BDAR apžvalga: naujienos ir ekspertų patarimai, 2026 m. gegužės mėn.

Tiesioginės rinkodaros taisyklių pakeitimai Lietuvoje nuo 2026 m. liepos

2026 m. balandžio 16 d. Seimas priėmė Elektroninių ryšių įstatymo pataisas, konkrečiai patikslinančias 81 straipsnį, reglamentuojantį elektroninių ryšių naudojimą rinkodaros tikslais. Šie pakeitimai įsigalios nuo 2026 m. liepos 1 d.

Svarbu atkreipti dėmesį, kad šios pataisos taikomos tik tiesioginei rinkodarai, vykdomai elektroninių ryšių priemonėmis (pvz., el. paštu, SMS), ir neapima kitų rinkodaros formų.

B2B tiesioginė rinkodara: kas pasikeis?

Pagal naujas taisykles, tiesioginę rinkodarą juridiniams asmenims bus galima vykdyti be išankstinio sutikimo – remiantis atsisakymo (opt-out) modeliu. Tai reiškia, kad rinkodaros pranešimai gali būti siunčiami su sąlyga, kad gavėjams bet kada suteikiama aiški, nemokama ir paprasta galimybė atsisakyti tolesnių pranešimų. Tačiau pagrindinis reikalavimas yra tas, kad atsisakymo mechanizmas turi veikti praktiškai, o ne tik formaliai. Praktikoje tai reiškia:

• kiekviename pranešime turi būti aiški ir patogi atsisakymo galimybė (pvz., vieno paspaudimo nuoroda atsisakyti prenumeratos);
• atsisakymas neturi reikalauti papildomų veiksmų, pvz., prisijungimo ar formų pildymo;
• atsisakymo prašymai turi būti įvykdyti nedelsiant arba per protingą laikotarpį.

Pagrindinė atitikties rizika slypi ne pačiame pranešimų siuntimo faktas, o neveiksminguose atsisakymo mechanizmuose. Jei atsisakymo procesas yra tik formalus, pernelyg sudėtingas arba tinkamai neveikia, tai gali būti laikoma pažeidimu – ne tik pagal Elektroninių ryšių įstatymą, bet ir pagal BDAR (ypač skaidrumo, teisėtumo principus ir duomenų subjektų teises).

Fizinių asmenų kontaktiniai duomenys: sutikimas vis dar privalomas.

Fiziniams asmenims taisyklės nesikeičia – tiesioginei rinkodarai vis dar reikalingas išankstinis sutikimas. Sutikimas turi būti:

• laisvas;
• konkretus;
• informuotas;
• nedviprasmiškas.

Paprastai jis išreiškiamas aiškiu teigiamu veiksmu (pvz., nepažymėto langelio pažymėjimu). Asmenys taip pat turi būti tinkamai informuoti apie tai, kaip bus naudojami jų duomenys ir kokio tipo pranešimai bus siunčiami.

Išimtis ‘‘soft opt-in‘‘ esamiems klientams

Nors fiziniams asmenims skirtai rinkodarai paprastai reikalingas išankstinis sutikimas, įstatymas numato išimtį – vadinamąjį “soft opt-in” esamiems klientams. Sutikimas nereikalingas, jei įvykdomos visos šios sąlygos:

• kontaktiniai duomenys gauti teisėtai, prekių ar paslaugų pardavimo kontekste;
• rinkodara susijusi tik su panašiomis prekėmis ar paslaugomis;
• klientui duota aiški galimybė prieštarauti duomenų rinkimo metu;
• klientui suteikiama aiški galimybė atsisakyti kiekviename tolesniame pranešime.

Rekomendacijos rinkodaros atitikčiai:

Taikyti skirtingas taisykles B2B ir B2C klientams – tai paprastai įgyvendinama atsiskaitymo arba registracijos etape.

B2B (juridiniai asmenys):

• naujienlaiškiams ir rinkodaros el. laiškams sutikimas nereikalingas;
• rinkodara gali būti siunčiama bendriesiems verslo kontaktiniams duomenims;
• kiekviename pranešime turi būti aiški ir paprasta atsisakymo galimybė;
• informacija apie tiesioginę rinkodarą turi būti įtraukta į privatumo politiką;
• vengti pernelyg intensyvių ar įkyrių pranešimų.

B2C (fiziniai asmenys):

• naudoti du atskirus žymėjimo langelius: sutikimas gauti rinkodarą ir atsisakymas gauti rinkodarą;
• jei sutikimas duotas – rinkodara grindžiama BDAR sutikimu;
• jei pasirinktas atsisakymas – rinkodara negalima.

Esminiai atitikties reikalavimai:

• palaikyti aiškią privatumo politiką, apimančią tiesioginę rinkodarą ir teisinius pagrindus;
• užtikrinti techninę galimybę fiksuoti sutikimus ir atsisakymus;
• į kiekvieną el. laišką įtraukti aiškią prenumeratos atsisakymo galimybę;
• užtikrinti, kad vidinės sistemos tinkamai atspindėtų šias kategorijas.

Skaityti daugiau

EDPB poveikio duomenų apsaugai vertinimo (DAPV) šablonas

Europos duomenų apsaugos valdyba (EDPB) pristatė naują šabloną, skirtą organizacijoms padėti atlikti poveikio duomenų apsaugai vertinimus (PDAV). Šio šablono tikslas – supaprastinti BDAR atitiktį ir skatinti nuoseklumą visoje Europoje, pateikiant struktūrizuotą PDAV procesų ataskaitų formatą. Jis skirtas padėti organizacijoms aiškiai dokumentuoti, kaip jos vertina ir valdo su asmens duomenų tvarkymu susijusias rizikas.

Šiuo metu šablonas yra atviras viešoms konsultacijoms iki birželio 9 d., suteikiant suinteresuotosioms šalims galimybę teikti pastabas. Po šio laikotarpio Europos šalių duomenų apsaugos institucijos svarstys galimybę šabloną priimti kaip bendrą standartą arba kaip sistemą, suderintą su nacionaliniais reikalavimais. Organizacijoms rekomenduojama naudoti šabloną jau dabar ir dalintis savo patirtimi, kad padėtų tobulinti šią priemonę.

Organizacijos privalo atlikti PDAV, jei planuoja:

• vykdyti sisteminį ir išsamų fizinių asmenų asmeninių aspektų vertinimą, grindžiamą automatizuotu tvarkymu, įskaitant profiliavimą, ir kurio pagrindu priimami sprendimai, turintys teisinę galią ar panašaus reikšmingo poveikio;
• didelio masto specialių kategorijų asmens duomenis ar su baudžiamaisiais nuosprendžiais bei nusikalstamomis veikomis susijusius duomenis;
• sistemingai stebėti viešai prieinamas vietas dideliu mastu;
• tvarkyti biometrinius duomenis identifikavimo ar stebėjimo tikslais;
• įrašinėti telefoninius pokalbius;
• vykdyti vaizdo stebėjimą kartu su garso įrašymu;
• stebėti darbuotojus (pvz., sekti darbuotojų veiksmus ir elgesį elektroninėse sistemose);
• vykdyti kitą panašią tvarkymo veiklą.

PDAV privalo:

• aprašyti asmens duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus;
• įvertinti tvarkymo operacijų būtinumą, proporcingumą ir atitiktį teisės aktams;
• nustatyti ir įvertinti rizikas duomenų subjektų teisėms ir laisvėms;
• apibrėžti rizikos mažinimo priemones ir papildomas apsaugos, saugumo ir duomenų apsaugos užtikrinimo priemones.

PDAV atlikimo nauda:

• patvirtina BDAR atitiktį;
• užtikrina, kad duomenų subjektai nebūtų veikiami jų teises pažeidžiančios rizikos;
• mažina veiklos sąnaudas optimizuojant duomenų srautus ir pašalinant nereikalingą duomenų rinkimą;
• mažina organizacijos duomenų saugumo rizikas;
• mažina duomenų apsaugos priemonių diegimo sąnaudas, jas integruojant projekto kūrimo pradiniame etape.

Rekomendacijos:

PDAV turėtų būti atliekamas, kai asmens duomenų tvarkymas gali sukelti didelę riziką asmenų teisėms ir laisvėms, ypač naudojant naujas technologijas, vykdant didelio masto tvarkymą ar sistemingą stebėjimą. DAPV atlikimas padeda anksti nustatyti ir sumažinti rizikas bei palaiko BDAR atitiktį. Rekomenduojame:

• įvertinti, ar BDAR reikalauja atlikti PDAV;
• į vertinimą įtraukti teisines, technines ir organizacines priemones;
• nustatyti vidines PDAV procedūras ir dokumentavimo procesus;
• reguliariai peržiūrėti PDAV keičiantis tvarkymo veikloms ar susijusioms rizikoms.

PDAV dažniausiai reikalingas biometrinių duomenų tvarkymui, darbuotojų stebėsenai, CRM sistemoms, didelio masto asmens duomenų tvarkymui, duomenų perdavimui į trečiąsias šalis ir kitai sudėtingai tvarkymo veiklai.

EDPB 2025 m. metinė ataskaita

Europos duomenų apsaugos valdyba (EDPB) paskelbė 2025 metu metine ataskaita, kurioje apžvelgiami svarbiausi duomenų apsaugos pokyčiai Europos Sąjungoje. Ataskaita pabrėžia nuolatinį BDAR vykdymą ir auganti tarpvalstybinių bylų skaičių, kurį nagrinėja EDPB. Tai atspindi augančiaą asmens duomenų  privatumo svarbą ir ES valdžios institucijų isipareigojimų ginti piliečiu teises sparčiai kintančioje skaitmeninėje aplinkoje.

2025 m. EDPB sutelkė dėmesį i bendradarbiavimo tarp nacionalinių duomenų apsaugos institucijų stiprinimą, siekdama užtikrinti nuoseklų BDAR taisyklių taikymą. Buvo apdorota daugiau nei 1 200 tarpvalstybinių bylų, demonstruojant patikimą mechanizmą sprendžiant sudėtingus duomenų apsaugos klausimus, paveikiančius kelias valstybes nares. Šis bendradarbiavimas padėjo patikslinti reguliavimo lūkesčius ES veikiančioms įmonėms, suteikiant didesnį teisinį tikruma ir skatinant atitiktį.

Ataskaita taip pat pabrėžia EDPB vaidmenį padedant organizacijoms spręsti naujų technologijų – dirbtinio intelekto ir didelių duomenų analizės – keliamus iššūkius. Leisdama gaires ir rekomendacijas, EDPB padeda įmonėms įgyvendinti duomenų apsaugą nuo projekto pradžios (privacy by design) ir pagal nutylėjimą (privacy by default), kas yra būtina pasitikėjimui palaikyti ir fizinių asmenų asmens duomenims saugoti. Šis išankstinis požiūris siekia išvengti pažeidimų ir sumažinti baudų riziką.

Finansine ataskaitos dalis pažymi, kad 2025 m. skirtos baudos už BDAR pažeidimus sudarė apie 300 mln. euru, patvirtindamos rimtas neatitikties pasekmes. EDPB ir toliau teikia prioritetą skaidrumui ir atskaitomybei, skatindama organizacijas taikyti geriausias praktikas ir gerbti duomenų subjektu pagrindines teises. Apibendrinant, 2025 m. metinė ataskaita atspindi tvirtą įsipareigojimšų saugoti privatumą ir puoselėti saugią skaitmeninę aplinka ES.

Lietuvos VDAI konstatavo neteisėtą tiesioginę rinkodarą dėl žmogiškosios klaidos

2025 m. birželio 3 d. Valstybinė duomenų apsaugos inspekcija (VDAI) gavo fizinio asmens skundą dėl neteisėtos tiesioginės rinkodaros veiklos, kurią vykdė UAB SMAGUS. Skundo pateikėjas nurodė, kad 2025 m. gegužės 27 d. gavo reklaminį el. laišką, nors tvirtino, kad jo el. pašto adresas yra privatus ir viešai neprieinamas. Pasak skundo pateikėjo, šis adresas naudojamas tik konkrečiam socialiniam tinklui ir nesidalijamas net su artimaisiais. Taip pat nurodyta, kad jis niekada nesilankė minėtoje įmonėje ir neturi vaikų, kurie lankytų įmonės valdomą parką.

Išnagrinėjusi skundą, VDAI nustatė, kad įmonė išsiuntė el. laišką, reklamuojantį šeimos pramogų renginius savo parke. Žinutė kvietė švęsti Tėvo dieną su kūrybinėmis dirbtuvėmis ir pramogomis vaikams. VDAI pripažino, kad šio turinio pranešimas atitinka tiesioginės rinkodaros apibrėžimą pagal taikytinus teisės aktus.

Paaiškinime, pateiktame 2025 m. liepos 25 d., įmonė nurodė, kad el. pašto adresai renkami per loterijos dalyvavimo formas, kurias lankytojai pildyto tiesiogiai įmonėje. Pasak įmonės, incidentas įvyko dėl žmogiškosios klaidos: arba lankytojas klaidingai nurodė neteisingą el. pašto adresą, arba darbuotojas padarė klaidą perkeliant adresą iš popierinės formos į sistemą. Įmonė pabrėžė, kad skundo pateikėjo el. pašto adresas negalėjo būti gautas iš viešai prieinamų šaltinių ir į sistemą pateko per klaidą. Taip pat patvirtino, kad el. pašto adresas ištrintas ir skundo pateikėjui atsiprašyta.

VDAI nustatė, kad įmonė išsiuntė tiesioginės rinkodaros el. laišką be išankstinio skundo pateikėjo sutikimo, tuo pažeisdama Elektroninių ryšių įstatymo 81 straipsnio 1 dalį. Skundas buvo pripažintas pagrįstu.

Atsižvelgdama į tai, kad pažeidimas atsirado dėl vienkartinės žmogiškosios klaidos, įmonė greitai ištaisė klaidą ir nenustatytos jokios reikšmingos neigiamos pasekmės, VDAI nusprendė, kad pažeidimo konstatavimas yra pakankama ir proporcinga priemonė. Jokie papildomi korekciniai veiksmai ar sankcijos nebuvo skirti.

Rekomendacijos:

Nuo 2026 m. liepos 1 d. įsigalioja Lietuvos Respublikos elektroninių ryšių įstatymo 81 straipsnio pakeitimai, nustatantys atnaujintus reikalavimus naudoti elektroninių ryšių paslaugas tiesioginės rinkodaros tikslais. Nuo tos datos tiesioginei rinkodarai elektroninių ryšių priemonėmis taikomi atnaujinti reikalavimai:

• B2B rinkodara (juridiniai asmenys) gali būti vykdoma be išankstinio sutikimo, jei kiekviename pranešime suteikiama aiški, nemokama ir lengvai įgyvendinama atsisakymo galimybė. Atsisakymo mechanizmas turi veikti ir būti patogus naudoti praktiškai.
• B2C rinkodara (fiziniai asmenys) ir toliau reikalauja išankstinio, aiškaus, informuoto ir nedviprasmiško sutikimo. “Minkštojo sutikimo” išimtis taikoma tik esamiems klientams ir tik griežtai apibrėžtomis sąlygomis.
• Visi rinkodaros pranešimai turi turėti aiškų atsisakymo mechanizmą, o atsisakymo prašymai turi būti vykdomi nedelsiant.

Organizacijos turėtų peržiūrėti ir dokumentuoti savo rinkodaros procesus bei atnaujinti procedūras ir dokumentaciją, kad tiesioginės rinkodaros veikla atitiktų BDAR ir Lietuvos Respublikos elektroninių ryšių įstatymo reikalavimus.

Vinted gavo VDAI įspėjimą dėl netinkamo duomenų subjektų prieigos prašymų nagrinėjimo

Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą byloje pagal Vokietijos priežiūros institucijos perduotą skundą dėl duomenų subjektų prieigos prašymų nagrinėjimo Vinted, UAB.

Skundo pateikėjo paskyra buvo užblokuota dėl tariamos nesąžiningos veiklos, kurią, kaip pranešama, lėmė automatizuotas sprendimų priėmimas. Asmuo vėliau pasinaudojo teise susipažinti su savo duomenimis pagal BDAR 15 straipsnį ir paprašė informacijos apie sprendimo logiką bei savo asmens duomenų gavėjus. Tačiau įmonė tinkamai neatsako į šį prašymą. Vietoj reikiamos informacijos skundo pateikėjas buvo nukreiptas į privatumo politiką. VDAI nustatė, kad prašymas greičiausiai nebuvo teisingai identifikuotas kaip BDAR prieigos prašymas, o tai rodo vidaus procesų trūkumus.

Antras prašymas taip pat buvo nagrinėjamas netinkamai. Nors įmonė bandė patikrinti asmens tapatybę, šis procesas stokojo skaidrumo, aiškių terminų ir tinkamo bendravimo dėl atsisakymo veikti. Svarbiausia tai, kad įmonė neinformavo asmens apie jo teisę pateikti skundą ar pasinaudoti teisinėmis gynybos priemonėmis.

VDAI padarė išvadą, kad:

• įmonė pažeidė BDAR 12(3) ir 15(1) straipsnius, neatsakydama į pradinį prieigos prašymą;
• antrojo prašymo nagrinėjimas neatitiko BDAR 12(1) ir 12(4) straipsnių dėl nepakankamo skaidrumo ir komunikacijos.

Nors vartotojo paskyra ir susiję duomenys jau buvo ištrinti, VDAI skyrė įspėjimą ir įpareigojo įmonę pateikti aiškų paaiškinimą skundo pateikėjui dėl antrojo prašymo.

Rekomendacijos:

1. Įdiegti aiškią duomenų subjektų prašymų (DSAR) procedūrą. Apibrėžti, kaip prašymai identifikuojami, registruojami ir nagrinėjami. Užtikrinti, kad visi kanalai (pvz., bendri el. pašto adresai) būtų aprėpti.

2. Mokyti darbuotojus atpažinti BDAR prašymus. Prašymai neprivalo aiškiai nurodyti BDAR. Bet koks prašymas dėl prieigos prie asmens duomenų turi būti nagrinėjamas atitinkamai.

3. Nustatyti aiškius terminus ir komunikacijos standartus. Visada atsakyti per 1 mėnesį. Jei reikia patikrinti tapatybę: paaiškinti kodėl; nustatyti aiškų terminą; prašymą laikyti atviru iki išsprendžiamas.

4. Užtikrinti skaidrumą atsisakant nagrinėti ar uždarant prašymus. Aiškiai paaiškinti: atsisakymo ar neveikimo priežastis; teisę pateikti skundą priežiūros institucijai; galimas teisines gynybos priemones.

5. Tvarkyti prašymų registrą. Sekti visus prašymus, atliktus veiksmus ir terminus. Tai būtina siekiant pagrįsti atskaitomybę (BDAR 5 str.).

6. Paskirti aiškią atsakomybę. Paskirti atsakingą asmenį ar komandą. Vengti situacijų, kai prašymai “guli” bendrame el. pašto adrese.

Lietuvos VDAI skyrė baudą už asmens duomenų saugumo pažeidimą

VDAI skyrė 4 500 eurų baudą UAB DELSKA Lithuania kaip UAB Rakreejus teisinei perėmėjai už su asmens duomenų saugumu susijusius pažeidimus. Tyrimas pradėtas 2025 m. kovo mėn. po pranešimų apie asmens duomenų pažeidimus, susijusius su kibernetinio saugumo incidentu, įvykusiu UAB Rakreejus naudotoje viešųjų debesijos paslaugų platformoje.

Baigusi tyrimą, VDAI nustatė, kad pažeidimas palietė didelį skaičių duomenų subjektų asmens duomenis – beveik 3 000 asmenų. Dalis duomenų negalėjo būti atkurta, o paslaugų teikimas, įskaitant finansines paslaugas, buvo laikinai sutrikdytas. Institucija pažeidimą klasifikavo kaip vidutinio sunkumo.

VDAI padarė išvadą, kad įmonė neįgyvendino tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui užtikrinti, tuo pažeidžiant BDAR 32 straipsnio 1 dalies b punktą. Administracinė bauda skirta UAB DELSKA Lithuania kaip UAB Rakreejus perėmėjai, kuri buvo prijungta prie DELSKA vykstant tyrimui.

Rekomendacijos:

Organizacijos turi užtikrinti tinkamas technines ir organizacines apsaugos priemones, įskaitant prieigos kontrolę, šifravimą, reguliarius rizikos vertinimus ir saugias atsarginių kopijų sprendimus. Rekomenduojame:

• įvertinti debesijos paslaugų teikėjų saugumo standartus ir aiškiai paskirstyti atsakomybę duomenų tvarkymo sutartyse;
• įdiegti nuolatinę stebėseną, programinės įrangos atnaujinimų ir incidentų aptikimo mechanizmus;
• palaikyti patikimas atsarginių kopijų ir atkūrimo sistemas, siekiant užtikrinti veiklos tęstinumą ir išvengti duomenų praradimo;
• reguliariai mokyti darbuotojus ir nustatyti vidaus saugumo politikas, siekiant sumažinti su žmogiška klaida susijusias rizikas;
• nustatyti aiškias incidentų reagavimo procedūras, siekiant laiku identifikuoti, suvaldyti ir pranešti apie asmens duomenų pažeidimus pagal BDAR reikalavimus.

VDAI paskelbė D.U.K. apie tiesioginės rinkodaros pakeitimus juridinių asmenų atžvilgiu

Valstybinė duomenų apsaugos inspekcija paskelbė dažniausiai užduodamų klausimų (D.U.K.) sąrašą apie Lietuvos Respublikos elektroninių ryšių įstatymo (ERĮ) 81 straipsnio pakeitimus, susijusius su tiesiogine rinkodara juridinių asmenų atžvilgiu.

2026 m. balandžio 22 d. įsigaliojusiais pakeitimais buvo siekiama supaprastinti sąlygas vykdyti tiesioginę rinkodarą juridiniams asmenims, skatinti konkurencingumą bei sudaryti palankesnes sąlygas verslo komunikacijai.

D.U.K. aptariami praktiniai klausimai, susiję su rinkodaros pranešimų siuntimu juridiniams asmenims, taikomais reikalavimais, sutikimo poreikiu, gavėjų teisėmis bei rekomendacijomis, kaip užtikrinti atitiktį ERĮ ir BDAR reikalavimams. Organizacijoms rekomenduojame susipažinti su šiuo D.U.K. ir įvertinti, ar jų vykdoma tiesioginės rinkodaros praktika atitinka naujus reikalavimus.

Meta pralaimėjo teisme dėl galimų 430 mln. eurų BDAR baudų

Meta Platforms Ireland Ltd pralaimėjo svarbų teisinį ginčą prieš Airijos Duomenų apsaugos komisiją (DPC) dėl BDAR pažeidimo tyrimo. Byla kilo iš vieno 2018 m. „Facebook” vartotojo skundo dėl prieigos prie asmens duomenų, saugomų skaitmeninėje sistemoje „Hive”. Vartotojas teigė, kad be prieigos prie neapdorotų duomenų neįmanoma patikrinti, ar „Facebook” turi jautrių ar specialių kategorijų duomenų ir ar BDAR teisės yra tinkamai užtikrinamos. „Facebook” atsisakė pateikti šiuos duomenis, todėl DPC pradėjo oficialų tyrimą.

2025 m. spalio mėn. DPC preliminariame sprendimo projekte konstatavo, kad Meta pažeidė tris BDAR straipsnius. Komisija pasiūlė taisomąsias priemones: įspėjimą, pareigojimus pakeisti duomenų prieigos praktiką ir administracines baudas nuo 360 iki 430 mln. eurų. Šios priemonės atspindi reikšmingą duomenų tvarkymo praktikos poveikį milijonams „Facebook” vartotojų.

Meta ginčijo DPC teisę plėsti tyrimą už pradinio skundo ribų, teigdama, kad Komisija viršijo savo įgaliojimus, vesdama platesnį tyrimą dėl visų „Facebook” naudotojų. Tačiau teismas šį argumentą atmetė ir  nusprendė, kad skundo pagrindu pradėtas tyrimas gali teisėtai nagrinėti sistemines problemas ir taikyti sistemingas taisomąsias priemones, įskaitant baudas, jos nepriverčiant laikyti tyrimo savo iniciatyva.

Šis sprendimas patvirtina, kad DPC įgaliojimai vykdyti BDAR yra vienodi nepriklausomai nuo to, kaip pradėtas tyrimas. Komisija gali vertinti nustatytų pažeidimų platesnį poveikį ir atitinkamai taikyti taisomąsias priemones. Šis sprendimas sustiprina DPC vaidmenį užtikrinant veiksmingą BDAR vykdymą ir pabrėžia galimas pasekmes įmonėms, kurios nesilaiko duomenų apsaugos reikalavimų.