Duomenų apsauga

Duomenų apsauga Lietuvoje 2026: BDAR ir ADTAĮ visas vadovas

Duomenų apsauga Lietuvoje 2026: BDAR, Asmens duomenų teisinės apsaugos įstatymas (ADTAĮ), VDAI vaidmuo, realios baudos ir duomenų valdytojo pareigos.

Duomenų apsaugą Lietuvoje reglamentuoja tiesiogiai taikomas ES Bendrasis duomenų apsaugos reglamentas (BDAR) kartu su nacionaliniu Asmens duomenų teisinės apsaugos įstatymu (ADTAĮ), kuris papildo Reglamentą ten, kur jis palieka veikimo laisvę valstybėms narėms. Priežiūros institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI), turinti įgaliojimus tirti skundus, atlikti patikrinimus ir skirti administracines baudas iki 20 mln. eurų arba 4 % pasaulinės metinės apyvartos. Praktikoje Lietuvos baudos yra kuklesnės nei Airijoje ar Prancūzijoje, tačiau didžiausia iki šiol skirta bauda – 2 385 276 eurų bendrovei „Vinted" (2024 m.) – rodo, kad rizika reali, ypač sparčiai augančiam fintech ir e. prekybos sektoriui. Šis vadovas paaiškina teisinę sistemą, VDAI vaidmenį, pagrindines pareigas ir tai, kaip pasiekti atitiktį praktiškai.

Kokia teisinė sistema reglamentuoja duomenų apsaugą Lietuvoje?

Lietuvos duomenų apsaugos teisė remiasi dviem sluoksniais. Pirmasis – tiesiogiai taikomas BDAR (Reglamentas (ES) 2016/679), galiojantis nuo 2018 m. gegužės 25 d. Antrasis – nacionalinis Asmens duomenų teisinės apsaugos įstatymas (ADTAĮ), kurio nauja redakcija įsigaliojo 2018 m. liepos 16 d. ir kuris įgyvendina Reglamento nuostatas nacionalinėje teisėje bei nustato VDAI įgaliojimus.

Papildomai veikia Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos tikslais, teisinės apsaugos įstatymas, perkeliantis Direktyvą (ES) 2016/680 teisėsaugos institucijoms. Elektroninių ryšių sektoriuje taikomas Elektroninių ryšių įstatymas, reglamentuojantis slapukus ir tiesioginę rinkodarą (perkeliantis ePrivacy direktyvą). Kartu šie aktai sudaro pagrindą, kuriuo remdamasi VDAI vykdo priežiūrą.

Svarbu suprasti dvi pamatines sąvokas. Duomenų valdytojas – subjektas, nustatantis asmens duomenų tvarkymo tikslus ir priemones; jis teisiškai atsako už atitiktį. Duomenų tvarkytojas – subjektas, tvarkantis duomenis valdytojo vardu (pavyzdžiui, debesijos paslaugų teikėjas). Šie vaidmenys nulemia, kas kokias pareigas turi.

Kokį vaidmenį atlieka VDAI?

VDAI yra nepriklausoma priežiūros institucija, įsteigta pagal BDAR 51 straipsnį ir veikianti Vilniuje. Jos funkcijos apima skundų nagrinėjimą, patikrinimų atlikimą, konsultacijų teikimą, duomenų apsaugos pareigūnų registravimą ir korekcinių įgaliojimų taikymą – nuo įspėjimų iki administracinių baudų pagal BDAR 83 straipsnį.

Skundą VDAI gali pateikti bet kuris asmuo, manantis, kad jo teisės pažeistos. Institucija taip pat inicijuoja tyrimus savo iniciatyva, ypač po pranešimų apie duomenų saugumo pažeidimus. Išsamiau apie institucijos struktūrą, įgaliojimus ir tyrimo eigą skaitykite mūsų VDAI vadove.

Reikšminga nacionalinė ypatybė: Lietuvos teisė numato mažesnes maksimalias baudas viešojo sektoriaus subjektams nei privačioms bendrovėms, todėl valstybės ir savivaldybių institucijoms skiriamos baudos paprastai yra kuklios (pavyzdžiui, Vilniaus miesto savivaldybei skirta 15 000 eurų bauda).

Kokios yra pagrindinės duomenų valdytojo pareigos?

BDAR nustato pareigų rinkinį, kurio laikymąsi valdytojas privalo gebėti pademonstruoti (atskaitomybės principas, 5 straipsnio 2 dalis). Pagrindinės pareigos:

Pareiga Teisinis pagrindas Ką reikia padaryti
Teisėtas tvarkymo pagrindas 6 str. Nustatyti pagrindą (sutikimas, sutartis, teisinė prievolė, teisėtas interesas)
Duomenų tvarkymo veiklos įrašai (ROPA) 30 str. Vesti ir atnaujinti visų tvarkymo operacijų registrą
Skaidrumas 12–14 str. Pateikti privatumo pranešimą duomenų subjektams
Poveikio duomenų apsaugai vertinimas (PDAV) 35 str. Atlikti PDAV, kai tvarkymas kelia didelę riziką
Saugumas 32 str. Įgyvendinti technines ir organizacines priemones
Pranešimas apie pažeidimą 33–34 str. Pranešti VDAI per 72 val., prireikus – ir subjektams
Duomenų apsaugos pareigūnas (DAP) 37 str. Paskirti DAP, kai to reikalauja įstatymas

Kertinis dokumentas yra duomenų tvarkymo veiklos įrašai (ROPA) – jis beveik visada yra pirmas dokumentas, kurio VDAI reikalauja per patikrinimą. Antra pagal svarbą sritis – duomenų subjektų prašymų (DSAR) tvarkymas per teisės aktų nustatytą vieno mėnesio terminą; būtent šios pareigos nesilaikymas lėmė didžiausią Lietuvos baudą.

Duomenų subjektų teisės

BDAR III skyrius suteikia asmenims teisę susipažinti su duomenimis (15 str.), reikalauti ištaisyti (16 str.), ištrinti („teisė būti pamirštam", 17 str.), apriboti tvarkymą (18 str.), į duomenų perkeliamumą (20 str.) ir nesutikti su tvarkymu (21 str.). Valdytojas privalo į prašymą atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per mėnesį. Netinkamas šių prašymų tvarkymas – dažniausias baudų Lietuvoje pagrindas.

Pranešimas apie duomenų saugumo pažeidimą

Apie asmens duomenų saugumo pažeidimą VDAI reikia pranešti nepagrįstai nedelsiant ir, jei įmanoma, per 72 valandas nuo sužinojimo (33 str.). Jei pažeidimas gali kelti didelę riziką asmenų teisėms, apie jį būtina pranešti ir patiems duomenų subjektams (34 str.). „InMedica" atvejis (450 000 eurų bauda) parodė, kad dokumentuotas pranešimo procesas ir tinkamos saugumo priemonės yra vienodai svarbūs. Praktinių nurodymų rasite straipsnyje apie pranešimą apie duomenų pažeidimą.

Kada privaloma skirti duomenų apsaugos pareigūną?

Duomenų apsaugos pareigūną (DAP) privaloma paskirti, kai valdytojas yra viešojo sektoriaus institucija, kai pagrindinė veikla apima reguliarų ir sistemingą didelio masto asmenų stebėseną arba kai dideliu mastu tvarkomi specialių kategorijų duomenys (9 str.). Paskyrus DAP, apie tai reikia informuoti VDAI. DAP yra nepriklausomas patarėjas, o ne atitikties darbo vykdytojas – teisinė atsakomybė lieka valdytojui.

Kokios realios baudos Lietuvoje?

Skirtingai nei kai kuriose didelėse valstybėse narėse, Lietuvos baudos istoriškai kuklios – daugumos ankstyvųjų baudų dydis nesiekė 100 000 eurų. Tačiau paskutiniai metai rodo augimo tendenciją.

Subjektas Bauda Metai Pažeidimas
„Vinted" UAB 2 385 276 € 2024 Netinkamas ištrynimo prašymų tvarkymas, „šešėlinis blokavimas" (5, 12, 17 str.)
UAB „InMedica" 450 000 € 2026 Saugumo ir pranešimo apie pažeidimą trūkumai (5, 24, 32 str.)
UAB „Prime Leasing" (CityBee) 110 000 € 2021 Saugumo pažeidimas, nutekinti 110 302 naudotojų duomenys (32 str.)
„MisterTango" UAB 61 500 € 2019 Perteklinis tvarkymas, nepraneštas pažeidimas (5, 32, 33 str.)
Vilniaus m. savivaldybės administracija 15 000 € 2020 Netinkamas įvaikinto vaiko tėvų duomenų tvarkymas

Išsamią analizę ir tendencijas rasite VDAI baudų 2025–2026 apžvalgoje. 2024 m. VDAI gavo 1 408 skundus – beveik 15 % daugiau nei 2023 m. (1 230), o tai rodo augantį priežiūros aktyvumą. Bendras BDAR baudų kontekstas pateikiamas GDPR baudų apžvalgoje.

Kaip duomenų apsauga susijusi su NIS2 ir DORA?

Šalia BDAR Lietuvoje aktualūs du nauji reguliavimo blokai. NIS2 direktyva perkelta Kibernetinio saugumo įstatymu, o priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC); ji nustato rizikos valdymo ir incidentų pranešimo pareigas, iš dalies persidengiančias su BDAR. Daugiau – NIS2 Lietuvoje. DORA reglamentas taikomas nuo 2025 m. sausio 17 d. finansų sektoriui, o jo priežiūrą Lietuvoje vykdo Lietuvos bankas; jis reglamentuoja IRT rizikos valdymą ir skaitmeninį atsparumą – žr. DORA Lietuvoje.

Kaip reglamentuojami slapukai ir tiesioginė rinkodara?

Šalia BDAR, slapukus ir elektroninę tiesioginę rinkodarą Lietuvoje reglamentuoja Elektroninių ryšių įstatymas, perkeliantis ePrivacy direktyvą. Praktikoje tai reiškia, kad prieš įrašant nebūtinuosius slapukus (analitikos, rinkodaros) reikia gauti naudotojo sutikimą, atitinkantį BDAR standartą – laisvą, konkretų, informuotą ir nedviprasmišką. Tiesioginei rinkodarai el. paštu ar SMS paprastai taikoma išankstinio sutikimo (opt-in) taisyklė, su ribota išimtimi esamiems klientams. Netinkamai įgyvendintas slapukų sutikimas yra dažna praktinė spraga, į kurią VDAI atkreipia dėmesį. Todėl svetainės slapukų juosta ir rinkodaros sutikimų valdymas turi būti dokumentuoti kartu su likusia atitikties programa.

Kaip pasiekti atitiktį praktiškai?

Atitiktis kuriama trimis etapais: esamos situacijos kartografavimas, dokumentacijos parengimas (ROPA, PDAV, duomenų tvarkymo sutartys) ir nuolatinis atnaujinimas. Rankinis palaikymas skaičiuoklėse greitai pasensta ir sukuria būtent tuos trūkumus, dėl kurių skiriamos baudos.

BDAR atitikties programinė įranga automatizuoja dokumentaciją ir terminų stebėseną. Legiscope yra europinė, duomenų apsaugos teisininkų sukurta platforma, kuri sugeneruoja duomenų tvarkymo veiklos įrašus per kelias minutes ir talpina duomenis ES. Įrankių palyginimą rasite BDAR programinės įrangos apžvalgoje, o kainodarą – BDAR programinės įrangos kainos vadove.

Praktiniai pirmieji žingsniai:

  1. Nustatykite kiekvienos veiklos teisėtą tvarkymo pagrindą (6 str.).
  2. Parenkite duomenų tvarkymo veiklos įrašus ir apibrėžkite saugojimo terminus.
  3. Įdiekite duomenų subjektų prašymų tvarkymo procesą.
  4. Atlikite poveikio duomenų apsaugai vertinimą, kai tvarkymas kelia didelę riziką.
  5. Parenkite pranešimo apie duomenų pažeidimą procedūrą.

Dažnai užduodami klausimai (FAQ)

Kuo skiriasi BDAR ir ADTAĮ?

BDAR yra tiesiogiai taikomas ES reglamentas, vienodas visose valstybėse narėse. ADTAĮ (Asmens duomenų teisinės apsaugos įstatymas) yra Lietuvos nacionalinis įstatymas, papildantis BDAR ten, kur Reglamentas palieka veikimo laisvę – pavyzdžiui, nustato VDAI įgaliojimus ir kai kurias procedūrines taisykles. Kilus prieštaravimui, viršenybę turi BDAR.

Kokia didžiausia bauda skirta Lietuvoje?

Didžiausia iki šiol skirta bauda – 2 385 276 eurų bendrovei „Vinted" UAB 2024 m. už netinkamą ištrynimo prašymų tvarkymą ir naudotojų paskyrų „šešėlinį" ribojimą be teisinio pagrindo. Antra pagal dydį – 450 000 eurų UAB „InMedica" 2026 m. už saugumo ir pranešimo apie pažeidimą trūkumus.

Ar mano įmonei privaloma turėti duomenų apsaugos pareigūną?

DAP privaloma paskirti viešojo sektoriaus institucijoms, subjektams, kurių pagrindinė veikla yra didelio masto sistemingas asmenų stebėjimas, ir tiems, kurie dideliu mastu tvarko specialių kategorijų duomenis. Daugumai smulkių įmonių DAP nėra privalomas, tačiau atitikties pareigos vis tiek galioja.

Kokia kalba turi būti privatumo pranešimai Lietuvoje?

Informacija duomenų subjektams turi būti pateikiama aiškia ir suprantama kalba. Praktiškai, kai paslaugos teikiamos Lietuvos vartotojams, privatumo pranešimai turėtų būti lietuvių kalba; tarptautinei veiklai papildomai pateikiama ir angliška versija. Svarbiausia, kad informacija būtų suprantama tikslinei auditorijai.

Nuo ko pradėti BDAR atitiktį Lietuvoje?

Pradėti verta nuo tvarkymo veiklos kartografavimo ir ROPA sudarymo – tai pagrindas, iš kurio kyla kitos pareigos. Toliau nustatomi teisiniai pagrindai, saugojimo terminai, duomenų subjektų prašymų procesas ir pranešimo apie pažeidimą procedūra. Šį darbą ženkliai pagreitina specializuota programinė įranga.

Išvada

Duomenų apsauga Lietuvoje remiasi BDAR ir ADTAĮ, o priežiūrą vykdo VDAI. Nors baudos istoriškai kuklesnės nei kai kuriose kitose valstybėse, „Vinted" ir „InMedica" atvejai rodo aiškią griežtėjimo tendenciją, ypač e. prekybos, fintech ir sveikatos sektoriuose. Sisteminė atitiktis – teisėto pagrindo nustatymas, ROPA vedimas, duomenų subjektų teisių užtikrinimas ir dokumentuotas pažeidimų valdymas – geriausiai pasiekiama automatizuojant, o ne palaikant rankiniu būdu.

Šaltiniai ir tolesnis skaitymas: VDAI oficiali svetainė, ADTAĮ Teisės aktų registre, BDAR tekstas (EUR-Lex).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →