Paslaugos Apie mus Komanda Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR June 2026 5 min. skaitymo

Asmens duomenų tvarkymo sutartis: ką turi žinoti įmonės

Asmens duomenų tvarkymo sutartis (ADTS) yra teisinis dokumentas, kuris nustato sąlygas, pagal kurias asmens duomenis tvarko trečiosios šalys.

J
Justinas Gliebus
Įkūrėjas, Veriva UAB
Paskutinį kartą peržiūrėta: June 2026

Asmens duomenų tvarkymo sutartis (ADTS) yra teisinis dokumentas, kuris nustato sąlygas, pagal kurias asmens duomenis tvarko trečiosios šalys.

Gauti pilną BDAR auditą nemokamai →
asmens duomenå³ tvarkymo sutartis lt — Veriva UAB
asmens duomenå³ tvarkymo sutartis lt — Veriva UAB

Kas yra asmens duomenų tvarkymo sutartis ir kodėl ji svarbi?

Asmens duomenų tvarkymo sutartis (ADTS) yra teisinis dokumentas, kuris nustato sąlygas, pagal kurias asmens duomenis tvarko trečiosios šalys. Tai ypač svarbu BDAR (Bendrasis duomenų apsaugos reglamentas) kontekste, nes reglamentas reikalauja, kad asmens duomenys būtų tvarkomi saugiai ir teisėtai. ADTS padeda užtikrinti, kad duomenų valdytojai ir duomenų tvarkytojai aiškiai suprastų savo teises ir pareigas. Pagal BDAR, ADTS turi būti raštiška ir apimti specifines nuostatas, tokias kaip duomenų tvarkymo pobūdis, tikslai, laikotarpiai ir saugumo priemonės. Pavyzdžiui, jei įmonė samdo IT paslaugų teikėją, kuris tvarko klientų duomenis, būtina sudaryti ADTS, kad būtų užtikrintas tinkamas duomenų saugumas. Be to, ADTS turi apimti reikalavimus pranešti apie bet kokius duomenų pažeidimus. Tai yra itin svarbu, nes BDAR numato dideles baudas už nenumatytus pažeidimus. Pagal straipsnį 82, asmens duomenų tvarkytojai yra atsakingi už žalą, padarytą asmenims, kurių duomenys buvo neteisėtai tvarkomi. ADTS taip pat turi apimti nuostatas dėl duomenų perdavimo į trečiąsias šalis. Tai gali būti ypač aktualu, jei duomenys perduodami už Europos Sąjungos ribų. Tokiu atveju būtina užtikrinti, kad šalyje, į kurią perduodami duomenys, būtų taikomos panašios apsaugos priemonės. Apskritai, asmens duomenų tvarkymo sutartis yra esminė priemonė, užtikrinanti, kad asmens duomenys būtų tvarkomi laikantis teisės aktų reikalavimų ir kad būtų išvengta galimų pažeidimų.

Kaip sudaryti asmens duomenų tvarkymo sutartį?

Asmens duomenų tvarkymo sutarties sudarymas reikalauja nuoseklių žingsnių. Pirmiausia, būtina nustatyti sutarties šalis. Dažniausiai tai yra duomenų valdytojas ir duomenų tvarkytojas. Duomenų valdytojas yra tas, kuris nustato, kaip ir kodėl duomenys bus tvarkomi, o duomenų tvarkytojas veikia pagal valdytojo nurodymus. Antras žingsnis yra aiškiai apibrėžti tvarkomus asmens duomenis. Tai gali būti vardai, pavardės, kontaktiniai duomenys ar kiti identifikuojantys elementai. Trečias žingsnis – apibrėžti tvarkymo tikslus. Sutartyje turi būti nurodyta, kodėl asmens duomenys yra tvarkomi, pavyzdžiui, paslaugų teikimui, rinkodarai ar analizei. Ketvirtas žingsnis – nustatyti duomenų saugojimo terminus. Tai yra svarbu, kad duomenys nebūtų laikomi ilgiau nei būtina. Pavyzdžiui, jei duomenys yra tvarkomi paslaugų teikimui, jie gali būti saugomi iki paslaugos užbaigimo. Penktas žingsnis apima saugumo priemonių nustatymą. Sutartyje turi būti įvardinta, kokių techninių ir organizacinių priemonių imsis duomenų tvarkytojas, kad apsaugotų asmens duomenis. Tai gali apimti šifravimą, prieigos kontrolę ir darbuotojų mokymus. Galiausiai, būtina numatyti sąlygas, kaip bus tvarkomi pažeidimai. Sutartyje turi būti nurodyta, kaip ir kada bus pranešta apie duomenų pažeidimus, kad būtų užtikrintas greitas reagavimas. Šie elementai padės sukurti tvirtą asmens duomenų tvarkymo sutartį, atitinkančią BDAR reikalavimus. Teisingai parengta sutartis gali sumažinti teisinius rizikos veiksnius ir užtikrinti, kad duomenys bus tvarkomi atsakingai. Daugiau informacijos apie asmens tvarkymo sutartis rasite Verslilietuva.lt (2023).

Dažniausios klaidos sudarant sutartis

Sudarant asmens tvarkymo sutartis, būtina atkreipti dėmesį į kelias pagrindines problemas, kurios gali sukelti teisinių komplikacijų. Pirmiausia, sutartyje turi būti aiškiai nurodyti duomenų tvarkytojo ir duomenų valdytojo įsipareigojimai. Neaiškiai suformuluoti punktai gali sukelti nesusipratimų ir ginčų. Antra, būtina užtikrinti, kad visi duomenų tvarkymo procesai atitiktų BDAR reikalavimus. Tai apima tinkamą duomenų saugojimą, prieigos kontrolę ir asmens duomenų apsaugą. Nepakankama informacija apie tai gali lemti dideles finansines baudas. Trečia, sutarties trukmė ir nutraukimo sąlygos turi būti tiksliai apibrėžtos. Jei šios sąlygos nėra aiškios, tai gali sukelti teisinių problemų, kai reikės nutraukti sutartį. Taip pat svarbu nuolat peržiūrėti ir atnaujinti sutartis, kad jos atitiktų besikeičiančius teisės aktus. Pagal teismo praktiką, net ir smulkios klaidos gali sukelti rimtų pasekmių. Pavyzdžiui, 2021 m. Lietuvos teismai nagrinėjo atvejį, kai neaiškiai suformuluota sutartis sukėlė ginčą dėl duomenų tvarkymo sąlygų. Rekomenduojama konsultuotis su teisininkais, kurie specializuojasi šioje srityje, kad būtų išvengta galimų teisinių problemų. Laiku reaguoti į bet kokius pasikeitimus ir pranešti apie galimus pažeidimus yra esminiai veiksniai, siekiant užtikrinti sklandų asmens tvarkymo procesą. Tik taip galima išvengti teisinių komplikacijų ir užtikrinti, kad asmens duomenys būtų tvarkomi atsakingai ir atitinkamai.

BDAR reikalavimai ir jų laikymasis

Įmonėms, tvarkančioms asmens duomenis, būtina laikytis BDAR reikalavimų. Šie reikalavimai apima duomenų apsaugos principus, sutarčių sudarymą ir pažeidimų valdymą. Pirmiausia, būtina užtikrinti, kad visi asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai. Įmonės turėtų parengti aiškias politikos gaires, kaip ir kokiu tikslu bus renkama informacija. Tai padeda užtikrinti, kad darbuotojai ir klientai suprastų asmens tvarkymo procesus. Antra, sudarant asmens tvarkymo sutartis, būtina nurodyti duomenų tvarkytojų ir valdytojų teises bei pareigas. Svarbu apibrėžti, kaip bus saugomi duomenys, ir kokios bus atsakomybės už pažeidimus. Nustatyti terminai ir procedūros pažeidimų atveju, kad būtų galima greitai reaguoti. Pagal BDAR 33 straipsnį, apie asmens duomenų pažeidimus privaloma pranešti per 72 valandas. Trečia, įmonės turėtų reguliariai atlikti auditą, kad įvertintų, kaip gerai laikomasi BDAR reikalavimų. Tai gali apimti vidinį vertinimą, darbuotojų mokymus bei sistemų patikrinimus. Reguliarūs mokymai padeda užtikrinti, kad visi darbuotojai žinotų apie savo pareigas ir atsakomybę, susijusią su asmens duomenų tvarkymu. Paskutinis, bet ne mažiau svarbus aspektas – dokumentacijos tvarkymas. Visi procesai ir sprendimai turi būti užfiksuoti raštu. Tai ne tik padeda laikytis reikalavimų, bet ir suteikia galimybę greitai atsakyti į galimus klausimus ar patikrinimus. Laikydamiesi šių praktiškų patarimų, įmonės gali sumažinti riziką ir užtikrinti, kad jų veiksmai atitiktų BDAR reikalavimus. Daugiau informacijos apie BDAR reikalavimus galite rasti Valstybinės duomenų apsaugos inspekcijos svetainėje: [vdi.lt](https://vdi.lt) (2023).

Sutarties atnaujinimas ir priežiūra

Nuolatinė asmens tvarkymo sutarties atitiktis yra esminis aspektas, užtikrinantis, kad organizacija laikosi BDAR reikalavimų. Pirmiausia, būtina reguliariai peržiūrėti sutarties sąlygas. Tai padeda identifikuoti galimas spragas ir pritaikyti atnaujinimus. Rekomenduojama atlikti auditą bent kartą per metus. Tokiu būdu galima įvertinti, ar tvarkymo procesai atitinka galiojančius teisės aktus. Antra, bendradarbiavimas su teisininkais ir specialistais yra naudingas. Jie gali teikti vertingų įžvalgų apie naujausius teisės aktus ir praktikas. Pasikeitus įstatymams, gali prireikti peržiūrėti sutarties turinį. Pavyzdžiui, 2022 metų BDAR pakeitimai įvedė naujas reikalavimų kategorijas, kurios gali paveikti jau sudarytas sutartis. Trečia, organizacija turėtų investuoti į mokymus darbuotojams. Gerai informuoti darbuotojai gali padėti užtikrinti, kad visi procesai būtų vykdomi teisingai ir laikantis nustatytų standartų. Apmokymai turėtų apimti ne tik teisinius aspektus, bet ir praktinius duomenų valdymo metodus. Galiausiai, svarbu užtikrinti, visi duomenų tvarkytojai ir trečiosios šalys laikytųsi sutarties sąlygų. Reguliariai tikrinant jų veiklą, galima išvengti galimų pažeidimų. Tai padeda išlaikyti skaidrumą ir pasitikėjimą tarp šalių. Atitikties užtikrinimas nėra vienkartinis procesas, tai nuolatinis darbas, reikalaujantis įsipareigojimų ir sistemingo požiūrio.

Įvertinkite savo BDAR atitiktį

120 audituotų įmonių, €0 VDAI baudų klientams. Užsisakykite nemokamą BDAR audito pasiūlymą.

Gauti pilną BDAR auditą nemokamai →
Apie Veriva

Veriva UAB padeda Lietuvos verslui pasiekti BDAR atitiktį ir kibernetinį saugumą vieno langelio principu. Teisė + IT vienoje komandoje nuo 2017 m. 120 audituotų įmonių, €0 VDAI baudų klientams.

Šį vadovą kas mėnesį peržiūri Veriva teisės ir IT komanda. Informacija atspindi šiandienos BDAR ir kibernetinio saugumo praktikas, pastebėtas Lietuvos B2B projektuose.

← Grįžti į tinklaraštį

Dažniausi klausimai

Asmens tvarkymo sutartis yra teisinis dokumentas, kuris nustato sąlygas, kaip asmens duomenys bus tvarkomi. Ji būtina, kai duomenų valdytojas perduoda asmens duomenis trečiajai šaliai, pavyzdžiui, paslaugų teikėjui.
Asmens tvarkymo sutartis padeda užtikrinti, kad duomenų tvarkytojas laikytųsi BDAR reikalavimų. Sutartyje būti numatytos saugumo priemonės ir atsakomybės, kas padeda išvengti teisinių problemų.
Reguliari asmens tvarkymo sutarčių peržiūra užtikrina, kad jos atitinka naujausius teisės aktų reikalavimus. Be to, tai leidžia identifikuoti galimus trūkumus ir juos ištaisyti.
Asmens tvarkymo sutartis rekomenduojama atnaujinti bent kartą per metus. Taip pat reikia atsižvelgti į bet kokius reikšmingus pokyčius organizacijoje ar teisės aktuose.
VDAI gali taikyti įvairias sankcijas už netinkamą asmens tvarkymo sutartį, įskaitant pinigines baudas, kurios gali siekti iki 20 milijonų eurų arba 4% metinių pajamų. Taip pat gali būti taikomos administracinės priemonės.
Pagrindiniai asmens tvarkymo sutarties elementai apima duomenų tvarkytojo ir duomenų valdytojo teises ir pareigas, tvarkomų duomenų pobūdį, saugumo priemones ir atsakomybę už pažeidimus. Sutartyje taip pat turi būti numatyta, kaip bus tvarkomi duomenų pažeidimai.
Pasirinkdami tinkamą duomenų tvarkytoją, atkreipkite dėmesį į jų patirtį, reputaciją ir gebėjimą užtikrinti duomenų saugumą. Taip pat svarbu patikrinti, ar jie atitinka BDAR reikalavimus.
Asmens tvarkymo sutartis reglamentuoja asmens duomenų tvarkymą, o konfidencialumo sutartis užtikrina informacijos slaptumą. Pirmoji sutartis yra orientuota į duomenų apsaugą, o antroji – į informacijos neskelbimą.
Incident response planą reikia parengti identifikuojant galimus duomenų pažeidimus ir numatant veiksmus, kaip su jais elgtis. Planas turi apimti informavimo procedūras, atsakomybės paskirstymą ir duomenų atkūrimo strategijas.
Apie duomenų pažeidimus VDAI reikia pranešti per 72 valandas nuo jų nustatymo. Jei pažeidimas kelia didelę riziką duomenų subjektų teisėms ir laisvėms, būtina informuoti ir pačius subjektus.

Šaltiniai

  1. ada.lt. ada.lt (accessed June 2026)
  2. verslilietuva.lt. verslilietuva.lt (accessed June 2026)
  3. edpb.europa.eu. edpb.europa.eu (accessed June 2026)
  4. vdi.lt. vdi.lt (accessed June 2026)
  5. eur-lex.europa.eu. eur-lex.europa.eu (accessed June 2026)

Generated 2026-06-13T10:04:22+00:00