BDAR reikalavimai privatumo politikai: pilnas patikrinimo sąrašas 2026

Pilnas juridinio asmens pavadinimas, registracijos numeris, buveinės adresas ir kontaktiniai duomenys. Jei skiriamas duomenų apsaugos pareigūnas (DAP / DPO) – jo kontaktai taip pat privalo būti nurodyti. Neužtenka nurodyti tik el. pašto adresą be juridinio asmens kodo.

Kiekvienas duomenų tvarkymo tikslas turi būti nurodytas atskirai su konkrečiu teisiniu pagrindu: sutikimas (6 str. 1 d. a), sutartis (6 str. 1 d. b), teisinis įpareigojimas (6 str. 1 d. c) arba teisėtas interesas (6 str. 1 d. f). Bendra formuluotė „duomenys tvarkomi teikiant paslaugas" be konkrečių tikslų – nepakankama.

Kai duomenų tvarkymo teisinis pagrindas yra teisėtas interesas, privalo būti aiškiai nurodytas konkretus interesas. Formuluotė „verslo tikslai" arba „marketingo tikslai" yra per platu ir nepakankama. Turi būti paaiškintas balansavimo testas – kodėl valdytojo interesai viršija duomenų subjekto interesus.

Privalo būti nurodytos konkrečių gavėjų kategorijos (pvz., „mokėjimų tvarkytojai", „analitikos paslaugų teikėjai"). Duomenų perdavimas į ES/EEE nepriklausančias šalis reikalauja papildomos informacijos apie tinkamas garantijas – Europos Komisijos sprendimą dėl tinkamumo arba standartines sutarčių sąlygas.

Kiekvieno duomenų tipo saugojimo terminas arba terminų nustatymo kriterijai turi būti nurodyti. Formuluotė „duomenys saugomi tiek, kiek reikia" yra teisiškai nepakankama. Reikia konkrečių terminų, pvz., „sutarčių duomenys – 10 metų po sutarties pabaigos pagal Buhalterinės apskaitos įstatymą".

Privalo būti aiškiai nurodytos visos 6 teisės: prieigos (15 str.), ištaisymo (16 str.), ištrynimo (17 str.), apribojimo (18 str.), portabilumo (20 str.) ir prieštaravimo (21 str.) teisės. Svarbu ne tik išvardyti, bet ir paaiškinti, kaip jas praktiškai įgyvendinti – kokiu būdu pateikti prašymą ir per kiek laiko jis bus atsakytas.

Kai duomenų tvarkymo pagrindas – sutikimas, politikoje privalo būti aiškiai nurodyta, kaip ir kada jį galima atšaukti. BDAR reikalauja, kad sutikimo atšaukimas būtų toks pat paprastas kaip jo davimas. Jei sutikimas duodamas vienu paspaudimu, atšaukti jo negalima reikalaujant siųsti raštą paštu.

Privatumo politikoje privalo būti nurodyti Valstybinės duomenų apsaugos inspekcijos (VDAI) kontaktai ir nuoroda, kaip pateikti skundą. VDAI adresas: L. Sapiegos g. 17, 10312 Vilnius, el. paštas: ada@vdai.lrv.lt, interneto svetainė: vdai.lrv.lt. Skundo pateikimo galimybė turi būti paminėta aiškiai ir matomai.

Turi būti nurodyta, ar asmens duomenų teikimas yra sutartinis ar teisinis reikalavimas, ar savanoriškas, bei kokios bus pasekmės jų nepateikus. Pvz., el. pašto adresas gali būti privalomas paskyros sukūrimui, tačiau telefono numeris – neprivalomas.

Jei vykdomas automatizuotas sprendimų priėmimas ar profiliavimas (pvz., kreditingumo vertinimas, reklamos pritaikymas) – turi būti nurodyta prasminga informacija apie naudojamą logiką, svarbą ir numatomus padarinius. Jei tokia veikla nevykdoma – rekomenduojama tai aiškiai paminėti, kad nekiltų abejonių.

Slapukų politika turi apimti visų naudojamų slapukų kategorijų sąrašą (būtinieji, funkciniai, analitiniai, reklaminiai), kiekvieno slapuko trukmę ir tikslą bei sutikimo tvarką. Ypač svarbu: slapukų politika turi atitikti faktinius puslapyje naudojamus slapukus – neatitikimas yra dažna VDAI tikrinimų tema.

Privatumo politikoje turi būti nurodyta, kaip ir kada ji bus atnaujinama, bei kaip apie pakeitimus bus informuojami duomenų subjektai. Jei pakeitimai yra esminiai, rekomenduojama gauti pakartotinį sutikimą arba aiškiai informuoti el. paštu. Nurodoma paskutinio atnaujinimo data.

BDAR 12 str. reikalauja, kad informacija duomenų subjektams būtų teikiama aiškia ir suprantama kalba, pritaikyta auditorijai. Juridinis žargonas be paaiškinimų, per ilgi sakiniai ir nestruktūruotas tekstas gali būti laikomi pažeidimu. Jei paslauga skirta vaikams – kalba turi būti ypač paprasta.