Paslaugos Apie mus Komanda Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR June 2026 1 min. skaitymo

Duomenų pažeidimo valdymas (Incidentai)

Duomenų pažeidimo valdymas pagal BDAR 33-34 str.: 72 val. pranešimo VDAI prievolė ir reagavimo planas. Veriva rengia incidentų valdymo procedūras.

J
Justinas Gliebus
Įkūrėjas, Veriva UAB

Paslauga

Duomenų saugumo pažeidimas (data breach) — tai bet koks įvykis, dėl kurio asmens duomenys netyčia ar neteisėtai sunaikinami, prarandami, pakeičiami arba atskleidžiami. BDAR 33 straipsnis reikalauja, kad valdytojas apie pažeidimą praneštų priežiūros institucijai per 72 valandas nuo sužinojimo, jei pažeidimas gali kelti riziką asmenų teisėms.

72 valandos yra trumpas laikas, jei organizacija neturi pasiruošusi procedūros. Per šį laiką reikia nustatyti pažeidimo apimtį, įvertinti riziką, parengti pranešimą VDAI ir, esant didelei rizikai, informuoti pačius duomenų subjektus pagal BDAR 34 str. Be iš anksto paruošto plano šie žingsniai dažnai vėluoja, o vėlavimas yra savarankiškas pažeidimas.

Incidentų valdymo procedūra mažina ir patį pažeidimo poveikį. Aiškios reagavimo taisyklės leidžia greitai izoliuoti problemą, surinkti įrodymus ir dokumentuoti veiksmus — tai svarbu tiek techniškai, tiek teisiškai, nes VDAI vertina, ar organizacija reagavo tinkamai. Dokumentuotas, profesionalus reagavimas yra lengvinantis veiksnys vertinant atsakomybę.

Veriva rengia incidentų reagavimo planus ir, įvykus pažeidimui, padeda jį valdyti realiu laiku. Apjungiame teisinį vertinimą (ar privaloma pranešti, kam ir kaip) su technine analize (kaip įvyko, kaip izoliuoti, kaip užkirsti pakartojimą). Rezultatas — organizacija, kuri 72 val. termino nebijo, nes žino, ką daryti.

BDAR 33-34 straipsniai (pažeidimo pranešimas) · VDAI — pranešimas apie pažeidimą · EDPB gairės dėl pažeidimų pranešimo

Kam reikalinga

  • Įmonės, tvarkančios didelius klientų ar darbuotojų duomenų kiekius.
  • Organizacijos, jau patyrusios incidentą ir reikalaujančios skubaus reagavimo.
  • Verslai, neturintys parengtos incidentų reagavimo procedūros.
  • Įmonės, tvarkančios specialių kategorijų duomenis, kur rizika subjektams didelė.
  • Organizacijos, norinčios pasiruošti dar prieš įvykstant pažeidimui.

Eiga

  1. Įvertiname jūsų esamą pasirengimą ir galimus pažeidimų scenarijus.
  2. Parengiame incidentų reagavimo planą su aiškiais vaidmenimis ir žingsniais.
  3. Nustatome rizikos vertinimo kriterijus — kada pranešimas VDAI privalomas.
  4. Paruošiame pranešimo VDAI ir duomenų subjektams šablonus.
  5. Apmokome komandą atpažinti ir eskaluoti pažeidimus per 72 val. langą.
  6. Įvykus incidentui — padedame valdyti reagavimą ir dokumentaciją realiu laiku.

Rezultatas

Incidentų reagavimo planas. Dokumentuota procedūra su vaidmenimis, žingsniais ir terminais, kad 72 val. langas nesukeltų chaoso.

Rizikos vertinimo kriterijai. Aiškūs kriterijai, kada pažeidimas privalo būti praneštas VDAI, o kada — ir patiems subjektams pagal BDAR 34 str.

Pranešimo šablonai. Paruošti pranešimo VDAI ir duomenų subjektams tekstai, kuriuos galima greitai užpildyti incidento metu.

Reagavimo palaikymas. Įvykus pažeidimui — teisinė ir techninė pagalba realiu laiku: ar pranešti, kam, kaip izoliuoti ir dokumentuoti.

Nauda

  • Pasiruošimas BDAR 33 str. 72 val. pranešimo prievolei — be panikos.
  • Greitesnis reagavimas mažina ir patį pažeidimo poveikį.
  • Dokumentuotas reagavimas — lengvinantis veiksnys vertinant atsakomybę.
  • Teisinis ir techninis valdymas viename — sprendimas, ne tik dokumentas.

Susijusios paslaugos

Kontaktinis asmuo

Justinas Gliebus, Įkūrėjas, Veriva UAB
+37064003632 · info@veriva.lt

Dažniausi klausimai

Pagal BDAR 33 str. valdytojas turi pranešti priežiūros institucijai (VDAI) per 72 valandas nuo pažeidimo sužinojimo, jei pažeidimas gali kelti riziką asmenų teisėms ir laisvėms. Vėlavimas pats yra savarankiškas pažeidimas.
Ne. Pranešti VDAI reikia tik tada, kai pažeidimas gali kelti riziką asmenų teisėms. Jei rizika mažai tikėtina, pranešimas neprivalomas, bet pažeidimą vis tiek privaloma dokumentuoti vidiniame registre pagal BDAR 33 str. 5 d.
Pagal BDAR 34 str., kai pažeidimas gali kelti DIDELĘ riziką asmenų teisėms — pavyzdžiui, nutekėjus slaptažodžiams ar sveikatos duomenims. Tada subjektus reikia informuoti nedelsiant ir aiškia kalba.
Bet koks įvykis, dėl kurio asmens duomenys netyčia ar neteisėtai sunaikinami, prarandami, pakeičiami, atskleidžiami ar tampa neprieinami — nuo įsilaužimo ir prarastos kompiuterio iki klaidingai išsiųsto el. laiško su duomenimis.
Pirma — izoliuoti pažeidimą ir sustabdyti tolesnį duomenų atskleidimą. Tada įvertinti apimtį ir riziką, dokumentuoti įvykį ir per 72 val. apsispręsti dėl pranešimo VDAI. Iš anksto paruoštas planas šiuos žingsnius padaro valdomus.

Šaltiniai

  1. BDAR. 33-34 straipsniai (pažeidimo pranešimas). eur-lex.europa.eu (accessed June 2026)
  2. VDAI. — pranešimas apie pažeidimą. vdai.lrv.lt (accessed June 2026)
  3. EDPB. gairės dėl pažeidimų pranešimo. edpb.europa.eu (accessed June 2026)

Generated 2026-06-17T14:27:04+00:00