Duomenų apsauga

VDAI 2026: vaidmuo, įgaliojimai ir kaip veikia inspekcija

VDAI 2026: Valstybinės duomenų apsaugos inspekcijos vaidmuo, įgaliojimai ir skundų nagrinėjimas. Kaip Lietuvos priežiūros institucija skiria BDAR baudas.

Also available in:English·Polski

Valstybinė duomenų apsaugos inspekcija (VDAI) yra Lietuvos nepriklausoma priežiūros institucija, atsakinga už BDAR ir Asmens duomenų teisinės apsaugos įstatymo (ADTAĮ) laikymosi priežiūrą. Įsteigta pagal BDAR 51 straipsnį ir veikianti Vilniuje, VDAI nagrinėja duomenų subjektų skundus, atlieka patikrinimus, konsultuoja, registruoja duomenų apsaugos pareigūnus ir taiko korekcinius įgaliojimus – nuo įspėjimų iki administracinių baudų iki 20 mln. eurų arba 4 % pasaulinės apyvartos pagal BDAR 83 straipsnį. Šis vadovas paaiškina VDAI vaidmenį, įgaliojimus, kaip vyksta tyrimas ir ką organizacijai reiškia patekti į jos akiratį.

Kas yra VDAI ir koks jos statusas?

VDAI yra viena iš dviejų Lietuvos priežiūros institucijų duomenų apsaugos srityje. VDAI prižiūri privačiojo sektoriaus ir daugumos viešojo sektoriaus subjektų vykdomą asmens duomenų tvarkymą, o Žurnalistų etikos inspektoriaus tarnyba prižiūri tvarkymą žurnalistiniais tikslais. VDAI yra nepriklausoma – ji nepriima nurodymų iš kitų valstybės institucijų vykdydama savo funkcijas, kaip reikalauja BDAR 52 straipsnis.

Institucijai vadovauja direktorius. VDAI veikla finansuojama iš valstybės biudžeto, o jos sprendimus galima skųsti administraciniams teismams – tuo pasinaudojo, pavyzdžiui, „Vinted", kurios baudą 2025 m. patvirtino Regionų administracinis teismas.

Kokios yra VDAI funkcijos ir įgaliojimai?

BDAR 57 ir 58 straipsniai apibrėžia priežiūros institucijos užduotis ir įgaliojimus. VDAI atveju tai apima:

  • Skundų nagrinėjimą – bet kuris asmuo gali pateikti skundą dėl savo teisių pažeidimo.
  • Tyrimus ir patikrinimus – tiek planinius, tiek pagal skundus ar pranešimus apie pažeidimus.
  • Konsultacijas – gaires ir nuomones valdytojams bei tvarkytojams.
  • Duomenų apsaugos pareigūnų registravimą – valdytojai privalo pranešti VDAI apie paskirtą DAP.
  • Korekcinius įgaliojimus – įspėjimus, papeikimus, nurodymus, laikinus ar galutinius tvarkymo apribojimus ir administracines baudas.

Platesnį BDAR sistemos kontekstą Lietuvoje rasite duomenų apsaugos Lietuvoje vadove.

Kaip susisiekti su VDAI?

VDAI yra prieinama tiek duomenų subjektams, tiek valdytojams. Institucija priima skundus ir paklausimus raštu, elektroniniu paštu bei per elektroninius kanalus, o aktuali kontaktinė informacija ir formos skelbiamos jos oficialioje svetainėje. Valdytojams svarbu žinoti, kad į VDAI galima kreiptis ne tik reaguojant į problemą, bet ir prevenciškai – konsultacijos ar išankstinės konsultacijos pagal 36 straipsnį tikslais.

Duomenų subjektui kreipimasis į VDAI paprastai yra antras žingsnis: pirmiausia rekomenduojama kreiptis tiesiogiai į valdytoją ar jo duomenų apsaugos pareigūną, o jei atsakymas netenkina – teikti skundą inspekcijai. Toks nuoseklumas dažnai leidžia išspręsti klausimą greičiau nei formalus tyrimas.

Kaip vyksta VDAI tyrimas?

Tyrimas paprastai prasideda vienu iš trijų būdų: gavus duomenų subjekto skundą, gavus pranešimą apie duomenų saugumo pažeidimą arba VDAI iniciatyva (planinis patikrinimas). Tipinė eiga:

  1. Inicijavimas – VDAI gauna skundą ar pranešimą arba nusprendžia atlikti patikrinimą.
  2. Informacijos rinkimas – institucija prašo valdytojo pateikti dokumentus; pirmiausia paprastai reikalaujama duomenų tvarkymo veiklos įrašų (ROPA).
  3. Vertinimas – analizuojama, ar tvarkymas atitinka BDAR ir ADTAĮ.
  4. Sprendimas – priimamas sprendimas su korekcinėmis priemonėmis ar bauda.
  5. Apskundimas – sprendimą galima skųsti administraciniam teismui.

Praktinė pamoka: kadangi ROPA yra pirmas prašomas dokumentas, jo aktualumas ir išsamumas dažnai nulemia bendrą patikrinimo eigą.

Kokie VDAI įgaliojimai skirti baudas?

VDAI gali skirti administracines baudas pagal BDAR 83 straipsnį. Teorinės ribos yra iki 20 mln. eurų arba 4 % pasaulinės metinės apyvartos (kas didesnė) sunkiausiems pažeidimams, ir iki 10 mln. eurų arba 2 % lengvesniems. Tačiau Lietuvos praktikoje baudos istoriškai kuklesnės nei kai kuriose didelėse valstybėse narėse.

Svarbi nacionalinė ypatybė: Lietuvos teisė numato mažesnes maksimalias baudas viešojo sektoriaus subjektams, todėl valstybės ir savivaldybių institucijoms skiriamos baudos paprastai nedidelės (pvz., Vilniaus miesto savivaldybei – 15 000 eurų). Didžiausios baudos teko privačioms bendrovėms: „Vinted" (2 385 276 €) ir „InMedica" (450 000 €). Išsamų sąrašą ir analizę rasite VDAI baudų 2025–2026 apžvalgoje.

Kaip VDAI bendradarbiauja su kitomis institucijomis?

VDAI veikia ne izoliuotai, o kaip Europos duomenų apsaugos institucijų tinklo dalis. Tarpvalstybinio tvarkymo atvejais taikomas BDAR vieno langelio (angl. one-stop-shop) mechanizmas: pagrindinė priežiūros institucija nustatoma pagal pagrindinės buveinės vietą, o kitos suinteresuotos institucijos dalyvauja kaip susijusios. Kadangi daug Lietuvos fintech ir technologijų bendrovių veikia visoje ES, VDAI dažnai tampa pagrindine institucija tokiais atvejais.

VDAI taip pat dalyvauja Europos duomenų apsaugos valdyboje (EDAV), kuri užtikrina nuoseklų BDAR taikymą visose valstybėse narėse ir priima gaires bei nuoseklumo sprendimus. EDAV veiklą galima sekti jos oficialioje svetainėje. Praktinė reikšmė įmonei: VDAI sprendimai remiasi ne tik nacionaline, bet ir europine praktika, todėl atitiktis turi būti kuriama pagal EDAV lygio gaires, o ne vien vietinį kontekstą.

Kokias gaires ir konsultacijas teikia VDAI?

VDAI atlieka ne tik priežiūros, bet ir prevencinį vaidmenį – rengia gaires, rekomendacijas ir konsultuoja valdytojus bei tvarkytojus. Institucija skelbia metodinę medžiagą dažniausiais klausimais: sutikimo, saugumo priemonių, duomenų subjektų teisių įgyvendinimo, pranešimo apie pažeidimus. Tam tikrais atvejais, kai tvarkymas kelia didelę riziką ir jos negalima sumažinti, valdytojas privalo iš anksto konsultuotis su VDAI pagal BDAR 36 straipsnį – dar prieš pradedant tvarkymą.

Įmonei praktiška naudotis šiomis gairėmis, nes jos atspindi VDAI lūkesčius, pagal kuriuos vėliau vertinama atitiktis. Aktualiausią metodinę medžiagą VDAI skelbia savo svetainėje. Bendrą pareigų sistemą apibendrina mūsų duomenų apsaugos Lietuvoje vadovas.

Kaip pasiruošti VDAI patikrinimui?

Geriausias pasiruošimas yra nuolatinis, o ne skubotas prieš patikrinimą. Praktiniai žingsniai:

  • Turėkite aktualų ROPA, paruoštą pateikti nedelsiant.
  • Užtikrinkite veikiantį duomenų subjektų prašymų procesą su termino stebėsena.
  • Dokumentuokite technines ir organizacines saugumo priemones (32 str.).
  • Turėkite pranešimo apie pažeidimą procedūrą (33–34 str.).

Rankinis šių dokumentų palaikymas greitai pasensta. Legiscope automatizuoja ROPA, prašymų ir priemonių dokumentaciją, todėl organizacija bet kada gali pateikti aktualius įrodymus VDAI.

Ką reiškia patekti į VDAI akiratį

Organizacijai patekti į VDAI akiratį galima trimis būdais, ir kiekvienas reikalauja skirtingo pasirengimo. Dažniausias – duomenų subjekto skundas: nepatenkintas naudotojas, kandidatas ar buvęs klientas kreipiasi į inspekciją dėl netinkamai įvykdyto prašymo ar neaiškaus informavimo. Antras – privalomas pranešimas apie duomenų saugumo pažeidimą, kuris pats savaime gali inicijuoti tyrimą dėl saugumo priemonių. Trečias – planinis ar teminis patikrinimas VDAI iniciatyva konkrečiame sektoriuje.

Visais atvejais pirmas praktinis žingsnis yra tas pats: VDAI paprašo pateikti dokumentus, ir pirmasis iš jų dažniausiai yra tvarkymo veiklos įrašas. Todėl geriausia pasirengimo strategija nėra reaguoti į konkretų raštą, o nuolat turėti aktualią dokumentaciją – įrašą, prašymų žurnalą ir saugumo priemonių aprašą – paruoštą pateikti per kelias dienas. Skubotas dokumentų kūrimas jau prasidėjus tyrimui paprastai matomas iš karto.

Dažnai užduodami klausimai (FAQ)

Kaip pateikti skundą VDAI?

Skundą gali pateikti bet kuris asmuo, manantis, kad jo asmens duomenys tvarkomi pažeidžiant BDAR. Skundas teikiamas VDAI raštu, nurodant, koks valdytojas ir kokiu būdu, jūsų manymu, pažeidė teises. VDAI privalo išnagrinėti skundą ir informuoti apie eigą. Aktualias formas ir kontaktus institucija skelbia savo svetainėje.

Ar VDAI konsultuoja įmones prieš pradedant tvarkymą?

Taip. VDAI atlieka ne tik priežiūros, bet ir prevencinį vaidmenį – teikia gaires ir konsultacijas. Kai tvarkymas kelia didelę riziką, kurios negalima sumažinti, valdytojas privalo iš anksto konsultuotis su VDAI pagal BDAR 36 straipsnį dar prieš pradedant tvarkymą. Toks išankstinis kreipimasis padeda išvengti vėlesnių pažeidimų ir baudų.

Kokias baudas gali skirti VDAI?

VDAI gali skirti administracines baudas iki 20 mln. eurų arba 4 % pasaulinės apyvartos sunkiausiems pažeidimams. Praktikoje Lietuvos baudos kuklesnės; didžiausia iki šiol – 2 385 276 eurų „Vinted". Viešojo sektoriaus subjektams taikomos mažesnės maksimalios ribos pagal nacionalinę teisę.

Ar reikia pranešti VDAI apie duomenų apsaugos pareigūną?

Taip. Paskyrus DAP, valdytojas ar tvarkytojas privalo pranešti VDAI jo kontaktinius duomenis ir juos paskelbti. Tai leidžia institucijai ir duomenų subjektams tiesiogiai kreiptis į DAP.

Kiek laiko VDAI nagrinėja skundą?

Konkretus terminas priklauso nuo bylos sudėtingumo, tačiau VDAI privalo informuoti pareiškėją apie skundo nagrinėjimo eigą, o paprastai – ir apie rezultatą per pagrįstą laiką. Sudėtingi tarpvalstybiniai atvejai, kuriuose taikomas vieno langelio mechanizmas, gali užtrukti ilgiau dėl institucijų bendradarbiavimo. Svarbu, kad pareiškėjas turi teisę gauti informaciją apie eigą.

Ar VDAI sprendimą galima apskųsti?

Taip. VDAI sprendimus galima skųsti administraciniams teismams. Praktinis pavyzdys – „Vinted" byla, kurioje bendrovei skirtą 2,38 mln. eurų baudą 2025 m. patvirtino Regionų administracinis teismas. Apskundimo galimybė yra svarbi procesinė garantija tiek valdytojams, tiek duomenų subjektams.

Išvada

VDAI yra Lietuvos duomenų apsaugos priežiūros institucija su plačiais tyrimo ir korekciniais įgaliojimais. Nors baudos istoriškai kuklios, augantis skundų skaičius ir tokie atvejai kaip „Vinted" bei „InMedica" rodo griežtėjimą. Geriausia apsauga – nuolat aktuali dokumentacija, ypač ROPA ir duomenų subjektų prašymų procesas, kuriuos VDAI tikrina pirmiausia.

Šaltiniai: VDAI oficiali svetainė, BDAR 51–59 str. (EUR-Lex), ADTAĮ (Teisės aktų registras).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →