Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR 2026 m. gegužės 9 d. 14 min skaitymo

BDAR baudos Lietuvoje 2026: dydžiai, pavyzdžiai ir kaip jų išvengti

Vinted gavo 2,38 mln. EUR baudą. ES 2025 m. baudos siekė 1,15 mlrd. EUR. Faktinė VDAI praktika, BDAR baudų dydžiai ir 5 žingsnių planas, kaip apsaugoti įmonę.

M
Marina
Teisės ekspertė, BDAR
BDAR baudos Lietuvoje 2026 m. — pakopų schema (10 mln. EUR / 2% apyvartos pirmoji pakopa, 20 mln. EUR / 4% apyvartos antroji pakopa) su Vinted UAB 2,38 mln. EUR bauda kaip didžiausiu LT precedentu
BDAR 83 straipsnio baudų pakopos ir didžiausia LT bauda iki 2026 m.

BDAR baudos Lietuvoje siekia iki 20 mln. EUR arba 4% metinės pasaulinės apyvartos — taikoma didesnė iš šių sumų. Lietuvoje didžiausia bauda — 2 385 276 EUR (Vinted, 2024 m.). VDAI 2025 m. skyrė 5 baudas (bendra suma 27 529 EUR), bet skundų skaičius išaugo 48%.

Šiame straipsnyje
  1. Kokios BDAR baudos numatytos 2026 metais?
  2. Kaip VDAI apskaičiuoja baudą — 5 žingsnių metodologija
  3. VDAI baudos ir sprendimai: Lietuva 2024–2025
  4. Didžiausios BDAR baudos ES — ko galima pasimokyti
  5. Dažniausios BDAR pažeidimų priežastys Lietuvoje
  6. NIS2 ir BDAR — dvi baudų sistemos, viena įmonė
  7. Kada privaloma skirti duomenų apsaugos pareigūną?
  8. Kaip išvengti BDAR baudos 2026 metais — praktinis planas
  9. BDAR rizikos vertinimas — ar mano įmonė pavojuje?
  10. Ką daryti toliau — konkretūs žingsniai šią savaitę

BDAR baudos Lietuvoje 2026 m. nėra teorinė rizika. Vinted bauda — 2 385 276 EUR — pakeitė rizikos vertinimo lygį visoms LT įmonėms, tvarkančioms didelius asmens duomenų kiekius. ES rinkoje per 2025 m. paskirta 1,15 mlrd. EUR baudų, kumuliatyvi suma viršijo 7 mlrd. EUR. VDAI 2025 m. paskelbė tik 5 baudas, bet skundų skaičius padidėjo 48% — tai aiškus signalas, kad sankcijų banga artėja.

Šis straipsnis paaiškina, kokie yra realūs BDAR baudos dydžiai 2026 m., kaip VDAI apskaičiuoja sankcijas, kokie pažeidimai dažniausiai nubaudžiami Lietuvoje ir konkretų 5 žingsnių planą, kaip jų išvengti. Visi pateikti skaičiai paremti VDAI 2025 m. veiklos ataskaita ir EDPB gairėmis.

Kokios BDAR baudos numatytos 2026 metais?

BDAR baudos Lietuvoje 2026 m. lieka tos pačios kaip ir įsigaliojus reglamentui — Bendrojo duomenų apsaugos reglamento 83 straipsnis numato dvi sankcijų pakopas. Skirtumas tarp pakopų — pažeidimo sunkumas ir paliestos asmens duomenų apsaugos teisės. Svarbu suprasti, kad baudos dydis yra orientuotas ne į nuostolio kompensavimą, o į sankcionavimą ir atgrasymą.

Pirmoji pakopa — iki 10 mln. EUR arba 2% apyvartos

BDAR 83 straipsnio 4 dalis numato pirmąją baudų pakopą už mažiau šiurkščius pažeidimus. Riba — iki 10 milijonų eurų arba iki 2% bendros pasaulinės metinės apyvartos. Taikoma didesnė iš šių sumų. Į šią pakopą patenka:

  • Atskaitomybės principo pažeidimas — neturima dokumentacijos apie duomenų tvarkymo veiklą
  • Duomenų apsaugos pareigūno funkcijos pažeidimai (paskyrimas, pranešimas VDAI)
  • Duomenų pažeidimo nepranešimas VDAI per 72 valandas
  • Pakankamų techninių ir organizacinių saugumo priemonių nebuvimas
  • Poveikio duomenų apsaugai vertinimo (DPIA) nesudarymas, kai jis privalomas

Antroji pakopa — iki 20 mln. EUR arba 4% apyvartos

BDAR 83 straipsnio 5 dalis numato griežtesnes sankcijas už šiurkštesnius pažeidimus. Riba — iki 20 milijonų eurų arba iki 4% bendros pasaulinės metinės apyvartos. Į šią pakopą patenka pažeidimai, susiję su pagrindinėmis duomenų subjektų teisėmis ir teisiniu duomenų tvarkymo pagrindu:

  • Duomenų tvarkymo principų pažeidimas (teisėtumas, sąžiningumas, skaidrumas)
  • Sutikimo gavimo sąlygų pažeidimas — neaiškus, neatskirtas, sunkiai atšaukiamas
  • Duomenų subjekto teisių neužtikrinimas (susipažinti, ištaisyti, ištrinti, perkelti)
  • Neteisėtas duomenų perdavimas už ES ribų
  • VDAI nurodymo nevykdymas arba bendradarbiavimo trūkumas
€20M
Maksimali BDAR bauda už šiurkščius pažeidimus
arba 4% pasaulinės apyvartos — taikoma didesnė suma. Šaltinis: BDAR 83(5) str.

Viešasis sektorius — atskira skalė Lietuvoje

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ) numato atskirą sankcijų skalę viešojo sektoriaus įstaigoms. Valstybės ir savivaldybių institucijoms maksimali bauda dažniausiai siekia iki 0,5–1% metinio biudžeto, bet ne daugiau 30 000–60 000 EUR. Praktikoje VDAI dažniau skiria įspėjimus ir privalomus nurodymus, bet 2024–2025 m. skiriama vis daugiau realių baudų.

Kaip VDAI apskaičiuoja baudą — 5 žingsnių metodologija

2025 m. galutinai patvirtintos Europos duomenų apsaugos valdybos (EDPB) baudų skaičiavimo gairės (GL 04/2022). VDAI taiko šią 5 žingsnių metodologiją kiekvienam pažeidimui. Tai reiškia — baudos dydis nėra atsitiktinis. Tai struktūruotas procesas su aiškiais kriterijais.

VDAI BDAR baudos apskaičiavimo schema — 5 žingsniai pagal EDPB gaires GL 04/2022: pažeidimo klasifikacija (BDAR 83(4) ar 83(5) str.), sunkumas (mastas, paveikti asmenys, žala), apyvartos koregavimas, sunkinančios ir lengvinančios aplinkybės pagal BDAR 83(2) str., galutinis atgrasomojo poveikio testas
EDPB 5 žingsnių metodologija — kaip VDAI Lietuvoje apskaičiuoja BDAR baudą

1 žingsnis — pažeidimo klasifikacija

VDAI nustato, ar pažeidimas patenka į 83(4) ar 83(5) BDAR straipsnio kategoriją. Tai nulemia maksimalią baudos ribą. Kelių pažeidimų atveju imama didžiausia.

2 žingsnis — pradinis taškas pagal sunkumą

Pažeidimo sunkumas nustatomas pagal: pobūdį, mastą, paveiktų asmenų skaičių, padarytą žalą, tyčinį ar neatsargų pobūdį. Pradinis baudos taškas — procentas nuo maksimalios ribos (paprastai 0,5–10% pradžioje).

3 žingsnis — apyvartos koregavimas

Suma koreguojama pagal įmonės dydį ir apyvartą. EDPB metodologija leidžia apskaičiuoti proporcingą baudą, kad ji būtų jaučiama ir milžiniškoms platformoms (kaip Meta), ir vidutinėms LT įmonėms.

4 žingsnis — sunkinančios ir lengvinančios aplinkybės

BDAR 83(2) straipsnis numato 11 kriterijų. Sunkinančios: pakartotinis pažeidimas, finansinė nauda, sąmoningas elgesys, ankstesni VDAI nurodymai. Lengvinančios: bendradarbiavimas su VDAI, savanoriškas pranešimas, sertifikavimas, audito turėjimas.

5 žingsnis — efektyvumo ir atgrasymo testas

Galutinė bauda turi būti efektyvi, proporcinga ir atgrasanti. Jei suma nepasiekia atgrasomojo poveikio (pvz., milijardinė įmonė gauna kelių tūkstančių baudą) — VDAI ją didina. Jei suma per didelė smulkiam verslui — gali sumažinti.

Praktiškai

Sertifikavimas, dokumentuotas BDAR auditas ir savanoriškas incidento pranešimas VDAI gali sumažinti baudą 30–60%. Tai patvirtinta EDPB praktikoje ir VDAI 2024–2025 m. sprendimuose.

VDAI baudos ir sprendimai: Lietuva 2024–2025

Lietuvos VDAI istoriškai skyrė santūrias baudas. Tai pasikeitė 2024 m., kai buvo paskirta milijoninė bauda Vinted UAB. Šis sprendimas — rimtas precedentas LT rinkoje.

Vinted — 2 385 276 EUR (2024 m. liepa)

2024 m. liepos 2 d. VDAI paskyrė didžiausią BDAR baudą Lietuvoje. Vinted UAB, valdanti naudotų drabužių prekybos platformą, gavo 2,38 mln. EUR sankciją. Pažeidimai apėmė kelis BDAR straipsnius:

  • BDAR 5(1)(a) str. — neteisėtas duomenų tvarkymas (shadow banning be pranešimo vartotojams)
  • BDAR 12(1) ir 12(4) str. — netinkamas teisės būti pamirštam įgyvendinimas (ištrynimo prašymai ignoruoti arba dalinai patenkinti)
  • BDAR 5(2) str. — atskaitomybės principo pažeidimas (Vinted negalėjo įrodyti, kad atitinka reikalavimus)

Vinted apskundė sprendimą Vilniaus apygardos administraciniam teismui. 2025 m. teismas skundą atmetė — bauda galioja. Tai pirmasis LT teismų precedentas, palaikantis VDAI milijoninę baudą.

„Vinted byla parodė, kad VDAI gali ir nori skirti realias, jaučiamas baudas didelėms platformoms. Tai keičia rizikos vertinimo lygį visoms LT įmonėms, tvarkančioms didelius duomenų kiekius."

MisterTango EPĮ — 61 500 EUR

Iki Vinted bylos didžiausia LT bauda buvo MisterTango elektroninių pinigų įstaigai — 61 500 EUR. Pažeidimai: per didelis duomenų kiekis (data minimization principo pažeidimas), saugumo incidentas su nutekėjimu ir nepranešimas VDAI per 72 valandas.

2025 m. statistika — 5 baudos, 27 529 EUR, +48% skundų

VDAI 2025 m. veiklos ataskaitos duomenys:

  • 5 baudos per metus, bendra suma — 27 529 EUR
  • 223 pranešimai apie asmens duomenų pažeidimus
  • 1 249 409 paveiktų asmenų per visus pranešimus
  • +48% skundų lyginant su 2024 m.

Skaičiai rodo paradoksą: baudų suma maža, bet skundų banga auga. Praktiškai tai reiškia, kad VDAI šiuo metu fokusuojasi į edukavimą ir nurodymus, bet skundų masto padidėjimas neišvengiamai veda prie didesnio sankcijų skaičiaus 2026–2027 m.

Kreipėmės į Veriva po VDAI gauto skundo dėl asmens duomenų tvarkymo. Per dvi savaites buvo atliktas pilnas BDAR auditas, atnaujinta privatumo politika, sutvarkytos DPA sutartys. VDAI tyrimas baigtas be sankcijų — tik su privalomais nurodymais, kuriuos jau buvome įvykdę.
Vadovas, IT paslaugų bendrovė · 2026 m. vasaris
VDAI tyrimas · €0 baudų

Ar jūsų įmonė pasiruošusi VDAI patikrinimui?

Veriva atlieka BDAR atitikties auditą per 5–7 darbo dienas. 120+ klientų, €0 VDAI baudų nuo 2017 m. Pirmoji konsultacija — nemokama.

Užsakyti BDAR auditą

Didžiausios BDAR baudos ES — ko galima pasimokyti

ES rinkoje BDAR baudos jau viršijo 7,1 milijardo eurų bendros sumos nuo reglamento įsigaliojimo. 2025 m. baudų suma siekė 1,15 mlrd. EUR — augimas tęsiasi. Žvilgsnis į didžiausias bylas atskleidžia tendencijas, kurios anksčiau ar vėliau pasieks Lietuvą.

TikTok — 530 mln. EUR (2025, Airija)

2025 m. Airijos duomenų apsaugos institucija (DPC) paskyrė didžiausią 2025 m. ES baudą. Pažeidimas — neteisėtas asmens duomenų perdavimas į Kiniją. ByteDance negalėjo įrodyti, kad ES vartotojų duomenys saugiai apsaugoti nuo Kinijos vyriausybės prieigos. Pamoka — duomenų perdavimas už ES ribų reikalauja teisinio pagrindo ir techninių apsaugos priemonių.

Meta — 1,2 mlrd. EUR (2023)

Iki šiol didžiausia BDAR bauda — Meta Platforms gavo 1,2 mlrd. EUR už duomenų perdavimą į JAV po Schrems II sprendimo. Byla iliustruoja, kad net teisinė bazė (Privacy Shield) gali pasikeisti, ir įmonės turi būti pasirengusios alternatyviems mechanizmams (SCC, BCR).

Bendros tendencijos 2025–2026

  • EDPB užregistravo 414 naujų tarpvalstybinių bylų 2025 m.
  • Bendra baudų suma per metus pirmą kartą peržengė 1 mlrd. EUR ribą
  • Pagrindinės temos: AI duomenų tvarkymas, dark patterns, slapukų sutikimo sistemos
  • Vidutinė bauda kasmet auga ~22% — atitinka EDPB griežtesnę poziciją

Dažniausios BDAR pažeidimų priežastys Lietuvoje

VDAI 2024–2025 m. sprendimų analizė atskleidžia pasikartojančius klaidų modelius. Daugumos baudų galima išvengti — jei žinote, kur paprastai užkliūnama.

Nepranešta apie pažeidimą per 72 valandas

BDAR 33 straipsnis reikalauja informuoti VDAI per 72 valandas nuo asmens duomenų saugumo pažeidimo aptikimo, jei kyla rizika fizinių asmenų teisėms. Praktikoje daug įmonių vėluoja arba apskritai nepraneša — tikėdamiesi, kad incidentas liks nepastebėtas. Tai didelė klaida. VDAI dažnai sužino iš trečiųjų šaltinių (žiniasklaidos, paveiktų asmenų skundų), o tada bauda taikoma ir už pažeidimą, ir už jo slėpimą.

Neteisėtas duomenų tvarkymas — per didelis kiekis

Data minimization principas reikalauja rinkti tik būtinus duomenis konkrečiam tikslui. MisterTango byla — klasikinis pavyzdys. Įmonės dažnai renka „dėl kiekvieno atvejo" laukus (gimimo data, gyvenamoji vieta, šeimos statusas), kurių iš tiesų nereikia. Tai pažeidimas net jei duomenys saugiai laikomi.

Duomenų subjektų teisių ignoravimas

Vinted byla rodo, kad teisės būti pamirštam įgyvendinimas — ne formalumas. Duomenų subjekto prašymą ištrinti duomenis privaloma įvykdyti per 30 dienų (su galimybe pratęsti). Dalinis ištrynimas (paliekant „backup" kopijas, audit log'us, shadow banning informaciją) skaitomas kaip pažeidimas.

Netinkama tiesioginė rinkodara

Sutikimas siųsti reklamines žinutes turi būti aktyvus, atskirai nuo paslaugos sąlygų, lengvai atšaukiamas. „Sutikimas pagal numatytąją parinktį" arba „sutikimas, kuris yra dalis sutarties priėmimo" — neteisėti. VDAI 2024–2025 m. praktika rodo, kad rinkodara — viena dažniausių skundų temų.

Slapukų banner'iai be tikro sutikimo

„Naudojame slapukus — gerai?" tipo banner'is be galimybės atsisakyti neatitinka BDAR ir e-Privatumo reikalavimų. Reikalinga tikra sutikimo valdymo platforma (CMP) su galimybe atsisakyti vienu paspaudimu. Veriva diegia CMP sprendimus kartu su BDAR auditu — susisiekite dėl konsultacijos.

NIS2 ir BDAR — dvi baudų sistemos, viena įmonė

Nuo 2025 m. spalio NIS2 direktyva įgyvendinta į Lietuvos teisę. Tai reiškia, kad tam tikros įmonės dabar yra dvigubo reguliavimo: BDAR (asmens duomenų apsauga) ir NIS2 (kibernetinis saugumas). Du atitikties režimai. Dvi baudų sistemos.

NIS2 baudos Lietuvoje — iki 10 mln. EUR

  • Esminiai subjektai — iki 10 mln. EUR arba 2% pasaulinės apyvartos
  • Svarbūs subjektai — iki 7 mln. EUR arba 1,4% apyvartos

Tas pats incidentas (pvz., ransomware ataka su asmens duomenų nutekėjimu) gali sukelti dvi baudas — BDAR už duomenų pažeidimą ir NIS2 už netinkamas saugumo priemones. Pagal alkas.lt duomenis, ~50% LT įmonių, patenkančių į NIS2 reguliavimo sritį, dar nėra pasiruošusios.

Kodėl BDAR + NIS2 atitiktis sprendžiama kartu

NIS2 reikalauja kibernetinio saugumo rizikos valdymo, incidentų reagavimo plano ir tiekimo grandinės saugumo. BDAR reikalauja techninių ir organizacinių priemonių asmens duomenims. Praktikoje 80% reikalavimų persidengia. Vienas integruotas BDAR ir NIS2 auditas efektyviau nei du atskiri.

Kada privaloma skirti duomenų apsaugos pareigūną?

Duomenų apsaugos pareigūno (DPO) klausimas — viena dažniausių VDAI tikrinimų temų. BDAR 37 straipsnis nustato tris privalomo DPO skyrimo atvejus.

Trys privalomo DPO skyrimo atvejai

  1. Viešojo sektoriaus įstaigos — visos valstybės ir savivaldybių institucijos privalo turėti DPO (išskyrus teismus, vykdančius teismines funkcijas).
  2. Sistemingas ir didelio masto stebėjimas — įmonės, kurių pagrindinė veikla yra reguliarus ir sistemingas asmenų stebėjimas dideliu mastu (vaizdo stebėjimas, profiliavimas, vartotojų sekimas).
  3. Specialių kategorijų duomenys dideliu mastu — įmonės, kurios pagrindinėje veikloje tvarko sveikatos, biometrijos, religinių įsitikinimų, etninės kilmės duomenis dideliu mastu (klinikos, laboratorijos, tam tikros HR platformos).

DPO outsourcing — kada apsimoka?

BDAR leidžia DPO funkciją vykdyti tiek vidiniam darbuotojui, tiek išorės paslaugų teikėjui. DPO outsourcing Lietuvoje ypač aktualus mažoms ir vidutinėms įmonėms, kurioms etatinis pareigūnas — per brangu. Pranašumai:

  • Mėnesinis mokestis dažniausiai 5–10 kartų mažesnis nei etatinio pareigūno
  • Nepriklausomumas — išorinis DPO neturi vidinio interesų konflikto
  • Specializacija — DPO firmoje paprastai yra teisės ir IT saugumo komanda
  • Atsakomybė — paslaugų sutartyje fiksuojami konkretūs deliverable'ai

Net jei DPO formaliai nėra privalomas, daugelis įmonių jį skiria savanoriškai — kaip rizikos valdymo priemonę. DPO outsourcing iš Veriva komandos apima visas BDAR 39 straipsnio pareigūno funkcijas — teisės ir IT sritys vienoje paslaugoje.

Kaip išvengti BDAR baudos 2026 metais — praktinis planas

BDAR baudų išvengimas nėra magija. Tai struktūruotas darbas, kurį galima padalinti į penkis konkrečius žingsnius. Šis planas paremtas 120+ Veriva atliktų BDAR auditų patirtimi ir 2017 m. iki 2026 m. — €0 VDAI baudų klientams.

Veriva 5 žingsnių BDAR atitikties planas Lietuvos įmonėms: atitikties auditas, dokumentacija ir politikos, darbuotojų mokymai kartą per metus, incidentų valdymo procedūra su VDAI pranešimu per 72 val., DPO outsourcing arba išorinis konsultantas tęstinei priežiūrai
Veriva 5 žingsnių BDAR atitikties planas — auditas, dokumentacija, mokymai, incidentų valdymas, DPO

1 žingsnis — BDAR atitikties auditas

Audito metu nustatoma esama atitiktis ir konkrečios spragos. Vidutinis LT smulkaus verslo BDAR auditas trunka 5–7 darbo dienas. Audito rezultatas — dokumentas su prioritetuotu veiksmų sąrašu (P0/P1/P2). Užsakyti pirminį vertinimą — pirmas konkretus žingsnis link atitikties.

2 žingsnis — dokumentacija ir politikos

Pagrindiniai dokumentai, kuriuos privalo turėti kiekviena įmonė:

  • Privatumo politika — vieša, suprantama, su konkrečia informacija
  • Slapukų politika — atskira nuo privatumo politikos, su tikru CMP
  • Veiklos įrašų registras — BDAR 30 straipsnio reikalavimas (ne smulkiausioms įmonėms)
  • Duomenų tvarkytojo sutartys (DPA) — su visais paslaugų teikėjais (CRM, hosting, email)
  • Vidaus tvarka — duomenų saugumas, prieigos valdymas, incidentų valdymas

3 žingsnis — darbuotojų mokymai

72% duomenų pažeidimų prasideda nuo žmogaus klaidos: phishing, neatsargus duomenų siuntimas, prarastas neapsaugotas nešiojamasis kompiuteris. Privalomi mokymai bent kartą per metus. Naudinga simuliacija — phishing simuliuotas patikrinimas, kuris parodo realias spragas.

4 žingsnis — incidentų valdymo procedūra

Privaloma turėti dokumentuotą procedūrą, kas vyksta įvykus duomenų pažeidimui: kas pirmas reaguoja, kaip vertinama rizika, kas pasirašo VDAI pranešimą per 72 valandas, kaip informuojami paveikti subjektai. Procedūra turi būti repetuota — ne tik popieriuje.

5 žingsnis — DPO arba išorinis konsultantas

Paskutinis žingsnis — užtikrinti tęstinę priežiūrą. Net jei DPO nėra privalomas, reikalingas reguliarus atitikties peržiūrėjimas (bent 1 kartą per metus). Tai galima atlikti vidiniam darbuotojui, DPO outsourcing paslauga arba metiniam BDAR konsultantui.

Svarbu

Audito turėjimas, dokumentuoti procesai ir savanoriškas pranešimas apie pažeidimą gali sumažinti potencialią VDAI baudą 30–60%. Tai oficialiai pripažinta lengvinanti aplinkybė pagal BDAR 83(2) straipsnį.

BDAR rizikos vertinimas — ar mano įmonė pavojuje?

Ne kiekviena LT įmonė susiduria su tokia pat BDAR pažeidimo rizika. VDAI 2024–2025 m. praktika rodo aiškius rizikos veiksnius, kurie didina patikrinimo ir baudos tikimybę. Įvertinkite savo įmonę pagal šiuos kriterijus:

Aukšta rizika — VDAI patikrinimas tikėtinas per 12 mėn.

  • Tvarkote duomenis dideliu mastu (per 10 000 vartotojų ar klientų)
  • Tvarkote specialių kategorijų duomenis (sveikatos, finansinius, biometrinius)
  • Vykdote tiesioginę rinkodarą be aiškiai dokumentuoto sutikimo mechanizmo
  • Per pastaruosius 12 mėn. įvyko duomenų saugumo incidentas
  • Gavote skundą iš duomenų subjekto arba VDAI nurodymą
  • Vykdote tarpvalstybinį duomenų perdavimą (ypač už ES ribų)

Vidutinė rizika — patikrinimas galimas per 2–3 metus

  • 10–500 darbuotojų, paslaugų sektorius
  • Renkate kontaktinius duomenis per svetainę (formos, naujienlaiškiai)
  • Naudojate išorinius paslaugų teikėjus (CRM, hosting, email)
  • Neturite patvirtintos privatumo politikos arba ji pasenusi
  • Slapukų banner'is be tikro sutikimo valdymo (CMP)

Žema rizika — bet atitiktis vis tiek privaloma

Net mikro įmonės (1–9 darbuotojai) privalo laikytis BDAR. Žema rizika nereiškia jokios rizikos. Praktiškai tai reiškia, kad VDAI tikrinimas mažai tikėtinas, bet skundas iš nepatenkinto kliento ar darbuotojo gali sukelti pažeidimą. Bauda smulkiai įmonei dažniausiai neviršija kelių tūkstančių eurų — bet ir tai jaučiama.

Ką daryti toliau — konkretūs žingsniai šią savaitę

Skaitymas — pirmas žingsnis. Bet BDAR atitiktis nepasiekiama vien skaitymu. Štai konkretūs veiksmai, kurių galite imtis šią savaitę, kad pradėtumėte mažinti BDAR baudos riziką:

  1. Surašykite, kokius asmens duomenis tvarkote. Klientų, darbuotojų, prenumeratorių, partnerių. Net rūsčiame Excel'yje — tai jau veiklos įrašų registro pradžia.
  2. Patikrinkite, kada paskutinį kartą atnaujinta privatumo politika. Jei senesnė nei 12 mėn. arba neapima naujų paslaugų — privaloma atnaujinti.
  3. Patikrinkite slapukų banner'į. Jei jis tik informuoja apie slapukų naudojimą be galimybės atsisakyti — tai BDAR pažeidimas.
  4. Patikrinkite duomenų tvarkytojų sutartis. Su kiekvienu paslaugų teikėju (Google Workspace, hosting, CRM) turi būti pasirašyta DPA sutartis.
  5. Užsakykite nepriklausomą BDAR auditą. Vidinis vertinimas — naudingas pradžiai, bet tik išorinis ekspertas pamatys spragas, kurių jūs nepastebėjote.

Profesionalus BDAR auditas apima dokumentacijos peržiūrą, procesų vertinimą, IT saugumo kontrolių patikrinimą ir prioritetuotą veiksmų sąrašą su konkrečiais terminais. Tai investicija į rizikos sumažinimą — ne išlaida. Pirmoji konsultacija dažniausiai būna nemokama, kad galėtumėte įvertinti apimtį prieš sprendimą.

Šaltiniai: VDAI sprendimai · BDAR EUR-Lex · EDPB gairės GL 04/2022 · VDAI — baudos ir sankcijos

Dažniausi klausimai apie BDAR baudas

Didžiausia BDAR bauda Lietuvoje — 2 385 276 eurai, skirta Vinted UAB 2024 m. liepos 2 d. Pažeidimai: netinkamas duomenų ištrynimo teisės įgyvendinimas, shadow banning be teisinio pagrindo, atskaitomybės principo pažeidimas. Vilniaus apygardos administracinis teismas 2025 m. atmetė Vinted skundą — bauda galioja.
Taip. VDAI tikrina ir mažas įmones — tiek pagal metinį patikrinimų planą, tiek pagal gautus skundus. 2025 metais skundų skaičius padidėjo 48%. Nors didžiosios baudos skiriamos didelėms platformoms, smulkios įmonės gaudavo įspėjimus, nurodymus ir baudas iki 30 000 EUR. Dydis nėra apsauga nuo patikrinimo.
Tipinis VDAI tyrimas trunka nuo 3 iki 12 mėnesių. Paprastesni atvejai (skundo patikrinimas, dokumentacijos auditas) baigiami per 2–4 mėnesius. Sudėtingi tarpvalstybiniai atvejai (kaip Vinted byla) gali tęstis 1–2 metus. Tyrimo metu įmonė privalo bendradarbiauti ir pateikti VDAI prašomą informaciją.
Taip. VDAI sprendimą galima apskųsti Vilniaus apygardos administraciniam teismui per vieną mėnesį nuo sprendimo gavimo. Skundas neatleidžia nuo baudos sumokėjimo, bet galima prašyti laikinų apsaugos priemonių. Vinted skundas dėl 2,38 mln. EUR baudos buvo atmestas — teismų praktika kol kas palanki VDAI.
BDAR auditas smulkiai įmonei (iki 50 darbuotojų, vienas-du duomenų srautai) prasideda nuo kelių šimtų eurų. Standartinis paketas apima dokumentacijos peržiūrą, procesų aprašą ir darbuotojų instrukciją. Vidutinei įmonei kaina svyruoja 2 000–8 000 EUR. DPO outsourcing mėnesinis mokestis ženkliai mažesnis nei etatinio pareigūno išlaikymas.
BDAR 33 straipsnis reikalauja apie asmens duomenų saugumo pažeidimą pranešti VDAI per 72 valandas nuo aptikimo, jei kyla rizika fizinių asmenų teisėms. Jei rizika didelė — papildomai informuoti paveiktus duomenų subjektus. Vėluojant pranešti, baudos grėsmė ženkliai išauga. Veriva padeda parengti pranešimą per 24 val.
Taip. BDAR Lietuvoje taikoma kiekvienam ūkio subjektui, tvarkančiam ES gyventojų asmens duomenis — net ir individuali veikla bei mikro įmonės. Mažesnės administracinės pareigos (pvz., gali nereikėti formalaus veiklos įrašų registro), bet pagrindinės prievolės — privatumo politika, sutikimo gavimas, duomenų subjektų teisių užtikrinimas — galioja vienodai.
DPO outsourcing Lietuvoje — duomenų apsaugos pareigūno funkcija perkama kaip paslauga iš išorės įmonės. Pranašumai: 5–10 kartų mažesnė kaina nei etatinis pareigūnas, nepriklausomumas (be vidinio interesų konflikto), specializuotų teisės + IT komandų prieiga. BDAR 37 straipsnis aiškiai leidžia abu modelius — funkcija ta pati.
Taip. Pagal ES Teisingumo Teismo praktiką (Breyer byla, C-582/14), dinaminis IP adresas yra asmens duomenys, jei jį galima susieti su konkrečiu asmeniu. Tai reiškia, kad serverio log'ai, analitika ir prieigos audito įrašai privalo būti tvarkomi pagal BDAR — su teisiniu pagrindu, saugojimo terminu ir saugumo priemonėmis.
Slapukų politika BDAR ir e-Privatumo direktyvos kontekste — pirmosios pakopos baudos iki 10 mln. EUR arba 2% apyvartos. ES rinkoje 2024–2025 m. baudos už dark patterns slapukuose siekė 100 000–390 000 EUR (Prancūzijos CNIL, Italijos Garante praktika). LT VDAI iki šiol skyrė įspėjimus, bet 2026 m. tikėtinos pirmosios baudos.
NIS2 atitiktis Lietuvoje privaloma vidutinėms ir didelėms įmonėms (50+ darbuotojų arba 10 mln. EUR+ apyvarta) 18 sektoriuose: energetika, transportas, bankininkystė, sveikatos apsauga, skaitmeninė infrastruktūra, gamyba, atliekos, viešasis administravimas ir kt. Tikslus sąrašas — NKSC reglamente. Baudos siekia 10 mln. EUR arba 2% apyvartos.
VDAI patikrinimo pasiruošimas per 30 dienų: (1) atlikti vidinį BDAR atitikties auditą, (2) atnaujinti privatumo politiką ir slapukų banner'į, (3) parengti veiklos įrašų registrą (BDAR 30 str.), (4) pasirašyti DPA sutartis su visais paslaugų teikėjais, (5) suorganizuoti darbuotojų mokymus. Su patyrusio konsultanto pagalba šis etapas dažniausiai užbaigiamas per dvi savaites.

Užsakykite BDAR atitikties auditą ir miegokite ramiai

120+ klientų, €0 VDAI baudų nuo 2017 m. Teisė + IT vienoje komandoje. Pirmoji konsultacija — nemokama, atsakymas per 24 val. darbo dienomis.

Susisiekti su ekspertu