Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR 2026 m. birželio 10 d. 12 min skaitymo

BDAR duomenų subjekto teisės: 6 teisės ir kaip atsakyti į prašymą

Kiekvienas asmuo turi teisę susipažinti, ištaisyti, ištrinti, apriboti, perkelti savo duomenis ir nesutikti su tvarkymu. Praktinis vadovas LT verslui: ką reiškia kiekviena teisė, kaip išnagrinėti prašymą per 1 mėn. ir kada galima atsisakyti.

M
Marina
Teisės ekspertė, BDAR
BDAR duomenų subjekto teisės — teisė susipažinti, ištaisyti, ištrinti, apriboti, perkelti ir nesutikti su asmens duomenų tvarkymu
BDAR duomenų subjekto teisės — 6 pagrindinės teisės ir prašymo nagrinėjimo terminai

BDAR III skyrius (12–22 str.) suteikia kiekvienam asmeniui teises kontroliuoti, kaip tvarkomi jo duomenys: teisę susipažinti, ištaisyti, ištrinti (būti pamirštam), apriboti tvarkymą, perkelti duomenis ir nesutikti su tvarkymu. Į prašymą reikia atsakyti per vieną mėnesį — neatsakymas ar nemotyvuotas atsisakymas yra pažeidimas su bauda iki 20 mln. EUR arba 4% apyvartos.

Gavote prašymą ir nežinote, ar privalote jį vykdyti? Terminas — vienas mėnuo nuo gavimo. Nemokama konsultacija per 24 val.

Šiame straipsnyje
  1. Kas yra duomenų subjekto teisės
  2. Šešios pagrindinės teisės pagal BDAR
  3. Teisė susipažinti (15 str.)
  4. Teisė ištrinti — būti pamirštam (17 str.)
  5. Teisė į duomenų perkeliamumą (20 str.)
  6. Kaip nagrinėti prašymą — 6 žingsnių procesas
  7. Dažniausios klaidos ir VDAI praktika
  8. Baudų rizika ir kaip jos išvengti

BDAR suteikia ne tik pareigas verslui, bet ir konkrečias teises kiekvienam asmeniui, kurio duomenis tvarkote — klientui, darbuotojui, kandidatui ar svetainės lankytojui. Šios teisės nėra teorinės: pagal Veriva 120+ BDAR auditų patirtį, būtent prašymų nagrinėjimas dažniausiai užklumpa įmones netikėtai. Gaunamas vienas el. laiškas „prašau ištrinti mano duomenis“, ir paaiškėja, kad nėra nei aiškios tvarkos, nei žmogaus, atsakingo už atsakymą, nei supratimo, kur tie duomenys apskritai laikomi.

Šis vadovas paaiškina, kokios yra duomenų subjekto teisės pagal BDAR, ką reiškia kiekviena iš jų praktiškai, kaip teisingai ir laiku išnagrinėti prašymą ir kada galima jo atsisakyti. Visi paaiškinimai paremti BDAR tekstu, EDPB gairėmis ir VDAI praktika.

Kas yra duomenų subjekto teisės

Duomenų subjekto teisės — tai BDAR III skyriuje (12–22 straipsniai) įtvirtintos fizinio asmens teisės kontroliuoti, kaip organizacijos tvarko jo asmens duomenis. Duomenų subjektas — bet kuris gyvas fizinis asmuo, kurį galima tiesiogiai ar netiesiogiai identifikuoti: klientas, darbuotojas, kandidatas, partnerio kontaktinis asmuo, naujienlaiškio gavėjas ar svetainės lankytojas.

BDAR numato aštuonias teises:

  • Teisė būti informuotam (13–14 str.) — gauti aiškią informaciją apie tvarkymą dar prieš jį pradedant (privatumo politika, pranešimai).
  • Teisė susipažinti (15 str.) — sužinoti, ar ir kokie duomenys tvarkomi, ir gauti jų kopiją.
  • Teisė ištaisyti (16 str.) — pareikalauti pataisyti netikslius ar papildyti neišsamius duomenis.
  • Teisė ištrinti („būti pamirštam“) (17 str.) — pareikalauti pašalinti duomenis, kai nebėra pagrindo juos tvarkyti.
  • Teisė apriboti tvarkymą (18 str.) — laikinai „užšaldyti“ duomenis tam tikrais atvejais.
  • Teisė į duomenų perkeliamumą (20 str.) — gauti savo duomenis skaitmeniniu formatu ir perkelti kitam paslaugų teikėjui.
  • Teisė nesutikti (21 str.) — prieštarauti tvarkymui, ypač tiesioginei rinkodarai.
  • Teisė nebūti vertinamam vien automatizuotai (22 str.) — reikalauti žmogaus įsikišimo priimant reikšmingus sprendimus.

Visoms teisėms galioja bendros nuostatos (BDAR 12 str.): atsakyti reikia per vieną mėnesį, nemokamai, aiškia ir suprantama kalba. Šios trys taisyklės yra dažniausiai pažeidžiamos.

1 mėn.
Terminas atsakyti į prašymą Skaičiuojamas nuo gavimo bet kuriuo kanalu. Pratęsti galima dar 2 mėn., jei prašymas sudėtingas — bet apie tai būtina pranešti per pirmą mėnesį.

Šešios pagrindinės teisės pagal BDAR

Verslo praktikoje dažniausiai įgyvendinamos šešios teisės, susijusios su konkrečiais prašymais. Žemiau — santrauka, ką reiškia kiekviena ir kokios svarbiausios išimtys.

TeisėBDAR str.Ką reiškia praktiškai
Susipažinti15Pateikti, ar tvarkote duomenis, kokius, kokiu tikslu ir pagrindu, kam perduodate, kiek saugote — plius duomenų kopiją.
Ištaisyti16Pataisyti netikslius ir papildyti neišsamius duomenis. Pranešti apie pataisymą gavėjams, kuriems duomenys buvo perduoti.
Ištrinti17Pašalinti duomenis, kai nebėra pagrindo, atšauktas sutikimas ar tvarkyta neteisėtai. Taikoma su išimtimis.
Apriboti18Laikinai sustabdyti tvarkymą (saugoti galima, naudoti — ne), pvz., kol patikslinamas tikslumas ar pagrindas.
Perkelti20Pateikti pateiktus duomenis kompiuterio skaitomu formatu (CSV, JSON) ir persiųsti kitam valdytojui.
Nesutikti21Nutraukti tvarkymą teisėto intereso ar rinkodaros pagrindu. Rinkodarai — besąlygiškai ir nedelsiant.

Tris iš jų — susipažinimą, ištrynimą ir perkeliamumą — verta aptarti išsamiau, nes jos dažniausiai sukelia klausimų ir klaidų.

Teisė susipažinti (BDAR 15 str.)

Teisė susipažinti su duomenimis (angl. subject access request, SAR) — dažniausiai įgyvendinama duomenų subjekto teisė. Asmuo turi teisę sužinoti, ar organizacija tvarko jo duomenis, ir jei taip — gauti prieigą prie jų bei papildomą informaciją: tvarkymo tikslus, duomenų kategorijas, gavėjus, saugojimo terminą, savo teises ir duomenų šaltinį.

Be informacijos, asmuo turi teisę gauti tvarkomų duomenų kopiją. Pirmoji kopija — nemokama. Kopija turi būti pateikta įprastai naudojama elektronine forma, jei prašymas pateiktas elektroniniu būdu, nebent subjektas prašo kitaip.

Svarbiausia išimtis: teisė gauti kopiją neturi daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms (BDAR 15 str. 4 d.). Pavyzdžiui, jei dokumente yra ir trečiojo asmens duomenų, juos prieš pateikiant gali reikėti uždengti. Tačiau tai negali būti dingstis atsisakyti viso prašymo — uždengiama tik tai, kas būtina.

Dažna klaida

Įmonės painioja teisę susipažinti su pareiga pateikti visus vidaus dokumentus. Asmuo turi teisę gauti savo asmens duomenis ir informaciją apie jų tvarkymą — ne visą su juo susijusią vidinę korespondenciją, komercines paslaptis ar trečiųjų asmenų duomenis.

Teisė ištrinti — „būti pamirštam“ (BDAR 17 str.)

Teisė būti pamirštam — viena žinomiausių ir dažnai klaidingai suprantamų teisių. Ji nėra absoliuti: asmuo negali bet kada pareikalauti ištrinti bet kokius duomenis. Teisė taikoma konkrečiais atvejais (BDAR 17 str. 1 d.):

  • duomenys nebereikalingi tikslui, kuriam buvo surinkti;
  • atšauktas sutikimas ir nėra kito teisinio pagrindo;
  • asmuo nesutiko su tvarkymu (21 str.) ir nėra viršesnio pagrindo;
  • duomenys tvarkyti neteisėtai;
  • ištrynimas privalomas pagal ES ar nacionalinį teisės aktą.

Tačiau ištrynimo galima pagrįstai atsisakyti (17 str. 3 d.), kai duomenys reikalingi: teisinei prievolei vykdyti (pvz., buhalterinė apskaita — 10 metų), teisiniams reikalavimams pareikšti ar gintis, saviraiškos ir informacijos laisvei, viešojo intereso tikslams.

Praktinis pavyzdys: klientas reikalauja ištrinti visus duomenis, tačiau jūs pagal įstatymą privalote 10 metų saugoti su juo susijusias sąskaitas faktūras. Tokiu atveju ištrinama tai, kas nebereikalinga (pvz., rinkodaros profilis), bet apskaitos dokumentai saugomi toliau — ir tai būtina raštu paaiškinti asmeniui.

Teisė būti pamirštam dažniausiai įgyvendinama dalinai: vieni duomenys ištrinami, kiti — saugomi dėl teisinės prievolės. Svarbiausia ne mechaniškas ištrynimas, o motyvuotas, dokumentuotas sprendimas.

Teisė į duomenų perkeliamumą (BDAR 20 str.)

Duomenų perkeliamumas leidžia asmeniui gauti savo duomenis susistemintu, įprastai naudojamu, kompiuterio skaitomu formatu (CSV, JSON, XML) ir persiųsti juos kitam valdytojui be kliūčių. Teisė atsirado siekiant sumažinti „užrakinimą“ pas vieną paslaugų teikėją — pavyzdžiui, persikeliant iš vienos platformos į kitą.

Teisė taikoma tik kai įvykdytos visos trys sąlygos:

  1. duomenis pateikė pats subjektas (registracijos forma, įkelti failai, generuoti naudojant paslaugą);
  2. tvarkymas grindžiamas sutikimu arba sutartimi (ne teisine prievole ar teisėtu interesu);
  3. tvarkymas atliekamas automatizuotomis priemonėmis (ne popierinės bylos).

Todėl perkeliamumas netaikomas, pavyzdžiui, buhalteriniams įrašams (teisinė prievolė) ar popieriniam archyvui. Dažna klaida — painioti perkeliamumą su teise susipažinti: susipažinimas suteikia kopiją bet kokiu pagrindu tvarkomiems duomenims, o perkeliamumas — tik siauresnei kategorijai, bet struktūrizuotu formatu.

Turite prašymų nagrinėjimo tvarką? Parengsime per 5 darbo dienas

Aiški tvarka, atsakymo šablonai pagal kiekvieną teisę ir tapatybės tikrinimo procedūra. Teisė + IT vienoje komandoje, 120+ klientų, €0 VDAI baudų nuo 2017 m. Pirmoji konsultacija nemokama.

Gauti pasiūlymą — per 24 val.

Kaip nagrinėti prašymą — 6 žingsnių procesas

Nuoseklus procesas apsaugo nuo praleisto termino ir nemotyvuoto atsisakymo — dviejų dažniausių VDAI skundų priežasčių.

  1. Atpažinkite ir užregistruokite prašymą. Bet kokia užklausa dėl asmens duomenų — el. paštu, telefonu, forma ar žodžiu — gali būti prašymas. Užfiksuokite gavimo datą; nuo jos skaičiuojamas vieno mėnesio terminas.
  2. Patikrinkite tapatybę. Įsitikinkite, kad prašo pats subjektas. Tikrinimas turi būti proporcingas — be perteklinių dokumentų. Jis neprailgina bendro termino.
  3. Nustatykite, kokios teisės prašoma. Susipažinti, ištaisyti, ištrinti, apriboti, perkelti ar nesutikti — nuo to priklauso veiksmai ir taikomos išimtys.
  4. Suraskite duomenis visose sistemose. CRM, el. paštas, buhalterija, archyvai, atsarginės kopijos, tiekėjų sistemos. Gebėjimas surasti konkretaus asmens duomenis — viena dažniausių spragų audituose.
  5. Įvertinkite išimtis ir parenkite atsakymą. Patikrinkite, ar nėra pagrindo atsisakyti (teisinė prievolė, kitų asmenų teisės). Parenkite motyvuotą atsakymą.
  6. Pateikite atsakymą ir užregistruokite veiksmus. Atsakykite tuo pačiu kanalu, nurodykite teisę skųstis VDAI ir kreiptis į teismą, užfiksuokite, kaip prašymas išnagrinėtas.
Atskaitomybės principas

BDAR 5 str. 2 d. reikalauja gebėti įrodyti, kad teisės įgyvendintos tinkamai ir laiku. Todėl kiekvienas prašymas turi būti registruojamas, o sprendimas — dokumentuojamas. Be registro VDAI patikrinimo metu sunku įrodyti, kad procesas apskritai veikia.

Dažniausios klaidos ir VDAI praktika

Pagal VDAI 2024–2025 m. praktiką ir Veriva auditų patirtį, dažniausios klaidos įgyvendinant duomenų subjektų teises:

  • Praleistas terminas. Prašymas „pasimeta“ tarp darbuotojų, nes nėra aiškios tvarkos, kas jį priima ir nagrinėja.
  • Nemotyvuotas atsisakymas. Įmonė atsisako ištrinti duomenis, bet nenurodo konkretaus teisinio pagrindo ir neinformuoja apie teisę skųstis VDAI.
  • Perteklinis tapatybės tikrinimas. Reikalaujama asmens dokumento kopijos ten, kur pakaktų patikrinti per esamą paskyrą — tai pats savaime pažeidimas.
  • Negebėjimas surasti duomenų. Duomenys išsibarstę po el. paštą, lentelę, CRM ir popierius, todėl per mėnesį jų neįmanoma surinkti.
  • Teisių painiojimas. Susipažinimas painiojamas su perkeliamumu, o „būti pamirštam“ laikoma absoliučia teise.

Gavome kliento prašymą ištrinti duomenis ir visiškai sutrikome — nežinojome, ar privalome, ką galime palikti dėl apskaitos ir per kiek laiko atsakyti. Veriva parengė aiškią tvarką su atsakymų šablonais. Kitą prašymą išnagrinėjome per dvi dienas, ramiai.

RK
Rasa K. Administracijos vadovė, paslaugų įmonė
Atsakymas per 2 d.

Baudų rizika ir kaip jos išvengti

Duomenų subjekto teisių (BDAR 12–22 str.) pažeidimas patenka į aukščiausią baudų pakopą (BDAR 83 str. 5 d.) — iki 20 mln. EUR arba 4% pasaulinės metinės apyvartos. Taikoma didesnė suma. Praktiškai VDAI vertina kontekstą: ar pažeidimas tyčinis, ar atsitiktinis, kiek asmenų paveikta, kaip įmonė bendradarbiavo. Pirmas pažeidimas dažnai baigiasi įspėjimu, pakartotinis — bauda.

Geriausia apsauga — ne baimė, o paprastas, veikiantis procesas. Trys elementai, kuriuos turi turėti kiekviena įmonė:

  • Prašymų nagrinėjimo tvarka — kas priima, kaip tikrina tapatybę, kokie terminai, kas tvirtina atsakymą.
  • Atsakymų šablonai kiekvienai teisei — kad atsakymas būtų motyvuotas ir laiku.
  • Duomenų žemėlapis — aiškumas, kur kokie duomenys laikomi, kad juos būtų galima surasti per mėnesį.

Šie trys dokumentai parengiami per kelias dienas ir vienkartinai pašalina didžiąją dalį rizikos. Plačiau apie tai, kaip organizacijos pasirenka teisėto tvarkymo pagrindus ir kodėl reikalingas duomenų apsaugos pareigūnas (DPO), skaitykite susijusiuose straipsniuose.

Nuo ko pradėti

Jei dar neturite prašymų nagrinėjimo tvarkos, pradėkite nuo pirminio BDAR audito — jis parodo, kur jūsų organizacijos duomenys laikomi, ar gebėsite juos surasti ir kokių dokumentų trūksta. Auditas — pirmas žingsnis, po kurio teisių įgyvendinimas tampa rutina, o ne kiekvieną kartą iš naujo sprendžiama krizė.

Šaltiniai: BDAR EUR-Lex (12–22 str.) · VDAI — Valstybinė duomenų apsaugos inspekcija · EDPB gairės 01/2022 dėl teisės susipažinti

Dažniausi klausimai apie duomenų subjekto teises

BDAR III skyrius nustato aštuonias teises: būti informuotam (13–14 str.), susipažinti (15 str.), ištaisyti (16 str.), ištrinti — būti pamirštam (17 str.), apriboti tvarkymą (18 str.), perkelti duomenis (20 str.), nesutikti (21 str.) ir nebūti vertinamam vien automatizuotai (22 str.). Verslo praktikoje dažniausiai įgyvendinamos šešios pagrindinės teisės, susijusios su konkrečiais prašymais.
Pagal BDAR 12 str. 3 d. — nepagrįstai nedelsiant ir bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo. Terminą galima pratęsti dar dviem mėnesiais, jei prašymas sudėtingas arba jų daug, bet apie pratęsimą ir jo priežastis subjektą būtina informuoti per pradinį vieno mėnesio terminą.
Ne, pagrindinė taisyklė — informacija ir veiksmai teikiami nemokamai (BDAR 12 str. 5 d.). Mokestį arba atsisakymą leidžiama taikyti tik kai prašymai akivaizdžiai nepagrįsti arba neproporcingi, ypač pasikartojantys. Mokestis turi padengti tik administracines išlaidas, o įrodyti nepagrįstumą privalo valdytojas.
Teisė būti pamirštam (BDAR 17 str.) — teisė reikalauti ištrinti asmens duomenis. Taikoma, kai duomenys nebereikalingi, atšauktas sutikimas, asmuo nesutiko su tvarkymu, duomenys tvarkyti neteisėtai arba ištrynimas privalomas pagal teisės aktą. Teisė nėra absoliuti: galima atsisakyti dėl teisinės prievolės, teisinių reikalavimų ar saviraiškos laisvės. Atsisakymą būtina pagrįsti raštu.
BDAR 12 str. 6 d. leidžia prašyti papildomos informacijos tapatybei patvirtinti, jei kyla pagrįstų abejonių. Tikrinimas turi būti proporcingas — be perteklinių duomenų, jei pakanka patikrinti per esamą paskyrą ar el. paštą. Per griežtas tikrinimas, dirbtinai vilkinant atsakymą, pats savaime yra pažeidimas. Bendras vieno mėnesio terminas išlieka.
Teisė į perkeliamumą (BDAR 20 str.) leidžia gauti savo duomenis susistemintu, kompiuterio skaitomu formatu (CSV, JSON, XML) ir persiųsti kitam valdytojui. Taikoma tik duomenims, kuriuos subjektas pats pateikė, tvarkomiems sutikimo arba sutarties pagrindu ir automatizuotomis priemonėmis. Netaikoma popierinėms byloms ar duomenims, tvarkomiems teisinės prievolės ar teisėto intereso pagrindu.
Taip, tam tikrais atvejais. Kiekviena teisė turi išimtis: ištrynimo galima atsisakyti dėl teisinės prievolės ar teisinių reikalavimų, susipažinimo — kai pažeidžiamos kitų asmenų teisės. Atsisakymas privalo būti pagrįstas raštu, nurodant konkretų teisinį pagrindą, ir įvykdytas per tą patį vieno mėnesio terminą. Subjektui būtina nurodyti teisę skųstis VDAI ir kreiptis į teismą.
BDAR 83 str. 5 d. numato aukščiausią baudų pakopą už teisių (12–22 str.) pažeidimą — iki 20 mln. EUR arba 4% pasaulinės metinės apyvartos. Dažniausi pažeidimai: neatsakymas per terminą, nemotyvuotas atsisakymas, perteklinis tapatybės tikrinimas. VDAI 2024–2025 m. teisių įgyvendinimo skundai — viena dažniausių kategorijų; pirmą kartą dažnai įspėjama, pakartotinai — baudžiama.
Taip, praktiškai būtina. Atskaitomybės principas (BDAR 5 str. 2 d.) reikalauja gebėti įrodyti, kad teisės įgyvendinamos tinkamai ir laiku. Tvarka apibrėžia, kas priima prašymus, kaip tikrinama tapatybė, kokie terminai, kas tvirtina atsakymą ir kaip viskas registruojama. Be tvarkos prašymai pasimeta ir praleidžiami terminai.
Bet kokiu. BDAR nenustato privalomos formos — subjektas gali kreiptis el. paštu, paštu, per formą, žodžiu ar socialiniame tinkle. Valdytojas negali reikalauti naudoti tik vieną kanalą ar specialią formą kaip galiojimo sąlygos. Todėl visi darbuotojai turi mokėti atpažinti prašymą ir perduoti jį atsakingam asmeniui — terminas pradedamas skaičiuoti nuo gavimo bet kuriame kanale.

Pasiruoškite duomenų subjektų prašymams — auditas per 5 darbo dienas

Prašymų nagrinėjimo tvarka, duomenų žemėlapis ir atsakymų šablonai. Teisė + IT vienoje komandoje. 120+ klientų, €0 VDAI baudų nuo 2017 m. Pirmoji konsultacija nemokama.

Gauti BDAR audito pasiūlymą — per 24 val.

Susiję straipsniai

6 STR
BDAR13 min

BDAR 6 straipsnis: 6 teisėto tvarkymo pagrindai

Sutikimas — tik vienas iš šešių pagrindų ir dažnai netinkamas. Kada koks, kaip atlikti LIA.

Skaityti →
DPO
DPO12 min

Duomenų apsaugos pareigūnas: kada reikia ir kaip pasirinkti

DPO privalomas pagal BDAR 37 str. 3 atvejais. Vidinis vs outsourcing — 5 žingsnių vadovas.

Skaityti →
BDAR
BDAR14 min

BDAR baudos Lietuvoje 2026: dydžiai ir kaip jų išvengti

Vinted gavo 2,38 mln. EUR. VDAI 2025 m. praktika, baudų dydžiai ir 5 žingsnių planas.

Skaityti →