AlegsaOnline.com

BDAR (GDPR) – duomenų apsaugos apibrėžimas, poveikis ir baudos

Sužinokite, kas yra BDAR (GDPR), kaip veikia duomenų apsauga, kokios įmonių ir asmenų prievolės bei baudos — aiškus ir praktiškas vadovas BDAR reikalavimams.

Autorius: Leandro Alegsa

22-01-2026

2016 m. balandžio 27 d. priimtas Bendrasis duomenų apsaugos reglamentas (BDAR) (Reglamentas (Europos Sąjunga) 2016/679). Jis įsigaliojo 2018 m. gegužės 25 d.

Reglamentą patvirtino Europos Parlamentas, Europos Sąjungos Taryba ir Europos Komisija. Juo saugomi žmonių asmens duomenys visoje Europos Sąjungoje (ES). Reglamentas taip pat turi įtakos duomenų eksportui iš ES.

BDAR siekiama suteikti piliečiams galimybę kontroliuoti savo asmens duomenis. Juo supaprastinamos ekonominių santykių su kitomis šalimis taisyklės, nes ES procedūros tampa standartizuotos. Bendrasis duomenų apsaugos reglamentas pakeičia 1995 m. Duomenų apsaugos direktyvą. Pagal naująjį BDAR įstatymą nereikia keisti ES vietos įstatymų. Reglamentas yra privalomas.

Asmenims ir įmonėms, nesilaikančioms BDAR įstatymo, gali būti skirta iki 20 000 000 eurų bauda arba iki 4 proc. praėjusių metų įmonės pelno (priklausomai nuo to, kuri suma yra didesnė).

Kas yra BDAR ir kam jis taikomas?

BDAR (GDPR) yra ES reguliavimas, nustatantis taisykles, kaip turi būti renkami, saugomi, tvarkomi ir perduodami asmens duomenys. Jis taikomas:

visiems duomenų valdytojams ir tvarkytojams, esančiais ES; ir
už ES ribų veikiančioms organizacijoms, jei jos siūlo prekes ar paslaugas ES gyventojams arba stebi jų elgseną.

Pagrindiniai BDAR principai

Teisėtumas, sąžiningumas ir skaidrumas: duomenys turi būti tvarkomi teisėtai ir aiškiai informuojant asmenis.
Tikslo apribojimas: duomenys renkami konkrečiai, aiškiai ir teisėtai paskirčiai.
Duomenų kiekio mažinimas: tvarkomi tik būtini duomenys.
Tikslumo užtikrinimas: duomenys turi būti tikslūs ir atnaujinami.
Saugojimo apribojimas: duomenys saugomi ne ilgiau nei reikia.
Duomenų saugumas: būtinos techninės ir organizacinės priemonės.
Atsakomybė: valdytojai turi įrodyti atitiktį BDAR (registre, procedūrose, poveikio vertinimuose).

Duomenų subjektų teisės

BDAR suteikia asmenims keletą konkrečių teisių:

Prieigos teisė: žinoti, ar ir kokius duomenis apie juos tvarko.
Taisymo teisė: reikalauti netikslių duomenų taisymo.
Ištrynimo teisė („teisė būti pamirštam“): tam tikrais atvejais reikalauti duomenų ištrynimo.
Tvarkymo apribojimo teisė: laikinai riboti tvarkymą.
Duomenų perkėlimo teisė: gauti savo duomenis struktūrizuotu, įprastai naudojamu formatu ir perkelti juos kitam valdytojui.
Prieštaravimo teisė: prieštarauti duomenų tvarkymui, įskaitant tiesioginę rinkodarą.
Teisė nesutikti su automatizuotu sprendimų priėmimu ir profilavimu: teisė reikalauti žmogaus įsikišimo tam tikrais atvejais.

Teisiniai tvarkymo pagrindai

Duomenis tvarkyti galima tik turint bent vieną teisėtą pagrindą: sutikimą, sutartį, teisėtą pareigą, gyvybinį interesą, viešą interesą arba teisėtą interesą (kai jis nepaneigia duomenų subjekto teisių). Sutikimas turi būti aiškus, laisvai duodamas, informuotas ir atskiriamas nuo kitų sąlygų; jį galima atšaukti.

Specialios kategorijos ir vaikų duomenys

Yra jautresnių (specialių) duomenų kategorijų: rasė, politinės pažiūros, religiniai įsitikinimai, sveikata, genetiniai ir biometriniai duomenys. Jų tvarkymas dažnai reikalauja aiškesnio teisinio pagrindo. BDAR taip pat nustato papildomas taisykles vaikų duomenims (pvz., internetinėse paslaugose reikalaujama tėvų sutikimo jaunesniems nei 16 metų asmenims, tačiau valstybės narės gali sumažinti iki 13 metų).

Duomenų valdytojo ir tvarkytojo atsakomybės

Valdytojas nustato tvarkymo tikslus ir priemones — atsako už atitiktį BDAR.
Tvarkytojas tvarko duomenis valdytojo vardu — su juo turi būti sudaryta rašytinė sutartis (duomenų tvarkymo sutartis).
Valdytojai privalo vesti veiklos įrašus, kai tvarkymo veikla yra sisteminga arba apima specialias kategorijas, taip pat atlikti duomenų apsaugos poveikio vertinimus (DPIA), kai tvarkymas kelia aukštą riziką.
Kartais privaloma paskirti duomenų apsaugos pareigūną (DPO), pavyzdžiui, kai pagrindinė veikla reikalauja reguliaraus ir sistemingo stebėjimo arba apima didelio masto specialių kategorijų tvarkymą.

Pranešimas apie duomenų saugumo pažeidimą

Pajutus asmens duomenų saugumo pažeidimą, valdytojas privalo pranešti atitinkamai nacionalinei priežiūros institucijai per 72 valandas, jei pažeidimas kelia riziką duomenų subjektų teisėms ir laisvėms. Jeigu pažeidimas kelia aukštą riziką, valdytojas taip pat turi informuoti paveiktus asmenis.

Tarptautiniai duomenų perdavimai

Perdavimas už ES ribų leidžiamas, jei gavėjas šalyje turi ES Komisijos priimtą tinkamumo sprendimą arba taikomi saugumo mechanizmai, pvz., standartinės sutarties sąlygos, jungtinio įmonių mechanizmai arba įsipareigojimai pagal BCR (binding corporate rules). Taip pat egzistuoja tam tikros išimtys ir derogacijos.

Priežiūra, sankcijos ir baudos

BDAR numato ne tik aukštas administracines baudas, bet ir kitas priemones: įspėjimus, įspėjimus dėl priežiūros, duomenų tvarkymo apribojimus ar sustabdymą, reikalavimus atitaisyti pažeidimus. Baudos lygiai yra du:

iki 10 000 000 EUR arba iki 2 % viso metinio pasaulinio įmonės apyvartos (priklausomai nuo to, kuri suma didesnė) už kai kuriuos pažeidimus (pvz., administracinės prievolės nusižengimas, tinkamų įrašų neteikimas);
iki 20 000 000 EUR arba iki 4 % viso metinio pasaulinio įmonės apyvartos (priklausomai nuo to, kuri suma didesnė) už ypač rimtus pažeidimus (pvz., neteisėtas duomenų tvarkymas, pažeidimas duomenų subjektų teisių).

Be piniginių baudų, priežiūros institucijos (valstybių narių duomenų apsaugos institucijos) gali taikyti ir kitus sankcijų tipus.

Lietuvos kontekstas

Lietuvoje BDAR vykdo ir prižiūri Valstybinė duomenų apsaugos inspekcija (VDAI). Asmenys gali kreiptis į šią instituciją dėl skundų, informacijos ar konsultacijos.

Praktiniai patarimai atitikties užtikrinimui

Peržiūrėkite ir aktualizuokite duomenų srautus ir tvarkymo veiklas.
Įdiekite duomenų apsaugos principus nuo pat projektavimo (privacy by design) ir numatykite numatytąjį duomenų apsaugos lygį (privacy by default).
Sudarykite aiškias privatumo ir sutikimo formas; užtikrinkite galimybę lengvai atšaukti sutikimą.
Sudarykite duomenų tvarkymo sutartis su visais tvarkytojais ir stebėkite jų atitiktį.
Paruoškite reagavimo planą duomenų saugumo pažeidimams ir procedūras pranešimams per 72 valandas.
Atlikite DPIA, kai tvarkymo veikla kelia didelę riziką asmenų teisėms.
Rinkitės tinkamus techninius (šifravimas, prieigos kontrolė) ir organizacinius (darbuotojų mokymai, politikos) apsaugos mechanizmus.

Išvada

BDAR yra esminis teisės aktas, skirtas stiprinti asmens duomenų apsaugą ES ir suvienodinti taisykles tarp valstybių narių. Jis kelia pareigas tiek viešojo, tiek privataus sektoriaus organizacijoms, bet taip pat suteikia asmenims plačias teises kontroliuoti savo duomenis. Laiku reaguojant ir įgyvendinant tinkamas priemones, galima sumažinti riziką, apsisaugoti nuo sankcijų ir užtikrinti pasitikėjimą klientų bei visuomenės atžvilgiu.

Taikomos taisyklės

Šiame skyriuje reikia daugiau informacijos.

Bendruoju duomenų apsaugos reglamentu įgyvendinamos taisyklės, kuriomis žmonės apsaugomi nuo įvairių privatumo problemų. Juo užtikrinama žmonių teisė teisėtai susitarti su įmonėmis dėl jų privačios informacijos naudojimo. Juo taip pat užtikrinama žmonių teisė reikalauti, kad bendrovė nebegalėtų naudotis jų privačia informacija. Taip pat užtikrinama, kad naudotojai turi teisę leisti, kad jų privati informacija taptų vieša arba ne. Reglamentu taip pat užtikrinama, kad jokie asmens duomenys nebūtų tvarkomi, jei naudotojas neleido tai daryti asmens duomenų tvarkytojui.

Laiko juosta

2012 m. sausio 25 d: Paskelbtas pasiūlymas dėl BDAR.
2013 m. spalio 21 d: Europos Parlamento Piliečių laisvių, teisingumo ir vidaus reikalų komitetas (LIBE) balsavo dėl to, ar BDAR turėtų tapti naujuoju Europos žmonių apsaugos reglamentu.
2015 m. gruodžio 15 d: Europos Parlamentas, Taryba ir Komisija (oficialus trišalis susitikimas) aptarė Bendrąjį duomenų apsaugos reglamentą. Tą dieną buvo parengtas bendras pasiūlymas dėl BDAR.
2015 m. gruodžio 17 d: Europos Parlamento Piliečių laisvių, teisingumo ir vidaus reikalų komitetas balsavo už trijų šalių derybas.
2016 m. balandžio 8 d: Europos Sąjunga priėmė Bendrąjį duomenų apsaugos reglamentą. Vienintelė valstybė narė, balsavusi prieš, buvo Austrija, kuri teigė, kad kai kurie naujojo reglamento aspektai, palyginti su Duomenų apsaugos direktyva, yra nepatenkinami.
2016 m. balandžio 14 d: Europos Parlamentas priėmė Bendrąjį duomenų apsaugos reglamentą, kuris pakeitė anksčiau galiojusią Duomenų apsaugos direktyvą.
2016 m. gegužės 24 d: Bendrasis duomenų apsaugos reglamentas pradėtas taikyti visame pasaulyje, tačiau jis dar nėra visiškai įgyvendintas. Praėjo 20 dienų po to, kai Bendrasis duomenų apsaugos reglamentas buvo paskelbtas Europos Sąjungos oficialiajame leidinyje.
2018 m. gegužės 25 d: Bendrasis duomenų apsaugos reglamentas pradedamas taikyti visame pasaulyje. Praėjo dveji metai nuo reglamento sukūrimo.
2018 m. liepa / rugpjūtis: Bendrasis duomenų apsaugos reglamentas bus pradėtas taikyti Islandijoje, Lichtenšteine ir Norvegijoje. Šios trys šalys prisijungė prie EEE jungtinio komiteto, nes visos susitarė laikytis reglamento.

Klausimai ir atsakymai

K: Kas yra Bendrasis duomenų apsaugos reglamentas (BDAR)?

A: BDAR - tai Europos Parlamento, Europos Sąjungos Tarybos ir Europos Komisijos priimtas reglamentas, kuriuo visoje ES saugomi žmonių asmens duomenys.

K: Kada jis įsigaliojo?

A: Jis įsigaliojo 2018 m. gegužės 25 d.

K: Ko siekiama BDAR?

A: BDAR siekiama suteikti piliečiams galimybę kontroliuoti savo asmens duomenis ir supaprastinti ekonominių santykių su kitomis šalimis reglamentavimą, suvienodinant ES procedūras.

K: Ar jis pakeičia kokius nors galiojančius teisės aktus?

A.: Taip, jis pakeičia 1995 m. Duomenų apsaugos direktyvą.

K: Ar reikia keisti vietos įstatymus, kad jie atitiktų BDAR?

Atsakymas: Ne, ES vietos įstatymų keisti nereikia, nes šis reglamentas yra privalomas.

K: Kas atsitiks, jei kas nors ar įmonė nesilaikys BDAR teisės aktų? A: Jiems gali būti skirta iki 20 000 000 eurų bauda arba iki 4 proc. praėjusių metų įmonės pelno, priklausomai nuo to, kuris skaičius yra didesnis.