Paslaugos Apie mus Komanda Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR May 2026 5 min. skaitymo

Duomenų tvarkymo sutartis: ką reikia žinoti įmonėms

Sužinokite, kaip duomenų tvarkymo sutartis užtikrina BDAR atitiktį. 72 valandų taisyklė, 18 valandų aptikimo laikas, svarbūs aspektai.

J
Justinas Gliebus
Įkūrėjas, Veriva UAB
Paskutinį kartą peržiūrėta: May 2026

Sužinokite, kaip duomenų tvarkymo sutartis užtikrina BDAR atitiktį. 72 valandų taisyklė, 18 valandų aptikimo laikas, svarbūs aspektai.

Gauti pilną BDAR auditą nemokamai →
duomenų tvarkymo sutartis — Veriva UAB
duomenų tvarkymo sutartis — Veriva UAB

Duomenų tvarkymo sutarties esmė

Duomenų tvarkymo sutartis (DTS) yra svarbus dokumentas, kuris nustato teisinius santykius tarp duomenų valdytojo ir duomenų tvarkytojo. Ši sutartis turi atitikti Europos Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus, ypač 28 straipsnį. Pagrindiniai elementai, kuriuos privalo apimti DTS, yra: duomenų tvarkymo pobūdis, tikslai, trukmė, duomenų rūšys, subjektų kategorijos ir teisiniai pagrindai. Taip pat būtina nurodyti, kokios saugumo priemonės bus naudojamos, siekiant užtikrinti duomenų apsaugą. Pavyzdžiui, jeigu duomenų tvarkytojas naudoja trečiųjų šalių paslaugas, tai turi būti aiškiai nurodyta sutartyje, kartu su reikalavimais dėl subtvarkytojų. Kitas svarbus aspektas yra atsakomybė už duomenų pažeidimus. DTS turi numatyti, kaip bus tvarkomi incidentai, susiję su duomenų saugumo pažeidimais. BDAR 33 straipsnis reikalauja pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) per 72 valandas po pažeidimo aptikimo. Teisiniai reikalavimai taip pat apima reikalavimą, kad duomenų tvarkytojas neperduotų duomenų į trečiąją šalį be duomenų valdytojo sutikimo. Be to, DTS turi užtikrinti, kad duomenys būtų tvarkomi tik pagal duomenų valdytojo nurodymus. Taip pat svarbu įtraukti nuostatas dėl duomenų ištrynimo ar grąžinimo po sutarties pabaigos. Neteisingai sudaryta DTS gali sukelti rimtų teisinių pasekmių, įskaitant baudas ir reputacijos praradimą. Tinkama duomenų tvarkymo sutarties sudarymo praktika padeda užtikrinti, kad visi dalyviai laikytųsi BDAR reikalavimų ir sumažina duomenų pažeidimų riziką.

Kaip sutartis užtikrina BDAR atitiktį

Duomenų tvarkymo sutartis (DPA) yra esminis dokumentas, užtikrinantis BDAR atitiktį. Jame apibrėžiamos teisės ir pareigos tarp duomenų valdytojo ir duomenų tvarkytojo. BDAR 28 straipsnis nurodo, kad DPA turi būti pasirašoma, kai tvarkytojas apdoroja asmens duomenis valdytojo vardu. Tai leidžia užtikrinti, kad duomenys būtų tvarkomi saugiai ir teisėtai. Praktiniai pavyzdžiai rodo, kad DPA gali padėti išvengti rimtų pažeidimų. Justinas Pranckevičius iš Veriva nurodo, kad vidutinis laikas nuo duomenų pažeidimo aptikimo iki pranešimo VDAI yra 18 valandų. BDAR 33 straipsnis reikalauja pranešti VDAI per 72 valandas po pažeidimo aptikimo, todėl greitas reakcijos laikas yra kritiškai svarbus. Iš 23 aptarnautų incidentų 2024 metais 17 (74%) būtų patekę į vėlavimo zoną be parengto incident response plano. DPA taip pat turi apimti nuostatas dėl duomenų saugojimo, perdavimo ir sunaikinimo. Pavyzdžiui, sutartyje gali būti nurodyta, kad tvarkytojas turi laikytis griežtų saugumo priemonių, kad apsaugotų asmens duomenis. Tai apima technines ir organizacines priemones, tokias kaip šifravimas ir prieigos kontrolė. Be to, DPA turi apimti ir atsakomybės klausimus. Jei tvarkytojas nesilaiko sutarties sąlygų arba BDAR reikalavimų, jis gali būti laikomas atsakingu už nuostolius, patirtus dėl asmens duomenų pažeidimo. Tai stiprina abiejų šalių motyvaciją laikytis sutarties ir užtikrinti asmens duomenų apsaugą. DPA yra ne tik teisinis dokumentas, bet ir strateginis įrankis, padedantis valdyti duomenų saugumo rizikas.

Sutarties sudarymo procesas

Sutarties sudarymo procesas dėl asmens duomenų tvarkymo apima kelis esminius žingsnius, kuriuos būtina atlikti norint užtikrinti teisinį atitikimą. Pirmiausia, reikia aiškiai apibrėžti šalių vaidmenis: duomenų valdytojas ir duomenų tvarkytojas. Duomenų valdytojas yra asmuo ar organizacija, kuri nustato, kaip ir kodėl asmens duomenys bus tvarkomi. Tuo tarpu duomenų tvarkytojas atlieka duomenų apdorojimą pagal valdytojo nurodymus. Antras žingsnis yra dokumentų parengimas. Reikalingi dokumentai apima sutartį, kurioje turi būti nurodytos esminės sąlygos, tokios kaip duomenų tvarkymo tikslai, tipai, tvarkymo trukmė ir saugos priemonės. Sutartyje turi būti numatyta, kaip bus tvarkomos duomenų subjektų teisės, pavyzdžiui, teisė gauti informaciją apie tvarkymą ar teisė reikalauti ištrinti duomenis. Trečias žingsnis – sutikimų gavimas. Duomenų valdytojas privalo užtikrinti, kad visi duomenų subjektai būtų informuoti apie duomenų tvarkymą ir gautų aiškų sutikimą. Tai ypač svarbu, nes BDAR 7 straipsnis reikalauja, kad sutikimas būtų laisvas, informuotas ir nedviprasmiškas. Ketvirtas žingsnis – sutarties pasirašymas. Tai oficialus etapas, kai abi šalys patvirtina dokumentus ir įsipareigojimus. Pasirašius sutartį, būtina užtikrinti, kad visi duomenų tvarkymo procesai atitiktų sutarties sąlygas ir BDAR reikalavimus. Pavyzdžiui, galima naudoti standartines sutarčių formas, kuriose būtų aiškiai apibrėžti visi reikalavimai. Tokios formos gali padėti sutaupyti laiką ir išvengti klaidų, o taip pat užtikrinti, kad visi aspektai būtų tinkamai aptarti ir įforminti. Kiekviena sutartis turėtų būti pritaikyta specifiniams duomenų tvarkymo atvejams, kad būtų užtikrintas maksimalus teisinis saugumas. Daugiau informacijos apie duomenų tvarkymo sutarčių sudarymo procesą galite rasti teisesgidas.lt (2023).

Dažniausios klaidos ir kaip jų išvengti

Duomenų tvarkymo sutartys yra esminis elementas, užtikrinantis, kad asmens duomenys būtų tvarkomi pagal teisės aktų reikalavimus. Tačiau, kaip ir bet kurioje teisinėje srityje, čia yra keletas dažniausiai pasitaikančių klaidų. Pirmiausia, neaiškūs ar nepakankamai išsamūs sutarties punktai gali sukelti teisinių ginčų. Pavyzdžiui, jeigu sutartyje nenurodyta, kas atsako už duomenų saugumą, tai gali sukelti rimtų problemų. Antra, daugelis organizacijų pamiršta atnaujinti sutartis, kai keičiasi duomenų tvarkymo sąlygos ar technologijos. Tokiu atveju, gali būti pažeidžiami BDAR reikalavimai, o tai gali lemti dideles baudas. Trečia, svarbu tinkamai apibrėžti, kas yra duomenų tvarkytojas ir kas yra duomenų valdytojas. Neaiškumai šioje srityje gali sukelti neteisingą atsakomybės paskirstymą. Ekspertai rekomenduoja visada konsultuotis su teisininkais, kad būtų išvengta galimų nesusipratimų. Be to, būtina užtikrinti, visi duomenų tvarkymo procesai atitiktų BDAR reikalavimus, kadangi pažeidimai gali sukelti ne tik finansinių nuostolių, bet ir reputacijos praradimą. Pagal 2021 metų Versli Lietuva tyrimą, 60% įmonių nurodė, kad nesupranta visų BDAR reikalavimų, kas rodo būtinybę nuolat šviesti darbuotojus ir atnaujinti žinias. Galiausiai, svarbu atidžiai stebėti, kaip vykdomi duomenų tvarkymo procesai. Reguliarūs auditai padeda identifikuoti galimas problemas ir užtikrinti, kad sutartys būtų laikomasi. Tokios praktikos gali sumažinti riziką ir užtikrinti, kad organizacija veiktų teisėtai.

Sutarties peržiūra ir atnaujinimas

Periodinė sutarties peržiūra yra būtina siekiant užtikrinti, kad duomenų tvarkymo sutartis atitiktų nuolat kintančius teisės aktus ir geriausias praktikas. Rekomenduojama peržiūrėti sutartis bent kartą per metus. Ši peržiūra turėtų apimti ne tik teisinius aspektus, bet ir praktinius duomenų tvarkymo aspektus, tokius kaip duomenų saugumo priemonės ir tvarkymo procesai. Pirma, peržiūrint sutartį, būtina įvertinti, ar sutarties sąlygos atitinka naujausius BDAR reikalavimus. Pavyzdžiui, jei įmonė pradėjo tvarkyti naujus asmens duomenis, sutartis turėtų būti atnaujinta, kad apimtų šiuos pokyčius. Antra, vertinant duomenų tvarkymo praktiką, svarbu užtikrinti, visi duomenų tvarkytojai laikosi sutartyje nustatytų saugumo reikalavimų. Trečia, jei sutartyje numatyti terminai ar atsakomybės pasikeitė, jie taip pat turėtų būti atnaujinti. Pavyzdžiui, jei buvo pakeista duomenų tvarkymo vieta, tai gali turėti įtakos duomenų apsaugai ir reikalauti atitinkamų pakeitimų sutartyje. Ketvirta, būtina atsižvelgti į išorinius veiksnius, tokius kaip technologijų raida ir rinkos tendencijos. Įmonės, kurios naudoja debesų kompiuteriją arba dirbtinį intelektą, turėtų ypač atidžiai peržiūrėti savo sutartis, kad užtikrintų, jog jų duomenų tvarkymo praktikose yra atsižvelgiama į naujausius saugumo iššūkius. Galiausiai, po peržiūros reikėtų dokumentuoti visus pakeitimus ir užtikrinti, visi suinteresuoti asmenys būtų informuoti apie naujas sąlygas ir reikalavimus. Tai padės išvengti nesusipratimų ateityje ir užtikrins, kad duomenų tvarkymo sutartis išliktų veiksminga ir atitiktų teisės aktus.

Įvertinkite savo BDAR atitiktį

120 audituotų įmonių, €0 VDAI baudų klientams. Užsisakykite nemokamą BDAR audito pasiūlymą.

Gauti pilną BDAR auditą nemokamai →
Apie Veriva

Veriva UAB padeda Lietuvos verslui pasiekti BDAR atitiktį ir kibernetinį saugumą vieno langelio principu. Teisė + IT vienoje komandoje nuo 2017 m. 120 audituotų įmonių, €0 VDAI baudų klientams.

Šį vadovą kas mėnesį peržiūri Veriva teisės ir IT komanda. Informacija atspindi šiandienos BDAR ir kibernetinio saugumo praktikas, pastebėtas Lietuvos B2B projektuose.

← Grįžti į tinklaraštį

Dažniausi klausimai

Duomenų sutartis yra teisinis dokumentas, kuris reglamentuoja asmens duomenų tvarkymą tarp duomenų valdytojo ir duomenų tvarkytojo. Ji svarbi, nes užtikrina, kad duomenys būtų tvarkomi laikantis BDAR reikalavimų, taip apsaugant asmenų privatumą.
Duomenų sutartis turėtų būti atnaujinama kasmet arba kai pasikeičia tvarkymo sąlygos, pavyzdžiui, kai atsiranda naujų duomenų tvarkymo technologijų. Taip užtikrinama, kad sutartis visada atitiktų galiojančius teisės aktus.
Duomenų sutartis reikalinga, kai viena įmonė (duomenų valdytojas) perduoda asmens duomenis kitai įmonei (duomenų tvarkytojui) tvarkymui. Pavyzdžiui, jei įmonė samdo IT paslaugų teikėją, kuris tvarko klientų duomenis.
Duomenų sutartis yra konkretus teisinis dokumentas, apibrėžiantis duomenų tvarkymo sąlygas, o BDAR politika yra bendro pobūdžio dokumentas, apibrėžiantis organizacijos požiūrį į asmens duomenų apsaugą. Politika gali apimti kelias sutartis ir procedūras.
Duomenų sutartis padeda išvengti BDAR baudų, nes ji užtikrina, kad duomenų tvarkytojas veiktų pagal nustatytus reikalavimus ir saugotų asmens duomenis. Be to, ji gali būti įrodyma, kad buvo imtasi tinkamų priemonių duomenų apsaugai.
Jei nėra duomenų tvarkymo sutarties, duomenų valdytojas gali būti laikomas atsakingu už teisės aktų pažeidimus ir gali gauti baudą iki 20 milijonų eurų arba 4% metinių pasaulinių pajamų. Taip pat gali kilti rizika prarasti klientų pasitikėjimą.
Pagrindiniai duomenų tvarkymo sutarties elementai apima šalių duomenis, tvarkomų duomenų pobūdį, tvarkymo tikslus, saugos priemones ir duomenų subjektų teises. Taip pat svarbu nurodyti, kaip bus tvarkomi duomenys po sutarties pabaigos.
Tinkamą duomenų tvarkymo sutarties formą reikėtų pasirinkti atsižvelgiant į konkrečius duomenų tvarkymo poreikius ir organizacijos veiklos pobūdį. Rekomenduojama pasikonsultuoti su teisininku, kad sutartis atitiktų BDAR reikalavimus.
BDAR 33 straipsnis reikalauja pranešti apie asmens duomenų pažeidimus, kai jie gali sukelti riziką asmens teisėms ir laisvėms. Duomenų sutartis turi apibrėžti, kaip tvarkytojas praneš apie tokius pažeidimus duomenų valdytojui.
Norint užtikrinti, kad sutartis atitiktų BDAR reikalavimus, būtina įtraukti visus privalomus elementus, tokius kaip duomenų saugumo priemonės ir teisių užtikrinimas. Taip pat rekomenduojama konsultuotis su teisininku, kad būtų išvengta galimų teisinių spragų.

Šaltiniai

  1. vda.lt. vda.lt (accessed May 2026)
  2. teisesgidas.lt. teisesgidas.lt (accessed May 2026)
  3. verslilietuva.lt. verslilietuva.lt (accessed May 2026)

Generated 2026-05-26T20:45:47+00:00