Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  DPO
DPO 2026 m. gegužės 12 d. 12 min skaitymo

Duomenų apsaugos pareigūnas (DPO): kada jo reikia ir kaip pasirinkti

DPO privalomas pagal BDAR 37 str. trijuose atvejuose. Vidinis kainuoja 35–60k €/m, outsourcing — 6–18k €/m. Praktinis vadovas LT įmonėms: reikalavimai, atsakomybė, dažniausios klaidos.

M
Marina
Teisės ekspertė, BDAR
Duomenų apsaugos pareigūnas (DPO) Lietuvoje 2026 — kada privalomas pagal BDAR 37 str. ir kaip pasirinkti tarp vidinio etato ir outsourcing modelio
BDAR 37 straipsnis — DPO privalomi atvejai ir pasirinkimo kriterijai

Duomenų apsaugos pareigūnas (DPO) yra nepriklausomas BDAR atitikties prižiūrėtojas, paskirtas pagal Bendrąjį duomenų apsaugos reglamentą (37 straipsnis). DPO privalomas viešojo sektoriaus įstaigoms, įmonėms sistemingai stebinčioms asmenis ir tvarkančioms specialiųjų kategorijų duomenis dideliu mastu. Pareiga įsigaliojo 2018 m. gegužės 25 d.

Atlikite BDAR rizikos testą per 60 sek. — sužinosite, ar jūsų įmonei reikalingas DPO.

Šiame straipsnyje
  1. Kas yra duomenų apsaugos pareigūnas (DPO) ir kada jis reikalingas
  2. Trys atvejai kada DPO privalomas pagal BDAR 37 str.
  3. DPO užduotys ir atsakomybė (BDAR 39 str.)
  4. DPO kvalifikaciniai reikalavimai (BDAR 37 str. 5 d.)
  5. DPO vidinis vs outsourcing — kuo skiriasi
  6. Kaip pasirinkti DPO — 5 žingsnių vadovas
  7. Dažniausios klaidos renkantis DPO
  8. Baudų rizika ir DPO atsakomybė

Duomenų apsaugos pareigūnas (DPO) nėra naujovė — pareiga įsigaliojo kartu su BDAR 2018 m. gegužės 25 d. Tačiau 2026 m. VDAI vis dažniau tikrina, ar įmonės teisingai įvertino DPO privalomumą ir ar paskirtas asmuo atitinka BDAR reikalavimus. DPO neskyrimas — pirmosios pakopos pažeidimas su sankcija iki 10 mln. EUR arba 2% pasaulinės apyvartos pagal BDAR 83 straipsnio 4 dalį.

Šis vadovas paaiškina, kokiems atvejams DPO privalomas Lietuvoje, kokia jo atsakomybė pagal BDAR 39 straipsnį, kuo skiriasi vidinis DPO nuo outsourcing modelio ir kaip pasirinkti tinkamą asmenį per 5 žingsnius. Visos sumos ir nuorodos paremtos BDAR tekstu, EDPB gairėmis ir 120+ Veriva atliktų BDAR auditų patirtimi.

Kas yra duomenų apsaugos pareigūnas (DPO) ir kada jis reikalingas

Duomenų apsaugos pareigūnas yra asmuo (vidinis darbuotojas arba išorinis paslaugų teikėjas), paskirtas duomenų valdytojo ar duomenų tvarkytojo prižiūrėti BDAR atitiktį. DPO veikia nepriklausomai, atskaitomas tiesiogiai aukščiausiam valdymo organui ir negali būti baudžiamas už savo užduočių vykdymą (BDAR 38 str. 3 d.).

Svarbu skirti DPO nuo kitų vaidmenų. BDAR konsultantas teikia projektines paslaugas — auditą, dokumentacijos parengimą, mokymus. IT saugumo specialistas atsako už technines kibernetinio saugumo priemones. DPO funkcija — tęstinė, nepriklausoma ir privaloma pagal įstatymą tam tikrais atvejais.

DPO Lietuvoje pareiga taikoma visoms organizacijoms, kurios atitinka BDAR 37 straipsnio 1 dalies kriterijus — nepriklausomai nuo dydžio ar darbuotojų skaičiaus. Praktikoje tai apima viešojo sektoriaus įstaigas, sveikatos įstaigas, draudimo bendroves, biometrijos sprendimų valdytojus ir didelio masto reklamos platformas. Asmens duomenys tvarkomi pagal duomenų valdytojo nustatytas sąlygas — DPO yra šių sąlygų teisėtumo garantas.

Trys atvejai kada DPO privalomas pagal BDAR 37 str.

BDAR 37 straipsnio 1 dalis nustato tris savarankiškus DPO skyrimo atvejus. Pakanka, kad taikomas vienas iš jų — pareiga atsiranda iškart. Įmonės dažnai klysta vertindamos antrąjį ir trečiąjį kriterijų — sąvoka „pagrindinė veikla" ir „didelis mastas" reikalauja konkretaus konteksto.

  1. Viešojo sektoriaus institucija — visos valstybės ir savivaldybių įstaigos, ministerijos, agentūros, valstybės įmonės. Vienintelė išimtis — teismai, vykdantys teisingumo funkcijas (BDAR 37 str. 1 d. a punktas).
  2. Sistemingas didelio masto stebėjimas — pagrindinė veikla apima reguliarų ir nuolatinį asmenų stebėjimą. Tai apima CCTV tinklus su veido atpažinimu, biometrijos sistemas, lojalumo programas su elgsenos sekimu, online behavioral advertising platformas (BDAR 37 str. 1 d. b punktas).
  3. Specialiųjų kategorijų duomenys dideliu mastu — pagrindinė veikla apima sveikatos, biometrijos, religinių įsitikinimų, etninės kilmės arba nuosprendžių duomenų tvarkymą. Apima sveikatos įstaigas, laboratorijas, draudimo bendroves su sveikatos draudimu, religines organizacijas, advokatų kontoras su nuolatine kriminalinių bylų praktika (BDAR 37 str. 1 d. c punktas).
Praktiškai

LT smulkus verslas (10–50 darbuotojų) dažniausiai DPO neprivalo skirti. Tačiau privaloma paskirti atsakingą asmenį už BDAR atitiktį ir užtikrinti veiklos įrašų registrą (BDAR 30 str.). Privalomumo netaikymas — ne tas pats kaip BDAR netaikymas.

120+
Veriva atliktų BDAR auditų LT rinkoje
€0 VDAI baudų klientams nuo 2017 m. Teisė + IT vienoje komandoje.

DPO užduotys ir atsakomybė (BDAR 39 str.)

BDAR 39 straipsnis išsamiai apibrėžia DPO užduotis. Tai ne dekoratyvi pozicija — pareigūnas vykdo konkrečias, dokumentuotas funkcijas, kurios privalo būti pagrįstos ataskaitomis valdymo organui. Kiekviena užduotis turi konkretų atskaitos tašką BDAR tekste.

  1. Informavimas ir konsultavimas — DPO informuoja duomenų valdytoją, tvarkytoją ir darbuotojus apie BDAR įsipareigojimus. Tai apima reguliarius vidaus pranešimus, naujienlaiškius, individualų patarimą sprendimų metu.
  2. Atitikties stebėjimas — DPO stebi BDAR, kitų ES ir LT duomenų apsaugos teisės aktų laikymąsi. Tai apima dokumentacijos auditą, procesų vertinimą, sutikimo mechanizmų patikrinimą.
  3. DPIA konsultavimas — DPO konsultuoja dėl poveikio duomenų apsaugai vertinimo (DPIA) ir stebi jo vykdymą pagal BDAR 35 straipsnį. Naujoms IT sistemoms ir aukšto rizikos lygio procesams DPIA — privalomas.
  4. Bendradarbiavimas su VDAI — DPO bendradarbiauja su priežiūros institucija patikrinimų, tyrimų ir konsultacijų metu. Tai apima atsakymus į VDAI klausimus per nustatytus terminus.
  5. Kontaktinis asmuo — DPO veikia kaip kontaktinis asmuo VDAI ir duomenų subjektams pagal BDAR 38 straipsnio 4 dalį. Kontaktai privalo būti viešai prieinami privatumo politikoje.

„Duomenų apsaugos pareigūnas yra paskirtas atsižvelgiant į profesines savybes, ypač į ekspertines žinias apie duomenų apsaugos teisę ir praktiką bei į gebėjimą vykdyti 39 straipsnyje nurodytas užduotis." — BDAR 37 str. 5 d.

Kas yra DPO atsakomybėje ir kas — ne

DPO funkcija — patariamoji ir kontrolinė, ne sprendžiamoji. Tai svarbu, nes nepriklausomumas yra esminis BDAR reikalavimas (38 str. 3 d.). Atskirtis tarp atsakomybės ir sprendimų priėmimo:

DPO atsakomybėje YRA DPO atsakomybėje NĖRA
Patarti dėl BDAR atitikties Priimti sprendimus dėl duomenų tvarkymo
Stebėti dokumentaciją Pati ją parengti (gali konsultuoti)
Vykdyti vidaus auditą Diegti technines saugumo priemones
Ataskaita valdymo organui Atstovauti įmonę teisme
Vertinti DPIA rezultatus Patvirtinti DPIA (tai valdytojo pareiga)

DPO kvalifikaciniai reikalavimai (BDAR 37 str. 5 d.)

BDAR konkrečių diplomų ar sertifikatų nereikalauja. Tačiau 37 straipsnio 5 dalis nustato tris kvalifikacijos kriterijus, kurie patikrinami VDAI patikrinimų metu.

Profesinė kvalifikacija

DPO privalo turėti ekspertines žinias apie duomenų apsaugos teisę ir praktiką. Praktikoje tai apima BDAR tekstą, LT asmens duomenų teisinės apsaugos įstatymą (ADTAĮ), EDPB gaires, ES Teisingumo Teismo praktiką. Sektoriaus žinios (sveikatos, finansų, IT) — papildomas privalumas, bet ne formalus reikalavimas.

Gebėjimas vykdyti 39 str. užduotis

Vertinama, ar asmuo praktiškai gali atlikti BDAR 39 straipsnyje nurodytas funkcijas. Tai apima audito patirtį, dokumentacijos parengimą, bendravimą su VDAI, krizių valdymą duomenų pažeidimo atveju. Pradedantysis specialistas be patirties — nepakanka didelei organizacijai.

Nepriklausomumas

DPO negali turėti interesų konflikto su BDAR atitikties vertinimu. Tai reiškia, kad generalinis direktorius, HR vadovas, IT vadovas, finansų direktorius, rinkodaros vadovas — netinka DPO pozicijai. Jie patys priima sprendimus dėl asmens duomenų tvarkymo, todėl negali atlikti savęs auditų. BDAR 38 straipsnio 6 dalis šį draudimą formuluoja vienareikšmiškai.

Sertifikatai — rekomenduojami, ne privalomi

Rinkoje populiariausi DPO sertifikatai: ECPC-B DPO (Maastricht University), EXIN ISO 27001, CIPP/E (IAPP), CIPM (IAPP). Šie sertifikatai padidina patikimumą rinkoje ir VDAI akivaizdoje, bet pagal BDAR juridinės pareigos juos turėti nėra. Vertinama reali kompetencija, ne formali pažyma.

Ar buhalterė ar HR vadovė gali būti DPO?

Ne. Buhalterė tvarko darbuotojų atlyginimų, mokesčių, banko sąskaitų duomenis. HR vadovė priima sprendimus dėl personalo dokumentų, darbo sutarčių, atostogų. Abi pozicijos priima sprendimus dėl asmens duomenų tvarkymo, todėl pagal BDAR 38 straipsnio 6 dalį negali atlikti savęs auditų. Tas pats principas taikomas IT vadovui ir generaliniam direktoriui.

Svarbu

VDAI patikrinimų metu interesų konfliktas vertinamas griežtai. Jei DPO yra IT vadovas, tas pats asmuo negali audituoti savo paties darbo. Tai automatinis BDAR 38 str. 6 d. pažeidimas — net jei kandidato kvalifikacija puiki.

DPO vidinis vs outsourcing — kuo skiriasi

BDAR 37 straipsnio 6 dalis aiškiai leidžia abu modelius. Vidinis DPO yra įmonės darbuotojas pilnu arba daliniu etatu. Išorinis DPO (outsourcing) — paslaugų teikėjas pagal sutartį, dažniausiai su teisės ir IT specialistų komanda. Funkcija pagal BDAR 39 straipsnį identiška. Skiriasi kaina, pasiekiamumas, nepriklausomumas ir specializacijos lygis.

Kriterijus Vidinis DPO Outsourcing DPO
Kaina per metus 35 000–60 000 € 6 000–18 000 €
Patirtis Vienos įmonės kontekstas Dešimtys klientų, sektorių
Nepriklausomumas Galimas interesų konfliktas Be vidinio interesų konflikto
Pasiekiamumas Darbo valandomis 5 d./sav. Pagal SLA + emergency kontaktas
Atsakomybė Darbo kodekso ribose Paslaugų sutartis su draudimu
Rinkos žinios Sektoriaus, vienos įmonės Cross-sector, VDAI praktika
Idealu kam 200+ darbuotojų, fiksuoti procesai 10–199 darbuotojai, kintami poreikiai
€30K+
Vidutinis metinis taupymas pasirinkus outsourcing
Skirtumas tarp vidinio DPO etato (35–60k €/m) ir outsourcing (6–18k €/m) — 10–199 darbuotojų įmonėms.

Kada apsimoka vidinis DPO

Vidinis DPO etatas tinka didelėms organizacijoms su 200+ darbuotojų, dideliais tracking masteliais ir fiksuotais compliance procesais. Tipiniai pavyzdžiai: bankai, telekomunikacijų operatoriai, didelės sveikatos įstaigos, valstybės įmonės. Šiose organizacijose DPO darbo krūvis pakankamas pilnam etatui — auditai, mokymai, incidentų valdymas, DPIA naujoms sistemoms.

Kada apsimoka outsourcing

Išorinė DPO funkcija tinka 10–199 darbuotojų įmonėms su kintamais poreikiais arba sezonine veikla. Tipiniai pavyzdžiai: vidutinės draudimo bendrovės, medicinos klinikos, e-komercijos platformos, IT paslaugų bendrovės. Paslauga apima teisės ir IT specialistų komandą, kuri kainuoja 5–10 kartų mažiau nei etatinis pareigūnas.

Kaip pasirinkti DPO — 5 žingsnių vadovas

DPO pasirinkimas — strateginis sprendimas su ilgalaikėmis pasekmėmis. Šis 5 žingsnių vadovas paremtas EDPB gairėmis ir 120+ Veriva projektų patirtimi. Pasiruošimas trunka 2 savaites, sutarties pasirašymas ir VDAI pranešimas — dar 30 dienų.

1 žingsnis. Įvertinkite ar DPO privalomas

Patikrinkite tris BDAR 37 straipsnio 1 dalies kriterijus. Jei vienas taikomas — DPO privalomas. Praktikoje 70% LT smulkaus verslo pareigos neturi, bet 100% turi paskirti atsakingą asmenį už BDAR atitiktį. Vertinkite ne darbuotojų skaičių, o veiklos pobūdį. Šiame etape naudinga konsultacija su BDAR ekspertu.

2 žingsnis. Apibrėžkite DPO funkcijos apimtį

Nustatykite konkrečius parametrus: valandos per savaitę (vidutiniškai 4–20 val. outsourcing modeliui), audito periodiškumas (kasmet pilnas, ketvirtinis monitoringas), ataskaitų formatas (mėnesinė santrauka, ketvirtinė detali analizė), eskalavimo procedūra (incidentai per 24 val.). Konkretūs deliverable'ai — privalomas sutarties elementas.

3 žingsnis. Patikrinkite kvalifikaciją

Įvertinkite kandidato BDAR žinias, LT teisės aktų supratimą, sektoriaus patirtį. Paprašykite referencijų iš ankstesnių klientų — bent 3 panašaus dydžio organizacijos. Outsourcing tiekėjų atveju patikrinkite komandos sudėtį (teisės + IT), draudimo limitą, klientų portfelį. Sertifikatai (ECPC-B DPO, CIPP/E, CIPM) — papildomas signalas, bet ne pagrindinis kriterijus.

4 žingsnis. Patikrinkite nepriklausomumą

Vidinis kandidatas — patikrinkite, ar nėra interesų konflikto su BDAR 38 str. 6 d. Kandidatas negali būti IT, HR, finansų, rinkodaros vadovas arba generalinis direktorius. Outsourcing kandidatas — patikrinkite kitų klientų portfelį (negali būti konkurentai), atstovavimo modelį VDAI, atsakomybės ribas paslaugų sutartyje.

5 žingsnis. Pasirašykite sutartį ir registruokite VDAI

Pasirašykite paslaugų sutartį (outsourcing) arba darbo sutartį (vidinis). Pateikite DPO duomenis VDAI per ePaslaugos sistemą (vdai.lrv.lt) pagal BDAR 37 straipsnio 7 dalį. Atnaujinkite privatumo politiką — DPO kontaktai privalo būti viešai prieinami. Atnaujinkite veiklos įrašų registrą (BDAR 30 str.) — DPO paskyrimas yra dokumentuojamas faktas.

Reikia DPO outsourcing? Veriva siūlo nuo 6 000 €/m

Teisė + IT vienoje komandoje. 120+ klientų, €0 VDAI baudų nuo 2017 m. Pirmoji konsultacija — nemokama, atsakymas per 24 val. darbo dienomis.

Užsakyti DPO konsultaciją

Dažniausios klaidos renkantis DPO

VDAI 2024–2025 m. patikrinimų praktika atskleidžia pasikartojančias klaidas. Dauguma jų atskleidžiamos per pirmąjį patikrinimą — todėl prevencija pigesnė nei taisymas. Septynios dažniausios klaidos pagal Veriva 120+ auditų patirtį:

  1. Skiriamas IT vadovas DPO funkcijai — automatinis BDAR 38 str. 6 d. interesų konflikto pažeidimas. IT vadovas priima sprendimus dėl techninių apsaugos priemonių, todėl negali atlikti savęs auditų.
  2. DPO turi tik teisinę kvalifikaciją be IT supratimo — arba atvirkščiai, tik IT žinias be teisės. Modernios duomenų apsaugos klausimai (CCTV, biometrija, cloud) reikalauja abiejų sričių supratimo.
  3. Outsourcing sutartis su valandinė kaina be SLA — nepasinaudoja paslaugos privalumais. Sutartis privalo turėti konkrečius deliverable'us, atsakymo terminus, krizių valdymo procedūrą.
  4. DPO neturi prieigos prie valdymo organo — BDAR 38 str. 3 d. pažeidimas. DPO privalo atsiskaityti tiesiogiai aukščiausiam valdymo organui, ne per tarpinius vadovus.
  5. DPO duomenys nepublikuojami svetainėje — BDAR 13 ir 37 straipsnių pažeidimas. Kontaktai privalo būti prieinami privatumo politikoje arba atskirame puslapyje.
  6. Nepranešama VDAI apie DPO paskyrimą — BDAR 37 str. 7 d. pažeidimas. Pranešimas teikiamas per VDAI ePaslaugos sistemą per 30 dienų nuo paskyrimo.
  7. DPO vykdo BDAR mokymus, bet nestebi jų efektyvumo — formali, ne reali atitiktis. EDPB gairės reikalauja matuojamų rezultatų: dalyvių skaičius, žinių testai, simuliacijos.

Baudų rizika ir DPO atsakomybė

DPO neskyrimas, netinkamas paskyrimas arba interesų konfliktas — BDAR pažeidimai su konkrečiomis sankcijomis. Tai pirmosios pakopos pažeidimai pagal BDAR 83 straipsnio 4 dalį.

DPO neskyrimas — iki 10 mln. EUR arba 2% apyvartos

BDAR 83 straipsnio 4 dalis numato pirmąją baudų pakopą už DPO funkcijos pažeidimus. Riba — iki 10 milijonų eurų arba iki 2% bendros pasaulinės metinės apyvartos. Taikoma didesnė suma. Praktikoje VDAI dažnai pradeda nuo įspėjimo arba nedidelės baudos, bet pakartotinis pažeidimas — sunkinanti aplinkybė. BDAR baudos Lietuvoje 2026 straipsnyje detaliau aprašytas baudų skaičiavimo modelis ir konkretūs LT precedentai.

DPO asmeninė atsakomybė

Pagal BDAR DPO asmeninės atsakomybės už pažeidimus neturi. Atsakomybė tenka duomenų valdytojui ir duomenų tvarkytojui (BDAR 24, 28 str.). Tačiau pagal LT Civilinį kodeksą ir Darbo kodeksą DPO gali atsakyti darbdaviui už tyčinį arba didelio neatsargumo padarytą žalą. Outsourcing DPO atsakomybė fiksuojama paslaugų sutartyje — dažniausiai su konkrečiu profesinės atsakomybės draudimo limitu.

DPO ir NIS2 — dvigubas reguliavimo režimas

Nuo 2025 m. spalio Lietuvoje įgyvendinta NIS2 direktyva. Įmonės, kurios patenka į NIS2 reguliavimo sritį, turi paskirti ne tik DPO (BDAR), bet ir už kibernetinį saugumą atsakingą asmenį (NIS2). Praktikoje 80% reikalavimų persidengia — todėl integruota BDAR ir NIS2 funkcija ekonomiškesnė. Veriva DPO outsourcing paslauga apima abu reguliavimo režimus.

Iki Veriva turėjome IT vadovą paskirtą DPO funkcijai — nežinojom, kad tai BDAR pažeidimas. Veriva DPO outsourcing paslauga apima teisės ir IT komandą už 5 kartus mažesnę kainą nei etatinis pareigūnas. VDAI patikrinime — nei vieno nurodymo.
Direktorė, medicinos klinika · 2026 m. kovas
DPO outsourcing · €0 baudų

VDAI patikrinimo praktika

VDAI dažnai tikrina DPO paskyrimą per kompleksinius patikrinimus. Tipiniai patikrinimo klausimai: ar DPO paskyrimas dokumentuotas, ar pranešta VDAI, ar kontaktai viešai prieinami, ar nėra interesų konflikto, ar DPO turi prieigą prie valdymo organo. Visi šie elementai turi būti paruošti prieš patikrinimą — ne jo metu.

Šaltiniai: BDAR EUR-Lex · VDAI — duomenų apsaugos pareigūnas · EDPB DPO gairės

Dažniausi klausimai apie DPO

Dažniausiai ne. BDAR 37 straipsnis nereikalauja DPO smulkiam verslui, jei nevykdomas sistemingas didelio masto stebėjimas ir netvarkomi specialiųjų kategorijų duomenys dideliu mastu. Tačiau privaloma paskirti atsakingą asmenį už BDAR atitiktį. Sveikatos įstaigos, advokatų kontoros su nuolatine kriminalinių bylų praktika ir biometrijos sistemų valdytojai DPO privalo skirti net jei darbuotojų yra mažiau nei 50.
DPO yra oficialiai paskirtas, registruotas VDAI ir vykdo BDAR 39 straipsnio funkcijas — nepriklausoma priežiūra, ataskaitos valdymo organui, kontaktas su priežiūros institucija. BDAR konsultantas teikia ad hoc paslaugas (auditas, dokumentacijos parengimas) be tęstinės atsakomybės. Konsultanto funkcija — projektinė, DPO — nuolatinė ir privaloma pagal įstatymą.
Ne. BDAR 38 straipsnio 6 dalis draudžia interesų konfliktą. Buhalterė ir HR vadovė priima sprendimus dėl asmens duomenų tvarkymo (atlyginimai, personalo dokumentai), todėl negali atlikti savęs auditų. Tas pats principas taikomas IT vadovui, finansų direktoriui, generaliniam direktoriui. DPO turi būti nepriklausomas nuo duomenų tvarkymo sprendimų.
DPO outsourcing Lietuvoje smulkiam ir vidutiniam verslui dažniausiai kainuoja 6 000–18 000 EUR per metus, priklausomai nuo veiklos apimties, sektoriaus ir SLA reikalavimų. Vidinis DPO etatas kainuoja 35 000–60 000 EUR per metus (alga + mokesčiai + įrankiai). Skirtumas dažnai siekia 5–10 kartų — todėl outsourcing populiarus tarp 10–199 darbuotojų įmonių.
Ne. BDAR 37 straipsnio 5 dalis reikalauja profesinės kvalifikacijos ir gebėjimo vykdyti 39 straipsnio funkcijas, bet konkretaus sertifikato nenurodo. Praktikoje VDAI vertina BDAR žinias, LT teisės aktų supratimą ir patirtį. Sertifikatai (ECPC-B DPO, CIPP/E, IAPP CIPM) padidina patikimumą rinkoje, bet juridinės pareigos juos turėti nėra.
DPO duomenys pateikiami VDAI pagal BDAR 37 straipsnio 7 dalį. Lietuvoje pranešimas teikiamas per VDAI ePaslaugos sistemą (vdai.lrv.lt). Pateikti privaloma: DPO vardą, pavardę, kontaktus, paskyrimo datą. DPO kontaktai taip pat privalo būti viešai prieinami privatumo politikoje. Nepranešimas — pirmosios pakopos BDAR pažeidimas (iki 10 mln. EUR arba 2% apyvartos).
Pagal BDAR — ne. Atsakomybė už BDAR atitiktį tenka duomenų valdytojui ir duomenų tvarkytojui (BDAR 24, 28 str.). DPO atlieka patariamąją ir kontrolinę funkciją. Tačiau pagal LT Civilinį kodeksą ir Darbo kodeksą DPO gali atsakyti darbdaviui už tyčinį ar didelio neatsargumo padarytą žalą. Outsourcing DPO atsakomybė fiksuojama paslaugų sutartyje su konkrečiu draudimo limitu.
Ne. IT vadovas priima sprendimus dėl techninių asmens duomenų apsaugos priemonių, todėl negali atlikti savęs auditų. Tai BDAR 38 straipsnio 6 dalies interesų konflikto pažeidimas. VDAI 2024–2025 m. patikrinimuose dažnai randa šią klaidą — IT vadovas formaliai paskirtas DPO, bet faktiškai negali užtikrinti nepriklausomos priežiūros. DPO turi būti atskiras asmuo.
Vidinis DPO yra įmonės darbuotojas, dirbantis pilnu ar daliniu etatu. Išorinis DPO (outsourcing) yra paslaugų teikėjas pagal sutartį, dažniausiai su teisės ir IT specialistų komanda. Funkcija pagal BDAR 39 straipsnį identiška. Skiriasi kaina (vidinis 35–60k €/m, outsourcing 6–18k €/m), pasiekiamumas ir nepriklausomumas.
BDAR konkretaus periodiškumo nenurodo. EDPB rekomendacija — bent kartą per metus pilnas atitikties auditas plius reguliarus monitoringas. Praktikoje Veriva taiko šį modelį: metinis pilnas auditas (5–7 darbo dienos), ketvirtinis dokumentacijos peržiūrėjimas, mėnesinė incidentų ataskaita. Naujoms paslaugoms ir IT sistemoms — papildomas DPIA pagal BDAR 35 straipsnį.
BDAR konkretaus reikalavimo dėl 24/7 pasiekiamumo nenustato. Tačiau BDAR 33 straipsnis reikalauja pranešti VDAI per 72 valandas nuo duomenų pažeidimo aptikimo. Praktikoje DPO turi būti pasiekiamas darbo valandomis ir turėti procedūrą skubiems atvejams. Outsourcing DPO SLA dažniausiai apima darbo valandų pasiekiamumą plius emergency kontaktą incidentų atveju.
BDAR konkretaus termino nenurodo. Tačiau pareiga atsiranda nuo to momento, kai įmonė pradeda tvarkyti asmens duomenis pagal BDAR 37 straipsnio sąlygas. Praktikoje DPO turi būti paskirtas prieš pradedant realią veiklą — kartu su privatumo politika, veiklos įrašų registru ir DPA sutartimis. Vėluojantis paskyrimas — pirmosios pakopos pažeidimas, kuris atskleidžiamas per VDAI patikrinimą.

Užsakykite DPO outsourcing ir pamirškite VDAI baudas

Teisė + IT vienoje komandoje. 120+ klientų, €0 VDAI baudų nuo 2017 m. DPO funkcija nuo 6 000 €/m — 5–10 kartų pigiau nei etatinis pareigūnas.

Gauti DPO pasiūlymą — per 24 val.

Susiję straipsniai

BDAR
BDAR14 min

BDAR baudos Lietuvoje 2026: dydžiai ir kaip jų išvengti

Vinted gavo 2,38 mln. EUR. VDAI 2025 m. skyrė 5 baudas. Faktinė praktika, 5 žingsnių planas.

Skaityti →
NIS2
NIS213 min

NIS2 direktyva Lietuvoje: kam taikoma ir kaip pasiruošti

NIS2 įsigaliojo 2024 m. spalį. 18 sektorių, 50+ darbuotojų. Baudos iki 10 mln. EUR.

Skaityti →
SEC
Saugumas10 min

Phishing mokymai darbuotojams: ką privalo žinoti įmonės

72% incidentų prasideda nuo žmogaus klaidos. Mokymų programa, simuliacijos, efektyvumo matavimas.

Skaityti →