BDAR apžvalga: naujienos ir ekspertų patarimai, birželis 2026 m.

Meta pralaimėjo teisme dėl galimų 430 mln. eurų BDAR baudų

Meta Platforms Ireland Ltd pralaimėjo svarbų teisinį ginčą prieš Airijos duomenų apsaugos komisiją (DPC) dėl BDAR tyrimo apimties ir institucijos įgaliojimų taikyti sistemines poveikio priemones.

Byla kilo po 2018 m. „Facebook“ naudotojo skundo dėl prieigos prie jo asmens duomenų, saugomų skaitmeninėje sistemoje „Hive“. Skundo pareiškėjas nurodė, kad neturėdamas galimybės susipažinti su neapdorotais duomenimis negali tinkamai įvertinti, ar „Facebook“ tvarko jautrių kategorijų asmens duomenis ir ar užtikrinamos jo teisės pagal BDAR. „Facebook“ atsisakius pateikti prašomą informaciją, DPC pradėjo oficialų tyrimą.

2025 m. spalio mėn. DPC preliminariai nustatė galimus skaidrumo ir prieigos prie asmens duomenų reikalavimų pažeidimus. Komisija pasiūlė taikyti taisomąsias priemones, įskaitant įspėjimą, įpareigojimą pakeisti duomenų prieigos praktiką ir administracines baudas nuo 360 iki 430 mln. eurų. Siūlomos priemonės atspindi galimų pažeidimų mastą ir jų poveikį dideliam skaičiui „Facebook“ naudotojų.

„Meta“ ginčijo DPC teisę išplėsti tyrimo apimtį už pirminio skundo ribų, teigdama, kad institucija viršijo savo įgaliojimus. Tačiau teismas šį argumentą atmetė ir konstatavo, kad priežiūros institucija, pradėjusi tyrimą pagal individualų duomenų subjekto skundą, gali vertinti ir platesnio masto sistemines problemas, taip pat taikyti atitinkamas taisomąsias priemones, įskaitant administracines baudas.

Šis sprendimas sustiprina duomenų apsaugos priežiūros institucijų vaidmenį užtikrinant veiksmingą BDAR taikymą. Jis taip pat parodo, kad vieno duomenų subjekto skundas gali paskatinti priežiūros instituciją vertinti visos organizacijos duomenų tvarkymo praktiką.

Rekomendacijos organizacijoms

Siekiant sumažinti panašių rizikų tikimybę, organizacijoms rekomenduojama:

• Užtikrinti, kad duomenų subjektų prašymai būtų nagrinėjami nuosekliai, išsamiai ir laikantis BDAR nustatytų terminų;
• Reguliariai peržiūrėti asmens duomenų prieigos, saugojimo ir atskleidimo procesus, siekiant laiku nustatyti galimas atitikties spragas;
• Užtikrinti tinkamą dokumentaciją, pagrindžiančią BDAR reikalavimų įgyvendinimą praktikoje;
• Periodiškai vertinti privatumo valdymo procesus ir atlikti atitikties patikrinimus;
• Įvertinti platesnį nustatytų atitikties trūkumų poveikį, nes priežiūros institucijos gali vertinti ne tik individualų skundą, bet ir galimą poveikį didesnei duomenų subjektų grupei;
• Įdiegti veiksmingus stebėsenos ir kontrolės mechanizmus, leidžiančius laiku nustatyti pasikartojančias ar didelės apimties duomenų apsaugos rizikas ir imtis taisomųjų veiksmų.

Lietuvos VDAI: draudimo bendrovė pažeidė BDAR dėl duomenų dalijimosi kontrolės trūkumų

Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą dėl AB „Lietuvos draudimas“ vykdyto asmens duomenų tvarkymo, susijusio su duomenų dalijimusi su išoriniais paslaugų teikėjais ir duomenų subjektų informavimo pareigų įgyvendinimu.

Byla atskleidė aktualias BDAR atitikties rizikas sudėtingose paslaugų teikimo grandinėse, ypač sektoriuose, kuriuose asmens duomenų tvarkyme dalyvauja daug išorinių partnerių ir duomenų tvarkytojų.

VDAI nustatė tris pagrindines problemines sritis:

1. Nepakankama duomenų tvarkytojų kontrolė (BDAR 28 straipsnis)

VDAI nustatė, kad bendrovė, pasitelkdama išorinius paslaugų teikėjus asmens duomenų tvarkymui, nepakankamai užtikrino tinkamą duomenų tvarkymo kontrolę. Vertinimo metu nustatyti trūkumai buvo susiję su:

• pakankamų sutartinių garantijų užtikrinimu;
• aiškiu duomenų tvarkytojų prieigos prie asmens duomenų apribojimu;
• pakankama tvarkymo veiklos priežiūra ir kontrole.

Tai parodė, kad vien duomenų tvarkymo sutarčių sudarymas savaime neužtikrina BDAR 28 straipsnio reikalavimų laikymosi – būtina reali ir dokumentuota tvarkytojų kontrolė.

2. Skaidrumo pareigos nevykdymas dėl netiesiogiai gautų duomenų (BDAR 14 straipsnis)

VDAI nustatė, kad bendrovė nepakankamai informavo duomenų subjektus apie asmens duomenų, gautų ne tiesiogiai iš jų, kilmę. Nebuvo tinkamai užtikrinta, kad duomenų subjektams būtų pateikta informacija apie:

• asmens duomenų šaltinius;
• netiesiogiai gautų asmens duomenų kategorijas;
• informacijos pateikimo terminus, numatytus BDAR 14 straipsnio 3 dalyje.

Sprendimas pabrėžia, kad organizacijos turi užtikrinti ne tik teisėtą duomenų gavimą, bet ir tinkamą duomenų subjektų informavimą apie duomenų kilmę.

3. Duomenų kiekio mažinimo principo nesilaikymas (BDAR 5 straipsnio 1 dalies c punktas)

VDAI taip pat nustatė trūkumų taikant duomenų kiekio mažinimo principą. Vertinimo metu buvo nustatyta rizika, kad kai kuriais atvejais išoriniams partneriams galėjo būti perduodama daugiau asmens duomenų, nei būtina konkretiems tvarkymo tikslams pasiekti.

Sprendimas primena „būtino žinojimo“ principo svarbą – prieiga prie asmens duomenų turi būti suteikiama tik tiek, kiek objektyviai reikalinga konkrečiai funkcijai atlikti.

VDAI finansinės sankcijos neskyrė, tačiau įpareigojo bendrovę imtis organizacinių priemonių: tobulinti duomenų tvarkymo sutartis, gerinti informavimo procesus ir užtikrinti griežtesnį duomenų kiekio mažinimo principo taikymą.

Rekomendacijos organizacijoms

Organizacijoms rekomenduojama:

• Pagal BDAR 28 straipsnį užtikrinti, kad kiekvienas duomenų tvarkytojas veiktų pagal aiškias, vykdytinas ir reguliariai prižiūrimas sąlygas. Vien sutarties turėjimo nepakanka – būtina dokumentuoti prieigos apimtį, kontrolės priemones ir priežiūros procesus;
• Kai asmens duomenys gaunami ne tiesiogiai iš duomenų subjekto, pagal BDAR 14 straipsnį užtikrinti tinkamą informavimą apie duomenų šaltinį, duomenų kategorijas ir kitą privalomą informaciją;
• Taikyti BDAR 5 straipsnio 1 dalies c punkte įtvirtintą duomenų kiekio mažinimo principą – perduoti tik tuos duomenis, kurie yra būtini konkrečiam tikslui pasiekti, ir dokumentuoti tokio būtinumo pagrindimą;
• Periodiškai peržiūrėti duomenų srautus tarp organizacijos ir išorės partnerių bei įvertinti, ar esamos kontrolės priemonės išlieka pakankamos.

Kodėl tai svarbu?

Net ir netaikant finansinės sankcijos, priežiūros institucija aiškiai parodė, kad duomenų tvarkytojų kontrolė ir duomenų kiekio mažinimo principas išlieka vieni svarbiausių BDAR atitikties elementų.

Šaltinis: Valstybinės duomenų apsaugos inspekcijos sprendimas | Sprendimas Nr. 3R-830 (PDF)

„Yango“ sulaukė 100 mln. eurų BDAR baudos už asmens duomenų perdavimą už ES ribų

Nyderlandų duomenų apsaugos institucija (AP) skyrė 100 mln. eurų baudą MLU B.V. – Nyderlanduose registruotai taksi paslaugų platformos „Yango“ valdytojai – dėl nustatytų galimų BDAR pažeidimų, susijusių su asmens duomenų perdavimu į Rusiją.

Tyrimas buvo susijęs su Norvegijos ir Suomijos „Yango“ naudotojų asmens duomenų perdavimu į Rusijoje esančią infrastruktūrą. MLU yra susijusi su Rusijos technologijų bendrove „Yandex“. AP nurodė, kad perduodant duomenis nebuvo užtikrintas iš esmės lygiavertis apsaugos lygis, kokio reikalaujama pagal Europos Sąjungos duomenų apsaugos standartus.

Duomenų apsaugos institucijos atkreipė dėmesį į riziką, kad Rusijoje asmens duomenims gali būti taikoma kitokia teisinė apsauga nei Europos Sąjungoje, įskaitant galimą valstybės institucijų prieigą prie duomenų. Tarp nagrinėtų duomenų kategorijų buvo klientų ir vairuotojų informacija, įskaitant vairuotojo pažymėjimų kopijas, gyvenamosios vietos adresus ir tikslius buvimo vietos duomenis.

Europos Sąjungos teisės aktai numato, kad perduodant asmens duomenis į trečiąsias valstybes turi būti užtikrinamas iš esmės lygiavertis apsaugos lygis, kaip ir Europos Sąjungoje. Bendrą tyrimą atliko Nyderlandų, Norvegijos ir Suomijos duomenų apsaugos institucijos. Tyrimo metu buvo vertinama, ar „Yango“ taikė pakankamas apsaugos priemones perduodant asmens duomenis už Europos ekonominės erdvės ribų.

MLU ginčija institucijų išvadas ir teigia, kad duomenys buvo tvarkomi laikantis saugumo reikalavimų, naudojant pseudonimizavimą ir šifravimą bei užtikrinant, kad duomenys būtų tinkamai apsaugoti.

Skirta 100 mln. eurų bauda rodo, kad duomenų apsaugos priežiūros institucijos didelę reikšmę teikia tarpvalstybinių duomenų perdavimų kontrolei, ypač tais atvejais, kai duomenys perduodami į valstybes, kuriose asmens duomenų apsaugos standartai gali neatitikti ES reikalavimų.

Rekomendacijos organizacijoms

Organizacijoms, perduodančioms asmens duomenis už Europos ekonominės erdvės ribų, rekomenduojama:

• Neapsiriboti vien sutartiniais įsipareigojimais ar tiekėjų pateikiamomis garantijomis, bet savarankiškai įvertinti realią duomenų apsaugos riziką;
• Užtikrinti tinkamų duomenų perdavimo mechanizmų taikymą pagal BDAR ir reguliariai atnaujinti perdavimo poveikio vertinimus (TIA);
• Ypatingą dėmesį skirti duomenų perdavimams į valstybes, kuriose valstybės institucijų galimybės prieiti prie asmens duomenų gali kelti papildomų rizikų;
• Užtikrinti, kad organizacija galėtų dokumentuotai įrodyti, jog perduodami duomenys yra tinkamai apsaugoti, o ne tik deklaruoti atitiktį.

Kodėl tai svarbu?

Šis sprendimas rodo, kad vien standartinių sutarčių sąlygų nepakanka – organizacijos turi gebėti praktiškai pagrįsti, kad perduodamiems duomenims užtikrinamas iš esmės lygiavertis apsaugos lygis.

EDPB patvirtino „Europrivacy“ BDAR sertifikavimą

Europos duomenų apsaugos valdyba (EDPB) patvirtino dvi svarbias nuomones, susijusias su sertifikavimo mechanizmų taikymu pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Šie sprendimai skirti palengvinti tarptautinius asmens duomenų perdavimus ir sustiprinti organizacijų galimybes įrodyti atitiktį BDAR reikalavimams.

Pirmoji EDPB nuomonė išplečia „Europrivacy“ sertifikavimo – Europos duomenų apsaugos ženklo – taikymo galimybes organizacijoms, veikiančioms už Europos Sąjungos (ES) ir Europos ekonominės erdvės (EEE) ribų. Tai suteikia ne Europos organizacijoms galimybę papildomai įrodyti, kad jų vykdomas asmens duomenų tvarkymas atitinka BDAR nustatytus reikalavimus.

Antroji nuomonė susijusi su specialia „Europrivacy“ sertifikavimo kriterijų versija, kuri gali būti naudojama kaip papildomas tarptautinio asmens duomenų perdavimo teisėtumo užtikrinimo mechanizmas pagal BDAR 46 straipsnį. Sertifikavimo mechanizmas, kartu su privalomais ir vykdytinais duomenų importuotojo įsipareigojimais, gali padėti organizacijoms įrodyti, kad iš Europos ekonominės erdvės gaunami asmens duomenys yra tvarkomi užtikrinant reikalaujamą apsaugos lygį.

BDAR sertifikavimo mechanizmai gali suteikti organizacijoms praktinės naudos – padėti stiprinti pasitikėjimą partnerių ir klientų akyse, lengvinti atitikties įrodymą bei sumažinti rizikas, susijusias su tarptautiniu asmens duomenų tvarkymu. Sertifikavimas gali būti papildoma priemonė greta kitų BDAR numatytų perdavimo mechanizmų, tokių kaip standartinės sutarčių sąlygos ar įmonių privalomos taisyklės.

Šis EDPB sprendimas rodo didėjantį sertifikavimo mechanizmų vaidmenį duomenų apsaugos srityje ir siekį sukurti praktiškesnes priemones organizacijoms, veikiančioms tarptautinėje aplinkoje.

Rekomendacijos organizacijoms

Organizacijoms rekomenduojama:

• Identifikuoti ir dokumentuoti visus tarptautinius asmens duomenų perdavimus;
• Reguliariai peržiūrėti taikomus duomenų perdavimo mechanizmus ir įvertinti, ar jie išlieka tinkami pagal BDAR reikalavimus;
• Įvertinti, ar BDAR sertifikavimo schemos, įskaitant „Europrivacy“, galėtų būti naudojamos kaip papildoma atitikties užtikrinimo priemonė;
• Atnaujinti vidaus duomenų apsaugos procedūras ir perdavimo poveikio vertinimus (TIA), kai to reikia;
• Stebėti tolesnę EDPB praktiką ir gaires dėl sertifikavimo mechanizmų taikymo praktikoje.

Nors sertifikavimas nėra privalomas, jis gali tapti papildomu konkurenciniu pranašumu organizacijoms, dirbančioms su tarptautiniais klientais ir partneriais, kuriems svarbu įrodyti aukštą duomenų apsaugos brandą.

Airijos DPC pradėjo tyrimą prieš „Shein“ dėl galimų BDAR pažeidimų

Airijos duomenų apsaugos komisija (DPC) pradėjo tyrimą prieš internetinės prekybos platformą „Shein“ dėl galimų Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų, susijusių su klientų asmens duomenų perdavimu į Kiniją.

Tyrimas atliekamas dėl Infinite Styles Services – „Shein“ Europos padalinio, įsikūrusio Dubline. DPC vertina, ar bendrovė tinkamai laikėsi BDAR reikalavimų, ypatingą dėmesį skirdama BDAR 5 ir 13 straipsniams, kurie nustato pagrindinius asmens duomenų tvarkymo principus bei pareigą skaidriai informuoti duomenų subjektus.

DPC vertina, ar „Shein“ laikėsi pagrindinių BDAR principų – teisėtumo, skaidrumo, duomenų kiekio mažinimo ir tinkamo informavimo apie duomenų perdavimą į trečiąsias valstybes.

Tyrimo metu DPC vertina, ar „Shein“ vykdomas asmens duomenų perdavimas už Europos Sąjungos ribų atitinka BDAR nustatytas sąlygas ir ar taikomos tinkamos apsaugos priemonės. DPC atstovas Graham Doyle pabrėžė, kad asmens duomenims, perduodamiems į trečiąsias valstybes, turi būti užtikrintas iš esmės lygiavertis apsaugos lygis, kaip ir Europos Sąjungoje.

Šis tyrimas dar kartą atkreipia dėmesį į tai, kad tarptautiniai asmens duomenų perdavimai išlieka viena iš pagrindinių BDAR priežiūros sričių, o organizacijos turi gebėti ne tik pasirinkti tinkamą perdavimo mechanizmą, bet ir įrodyti, kad praktikoje užtikrinama pakankama duomenų apsauga.

Rekomendacijos organizacijoms

Organizacijoms rekomenduojama:

• Užtikrinti aiškią ir nuolat atnaujinamą informaciją apie:
  • vietas, kuriose saugomi ir tvarkomi asmens duomenys (pvz., debesijos paslaugų teikėjai, IT partneriai, išorės paslaugų tiekėjai);
  • trečiąsias šalis, dalyvaujančias asmens duomenų tvarkyme;
  • paslaugų teikėjus, turinčius prieigą prie klientų asmens duomenų;
• Vertinant duomenų perdavimus pagal standartines sutarčių sąlygas (SCC), papildomai atlikti:
  • perdavimo poveikio vertinimą (TIA);
  • dokumentuotą teisinės aplinkos paskirties šalyje vertinimą;
  • analizę, ar taikomos papildomos priemonės užtikrina iš esmės lygiavertį apsaugos lygį;
• Stiprinti technines ir organizacines saugumo priemones, įskaitant:
  • šifravimą;
  • pseudonimizavimą prieš perduodant duomenis;
  • griežtą prieigos kontrolę;
  • veiksmingą veiksmų registravimą ir audito žurnalų priežiūrą;
• Privatumo pranešimuose aiškiai ir suprantamai nurodyti informaciją apie tarptautinius duomenų perdavimus;
• Užtikrinti, kad tvarkymo veiklos įrašai (ROPA) būtų išsamūs, tikslūs ir reguliariai atnaujinami.

„Meta“ DI mokymo programa kelia klausimų dėl Europos darbuotojų duomenų naudojimo

„Meta Platforms Inc.“ sulaukė papildomo Europos dėmesio dėl vidinės dirbtinio intelekto (DI) mokymo iniciatyvos, vadinamos „Model Capability Initiative“ (MCI). Programa skirta DI sistemų, galinčių atlikti įvairias skaitmenines užduotis, kūrimui ir tobulinimui, tačiau kilo klausimų dėl darbuotojų asmens duomenų naudojimo šių sistemų mokymui.

Remiantis viešai skelbiama informacija, programa gali rinkti darbuotojų veiklos duomenis iš darbo įrenginių. Taip pat keliami klausimai dėl to, ar į DI mokymo duomenų rinkinius galėjo patekti darbuotojų komunikacijos duomenys, įskaitant elektroninius laiškus ir pokalbių žinutes tarp JAV bei Europos darbuotojų.

Pagrindinis vertinimo aspektas – ar toks asmens duomenų naudojimas atitinka Europos Sąjungos Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus. BDAR nustato, kad asmens duomenys turi būti tvarkomi konkrečiais, aiškiai apibrėžtais tikslais ir negali būti naudojami nesuderinamiems antriniams tikslams, jei tam nėra tinkamo teisinio pagrindo.

Privatumo ekspertai kelia klausimus, ar darbuotojų darbo komunikacijos naudojimas DI sistemų mokymui atitinka skaidrumo, tikslo apribojimo ir teisėtumo principus. Ypatingą reikšmę šiuo atveju turi darbuotojų informavimas, tinkamo teisinio pagrindo pasirinkimas ir proporcingas duomenų naudojimas.

„Meta“ nurodo, kad programa taikoma su apsaugos priemonėmis ir yra orientuota į JAV darbuotojų naudojamus įrenginius. Vis dėlto privatumo organizacijos, tarp jų NOYB (None Of Your Business), kelia klausimus, ar faktinė duomenų tvarkymo apimtis neviršija viešai deklaruojamų ribų.

Tikėtina, kad tokios iniciatyvos ateityje sulauks didesnio duomenų apsaugos institucijų dėmesio, ypač dėl tarpvalstybinio darbuotojų duomenų tvarkymo ir DI sistemų mokymo procesų. Šios situacijos vertinimas gali tapti reikšmingu pavyzdžiu sprendžiant, kaip organizacijos gali naudoti darbo vietoje sukuriamus duomenis kuriant ir tobulinant DI technologijas.

Rekomendacijos organizacijoms

Organizacijoms, naudojančioms darbuotojų duomenis DI sistemų kūrimui ar mokymui, rekomenduojama:

• Užtikrinti, kad darbuotojų asmens duomenų naudojimas DI tikslams būtų skaidrus, pagrįstas tinkamu teisiniu pagrindu ir atitiktų BDAR reikalavimus;
• Aiškiai apibrėžti duomenų tvarkymo tikslus ir užtikrinti, kad darbo vietos komunikacija nebūtų naudojama papildomiems tikslams, kurie nebuvo numatyti pirminio rinkimo metu;
• Prieš pradedant DI mokymo procesus įvertinti duomenų apsaugos rizikas, įskaitant poveikio duomenų apsaugai vertinimą (DPIA), kai jis būtinas;
• Taikyti duomenų kiekio mažinimo, pseudonimizavimo ir, kai įmanoma, anonimizavimo priemones;
• Nustatyti aiškias vidaus taisykles dėl darbuotojų komunikacijos ir darbo priemonių duomenų prieigos bei naudojimo;
• Į procesus įtraukti duomenų apsaugos pareigūnus (DAP) ir teisės specialistus, siekiant laiku nustatyti ir valdyti BDAR rizikas.