Duomenų apsauga

Duomenų tvarkymo veiklos įrašų (ROPA) programinė įranga 2026

ROPA programinė įranga 2026: BDAR 30 str. įpareigojimas, automatinis registro palaikymas, šablonai ir kainos. Kodėl skaičiuoklės Lietuvoje veda į VDAI baudas.

Duomenų tvarkymo veiklos įrašų (ROPA) programinė įranga automatizuoja BDAR 30 straipsnio įpareigojimą – vesti ir nuolat atnaujinti visų asmens duomenų tvarkymo operacijų registrą. Vietoje rankinio palaikymo skaičiuoklėse, kuris pasensta per kelias savaites, programinė įranga generuoja struktūrizuotą registrą per klausimynus, automatiškai susieja tvarkymo tikslus, teisinius pagrindus, duomenų kategorijas ir saugojimo terminus bei palaiko jį atnaujintą. ROPA yra kertinis dokumentas, kurio VDAI beveik visada prašo pirmiausia per patikrinimą, todėl jo automatizavimas yra vienas didžiausią grąžą duodančių atitikties investicijų. Šis vadovas paaiškina, ką turi apimti ROPA programinė įranga, kiek ji kainuoja ir kodėl skaičiuoklės Lietuvoje kelia realią baudų riziką.

Kas yra ROPA ir kodėl jis privalomas?

ROPA (angl. records of processing activities) – tai BDAR 30 straipsnyje reikalaujamas duomenų tvarkymo veiklos įrašų registras. Valdytojas turi dokumentuoti kiekvieną tvarkymo operaciją, nurodydamas:

  • tvarkymo tikslus;
  • duomenų subjektų ir asmens duomenų kategorijas;
  • gavėjų kategorijas;
  • perdavimus į trečiąsias šalis;
  • numatytus saugojimo terminus;
  • techninių ir organizacinių saugumo priemonių aprašymą.

Nors 30 straipsnio 5 dalis numato išimtį įmonėms iki 250 darbuotojų, ji praktiškai netaikoma bet kuriai bendrovei, tvarkančiai darbuotojų duomenis ar reguliariai tvarkančiai klientų duomenis. Todėl faktiškai ROPA privalomas beveik visoms Lietuvos įmonėms. Platesnį kontekstą rasite BDAR Lietuvoje vadove ir ROPA metodikos apžvalgoje.

Kodėl skaičiuoklės nebeveikia?

Skaičiuoklėmis grįstas ROPA turi tris esmines problemas:

  1. Pasenimas – kiekvienas naujas įrankis, tiekėjas ar tvarkymo tikslas turi būti įrašytas rankiniu būdu; praktikoje to nedaroma, ir registras nustoja atitikti realią veiklą.
  2. Nenuoseklumas – skirtingi darbuotojai pildo skirtingai, todėl trūksta struktūros, kurios tikisi VDAI.
  3. Įrodymų trūkumas – nėra audito sekos, rodančios, kada ir kas atnaujino įrašus.

Per VDAI patikrinimą pasenęs arba nepilnas ROPA yra vienas pirmųjų aptinkamų trūkumų. Kadangi 30 straipsnio pažeidimas patenka į BDAR 83 straipsnio 4 dalies kategoriją, jis gali užtraukti baudą – kontekstą rasite VDAI baudų apžvalgoje.

Kokios dažniausios ROPA klaidos?

Praktikoje ROPA trūkumai, kuriuos VDAI aptinka per patikrinimą, dažniausiai priklauso vienam iš penkių tipų:

  1. Nepilnas tvarkymo operacijų sąrašas – įtrauktos ne visos realios veiklos (dažnai pamirštama vaizdo stebėjimas, rinkodara, personalo procesai).
  2. Neapibrėžti saugojimo terminai – laukas paliekamas tuščias arba nurodoma neapibrėžtai („kol reikia").
  3. Neteisingas teisinis pagrindas – pavyzdžiui, sutikimas nurodomas ten, kur iš tikrųjų taikomas teisėtas interesas ar sutartis.
  4. Vaidmenų painiava – neteisingai nustatyta, ar įmonė yra valdytoja, ar tvarkytoja konkrečioje operacijoje.
  5. Pasenusi informacija – registras neatnaujintas po naujų įrankių ar tiekėjų.

Kiekviena šių klaidų yra tiesioginis 30 straipsnio pažeidimo požymis. Programinė įranga jas mažina, nes klausimynas užtikrina, kad visi laukai būtų užpildyti, o automatinis atnaujinimas neleidžia registrui pasenti. Būtent dėl šių priežasčių struktūrizuota platforma pranoksta laisvos formos skaičiuoklę.

Kokias funkcijas turi turėti ROPA programinė įranga?

Funkcija Kodėl svarbu
Automatinis generavimas per klausimynus Sumažina rankinį darbą ir klaidas
Teisinio pagrindo susiejimas Kiekviena veikla susieta su 6 str. pagrindu
Saugojimo terminų valdymas Automatiškai stebimi terminai
Tvarkytojų (DPA) susiejimas Ryšys su 28 str. sutartimis
Audito seka Kas ir kada atnaujino įrašus
ES talpinimas Duomenys lieka ES
Eksportas VDAI formatu Paruošta pateikti per patikrinimą

Kuo skiriasi valdytojo ir tvarkytojo ROPA?

BDAR 30 straipsnis numato du skirtingus registrus. Duomenų valdytojas (30 str. 1 d.) veda įrašus apie savo tvarkymo veiklą – tikslus, duomenų kategorijas, gavėjus, saugojimo terminus. Duomenų tvarkytojas (30 str. 2 d.) veda įrašus apie tvarkymą, kurį atlieka kitų valdytojų vardu – valdytojų kategorijas, tvarkymo rūšis, perdavimus. Daugelis Lietuvos įmonių yra abu vaidmenys vienu metu: valdytojos savo darbuotojų ir klientų duomenų atžvilgiu ir tvarkytojos, kai teikia paslaugas kitiems.

Gera ROPA programinė įranga leidžia vesti abu registrus vienoje vietoje ir aiškiai atskirti vaidmenis, o tai svarbu, nes per patikrinimą VDAI vertina, ar įmonė teisingai identifikavo savo vaidmenį kiekvienoje tvarkymo operacijoje. Vaidmenų painiava dažnai lemia neteisingai nustatytas pareigas.

Kokie laukai privalomi ROPA pagal 30 straipsnį?

30 straipsnis nustato konkretų privalomų laukų sąrašą valdytojo registrui:

Laukas Aprašymas
Valdytojo duomenys Pavadinimas ir kontaktai, prireikus – DAP kontaktai
Tvarkymo tikslai Kodėl duomenys tvarkomi
Duomenų subjektų kategorijos Klientai, darbuotojai, tiekėjai ir kt.
Asmens duomenų kategorijos Kontaktiniai, finansiniai, specialūs ir kt.
Gavėjų kategorijos Kam duomenys atskleidžiami
Perdavimai į trečiąsias šalis Kokie ir kokiu pagrindu
Saugojimo terminai Numatyti ištrynimo terminai
Saugumo priemonės Techninių ir organizacinių priemonių aprašymas

Tikslų 30 straipsnio tekstą galima pasitikrinti EUR-Lex, o VDAI metodinę medžiagą – oficialioje svetainėje. Programinė įranga automatiškai užtikrina, kad visi šie laukai būtų užpildyti.

Kaip dažnai reikia atnaujinti ROPA?

ROPA nėra vienkartinis dokumentas – jis turi atspindėti realią tvarkymo veiklą bet kuriuo momentu. Praktiškai tai reiškia, kad registrą reikia atnaujinti kaskart, kai atsiranda naujas tvarkymo tikslas, naujas tiekėjas ar tvarkytojas, naujas įrankis arba pasikeičia saugojimo terminai. Rankinio proceso problema ta, kad šie pokyčiai vyksta nuolat, o registro atnaujinimas atidedamas, kol jis nustoja atitikti tikrovę. Automatizuota platforma šią naštą pašalina, susiedama registrą su realiais veiklos pokyčiais ir siųsdama priminimus peržiūrai.

Kiek kainuoja ROPA programinė įranga?

Vien ROPA valdymas paprastai įeina į pradinio lygio BDAR platformas, kainuojančias 79–349 €/mėn. Atskiri ROPA įrankiai retai pateisina save – dažniausiai efektyviau rinktis platformą, apimančią ir duomenų subjektų prašymus, ir DPA valdymą. Detalią kainodarą rasite BDAR programinės įrangos kainos vadove, o įrankių palyginimą – BDAR programinės įrangos apžvalgoje.

Kaip ROPA susijęs su kitomis pareigomis?

ROPA nėra izoliuotas dokumentas – jis yra atitikties programos pagrindas, iš kurio kyla kitos pareigos. Iš tvarkymo veiklos įrašų matomi tvarkymo tikslai ir teisiniai pagrindai, kurie perkeliami į privatumo pranešimus (12–14 str.). Saugojimo terminai iš ROPA nulemia duomenų ištrynimo politiką. Nustatyti tvarkytojai reikalauja duomenų tvarkymo sutarčių pagal 28 straipsnį. Didelės rizikos operacijos, matomos registre, gali reikalauti poveikio duomenų apsaugai vertinimo pagal 35 straipsnį.

Todėl gera ROPA programinė įranga ne tik generuoja registrą, bet ir susieja jį su šiomis susijusiomis pareigomis, kad atitiktis būtų nuosekli. Tai paaiškina, kodėl vien ROPA įrankis dažnai mažiau vertingas nei platforma, apimanti visą pareigų grandinę.

Kaip automatizavimas veikia praktikoje?

Legiscope sugeneruoja atitinkantį ROPA maždaug per keturias minutes: DI, apmokytas BDAR praktika, veda naudotoją klausimynu ir automatiškai priskiria teisinius pagrindus, duomenų kategorijas bei saugojimo terminus. Registras talpinamas ES ir atnaujinamas keičiantis veiklai. Tai reiškia, kad vietoje savaičių rankinio darbo ir nuolatinio pasenimo įmonė turi visada aktualų dokumentą, paruoštą pateikti VDAI.

Dažnai užduodami klausimai (FAQ)

Kiek kainuoja ROPA programinė įranga?

Vien ROPA valdymas paprastai įeina į pradinio lygio BDAR platformas už 79–349 €/mėn. Atskirą ROPA įrankį rinktis retai apsimoka – efektyviau naudoti platformą, apimančią ir duomenų subjektų prašymus bei DPA valdymą. Legiscope kainuoja 99–299 €/mėn. su įskaičiuotu ROPA generavimu.

Ar mano įmonei privalomas ROPA?

Faktiškai taip. Nors 30 straipsnio 5 dalis numato išimtį įmonėms iki 250 darbuotojų, ji netaikoma, jei įmonė tvarko darbuotojų duomenis ar reguliariai tvarko klientų duomenis – o tai apima beveik visas veikiančias įmones. Todėl ROPA privalomas praktiškai visoms Lietuvos įmonėms.

Ar galima ROPA vesti skaičiuoklėje?

Techniškai taip, bet praktiškai tai rizikinga: skaičiuoklė pasensta, trūksta struktūros ir audito sekos, todėl ji dažnai neatlaiko VDAI patikrinimo. Programinė įranga automatiškai palaiko registrą aktualų ir suteikia audito seką, kurios tikisi priežiūros institucija.

Ar ROPA reikia pateikti VDAI?

ROPA nereikia pateikti VDAI nuolat ar iš anksto – jis laikomas įmonėje. Tačiau VDAI turi teisę jį pareikalauti bet kuriuo metu, ir per patikrinimą tai paprastai yra pirmas prašomas dokumentas. Todėl svarbu, kad registras būtų aktualus ir paruoštas pateikti nedelsiant; programinė įranga leidžia jį eksportuoti tinkamu formatu per kelias sekundes.

Kiek laiko užtrunka sudaryti ROPA?

Rankiniu būdu išsamus ROPA gali užtrukti savaites, ypač įmonei su daug tvarkymo operacijų. Su DI pagrįsta platforma pirminis registras sugeneruojamas per kelias minutes atsakius į klausimyną, o toliau jis palaikomas automatiškai. Tai vienas didžiausią laiko sutaupymą duodančių atitikties automatizavimo atvejų.

Ar ROPA susijęs su duomenų subjektų prašymais?

Taip, tiesiogiai. Kai gaunamas duomenų subjekto prašymas, ROPA parodo, kuriose sistemose ir kokiais tikslais tvarkomi to asmens duomenys, todėl leidžia greitai surasti visus duomenis. Be aktualaus ROPA prašymo įvykdymas per vieno mėnesio terminą tampa daug sunkesnis.

Ar mažai įmonei tikrai reikia atskiro ROPA įrankio?

Atskiro, vien ROPA skirto įrankio dažniausiai nereikia – efektyviau naudoti platformą, kurioje ROPA yra dalis platesnės atitikties eigos kartu su duomenų subjektų prašymais ir tvarkytojų valdymu. Tačiau pats ROPA yra būtinas praktiškai visoms įmonėms, o jo vedimas struktūrizuotoje platformoje, o ne skaičiuoklėje, sumažina baudų riziką ir sutaupo laiko.

Kas turi vesti ROPA – DAP ar valdytojas?

Teisinė pareiga vesti ROPA tenka valdytojui (arba tvarkytojui savo registro atžvilgiu), o ne duomenų apsaugos pareigūnui. DAP, kai jis paskirtas, dažnai padeda palaikyti registrą ir patikrina jo išsamumą, tačiau atsakomybė lieka valdytojui. Įmonėms be DAP tai reiškia, kad ROPA turi kažkas vesti – dažniausiai vadovas ar paskirtas darbuotojas – ir būtent čia programinė įranga labiausiai palengvina darbą, teikdama struktūrą ir automatinį atnaujinimą.

Išvada

ROPA yra pirmas dokumentas, kurio VDAI prašo per patikrinimą, ir vienas dažniausių trūkumų šaltinių, kai jis vedamas skaičiuoklėse. ROPA programinė įranga automatizuoja jo generavimą ir atnaujinimą, suteikia audito seką ir eksportą priežiūros institucijai. Lietuvos įmonei tai viena didžiausią grąžą duodančių atitikties investicijų.

Sugeneruokite ROPA per kelias minutes – užsisakykite Legiscope demonstraciją

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →