BDAR apžvalga: naujienos ir ekspertų patarimai 2026 m. sausio mėn.

2026-ieji prasideda aktyviomis duomenų apsaugos aktualijomis Europoje ir Lietuvoje. Šiame BDAR naujienlaiškyje apžvelgiame svarbiausius Europos duomenų apsaugos valdybos (EDAV) sprendimus ir rekomendacijas, reikšmingas priežiūros institucijų praktikos naujienas, sankcijas už BDAR ir Skaitmeninių paslaugų akto pažeidimus, taip pat naujausią teismų praktiką, susijusią su kibernetiniais incidentais ir duomenų valdytojų atsakomybe.

Duomenų apsaugos stiprinimas visame pasaulyje: EDAV susitikimas su šalimis ir organizacija, turinčiomis ES tinkamumo sprendimą

Gruodžio mėnesio plenarinio posėdžio metu Europos duomenų apsaugos valdyba (EDAV) surengė nuotolinį susitikimą su duomenų apsaugos institucijų (DAI) vadovais ir atstovais iš šalių bei organizacijos, kurioms Europos Sąjunga yra priėmusi tinkamumo sprendimą.

Tinkamumo sprendimas – tai vienas pagrindinių ES duomenų apsaugos teisės aktų mechanizmų, leidžiantis laisvą asmens duomenų judėjimą iš Europos į trečiąsias šalis ar tarptautines organizacijas, užtikrinančias tinkamą duomenų apsaugos lygį.* Šiuo metu tokiu sprendimu naudojasi šios šalys ir organizacija: Andora, Argentina, Kanada, Farerų Salos, Gernsis, Izraelis, Meno sala, Japonija, Džersis, Naujoji Zelandija, Korėjos Respublika, Šveicarija, Jungtinė Karalystė, Urugvajus, Jungtinės Amerikos Valstijos ir Europos patentų organizacija.

Šių šalių duomenų apsaugos institucijos ir Europos patentų organizacija yra svarbūs EDAV partneriai, atliekantys reikšmingą vaidmenį bendrose pastangose stiprinti duomenų apsaugą visame pasaulyje.

Daugiašalio bendradarbiavimo stiprinimas

Pirmąjį susitikimą su penkiolikos ES tinkamumo sprendimą turinčių šalių duomenų apsaugos institucijomis Valdyba surengė 2024 m. spalio mėn.

Po šio susitikimo EDAV ir šalių bei organizacijos, kurioms taikomas ES tinkamumo sprendimas, duomenų apsaugos institucijos sustiprino bendradarbiavimą – dalijosi informacija apie tam tikrus konsultacinius darbus ir keitėsi patirtimi tarptautinio duomenų apsaugos vykdymo užtikrinimo srityje.

EDAV rekomendacijos dėl naudotojų privatumo apsaugos elektroninėje prekyboje

Europos duomenų apsaugos valdyba (EDAV) priėmė rekomendacijas dėl teisinio pagrindo reikalauti, kad elektroninės prekybos svetainių naudotojai susikurtų naudotojo paskyrą.

Interneto naudotojai lankosi elektroninės prekybos svetainėse dėl įvairių priežasčių – norėdami įsigyti prekių internetu, pasinaudoti specialiais pasiūlymais ar tiesiog peržiūrėti prekes. Sąveikaujant su tokiomis svetainėmis, naudotojų gali būti prašoma susikurti paskyrą, o tai lemia asmens duomenų rinkimą ir tvarkymą bei didesnę privatumo ir saugumo riziką.

EDAV rekomendacijos skirtos paaiškinti, kada elektroninės prekybos svetainės gali pagrįstai reikalauti, kad naudotojai susikurtų paskyrą.

Bendroji taisyklė – naudotojams turėtų būti sudaryta galimybė naudotis elektroninės prekybos svetainėmis, įskaitant galimybę įsigyti prekes, nesukuriant paskyros. Tokiais atvejais EDAV rekomenduoja elektroninės prekybos svetainėms suteikti pasirinkimą: naudotis „svečio“ režimu, leidžiančiu apsipirkti be paskyros sukūrimo, arba savanoriškai susikurti paskyrą. Toks požiūris sumažina renkamų ir tvarkomų asmens duomenų kiekį ir atitinka BDAR duomenų apsaugos pagal projektavimą ir pagal nutylėjimą principą.

Vis dėlto tam tikrais ribotais atvejais privalomas paskyros sukūrimas gali būti pagrįstas, pavyzdžiui, teikiant prenumeratos paslaugas arba suteikiant prieigą prie išskirtinių pasiūlymų.

Rekomendacijose pabrėžiamos EDAV pastangos skatinti pragmatišką, naudotojams palankią ir privatumą saugančią praktiką elektroninės prekybos sektoriuje.

Šios rekomendacijos teikiamos viešosioms konsultacijoms, sudarant suinteresuotosioms šalims galimybę pateikti pastabas ir atsiliepimus.

Europos Komisija pagal Skaitmeninių paslaugų aktą skyrė „X“ 120 mln. eurų baudą

Europos Komisija pirmą kartą skyrė baudą už pažeidimą pagal Skaitmeninių paslaugų aktą (SPA, angl. Digital Services Act – DSA). Elono Musko valdoma socialinės žiniasklaidos platforma „X“ buvo nubausta 120 mln. eurų (apie 140 mln. JAV dolerių) bauda už skaidrumo pareigų pažeidimus.

Komisija nustatė, kad platforma „X“ pažeidė SPA reikalavimus trijose pagrindinėse srityse:

  • Klaidinantis „mėlynosios varnelės“ (blue checkmark) patvirtinimo sistemos dizainas.

Platformoje „X“ bet kuris asmuo gali įsigyti „patvirtintos“ paskyros statusą, įmonei iš esmės netikrinant, kas iš tikrųjų slypi už paskyros. Dėl to naudotojams tampa sunku įvertinti paskyrų ir jose skelbiamo turinio autentiškumą. Toks klaidinimas didina sukčiavimo, įskaitant apsimetimo (angl. impersonation) atvejus, bei kitų piktavališkų manipuliacijų riziką. Nors SPA nereikalauja privalomo naudotojų tapatybės patvirtinimo, jis aiškiai draudžia platformoms teigti, kad naudotojai yra patikrinti, jei toks patikrinimas faktiškai nebuvo atliktas.

  • Netinkamas reklamos registras.

Komisija nustatė, kad „X“ reklamos registrui trūksta esminės informacijos apie reklamos turinį ir reklamos užsakovų tapatybę. Be to, platformoje taikomi dizaino sprendimai ir prieigos kliūtys, pavyzdžiui, pertekliniai vėlavimai apdorojant užklausas, iš esmės silpnina reklamos registrų paskirtį. Registras taip pat nepateikia svarbios informacijos, tokios kaip reklamos turinys, tema ar ją apmokėjęs juridinis asmuo, todėl tyrėjams ir visuomenei apsunkinama galimybė savarankiškai vertinti galimas rizikas internetinės reklamos srityje.

  • Neužtikrinta veiksminga prieiga tyrėjams prie viešųjų duomenų.

„X“ paslaugų teikimo sąlygos draudžia reikalavimus atitinkantiems tyrėjams savarankiškai pasiekti platformos viešuosius duomenis, įskaitant duomenų rinkimą automatizuotais būdais (angl. scraping). Be to, platformos taikomos prieigos procedūros sukuria nepagrįstas kliūtis, kurios iš esmės trukdo vykdyti tyrimus, susijusius su įvairiomis sisteminėmis rizikomis Europos Sąjungoje.

Prancūzijos duomenų apsaugos institucija nubaudė Izraelio „AdTech“ bendrovę už BDAR pažeidimus

Prancūzijos duomenų apsaugos institucija CNIL skyrė 1 mln. eurų baudą Izraelio „AdTech“ bendrovei „Optimove“ už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus, nustatytus tyrimo metu.

2022 m. lapkritį ES veikianti platforma informavo CNIL apie didelį asmens duomenų saugumo pažeidimą. Duomenys apie nuo 12,7 iki 21,6 mln. naudotojų (iš jų 9,8 mln. Prancūzijoje), įskaitant vardus, amžių, el. pašto adresus ir klausymosi įpročius, buvo paskelbti „tamsiajame internete“ (angl. dark web).

Platforma nustatė, kad pažeidimo šaltinis buvo buvęs jos subrangovas, teikęs personalizuotos reklamos paslaugas. CNIL 2023 ir 2024 m. atliko patikrinimus, o 2025 m. pradėjo oficialų tyrimą, kurio metu buvo nustatyti keli BDAR pažeidimai, padaryti šio subrangovo.

Pagrindiniai CNIL nustatyti BDAR pažeidimai:

  • Duomenų neištrynimas pasibaigus sutarčiai.
  • Duomenų tvarkymas viršijant duomenų valdytojo nurodymus.
  • Tvarkymo veiklos įrašų nebuvimas.

VDAI paskelbė rekomendacijas dėl sekimo pikselių naudojimo ir blokavimo

Valstybinė duomenų apsaugos inspekcija (VDAI) 2025 m. paskelbė rekomendacijas dėl sekimo pikselių (tracking pixels) naudojimo ir jų blokavimo galimybių. Rekomendacijos skirtos padėti vartotojams suprasti, kaip sekimo pikseliai renka informaciją, ir kaip asmenys gali apsisaugoti nuo tokio sekimo el. laiškuose, svetainėse ar reklamoje.

Kas yra sekimo pikselis?

Sekimo pikselis – tai nuoroda į išteklių, dažniausiai vaizdo failą, įterptą į turinį, pavyzdžiui:

  • el. laišką,
  • interneto svetainę,
  • internetines reklamas.

Jo tikslas – rinkti informaciją apie naudotojų elgseną. Pikselio kodas kreipiasi į serverį, kai asmuo atidaro el. laišką arba aplanko svetainę. Serveris užfiksuoja kiekvieną tokį veiksmą žurnaliniuose įrašuose, taip tvarkydamas duomenis apie naudotojų elgseną.

Kokius duomenis gali rinkti sekimo pikseliai?

  • IP adresą
  • Geografinę buvimo vietą
  • Naršyklės arba el. pašto programos tipą ir versiją
  • Naudojamo įrenginio tipą (mobilus ar stacionarus)
  • Ekrano raišką
  • Operacinę sistemą ir jos versiją
  • Apsilankymų laiką ir dažnumą
  • Naudojamus papildinius
  • Elgesį svetainėje, socialiniame tinkle ar el. laiške
  • Kada laiškas buvo perskaitytas arba svetainė aplankyta

Kartais sekimo pikseliai gali rinkti net el. pašto adresą, ypač jei laiškas persiunčiamas naujam gavėjui.

Kaip apsisaugoti nuo sekimo pikselių?

1. El. pašto programose

Outlook (programa)

1. Atidarykite Outlook.

2. Nustatymai: Failas → Parinktys → Patikimumo centras → Patikimumo centro nustatymai → Automatinis atsisiuntimas

3. Pažymėkite: Nesiųsti automatiškai paveikslėlių HTML el. laiškuose arba RSS elementuose

4. Papildomai galite pažymėti: Įspėti prieš atsisiunčiant turinį redaguojant, persiunčiant arba atsakant į el. laišką

5. Išsaugokite pakeitimus (Gerai → Gerai)

Outlook Web App (naršyklė)

1. Prisijunkite prie Outlook.com

2. Nustatymai → Žiūrėti visus nustatymus → Paštas → Rašyti ir atsakyti

3. Slinkite iki skilties Žinutės formatas

4. Pažymėkite: Automatiškai nesiųsti paveikslėlių iš interneto

5. Išsaugokite pakeitimus

Gmail

1. Prisijunkite prie Gmail

2. Nustatymai → Žiūrėti visus nustatymus → Bendrieji → Vaizdai

3. Pažymėkite: Klausti prieš rodant išorinius vaizdus

4. Išsaugokite pakeitimus.

Naršyklėse

  • Privatumo apsaugos plėtiniai: uBlock Origin, Privacy Badger, Ghostery, AdGuard

Naršyklių integruota apsauga:

  • Firefox: Sustiprinta stebėjimo apsauga → režimas Griežtas
  • Safari: Išmanioji stebėjimo prevencija (Intelligent Tracking Prevention)
  • Microsoft Edge: Stebėjimo prevencija → režimas Griežtas

Šios priemonės leidžia blokuoti sekimo pikselius ir užtikrinti didesnį privatumo lygį el. pašto bei interneto naudojimo metu.

Automobilių remonto ir prekybos bendrovei skirta bauda už asmens duomenų saugumo pažeidimus

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) už asmens duomenų saugumo pažeidimus UAB „Ramidonas“ skyrė 6 000 eurų baudą.

VDAI, gavusi Lietuvos Respublikos krašto apsaugos ministerijos ir Lietuvos kriminalinės policijos biuro sunkaus organizuoto nusikalstamumo tyrimo 5-osios valdybos pranešimus apie įsilaužimą į minėtos bendrovės el. parduotuvę ir nutekintus asmenų duomenis, atliko asmens duomenų saugumo pažeidimo (toliau – ADSP) tyrimą ir nurodė bendrovei atlikti būtinus veiksmus. Bendrovei nurodyta dokumentuoti slaptažodžių politiką, užtikrinti reguliarų slaptažodžių keitimą ir periodinį visų darbuotojų apmokymą asmens duomenų apsaugos klausimais, taip pat atnaujinti programinę įrangą.

Vėliau buvo gautas anoniminio asmens pranešimas apie nutekintus minėtos bendrovės tvarkomus asmenų duomenis pokalbių programėlėje „Telegram“. VDAI, įvertinusi šią informaciją, atnaujino ADSP tyrimą dėl UAB „Ramidonas“.

Atlikus patikrinimus dėl BDAR nuostatų pažeidimo pradėta ir administracinės baudos skyrimo procedūra. VDAI atliktų tyrimų metu nustatyta, kad bendrovė neužtikrino tinkamos prieigų kontrolės ir autentifikavimo; netinkamai apmokė darbuotojus; neįgyvendino kitų tinkamų techninių ir organizacinių saugumo priemonių asmens duomenims apsaugoti ir taip pažeidė BDAR 5 str. 1 dalies f punkto, 32 str. 1 dalies b ir d punktų nuostatas. Už šiuos asmens duomenų saugumo pažeidimus UAB „Ramidonas“ skirta 6 000 eurų bauda.

Nukentėjusio duomenų valdytojo regreso teisė į kibernetinius nusikaltėlius

Lietuvos Aukščiausiasis Teismas 2025 m. gruodžio 17 d. nutartyje baudžiamojoje byloje (civilinis ieškinys) nagrinėjo situaciją, kai po kibernetinės atakos buvo pavogti ir iš dalies paviešinti apie 24 tūkst. klinikos pacientų (įskaitant specialių kategorijų) duomenys, o už jų pašalinimą buvo reikalaujama pinigų. Atsakovai buvo pripažinti kaltais, be kita ko, dėl neteisėto prisijungimo prie informacinės sistemos, neteisėto informacijos apie privatų gyvenimą rinkimo / atskleidimo ir turto prievartavimo, jų kaltės forma – tyčia.

LAT aiškiai atribojo situacijas, kai galima „mažinti“ tyčia nusikalstamai veikusio asmens atsakomybę remiantis nukentėjusiojo (valdytojo) elgesiu. Teismas nurodė, kad kai žala padaryta nusikalstama tyčia, CK 6.282 (mišri kaltė) netaikytinas taip, kad mažintų tyčinį nusikaltimą padariusio asmens atsakomybę vien nukentėjusiojo kaltės argumentu.

Duomenų valdytojui jo tvarkomų duomenų saugumas, atskaitomybė, susijusių incidentų valdymas lieka jo atsakomybė, tačiau ši nutartis sustiprina labai praktišką kryptį: jei valdytojas atlygina duomenų subjektams žalą, regresą į tyčia veikusius įsilaužėlius galima pagrįsti visa apimtimi, todėl po incidento verta kryptingai investuoti į kaltininkų identifikavimą ir įrodymų fiksavimą – kad regresui būtų realus adresatas.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!



    placeholder "Įveskite savo el.paštą"]