VDAI baudos Lietuvoje istoriškai kuklesnės nei kai kuriose didelėse ES valstybėse, tačiau pastarieji metai rodo aiškų griežtėjimą. Didžiausia iki šiol skirta bauda – 2 385 276 eurų bendrovei „Vinted" UAB (2024 m.) už netinkamą ištrynimo prašymų tvarkymą ir naudotojų paskyrų „šešėlinį" ribojimą. Antra pagal dydį – 450 000 eurų UAB „InMedica" (2026 m.) už saugumo ir pranešimo apie pažeidimą trūkumus. Kitos reikšmingos baudos: CityBee (Prime Leasing) – 110 000 €, „MisterTango" – 61 500 € ir Vilniaus savivaldybė – 15 000 €. 2024 m. VDAI gavo 1 408 skundus – beveik 15 % daugiau nei 2023 m. Šioje apžvalgoje pateikiamas verifikuotų baudų sąrašas, jų analizė ir praktinės pamokos.
Verifikuotų VDAI baudų sąrašas
| Subjektas | Bauda | Metai | Pažeisti straipsniai | Esmė |
|---|---|---|---|---|
| „Vinted" UAB | 2 385 276 € | 2024 | 5, 12, 17 | Netinkamas ištrynimo prašymų tvarkymas, „šešėlinis" blokavimas |
| UAB „InMedica" | 450 000 € | 2026 | 5(1)(f), 24, 32 | Du duomenų saugumo pažeidimai, nėra MFA, silpna prieigos kontrolė |
| UAB „Prime Leasing" (CityBee) | 110 000 € | 2021 | 32 | Nutekinti 110 302 naudotojų duomenys, įskaitant asmens kodus |
| „MisterTango" UAB | 61 500 € | 2019 | 5, 32, 33 | Perteklinis tvarkymas, 9 000 ekrano nuotraukų, nepraneštas pažeidimas |
| Vilniaus m. savivaldybės administracija | 15 000 € | 2020 | – | Netinkamas įvaikinto vaiko tėvų duomenų tvarkymas |
„Vinted" – didžiausia Lietuvos bauda (2 385 276 €)
2024 m. liepos 2 d. VDAI skyrė 2 385 276 eurų baudą e. prekybos platformai „Vinted" UAB po duomenų subjektų skundų. Institucija nustatė, kad bendrovė netinkamai tvarkė naudotojų ištrynimo prašymus, teikė neaiškius atsakymus, pažeisdama skaidrumo ir sąžiningumo principus (5 str.), ir slapta ribojo naudotojų paskyras taikydama „šešėlinio blokavimo" (angl. shadow banning) praktiką be teisinio pagrindo. Sprendimą 2025 m. gegužę patvirtino Regionų administracinis teismas.
Pamoka: didžiausia šalies bauda skirta ne už duomenų saugumo pažeidimą, o už sisteminį duomenų subjektų teisių tvarkymo trūkumą. Tai patvirtina, kad procedūrinės pareigos – ne vien saugumas – užtraukia didžiausias sankcijas.
„InMedica" – 450 000 € už saugumo spragas (2026 m.)
2026 m. liepos 2 d. VDAI skyrė 450 000 eurų baudą vienam didžiausių privačių medicinos klinikų tinklų UAB „InMedica" po dviejų duomenų saugumo pažeidimų: neteisėtos prieigos prie pacientų valdymo sistemos „Foxus" (2024 m.) ir ransomware atakos per neaktyvią administratoriaus paskyrą (2025 m.). Abu incidentus lydėjo daugiafaktorės autentifikacijos (MFA), IP filtravimo ir tinkamo paskyrų valdymo nebuvimas – tai laikyta BDAR 5(1)(f), 24 ir 32 straipsnių pažeidimu. VDAI atmetė argumentą, esą MFA tuo metu nebuvo įprasta sektoriaus praktika.
Pamoka: sveikatos sektoriaus subjektai tvarko specialių kategorijų duomenis, todėl saugumo priemonių bazinis lygis (MFA, prieigos kontrolė) yra būtinas minimumas, o ne pasirinkimas. Dokumentuotas pranešimo apie pažeidimą procesas vertinamas kartu su pačiomis priemonėmis.
CityBee ir MisterTango – ankstyvieji orientyrai
CityBee (UAB „Prime Leasing"), 110 000 € (2021 m.) – bauda už saugumo pažeidimą (32 str.), kai buvo nutekinti 110 302 naudotojų duomenys, įskaitant asmens kodus. Incidentas parodė, kad prieigos kontrolė ir slaptažodžių saugojimas yra tikrinami itin griežtai.
„MisterTango" UAB, 61 500 € (2019 m.) – pirmoji reikšminga Lietuvos bauda mokėjimų bendrovei už perteklinį tvarkymą ir nepraneštą pažeidimą (5, 32, 33 str.). 9 000 ekrano nuotraukų su 12 skirtingų šalių bankų klientų duomenimis buvo prieinamos internete. Tai nustatė toną fintech sektoriaus priežiūrai.
Kokios tendencijos matomos?
Iš verifikuotų duomenų matyti keli dėsningumai:
- Augantis aktyvumas – 2024 m. VDAI gavo 1 408 skundus (2023 m. – 1 230), t. y. beveik 15 % daugiau.
- Didėjantys dydžiai – nuo dešimčių tūkstančių eurų (2019–2021 m.) iki milijoninių sumų (2024 m.).
- Rizikingiausi sektoriai – e. prekyba / platformos, fintech ir sveikatos priežiūra.
- Dažniausi pagrindai – duomenų subjektų teisių tvarkymo trūkumai ir saugumo spragos.
Platesnį europinį kontekstą rasite GDPR baudų apžvalgoje, o VDAI vaidmens aprašymą – VDAI vadove.
Kaip Lietuvos baudos atrodo europiniame kontekste?
Sąžiningas vertinimas reikalauja perspektyvos. Palyginti su Airija, kurios institucija skyrė daugiamilijardines baudas technologijų milžinams, ar Prancūzija ir Liuksemburgu, Lietuvos baudos yra kuklios. Didžiausia Lietuvos bauda (2,38 mln. €) yra mažesnė nei daugelis pavienių baudų didesnėse jurisdikcijose. Tai atspindi ir mažesnę rinką, ir istoriškai santūresnį VDAI požiūrį.
Vis dėlto kryptis aiški: baudų dydžiai auga, o skundų daugėja. Įmonei tai reiškia, kad remtis „Lietuvoje baudos mažos" kaip rizikos valdymo strategija būtų klaidinga – ypač e. prekybos, fintech ir sveikatos sektoriuose, kur jau matomi milijoninių ir šimtatūkstantinių baudų atvejai. Bendrą europinį baudų vaizdą apibendrina GDPR baudų apžvalga.
Ką rodo teismų praktika?
Reikšmingas aspektas – VDAI sprendimų apskundimas administraciniams teismams. „Vinted" atveju bendrovė sprendimą apskundė, tačiau Regionų administracinis teismas 2025 m. baudą patvirtino. Tai svarbus signalas: didžiausios baudos ne tik skiriamos, bet ir išlaiko teisminę patikrą. Įmonėms tai reiškia, kad tikėtis baudos panaikinimo teisme nėra patikima strategija – geriau investuoti į atitiktį iš anksto.
Teismų praktika taip pat patikslina, kaip vertinamos konkrečios pareigos. „InMedica" byloje VDAI atmetė argumentą, esą daugiafaktorė autentifikacija tuo metu nebuvo įprasta sektoriaus praktika – tai rodo, kad saugumo priemonių lygis vertinamas pagal objektyvų, o ne minimalų sektoriaus standartą.
Kaip sumažinti baudų riziką?
Verifikuotos baudos rodo, kad rizika koncentruojasi dviejose srityse: duomenų subjektų prašymų tvarkyme ir saugume. Praktinės priemonės:
- Įdiekite veikiantį duomenų subjektų prašymų procesą su vieno mėnesio termino stebėsena.
- Užtikrinkite bazines saugumo priemones – MFA, prieigos kontrolę, šifravimą (32 str.).
- Turėkite dokumentuotą pranešimo apie pažeidimą procedūrą.
- Veskite aktualų ROPA.
Legiscope automatizuoja būtent šias sritis – ROPA, prašymų darbo eigą ir priemonių dokumentaciją – todėl padeda uždaryti dažniausius baudų šaltinius.
Ką šie atvejai reiškia praktikoje
Iš verifikuotų bylų galima išskirti kelias konkrečias, perkeliamas pamokas. Pirma, didžiausią baudą užtraukė ne saugumo incidentas, o sisteminis subjektų teisių tvarkymo trūkumas – tai reiškia, kad prašymų procesą reikia vertinti kaip pirmaeilę, o ne antraeilę riziką. Antra, „InMedica" atveju VDAI aiškiai pasakė, kad daugiafaktorė autentifikacija ir prieigos kontrolė yra būtinas minimumas, o ne pasirinkimas – argumentas „to nedarė ir kiti" nebuvo priimtas.
Trečia, „MisterTango" ir CityBee bylos rodo, kad perteklinis duomenų rinkimas ir silpna prieigos kontrolė buvo tikrinami dar ankstyvuoju laikotarpiu – šios pareigos nėra naujos. Ketvirta, teismai VDAI sprendimus patvirtina, todėl apskundimas nėra patikima rizikos valdymo strategija. Bendra kryptis: investicija į duomenų subjektų procesą ir bazinį saugumą kainuoja daug mažiau nei bet kuri iš šių baudų.
Dažnai užduodami klausimai (FAQ)
Kokia didžiausia VDAI skirta bauda?
Didžiausia iki šiol skirta bauda – 2 385 276 eurų bendrovei „Vinted" UAB 2024 m. už netinkamą ištrynimo prašymų tvarkymą ir naudotojų paskyrų „šešėlinį" ribojimą be teisinio pagrindo. Sprendimą 2025 m. patvirtino Regionų administracinis teismas.
Ar Lietuvos BDAR baudos didelės?
Palyginti su Airija, Prancūzija ar Liuksemburgu, Lietuvos baudos istoriškai kuklios – dauguma ankstyvųjų neviršijo 100 000 eurų. Tačiau „Vinted" (2,38 mln. €) ir „InMedica" (450 000 €) atvejai rodo aiškų griežtėjimą, ypač e. prekybos, fintech ir sveikatos sektoriuose.
Už ką VDAI dažniausiai skiria baudas?
Dažniausi pagrindai yra duomenų subjektų teisių tvarkymo trūkumai (netinkamas ištrynimo ar susipažinimo prašymų valdymas) ir duomenų saugumo spragos (silpna prieigos kontrolė, nepranešti pažeidimai). Būtent šios dvi sritys sudaro didžiausią baudų riziką Lietuvos įmonei.
Ar viešojo sektoriaus institucijoms taip pat skiriamos baudos?
Taip, bet paprastai kuklesnės. Lietuvos teisė numato mažesnes maksimalias baudas viešojo sektoriaus subjektams, todėl valstybės ir savivaldybių institucijoms skiriamos sumos yra nedidelės – pavyzdžiui, Vilniaus miesto savivaldybei skirta 15 000 eurų bauda už netinkamą įvaikinto vaiko tėvų duomenų tvarkymą. Privačioms bendrovėms taikomos pilnos BDAR 83 straipsnio ribos.
Ar bauda yra vienintelė VDAI priemonė?
Ne. VDAI turi platų korekcinių įgaliojimų rinkinį pagal BDAR 58 straipsnį: įspėjimus, papeikimus, nurodymus ištaisyti tvarkymą, laikinus ar galutinius tvarkymo apribojimus. Bauda dažnai derinama su nurodymu pašalinti pažeidimą, todėl finansinė sankcija nėra vienintelė pasekmė – reputacinė ir veiklos rizika taip pat reikšminga.
Išvada
VDAI baudos Lietuvoje kuklesnės nei kai kuriose didelėse valstybėse, bet kryptis aiški – skundų daugėja, o baudos didėja. Verifikuoti atvejai rodo, kad rizika koncentruojasi duomenų subjektų teisių tvarkyme ir saugume. Sisteminis šių sričių valdymas, o ne skubotas taisymas prieš patikrinimą, yra geriausia apsauga.
Šaltiniai: EDPB naujienos apie „Vinted" baudą, VDAI oficiali svetainė, BDAR 83 str. (EUR-Lex).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial