Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  BDAR
BDAR 2026 m. gegužės 12 d. 13 min skaitymo

BDAR 6 straipsnis: 6 teisėto tvarkymo pagrindai Lietuvos verslui

BDAR 6 straipsnis nustato 6 pagrindus, kuriais asmens duomenų tvarkymas yra teisėtas. Sutikimas — tik vienas iš jų ir dažnai netinkamas. Praktinis vadovas LT verslui: kada koks pagrindas, kaip atlikti LIA ir kaip dokumentuoti.

M
Marina
Teisės ekspertė, BDAR
BDAR 6 straipsnio teisėto asmens duomenų tvarkymo pagrindai — sutikimas, sutartis, teisinė prievolė, gyvybiniai interesai, viešasis interesas, teisėtas interesas
BDAR 6 straipsnis — 6 teisėto asmens duomenų tvarkymo pagrindai ir jų hierarchija

BDAR 6 straipsnis nustato šešis savarankiškus teisėto asmens duomenų tvarkymo pagrindus. Tvarkymas teisėtas tik tada, kai taikomas bent vienas iš jų: sutikimas, sutartis, teisinė prievolė, gyvybiniai interesai, viešasis interesas arba teisėtas interesas. Be pagrindo tvarkomi duomenys — pažeidimas su bauda iki 20 mln. EUR arba 4% pasaulinės apyvartos.

Klaidingas pagrindas — bauda iki 20 mln. EUR arba 4% apyvartos. Patikrinkite visus 6 pagrindus per 5 dienas — nemokama konsultacija per 24 val.

Šiame straipsnyje
  1. Kas yra BDAR 6 straipsnis ir kam jis taikomas
  2. Šeši teisėto tvarkymo pagrindai pagal BDAR 6 str.
  3. Sutikimas (6 str. 1 d. a) — kada tinka, kada ne
  4. Teisėtas interesas (6 str. 1 d. f) ir LIA
  5. Pagrindų palyginimo lentelė: kada kuris
  6. Kaip pasirinkti pagrindą — 5 žingsnių vadovas
  7. Dažniausios klaidos ir VDAI praktika
  8. Baudų rizika už 6 str. pažeidimą

BDAR 6 straipsnis — esminis BDAR reguliavimo akmuo. Be tinkamai parinkto teisėto tvarkymo pagrindo nebėra nieko teisėto: nei privatumo politikos, nei veiklos įrašų registro, nei DPIA. Tačiau pagal Veriva 120+ BDAR auditų patirtį, klaidingas pagrindas — viena dažniausių problemų LT versle. Įmonės pernelyg dažnai pasirenka sutikimą tada, kai turėtų taikyti sutartinę pareigą ar teisėtą interesą.

Šis vadovas paaiškina, kas yra BDAR 6 straipsnis, kokie yra šeši teisėto tvarkymo pagrindai, kuris pagrindas tinka kiekvienai situacijai ir kaip jį teisingai dokumentuoti. Visos nuorodos paremtos BDAR tekstu, EDPB gairėmis, VDAI praktika ir LT precedentais 2024–2025 m.

Kas yra BDAR 6 straipsnis ir kam jis taikomas

BDAR 6 straipsnis — Bendrojo duomenų apsaugos reglamento (ES 2016/679) nuostata, nustatanti, kada asmens duomenų tvarkymas yra teisėtas. Tai pamatinė nuostata kartu su BDAR 5 straipsniu (principai), 7 straipsniu (sutikimo sąlygos) ir 9 straipsniu (specialiosios kategorijos). Be teisėto pagrindo bet koks asmens duomenų tvarkymas — automatinis BDAR pažeidimas, nepriklausomai nuo to, ar tikslas geras, ar duomenys saugomi tinkamai.

Reglamentas (ir kartu 6 straipsnis) kam taikomas BDAR klausimu apima: visas ES įsteigtas organizacijas, tvarkančias asmens duomenis, nepriklausomai nuo dydžio; ne ES įsteigtas organizacijas, kurios siūlo prekes ar paslaugas ES gyventojams arba stebi jų elgseną (BDAR 3 str.). Reglamentas netaikomas tik grynai asmeniniam ar buities tvarkymui (pvz., asmeniniam adresų sąrašui) ir kompetentingoms institucijoms nusikalstamų veikų atveju (joms taikoma atskira LED direktyva 2016/680).

Lietuvoje BDAR papildo Asmens duomenų teisinės apsaugos įstatymas (ADTAĮ, 2018 m. liepos 16 d. redakcija), kuris detalizuoja BDAR įgyvendinimą — pavyzdžiui, vaikų amžių sutikimui (14 metų), VDAI įgaliojimus ir baudų skyrimo procedūrą. ADTAĮ nepakeičia BDAR 6 straipsnio, o tik patikslina jo taikymą LT kontekste.

BDAR 6 straipsnis veikia kartu su BDAR 5 straipsniu, kuris nustato BDAR principai — teisėtumo, sąžiningumo, skaidrumo, tikslo apribojimo, duomenų minimizavimo, tikslumo, saugojimo apribojimo, vientisumo ir konfidencialumo. Klaidingas 6 straipsnio pagrindas automatiškai pažeidžia ir 5 straipsnio teisėtumo principą — dvigubas pažeidimas su dvigubai aukštesne baudų rizika.

Šeši teisėto tvarkymo pagrindai pagal BDAR 6 str.

BDAR 6 straipsnio 1 dalis išvardija šešis pagrindus. Kiekvienas savarankiškas — pakanka, kad taikomas vienas, kad tvarkymas būtų teisėtas. Tačiau pagrindai nėra lygiaverčiai: kai kurie reikalauja papildomų sąlygų (sutikimas — atšaukimo galimybės; teisėtas interesas — LIA), o kiti yra automatiški (teisinė prievolė).

  1. Sutikimas (a punktas) — duomenų subjektas davė aiškų, savanorišką, konkretų sutikimą. Pavyzdžiui: prenumerata naujienlaiškiui, neprivalomas anketos klausimas, marketingo cookies.
  2. Sutartinė pareiga (b punktas) — tvarkymas būtinas sutarčiai vykdyti arba ikisutartinėms priemonėms. Pavyzdžiui: pristatymo adreso saugojimas, sąskaitos siuntimas, paslaugos pristatymas.
  3. Teisinė prievolė (c punktas) — tvarkymas reikalingas pagal ES arba LT teisės aktą. Pavyzdžiui: mokesčių apskaita (Mokesčių administravimo įstatymas), darbo įrašai (Darbo kodeksas), kasos čekiai.
  4. Gyvybiniai interesai (d punktas) — tvarkymas būtinas gelbėti subjekto ar kito asmens gyvybę. Pavyzdžiui: medicininė pagalba sąmonės netekusiam pacientui, nelaimingo atsitikimo aukos identifikavimas.
  5. Viešasis interesas (e punktas) — tvarkymas reikalingas vykdyti viešojo intereso funkciją arba įgyvendinti valstybės valdžią. Pavyzdžiui: statistikos rinkimas (Statistikos departamentas), valstybinių registrų tvarkymas, visuomenės sveikatos priežiūra.
  6. Teisėtas interesas (f punktas) — tvarkymas būtinas valdytojo arba trečiosios šalies teisėtam interesui įgyvendinti, jei jis nepažeidžia subjekto teisių. Pavyzdžiui: sukčiavimo prevencija, vidaus saugumas, esamų klientų rinkodara, IT sistemų stebėjimas.
Svarbu

Viešasis sektorius (valstybės, savivaldybių institucijos) negali remtis teisėto intereso pagrindu vykdydamos savo funkcijas (BDAR 6 str. 1 d. paskutinė pastraipa). Joms taikomas tik viešasis interesas (e) arba teisinė prievolė (c). Komercinė veikla — atskira tema.

120+
Veriva atliktų BDAR auditų LT rinkoje
€0 VDAI baudų klientams nuo 2017 m. Teisė + IT vienoje komandoje.

Sutikimas (6 str. 1 d. a) — kada tinka, kada ne

Sutikimas — populiariausias, bet dažniausiai klaidingai pasirenkamas pagrindas. BDAR 4 straipsnio 11 punktas ir 7 straipsnis nustato keturis privalomus sutikimo kriterijus: savanoriškumas, konkretumas, informuotumas, vienareikšmiškumas. Visi keturi privalo būti įvykdyti — vieno trūkumo pakanka, kad sutikimas būtų negaliojantis.

Kada sutikimas tinka

Sutikimas tinka, kai subjektas turi realią pasirinkimo laisvę ir tvarkymas nėra būtinas paslaugai gauti. Tipiniai LT verslo atvejai: naujienlaiškio prenumerata, marketingo cookies, nuotraukos naudojimas socialiniuose tinkluose, anketos neprivalomi klausimai, papildomi profilio duomenys (gimimo data, pomėgiai).

Kada sutikimas negalioja

Sutikimas nėra teisėtas pagrindas, jei subjekto pasirinkimo laisvė ribota arba tvarkymas būtinas paslaugai gauti. Praktiniai pavyzdžiai: e-parduotuvė reikalauja sutikimo, kad pristatytų užsakymą (taikytinas sutartinis pagrindas, ne sutikimas), darbdavys prašo darbuotojo sutikimo CCTV stebėjimui (taikytinas teisėtas interesas su LIA), bankas prašo sutikimo mokesčių apskaitai (taikytina teisinė prievolė).

Sutikimo atšaukimas

BDAR 7 straipsnio 3 dalis reikalauja, kad sutikimą būtų taip pat lengva atšaukti, kaip ir duoti. Atšaukimas turi galioti į ateitį — anksčiau tvarkyti duomenys lieka teisėti iki atšaukimo. Atšaukus sutikimą, tvarkymas privalo nutrūkti, nebent taikomas kitas pagrindas (pvz., teisinė prievolė saugoti dokumentaciją). Tačiau pagrindo keitimas po atšaukimo — netinkama praktika, prieštaraujanti BDAR 5 straipsnio sąžiningumo principui.

Darbo santykiai — sutikimas dažniausiai negalioja

EDPB gairės dėl sutikimo (2020/05) ir VDAI praktika nuosekliai patvirtina: darbuotojo sutikimas darbdaviui retai būna savanoriškas dėl hierarchinių santykių. Atlyginimo mokėjimas, mokesčių apskaita, darbo įrašai — teisinė prievolė. Vidaus saugumas, CCTV, IT stebėjimas — teisėtas interesas. Sutikimas darbo santykiuose galioja tik išskirtiniais atvejais: nuotraukos naudojimas rinkodaroje, papildomos savanoriškos sveikatos paslaugos, dalyvavimas mokymo programose.

Teisėtas interesas (6 str. 1 d. f) ir LIA

Teisėtas interesas — lankstiausias, bet ir reikalaujantis griežčiausio dokumentavimo pagrindas. BDAR 6 straipsnio 1 dalies f punktas leidžia tvarkyti duomenis be sutikimo, jei valdytojo arba trečiosios šalies interesas yra pakankamai svarbus ir neviršija subjekto teisių. Šis pagrindas netaikomas viešojo sektoriaus institucijoms.

Pusiausvyros testas (LIA)

LIA (Legitimate Interest Assessment) — privaloma dokumentuota procedūra, kurią sudaro trys etapai pagal EDPB gaires 06/2024:

  1. Tikslo testas — apibrėžkite konkretų teisėtą interesą. Tikslas turi būti realus, dabartinis (ne hipotetinis) ir teisėtas. Pavyzdžiai: komercinis (esamų klientų rinkodara), saugumo (sukčiavimo prevencija), mokslinis (statistinė analizė), socialinis (visuomenės informavimas).
  2. Būtinumo testas — patikrinkite, ar tikslo neįmanoma pasiekti mažiau invaziniu būdu. Jei galima pasiekti tą patį rezultatą su mažiau duomenų arba kitokia priemone — teisėtas interesas netaikomas. Pavyzdžiui, jei pakanka anoniminės statistikos, identifikuojami duomenys nereikalingi.
  3. Pusiausvyros testas — palyginkite valdytojo interesą su subjekto teisėmis ir laisvėmis. Atsižvelkite į: subjekto pagrįstus lūkesčius (ar tvarkymas yra numatomas duotame kontekste), duomenų pobūdį (specialiųjų kategorijų — papildomas svoris subjektui), poveikį (finansinį, reputacinį, psichologinį), apsaugos priemones (pseudonimizacija, prieigos ribojimas).
Praktiškai

LIA privalo būti dokumentuota raštu ir prieinama VDAI patikrinimo metu. Be LIA teisėto intereso pagrindas — formalus pažeidimas. EDPB gairės 06/2024 rekomenduoja LIA peržiūrėti kasmet arba pakeitus tvarkymo kontekstą.

Tipiniai teisėto intereso atvejai LT versle

  • Esamų klientų tiesioginė rinkodara — panašios paslaugos ar prekės, pagal BDAR 47 konstatuojamąją nuostatą.
  • Sukčiavimo prevencija — fraud detection sistemos, mokėjimų stebėjimas, neįprasto elgesio žymėjimas.
  • IT saugumas — log'ų rinkimas, prieigos kontrolė, įsilaužimo aptikimas. BDAR 49 konstatuojamoji nuostata patvirtina šį pagrindą.
  • Vidaus auditas — kokybės kontrolė, atitikties stebėjimas, procesų peržiūra.
  • Verslo analitika — statistinė klientų elgsenos analizė be tiesioginio identifikavimo.
  • CCTV stebėjimas — turto apsauga, prieigos kontrolė, darbuotojų saugumas (su privaloma LIA ir DPIA).

Pagrindų palyginimo lentelė: kada kuris

Pagrindai skiriasi pagal stiprumą, dokumentavimo reikalavimus ir subjekto teises. Žemiau pateikta praktinė palyginimo lentelė remiantis EDPB gairėmis ir VDAI praktika:

Pagrindas Kada taikomas Dokumentai Subjekto teisės
Sutikimas (a) Neprivalomi duomenys, rinkodara naujiems kontaktams Įrašytas sutikimas + atšaukimo galimybė Atšaukti bet kada, perkelti, ištrinti
Sutartinė pareiga (b) Paslaugos pristatymas, sąskaita, sutarties vykdymas Sutartis, ikisutartinė komunikacija Perkelti, ištrinti po sutarties pabaigos
Teisinė prievolė (c) Mokesčių apskaita, darbo įrašai, kasos čekiai Nuoroda į konkretų LT/ES įstatymą Ribotos — saugojimas privalomas
Gyvybiniai interesai (d) Medicininė pagalba, nelaimingi atsitikimai Įrašas apie situaciją Ribotos krizės metu
Viešasis interesas (e) Valstybės funkcijos, statistika, registrai LT teisės aktas, viešoji misija Prieštarauti su pagrindu
Teisėtas interesas (f) Sukčiavimo prevencija, IT saugumas, rinkodara esamiems LIA + privatumo politika Prieštarauti (BDAR 21 str.)

Specialiųjų kategorijų duomenys reikalauja dvigubo pagrindo

BDAR 9 straipsnis nustato sustiprintą apsaugą specialiosioms kategorijoms (sveikatos, biometrijos, religinių įsitikinimų, seksualinės orientacijos, etninės kilmės). 6 straipsnio pagrindo nepakanka — reikalingas dvigubas pagrindas: 6 str. PLIUS 9 str. išimtis. Pavyzdžiui, medicinos klinika tvarko pacientų duomenis remdamasi 6 str. 1 d. b punktu (sutartis) PLIUS 9 str. 2 d. h punktu (medicininė priežiūra).

Kaip pasirinkti pagrindą — 5 žingsnių vadovas

Pagrindo pasirinkimas — sprendimas su ilgalaikėmis pasekmėmis. Pakeitimas vėliau dažniausiai negalimas (EDPB gairės 5/2020). Šis 5 žingsnių planas paremtas Veriva 120+ BDAR auditų patirtimi ir EDPB rekomendacijomis.

1 žingsnis. Apibrėžkite konkretų tvarkymo tikslą

Užrašykite, kodėl asmens duomenys reikalingi. Tikslas turi būti aiškus, teisėtas ir ribotas (BDAR 5 str. 1 d. b punktas — tikslo apribojimo principas). Pavyzdžiai: „pristatyti užsakytą prekę", „mokėti atlyginimą", „siųsti naujienlaiškį esamiems klientams". Vienam tikslui — vienas pagrindas. Jei vienam duomenų rinkiniui taikomi keli tikslai — kiekvienas turi atskirą pagrindą.

2 žingsnis. Patikrinkite sutartinį ir teisinį pagrindą pirmiausia

Jei tvarkymas būtinas sutarčiai vykdyti arba ikisutartinėms priemonėms — taikomas 6 str. 1 d. b punktas. Jei reikalauja įstatymas — 6 str. 1 d. c punktas. Šie pagrindai stipresni už sutikimą, nereikalauja LIA ir suteikia aiškumo VDAI patikrinimo metu. Tipiniai LT atvejai: e-komercija (sutartis), atlyginimo skaičiavimas (teisinė prievolė), kasos sistema (teisinė prievolė).

3 žingsnis. Įvertinkite teisėto intereso galimybę

Jei sutartinis ir teisinis pagrindai netaikomi, apsvarstykite teisėtą interesą (6 str. 1 d. f). Atlikite LIA — tikslas, būtinumas, pusiausvyra. Dokumentuokite raštu. Tipiniai privatūs sektoriaus atvejai: sukčiavimo prevencija, IT saugumas, esamų klientų rinkodara, CCTV, vidaus statistika.

4 žingsnis. Sutikimas — paskutinis pasirinkimas

Sutikimą rinkitės tik kai kiti pagrindai netaikomi: rinkodara naujiems kontaktams, neprivalomi profilio duomenys, marketingo cookies, savanoriška veikla. Sutikimas turi būti savanoriškas, aiškus, konkretus, atšaukiamas. Įrašykite datą, formą, tekstą — be šių duomenų sutikimas VDAI akivaizdoje negaliojantis.

5 žingsnis. Dokumentuokite pagrindą veiklos įrašų registre

Įrašykite kiekvienam tvarkymo tikslui konkretų BDAR 6 straipsnio pagrindą veiklos įrašų registre (BDAR 30 str.). Atnaujinkite privatumo politiką (BDAR 13–14 str.) su aiškiu pagrindo paaiškinimu duomenų subjektui. Teisėto intereso atveju — atskira LIA ataskaita. Šių dokumentų VDAI patikrinime ieško pirmiausia.

Patikrinkite visus 6 BDAR pagrindus per 5 dienas su Veriva auditu

Teisė + IT vienoje komandoje. 120+ klientų, €0 VDAI baudų nuo 2017 m. Pirmoji konsultacija — nemokama, atsakymas per 24 val. darbo dienomis.

Gauti nemokamą konsultaciją
Mūsų e-parduotuvėje viskas rėmėsi sutikimu — nuo pristatymo iki naujienlaiškio. Veriva BDAR auditas parodė, kad 8 iš 12 tvarkymo tikslų turi būti pagrįsti sutartine pareiga arba teisėtu interesu. Pataisius — VDAI patikrinime nei vieno nurodymo.
Vadovas, e-komercijos platforma · 2026 m. balandis
BDAR auditas · €0 baudų

Dažniausios klaidos ir VDAI praktika

Pagal Veriva 120+ BDAR auditų patirtį ir VDAI 2024–2025 m. patikrinimus, septynios klaidos sudaro 80% pažeidimų:

  1. Sutikimas vietoj sutartinės pareigos — e-parduotuvė reikalauja sutikimo pristatymo adresui. Klaidinga: pristatymas — sutarties vykdymas (6 str. 1 d. b), sutikimas nepritaikomas.
  2. Darbuotojo sutikimas CCTV stebėjimui — sutikimas darbo santykiuose negalioja dėl hierarchijos. Taikytinas teisėtas interesas (6 str. 1 d. f) su LIA ir DPIA.
  3. Teisėtas interesas be LIA dokumento — formalus pažeidimas. VDAI patikrinime — pirmasis klausimas: „kur LIA ataskaita?"
  4. Vienas pagrindas keliems tikslams — pristatymas, rinkodara ir analitika negali turėti vieno pagrindo. Kiekvienam tikslui — atskiras pagrindas.
  5. Pagrindo keitimas po sutikimo atšaukimo — subjektas atšaukia sutikimą, valdytojas pereina į teisėtą interesą. Tai BDAR 5 str. sąžiningumo principo pažeidimas.
  6. Specialiųjų kategorijų vienas pagrindas — sveikatos duomenys remiantis tik 6 str. (be 9 str.) — automatinis pažeidimas su didesnėmis sankcijomis.
  7. Pagrindas neįrašytas veiklos įrašų registre — BDAR 30 str. pažeidimas. Registras be konkrečių pagrindų — VDAI atskaitos taškas patikrinimui.

VDAI 2024–2025 m. praktika

VDAI 2024–2025 m. ataskaitose dažniausiai cituojami BDAR 6 ir 7 straipsnio pažeidimai. Tipiniai sprendimai: telekomunikacijų operatorius gavo įspėjimą už sutikimą vietoj sutartinės pareigos; medicinos klinika — už specialiųjų kategorijų vieno pagrindo naudojimą; e-komercijos platforma — už pagrindo nedokumentavimą. Detalesnė informacija — BDAR baudos Lietuvoje 2026 straipsnyje.

Baudų rizika už 6 str. pažeidimą

BDAR 6 straipsnio pažeidimas — vienas griežčiausiai baudžiamų BDAR pažeidimų. BDAR 83 straipsnio 5 dalies a punktas priskiria jį antrajai baudų pakopai kartu su 5, 7, 9 straipsnių pažeidimais.

Bauda iki 20 mln. EUR arba 4% pasaulinės apyvartos

Pirmojoje pakopoje (BDAR 83 str. 4 d.) baudos siekia iki 10 mln. EUR arba 2% apyvartos. Antrojoje (83 str. 5 d.) — iki 20 mln. EUR arba 4% pasaulinės metinės apyvartos, taikoma didesnė suma. 6 straipsnio pažeidimas patenka būtent į antrąją pakopą, todėl finansinė rizika dvigubai didesnė nei procedūrinių pažeidimų.

LT precedentai 2024–2025

VDAI praktika rodo, kad pirmasis pažeidimas dažnai baigiasi įspėjimu arba nedidele bauda (1 000–10 000 EUR), tačiau pakartotinis arba tyčinis — milijoninėmis sankcijomis. BDAR baudos Lietuvoje straipsnyje detaliau aprašytas baudų skaičiavimo modelis. Vinted 2,38 mln. EUR bauda 2024 m. iš dalies susijusi su 6 straipsnio pažeidimu — netinkamu sutikimo formulavimu.

NIS2 ir BDAR sąsaja

Lietuvoje NIS2 direktyva taikoma nuo 2025 m. spalio 17 d., kai įsigaliojo Kibernetinio saugumo įstatymas (KSĮ). Įmonės, patenkančios į NIS2 sritį, turi atitikti du reguliavimo režimus: BDAR (asmens duomenys) ir NIS2 (kibernetinis saugumas). Praktiškai 70% kontrolės procedūrų persidengia — todėl integruotas BDAR auditas ir NIS2 atitikties vertinimas ekonomiškesnis nei atskirai vykdomi projektai.

DPO vaidmuo pagrindų vertinime

Duomenų apsaugos pareigūnas (DPO) pagal BDAR 39 straipsnį konsultuoja dėl tinkamų pagrindų pasirinkimo, LIA atlikimo ir dokumentavimo. Įmonėms, kurioms DPO privalomas, pagrindo pasirinkimas negali būti atliktas be DPO dalyvavimo. Smulkiam verslui — patarimas BDAR konsultanto arba audito metu.

Šaltiniai: BDAR EUR-Lex (6 str.) · VDAI — Valstybinė duomenų apsaugos inspekcija · EDPB gairės 5/2020 dėl sutikimo · EDPB gairės 06/2024 dėl teisėto intereso

Dažniausi klausimai apie BDAR 6 straipsnį

BDAR 6 straipsnis nustato šešis savarankiškus teisėto asmens duomenų tvarkymo pagrindus. Tvarkymas teisėtas tik tada, kai taikomas bent vienas iš jų: sutikimas, sutartis, teisinė prievolė, gyvybiniai interesai, viešasis interesas arba teisėtas interesas. Be pagrindo tvarkomi duomenys — automatinis BDAR pažeidimas su sankcija iki 20 mln. EUR arba 4% pasaulinės apyvartos.
Taip. BDAR 6 straipsnis numato penkis kitus pagrindus be sutikimo: sutartinė pareiga (paslaugos pristatymas), teisinė prievolė (mokesčių apskaita), gyvybiniai interesai (medicininė pagalba), viešasis interesas (valstybės funkcijos), teisėtas interesas (sukčiavimo prevencija, marketingo analitika). Sutikimas reikalingas tik kai kitas pagrindas netaikomas — tai paskutinis, ne pirmasis pasirinkimas.
Sutikimas (6 str. 1 d. a punktas) reikalauja aiškaus, savanoriško, konkretaus duomenų subjekto pareiškimo, kurį galima atšaukti bet kuriuo metu. Teisėtas interesas (6 str. 1 d. f punktas) leidžia tvarkyti duomenis be sutikimo, jei valdytojo arba trečiosios šalies interesas yra pakankamai svarbus ir neviršija subjekto teisių. Reikalingas pusiausvyros testas (LIA). Sutikimą subjektas gali atšaukti — teisėto intereso pagrindą gali ginčyti tik per prieštaravimą (BDAR 21 str.).
BDAR taikomas visoms ES įsteigtoms organizacijoms, tvarkančioms asmens duomenis, nepriklausomai nuo dydžio ar darbuotojų skaičiaus. Taip pat — ne ES įsteigtoms organizacijoms, kurios siūlo prekes ar paslaugas ES gyventojams arba stebi jų elgseną. Reglamentas netaikomas tik grynai asmeniniam ar buities tvarkymui (BDAR 2 str. 2 d. c punktas) ir kompetentingų institucijų veiklai nusikalstamų veikų atveju.
Dažniausiai ne. EDPB gairės ir VDAI praktika nurodo, kad darbuotojo sutikimas retai būna savanoriškas dėl darbo santykių hierarchijos. Atlyginimui mokėti, mokesčiams apskaityti ir darbo įrašams tvarkyti taikoma teisinė prievolė (6 str. 1 d. c punktas). CCTV stebėjimui — teisėtas interesas (6 str. 1 d. f punktas) su privaloma LIA. Sutikimas darbo santykiuose galioja tik išskirtiniais atvejais.
LIA — privaloma dokumentuota procedūra iš trijų etapų. Pirma — apibrėžti konkretų teisėtą interesą (komercinis, saugumo, mokslinis). Antra — patikrinti būtinumą (ar pasiekti tikslą galima mažiau invaziniu būdu). Trečia — palyginti su subjekto teisėmis ir laisvėmis, atsižvelgiant į pagrįstus lūkesčius, duomenų pobūdį, poveikį. LIA privalo būti dokumentuota raštu ir prieinama VDAI patikrinimo metu.
Dažniausiai ne. EDPB gairės draudžia pagrindo keitimą, jei subjektas buvo informuotas apie konkretų pagrindą. Pagrindo keitimas po sutikimo atšaukimo į teisėtą interesą — netinkama praktika ir BDAR 5 straipsnio sąžiningumo principo pažeidimas. Tinkamai pasirinkti pagrindą reikia prieš pradedant tvarkymą, nurodyti privatumo politikoje ir dokumentuoti veiklos įrašų registre (BDAR 30 str.).
Esamiems klientams — teisėtas interesas (6 str. 1 d. f punktas + 47 konstatuojamoji nuostata), jei rinkodara susijusi su panašiomis paslaugomis. Naujiems kontaktams — sutikimas (6 str. 1 d. a punktas + ePrivacy direktyva). El. pašto rinkodarai LT taikoma ENRT 69 straipsnis: pirmajam laiškui — sutikimas, esamiems klientams — soft opt-in su nutraukimo galimybe.
Nepakanka. Specialiųjų kategorijų duomenims (sveikatos, biometrijos, religinių įsitikinimų) reikalingas dvigubas pagrindas: BDAR 6 straipsnio pagrindas PLIUS BDAR 9 straipsnio išimtis. Pavyzdžiui, medicinos klinikai pacientų sveikatos duomenų tvarkymas — 6 str. 1 d. b punktas (sutartis) PLIUS 9 str. 2 d. h punktas (medicininė priežiūra). Vien 6 straipsnio pagrindo nepakanka — tai pažeidimas su išplėsta sankcija.
BDAR 83 straipsnio 5 dalis numato antrąją baudų pakopą už 6 straipsnio pažeidimą — iki 20 mln. EUR arba iki 4% pasaulinės metinės apyvartos. Taikoma didesnė suma. Tai aukščiausia BDAR bauda, kartu su 5, 7, 9 straipsnių pažeidimais. LT praktikoje VDAI dažnai vertina kontekstą: pažeidimo trukmę, subjektų skaičių, tyčią, bendradarbiavimą.
Dokumentavimas privalomas pagal BDAR 5 straipsnio 2 dalį. Trys privalomi elementai: veiklos įrašų registras (BDAR 30 str.) su nurodytais pagrindais kiekvienam tikslui, privatumo politika su aiškiu pagrindo paaiškinimu (BDAR 13–14 str.), teisėto intereso atveju — atskira LIA ataskaita. Sutikimo atveju — įrašyti datą, formą, tekstą, atšaukimo galimybę.
Leistinas, jei taikomas teisėto intereso pagrindas (6 str. 1 d. f punktas) su privaloma LIA. Tipiniai pateisinami tikslai: turto apsauga, darbuotojų saugumas, prieigos kontrolė. Draudžiama: nuolatinis darbo vietos stebėjimas, biometrinis identifikavimas be aiškios teisinės bazės, audio įrašymas be sutikimo. Darbdavys privalo informuoti darbuotojus, pažymėti stebėjimo zonas ženklais, vykdyti DPIA.

Užtikrinkite BDAR 6 str. atitiktį — auditas per 5 darbo dienas

Teisė + IT vienoje komandoje. 120+ klientų, €0 VDAI baudų nuo 2017 m. Klaidingas pagrindas — bauda iki 20 mln. EUR. Pirmoji konsultacija nemokama.

Gauti BDAR audito pasiūlymą — per 24 val.

Susiję straipsniai

BDAR
BDAR14 min

BDAR baudos Lietuvoje 2026: dydžiai ir kaip jų išvengti

Vinted gavo 2,38 mln. EUR. VDAI 2025 m. skyrė 5 baudas. Faktinė praktika, 5 žingsnių planas.

Skaityti →
DPO
DPO12 min

Duomenų apsaugos pareigūnas: kada reikia ir kaip pasirinkti

DPO privalomas pagal BDAR 37 str. 3 atvejais. Vidinis vs outsourcing — 5 žingsnių vadovas.

Skaityti →
NIS2
NIS213 min

NIS2 direktyva Lietuvoje: kam taikoma ir kaip pasiruošti

LT NIS2 taikoma nuo 2025-10-17 (KSĮ įsigaliojimas). 18 sektorių, 50+ darbuotojų. Baudos iki €10 mln.

Skaityti →