Asmens duomenų saugumas verslui — BDAR pažeidimų rizika

Paskutinį kartą peržiūrėta: June 2026

Asmens duomenų saugumo svarba

Asmens duomenų saugumas yra esminis aspektas, kurio nesilaikymas gali sukelti rimtų pasekmių verslui. 2022 metais atlikta analizė parodė, kad 43% įmonių patyrė duomenų pažeidimus, kurie lėmė ne tik finansinius nuostolius, bet ir reputacijos praradimą. Verslai, kurie nesugeba užtikrinti tinkamos asmens duomenų apsaugos, gali susidurti su didelėmis baudomis pagal BDAR nuostatas. Pavyzdžiui, už sunkius pažeidimus gali būti skiriamos baudos iki 20 milijonų eurų arba 4% metinių pasaulinių pajamų, priklausomai nuo to, kuris dydis yra didesnis. Be finansinių pasekmių, asmens duomenų saugumas turi tiesioginę įtaką klientų pasitikėjimui. Tyrimai rodo, kad 60% vartotojų, patyrusių duomenų pažeidimus, nustoja naudotis įmonės paslaugomis. Tai rodo, kad klientai vertina savo asmens duomenų saugumą ir yra linkę pasirinkti tuos verslus, kurie užtikrina tinkamą apsaugą. Dėl šių priežasčių verslams būtina investuoti į modernias saugumo technologijas ir procesus. Pavyzdžiui, šifravimas, tinklo saugumo sprendimai ir darbuotojų mokymai gali žymiai sumažinti duomenų pažeidimų riziką. Be to, būtina turėti aiškias politikos gaires dėl duomenų valdymo, kad būtų užtikrinta atitiktis teisės aktams. Asmens duomenų saugumo užtikrinimas ne tik padeda išvengti teisinių problemų, bet ir stiprina verslo konkurencingumą rinkoje. Įmonės, kurios demonstruoja atsakomybę ir skaidrumą, gali pritraukti daugiau klientų ir išlaikyti jų lojalumą. Taigi, asmens duomenų saugumas yra ne tik teisinis reikalavimas, bet ir verslo strateginis prioritetas.

BDAR reikalavimai ir jų vykdymas

Įmonės, siekdamos užtikrinti atitiktį BDAR reikalavimams, turi imtis konkrečių veiksmų. Pirma, būtina atlikti asmens duomenų inventorizaciją. Tai padeda nustatyti, kokie duomenys yra renkami, kaip jie laikomi ir kas turi prieigą. Antra, įmonės turėtų parengti aiškią privatumo politiką. Ji turi informuoti klientus apie duomenų tvarkymo tikslus, laikymo trukmę ir teises. Trečia, darbuotojų mokymas yra esminis aspektas. Visi darbuotojai turi būti informuoti apie BDAR reikalavimus ir kaip saugiai tvarkyti asmens duomenis. Pavyzdžiui, mokymai gali apimti temas, susijusias su duomenų apsauga ir incidentų valdymu. Be to, svarbu įdiegti technines ir organizacines priemones. Tai gali būti šifravimas, ugniasienės ar prieigos kontrolės sistemos. BDAR 32 straipsnis reikalauja, kad įmonės įvertintų riziką ir imtųsi atitinkamų priemonių. Taip pat, jei įmonė naudoja trečiųjų šalių paslaugas, reikia užtikrinti, kad šios įmonės taip pat atitiktų BDAR reikalavimus. Pavyzdžiui, pasirašant duomenų tvarkymo sutartis, būtina patikrinti, ar partneriai laikosi reikalavimų. Galiausiai, būtina nuolat stebėti ir atnaujinti duomenų apsaugos priemones. BDAR 34 straipsnis numato, kad prireikus, įmonės turi pranešti apie duomenų pažeidimus. Tai reiškia, kad incidentų aptikimas ir greitas reagavimas yra būtini. Įmonės turėtų turėti sukurtas procedūras, kaip elgtis užfiksavus pažeidimus. Tinkamai vykdant šiuos veiksmus, įmonės gali sumažinti riziką ir užtikrinti, kad jų veikla atitiktų BDAR reikalavimus.

Dažniausi asmens duomenų pažeidimai

Asmens duomenų pažeidimai dažnai kyla dėl keleto bendrų klaidų. Pirmiausia, darbuotojų nepakankamas informuotumas apie duomenų apsaugą. Dauguma įmonių nesuteikia tinkamo mokymo, todėl darbuotojai gali nesuprasti, kaip tinkamai elgtis su asmens duomenimis. Pavyzdžiui, 2022 metais Lietuvoje 30 % darbuotojų pripažino, kad niekada nebuvo mokomi apie duomenų saugumą. Antra, techninės klaidos. Neatnaujinta programinė įranga ir silpni slaptažodžiai prisideda prie duomenų pažeidimų. Remiantis 15min.lt, per 2023 metus 25 % įmonių patyrė incidentus dėl pasenusių sistemų. Tai rodo, kad tinkamų technologijų naudojimas yra būtinas. Trečia, socialinė inžinerija. Sukčiai dažnai naudoja manipuliacijas, kad gautų prieigą prie konfidencialios informacijos. 2022 metais Lietuvoje 40 % įmonių pranešė apie incidentus, susijusius su socialine inžinerija, pavyzdžiui, phishing atakomis. Be to, nepakankamas duomenų šifravimas ir saugojimas taip pat gali sukelti rimtų problemų. 2023 metų duomenimis, 15 % įmonių nenaudojo jokio šifravimo, o tai padidina riziką. Dėl šių klaidų asmens duomenų pažeidimai gali sukelti ne tik finansinius nuostolius, bet ir reputacijos praradimą. Todėl būtina nuolat atnaujinti žinias ir technologijas, kad būtų užtikrintas tinkamas asmens duomenų saugumas.

NIS2 direktyvos poveikis

NIS2 direktyva, priimta Europos Sąjungoje, žymiai keičia kibernetinio saugumo taisykles. Ši direktyva, kuri įsigalios Lietuvoje nuo 2024-10-17, stiprina reikalavimus esminiams sektoriams, tokiems kaip energetika, transportas ir sveikatos apsauga. Nuo šiol šios institucijos privalės ne tik užtikrinti asmens duomenų saugumą, bet ir sukurti atitinkamas incidentų valdymo sistemas. Tai reiškia, kad incidento aptikimas turi būti atliktas greitai, o ataskaita apie jį turi būti pateikta per 18 valandų. NIS2 direktyva reikalauja, kad organizacijos, priklausančios esminiams sektoriams, investuotų į saugumo infrastruktūrą ir mokymus. Tai yra esminis žingsnis siekiant sumažinti kibernetinių atakų riziką, kuri pastaraisiais metais auga. Be to, direktyva numato griežtas baudas už nesilaikymą, kurios gali siekti iki 10 mln. EUR. Taip pat, NIS2 direktyva skatina bendradarbiavimą tarp valstybių narių, kad būtų užtikrinta geresnė informacijos apie grėsmes ir incidentus keitimosi kultūra. Tai padeda ne tik didinti kibernetinio saugumo lygį, bet ir stiprina pasitikėjimą tarp verslo ir vartotojų. Naujieji reikalavimai verčia įmones pergalvoti savo saugumo strategijas, nes nesilaikymas gali turėti rimtų finansinių pasekmių. NIS2 direktyva neabejotinai keičia žaidimo taisykles kibernetinio saugumo srityje, ir verslai turi pasiruošti šiems pokyčiams.

Apsaugos priemonės ir technologijos

Asmens saugumas reikalauja nuolatinių investicijų į technologijas ir sprendimus, kurie padeda apsisaugoti nuo galimų pažeidimų. Pirma, šifravimo technologijos yra esminės. Jos užtikrina, kad perduodami ir saugomi duomenys būtų neskaitytini neautorizuotiems asmenims. Pavyzdžiui, naudojant AES (Advanced Encryption Standard), duomenys gali būti apsaugoti net ir tuo atveju, jei jie patektų į netinkamas rankas. Antra, ugniasienės ir antivirusinės programos yra būtinos, siekiant apsaugoti tinklus nuo kenkėjiškos programinės įrangos. Šios programos ne tik blokuoja įtartinas veiklas, bet ir teikia realaus laiko ataskaitas apie galimus pavojus. Tyrimai rodo, kad 90% įmonių patyrė kenkėjiškų atakų, todėl tinkama apsauga yra kritiškai svarbi. Trečia, dviejų faktorių autentifikavimas (2FA) yra dar viena priemonė, kuri žymiai padidina vartotojų paskyrų saugumą. 2FA reikalauja, kad vartotojai pateiktų du skirtingus identifikavimo elementus, tokius kaip slaptažodis ir mobiliojo telefono kodas. Tai sumažina riziką, kad įsilaužėliai galėtų pasiekti paskyras net ir turėdami slaptažodį. Taip pat svarbu reguliariai atlikti saugumo auditą ir testavimą. Tai padeda identifikuoti silpnąsias vietas ir užtikrinti, kad visi saugumo standartai būtų laikomasi. Pavyzdžiui, BDAR reikalauja, kad organizacijos nuolat stebėtų savo duomenų apsaugos priemones ir prireikus jas atnaujintų. Galiausiai, darbuotojų mokymai apie asmens duomenų saugumą yra esminiai. Daugiau nei 60% kibernetinių atakų įvyksta dėl žmogaus klaidų. Investuojant į darbuotojų žinias, galima žymiai sumažinti riziką ir užtikrinti, kad visi laikytųsi geriausių praktikos standartų.

Įvertinkite savo BDAR atitiktį

120 audituotų įmonių, €0 VDAI baudų klientams. Užsisakykite nemokamą BDAR audito pasiūlymą.

Gauti pilną BDAR auditą nemokamai →

Apie Veriva

Veriva UAB padeda Lietuvos verslui pasiekti BDAR atitiktį ir kibernetinį saugumą vieno langelio principu. Teisė + IT vienoje komandoje nuo 2017 m. 120 audituotų įmonių, €0 VDAI baudų klientams.

Šį vadovą kas mėnesį peržiūri Veriva teisės ir IT komanda. Informacija atspindi šiandienos BDAR ir kibernetinio saugumo praktikas, pastebėtas Lietuvos B2B projektuose.

← Grįžti į tinklaraštį

Dažniausi klausimai

BDAR, arba Bendrasis duomenų apsaugos reglamentas, yra Europos Sąjungos teisės aktas, kuris reguliuoja asmens duomenų tvarkymą. Jis įpareigoja verslus užtikrinti duomenų saugumą ir suteikia vartotojams daugiau kontrolės savo asmens duomenims. Nepaisant verslo dydžio, BDAR reikalavimai taikomi visiems, kurie tvarko asmens duomenis ES.

Mažos įmonės gali užtikrinti asmens duomenų saugumą įgyvendindamos paprastas, bet efektyvias priemones, tokias kaip slaptažodžių politika ir duomenų šifravimas. Taip pat svarbu reguliariai mokyti darbuotojus apie duomenų apsaugą ir vykdyti rizikos vertinimus. Be to, rekomenduojama turėti aiškias procedūras, kaip tvarkyti duomenis ir reaguoti į incidentus.

Pagal BDAR, apie duomenų pažeidimą VDAI reikia pranešti per 72 valandas nuo momento, kai pažeidimas buvo aptiktas. Jei pažeidimas gali sukelti didelę riziką asmens teisėms ir laisvėms, reikia informuoti ir paveiktus asmenis. Laiku pranešus galima sumažinti galimas neigiamas pasekmes.

Incident response planas yra svarbus, nes jis padeda greitai ir efektyviai reaguoti į duomenų saugumo incidentus. Toks planas užtikrina, kad visi darbuotojai žinotų, kaip elgtis kritinėse situacijose, ir sumažina galimų nuostolių riziką. Be to, gerai parengtas planas gali padėti išlaikyti klientų pasitikėjimą.

BDAR daugiausia dėmesio skiria asmens duomenų apsaugai, o NIS2 direktyva orientuota į tinklų ir informacijos sistemų saugumą. BDAR reikalauja, kad organizacijos įgyvendintų duomenų apsaugos priemones, o NIS2 nustato saugumo reikalavimus esminiams sektoriams, tokiems kaip energetika ir transportas. Abu teisės aktai siekia didinti bendrą saugumą, tačiau jų fokusai yra skirtingi.

BDAR pažeidimai gali turėti rimtų pasekmių įmonės reputacijai, nes jie gali sukelti klientų pasitikėjimo praradimą. Įmonės, kurios nesilaiko duomenų apsaugos reikalavimų, gali būti viešai kritikuojamos ir prarasti klientus. Be to, didelės baudos už pažeidimus gali dar labiau pakenkti finansinei padėčiai.

Dažniausios asmens duomenų saugumo spragos apima silpnus slaptažodžius, nesaugias sistemas ir nepakankamą darbuotojų mokymą. Taip pat, duomenų saugumo spragos gali atsirasti dėl nesilaikymo vidinių politikų arba nepakankamo incidentų stebėjimo. Šios spragos gali lemti rimtus duomenų pažeidimus ir finansinius nuostolius.

Technologijos, padedančios užtikrinti duomenų saugumą, apima šifravimą, ugniasienes ir antivirusines programas. Taip pat svarbios yra prieigos kontrolės sistemos ir duomenų nuotėkio prevencijos sprendimai. Investavimas į šias technologijas gali žymiai sumažinti duomenų pažeidimų riziką.

NIS2 direktyva nustato griežtus saugumo reikalavimus energetikos sektoriui, įskaitant privalomą incidentų valdymo planą. Energetikos įmonės privalo užtikrinti, kad jų informacinės sistemos būtų apsaugotos nuo kibernetinių atakų. Taip pat, jos turi pranešti apie incidentus, kurie gali turėti įtakos tiekimo saugumui.

Įmonei reikia duomenų apsaugos pareigūno (DPO), jei ji tvarko didelius kiekius asmens duomenų arba vykdo reguliarius ir sistemingus stebėjimus. Taip pat DPO būtinas, jei įmonė tvarko specialias kategorijas duomenų, tokias kaip sveikatos ar rasinės priklausomybės. DPO užtikrina, kad įmonė laikytųsi BDAR reikalavimų.

Šaltiniai

ada.lt. ada.lt (accessed June 2026)
edpb.europa.eu. edpb.europa.eu (accessed June 2026)
15min.lt. 15min.lt (accessed June 2026)
eur-lex.europa.eu. eur-lex.europa.eu (accessed June 2026)
vdi.lt. vdi.lt (accessed June 2026)

Generated 2026-06-17T11:40:01+00:00