BDAR 2026 m. vasario mėn.: pažeidimų statistika, teismų praktika ir naujausi atitikties iššūkiai

Šiame vasario mėnesio naujienlaiškyje apžvelgiame 2025 m. asmens duomenų saugumo pažeidimų statistiką Lietuvoje, svarbiausius teismų išaiškinimus bei priežiūros institucijų sprendimus. Aptariame pseudonimizavimo ribas, FATCA duomenų perdavimo klausimus, tiesioginės rinkodaros praktiką, BCR rekomendacijas ir DI akto įgyvendinimo iššūkius. Taip pat pristatome visuomenės pasitikėjimo duomenų apsauga tendencijas ir praktinius žingsnius organizacijoms, siekiančioms stiprinti BDAR bei TIS2 atitiktį.

Asmens duomenų saugumo pažeidimai Lietuvoje 2025 m. 

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) 2025 m. gavo 223 pranešimus apie asmens duomenų saugumo pažeidimus (ADSP), paveiktų duomenų subjektų skaičius Lietuvoje – 1 249 409.

Palyginti su ankstesnių metų duomenimis, 2025 m. VDAI gavo mažiau pranešimų apie ADSP negu 2024 m. (2024 m. VDAI gautų pranešimų apie ADSP – 273). Taip pat beveik 200 tūkst. sumažėjo Lietuvoje paveiktų duomenų subjektų skaičius (2024 m. Lietuvoje paveiktų duomenų subjektų skaičius – 1 467 368).

Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2025 m. sudarė net 83 proc. visų atvejų, 6 proc. atvejų vientisumo pažeidimai, 10 proc. atvejų prieinamumo pažeidimai ir 1 proc. atvejų incidentas nebuvo laikomas ADSP (neatitiko sąvokos).

VDAI, išanalizavusi per 2025 m. gautus pranešimus apie ADSP, nustatė, kad 58 proc. ADSP įvyko dėl žmogiškosios klaidos (dėl žmogaus padaromų veiksmų, kurie pasireiškia neapdairumu, nežinojimu, kad veiksmai gali sukelti ADSP, taip pat dėl veiksmų, nuo kurių įprastai apsaugoti negali taikomos techninės ir organizacinės priemonės). ADSP, įvykę dėl kitų priežasčių, sudaro 13 proc. (įvairūs IT sistemų trikdžiai, kilę dėl IT sistemų klaidų, dėl kurių atnaujinti duomenys nebuvo laiku perduoti, todėl duomenų valdytojai negalėjo laiku suteikti paslaugų, taip pat nustatyta, kad netinkamai atlikti programavimo darbai arba neatliktas sistemų testavimas prieš jų paleidimą sudarė sąlygas situacijoms, kai asmens duomenys buvo prieinami asmenims, neturintiems teisės su jais susipažinti).

VDAI, išanalizavusi per 2025 m. gautus pranešimus apie ADSP, nustatė, kad 29 proc. ADSP įvyko dėl kibernetinių incidentų  (16 proc. – dėl duomenų užšifravimo ir išpirkos reikalavimo atakų, 45 proc. – dėl neteisėtai gautos prieigos prie IT sistemų, 26 proc. – dėl socialinės inžinerijos metodais paremtų, 7 proc. – dėl kredencialų brukimo kibernetinių atakų.  Po 3 proc. ADSP buvo pranešta dėl SQL injekcijų ir sistemų veiklos sutrikdymo atakų).

Svarbu paminėti, kad dėl kibernetinių incidentų buvo paveikti 57 proc., t. y. 713 644 (iš visų 2025 m. paveiktų duomenų subjektų) duomenų subjektų duomenys, dėl kitų priežasčių buvo paveikti 43 proc. (535 765) duomenų subjektų duomenys.

VDAI atkreipia dėmesį, kad nustatęs, jog ADSP įvyko ir kad dėl jo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie ADSP, turėtų pranešti apie tai VDAI, kaip tai numato BDAR. 2025 m. 63 proc. duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 37 proc. – vėliau kaip per 72 val.

2025 m.  VDAI priėmė sprendimus viešosioms ir privačiosioms įstaigoms skirti 5  baudas (bendra suma 27 529 eurų) už nustatytus BDAR nuostatų pažeidimus. VDAI, įvertinusi gautus pranešimus apie ADSP ir nustačiusi, kad yra netinkamai užtikrinamas duomenų subjektų asmens duomenų saugumas, teikė 9 nurodymus duomenų valdytojams arba duomenų tvarkytojams suderinti duomenų tvarkymo operacijas su BDAR nuostatomis. Taip pat buvo pateiktos 22 rekomendacijos duomenų valdytojams, kurios padės užtikrinti, kad asmens duomenų tvarkymas atitiktų BDAR reikalavimus.

ESTT išaiškinimas: pseudonimizuoti duomenys gali būti laikomi asmens duomenimis

Ilgai trukusi byla tarp ES Bendro pertvarkymo valdybos (SRB) ir Europos duomenų apsaugos priežiūros pareigūno (EDPS) baigėsi be galutinio Bendrojo Teismo sprendimo, tačiau Europos Sąjungos Teisingumo Teismas (ESTT) pateikė reikšmingus išaiškinimus.

Teismas pabrėžė, kad:

  • Asmens nuomonė gali būti laikoma asmens duomenimis;
  • Reidentifikavimo rizika turi būti vertinama kiekvienu atveju atskirai;
  • Pseudonimizuoti duomenys nėra automatiškai laikomi asmens duomenimis, jei realiai neįmanoma identifikuoti asmens.

Organizacijoms rekomenduojama:

  • vertinti reidentifikavimo riziką kiekvienu konkrečiu atveju;
  • jei egzistuoja galimybė susieti duomenis su asmeniu – taikyti BDAR reikalavimus;
  • dokumentuoti vertinimo procesą;
  • reguliariai atnaujinti rizikos vertinimus.

ESTT nagrinės FATCA duomenų perdavimo atitiktį BDAR

ESTT nagrinės, ar ES gyventojų bankiniai duomenys, perduodami JAV pagal FATCA susitarimus, atitinka BDAR reikalavimus.

Klausimai, kuriuos nagrinės teismas:

  • Ar iki BDAR sudaryti tarptautiniai susitarimai gali būti toliau taikomi?
  • Ar masinis finansinių duomenų perdavimas, nesant įtarimų dėl pažeidimų, atitinka duomenų minimizavimo principą?
  • Ar tokie perdavimai suderinami su 2023 m. ES–JAV duomenų apsaugos sistema?

Sprendimas gali turėti reikšmingą įtaką visiems ES–JAV automatiniams mokestiniams duomenų mainams.

Rekomenduojame:

  • peržiūrėti tarptautinių duomenų srautų žemėlapius;
  • įvertinti taikomas perdavimo apsaugos priemones;
  • atnaujinti vidaus politiką ir procedūras.

VDAI sprendimai: tiesioginė rinkodara – viena dažniausių BDAR pažeidimų sričių

Valstybinė duomenų apsaugos inspekcija (VDAI) išnagrinėjo skundą dėl galimai neteisėtos tiesioginės rinkodaros ir pripažino, kad bendrovė siuntė reklaminius el. laiškus be tinkamo teisinio pagrindo. Nors įmonė rėmėsi vadinamąja „soft opt-in“ išimtimi, Inspekcija konstatavo, kad ji buvo taikyta netinkamai.

Pareiškėjas nurodė, kad 2024-11-02 ir 2025-03-27 el. paštu gavo reklaminius pasiūlymus iš UAB „Topo grupė“, nors nebuvo davęs sutikimo gauti tiesioginę rinkodarą.

Bendrovė paaiškino, kad:

  • el. pašto adresą gavo iš paties kliento užsakymo metu (2023-07-04);
  • užsakymo formoje buvo pasirinkimo langelis „Nesutinku gauti individualizuotus pasiūlymus…“;
  • klientas šio langelio nepažymėjo;
  • kiekviename laiške buvo aktyvi atsisakymo nuoroda.

Įmonės vertinimu, to pakako laikyti, kad asmuo neprieštaravo rinkodarai.

Teisinis kontekstas: kada galima siųsti be atskiro sutikimo?

Pagal Elektroninių ryšių įstatymo (ERĮ) 81 straipsnio 1 dalį, tiesioginė rinkodara el. paštu galima tik gavus išankstinį sutikimą.

Tačiau ERĮ 81 straipsnio 2 dalis numato išimtį, kai sutikimo nereikia, jei tenkinamos visos šios sąlygos:

  1. El. pašto adresas gautas iš paties kliento;
  2. Duomenų rinkimo metu suteikta aiški ir nemokama galimybė nesutikti;
  3. Naudojami tik elektroninio pašto kontaktiniai duomenys;
  4. Siūlomos tik savo panašios prekės ar paslaugos;
  5. Kiekviename laiške sudaryta aiški galimybė atsisakyti.

Tik esant visoms šioms sąlygoms, galima teisėtai siųsti rinkodarą be atskiro aktyvaus sutikimo.

VDAI nustatė du esminius trūkumus.

  • Nepagrįstas „panašių prekių ar paslaugų“ kriterijus

Bendrovė neįrodė, kad siųsti pasiūlymai buvo susiję su kliento ankstesniu pirkimu ir atitiko „panašumo“ kriterijų.

Inspekcija pabrėžė, kad neužtenka deklaratyviai remtis ERĮ 81 straipsnio 2 dalimi – būtina konkrečiais duomenimis pagrįsti, jog reklamuojamos prekės iš tiesų yra panašios į tas, kurias klientas įsigijo.

Kadangi tokie įrodymai nebuvo pateikti, išimtis negalėjo būti taikoma.

  • Netinkamai suprastas sutikimas

Papildomai VDAI įvertino ir sutikimo klausimą.

Bendrovė laikė, kad klientas sutiko gauti rinkodarą, nes nepažymėjo langelio „nesutinku“.

Tačiau pagal BDAR:

  • sutikimas turi būti aktyvus,
  • aiškus,
  • nedviprasmiškas,
  • duotas konkrečiu veiksmu.

Tyla, neveikimas ar iš anksto suformuluotas „opt-out“ modelis (kai reikia pažymėti „nesutinku“) nelaikomi galiojančiu sutikimu.

VDAI pabrėžė, kad duomenų valdytojui tenka pareiga įrodyti, jog sutikimas buvo gautas tinkamai. Šiuo atveju tokio įrodymo nebuvo.

Europos duomenų apsaugos valdyba (toliau – EDPB) priėmė rekomendacijas dėl patvirtinimo paraiškos ir dėl duomenų tvarkytojui privalomose įmonės taisyklėse (BCR-P) esančių elementų ir principų

Šiomis rekomendacijomis atnaujinamas esamas įmonei privalomų taisyklių-P orientacinis dokumentas, kuriame pateikiami įmonei privalomų taisyklių-P patvirtinimo kriterijai, ir jis sujungiamas su standartine įmonei privalomų taisyklių-P prašymo forma.

Įmonei privalomos taisyklės yra duomenų perdavimo priemonė, kurią įmonių grupė arba įmonės gali naudoti asmens duomenims perduoti už Europos ekonominės erdvės ribų tos pačios grupės duomenų tvarkytojams. Įmonei privalomomis taisyklėmis sukuriamos įgyvendinamos teisės ir nustatomi įsipareigojimai nustatyti tokį duomenų apsaugos lygį, kuris iš esmės būtų lygiavertis BDAR numatytam lygiui.

Naujosios rekomendacijos grindžiamos nuo BDAR taikymo pradžios pasiektais susitarimais ir patirtimi, kurią DAI įgijo vykdydamos konkrečių įmonei privalomų taisyklių taikymo patvirtinimo procedūras, taip pat darbu, atliktu įgyvendinant atnaujintas rekomendacijas dėl duomenų valdytojui privalomų įmonės taisyklių.

Rekomendacijose pateikiami aiškūs kriterijai ir paaiškinimai, kuriais siekiama užtikrinti, kad įmonių grupių arba įmonių parengtos įmonei privalomos taisyklės atitiktų BDAR. Rekomendacijose paaiškinama, kada galima taikyti įmonei privalomas taisykles, t. y. tik duomenų perdavimui grupės viduje tarp duomenų tvarkytojų, kai duomenų valdytojas nepriklauso grupei.

Be to, rekomendacijose paaiškinama, kad įmonei privalomos taisyklės parengtos taip, kad atitiktų BDAR 28 straipsnio 4 dalies reikalavimus. Tai reiškia, kad bet kuriam grupei priklausančiam duomenų tvarkytojui, naudojančiam įmonei privalomas taisykles (BCR-P), nereikia su kiekvienu grupės pagalbiniu duomenų tvarkytoju pasirašyti atskiro pagalbinio duomenų tvarkymo susitarimo. 

Dėl rekomendacijų viešos konsultacijos vyks iki 2026 m. kovo 2 d. 

EDPB ir Europos duomenų apsaugos priežiūros pareigūnas (toliau – EDPS): ES Dirbtinio intelekto akto (DI Aktas) supaprastinimas neturi silpninti pagrindinių teisių apsaugos

EDPB ir EDPS pritarė DI akto įgyvendinimo supaprastinimui, tačiau pabrėžė:

  • Negalima silpninti atskaitomybės principo;
  • Turi išlikti aukštos rizikos DI sistemų registravimo pareiga;
  • Būtinas DPA įsitraukimas į DI „regulatory sandboxes“;
  • Neturėtų būti atidėliojami pagrindiniai skaidrumo reikalavimai.

Finansų įstaigoms rekomenduojama jau dabar peržiūrėti DI valdymo ir rizikos valdymo sistemas.

Visuomenės pasitikėjimas duomenų apsauga Lietuvoje auga

2025 m. atlikta reprezentatyvi apklausa parodė:

  • 85 % gyventojų yra girdėję apie BDAR;
  • 34 % teigia esantys susipažinę su BDAR;
  • 58 % pasitiki, kad organizacijos Lietuvoje užtikrina duomenų apsaugą;
  • 62 % pasitiki savo darbdaviais duomenų apsaugos srityje.

Asmens duomenų apsaugos sąlygų indeksas (ADAS) 2025 m. siekia 63 % – rodiklis išlieka stabilus ir aukštas.

Vis dėlto praktinės žinios apie teises ir pareigas vis dar ribotos.

Siekiant stiprinti atitiktį, rekomenduojame reguliarius BDAR mokymus darbuotojams ir vadovybei.

Mes siūlome:

  • Nuotolinius BDAR mokymus per mokymų platformą;
  • Gyvus arba nuotolinius, organizacijos poreikiams pritaikytus mokymus;
  • BDAR auditą ir atitikties vertinimą;
  • Rinkodaros procesų peržiūrą ir rizikų mažinimo sprendimus.

Ką daro organizacijos, kurios TIS2 atitikties link juda teisinga kryptimi?

Dirbant su organizacijomis, kurioms taikomi TIS2 (NIS2) ir Kibernetinio saugumo įstatymo reikalavimai, ryškėja viena bendra tendencija: sėkmingas pasirengimas nėra apie „vieną sprendimą“ ar vien IT priemones. Organizacijos, kurios TIS2 atitikties link juda teisinga kryptimi, dažniausiai daro ne „daugiau dokumentų“, o teisingus sprendimus:

  • 𝐏𝐫𝐚𝐝𝐞𝐝𝐚 𝐧𝐮𝐨 𝐫𝐢𝐳𝐢𝐤ų, 𝐧𝐞 𝐧𝐮𝐨 š𝐚𝐛𝐥𝐨𝐧ų. Identifikuoja kritines paslaugas, svarbiausius tiekėjus, realius „kas blogiausia gali nutikti“ scenarijus.
  • 𝐀𝐢š𝐤𝐢𝐚𝐢 𝐩𝐚𝐬𝐤𝐢𝐫𝐢𝐚 𝐚𝐭𝐬𝐚𝐤𝐨𝐦𝐲𝐛𝐞𝐬. Valdyba/CEO įsitraukia, yra savininkai už rizikas, incidentus, tiekėjus, tęstinumą.
  • 𝐒𝐮𝐭𝐯𝐚𝐫𝐤𝐨 𝐢𝐧𝐜𝐢𝐝𝐞𝐧𝐭ų 𝐯𝐚𝐥𝐝𝐲𝐦ą 𝐩𝐫𝐚𝐤𝐭𝐢š𝐤𝐚𝐢. Veikia eskalacija, kontaktų grandinė, pratybos, aiškūs playbook’ai (ne stalčiuje).
  • 𝐕𝐚𝐥𝐝𝐨 𝐭𝐢𝐞𝐤𝐢𝐦𝐨 𝐠𝐫𝐚𝐧𝐝𝐢𝐧ę. Ne vien tik klausimynai – realūs reikalavimai sutartyse, minimalūs kontrolės standartai, kritinių tiekėjų peržiūra.
  • 𝐌𝐚𝐭𝐮𝐨𝐣𝐚 𝐩𝐚ž𝐚𝐧𝐠ą. KPI/KRI, prioritetų sąrašas, aiškus planas „ką darom per 30/60/90 dienų“, o ne vienkartinis auditas.
  • 𝐈𝐧𝐯𝐞𝐬𝐭𝐮𝐨𝐣𝐚 į 𝐛𝐚𝐳ę. 𝘈𝘴𝘴𝘦𝘵 𝘪𝘯𝘷𝘦𝘯𝘵𝘰𝘳𝘺, 𝘱𝘢𝘵𝘤𝘩𝘪𝘯𝘨, IAM/MFA, log’ų matomumas, atsarginės kopijos ir jų testavimas.

TIS2 kelias nėra sprintas. Bet jei organizacija turi aiškų prioritetų planą, valdymo modelį ir treniruotą reagavimą, ji jau lenkia daugumą.

Daugiau apie TIS2 direktyvos reikalavimus skaitykite čia.

ECOVIS TIS2 įrankis

 

 

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!



    placeholder "Įveskite savo el.paštą"]