Bendrasis duomenų apsaugos reglamentas (BDAR) jau kelerius metus yra privalomas visoms Europos Sąjungos organizacijoms, tačiau viešojo sektoriaus institucijos vis dar dažnai neatitinka visų reikalavimų. BDAR svetainė — tai ne tik privatumo politikos puslapis, bet visa sistema techninių ir organizacinių priemonių, užtikrinančių asmens duomenų apsaugą. Šiame straipsnyje detaliai aptarsime, kokius BDAR reikalavimus turi atitikti viešojo sektoriaus interneto svetainės Lietuvoje ir kaip praktiškai juos įgyvendinti.

Kodėl BDAR ypač svarbus viešajam sektoriui?

Viešojo sektoriaus institucijos — savivaldybės, mokyklos, bibliotekos, muziejai, sveikatos priežiūros įstaigos — tvarko itin jautrius gyventojų duomenis. Tai apima:

• Asmens identifikavimo duomenis (vardas, pavardė, asmens kodas).
• Kontaktinius duomenis (adresas, telefono numeris, el. paštas).
• Sveikatos duomenis (sveikatos priežiūros įstaigose).
• Vaikų duomenis (ugdymo įstaigose).
• Finansinius duomenis (mokesčių, socialinių išmokų srityje).

BDAR svetainė viešajame sektoriuje turi atitikti aukščiausius standartus, nes bet koks duomenų nutekėjimas gali turėti rimtų pasekmių tūkstančiams žmonių. Be to, viešojo sektoriaus institucijoms taikomos didesnės baudos ir griežtesnis priežiūros institucijų dėmesys.

Pagrindiniai BDAR reikalavimai svetainėms

1. Slapukų (cookies) sutikimo valdymas

Kiekviena BDAR svetainė privalo turėti slapukų sutikimo mechanizmą, kuris:

• Informuoja lankytojus apie naudojamus slapukus prieš juos įdiegiant.
• Leidžia pasirinkti — lankytojas turi galėti priimti arba atmesti skirtingų kategorijų slapukus (būtinuosius, analitinius, rinkodaros).
• Neįdiegia slapukų be sutikimo — jokie analitiniai ar rinkodaros slapukai negali būti aktyvuojami, kol lankytojas neduoda aiškaus sutikimo.
• Leidžia atšaukti sutikimą — lankytojas turi galėti bet kada pakeisti savo slapukų nustatymus.
• Saugo sutikimo įrašus — institucija turi galėti įrodyti, kad sutikimas buvo gautas.

Dažna klaida — naudoti slapukų juostą, kuri tik informuoja, bet realiai neblokuoja slapukų. Tai neatitinka BDAR reikalavimų.

2. Privatumo politika

Kiekviena BDAR svetainė privalo turėti išsamų privatumo politikos puslapį, kuriame nurodyta:

• Duomenų valdytojas — pilnas institucijos pavadinimas, adresas, kontaktai.
• Duomenų apsaugos pareigūnas (DAP) — kontaktiniai duomenys (viešojo sektoriaus institucijoms DAP yra privalomas).
• Tvarkomų duomenų kategorijos — kokie asmens duomenys renkami per svetainę.
• Duomenų tvarkymo tikslai — kodėl duomenys renkami (pvz., užklausos pateikimui, naujienlaiškio siuntimui).
• Teisinis pagrindas — koks teisinis pagrindas naudojamas duomenų tvarkymui (sutikimas, teisėtas interesas, teisinė prievolė ir kt.).
• Duomenų saugojimo terminai — kiek laiko duomenys saugomi.
• Duomenų subjektų teisės — teisė susipažinti, ištaisyti, ištrinti, apriboti tvarkymą, perkelti duomenis.
• Trečiosios šalys — kam duomenys perduodami (pvz., debesų paslaugų teikėjams, analitikos platformoms).

3. Kontaktinės formos ir duomenų rinkimas

Kontaktinės formos — viena dažniausių duomenų rinkimo priemonių svetainėse. BDAR svetainė turi užtikrinti:

• Minimalų duomenų rinkimą — rinkti tik tuos duomenis, kurie tikrai reikalingi (duomenų mažinimo principas). Jei užtenka el. pašto ir žinutės teksto, nereikalaujama telefono numerio ar adreso.
• Aiškų sutikimą — prie formos turi būti žymimasis langelis (checkbox) su nuoroda į privatumo politiką. Langelis neturi būti pažymėtas iš anksto.
• Šifruotą perdavimą — forma turi būti siunčiama per HTTPS (SSL sertifikatas).
• Saugų saugojimą — gauti duomenys turi būti saugomi saugiai ir prieinami tik įgaliotiems asmenims.

4. SSL sertifikatas (HTTPS)

Visos viešojo sektoriaus svetainės privalo naudoti SSL sertifikatą. HTTPS užtikrina, kad duomenys, perduodami tarp lankytojo naršyklės ir serverio, yra šifruojami. Be SSL sertifikato, naršyklės rodo „Nesaugu” žymą, o tai kenkia tiek saugumui, tiek pasitikėjimui.

5. Duomenų tvarkymo sutartys su paslaugų teikėjais

Jei svetainės kūrimą ar priežiūrą vykdo išorinis tiekėjas, būtina pasirašyti duomenų tvarkymo sutartį (DTS). Ji turi apibrėžti:

• Kokius duomenis tiekėjas gali pasiekti.
• Kokiais tikslais duomenys tvarkomi.
• Kokias saugumo priemones tiekėjas taiko.
• Kas nutinka su duomenimis pasibaigus sutarčiai.
• Tiekėjo atsakomybę duomenų nutekėjimo atveju.

Tai ypač aktualu naudojant debesų prieglobos paslaugas, kuriose svetainės duomenys fiziškai saugomi trečiųjų šalių serveriuose.

Praktinis BDAR atitikties kontrolinis sąrašas

Naudokite šį kontrolinį sąrašą, kad patikrintumėte, ar jūsų BDAR svetainė atitinka visus reikalavimus:

Techniniai reikalavimai

• ☐ SSL sertifikatas įdiegtas ir veikia (HTTPS).
• ☐ Slapukų sutikimo mechanizmas įdiegtas ir tinkamai blokuoja slapukus.
• ☐ Kontaktinės formos turi sutikimo žymimuosius langelius.
• ☐ Duomenys perduodami šifruotu kanalu.
• ☐ Svetainė reguliariai atnaujinama (CMS, papildiniai, temos).
• ☐ Atliekamos reguliarios atsarginės kopijos.
• ☐ Prieiga prie administravimo skydelio apsaugota stipriais slaptažodžiais ir dviejų faktorių autentifikacija.

Turinio reikalavimai

• ☐ Privatumo politikos puslapis parengtas ir atnaujintas.
• ☐ Slapukų politikos puslapis parengtas.
• ☐ Nurodyta duomenų apsaugos pareigūno kontaktinė informacija.
• ☐ Pateikta informacija apie duomenų subjektų teises.
• ☐ Nurodytas duomenų saugojimo laikotarpis.

Organizaciniai reikalavimai

• ☐ Paskirtas duomenų apsaugos pareigūnas.
• ☐ Pasirašytos duomenų tvarkymo sutartys su tiekėjais.
• ☐ Parengtas duomenų saugumo pažeidimų valdymo planas.
• ☐ Darbuotojai apmokyti BDAR reikalavimų.
• ☐ Vykdomas reguliarus atitikties auditas.

Dažniausios BDAR pažeidimų rūšys svetainėse

Valstybinė duomenų apsaugos inspekcija (VDAI) reguliariai tikrina viešojo sektoriaus svetaines. Dažniausiai nustatomos šios problemos:

• Netinkamas slapukų valdymas — analitiniai slapukai įdiegiami be sutikimo.
• Pasenusi privatumo politika — neatspindi realios duomenų tvarkymo praktikos.
• Per daug duomenų renkama — kontaktinėse formose prašoma nereikalingų duomenų.
• Trūksta DTS su tiekėjais — svetainės priegloba ar priežiūra vykdoma be duomenų tvarkymo sutarties.
• Neužtikrinta duomenų sauga — pasenusios CMS versijos, silpni slaptažodžiai.

Baudos už BDAR pažeidimus

Viešojo sektoriaus institucijoms baudos pagal BDAR gali siekti iki 20 mln. eurų arba 4 % metinės apyvartos (taikoma didesnė suma). Nors Lietuvoje baudos paprastai būna mažesnės, jos vis tiek gali siekti dešimtis tūkstančių eurų, nekalbant apie reputacinę žalą.

2025–2026 metais VDAI ypač aktyviai tikrina viešojo sektoriaus svetaines, todėl atitikties užtikrinimas yra ne pasirinkimas, o būtinybė.

Kaip užtikrinti BDAR atitiktį kuriant svetainę?

Geriausia BDAR reikalavimus integruoti nuo pat svetainės kūrimo pradžios — tai vadinamasis „privacy by design” principas. Pagrindiniai žingsniai:

1. Atlikite duomenų tvarkymo auditą — identifikuokite, kokie asmens duomenys bus tvarkomi per svetainę.
2. Įdiekite slapukų valdymo sistemą — pasirinkite profesionalų sprendimą (pvz., CookieYes, Complianz).
3. Parenkite privatumo dokumentus — privatumo politiką, slapukų politiką, duomenų tvarkymo taisykles.
4. Pasirašykite DTS su tiekėjais — svetainės kūrėjais, prieglobos paslaugų teikėjais.
5. Reguliariai audituokite — bent kartą per metus peržiūrėkite ir atnaujinkite visus BDAR procesus.

Jei planuojate kurti naują ar atnaujinti esamą viešojo sektoriaus svetainę, svarbu pasirinkti tiekėją, kuris supranta BDAR reikalavimus. Kviečiame susipažinti su mūsų internetinių svetainių kūrimo paslaugomis, kuriose BDAR atitiktis yra standartinė projekto dalis.

Išvados

BDAR svetainė viešajame sektoriuje — tai ne formalumas, o būtinybė, apsauganti tiek gyventojus, tiek pačią instituciją. Investuodami į tinkamą duomenų apsaugą, ne tik išvengsite baudų, bet ir padidinsite gyventojų pasitikėjimą jūsų institucija.

Turite klausimų apie BDAR atitiktį jūsų svetainėje? Susisiekite su mumis — padėsime įvertinti esamą situaciją ir pasiūlysime konkrečius sprendimus.