Duomenų apsauga

Duomenų subjektų prašymų (DSAR) programinė įranga 2026

DSAR programinė įranga 2026: duomenų subjektų teisės, vieno mėnesio terminas, automatinės darbo eigos ir kainos. Kodėl prašymų nesilaikymas Lietuvoje lemia baudas.

Duomenų subjektų prašymų (DSAR) programinė įranga automatizuoja BDAR III skyriuje įtvirtintų teisių įgyvendinimą: teisės susipažinti (15 str.), ištaisyti (16 str.), ištrinti (17 str.), apriboti tvarkymą (18 str.), į duomenų perkeliamumą (20 str.) ir nesutikti (21 str.). Programinė įranga registruoja prašymus, stebi vieno mėnesio atsakymo terminą, priskiria atsakingus asmenis ir sukuria audito seką. Tai kritiškai svarbu, nes netinkamas duomenų subjektų prašymų tvarkymas yra dažniausias baudų Lietuvoje pagrindas – būtent dėl to VDAI skyrė didžiausią šalies baudą, 2 385 276 eurų bendrovei „Vinted". Šis vadovas paaiškina, ką turi apimti DSAR programinė įranga, kiek ji kainuoja ir kaip išvengti termino pažeidimų.

Kokias teises turi duomenų subjektai?

BDAR suteikia asmenims šešias pagrindines teises, į kurias valdytojas privalo reaguoti:

Teisė Straipsnis Ką reiškia
Susipažinti 15 str. Gauti savo duomenų kopiją ir informaciją apie tvarkymą
Ištaisyti 16 str. Pataisyti netikslius duomenis
Ištrinti 17 str. „Teisė būti pamirštam"
Apriboti 18 str. Sustabdyti tvarkymą tam tikrais atvejais
Perkeliamumas 20 str. Gauti duomenis struktūrizuotu formatu
Nesutikti 21 str. Prieštarauti tvarkymui, įsk. tiesioginę rinkodarą

Į prašymą reikia atsakyti nepagrįstai nedelsiant ir ne vėliau kaip per mėnesį (jį galima pratęsti dviem mėnesiais sudėtingais atvejais). Platesnį kontekstą rasite teisės susipažinti apžvalgoje ir BDAR Lietuvoje vadove.

Kodėl DSAR tvarkymas rizikingas Lietuvoje?

Duomenų subjektų teisių nesilaikymas yra dažniausias baudų VDAI pagrindas. Didžiausia šalies bauda – 2 385 276 eurų „Vinted" – skirta būtent už netinkamą ištrynimo prašymų tvarkymą, neaiškius atsakymus ir naudotojų paskyrų „šešėlinį" ribojimą be teisinio pagrindo. Sprendimą 2025 m. patvirtino Regionų administracinis teismas. Kontekstą ir kitas baudas rasite VDAI baudų apžvalgoje.

Praktikoje trys dažniausios klaidos yra: praleistas vieno mėnesio terminas, nepilnas atsakymas ir neteisingas prašymo atmetimas. Visos jos kyla iš rankinio, nestruktūrizuoto prašymų tvarkymo el. paštu.

Kuo skiriasi atskiros duomenų subjektų teisės?

Kiekviena teisė turi savo specifiką, į kurią programinė įranga turi atsižvelgti:

  • Teisė susipažinti (15 str.) – dažniausia. Reikia pateikti duomenų kopiją ir informaciją apie tikslus, gavėjus bei saugojimo terminus. Sudėtingumas – surasti visus duomenis įvairiose sistemose.
  • Teisė ištaisyti (16 str.) – palyginti paprasta, bet reikia informuoti ir gavėjus, kuriems duomenys buvo atskleisti.
  • Teisė ištrinti (17 str.) – „teisė būti pamirštam". Ne absoliuti: netaikoma, kai duomenys būtini teisinei prievolei ar pretenzijoms. Būtent šios teisės tvarkymas lėmė „Vinted" baudą.
  • Teisė apriboti (18 str.) – laikinas tvarkymo sustabdymas ginčo metu; reikalauja pažymėti duomenis sistemoje.
  • Teisė į perkeliamumą (20 str.) – taikoma tik automatizuotai tvarkomiems duomenims sutikimo ar sutarties pagrindu; duomenys pateikiami struktūrizuotu, kompiuterio skaitomu formatu.
  • Teisė nesutikti (21 str.) – ypač svarbi tiesioginės rinkodaros atveju, kur ji absoliuti.

Programinė įranga turi atskirti šiuos tipus, nes kiekvienam taikomos skirtingos sąlygos ir išimtys. Neteisingas teisės tipo įvertinimas – dažna klaida, vedanti į netinkamą atsakymą.

Kokias funkcijas turi turėti DSAR programinė įranga?

  • Prašymų registras – vieninga vieta visiems prašymams, nepriklausomai nuo kanalo.
  • Termino stebėsena – automatinis vieno mėnesio termino skaičiavimas su priminimais.
  • Atsakingų asmenų priskyrimas – kad kiekvienas prašymas turėtų savininką.
  • Tapatybės patikra – prašytojo tapatybės patvirtinimo logika.
  • Duomenų paieška – susiejimas su ROPA, kad būtų žinoma, kur ieškoti duomenų.
  • Audito seka – įrodymas, kad prašymas tvarkytas laiku ir tinkamai.
  • Šablonai – standartizuoti atsakymai lietuvių ir anglų kalbomis.

Kokie yra atsakymo į prašymą žingsniai?

Tinkamas duomenų subjekto prašymo tvarkymas apima nuoseklius žingsnius, kurių kiekvienas turi būti dokumentuotas:

  1. Registravimas – prašymas įrašomas nepriklausomai nuo kanalo (el. paštas, forma, laiškas), o terminas pradedamas skaičiuoti.
  2. Tapatybės patikra – patvirtinama, kad prašytojas iš tikrųjų yra tas asmuo, kurio duomenų prašoma; tai apsaugo nuo neteisėto atskleidimo.
  3. Duomenų paieška – pagal ROPA nustatoma, kuriose sistemose tvarkomi asmens duomenys.
  4. Atsakymo parengimas – pateikiama duomenų kopija ar atliekamas prašomas veiksmas per vieno mėnesio terminą.
  5. Dokumentavimas – išsaugoma audito seka, įrodanti, kad prašymas įvykdytas laiku ir tinkamai.

Programinė įranga automatizuoja kiekvieną žingsnį, todėl sumažina žmogaus klaidos riziką. Teisių teisinį pagrindą – pavyzdžiui, 15 straipsnio teisę susipažinti – galima pasitikrinti EUR-Lex tekste.

Kada galima atmesti prašymą arba imti mokestį?

Prašymas paprastai vykdomas nemokamai. Tačiau BDAR 12 straipsnio 5 dalis numato, kad, kai prašymai yra akivaizdžiai nepagrįsti arba pertekliniai (ypač dėl jų pasikartojimo), valdytojas gali imti pagrįstą mokestį arba atsisakyti juos vykdyti. Svarbu: šią išimtį taiko valdytojas, ir jis privalo įrodyti nepagrįstumą – todėl atmesti prašymą reikia itin atsargiai. Būtent neteisingas prašymų ribojimas be pagrindo lėmė didžiausią Lietuvos baudą „Vinted", kur paskyrų ribojimas be teisinio pagrindo buvo laikomas pažeidimu.

Praktinė pamoka: kiekvienas atmetimas turi būti dokumentuotas ir pagrįstas, o programinė įranga padeda išsaugoti šį pagrindimą audito sekoje. VDAI gaires dėl duomenų subjektų teisių galima rasti oficialioje svetainėje.

Kiek kainuoja DSAR programinė įranga?

DSAR valdymas paprastai įeina į pradinio lygio BDAR platformas, kainuojančias 79–349 €/mėn. Atskiri DSAR įrankiai retai apsimoka MVĮ – efektyviau rinktis platformą, apimančią ir ROPA, ir DPA valdymą. Kainodarą rasite BDAR programinės įrangos kainos vadove, o įrankių palyginimą – BDAR programinės įrangos apžvalgoje.

Kaip integruoti DSAR su likusia atitiktimi?

Duomenų subjektų prašymų valdymas nėra izoliuotas – jis priklauso nuo likusios atitikties infrastruktūros. Kad prašymą būtų galima greitai įvykdyti, reikia žinoti, kuriose sistemose tvarkomi asmens duomenys; šią informaciją teikia duomenų tvarkymo veiklos įrašai (ROPA). Kai duomenys perduoti tvarkytojams, prašymo įvykdymas (pvz., ištrynimas) turi apimti ir juos, o tai reikalauja tinkamų duomenų tvarkymo sutarčių. Tiesioginės rinkodaros atveju nesutikimas turi būti nedelsiant įgyvendintas visose sistemose.

Todėl geriausia praktika yra valdyti DSAR ne kaip atskirą procesą, o kaip integruotos platformos dalį, kur prašymai automatiškai susiejami su ROPA ir tvarkytojų sąrašu. Tai ne tik pagreitina atsakymą, bet ir sumažina riziką praleisti duomenis kurioje nors sistemoje – dažną nepilno atsakymo priežastį.

Kaip automatizavimas mažina riziką?

Legiscope automatizuoja prašymų darbo eigą: kiekvienas prašymas registruojamas, priskiriamas atsakingam asmeniui, o sistema stebi vieno mėnesio terminą ir siunčia priminimus. Susiejus su ROPA, iš karto matoma, kuriose sistemose ieškoti asmens duomenų. Rezultatas – audito seka, įrodanti VDAI, kad prašymai tvarkomi laiku ir tinkamai. Būtent tokio proceso trūkumas lėmė didžiausią Lietuvos baudą.

Dažnai užduodami klausimai (FAQ)

Kiek kainuoja DSAR programinė įranga?

DSAR valdymas paprastai įeina į pradinio lygio BDAR platformas už 79–349 €/mėn. Atskiro DSAR įrankio rinktis MVĮ retai apsimoka – efektyviau naudoti platformą, apimančią ir ROPA bei DPA valdymą. Legiscope kainuoja 99–299 €/mėn. su įskaičiuota prašymų darbo eiga.

Per kiek laiko reikia atsakyti į duomenų subjekto prašymą?

Nepagrįstai nedelsiant ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Sudėtingais atvejais terminą galima pratęsti dar dviem mėnesiais, apie tai informavus subjektą per pirmąjį mėnesį. Termino praleidimas yra dažniausias baudų pagrindas Lietuvoje.

Kodėl DSAR tvarkymui reikia programinės įrangos?

Rankinis tvarkymas el. paštu veda į praleistus terminus, nepilnus atsakymus ir įrodymų trūkumą. Programinė įranga automatiškai stebi terminus, priskiria atsakomybę ir kuria audito seką. „Vinted" 2,38 mln. eurų bauda parodė, kad būtent proceso trūkumas, o ne pavieniai atvejai, užtraukia didžiausias sankcijas.

Kaip patikrinti prašytojo tapatybę?

Prieš atskleidžiant duomenis būtina pagrįstai įsitikinti, kad prašytojas yra tas asmuo, kurio duomenų prašoma. Kilus pagrįstų abejonių, galima prašyti papildomos informacijos tapatybei patvirtinti, tačiau ji turi būti proporcinga ir nepertekline. Netinkama tapatybės patikra rizikinga dviem kryptimis: per silpna gali lemti neteisėtą atskleidimą, per griežta – nepagrįstą kliūtį pasinaudoti teise. Programinė įranga standartizuoja šį žingsnį.

Ar galima pratęsti vieno mėnesio terminą?

Taip. Sudėtingais atvejais arba gavus daug prašymų terminą galima pratęsti dar dviem mėnesiais, tačiau apie pratęsimą ir jo priežastis būtina informuoti duomenų subjektą per pirmąjį mėnesį. Programinė įranga automatiškai seka tiek pradinį, tiek pratęstą terminą ir primena apie informavimo pareigą.

Kokie prašymai dažniausiai gaunami Lietuvoje?

Dažniausi yra teisės susipažinti (15 str.) ir ištrynimo („teisė būti pamirštam", 17 str.) prašymai, ypač e. prekybos ir platformų sektoriuje. Būtent ištrynimo prašymų tvarkymas lėmė „Vinted" baudą, todėl šiam prašymų tipui verta skirti ypatingą dėmesį.

Ar galima automatizuoti visą prašymo įvykdymą?

Iš dalies. Programinė įranga automatizuoja registravimą, termino stebėseną, atsakingų asmenų priskyrimą ir audito seką, taip pat padeda surasti duomenis pagal ROPA. Tačiau kai kurie žingsniai reikalauja žmogaus sprendimo – pavyzdžiui, ar taikoma ištrynimo išimtis, ar prašymas akivaizdžiai nepagrįstas. Todėl tikslas yra ne visiškas automatizavimas, o rankinio darbo sumažinimas iki minimumo ir termino praleidimo rizikos pašalinimas.

Kiek prašymų per metus gauna tipinė įmonė?

Tai labai priklauso nuo sektoriaus ir klientų skaičiaus. E. prekybos ar platformų verslui prašymų gali būti dešimtys ar šimtai per metus, o mažai B2B įmonei – vos keli. Vis dėlto net retas prašymas turi būti įvykdytas per vieno mėnesio terminą, todėl procesas turi veikti nepriklausomai nuo apimties – būtent to ir užtikrina programinė įranga. Reta praktika taip pat reiškia didesnę klaidos riziką, nes darbuotojai nebūna įpratę tvarkyti prašymų, todėl standartizuota darbo eiga čia dar svarbesnė.

Išvada

Duomenų subjektų prašymų tvarkymas yra dažniausias baudų VDAI pagrindas, o didžiausia Lietuvos bauda skirta būtent už jo trūkumus. DSAR programinė įranga automatizuoja registrą, termino stebėseną ir audito seką, todėl Lietuvos įmonei tai viena svarbiausių atitikties investicijų. Kadangi būtent proceso, o ne pavienių atvejų trūkumas užtraukia didžiausias sankcijas, dokumentuota ir automatizuota prašymų darbo eiga yra geriausia apsauga. „Vinted" 2,38 mln. eurų bauda yra aiškus priminimas, kad duomenų subjektų teisių valdymas Lietuvoje turi būti sisteminis, o ne improvizuotas.

Automatizuokite prašymų tvarkymą – užsisakykite Legiscope demonstraciją

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →