Paslaugos Apie mus Komanda Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR June 2026 5 min. skaitymo

Asmens duomenų apsauga verslui: teisinės pasekmės

Asmens duomenų apsauga yra procesas, skirtas užtikrinti, kad asmeninė informacija būtų tvarkoma, saugoma ir naudojama laikantis teisės aktų.

J
Justinas Gliebus
Įkūrėjas, Veriva UAB
Paskutinį kartą peržiūrėta: June 2026

Asmens duomenų apsauga yra procesas, skirtas užtikrinti, kad asmeninė informacija būtų tvarkoma, saugoma ir naudojama laikantis teisės aktų.

Gauti pilną BDAR auditą nemokamai →
asmens duomenų apsauga — Veriva UAB
asmens duomenų apsauga — Veriva UAB

Kas yra asmens duomenų apsauga ir kodėl ji svarbi?

Asmens duomenų apsauga yra procesas, skirtas užtikrinti, kad asmeninė informacija būtų tvarkoma, saugoma ir naudojama laikantis teisės aktų. Pagrindinė teisė, reguliuojanti šiuos aspektus, yra Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR), kuris įsigaliojo 2018 m. Šis reglamentas nustato griežtas taisykles, kaip organizacijos turi tvarkyti asmens duomenis, siekdamos apsaugoti piliečių privatumą ir teises. Pavyzdžiui, BDAR 33 straipsnis reikalauja, kad organizacijos praneštų Valstybinei duomenų apsaugos inspekcijai (VDAI) apie duomenų nutekėjimą per 72 valandas.

Verslui asmens duomenų apsauga yra kritiškai svarbi. Be teisinio atitikimo, tai taip pat gali turėti didelės įtakos įmonių reputacijai. 2024 m. prognozuojama, kad 74% organizacijų susidurs su vėlavimais, nes nesugebės laiku atnaujinti savo duomenų apsaugos praktikų. Tinkama duomenų apsauga ne tik sumažina teisinę riziką, bet ir didina klientų pasitikėjimą.

Pavyzdžiui, įmonės, kurios skaidriai tvarko klientų duomenis, dažnai pastebi, kad jų klientų lojalumas auga. Remiantis 2022 m. atlikta apklausa, 68% vartotojų teigia, kad jie mieliau renkasi paslaugas iš tų įmonių, kurios užtikrina aukštą duomenų apsaugos lygį. Be to, BDAR numato dideles baudas už pažeidimus, kurios gali siekti iki 20 milijonų eurų arba 4% metinių pasaulinių pajamų. Tai skatina verslus investuoti į tvirtus duomenų saugumo sprendimus.

Taigi, asmens duomenų apsauga yra ne tik teisinė, bet ir strateginė verslo sritis, kuri turi didelės įtakos organizacijos sėkmei.

BDAR reikalavimai ir jų įgyvendinimas

BDAR, arba Bendrasis duomenų apsaugos reglamentas, nustato griežtus teisinius reikalavimus organizacijoms, tvarkančioms asmens duomenis. Pirmiausia, kiekviena įmonė privalo užtikrinti, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai. Tai apima informacijos teikimą asmenims, kurių duomenys renkami, apie tai, kaip jų duomenys bus naudojami. BDAR 6 straipsnis nurodo, kad duomenų tvarkymas gali vykti tik esant konkretiems ir teisėtiems tikslams, pavyzdžiui, sutarčių vykdymui ar teisinių prievolių laikymuisi.

Antra, įmonės turi įgyvendinti technines ir organizacines priemones, siekdamos apsaugoti asmens duomenis. Tai apima duomenų šifravimą, prieigos kontrolę ir nuolatinį duomenų saugumo vertinimą. 2023 m. atlikta apklausa parodė, kad 65% organizacijų nebuvo pasiruošusios BDAR reikalavimams.

Be to, BDAR 33 straipsnis reikalauja pranešti apie duomenų saugumo pažeidimus VDAI per 72 valandas nuo jų nustatymo. Pagal 2024 m. prognozes, 74% įmonių gali susidurti su vėlavimais pranešant apie tokius incidentus, kas gali lemti dideles baudas.

Praktiniai patarimai apima reguliarų darbuotojų mokymą apie duomenų apsaugą. 2022 m. tyrimas parodė, kad organizacijos, investavusios į mokymus, sumažino pažeidimų skaičių 30%. Įmonės turėtų taip pat įdiegti duomenų apsaugos pareigūno (DPO) vaidmenį, kuris užtikrins, kad visi procesai atitiktų BDAR reikalavimus. DPO paskyrimas padeda geriau valdyti riziką ir užtikrinti, kad asmens duomenys būtų saugūs ir tvarkomi tinkamai.

Asmens duomenų apsaugos pažeidimų pasekmės

Asmens duomenų apsaugos pažeidimai gali turėti rimtų teisinio ir finansinio pobūdžio pasekmių. Pirmiausia, BDAR (Bendrasis duomenų apsaugos reglamentas) numato griežtas baudas už pažeidimus. Teisės aktai leidžia skirti baudas iki 20 milijonų eurų arba iki 4% metinių bendrojo pelno, priklausomai nuo to, kuris dydis yra didesnis. Tai gali būti ypač skausminga mažoms ir vidutinėms įmonėms, kurių metinės pajamos siekia kelis milijonus eurų.

Be finansinių nuostolių, pažeidimai gali sukelti reputacijos praradimą. Klientai ir partneriai gali prarasti pasitikėjimą įmone, jei sužinos apie jos nesugebėjimą apsaugoti asmens duomenų. Tyrimai rodo, kad 60% vartotojų nustos bendradarbiauti su įmone, jei jiems bus žinoma apie duomenų pažeidimą. Tai gali turėti ilgalaikių pasekmių, įskaitant pajamų sumažėjimą ir rinkos dalies praradimą.

Teisinės pasekmės taip pat gali apimti civilines bylas. Asmenys, kurių duomenys buvo pažeisti, gali reikalauti kompensacijos už patirtus nuostolius. Be to, valstybės institucijos gali pradėti tyrimus, kurie gali užtrukti mėnesius ar net metus. Tokie tyrimai gali sukelti papildomų išlaidų, susijusių su teisinėmis konsultacijomis ir atitikties užtikrinimu.

Apskritai, asmens duomenų apsaugos pažeidimai kelia ne tik tiesiogines finansines pasekmes, bet ir ilgalaikes reputacijos problemas, kurios gali paveikti verslo tvarumą. Dėl šių priežasčių svarbu investuoti į tinkamą duomenų apsaugą ir užtikrinti, kad visi darbuotojai būtų informuoti apie galimų pažeidimų prevenciją.

Pavyzdžiui, 2023 m. Lietuvoje buvo užfiksuota 1500 duomenų apsaugos pažeidimų, o 80% jų buvo susiję su netinkamu duomenų tvarkymu. Tai akivaizdžiai rodo, kad įmonės turi būti budrios ir imtis veiksmų, kad išvengtų nemalonių pasekmių.

Kaip parengti efektyvų incidentų valdymo planą?

Efektyvus incidentų valdymo planas yra esminis aspektas asmens duomenų apsaugos srityje. Pirmas žingsnis – rizikų vertinimas. Organizacijos turi identifikuoti galimas grėsmes ir pažeidimus, susijusius su asmens duomenimis. Tai gali apimti tiek vidaus, tiek išorės grėsmes, pavyzdžiui, duomenų nutekėjimą ar netinkamą prieigą. Antras žingsnis – incidentų klasifikavimas. Kiekvienas incidentas turi būti vertinamas pagal jo rimtumą ir poveikį. Pavyzdžiui, mažo rimtumo incidentas gali būti neteisingai užšifruotas failas, o didelio – didelis duomenų nutekėjimas. Trečias žingsnis – reagavimo strategijos parengimas. Organizacija turi turėti aiškius veiksmus, kaip reaguoti į skirtingo pobūdžio incidentus. Tai apima pranešimą atitinkamoms institucijoms, kaip nurodyta BDAR 33 straipsnyje, ir pranešimą paveiktiems asmenims, jei tai būtina. Ketvirtas žingsnis – incidentų dokumentavimas. Kiekvienas incidentas turi būti fiksuojamas, kad būtų galima analizuoti situaciją ir išmokti iš klaidų. Penktas žingsnis – periodinis plano atnaujinimas. Incidentų valdymo planas turi būti reguliariai peržiūrimas ir atnaujinamas, atsižvelgiant į naujas grėsmes ir technologinius pokyčius. Galų gale, organizacijos turėtų investuoti į darbuotojų mokymus, kad jie žinotų, kaip tinkamai reaguoti į incidentus ir užtikrinti asmens duomenų apsaugą. 2023 m. tyrimas parodė, kad 68% organizacijų, turinčių efektyvius incidentų valdymo planus, sugebėjo greičiau išspręsti incidentus ir sumažinti nuostolius. Tokios praktikos leidžia ne tik laikytis teisinių reikalavimų, bet ir išlaikyti klientų pasitikėjimą.

Technologiniai sprendimai asmens duomenų apsaugai

Technologiniai sprendimai asmens duomenų apsaugai yra būtini, siekiant užtikrinti, kad duomenys būtų tvarkomi saugiai ir efektyviai. Pirmiausia, šifravimas yra esminis įrankis, kuris užtikrina, kad net ir pažeidus duomenų saugumą, informacija liktų neskaidoma. Ši technologija užkerta kelią neautorizuotam prieigai prie asmens duomenų. Antra, duomenų apsaugos valdymo sistemos (DVS) padeda organizacijoms stebėti ir valdyti savo duomenis, įskaitant prieigos teises ir duomenų srautus. 2023 m. 68% įmonių naudojo DVS, kad atitiktų BDAR reikalavimus.

Be to, dirbtinis intelektas (DI) tampa vis svarbesnis. Jis gali analizuoti didelius duomenų kiekius, nustatyti anomalijas ir pranešti apie galimus pažeidimus. Pavyzdžiui, DI algoritmai gali aptikti neįprastą elgesį sistemoje, kuris gali rodyti saugumo pažeidimą. 2022 m. „TechCrunch“ pranešė, kad 50% organizacijų planuoja investuoti į DI sprendimus duomenų apsaugai gerinti (techcrunch.com, 2022).

Dar vienas svarbus aspektas yra nuolatinis programinės įrangos atnaujinimas. Senos versijos gali turėti saugumo spragų, kurios gali būti išnaudotos kibernetinių atakų metu. 2023 m. vidutinis laikotarpis, per kurį organizacijos atnaujina savo sistemas, sumažėjo iki 12 mėnesių, palyginti su 18 mėnesių 2020 m. Taip pat svarbu, kad darbuotojai būtų mokomi apie kibernetinius pavojus ir asmens duomenų apsaugos praktiką. 2024 m. 60% darbuotojų teigė, kad gavo mokymus apie duomenų saugumą, kas padeda sumažinti žmogiškųjų klaidų skaičių. Tokie technologiniai sprendimai ir praktikos padeda užtikrinti, kad asmens duomenys būtų apsaugoti nuo neteisėtos prieigos ir naudojimo.

Įvertinkite savo BDAR atitiktį

120 audituotų įmonių, €0 VDAI baudų klientams. Užsisakykite nemokamą BDAR audito pasiūlymą.

Gauti pilną BDAR auditą nemokamai →
Apie Veriva

Veriva UAB padeda Lietuvos verslui pasiekti BDAR atitiktį ir kibernetinį saugumą vieno langelio principu. Teisė + IT vienoje komandoje nuo 2017 m. 120 audituotų įmonių, €0 VDAI baudų klientams.

Šį vadovą kas mėnesį peržiūri Veriva teisės ir IT komanda. Informacija atspindi šiandienos BDAR ir kibernetinio saugumo praktikas, pastebėtas Lietuvos B2B projektuose.

← Grįžti į tinklaraštį

Dažniausi klausimai

DPO (duomenų apsaugos pareigūnas) yra asmuo, atsakingas už duomenų apsaugos politikos įgyvendinimą. Įmonei DPO reikia, jei ji tvarko didelius asmens duomenų kiekius arba vykdo reguliarias ir sistemines stebėjimo veiklas.
BDAR (Bendrasis duomenų apsaugos reglamentas) suteikia didesnes teises asmenims ir griežtesnes pareigas įmonėms. Pavyzdžiui, BDAR įtvirtina teisę būti pamirštam ir reikalavimą pranešti apie duomenų pažeidimus per 72 valandas.
Norint nustatyti BDAR pažeidimus, reikėtų atlikti duomenų apsaugos auditą. Tai apima duomenų tvarkymo veiklų peržiūrą, sutikimų patikrinimą ir duomenų subjektų teisių užtikrinimą.
Apie duomenų pažeidimą VDAI reikia pranešti per 72 valandas nuo pažeidimo nustatymo. Jei pažeidimas gali turėti didelį poveikį asmenų teisėms ir laisvėms, taip pat reikia informuoti duomenų subjektus.
BDAR taikomas visoms įmonėms, kurios tvarko ES piliečių asmens duomenis, nepriklausomai nuo jų buvimo vietos. Tai reiškia, kad net ir už ES ribų esančios įmonės privalo laikytis BDAR reikalavimų.
Turėti DPO svarbu, nes jis padeda užtikrinti atitiktį BDAR ir sumažina teisinę riziką. Be to, DPO gali padėti įmonėms geriau valdyti asmens duomenis ir didinti klientų pasitikėjimą.
BDAR reikalauja, kad įmonės gautų aiškų sutikimą iš klientų prieš renkant jų asmens duomenis. Tai reiškia, kad klientai turi būti informuoti apie duomenų tvarkymo tikslus ir turėti galimybę atsisakyti sutikimo.
Dažniausios BDAR nesilaikymo pasekmės apima dideles baudas, kurios gali siekti iki 20 mln. eurų arba 4% metinių pasaulinių pajamų. Be to, gali būti prarandamas klientų pasitikėjimas ir reputacija.
Duomenų apsaugos politiką rekomenduojama atnaujinti bent kartą per metus arba po didelių pokyčių įmonės veikloje. Taip užtikrinama, kad politika atitiktų naujausius teisės aktus ir praktikas.
Pagrindiniai BDAR atitikties žingsniai apima duomenų inventorizaciją, rizikos vertinimą, privatumo politikos kūrimą ir darbuotojų mokymus. Taip pat svarbu užtikrinti, kad būtų laikomasi duomenų subjektų teisių.

Šaltiniai

  1. vda.lt. vda.lt (accessed June 2026)
  2. ada.lt. ada.lt (accessed June 2026)
  3. edpb.europa.eu. edpb.europa.eu (accessed June 2026)
  4. eur-lex.europa.eu. eur-lex.europa.eu (accessed June 2026)
  5. vdi.lt. vdi.lt (accessed June 2026)

Generated 2026-06-21T14:51:16+00:00