Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  Mokymai
MOKYMAI 2026 m. birželio 9 d. 8 min skaitymo

Darbuotojų BDAR mokymai: ką privalu žinoti kiekvienam

Geriausia duomenų apsaugos politika nevertinga, jei darbuotojas perskaito klientų sąrašą balsu telefonu arba ištrina duomenis gavęs įtartiną prašymą. BDAR atitiktis lūžta arba laikosi ties žmogumi. Šis vadovas paaiškina, kodėl mokymai privalomi pagal BDAR 39 str., ką turi žinoti kiekvienas darbuotojas, ir kaip surengti mokymus, kurie atlaiko VDAI patikrinimą.

M
Marina
BDAR ir duomenų apsaugos ekspertė
Darbuotojų BDAR mokymai — ką privalo žinoti kiekvienas darbuotojas apie asmens duomenų apsaugą: 6 BDAR principai, duomenų subjektų teisės, pažeidimo atpažinimas, slaptumo pareiga, atskaitomybės reikalavimas pagal BDAR 39 straipsnį
Darbuotojų BDAR mokymai — privalomas atitikties pamatas pagal BDAR 39 str.

Darbuotojų BDAR mokymai — organizacinė asmens duomenų apsaugos priemonė, kuria darbuotojai supažindinami su BDAR reikalavimais, savo pareigomis ir rizikų atpažinimu. Mokymai grindžiami BDAR 39 str. 1 d. (b) punktu (DPO pareiga mokyti darbuotojus) ir atskaitomybės principu (5 str. 2 d.), pagal kurį valdytojas privalo gebėti įrodyti, kad darbuotojai apmokyti. Nedokumentuoti mokymai praktikoje laikomi atitikties spraga.

Šiame straipsnyje
  1. Kodėl BDAR mokymai privalomi, o ne pasirenkami
  2. Ką kiekvienas darbuotojas privalo žinoti
  3. 6 BDAR principai paprastai
  4. Duomenų subjektų teisės — kaip atpažinti užklausą
  5. Mokymai pagal rolę — kodėl vienodi neveikia
  6. Kaip surengti mokymus, kurie atlaiko patikrinimą
  7. Dokumentavimas — be jo mokymų tarsi nebuvo
  8. Ką daryti toliau

Įsivaizduokite: klientų aptarnavimo darbuotojas gauna laišką „prašau ištrinti visus mano duomenis iš jūsų sistemos". Ką jis daro? Ignoruoja, nes „čia ne mano reikalas"? Pats ištrina viską iš CRM? Ar atpažįsta, kad tai BDAR 17 straipsnio teisės būti pamirštam užklausa, ir nukreipia ją atsakingam asmeniui per nustatytą terminą? Skirtumas tarp šių trijų reakcijų yra mokymas — ir tas skirtumas gali kainuoti įmonei baudą arba reputaciją.

BDAR mokymai dažnai suvokiami kaip nuobodus formalumas — kartą per metus pravesta prezentacija, kurią visi pamiršta išėję iš salės. Toks požiūris klaidingas dviem aspektais. Pirma, mokymai yra teisinis reikalavimas, kurio nebuvimas pats savaime yra atitikties pažeidimas. Antra, būtent darbuotojas — ne sistema, ne politika — kasdien priima sprendimus, kurie lemia, ar duomenys saugomi tinkamai.

Kodėl BDAR mokymai privalomi, o ne pasirenkami

BDAR tiesiogiai nesako „rengkite mokymus kas X mėnesių". Vietoj to ši pareiga išplaukia iš kelių straipsnių, kurie kartu nepalieka pasirinkimo laisvės.

BDAR 39 straipsnis — DPO pareiga mokyti

BDAR 39 str. 1 d. (b) punktas tarp duomenų apsaugos pareigūno užduočių aiškiai nurodo darbuotojų, dalyvaujančių duomenų tvarkyme, sąmoningumo didinimą ir mokymą. Jei įmonėje DPO privalomas (pavyzdžiui, dėl didelės apimties stebėjimo ar ypatingų kategorijų duomenų tvarkymo), ši pareiga įrašyta tiesiai į jo funkcijas. Plačiau apie tai, kada DPO būtinas — vadove apie duomenų apsaugos pareigūną.

BDAR 32 straipsnis — mokymai kaip organizacinė priemonė

32 straipsnis reikalauja techninių ir organizacinių priemonių, atitinkančių riziką. Šifravimas ir prieigos kontrolė yra techninės priemonės. Mokymai, instruktažai, vidaus tvarkos — organizacinės. Geriausios techninės sistemos neapsaugo, jei darbuotojas pats atsiunčia duomenis sukčiui, todėl mokymas yra tiesioginė saugumo priemonė, ne papildoma gerovė.

BDAR 5 straipsnis — atskaitomybės principas

Štai kur slypi dažniausia klaida. Atskaitomybės principas (5 str. 2 d.) reikalauja ne tik laikytis taisyklių, bet ir gebėti tai įrodyti. Praktikoje tai reiškia: net jei mokymai įvyko, bet niekur neužfiksuoti, BDAR požiūriu jų tarsi nebuvo. Inspektorius nepriima „mes tikrai pasakojome darbuotojams" — jis prašo dalyvių sąrašo, datos, turinio.

Esmė

VDAI patikrinimuose mokymų stoka retai būna vienintelis pažeidimas — bet ji beveik visada figūruoja kaip atskaitomybės trūkumo įrodymas. Tai sunkinanti aplinkybė: rodo, kad įmonė į duomenų apsaugą žiūri formaliai. Dokumentuoti mokymai, priešingai, demonstruoja sistemingą požiūrį.

Ką kiekvienas darbuotojas privalo žinoti

Darbuotojui nereikia tapti duomenų apsaugos teisininku. Jam reikia atpažinti rizikingas situacijas ir žinoti, ką daryti — dažniausiai tai reiškia „nukreipti tinkamam asmeniui, o ne spręsti pačiam". Bazinis minimumas, kurį turi apimti kiekvieno darbuotojo mokymas, yra septyni dalykai.

  • Kas yra asmens duomenys. Ne tik vardas ir pavardė — bet ir el. paštas, telefono numeris, IP adresas, nuotrauka, vietos duomenys. Daugelis nesuvokia, kiek plačiai BDAR 4 str. apibrėžia šią sąvoką.
  • Tvarkymo teisėtumas. Bazinis supratimas, kad duomenis galima tvarkyti tik turint pagrindą (sutikimas, sutartis, teisinė pareiga, teisėtas interesas) — ir kad „mums būtų patogu" pagrindu nelaikoma.
  • Duomenų subjektų teisės. Kaip atpažinti, kad gauta užklausa yra teisės įgyvendinimo prašymas, ir kam ją perduoti.
  • Pažeidimo atpažinimas. Ką laikyti incidentu (laiškas ne tam adresatui, pamestas įrenginys, įtartinas prisijungimas) ir kaip greitai apie tai pranešti viduje.
  • Slaptumo pareiga. Kad prieiga prie duomenų nereiškia teisės jais dalintis — net su kolegomis, kuriems jų nereikia darbui.
  • Švaraus stalo principas. Nepalikti dokumentų su asmens duomenimis matomoje vietoje, užrakinti ekraną, neperskaityti duomenų balsu atviroje erdvėje.
  • Saugus duomenų naikinimas. Popieriaus smulkinimas, ne išmetimas; failų saugus trynimas; nereikalingų duomenų neperlaikymas.

Šis sąrašas atrodo paprastas, bet būtent paprastumas yra tikslas. Mokymas, kuris bombarduoja darbuotoją straipsnių numeriais ir teisine terminologija, neveikia — žmogus nieko neprisimena ir grįžta prie senų įpročių. Veikia konkretūs scenarijai iš jo kasdienio darbo.

6 BDAR principai paprastai

BDAR 5 str. 1 d. įtvirtina šešis principus, kuriais grindžiamas visas duomenų tvarkymas. Darbuotojui jų nereikia mokėti atmintinai, bet bazinis supratimas padeda suvokti, kodėl egzistuoja įmonės taisyklės.

  1. Teisėtumas, sąžiningumas, skaidrumas. Duomenis tvarkome turėdami pagrindą ir aiškiai informuojame žmones, kaip juos naudojame.
  2. Tikslo apribojimas. Surinkti vienam tikslui duomenys nenaudojami kitam. Klientų el. paštai pirkimui — ne automatiškai naujienlaiškiui.
  3. Duomenų kiekio mažinimas. Renkame tik tiek, kiek būtina. Jei užtenka el. pašto, neprašome asmens kodo.
  4. Tikslumas. Duomenys turi būti teisingi ir atnaujinami; netikslūs — ištaisomi ar ištrinami.
  5. Saugojimo trukmės apribojimas. Nesaugome ilgiau, nei reikia tikslui ar teisės aktams. „Visam laikui, gal prireiks" — principo pažeidimas.
  6. Vientisumas ir konfidencialumas. Duomenys apsaugomi nuo neteisėtos prieigos, praradimo ar sugadinimo.

Daugiau apie teisėto tvarkymo pagrindus — straipsnyje apie BDAR 6 straipsnį, kuris detaliai paaiškina, kada apskritai galima tvarkyti asmens duomenis.

Duomenų subjektų teisės — kaip atpažinti užklausą

Praktiškai dažniausiai darbuotojas su BDAR susiduria tada, kai klientas ar darbuotojas pareiškia savo teisę. Šios užklausos retai būna suformuluotos teisine kalba — žmogus tiesiog parašo „noriu žinoti, ką apie mane turite" arba „ištrinkite mane". Užduotis — atpažinti, kad tai teisės įgyvendinimas, nes nuo gavimo momento pradeda skaičiuotis vieno mėnesio atsakymo terminas.

  • Teisė susipažinti (15 str.). „Kokius mano duomenis turite?" — asmuo turi teisę gauti kopiją.
  • Teisė ištaisyti (16 str.). „Mano adresas pasikeitė / duomenys neteisingi."
  • Teisė ištrinti — būti pamirštam (17 str.). „Ištrinkite visus mano duomenis." Turi išimčių — netrinti savavališkai.
  • Teisė apriboti tvarkymą (18 str.). „Kol išsiaiškinsim, nenaudokite mano duomenų."
  • Teisė į perkeliamumą (20 str.). „Atiduokite mano duomenis man arba kitam paslaugų teikėjui."
  • Teisė nesutikti (21 str.). „Nenoriu gauti jūsų rinkodaros."
Pavyzdys iš praktikos

HR darbuotojas gauna buvusio kolegos laišką: „Reikalauju ištrinti visus mano duomenis." Neapmokytas darbuotojas arba ignoruoja, arba puola trinti. Apmokytas žino: tai 17 str. užklausa, bet darbo santykių duomenys saugomi pagal teisės aktų terminus (mokesčių, socialinio draudimo), todėl ne viskas trinama — užklausa perduodama DPO įvertinti. Skirtumas tarp šių reakcijų ir yra mokymo vertė.

Reikia darbuotojų BDAR mokymų su realiais pavyzdžiais?

Veriva veda BDAR mokymus, pritaikytus jūsų įmonės procesams — su scenarijais iš jūsų kasdienio darbo, ne abstrakčia teorija. Dokumentavimas, žinių testai, dalyvavimo įrodymai VDAI patikrinimui. Teisė + IT vienoje komandoje.

Užsakyti mokymus komandai

Mokymai pagal rolę — kodėl vienodi neveikia

Vienas universalus mokymas visiems darbuotojams yra geriau nei nieko, bet toli gražu ne optimalu. Skirtingos pareigos susiduria su skirtinga rizika ir skirtingais duomenimis, todėl efektyvi sistema derina bazinį modulį visiems su specializuotais pagal funkciją.

1 mėn.
Terminas atsakyti į duomenų subjekto užklausą
Skaičiuojamas nuo užklausos gavimo (BDAR 12 str.). Darbuotojas, neatpažinęs užklausos, gali nepastebimai praleisti šį terminą.
  • HR ir personalas. Tvarko jautriausius darbuotojų duomenis — sveikatos pažymas, atlyginimus, vertinimus. Reikia gilesnio supratimo apie saugojimo terminus ir ypatingų kategorijų duomenis.
  • Buhalterija. Asmens duomenys mokesčių ir socialinio draudimo kontekste, saugojimo terminai, sąsajos su finansiniu reguliavimu.
  • IT. Techninės priemonės, prieigos valdymas, incidentų atpažinimas, atsarginių kopijų ir naikinimo praktika.
  • Marketingas. Sutikimų valdymas, naujienlaiškių teisėtumas, slapukai, tiesioginės rinkodaros taisyklės.
  • Klientų aptarnavimas. Subjektų teisių užklausų atpažinimas, tapatybės patikra prieš atskleidžiant duomenis, telefoninio bendravimo rizikos.

Kaip surengti mokymus, kurie atlaiko patikrinimą

Veikianti BDAR mokymų sistema nėra vienkartinis renginys — tai ciklas. Žemiau pateikti šeši žingsniai, kurie kartu sudaro atitiktį 39 ir 32 straipsniams bei atskaitomybės principui.

  1. Įvertinkite rizikas ir roles. Nustatykite, kas kokius duomenis tvarko ir kokia rizika tai kelia. Tai lemia turinį kiekvienai grupei.
  2. Paruoškite bazinį turinį visiems. Bendras sąmoningumo modulis — septyni dalykai iš ankstesnio skyriaus. Privalomas kiekvienam.
  3. Pridėkite role-based modulius. Specializuotas turinys HR, buhalterijai, IT, marketingui, klientų aptarnavimui.
  4. Įtraukite mokymą į onboarding. Naujas darbuotojas apmokomas per pirmąsias darbo dienas, prieš pradedant tvarkyti duomenis, kartu su slaptumo įsipareigojimo pasirašymu.
  5. Patikrinkite žinias ir dokumentuokite. Trumpas testas po mokymo, dalyvių fiksavimas, turinio ir datos įrašymas.
  6. Kartokite reguliariai. Metinis atnaujinimas plius mikromokymai pagal aktualijas — po incidento, pasikeitus procesams ar atsiradus naujoms grėsmėms.

Vienas dažnas klausimas — ar mokymai gali būti nuotoliniai. Taip; formatas BDAR nereglamentuotas. Svarbu turinys ir dokumentavimas, ne vieta. El. moduliai gerai tinka reguliariam atnaujinimui, gyvi mokymai — sudėtingesnėms temoms ir diskusijai. Geriausia praktika dažnai mišri.

Dokumentavimas — be jo mokymų tarsi nebuvo

Grįžtame prie atskaitomybės, nes tai dažniausiai praleidžiama dalis. Mokymas, kurio negalima įrodyti, BDAR požiūriu neegzistuoja. Minimalus dokumentavimo rinkinys, kurį verta kaupti nuo pat pradžios:

  • Dalyvių sąrašai su parašais arba elektroniniu dalyvavimo patvirtinimu.
  • Mokymo data ir trukmė — kad matytųsi reguliarumas laike.
  • Turinio programa — kokios temos buvo aptartos.
  • Žinių patikrinimo rezultatai — testas ar kita įrodymo forma.
  • Onboarding įrašai — kad kiekvienas naujas darbuotojas buvo apmokytas prieš pradėdamas darbą.
Iki Veriva mokymų darbuotojai BDAR suvokė kaip popierizmą. Marina pravedė mokymus su realiais mūsų įmonės pavyzdžiais — kaip elgtis gavus duomenų užklausą, ką daryti pamačius įtartiną laišką. Per VDAI patikrinimą turėjome visus dalyvavimo dokumentus, ir tai buvo vienas iš dalykų, kuriuos inspektorius įvertino teigiamai.
Personalo vadovė, gamybos įmonė · 2026 m. gegužė
Dokumentuota · patikrinimas išlaikytas

Ką daryti toliau

Jei jūsų įmonėje BDAR mokymai vyko „kažkada" arba apsiriboja vienu el. dokumentu, kurį darbuotojai turėjo perskaityti, verta peržiūrėti tris dalykus jau šią savaitę:

  1. Patikrinkite, ar turite dokumentaciją. Jei VDAI rytoj paprašytų įrodyti, kad darbuotojai apmokyti — ar turėtumėte ką parodyti? Jei ne, tai pirmoji spraga.
  2. Įvertinkite onboarding. Ar nauji darbuotojai apmokomi prieš pradėdami tvarkyti duomenis, ar tiesiog pradeda dirbti?
  3. Nustatykite reguliarumo ciklą. Metinis atnaujinimas — minimumas. Be jo žinios išblunka, o atitiktis tampa formali.

BDAR mokymai geriausiai veikia, kai juos veda žmonės, kurie supranta ir teisę, ir praktinę įmonės veiklą — ne abstrakti teorija iš vadovėlio, o konkretūs scenarijai iš jūsų darbo. Veriva veda darbuotojų BDAR mokymus, pritaikytus pagal įmonės veiklą ir roles, su pilnu dokumentavimu atskaitomybės principui. Kadangi mūsų komandoje dirba ir teisininkai, ir IT specialistai, mokymai apima ir teisinę pusę (principai, teisės, pareigos), ir technines grėsmes — pavyzdžiui, kaip darbuotojui atpažinti phishing ataką, kuri dažnai virsta duomenų pažeidimu. Pirmoji konsultacija dažniausiai būna nemokama.

Šaltiniai: Valstybinė duomenų apsaugos inspekcija (VDAI) · BDAR (Reglamentas 2016/679) 5, 32, 39 straipsniai · Europos duomenų apsaugos valdyba (EDPB)

Dažniausi klausimai apie darbuotojų BDAR mokymus

Taip, netiesiogiai, bet privalomai. BDAR 39 str. 1 d. (b) nustato DPO pareigą didinti darbuotojų sąmoningumą ir juos mokyti. 32 str. reikalauja organizacinių priemonių — mokymai yra tokia priemonė. O 5 str. 2 d. atskaitomybės principas reikalauja gebėti įrodyti atitiktį. Nedokumentuoti mokymai praktikoje laikomi atskaitomybės spraga.
Visi darbuotojai, kurie tvarko asmens duomenis arba turi prie jų prieigą — praktiškai beveik visi. Bazinis sąmoningumo mokymas privalomas kiekvienam. Papildomai rekomenduojami specializuoti mokymai pagal rolę: HR ir buhalterija tvarko jautriausius duomenis, IT valdo saugumą, marketingas dirba su sutikimais, klientų aptarnavimas gauna subjektų užklausas.
Bazinis minimumas: kas yra asmens duomenys (4 str.), 6 tvarkymo principai (5 str.), subjektų teisės (15–22 str.) ir kaip atpažinti užklausą, kaip atpažinti ir pranešti pažeidimą, slaptumo pareiga, švaraus stalo ir saugaus naikinimo praktika. Darbuotojui nereikia būti teisininku — reikia atpažinti rizikingas situacijas ir žinoti, kam pranešti.
Rekomenduojama trijų lygių sistema: onboarding naujiems darbuotojams per pirmąsias dienas, metinis atnaujinimas visiems, ir mikromokymai pagal aktualijas. Vienkartinis mokymas „kažkada prieš metus" atskaitomybės principo netenkina — VDAI patikrinimo metu reikalaujama reguliarumo įrodymų.
Atskaitomybės principas (5 str. 2 d.) reiškia, kad valdytojas privalo ne tik laikytis BDAR, bet ir gebėti tai įrodyti. Mokymų atžvilgiu tai reiškia dokumentavimą: dalyvių sąrašai, data, trukmė, turinio programa, žinių patikrinimo rezultatai. Be šių įrodymų net įvykę mokymai BDAR požiūriu tarsi neegzistuoja.
Pirma — atpažinti, kad tai subjekto teisės užklausa (17 str.), net jei suformuluota laisva forma. Antra — nedelsiant perduoti atsakingam asmeniui ar DPO, nes nuo gavimo skaičiuojamas 1 mėnesio atsakymo terminas. Trečia — netrinti savavališkai: teisė būti pamirštam turi išimčių (teisinės pareigos, pretenzijų gynimas). Būtent šio scenarijaus atpažinimo ir moko BDAR mokymai.
BDAR 15–22 str.: teisė susipažinti (15), ištaisyti (16), ištrinti — būti pamirštam (17), apriboti tvarkymą (18), perkelti duomenis (20), nesutikti (21). Į daugumą užklausų atsakoma per vieną mėnesį nuo gavimo. Darbuotojui svarbiausia — atpažinti, kad gauta užklausa yra teisės įgyvendinimo prašymas, ir nukreipti ją tinkamam asmeniui.
BDAR 5 str. 1 d.: teisėtumas, sąžiningumas ir skaidrumas; tikslo apribojimas; duomenų kiekio mažinimas; tikslumas; saugojimo trukmės apribojimas; vientisumas ir konfidencialumas. Septintasis, persmelkiantis visus — atskaitomybė (5 str. 2 d.), reikalaujanti gebėti įrodyti atitiktį.
Taip. Formatas BDAR nereglamentuotas — svarbu turinys ir dokumentavimas, ne vieta. Veikia ir gyvi mokymai, ir el. moduliai, ir mišrus formatas. Esminis reikalavimas — kad mokymas būtų pritaikytas darbuotojų realioms užduotims ir kad dalyvavimas bei žinių patikrinimas būtų dokumentuoti. Mikromokymai el. formatu gerai tinka reguliariam atnaujinimui.
BDAR mokymai apima teisinę asmens duomenų apsaugos pusę — principus, subjektų teises, tvarkymo teisėtumą, pažeidimų atpažinimą. Kibernetinio saugumo mokymai (pvz., phishing) apima technines grėsmes ir gynybą. Jie persidengia — phishing ataka dažnai virsta duomenų pažeidimu — todėl geriausia praktika abu derinti.
Ne. Vienkartinis mokymas neatitinka nei atskaitomybės principo, nei realios rizikos. Darbuotojai keičiasi, procesai keičiasi, atsiranda naujų grėsmių, o žinios be pakartojimo išblunka per kelis mėnesius. Veikianti sistema reikalauja reguliarumo: onboarding, metinis atnaujinimas, mikromokymai pagal aktualijas.
VDAI baudas skiria duomenų valdytojui — įmonei, ne konkrečiam darbuotojui. Įmonė atsako už tai, kad darbuotojai būtų tinkamai apmokyti ir instruktuoti (29 str. — tvarkytojo darbuotojai tvarko tik pagal nurodymus). Todėl mokymai yra ir teisinės gynybos elementas: jei darbuotojas suklydo nepaisant dokumentuotų mokymų, įmonės pozicija stipresnė nei jei mokymų apskritai nebuvo.

BDAR mokymai, kurie atlaiko patikrinimą

Veriva veda darbuotojų BDAR mokymus su realiais jūsų įmonės scenarijais, role-based moduliais ir pilnu dokumentavimu VDAI patikrinimui. 120+ klientų, €0 baudų nuo 2017 m., atsakymas per 24 val.

Aptarti mokymų programą