BDAR sutikimas duomenų tvarkymui: 7 privalomi elementai 2026

Pirmasis ir bene svarbiausias galiojančio sutikimo elementas — jis turi būti duotas laisvai, be jokios prievartos ar spaudimo. BDAR 7 str. 4 dalis nustato, kad sutikimas negali būti laikomas laisvu, jei sutarties vykdymas yra sąlygojamas sutikimu tvarkyti duomenis, kurie nėra būtini tai sutarčiai vykdyti. Vadinasi, negalima reikalauti sutikimo rinkodaros el. laiškams gauti kaip privalomosios registracijos sąlygos, jei paslauga gali būti teikiama ir be to. VDAI praktikoje Lietuvoje fiksuojami atvejai, kai įmonės paslaugų naudojimą sieja su privaloma sutikimu kuponams ar naujienlaiškyje — tai laikoma negaliojančiu sutikimu. Realaus pasirinkimo principas reiškia, kad atsisakymas duoti sutikimą neturi turėti jokių neigiamų pasekmių. Jei naudotojas negali naudotis pagrindinėmis funkcijomis atsisakęs sutikimo, toks modelis neatitinka BDAR reikalavimų. Praktinis patarimas: atskirkite techninius slapukus (būtinus) nuo analitinių ir rinkodaros — pirmieji nereikalauja sutikimo, antriesiems reikalingas laisvanoriškas pasirinkimas.

Sutikimas turi būti duotas konkrečiam tikslui ar tikslams — BDAR draudžia gauti bendrinio pobūdžio sutikimą, apimantį neapibrėžtą skaičių nenurodytų tikslų. Pagal BDAR 6 str. 1 d. a punktą, kiekvienas duomenų tvarkymo tikslas turi būti aiškiai apibrėžtas ir atskirtas. Pavyzdžiui, sutikimas analizuoti naudojimosi elgseną ir sutikimas siųsti rinkodaros pranešimus — tai du atskiri tikslai, reikalaujantys dviejų atskirų sutikimų. Negalima apsiriboti formuluote „sutinku, kad mano duomenys būtų naudojami paslaugoms tobulinti ir rinkodaros tikslais" — tai per platu. Konkretumas taip pat reiškia, kad duomenų subjektas turi žinoti, kokie duomenys renkami, kaip ilgai saugomi ir kas gali prie jų prieiti. Europos duomenų apsaugos valdybos (EDPB) gairės reikalauja, kad tikslai būtų suformuluoti paprastai ir suprantamai, ne teisiniu ar techniniu žargonu. Rekomenduojama forma: „Sutinku, kad mano el. pašto adresas būtų naudojamas [konkrečiam tikslui] iki [termino] ir gali būti perduotas [konkrečiam gavėjui]."

Informuoto sutikimo reikalavimas iš esmės reiškia, kad prieš duodant sutikimą, duomenų subjektas turi gauti visą informaciją, numatytą BDAR 13 str. Tai apima: duomenų valdytojo tapatybę ir kontaktinius duomenis, DPO (duomenų apsaugos pareigūno) kontaktus (jei paskiriamas), duomenų tvarkymo tikslus ir teisinį pagrindą, duomenų saugojimo laikotarpį, informaciją apie gavėjus ir duomenų perdavimą į trečiąsias šalis, taip pat informaciją apie duomenų subjekto teises (prieiga, ištaisymas, ištrynimas, perkėlimas). Ši informacija turi būti pateikiama prieš duodant sutikimą, o ne vėliau. Dažna klaida — privačumo politika yra pateikiama atskirame puslapyje, bet sutikimo forma nusiuntimo metu nesuteikia lengvos prieigos prie jos. EDPB reikalauja ryšio tarp sutikimo ir informacijos — paprastai tai sprendžiama nuoroda privatumo politiką tiesiai sutikimo formoje.

BDAR 4 str. 11 d. reikalauja, kad sutikimas būtų išreikštas aiškiu aktyviu veiksmu arba pareiškimu. Draudžiami tylos, iš anksto pažymėtų langelių arba neveikimo principai — negalima preziumuoti sutikimo. Praktiškai tai reiškia: (1) tuščias langelis, kurį naudotojas turi patikrinti; (2) aiški spaudžiamo mygtuko formuluotė „Sutinku" (ne tik „Tęsti" ar „Gerai"); (3) galimybė pasirinkti „Nesutinku" su lygiavertis matomumu. Cookie banner atveju: standartinė praktika, kur X mygtukas ar bet koks kitas veiksmas laikomas sutikimu, neatitinka BDAR reikalavimų. VDAI yra paskyrusi baudas Lietuvos įmonėms, naudojančioms iš anksto pažymėtus sutikimo langelius arba srautines formas, kuriose sunku atsisakyti. Specialios kategorijos duomenims (sveikatos, genetiniai, rasiniai duomenys) BDAR 9 str. reikalauja dar aukštesnio standarto — aiškaus ir nedviprasmiško rašytinio sutikimo, ir tai negali būti vienintelis tvarkymo pagrindas.

BDAR 7 str. 3 dalyje nustatyta, kad duomenų subjektas turi teisę bet kada atšaukti sutikimą, ir šis atšaukimas turi būti toks pat paprastas, kaip jo davimas. Jei sutikimas buvo duotas vienu mygtuko paspaudimu, atšaukimas negali reikalauti daugelio žingsnių, el. laiško siuntimo ar skambučio. Techniniai sprendimai: pirmenybę teikti atšaukimo mygtukui toje pačioje vietoje, kur buvo gautas sutikimas; email kampanijoms — vieno paspaudimo atsisakymo nuoroda kiekviename laiške; paskyrose — aiški duomenų privatumo skiltyje esanti atšaukimo funkcija. Sutikimo atšaukimas neturi retroaktyvaus efekto — duomenų tvarkymas iki atšaukimo lieka teisėtu, tačiau nuo atšaukimo momento tvarkymas turi būti nedelsiant sustabdytas. Svarbu: atšaukus sutikimą, duomenų valdytojas privalo patikrinti, ar nėra kito teisinio pagrindo duomenų saugojimui (pvz., sutarties vykdymas, teisinis įsipareigojimas). Jei ne — duomenys turi būti ištrinti pagal BDAR 17 str. Atšaukimo data ir laikas turi būti dokumentuojami įrodomaisiais tikslais.

BDAR 7 str. 2 dalis aiškiai nurodo, kad jei sutikimas duodamas rašytiniame dokumente kartu su kitomis sąlygomis, prašymas duoti sutikimą pateikiamas tokiu būdu, kuris aiškiai išskiriamas nuo kitų klausimų. Praktikoje tai reiškia, kad sutikimo tvarkyti duomenis negalima „prikišti" į Pirkimo sąlygų pabaigą arba paslaugų teikimo sutarties priedą taip, kad jis būtų nesandarus pastebimas. Sutikimas turi būti vizualiai ir logiškai atskirtas — atskira forma, atskiras langelis, atskiras el. laiškas. EDPB aiškiai nurodė, kad vienos formos su keliais tikslais atveju, kiekvienas tikslas turi turėti atskirą sutikimo langelį, o ne vieną bendrąjį. Tipinė klaida — registracijos formos apačioje vienintele varnele „Sutinku su sąlygomis ir privatumo politika ir sutinku gauti naujienlaiškius" — tai neatitinka reikalavimų. Reikia: du atskiri langeliai — vienas paslaugos sąlygoms (kuris gali būti privalomas), kitas rinkodarai (kuris turi būti neprivalomas ir atskirtas).

BDAR 5 str. 2 dalyje įtvirtintas atskaitomybės principas — duomenų valdytojas turi ne tik laikytis reikalavimų, bet ir gebėti įrodyti, kad jų laikomasi. Sutikimų atveju tai reiškia: sistema turi fiksuoti, kada sutikimas duotas, kokia formuluote, kokiame kontekste (puslapio versija, sutikimo forma), kas buvo atskleista duomenų subjektui, ar sutikimas vėliau atšauktas ir kada. Rekomenduojama saugoti sutikimo žurnalus (consent logs) bent tiek, kiek tvarkomos sutikimu pagrįstos operacijos, plius 1 metai papildomai. VDAI tikrinimų metu dažnai prašoma pateikti konkrečius sutikimo įrašus — be jų duomenų valdytojas negali įrodyti teisėtumo. Cookie sutikimų atveju siūloma naudoti audituotus CMP (Consent Management Platform) sprendimus, kurie automatiškai generuoja ir saugo sutikimo žurnalus. Nepamirškite, kad sutikimų sistema turi būti peržiūrima periodiškai — pasikeitus procesams ar tikslams, seni sutikimai gali tapti negaliojančiais ir reikia gauti naujus.