Skip to content

BDAR atskaitomybė: ką ES įmonės privalo dokumentuoti

BDAR atskaitomybė reiškia atitiktį įrodyti, o ne tik ją deklaruoti. Kokius įrašus ES įmonės privalo turėti — duomenų tvarkymo veiklos įrašus, PDAV, politikas — ir kaip jų rinkinį sudaryti.

Išsibarstę duomenų tvarkymo įrašai jungiasi į vieną išsamų, patikrintą BDAR atskaitomybės rinkinį virš blankaus Europos žemėlapio — tamsiai mėlyna ir koralo spalva ant kreminio fono.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Dauguma įmonių BDAR atitiktį laiko būsena, kurią pasieki — pasirašai politiką, įdiegi slapukų juostą ir baigta. Reglamentas ją laiko kažkuo, ką privalai sugebėti įrodyti. Tai atskaitomybės principas ir tylus visos teisės centras: pagal 5 straipsnio 2 dalį įmonė atsako už duomenų apsaugos principų laikymąsi ir turi sugebėti tą laikymąsi įrodyti [1]. Praktiškai tas įrodymas yra dokumentų rinkinys — įrašai, vertinimai, politikos ir procedūros, tiksliai ir nuosekliai aprašantys, kaip Jūsų organizacija iš tikrųjų tvarko asmens duomenis. Europos įmonei, neturinčiai teisės skyriaus, šio rinkinio sudarymas ir palaikymas ir yra tikrasis BDAR uždavinys. Šiame vadove išdėstoma, ką tas rinkinys apima, kodėl egzistuoja kiekviena dalis ir kuo pareiga skiriasi įvairiose Europos vietose — taip pat kodėl „europinis" nėra tas pat kaip „britiškas".

Trumpas atsakymas. BDAR atskaitomybė (5 straipsnio 2 dalis) reiškia, kad įmonė turi ne tik laikytis duomenų apsaugos teisės, bet ir sugebėti tai įrodyti — dokumentais. Pagrindinį rinkinį sudaro duomenų tvarkymo veiklos įrašai, teisinio pagrindo ir privatumo pranešimo sluoksnis, sutartys su tvarkytojais ir PDAV, kai pavojus didelis — visa tai yra tikslu, įmonei pritaikyta ir tarpusavyje darnu.

Ką atskaitomybė iš tikrųjų reiškia pagal BDAR

Dauguma BDAR pareigų bendrais bruožais pažįstamos: turėk teisinį pagrindą, pasakyk žmonėms, ką darai su jų duomenimis, saugok juos, gerbk jų teises. Atskaitomybė yra principas, paverčiantis tas pareigas iš ketinimų kažkuo patikrinamu. 5 straipsnio 2 dalis nustato, kad duomenų valdytojas „yra atsakingas už tai, kad būtų laikomasi" duomenų apsaugos principų, ir „turi sugebėti įrodyti, kad jų laikomasi", o 24 straipsnis reikalauja įgyvendinti tinkamas priemones ir sugebėti įrodyti, kad tvarkymas atitinka Reglamentą [1]. Esminiai žodžiai — sugebėti įrodyti. Atitiktis, kurios paprašyti negali parodyti popieriuje, neįskaitoma.

Tai pakeičia tai, kur guli įrodinėjimo našta. Priežiūros institucija, pradedanti tyrimą, įmonė klientė, atliekanti tiekėjo patikrą, ar partneris, derantis dėl sutarties, nepradeda nuo prielaidos, kad esate neatitiktis — bet vos tik jie paprašo „parodykite", atsakomybė pateikti darnius įrodymus tenka Jums, ne jiems. Ir testas, kurį jie taiko, nėra apie kiekį. Bendrų politikų segtuvas neįspūdingas; reguliuotojai ieško konkretumo ir vidinio nuoseklumo — dokumentų, aprašančių realų Jūsų tvarkymą, įvardijančių tikras sistemas bei tiekėjus ir vienas kitam neprieštaraujančių. Pačios Europos Komisijos gairės organizacijoms apibrėžia šią pareigą būtent taip: atitiktį įrodyti įrašais, poveikio vertinimais ir pažeidimų dokumentavimu [2].

Tai, kas slypi už to žodžio, nėra abstraktu. BDAR atskaitomybę paremia administracinėmis baudomis iki 20 milijonų eurų arba 4 % bendros metinės pasaulinės apyvartos — taikoma didesnioji suma — už sunkiausius pažeidimus [1]. Tačiau daugumai mažų ir vidutinių įmonių aštresnis ir dažnesnis spaudimas yra ne reguliacinis, o komercinis: didesnio kliento pirkimų ar tiekėjo patikros procesas paprašo Jūsų duomenų tvarkymo veiklos įrašų, duomenų tvarkymo sutarties ir saugumo dokumentų, kol nepasirašys — ir sandoris užstringa tą savaitę, kai jų pateikti negalite. Atskaitomybės dokumentai tyliai tapo sąlyga parduoti didesnėms organizacijoms, ir ta pati logika galioja draudikams bei partneriams. Štai kodėl įmonės vis dažniau sudaro šį rinkinį iš anksto — kaip komercinį pažymėjimą, leidžiantį partneriui patikėti joms asmens duomenis, užuot laukusios, kol paprašys reguliuotojas.

Taigi atskaitomybė perrėmina visą užduotį. Klausimas jau nebe „ar mes atitinkame?" abstrakčiai, o „ką galime parodyti dabar pat apie kiekvieną dalyką, kurį darome su asmens duomenimis?" Visa, kas išdėstyta toliau, ir yra atsakymas į šį klausimą.

Dokumentų rinkinys: ką Europos įmonės privalo parodyti

Vieno „BDAR sertifikato" nėra. Atskaitomybę liudija dokumentų rinkinys, kuriame kiekvienas dokumentas susietas su konkrečia pareiga ir kuris kartu apima kiekvieną veiklą, kuria Jūsų organizacija tvarko asmens duomenis. Kurios dalys reikalingos, priklauso nuo to, ką darote — vien rėmimasis tiekėju įtraukia duomenų tvarkymo sutartį, didelį pavojų keliantis tvarkymas — poveikio vertinimą — bet stuburas Europos įmonėse vienodas.

Paprastai tariant, rinkinys sudaromas veikla po veiklos:

  • Duomenų tvarkymo veiklos įrašai, 30 straipsnis. Pamatinis dokumentas: kiekvienos tvarkymo veiklos inventorius — kokie duomenys, kieno, kodėl, kokiu pagrindu, su kuo dalijamasi, kiek laiko saugoma, kas juos saugo. Nacionalinės institucijos, pavyzdžiui, Prancūzijos CNIL, skelbia šablonus būtent todėl, kad tai pirmoji priemonė, kurios jos griebiasi; reguliuotojų žodžiais, tai dokumentas, turintis ir inventoriaus, ir analizės paskirtį, ir privalantis atspindėti realų Jūsų tvarkymą [1][4].
  • Kiekvienos veiklos teisinis pagrindas, 6 straipsnis — ir teisėto intereso vertinimas. Kiekvienai veiklai reikia vieno iš šešių teisinių pagrindų. Kai remiatės teisėtu interesu (6 straipsnio 1 dalies f punktas), privalote dokumentuoti trijų dalių pusiausvyros testą — tikslą, būtinumą ir pusiausvyrą su asmens teisėmis — discipliną, kurią Teisingumo Teismas patvirtino 2024 m. KNLTB sprendime [1][9].
  • Privatumo pranešimai, 13–14 straipsniai. Tai, ką pasakote asmenims, kurių duomenis turite, atsižvelgiant į tai, ar surinkote juos tiesiogiai iš jų, ar ne. Pranešimas turi atitikti duomenų tvarkymo veiklos įrašus; neatitikimas tarp to, ką sakote, ir to, ką užfiksuojate, yra kaip tik tas prieštaravimas, kurio institucija ieško [1].
  • Duomenų tvarkymo sutartys, 28 straipsnis. Kai tik tiekėjas tvarko asmens duomenis Jūsų vardu — atlyginimų biuras, debesijos paslaugų teikėjas, el. pašto platforma — 28 straipsnis reikalauja sutarties su apibrėžtomis sąlygomis. Komisija būtent tam skelbia oficialias standartines sutarčių sąlygas, kuriomis atitinkanti sutartis gali remtis [1][5].
  • Perdavimo apsaugos priemonės, V skyrius. Jei asmens duomenys išvežami už Europos ekonominės erdvės, reikia galiojančio perdavimo mechanizmo — tinkamumo sprendimo arba Komisijos standartinių sutarčių sąlygų tarptautiniam perdavimui [1][6].
  • Poveikio duomenų apsaugai vertinimas (PDAV), 35 straipsnis. Būtinas, kai dėl tvarkymo gali kilti didelis pavojus — didelio masto specialių kategorijų duomenys, sistemingas stebėjimas, išsamus profiliavimas. Europos gairės nustato devynis kriterijus ir du ar daugiau laiko paleidikliu; kiekviena nacionalinė institucija taip pat skelbia savo privalomo PDAV sąrašą [1][3].
  • Procedūros, ne tik dokumentai. Aplink rinkinį glaudžiasi operacinės dalys: procesas duomenų subjektų prašymams sutvarkyti per vieno mėnesio terminą (12–22 straipsniai), pažeidimų procesas, pajėgus pranešti institucijai per 72 valandas, kai to reikalaujama (33–34 straipsniai), ir vidaus politika, aprašanti technines bei organizacines priemones, kurios saugo duomenis (24, 32 straipsniai) [1].

Tokia yra anatomija. Menas — padaryti ją Jūsiška, kad kiekvienas laukelis būtų atsekamas iki kažko, kas Jūsų įmonėje tikra, o ne aplankas tikėtinai atrodančio bendro teksto.

Vienas reglamentas, daug reguliuotojų — europinis vaizdas

Štai kur europinis rėmas svarbus ir kur lengva apsirikti skaitant į JK orientuotus patarimus. BDAR yra reglamentas, ne direktyva: Reglamentas (ES) 2016/679 tiesiogiai taikomas kiekvienoje ES valstybėje narėje ir platesnėje Europos ekonominėje erdvėje, apimančioje Norvegiją, Islandiją ir Lichtenšteiną [1][2]. Pamatiniai straipsniai — atskaitomybė, teisinis pagrindas, duomenų tvarkymo veiklos įrašai, PDAV, duomenų subjektų teisės — yra identiškas tekstas Vokietijoje, Prancūzijoje, Italijoje, Ispanijoje, Lenkijoje, Slovakijoje ir visur kitur. Per Europą veikianti įmonė ES branduolį sudaro vieną kartą.

Keičiasi ant to branduolio uždėtas nacionalinis sluoksnis. Kiekviena šalis turi savą priežiūros instituciją — CNIL Prancūzijoje, Garante Italijoje, AEPD Ispanijoje, BfDI ir žemių (Länder) institucijas Vokietijoje ir taip toliau — ir kiekviena gali nustatyti nacionalinius ypatumus: amžių, nuo kurio vaikas gali sutikti su internetinėmis paslaugomis (visame bloke nustatytą tarp 13 ir 16 metų), darbo duomenų taisykles ir institucijos sąrašą operacijų, kurioms visada būtinas PDAV. Nuoseklumą tarp šių reguliuotojų laiko Europos duomenų apsaugos valdyba ir „vieno langelio" mechanizmas, tad branduolys neskyla [8]. Atskaitomybės rinkiniui tai reiškia, kad struktūra vienoda, o kitimas apibrėžtas: nubraižyk ES branduolį, paskui kiekvienai šaliai, kurioje veiki, uždėk tą saują nacionalinių ypatumų.

Ir kaip tik todėl europinis nėra tas pat kaip britiškas. Po „Brexito" Jungtinė Karalystė yra už ES BDAR ribų. Ji taiko savo UK GDPR kartu su 2018 m. Duomenų apsaugos aktu, kurį prižiūri ICO, ir vidaus reformomis pradėjo tolti nuo ES teksto. Šveicarija, niekada nebuvusi ES, turi savo atnaujintą Federalinį duomenų apsaugos įstatymą. Tad į ES orientuota įmonė turėtų JK ir Šveicariją vertinti kaip atskirus, lygiagrečius režimus — atskiras jurisdikcijas, dokumentuotinas savaime, o ne kaip vietinius ES reglamento variantus [2]. Daug plačiai dalijamo „BDAR" turinio iš tikrųjų yra JK turinys; ES ir EEE sutelktam tvarkymui reglamentas, reguliuotojai ir cituojami šaltiniai yra europiniai.

Kur atskaitomybė tampa sunkesnė: dirbtinis intelektas ir automatizuoti sprendimai

Dirbtinio intelekto diegimas nekuria atskiros atitikties visatos, bet prideda svorio atskaitomybės rinkiniui. Svarbūs trys dalykai. Pirma, automatizuotam sprendimų priėmimui ir profiliavimui, sukeliančiam teisinį ar panašiai reikšmingą poveikį asmenims, taikomos specialios apsaugos priemonės pagal 22 straipsnį — įskaitant, daugeliu atvejų, teisę į žmogaus įsikišimą [1]. Antra, DI, dideliu mastu tvarkantis asmens duomenis ar profiliuojantis asmenis, dažnai atitinka 35 straipsnio kriterijus ir todėl reikalauja PDAV [1][3]. Trečia, bet kokiam mokymui ar išvedžiojimui, atliekamam su asmens duomenimis, vis tiek reikia aiškaus, dokumentuoto teisinio pagrindo.

Be BDAR, ES DI aktas (Reglamentas (ES) 2024/1689) įveda atskirą, rizika grįstą pareigų sluoksnį pačioms DI sistemoms [7]. Du režimai veikia lygiagrečiai: DI aktas valdo sistemą, BDAR valdo asmens duomenis, kuriuos ji paliečia — o BDAR atskaitomybė galioja vos tik DI sistema tvarko asmens duomenis, nepriklausomai nuo to, kaip DI aktas ją klasifikuoja. Praktinė pasekmė: organizacija, perkelianti darbą į DI, paveldi daugiau, ką dokumentuoti, ne mažiau. Platesnę reguliacinę konvergenciją nagrinėjame vadove apie DI valdyseną ir taikomas taisykles, o veiklos modelį, kuriame šie įrodymai gimsta kaip įprasto darbo šalutinis produktas, — straipsnyje apie DI grįstą įmonęEN.

Sąžininga išlyga: dokumentai būtini, bet nepakankami

Būtų patogu sakyti, kad vos tik rinkinys egzistuoja, esate atitiktis. Nesate — ir apsimetinėti, kad taip, yra klasikinis būdas atskaitomybei žlugti. Trys sąžiningos ribos.

Pirma, dokumentai turi atitikti tikrovę, ir Jūs turite pagal juos veikti. Politika, aprašanti prieigos kontrolę, kurios Jūsų sistemos neužtikrina, ar duomenų tvarkymo veiklos įrašai, praleidžiantys vaizdo stebėjimą prie įėjimo, nėra neutralūs — tai neatitikties įrodymas. Rinkinys liudija atskaitomybę tik tada, jei yra konkretus, tarpusavyje darnus ir iš tikrųjų taikomas gyvenime. Antra, dokumentų rinkinys nėra teisinė konsultacija ir nėra sertifikatas. Įrašų, kurių reikalauja teisė, parengimas yra struktūruotas rašymas, o ne teisinė išvada dėl Jūsų konkrečios situacijos; ir nėra jokio „BDAR sertifikuotas" statuso, suteikiamo už gerus popierius — formalus sertifikavimo kelias pagal 42 straipsnį yra atskiras, akredituotas mechanizmas. Trečia, kai kuriose situacijose reikia specialisto. Tikrai sudėtingas PDAV, ginčytina tarpvalstybinė struktūra ar vykstantis reguliacinis tyrimas nėra šablono teritorija; teisingas žingsnis ten — kreiptis į kvalifikuotą patarėją, ir geras atskaitomybės procesas pasako, kada.

Įvardyti šias ribas — ne išlyga apsidrausti. Tai skirtumas tarp rinkinio, atlaikančio patikrą, ir aplanko, kuris subyra, vos tik kas nors įdėmiai jį perskaito.

Kaip sudaryti savo atskaitomybės rinkinį

Realiai yra trys būdai parengti rinkinį. Advokatų kontora ar DAP konsultantas suteikia tikslumą ir vertinimą, bet lėtai ir už kainą, kuri spaudžia mažesnę įmonę. Bendri šablonai yra greiti ir pigūs, bet neatlaiko konkretumo ir nuoseklumo testo, kurį institucijos iš tikrųjų taiko — o prieštaringas ar tuščias rinkinys yra blogiau nei sąžininga spraga. Trečias kelias — kaip produktas parengtas, sugeneruotas rinkinys: atsakote į struktūruotus klausimus apie savo įmonę ir jos tvarkymo veiklas, o pritaikytas, tarpusavyje darnus rinkinys surenkamas iš sąlygų bibliotekos, paremtos reglamentu ir oficialiomis gairėmis — greitas kaip šablonai, bet konkretus Jums kaip advokatas.

Sudarykite rinkinį be advokatų kontoros laiko grafiko. „easyAI" BDAR atskaitomybės dokumentacija trumpą vedamą klausimyną apie Jūsų įmonę ir tai, kaip ji tvarko asmens duomenis, paverčia pritaikytu, tarpusavyje darniu atskaitomybės rinkiniu — duomenų tvarkymo veiklos įrašai, vidaus politika, privatumo pranešimai, sutartys su tvarkytojais, teisėto intereso vertinimas, kai jo reikia, ir PDAV atranka — sugeneruotu per kelias dienas, anglų kalba ir Jūsų nacionaline kalba, už individualios paslaugos kainos dalį. Tai dokumentacijos pagalba, o ne teisinė konsultacija ar sertifikavimas, ir ji daro prielaidą, kad veikiate taip, kaip joje aprašyta. Jei kitas Jūsų žingsnis yra DI, o ne popierizmas, DI pamatinis auditasEN parodo, kur automatizavimas atsiperka; pradėkite nuo pavyzdinės ataskaitosEN. Abu produktai veikia „easyAI" platformoje aiprioritymap.com.

Jūsų pusėje seka aiški: inventorizuok kiekvieną veiklą, paliečiančią asmens duomenis, nustatyk kiekvienai teisinį pagrindą, parašyk juos aprašančius įrašus ir pranešimus, sutvarkyk sutartis su tiekėjais, įvertink didelį pavojų keliančius atvejus ir parenk teisių bei pažeidimų procedūras — paskui palaikyk visumą aktualią, kintant Jūsų tvarkymui. Atskaitomybė nėra projektas, kurį užbaigi; tai būsena, kurią palaikai. Bet pirmieji, sunkiausi 80 % — išsamus, nuoseklus, įmonei pritaikytas rinkinys, kurį gali pateikti bet kam, kas paprašys — kaip tik ir yra ta dalis, kurią dabar galima sugeneruoti, o ne kurti rankomis.

Dažnai užduodami klausimai

Santrauka

BDAR atskaitomybė — įrodyk, o ne tik deklaruok
│
├─ Principas (5 str. 2 d., 24 str.)
│   ├─ Atitiktį privalu įrodyti, ne tik deklaruoti
│   ├─ Įrodinėjimo našta tenka Jums, duomenų valdytojui
│   └─ Institucijos tikrina konkretumą ir nuoseklumą, ne kiekį
│
├─ Ką privalote sugebėti parodyti
│   ├─ Tvarkymo veiklos įrašai — kiekviena veikla (30 str.)
│   ├─ Teisinis pagrindas + teisėto intereso vertinimas (6 str.)
│   ├─ Pranešimai · tiekėjų sutartys · perdavimai (13/14, 28, V sk.)
│   └─ PDAV, kai pavojus didelis · teisių ir pažeidimų procedūros
│
└─ Vienas reglamentas, daug reguliuotojų
    ├─ ES ir EEE turi bendrą branduolį — nubraižyk jį kartą
    ├─ Nacionalinės institucijos prideda ypatumų — CNIL, Garante, AEPD…
    └─ Ne JK — UK GDPR ir Šveicarijos FADP yra atskiri

Susiję įžvalgos

Būsimi šios grupės straipsniai: kaip sudaryti duomenų tvarkymo veiklos įrašus, kada ir kaip atlikti PDAV, kaip pasirinkti teisinį pagrindą, duomenų subjektų teisių procedūros, 28 straipsnio duomenų tvarkymo sutartis ir BDAR dirbtiniam intelektui bei automatizuotiems sprendimams.


Atnaujinta: 2026 m. birželis. Versija 1.0.

Frequently Asked Questions

Kas yra atskaitomybės principas BDAR?
Atskaitomybė įtvirtinta BDAR 5 straipsnio 2 dalyje: duomenų valdytojas atsako už duomenų apsaugos principų laikymąsi ir turi sugebėti tą laikymąsi įrodyti. Įrodinėjimo našta perkeliama įmonei. Nepakanka tvarkyti asmens duomenis teisėtai — turite sugebėti dokumentais parodyti, kaip ir kodėl tai darote. Būtent tų įrodymų ir prašo priežiūros institucija, klientas ar sandorio partneris.
Kokius dokumentus BDAR iš tikrųjų reikalauja turėti?
Pagrindinį atskaitomybės rinkinį sudaro: duomenų tvarkymo veiklos įrašai (30 straipsnis), kiekvienos veiklos teisinis pagrindas su teisėto intereso vertinimu, kai remiamasi šiuo pagrindu (6 straipsnis), privatumo pranešimai asmenims, kurių duomenis turite (13–14 straipsniai), duomenų tvarkymo sutartys su tiekėjais (28 straipsnis) ir poveikio duomenų apsaugai vertinimas, kai tvarkymas gali kelti didelį pavojų (35 straipsnis). Aplink juos — duomenų subjektų teisių ir pažeidimų valdymo procedūros bei vidaus politika, aprašanti technines ir organizacines priemones.
Ar BDAR visoje Europoje taikomas vienodai?
Branduolys — taip. Reglamentas (ES) 2016/679 tiesiogiai taikomas visoje ES ir platesnėje Europos ekonominėje erdvėje — tie patys straipsniai galioja Vokietijoje, Prancūzijoje, Italijoje, Slovakijoje ir kiekvienoje kitoje valstybėje narėje, taip pat Norvegijoje, Islandijoje ir Lichtenšteine. Skiriasi nacionalinis sluoksnis: kiekviena šalis turi savą priežiūros instituciją ir keletą nacionalinių ypatumų, pavyzdžiui, amžių, nuo kurio vaikas gali sutikti su internetinėmis paslaugomis, darbo duomenų taisykles ir institucijos sąrašą operacijų, kurioms visada būtinas PDAV.
Ar Jungtinei Karalystei taikomas ES BDAR?
Nebe. Po „Brexito" Jungtinė Karalystė taiko savo UK GDPR kartu su 2018 m. Duomenų apsaugos aktu, kurį prižiūri ICO, ir vidaus reformomis pradėjo tolti nuo ES teksto. Šveicarija taip pat turi savo atnaujintą Federalinį duomenų apsaugos įstatymą. Tad „europinė" duomenų apsauga nėra vienas režimas: ES ir EEE turi bendrą branduolį, o JK ir Šveicarija yra atskiros, lygiagrečios sistemos, kurias į ES orientuota įmonė vertina kaip atskiras jurisdikcijas, o ne kaip vietinius variantus.
Ar mažos įmonės ir MVĮ privalo tvarkyti duomenų tvarkymo veiklos įrašus?
Paprastai taip. 30 straipsnio 5 dalis tarsi atleidžia organizacijas, turinčias mažiau nei 250 darbuotojų, tačiau išimtis netaikoma, jei tvarkymas nėra atsitiktinis, gali kelti pavojų asmenims arba apima specialių kategorijų duomenis — o tai apibūdina beveik kiekvieną verslą, kuris moka atlyginimus, saugo klientų įrašus ar naudoja vaizdo stebėjimą. Praktiškai dauguma MVĮ nėra atleistos, ir Europos reguliuotojai primygtinai ragina įrašus tvarkyti bet kuriuo atveju, nes tai naudingiausia atskaitomybės įrodymo priemonė.
Kada įmonei reikia poveikio duomenų apsaugai vertinimo (PDAV)?
PDAV pagal 35 straipsnį privalomas, kai dėl tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms — ypač didelio masto specialių kategorijų duomenų tvarkymo, sistemingo viešų vietų stebėjimo ar sisteminio ir išsamaus profiliavimo, sukeliančio teisinį ar panašiai reikšmingą poveikį, atvejais. Europos gairės nustato devynis pavojaus kriterijus ir du ar daugiau jų laiko stipriu signalu, kad PDAV reikia. Kiekviena nacionalinė institucija taip pat skelbia savo sąrašą operacijų, kurioms jis visada būtinas.
Ar galime tiesiog naudoti bendrus BDAR dokumentų šablonus?
Šablonai gali būti atspirties taškas, tačiau jie neatlaiko testo, kurį institucijos iš tikrųjų taiko — konkretumo ir vidinio nuoseklumo. Politika, aprašanti saugumo priemones, kurių Jūsų sistemos neturi, ar įrašas, praleidžiantis vaizdo stebėjimą prie įėjimo, yra neatitikties įrodymas, o ne atitikties patvirtinimas. Dokumentai turi aprašyti realų Jūsų organizacijos tvarkymą, įvardyti tikras sistemas bei tiekėjus ir vienas kitam neprieštarauti — o paskui turite veikti taip, kaip juose aprašyta.
Ar dirbtinio intelekto naudojimas keičia mūsų BDAR pareigas?
Jis ne pakeičia taisykles, o padidina riziką. Automatizuotam sprendimų priėmimui ir profiliavimui taikomos specialios apsaugos priemonės pagal 22 straipsnį, dideliu mastu asmens duomenis tvarkantis DI dažnai reikalauja PDAV, o bet kokiam mokymui ar išvedžiojimui iš asmens duomenų vis tiek reikia aiškaus teisinio pagrindo. ES DI aktas prideda atskirą, rizika grįstą pareigų sluoksnį DI sistemoms, bet BDAR atskaitomybė galioja vos tik DI sistema paliečia asmens duomenis — tiesiog dokumentuoti reikia daugiau.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.