Paslaugos Apie mus Komanda Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR June 2026 1 min. skaitymo

Duomenų tvarkymo veiklos įrašai (RoPA)

Duomenų tvarkymo veiklos įrašai (RoPA) pagal BDAR 30 str.: kas privaloma dokumentuoti ir kaip parengti. Veriva sudaro RoPA Lietuvos verslui.

J
Justinas Gliebus
Įkūrėjas, Veriva UAB

Paslauga

Duomenų tvarkymo veiklos įrašai (angl. Records of Processing Activities, RoPA) — tai privalomas dokumentas pagal BDAR 30 straipsnį, kuriame valdytojas ir tvarkytojas fiksuoja, kokius asmens duomenis tvarko, kokiu tikslu, kokiu teisiniu pagrindu ir kam juos perduoda. Tai atitikties pamatas: be RoPA neįmanoma įrodyti, kad duomenų tvarkymas apskritai yra valdomas.

BDAR 30 str. numato, kad registrą privalo turėti beveik visos organizacijos — išimtis (mažiau nei 250 darbuotojų) praktiškai nebetaikoma, nes ją panaikina reguliarus tvarkymas ar specialių kategorijų duomenys. Todėl ir maža buhalterinė ar klinika privalo turėti RoPA, kai tvarko klientų ar pacientų duomenis.

Praktikoje RoPA yra pirmas dokumentas, kurio VDAI paprašo per patikrinimą. Jo nebuvimas iškart parodo, kad organizacija neturi duomenų tvarkymo apžvalgos, ir tai sunkina visą tolesnį bendravimą su priežiūros institucija. RoPA taip pat yra atspirties taškas privatumo politikoms, sutikimo formoms ir tvarkytojų sutartims — visi šie dokumentai remiasi tuo, kas užfiksuota registre.

Veriva sudaro RoPA ne kaip tuščią šabloną, o per interviu su jūsų komanda išgaudama realius duomenų srautus. Rezultatas — gyvas dokumentas, kurį galima atnaujinti atsiradus naujam procesui, ir kuris realiai atspindi, kas vyksta jūsų sistemose.

BDAR 30 straipsnis (veiklos įrašai) · VDAI rekomendacijos dėl RoPA · EDPB gairės

Kam reikalinga

  • Bet kuri įmonė, tvarkanti darbuotojų ar klientų asmens duomenis (praktiškai visos).
  • Buhalterinės įmonės, tvarkančios kelių klientų finansinius ir personalo duomenis.
  • Organizacijos, tvarkančios specialių kategorijų (BDAR 9 str.) duomenis — klinikos, švietimas.
  • Įmonės, perduodančios duomenis tvarkytojams (IT paslaugos, debesijos tiekėjai).
  • Verslai, ruošiantys pirmąjį BDAR atitikties dokumentų rinkinį.

Eiga

  1. Apklausiame padalinius, kad išsiaiškintume visus realius duomenų tvarkymo procesus.
  2. Suklasifikuojame tvarkomų duomenų kategorijas ir duomenų subjektų grupes.
  3. Užfiksuojame kiekvieno tvarkymo tikslą ir teisinį pagrindą pagal BDAR 6 str.
  4. Aprašome gavėjus, perdavimus į trečiąsias šalis ir saugojimo terminus.
  5. Pažymime taikomas saugumo priemones pagal BDAR 32 str.
  6. Parengiame valdytojo ir, jei reikia, tvarkytojo registrą paruoštą pateikti VDAI.

Rezultatas

Valdytojo RoPA. Pilnas veiklos įrašų registras pagal BDAR 30 str. 1 d. — visi tikslai, pagrindai, gavėjai ir terminai vienoje struktūruotoje lentelėje.

Tvarkytojo RoPA (jei taikoma). Atskiras registras toms veikloms, kur jūs veikiate kaip duomenų tvarkytojas kitų valdytojų vardu pagal BDAR 30 str. 2 d.

Duomenų srautų žemėlapis. Vizualus duomenų judėjimo organizacijoje vaizdas — kur duomenys patenka, kur saugomi ir kam perduodami.

Atnaujinimo instrukcija. Aiškios taisyklės, kaip ir kada papildyti registrą atsiradus naujam procesui, kad jis liktų gyvas, ne pasenęs.

Nauda

  • Įvykdyta BDAR 30 str. prievolė — pamatinis atitikties dokumentas paruoštas.
  • Pirmas dokumentas, kurio prašo VDAI, parengtas iš anksto.
  • Aiškus pagrindas privatumo politikoms ir tvarkytojų sutartims.
  • Realūs srautai, ne tuščias šablonas — atspindi, kas iš tiesų vyksta.

Susijusios paslaugos

Kontaktinis asmuo

Justinas Gliebus, Įkūrėjas, Veriva UAB
+37064003632 · info@veriva.lt

Dažniausi klausimai

Pagal BDAR 30 str. registrą privalo turėti beveik visi valdytojai ir tvarkytojai. Mažiau nei 250 darbuotojų išimtis praktiškai netaikoma, nes ją panaikina reguliarus tvarkymas arba specialių kategorijų (BDAR 9 str.) duomenys — o juos tvarko net mažos klinikos ar buhalterijos.
Privatumo politika yra išorinis dokumentas duomenų subjektams. RoPA yra vidinis registras priežiūros institucijai — jis detalesnis ir apima visus tvarkymo procesus, įskaitant tuos, kurie subjektams nematomi (pvz., personalo administravimas).
Pagal BDAR 30 str.: tvarkymo tikslus, duomenų subjektų ir duomenų kategorijas, gavėjus, perdavimus į trečiąsias šalis, planuojamus ištrynimo terminus ir bendrą saugumo priemonių aprašymą.
RoPA turi būti atnaujinamas kaskart, kai keičiasi tvarkymo procesai — atsiranda naujas tikslas, naujas tvarkytojas ar nauja duomenų kategorija. Rekomenduojama bent kartą per metus peržiūrėti visą registrą.
Registro nereikia siųsti VDAI savaime, bet jį privaloma pateikti gavus institucijos prašymą. Praktiškai tai pirmas dokumentas, kurio VDAI paprašo pradėjusi patikrinimą.

Šaltiniai

  1. BDAR. 30 straipsnis (veiklos įrašai). eur-lex.europa.eu (accessed June 2026)
  2. VDAI. rekomendacijos dėl RoPA. vdai.lrv.lt (accessed June 2026)
  3. EDPB. gairės. edpb.europa.eu (accessed June 2026)

Generated 2026-06-17T14:27:04+00:00