BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS (BDAR)

BDAR – tai reglamentas, kuris įtvirtina asmens duomenų ir privatumo apsaugos srities žmogaus teises. Šis
reglamento pagrindinis tikslas sustiprinti Europos sąjungos piliečių asmeninių duomenų apsaugą. BDAR
leidžia visiems ES gyventojams pareikšti nuosavybės teises į savo asmeninę informaciją, pareikalauji ją
pašalinti bei nerinkti jos be šio asmens sutikimo. Reiktų pastebėti, kad šis reglamentas saugo tik fizinius,
privačius asmenis. Tai vienas pirmųjų ryškių bandymų Europos sąjungoje įtvirtinti tinkamą ir tvarią
asmeninių duomenų apsaugą per paskutinius 20 metų.

Bendrasis duomenų apsaugos reglamente (BDAR) išdėstyti išsamūs įmonėms ir organizacijoms taikomi
asmens duomenų rinkimo, saugojimo ir valdymo reikalavimai. Reglamentas taikomas Europos
organizacijoms, kurios tvarko asmenų asmens duomenis Sąjungoje (ES), ir už jos ribų veikiančioms
organizacijoms, kurių veikla yra orientuota į ES gyventojus. Šis reglamentas pakeitė nuo 1995 m. galiojusį
įstatymų paketą ir Europos Sąjungos gaires. Direktyvos, kurios yra aukščiau nei nacionalinė kiekvienos šalies
teisė ir yra privalomos kiekvienam duomenų valdytojui, tvarkančiam ES piliečio duomenis, įsigaliojo nuo
2018 m. gegužės 25 d. BDAR aktualus visoms įmonėms, turinčioms klientų duomenų bazę ir taikančioms
tiesioginę rinkodarą bei subjektams, tvarkantiems ar valdantiems ES piliečių duomenis.
BDAR taikomas:
 jeigu įmonė tvarko asmens duomenis ir yra įsisteigusi ES, nepaisant to, kur faktiškai tvarkomi
asmens duomenys;
 jeigu įmonė yra įsisteigusi už ES ribų, tačiau tvarko asmens duomenis siūlydama asmenims prekes
ar paslaugas Europos Sąjungoje, arba stebi asmenų elgesį Europos Sąjungoje.
BDAR netaikomas, jeigu:
 jeigu duomenų subjektas yra miręs;
 jeigu duomenų subjektas yra juridinis asmuo;
 jeigu duomenis asmuo tvarko tikslais, nesusijusiais su jo vykdoma prekyba, verslu ar profesija.
Svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:
 Duomenų subjektų teisių stiprinimas;
 Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
 Reguliavimo skaidrumas ir patikimumas.
FIZINIŲ ASMENŲ TEISĖS
 TEISĖ BŪTI INFORMUOTAM (teisė sužinoti, jei jų asmens duomenys buvo pažeisti. Įmonės ir
organizacijos turi informuoti atitinkamą duomenų apsaugos priežiūros instituciją, o rimtų duomenų
pažeidimų atvejais – ir nukentėjusius asmenis)
 TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS (BDAR sustiprinamos galiojančios teisės, numatomos
naujos teisės ir suteikiama galimybė fiziniams asmenims geriau kontroliuoti savo asmens duomenis)
 TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS (lengvesnė prieiga prie savo duomenų. Fiziniai asmenys
turės daugiau aiškios ir suprantamos informacijos apie tai, kaip tvarkomi jų duomenys;
 TEISĖ REIKALAUTI IŠTRINTI DUOMENIS (patikslinta teisė reikalauti ištrinti duomenis („teisė būti
pamirštam“). Kai asmuo nebenori, kad jo duomenys būtų tvarkomi, ir nėra teisinio pagrindo jų
laikyti, duomenys turi būti ištrinti)
 TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
 TEISĖ Į DUOMENŲ PERKELIAMUMĄ (kad būtų paprasčiau persiųsti asmens duomenis tarp paslaugos
teikėjų)
 TAISYKLĖS ĮMONĖMS

BDAR sukuriamos vienodos sąlygos visoms ES vidaus rinkoje veikiančioms įmonėms, taikomas technologijų
atžvilgiu neutralus požiūris ir įvairiais būdais, įskaitant toliau nurodytus, skatinamos inovacijos.

 VIENAS ES TAISYKLIŲ RINKINYS. Bendras visoje ES taikomas duomenų apsaugos teisės aktas padidina
teisinį tikrumą ir sumažina administracinę naštą.
 DUOMENŲ APSAUGOS PAREIGŪNAS. Už duomenų apsaugą atsakingą asmenį turi paskirti valdžios
institucijos ir įmonės, kurios tvarko duomenis dideliu mastu arba kurių pagrindinė veikla yra specialių
kategorijų duomenų, pavyzdžiui, su sveikata susijusių duomenų, tvarkymas.
 VIENO LANGELIO PRINCIPAS. Įmonės turi bendrauti tik su viena priežiūros institucija (ES valstybėje
narėje, kurioje yra jų pagrindinė buveinė). Tarpvalstybiniais atvejais atitinkamos priežiūros institucijos
bendradarbiauja su Europos duomenų apsaugos valdyba.
 ES TAISYKLĖS ES NEPRIKLAUSANČIŲ ŠALIŲ ĮMONĖMS. Ne ES įsisteigusios įmonės turi taikyti tas pačias
taisykles dėl prekių ar paslaugų ir dėl ES gyvenančių asmenų elgesio stebėsenos.
 INOVACIJOMS PALANKIOS TAISYKLĖS. Užtikrinama, kad nuo pat produktų ir paslaugų kūrimo pradžios
būtų atsižvelgiama į duomenų apsaugos priemones (pritaikytoji ir standartizuotoji duomenų
apsauga).
 PRIVATUMO APSAUGOS BŪDAI. Pavyzdžiui, siekiant apriboti duomenų tvarkymo atgrasumą,
skatinama naudoti pseudonimus (kai atpažinimo sritys duomenų įraše keičiamos vienu ar keliais
dirbtiniais identifikatoriais) ir šifravimą (kai duomenys koduojami taip, kad neturinčiam leidimo
susipažinti asmeniui jie būtų nesuprantami).
 PRANEŠIMŲ ATSISAKYMAS. BDAR panaikinamos dauguma pranešimo prievolių ir sumažinamos su
tuo susijusios išlaidos. Vienas iš jo tikslų yra panaikinti kliūtis laisvam asmens duomenų judėjimui ES.
Tai palengvins verslo plėtrą bendrojoje skaitmeninėje rinkoje.
 DUOMENŲ APSAUGOS POVEIKIO VERTINIMAI. Įmonės atlieka poveikio vertinimą tik tuomet, kai
vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus asmenų teisėms ir laisvėms.
 VEIKLOS ĮRAŠAI. Mažosios ir vidutinės įmonės neprivalo tvarkyti duomenų tvarkymo veiklos įrašų, jei
duomenų tvarkymas yra nereguliarus ir jei dėl duomenų tvarkymo negali kilti pavojus asmens, kurio
duomenys yra tvarkomi, teisėms ir laisvėms arba jei nėra apimami neskelbtinų kategorijų duomenys.
 ŠIUOLAIKINĖS PRIEMONĖS TARPTAUTINIAM DUOMENŲ PERDAVIMUI. BDAR siūloma įvairių
priemonių duomenims perduoti už ES ribų, įskaitant Europos Komisijos priimtus tinkamumo
sprendimus, kai ES nepriklausanti šalis užtikrina tinkamą apsaugos lygį, iš anksto patvirtintas
(standartines) sutarties sąlygas, privalomas įmonių taisykles, elgesio kodeksus ir sertifikavimą.
KAS PRIKLAUSO ASMENINEI INFORMACIJAI?
Prieš pradedant laikytis BDAR reiktų žinoti, tai kokie duomenys yra saugomi BDAR. Daugelis įmonių bendraudamos su
klientais privalo gauti raštiškus sutikimus dėl asmeninės informacijos panaudojimo komerciniais tikslais. Asmeniniai
duomenys yra viskas, kas susiję su tam tikru asmeniu: vardas bei pavardė, telefono numeris, el. pašto adresas,
gyvenamosios vietos adresas, įmonė, kurioje jis ar ji dirba, darbo pozicija naršymo istorija, piršų antspaudas bei
daugelis kitų duomenų, priklausančių tam asmeniui. Net jeigu Jūsų turimas klientas geranoriškai sutinka Jums palikti
savo kontaktus (vardą, pavardę, telefono numerį ar el. paštą), jis ar ji taip pat turi pilnavertę teisę paprašyti Jūsų
ištrinti visą turimą informaciją apie šį klientą. Šiam procesui yra taikomos išimtys, tačiau dažniausiai, įmonė ar
organizacija privalo įvykdyti kliento keliamus reikalavimus.
KAS PRIVALO LAIKYTIS BDAR?
visos organizacijos, turinčios bent kokį kontaktą su ES piliečiais, privalo laikytis BDAR taikomų duomenų apsaugos
reikalavimų. Tad net jeigu Jūsų įmonė yra registruota ne ES, tačiau Jūsų svetainėje apsilanko ES piliečiai, Jums tiesiog
privalu pritaikyti savo internetinį puslapį, kad šis atitiktų BDAR. Tikslūs BDAR reikalavimai leis būti tikriems, kad Jūsų
internetinė svetainė yra tvarkinga bei nepretenduojate į skiriamas gana nemažas baudas.
 BDAR KINTA NUOLATOS
Vien per pastaruosius kelerius metus įvyko net keturi svarbūs pasikeitimai, prie kurių prisitaikyti tenka
kiekvienai įmonei Lietuvoje.

PASĖKMĖS UŽ NESILAIKANT BDR

Už BDAR pažeidimus atsakingos institucijos organizacijoms gali skirti iki 4 procentų visų metinių pajamų
arba iki 20 mln. EUR. Šios sankcijos taikomos ne tik stambioms įmonėms bei organizacijoms, bet ir
vidutinėms, smulkioms įmonėms. Nors finansinės sankcijos tiesiogiai priklauso nuo įmonės pajamų, tačiau
tikrai neverta ilgai lauki ir atidėlioti BDAR pritaikymo ir Jūsų įmonėje. Delsti tikrai nevertėtų, kadangi vis
daugiau specialistų pasisako dėl griežtesnių apribojimų naudotis piliečiams priklausiančiais asmeniniais
duomenimis.
NUO BDAR ĮSIGALIOJIMO PRADŽIOS YRA PASTEBIMAS EKSPONENTINIS BAUDŲ KIEKIO AUGIMAS EUROPOJE