilną asmeninę kontrolę. Jis turi absoliučią teisę atšaukti vaikystėje (savo ar tėvų) duotą sutikimą ir pareikalauti, kad svetainės ar socialinio tinklo operatorius ištrintų visą jo asmeninę informaciją, nuotraukas ar sukurtus profilius. Duomenų valdytojas privalo turėti veikiantį, lengvai prieinamą techninį įrankį, leidžiantį šią teisę įgyvendinti be jokių biurokratinių kliūčių.

BDAR pažeidimai Lietuvoje: Valstybinės duomenų apsaugos inspekcijos (VDAI) nutarimų apžvalga

Analizuojant BDAR reikalavimus svetainėms bei verslo procesams, geriausia mokytis iš jau įvykusių precedentų. Per 2019–2026 m. laikotarpį Valstybinė duomenų apsaugos inspekcija (VDAI) Lietuvoje skyrė dešimtis administracinių baudų bei privalomų nurodymų.

Statistika rodo, kad didžiausia grėsmė verslui kyla ne iš „hakerių“ atakų, o iš vidinių procesų spragų: net 58 % incidentų 2025 m. įvyko dėl paprastos žmogiškosios klaidos (pvz., klaidingai išsiųstų el. laiškų, netinkamai sukonfigūruotų „Google Analytics“ nustatymų ar vidaus darbuotojų smalsumo).

1. Rezonansinės bylos: Išmoktos pamokos

UAB Vinted (Bauda: 2 385 276 EUR): Tai didžiausia iki šiol Lietuvoje skirta sankcija.
UAB Prime leasing (CityBee, bauda: 110 000 EUR): Incidentas, kurio metu nutekėjo daugiau nei 110 tūkst. klientų jautrūs duomenys.
UAB Secure Nordic Payments (MisterTango, bauda: 61 500 EUR): Įmonei bauda skirta už perteklinį duomenų tvarkymą.

2. VDAI fiksuojamos pasikartojančios pažeidimų kategorijos

VDAI atliekami patikrinimai svetainėse ir įmonių viduje nuolat išryškina tą pačią „rizikos matricą“. Būkite budrūs dėl šių punktų:

Duomenų tvarkymo sutartys (BDAR 28 str.): Dažnai su tiekėjais (IT, rinkodaros agentūromis, serverių tiekėjais) arba išvis nesudaromos sutartys, arba jos yra tik formalios, neatspindinčios realios atsakomybės.
Incidentų valdymas (BDAR 33 str.): Pavėluotas arba nepilnas pranešimas apie saugumo pažeidimą VDAI yra viena dažniausių baudų priežasčių.
Vaizdo stebėjimas: VDAI itin griežtai vertina vaizdo stebėjimo kameras darbo vietose ar svetainėse, jei nėra aiškaus teisinio pagrindo, vaizdo įrašai laikomi per ilgai arba nėra informuojama tinkama iškaba/politika.
Tiesioginė rinkodara: El. pašto ar SMS rinkodara siunčiama be galiojančio, skaidraus sutikimo arba „po sutikimo atšaukimo“.
Privatumo politikos neatitikimas: Pagrindinė klaida – kai svetainės privatumo politika yra „šabloninė“ (nukopijuota iš kitur) ir realiai neaprašo to, ką svetainė iš tikrųjų atlieka (pvz., neįvardyti visi naudojami analitikos įrankiai).

3. Kaip išvengti rizikų? (Strateginis auditas)

Statistika rodo, kad didžioji dalis pažeidimų kyla ne dėl „hakerių“, o dėl vidinio chaoso: netinkamo prieigos valdymo, nepakankamo darbuotojų mokymo ir procedūrų dokumentavimo spragų.

Rekomendacija 2026-iesiems: Įsiveskite reguliarų vidinį kontrolinį sąrašą. Kiekvieną ketvirtį peržiūrėkite:

Ar visos jūsų naudojamos sistemos (pvz., GA4, CRM, el. pašto įrankiai) turi pasirašytas Duomenų tvarkymo sutartis?
Ar jūsų privatumo politika svetainėje realiai atitinka tai, kokius slapukus ir sekimo skriptus paleidžiate (naudokite automatinius slapukų skenerius)?
Ar darbuotojai žino, ką daryti, jei pastebi įtartiną el. paštą arba įvyksta duomenų nutekėjimas?

Turite klausimų dėl BDAR ir DI integracijos? Mes padėsime rasti atsakymus.

DI technologijos suteikia milžinišką pranašumą, tačiau jų diegimas reikalauja teisinio aiškumo. SEO4TOP ne tik diegia GEO sprendimus, bet ir užtikrina, kad jūsų svetainė atitiktų visus BDAR reikalavimus.

Kadangi agentūra pabrėžia skaidrų „Fixed Price“ modelį, siekdami užtikrinti maksimalų pasitikėjimą savo klientams, kviečiame susipažinti su mūsų paslaugų įkainiais: skaidrios visų SEO paslaugų kainos.

Užduokite savo klausimą dabar – kartu rasime sprendimą, kuris leis Jums dominuoti rinkoje be baimės dėl atitikties.

Ar BDAR taikomas ne pelno organizacijoms (NVO)?

Taip. Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas absoliučiai visoms organizacijoms, kurios tvarko Europos Sąjungos (ES) gyventojų asmens duomenis, visiškai neatsižvelgiant į jų teisinę formą ar pelno siekimo tikslą. Reglamentas neskirsto subjektų pagal komerciškumą – vertinamas tik duomenų tvarkymo faktas. Jei ne pelno siekianti organizacija, asociacija ar labdaros fondas administruoja narių sąrašus, renka renginių dalyvių kontaktus ar analizuoja savo svetainės lankytojų srautą, ji privalo laikytis visų BDAR reikalavimų lygiai taip pat, kaip ir komercinės įmonės.

Kiek laiko galima saugoti klientų duomenis?

Pats reglamentas nenurodo vieno universalaus ir konkretaus saugojimo termino (pavyzdžiui, griežtai „5 metai“ viskam). Vadovaujantis BDAR 5 straipsnyje įtvirtintu saugojimo trukmės apribojimo principu, asmens duomenys privalo būti saugojami tik tiek laiko, kiek tai objektyviai būtina nustatytam tikslui pasiekti. Praktiškai tai reiškia:

Terminų nustatymas: Organizacija privalo nustatyti aiškią saugojimo trukmę kiekvienai tvarkymo veiklai atskirai (pvz., aktyvus sutarties galiojimo laikas + senaties terminas galimiems teisiniams ginčams spręsti, kuris paprastai trunka iki 10 metų).
Teisinių prievolių ir rinkodaros atskyrimas: Būtina atskirti įstatymų nulemtą saugojimą (pvz., Lietuvos Respublikos buhalterinės apskaitos įstatymas reikalauja sąskaitas faktūras saugoti 10 metų) nuo savanoriško rinkodaros duomenų saugojimo, kuris paprastai trunka 1–3 metus nuo sutikimo davimo (arba kol sutikimas atšaukiamas).

Ar man privaloma samdyti duomenų apsaugos pareigūną (DAP)?

Remiantis BDAR 37 straipsniu, Duomenų apsaugos pareigūno (DAP) paskyrimas yra teisiškai privalomas tik šiais trimis atvejais:

Organizacija yra viešojo sektoriaus ar valdžios institucija (išskyrus teismus, kai jie vykdo savo teismines funkcijas).
Pagrindinė įmonės veikla reikalauja reguliaraus ir sistemingo duomenų subjektų stebėjimo dideliu mastu (pvz., elgsenos stebėjimas e-komercijoje).
Pagrindinė veikla apima specialiųjų kategorijų (jautrių) asmens duomenų ar duomenų apie apkaltinamuosius nuosprendžius tvarkymą dideliu mastu (klinikos, draudimo įmonės).

Jeigu jūsų organizacija nepatenka į šiuos privalomus kriterijus, DAP vis tiek galite paskirti savanoriškai. Tai ne tik padeda struktūruotai užtikrinti atitiktį, bet ir stiprina klientų bei priežiūros institucijų pasitikėjimą jūsų verslu.

Ar galiu rinkti asmens duomenis be vartotojo sutikimo?

Taip. Rinkoje gajus mitas, kad asmens duomenis galima tvarkyti tik gavus sutikimą. Pagal BDAR 6 straipsnį, sutikimas yra tik vienas iš šešių lygiaverčių teisinių pagrindų. Duomenys teisėtai gali būti tvarkomi ir be sutikimo, kai:

Tvarkyti duomenis būtina sutarties vykdymui (pvz., pirkėjo adreso ir telefono numerio rinkimas el. parduotuvėje užsakymui pristatyti).
Tvarkyti duomenis būtina siekiant įvykdyti teisinę prievolę (pvz., mokesčių deklaravimas, buhalterinė apskaita).
Tvarkymas grindžiamas teisėtu duomenų valdytojo interesu (pvz., IT sistemų saugumo užtikrinimas, skolų ir pretensijų išieškojimas), su sąlyga, kad šis interesas nėra viršesnis už duomenų subjekto teises ir laisves.

Ką daryti, jei duomenų subjektas prašo ištrinti savo duomenis?

Gavus tokį prašymą, būtina įvertinti BDAR 17 straipsnį (Teisė „būti pamirštam“). Jei prašymas pagrįstas (pvz., asmuo atšaukė sutikimą naujienlaiškiams, duomenys nebėra reikalingi pirminiams tikslams arba buvo tvarkomi neteisėtai), jie privalo būti ištrinti iš visų sistemų be nepagrįsto delsimo (ne vėliau kaip per 1 mėnesį). Tačiau teisė į ištrynimą nėra absoliuti. Jei duomenų saugojimas vis dar reikalingas dėl teisinių prievolių (pvz., finansinių auditų, buhalterijos), organizacija turi atsisakyti ištrinti tą specifinę duomenų dalį, tačiau privalo apriboti jų tvarkymą – jie lieka saugomi sistemoje, bet negali būti naudojami jokiems kitiems (pvz., rinkodaros) tikslams.

Ar IP adresas ir slapukai (cookies) yra asmens duomenys?

Taip. Vertinant BDAR reikalavimus svetainėms, tai yra vienas svarbiausių aspektų. Remiantis BDAR 30-ąja konstatuojamąja dalimi, IP adresai, slapukų identifikatoriai, įrenginio MAC adresai ir vartotojų elgsenos naršyklėje duomenys yra laikomi asmens duomenimis, jei juos galima susieti su konkrečiu fiziniu asmeniu ar jo paskyra. Dėl šios priežasties trečiųjų šalių įskiepiai (angl. plugins), tokie kaip Google Analytics ar Meta (Facebook) Pixel, negali būti aktyvuojami be išankstinio vartotojo sutikimo slapukų modulyje, o jų veikimo principai privalo būti skaidriai aprašyti privatumo politikoje.

Kada privaloma pranešti VDAI apie duomenų saugumo pažeidimą?

Pagal BDAR 33 straipsnį, asmens duomenų saugumo pažeidimą (kibernetinį incidentą, duomenų nutekėjimą, neteisėtą prieigą) patyręs duomenų valdytojas privalo apie tai pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo to momento, kai apie pažeidimą sužinojo. Pranešti VDAI būtina visada, nebent organizacija gali įrodyti, kad pažeidimas nekels pavojaus fizinių asmenų teisėms. Jei kyla didelė rizika (pvz., reali tapatybės vagystės, finansinės žalos ar diskriminacijos grėsmė), per kuo trumpesnį laiką privaloma asmeniškai informuoti ir pačius nukentėjusius asmenis.

Kokia yra maksimali BDAR bauda Lietuvoje?

Pagal BDAR 83 straipsnį, maksimali administracinė bauda už sunkius pažeidimus (pvz., duomenų tvarkymo principų ar duomenų subjektų teisių pažeidimus) gali siekti iki 20 milijonų eurų arba iki 4 % bendros pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma yra didesnė. Lietuvos priežiūros institucijų (VDAI) praktika rodo, kad baudos yra visiškai realios. Istoriškai Lietuvoje jau buvo fiksuotos dešimtis tūkstančių siekiančios sankcijos (pvz., atvejai su elektroninių pinigų įstaiga MisterTango ar Vilniaus miesto savivaldybės administracija), o šiuo metu VDAI skiriamos maksimalios baudos didelėms technologijų įmonėms siekia net ir milijonines sumas.