BDAR atskaitomybė: ką ES įmonės privalo dokumentuoti
BDAR atskaitomybė reiškia atitiktį įrodyti, o ne tik ją deklaruoti. Kokius įrašus ES įmonės privalo turėti — duomenų tvarkymo veiklos įrašus, PDAV, politikas — ir kaip jų rinkinį sudaryti.

Dauguma įmonių BDAR atitiktį laiko būsena, kurią pasieki — pasirašai politiką, įdiegi slapukų juostą ir baigta. Reglamentas ją laiko kažkuo, ką privalai sugebėti įrodyti. Tai atskaitomybės principas ir tylus visos teisės centras: pagal 5 straipsnio 2 dalį įmonė atsako už duomenų apsaugos principų laikymąsi ir turi sugebėti tą laikymąsi įrodyti [1]. Praktiškai tas įrodymas yra dokumentų rinkinys — įrašai, vertinimai, politikos ir procedūros, tiksliai ir nuosekliai aprašantys, kaip Jūsų organizacija iš tikrųjų tvarko asmens duomenis. Europos įmonei, neturinčiai teisės skyriaus, šio rinkinio sudarymas ir palaikymas ir yra tikrasis BDAR uždavinys. Šiame vadove išdėstoma, ką tas rinkinys apima, kodėl egzistuoja kiekviena dalis ir kuo pareiga skiriasi įvairiose Europos vietose — taip pat kodėl „europinis" nėra tas pat kaip „britiškas".
Trumpas atsakymas. BDAR atskaitomybė (5 straipsnio 2 dalis) reiškia, kad įmonė turi ne tik laikytis duomenų apsaugos teisės, bet ir sugebėti tai įrodyti — dokumentais. Pagrindinį rinkinį sudaro duomenų tvarkymo veiklos įrašai, teisinio pagrindo ir privatumo pranešimo sluoksnis, sutartys su tvarkytojais ir PDAV, kai pavojus didelis — visa tai yra tikslu, įmonei pritaikyta ir tarpusavyje darnu.
Ką atskaitomybė iš tikrųjų reiškia pagal BDAR
Dauguma BDAR pareigų bendrais bruožais pažįstamos: turėk teisinį pagrindą, pasakyk žmonėms, ką darai su jų duomenimis, saugok juos, gerbk jų teises. Atskaitomybė yra principas, paverčiantis tas pareigas iš ketinimų kažkuo patikrinamu. 5 straipsnio 2 dalis nustato, kad duomenų valdytojas „yra atsakingas už tai, kad būtų laikomasi" duomenų apsaugos principų, ir „turi sugebėti įrodyti, kad jų laikomasi", o 24 straipsnis reikalauja įgyvendinti tinkamas priemones ir sugebėti įrodyti, kad tvarkymas atitinka Reglamentą [1]. Esminiai žodžiai — sugebėti įrodyti. Atitiktis, kurios paprašyti negali parodyti popieriuje, neįskaitoma.
Tai pakeičia tai, kur guli įrodinėjimo našta. Priežiūros institucija, pradedanti tyrimą, įmonė klientė, atliekanti tiekėjo patikrą, ar partneris, derantis dėl sutarties, nepradeda nuo prielaidos, kad esate neatitiktis — bet vos tik jie paprašo „parodykite", atsakomybė pateikti darnius įrodymus tenka Jums, ne jiems. Ir testas, kurį jie taiko, nėra apie kiekį. Bendrų politikų segtuvas neįspūdingas; reguliuotojai ieško konkretumo ir vidinio nuoseklumo — dokumentų, aprašančių realų Jūsų tvarkymą, įvardijančių tikras sistemas bei tiekėjus ir vienas kitam neprieštaraujančių. Pačios Europos Komisijos gairės organizacijoms apibrėžia šią pareigą būtent taip: atitiktį įrodyti įrašais, poveikio vertinimais ir pažeidimų dokumentavimu [2].
Tai, kas slypi už to žodžio, nėra abstraktu. BDAR atskaitomybę paremia administracinėmis baudomis iki 20 milijonų eurų arba 4 % bendros metinės pasaulinės apyvartos — taikoma didesnioji suma — už sunkiausius pažeidimus [1]. Tačiau daugumai mažų ir vidutinių įmonių aštresnis ir dažnesnis spaudimas yra ne reguliacinis, o komercinis: didesnio kliento pirkimų ar tiekėjo patikros procesas paprašo Jūsų duomenų tvarkymo veiklos įrašų, duomenų tvarkymo sutarties ir saugumo dokumentų, kol nepasirašys — ir sandoris užstringa tą savaitę, kai jų pateikti negalite. Atskaitomybės dokumentai tyliai tapo sąlyga parduoti didesnėms organizacijoms, ir ta pati logika galioja draudikams bei partneriams. Štai kodėl įmonės vis dažniau sudaro šį rinkinį iš anksto — kaip komercinį pažymėjimą, leidžiantį partneriui patikėti joms asmens duomenis, užuot laukusios, kol paprašys reguliuotojas.
Taigi atskaitomybė perrėmina visą užduotį. Klausimas jau nebe „ar mes atitinkame?" abstrakčiai, o „ką galime parodyti dabar pat apie kiekvieną dalyką, kurį darome su asmens duomenimis?" Visa, kas išdėstyta toliau, ir yra atsakymas į šį klausimą.
Dokumentų rinkinys: ką Europos įmonės privalo parodyti
Vieno „BDAR sertifikato" nėra. Atskaitomybę liudija dokumentų rinkinys, kuriame kiekvienas dokumentas susietas su konkrečia pareiga ir kuris kartu apima kiekvieną veiklą, kuria Jūsų organizacija tvarko asmens duomenis. Kurios dalys reikalingos, priklauso nuo to, ką darote — vien rėmimasis tiekėju įtraukia duomenų tvarkymo sutartį, didelį pavojų keliantis tvarkymas — poveikio vertinimą — bet stuburas Europos įmonėse vienodas.
Paprastai tariant, rinkinys sudaromas veikla po veiklos:
- Duomenų tvarkymo veiklos įrašai, 30 straipsnis. Pamatinis dokumentas: kiekvienos tvarkymo veiklos inventorius — kokie duomenys, kieno, kodėl, kokiu pagrindu, su kuo dalijamasi, kiek laiko saugoma, kas juos saugo. Nacionalinės institucijos, pavyzdžiui, Prancūzijos CNIL, skelbia šablonus būtent todėl, kad tai pirmoji priemonė, kurios jos griebiasi; reguliuotojų žodžiais, tai dokumentas, turintis ir inventoriaus, ir analizės paskirtį, ir privalantis atspindėti realų Jūsų tvarkymą [1][4].
- Kiekvienos veiklos teisinis pagrindas, 6 straipsnis — ir teisėto intereso vertinimas. Kiekvienai veiklai reikia vieno iš šešių teisinių pagrindų. Kai remiatės teisėtu interesu (6 straipsnio 1 dalies f punktas), privalote dokumentuoti trijų dalių pusiausvyros testą — tikslą, būtinumą ir pusiausvyrą su asmens teisėmis — discipliną, kurią Teisingumo Teismas patvirtino 2024 m. KNLTB sprendime [1][9].
- Privatumo pranešimai, 13–14 straipsniai. Tai, ką pasakote asmenims, kurių duomenis turite, atsižvelgiant į tai, ar surinkote juos tiesiogiai iš jų, ar ne. Pranešimas turi atitikti duomenų tvarkymo veiklos įrašus; neatitikimas tarp to, ką sakote, ir to, ką užfiksuojate, yra kaip tik tas prieštaravimas, kurio institucija ieško [1].
- Duomenų tvarkymo sutartys, 28 straipsnis. Kai tik tiekėjas tvarko asmens duomenis Jūsų vardu — atlyginimų biuras, debesijos paslaugų teikėjas, el. pašto platforma — 28 straipsnis reikalauja sutarties su apibrėžtomis sąlygomis. Komisija būtent tam skelbia oficialias standartines sutarčių sąlygas, kuriomis atitinkanti sutartis gali remtis [1][5].
- Perdavimo apsaugos priemonės, V skyrius. Jei asmens duomenys išvežami už Europos ekonominės erdvės, reikia galiojančio perdavimo mechanizmo — tinkamumo sprendimo arba Komisijos standartinių sutarčių sąlygų tarptautiniam perdavimui [1][6].
- Poveikio duomenų apsaugai vertinimas (PDAV), 35 straipsnis. Būtinas, kai dėl tvarkymo gali kilti didelis pavojus — didelio masto specialių kategorijų duomenys, sistemingas stebėjimas, išsamus profiliavimas. Europos gairės nustato devynis kriterijus ir du ar daugiau laiko paleidikliu; kiekviena nacionalinė institucija taip pat skelbia savo privalomo PDAV sąrašą [1][3].
- Procedūros, ne tik dokumentai. Aplink rinkinį glaudžiasi operacinės dalys: procesas duomenų subjektų prašymams sutvarkyti per vieno mėnesio terminą (12–22 straipsniai), pažeidimų procesas, pajėgus pranešti institucijai per 72 valandas, kai to reikalaujama (33–34 straipsniai), ir vidaus politika, aprašanti technines bei organizacines priemones, kurios saugo duomenis (24, 32 straipsniai) [1].
Tokia yra anatomija. Menas — padaryti ją Jūsiška, kad kiekvienas laukelis būtų atsekamas iki kažko, kas Jūsų įmonėje tikra, o ne aplankas tikėtinai atrodančio bendro teksto.
Vienas reglamentas, daug reguliuotojų — europinis vaizdas
Štai kur europinis rėmas svarbus ir kur lengva apsirikti skaitant į JK orientuotus patarimus. BDAR yra reglamentas, ne direktyva: Reglamentas (ES) 2016/679 tiesiogiai taikomas kiekvienoje ES valstybėje narėje ir platesnėje Europos ekonominėje erdvėje, apimančioje Norvegiją, Islandiją ir Lichtenšteiną [1][2]. Pamatiniai straipsniai — atskaitomybė, teisinis pagrindas, duomenų tvarkymo veiklos įrašai, PDAV, duomenų subjektų teisės — yra identiškas tekstas Vokietijoje, Prancūzijoje, Italijoje, Ispanijoje, Lenkijoje, Slovakijoje ir visur kitur. Per Europą veikianti įmonė ES branduolį sudaro vieną kartą.
Keičiasi ant to branduolio uždėtas nacionalinis sluoksnis. Kiekviena šalis turi savą priežiūros instituciją — CNIL Prancūzijoje, Garante Italijoje, AEPD Ispanijoje, BfDI ir žemių (Länder) institucijas Vokietijoje ir taip toliau — ir kiekviena gali nustatyti nacionalinius ypatumus: amžių, nuo kurio vaikas gali sutikti su internetinėmis paslaugomis (visame bloke nustatytą tarp 13 ir 16 metų), darbo duomenų taisykles ir institucijos sąrašą operacijų, kurioms visada būtinas PDAV. Nuoseklumą tarp šių reguliuotojų laiko Europos duomenų apsaugos valdyba ir „vieno langelio" mechanizmas, tad branduolys neskyla [8]. Atskaitomybės rinkiniui tai reiškia, kad struktūra vienoda, o kitimas apibrėžtas: nubraižyk ES branduolį, paskui kiekvienai šaliai, kurioje veiki, uždėk tą saują nacionalinių ypatumų.
Ir kaip tik todėl europinis nėra tas pat kaip britiškas. Po „Brexito" Jungtinė Karalystė yra už ES BDAR ribų. Ji taiko savo UK GDPR kartu su 2018 m. Duomenų apsaugos aktu, kurį prižiūri ICO, ir vidaus reformomis pradėjo tolti nuo ES teksto. Šveicarija, niekada nebuvusi ES, turi savo atnaujintą Federalinį duomenų apsaugos įstatymą. Tad į ES orientuota įmonė turėtų JK ir Šveicariją vertinti kaip atskirus, lygiagrečius režimus — atskiras jurisdikcijas, dokumentuotinas savaime, o ne kaip vietinius ES reglamento variantus [2]. Daug plačiai dalijamo „BDAR" turinio iš tikrųjų yra JK turinys; ES ir EEE sutelktam tvarkymui reglamentas, reguliuotojai ir cituojami šaltiniai yra europiniai.
Kur atskaitomybė tampa sunkesnė: dirbtinis intelektas ir automatizuoti sprendimai
Dirbtinio intelekto diegimas nekuria atskiros atitikties visatos, bet prideda svorio atskaitomybės rinkiniui. Svarbūs trys dalykai. Pirma, automatizuotam sprendimų priėmimui ir profiliavimui, sukeliančiam teisinį ar panašiai reikšmingą poveikį asmenims, taikomos specialios apsaugos priemonės pagal 22 straipsnį — įskaitant, daugeliu atvejų, teisę į žmogaus įsikišimą [1]. Antra, DI, dideliu mastu tvarkantis asmens duomenis ar profiliuojantis asmenis, dažnai atitinka 35 straipsnio kriterijus ir todėl reikalauja PDAV [1][3]. Trečia, bet kokiam mokymui ar išvedžiojimui, atliekamam su asmens duomenimis, vis tiek reikia aiškaus, dokumentuoto teisinio pagrindo.
Be BDAR, ES DI aktas (Reglamentas (ES) 2024/1689) įveda atskirą, rizika grįstą pareigų sluoksnį pačioms DI sistemoms [7]. Du režimai veikia lygiagrečiai: DI aktas valdo sistemą, BDAR valdo asmens duomenis, kuriuos ji paliečia — o BDAR atskaitomybė galioja vos tik DI sistema tvarko asmens duomenis, nepriklausomai nuo to, kaip DI aktas ją klasifikuoja. Praktinė pasekmė: organizacija, perkelianti darbą į DI, paveldi daugiau, ką dokumentuoti, ne mažiau. Platesnę reguliacinę konvergenciją nagrinėjame vadove apie DI valdyseną ir taikomas taisykles, o veiklos modelį, kuriame šie įrodymai gimsta kaip įprasto darbo šalutinis produktas, — straipsnyje apie DI grįstą įmonęEN.
Sąžininga išlyga: dokumentai būtini, bet nepakankami
Būtų patogu sakyti, kad vos tik rinkinys egzistuoja, esate atitiktis. Nesate — ir apsimetinėti, kad taip, yra klasikinis būdas atskaitomybei žlugti. Trys sąžiningos ribos.
Pirma, dokumentai turi atitikti tikrovę, ir Jūs turite pagal juos veikti. Politika, aprašanti prieigos kontrolę, kurios Jūsų sistemos neužtikrina, ar duomenų tvarkymo veiklos įrašai, praleidžiantys vaizdo stebėjimą prie įėjimo, nėra neutralūs — tai neatitikties įrodymas. Rinkinys liudija atskaitomybę tik tada, jei yra konkretus, tarpusavyje darnus ir iš tikrųjų taikomas gyvenime. Antra, dokumentų rinkinys nėra teisinė konsultacija ir nėra sertifikatas. Įrašų, kurių reikalauja teisė, parengimas yra struktūruotas rašymas, o ne teisinė išvada dėl Jūsų konkrečios situacijos; ir nėra jokio „BDAR sertifikuotas" statuso, suteikiamo už gerus popierius — formalus sertifikavimo kelias pagal 42 straipsnį yra atskiras, akredituotas mechanizmas. Trečia, kai kuriose situacijose reikia specialisto. Tikrai sudėtingas PDAV, ginčytina tarpvalstybinė struktūra ar vykstantis reguliacinis tyrimas nėra šablono teritorija; teisingas žingsnis ten — kreiptis į kvalifikuotą patarėją, ir geras atskaitomybės procesas pasako, kada.
Įvardyti šias ribas — ne išlyga apsidrausti. Tai skirtumas tarp rinkinio, atlaikančio patikrą, ir aplanko, kuris subyra, vos tik kas nors įdėmiai jį perskaito.
Kaip sudaryti savo atskaitomybės rinkinį
Realiai yra trys būdai parengti rinkinį. Advokatų kontora ar DAP konsultantas suteikia tikslumą ir vertinimą, bet lėtai ir už kainą, kuri spaudžia mažesnę įmonę. Bendri šablonai yra greiti ir pigūs, bet neatlaiko konkretumo ir nuoseklumo testo, kurį institucijos iš tikrųjų taiko — o prieštaringas ar tuščias rinkinys yra blogiau nei sąžininga spraga. Trečias kelias — kaip produktas parengtas, sugeneruotas rinkinys: atsakote į struktūruotus klausimus apie savo įmonę ir jos tvarkymo veiklas, o pritaikytas, tarpusavyje darnus rinkinys surenkamas iš sąlygų bibliotekos, paremtos reglamentu ir oficialiomis gairėmis — greitas kaip šablonai, bet konkretus Jums kaip advokatas.
Sudarykite rinkinį be advokatų kontoros laiko grafiko. „easyAI" BDAR atskaitomybės dokumentacija trumpą vedamą klausimyną apie Jūsų įmonę ir tai, kaip ji tvarko asmens duomenis, paverčia pritaikytu, tarpusavyje darniu atskaitomybės rinkiniu — duomenų tvarkymo veiklos įrašai, vidaus politika, privatumo pranešimai, sutartys su tvarkytojais, teisėto intereso vertinimas, kai jo reikia, ir PDAV atranka — sugeneruotu per kelias dienas, anglų kalba ir Jūsų nacionaline kalba, už individualios paslaugos kainos dalį. Tai dokumentacijos pagalba, o ne teisinė konsultacija ar sertifikavimas, ir ji daro prielaidą, kad veikiate taip, kaip joje aprašyta. Jei kitas Jūsų žingsnis yra DI, o ne popierizmas, DI pamatinis auditasEN parodo, kur automatizavimas atsiperka; pradėkite nuo pavyzdinės ataskaitosEN. Abu produktai veikia „easyAI" platformoje aiprioritymap.com.
Jūsų pusėje seka aiški: inventorizuok kiekvieną veiklą, paliečiančią asmens duomenis, nustatyk kiekvienai teisinį pagrindą, parašyk juos aprašančius įrašus ir pranešimus, sutvarkyk sutartis su tiekėjais, įvertink didelį pavojų keliančius atvejus ir parenk teisių bei pažeidimų procedūras — paskui palaikyk visumą aktualią, kintant Jūsų tvarkymui. Atskaitomybė nėra projektas, kurį užbaigi; tai būsena, kurią palaikai. Bet pirmieji, sunkiausi 80 % — išsamus, nuoseklus, įmonei pritaikytas rinkinys, kurį gali pateikti bet kam, kas paprašys — kaip tik ir yra ta dalis, kurią dabar galima sugeneruoti, o ne kurti rankomis.
Dažnai užduodami klausimai
Santrauka
BDAR atskaitomybė — įrodyk, o ne tik deklaruok │ ├─ Principas (5 str. 2 d., 24 str.) │ ├─ Atitiktį privalu įrodyti, ne tik deklaruoti │ ├─ Įrodinėjimo našta tenka Jums, duomenų valdytojui │ └─ Institucijos tikrina konkretumą ir nuoseklumą, ne kiekį │ ├─ Ką privalote sugebėti parodyti │ ├─ Tvarkymo veiklos įrašai — kiekviena veikla (30 str.) │ ├─ Teisinis pagrindas + teisėto intereso vertinimas (6 str.) │ ├─ Pranešimai · tiekėjų sutartys · perdavimai (13/14, 28, V sk.) │ └─ PDAV, kai pavojus didelis · teisių ir pažeidimų procedūros │ └─ Vienas reglamentas, daug reguliuotojų ├─ ES ir EEE turi bendrą branduolį — nubraižyk jį kartą ├─ Nacionalinės institucijos prideda ypatumų — CNIL, Garante, AEPD… └─ Ne JK — UK GDPR ir Šveicarijos FADP yra atskiri
Susiję įžvalgos
- DI valdysena ir taikomos taisyklės — kaip BDAR, ES DI aktas ir kiti režimai susilieja augančiai įmonei.
- DI grįsta įmonėEN — veiklos modelis, kuriame atskaitomybės įrodymai gimsta kaip įprasto darbo šalutinis produktas.
- Kaip per 90 minučių sudaryti DI registrą — ta pati dokumentavimo disciplina, pritaikyta Jūsų DI sistemoms.
- Vietinis LLM ar debesijos LLM: duomenų saugumasEN — kur guli Jūsų duomenys ir ką tai reiškia perdavimui bei rizikai.
Būsimi šios grupės straipsniai: kaip sudaryti duomenų tvarkymo veiklos įrašus, kada ir kaip atlikti PDAV, kaip pasirinkti teisinį pagrindą, duomenų subjektų teisių procedūros, 28 straipsnio duomenų tvarkymo sutartis ir BDAR dirbtiniam intelektui bei automatizuotiems sprendimams.
Atnaujinta: 2026 m. birželis. Versija 1.0.
Frequently Asked Questions
Kas yra atskaitomybės principas BDAR?
Kokius dokumentus BDAR iš tikrųjų reikalauja turėti?
Ar BDAR visoje Europoje taikomas vienodai?
Ar Jungtinei Karalystei taikomas ES BDAR?
Ar mažos įmonės ir MVĮ privalo tvarkyti duomenų tvarkymo veiklos įrašus?
Kada įmonei reikia poveikio duomenų apsaugai vertinimo (PDAV)?
Ar galime tiesiog naudoti bendrus BDAR dokumentų šablonus?
Ar dirbtinio intelekto naudojimas keičia mūsų BDAR pareigas?
Sources
- 1.Regulation (EU) 2016/679 (General Data Protection Regulation) — European Union (EUR-Lex, Official Journal L 119) · 2016
- 2.Rules for business and organisations (data protection) — European Commission · 2024
- 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020) — European Data Protection Board (EDPB) · 2024
- 4.Record of processing activities (Article 30 guidance and template) — CNIL (French Data Protection Authority) · 2024
- 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28) — European Commission (EUR-Lex) · 2021
- 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfers — European Commission (EUR-Lex) · 2021
- 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act) — European Union (EUR-Lex, Official Journal) · 2024
- 8.European Data Protection Board — role and consistency mechanism — European Data Protection Board (EDPB) · 2024
- 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basis — Court of Justice of the European Union (EUR-Lex) · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.