BDAR nesilaikymo rizika: ką kiekvienas vadovas turi suprasti iki 2026 m.

Bendrasis duomenų apsaugos reglamentas (BDAR) yra Europos reglamentas, kuriuo siekiama apsaugoti Europos Sąjungos piliečių asmens duomenis. Jo nesilaikymas gali turėti rimtų pasekmių įmonėms ir organizacijoms. Kokia yra rizika? Pažvelkime atidžiau.

Daugelis MVĮ ir vidutinio dydžio įmonių vadovų vis dar mano, kad CNIL (Prancūzijos duomenų apsaugos tarnyba) taikosi tik į skaitmeninius gigantus. Skaičiai rodo ką kita: 2024 m. beveik 8 iš 10 sankcijų buvo skirtos labai mažoms įmonėms ir MVĮ. Šiame straipsnyje aiškiai ir be žargono paaiškinama reali rizika, dažniausiai pasitaikantys pažeidžiamumai ir konkretūs žingsniai, kaip nuo jų apsisaugoti.

Dar vienas svarbus, dažnai vadovų neįvertinamas pokytis yra tai, kad CNIL gerokai modernizavo savo aptikimo galimybes. Dabar ši institucija gali įvertinti organizacijos BDAR brandos lygį tiesiogiai nuskaitydama jos svetaines skirtingu gyliu. Slapukų reklaminės juostos, sekikliai, teisiniai pranešimai, duomenų rinkimo formos, privatumo politika, protokolų saugumas – visa tai galima analizuoti nuotoliniu būdu, be išankstinio įspėjimo, ir tai gali būti oficialaus audito atspirties taškas.

Ši industrializacija remiasi dirbtiniu intelektu, kuris leidžia CNIL (Prancūzijos duomenų apsaugos tarnybai) atlikti šiuos internetinius auditus dideliu ir automatizuotu mastu. Anksčiau žmogus per metus patikrindavo kelias dešimtis svetainių, o algoritminės priemonės per dieną gali išanalizuoti tūkstančius, nustatyti pasikartojančius pažeidimus ir tiksliai nukreipti dėmesį į labiausiai pažeidžiamas organizacijas. Todėl MVĮ reguliavimo „foninis triukšmas“ iš esmės pasikeitė: vien būti nematomam nebeužtenka, kad būtų išvengta aptikimo.

Svarbiausios išvados

Didelės finansinės baudos: iki 20 milijonų eurų arba 4 % pasaulinės apyvartos, atsižvelgiant į tai, kuri suma didesnė.
Išplėstas taikinys: Dabar didžioji dalis CNIL skiriamų sankcijų tenka labai mažoms įmonėms ir MVĮ.
Kelios pasekmės: baudos, baudžiamosios sankcijos, reputacijos pakenkimas, sutarčių praradimas, ieškiniai dėl žalos atlyginimo.
Pagrindinė svirtis: Struktūrizuotas požiūris į BDAR atitiktį, kurį įgyvendina vadovybė ir remia duomenų apsaugos pareigūnas, smarkiai sumažina riziką.
2025–2026 m. tendencijos: „Free“ ir „Free Mobile“ skirtos 42 mln. eurų baudos, „France Travail“ – 5 mln. eurų, o „Shein“ – 150 mln. eurų baudos. Baudos mažesnės, bet daug didesnės.

BDAR neatitikties rizikos įmonei supratimas

Apie ką tiksliai mes kalbame?

Bendrasis duomenų apsaugos reglamentas (BDAR) nuo 2018 m. gegužės mėn. reglamentuoja visas su asmens duomenimis atliekamas operacijas: rinkimą, saugojimą, perdavimą, profiliavimą ir ištrynimą. Bet kuri organizacija, tvarkanti šiuos duomenis – klientai, potencialūs klientai, darbuotojai, tiekėjai – patenka į jo taikymo sritį, nepriklausomai nuo jos dydžio ar sektoriaus.

BDAR nesilaikymas nėra tiesiog administracinė klaida. Tai užtraukia civilinę, administracinę ir kartais baudžiamąją atsakomybę duomenų valdytojui, kuris dažniausiai yra pati įmonė ir jos teisinis atstovas.

Kas iš tikrųjų yra paveiktas?

Taisyklė plati: jei jūsų įmonė tvarko Europos Sąjungoje gyvenančių asmenų asmens duomenis, jūs esate paveikti. Tai taikoma tiek vietos mažmenininkui, valdančiam lojalumo programą, tiek tarptautinę grupę valdančiai kontroliuojančiajai bendrovei.

Svarbiausia yra trys veikėjai: duomenų valdytojai, duomenų tvarkytojai (IT paslaugų teikėjai, rinkodaros agentūros, prieglobos paslaugų teikėjai) ir bet kokie bendri duomenų valdytojai. Kiekvienam iš jų gali būti taikomos sankcijos atskirai, apie ką daugelis įmonių nežino.

Kodėl ši tema vėl tampa karšta?

Ilgą laiką BDAR taikymas atrodė netolygus. Tos dienos baigėsi. 2022 m. CNIL (Prancūzijos duomenų apsaugos tarnyba) įdiegė supaprastintą sankcijų skyrimo procedūrą, leidžiančią greitai skirti baudas iki 20 000 eurų neatskleidžiant organizacijos tapatybės. Todėl 2024 m. buvo skirtos 69 supaprastintos sankcijos – beveik tris kartus daugiau nei 2023 m.

Didelėmis bylomis sumos sparčiai auga. Vien 2025 m. du su slapukais susiję sprendimai sudarė 475 mln. eurų, įskaitant 325 mln. eurų „Google“ ir 150 mln. eurų „Shein“. Žinia aiški: mažiau bylų, bet pavyzdinės baudos.

Kokia bauda taikoma BDAR reikalavimų nesilaikančiai įmonei?

CNIL skirtos administracinės baudos

BDAR nustato dvi ribas. Pirmoji – iki 10 mln. EUR arba 2 % pasaulinės metinės apyvartos – skirta tokiems pažeidimams kaip duomenų tvarkymo registro nebuvimas arba poveikio vertinimo neatlikimas. Antroji – iki 20 mln. EUR arba 4 % pasaulinės apyvartos – skirta baudoms už sunkiausius pažeidimus: teisinio pagrindo trūkumą, duomenų subjekto teisių pažeidimą ir nereguliuojamą tarptautinį duomenų perdavimą.

Didžiausia CNIL bauda pastaraisiais metais yra ne kelių milijonų eurų bauda, o 2024 m. gruodžio mėn. „Amazon France Logistique“ skirta 32 mln. eurų už stebėjimą, kuris laikomas neproporcingu užsakymų rinkėjų stebėjimui. Žinia aiški: net ir sistema, pateikiama kaip „produktyvi“, gali peržengti neteisėtumo ribą, jei pažeidžia darbuotojų privatumą.

BDAR baudžiamosios sankcijos

Be administracinių aspektų, Prancūzijos baudžiamasis kodeksas numato su BDAR susijusias baudžiamąsias sankcijas – laisvės atėmimą iki penkerių metų ir 300 000 eurų baudą fiziniams asmenims ir 1,5 mln. eurų baudą juridiniams asmenims. Šios baudos apima sukčiavimą duomenų rinkime, jautrių duomenų tvarkymą be teisinio pagrindo ir netinkamą duomenų naudojimą. Nors tokie baudžiamieji persekiojimai išlieka reti, jie gali būti įtraukti į CNIL (Prancūzijos duomenų apsaugos institucijos) procedūrą.

Netiesioginės pasekmės, dažnai brangiausios

BDAR sankcijos kaina gerokai viršija baudą: žala įvaizdžiui, ypač B2B rinkose, kur atitiktis tapo pirkimo kriterijumi; sutarčių praradimas, nes kai kurie klientai dabar reikalauja oficialaus atitikties įrodymo savo kvietimuose teikti pasiūlymus; atitinkamų asmenų ieškiniai dėl teisių gynimo individualiai arba kolektyviai; vidinės taisomosios priemonės, dažnai viršijančios pačią baudą.

Kaip inicijuojamas CNIL auditas?

Kontrolės šaltiniai ir formos

CNIL auditą gali inicijuoti skundas (2024 m. CNIL gavo beveik 17 800), įmonės išsiųstas pranešimas apie pažeidimą, metinis prioritetinis klausimas arba neigiamas žiniasklaidos dėmesys. Yra keturi formatai: patikrinimas vietoje, posėdis, peržiūra internetu ir dokumentų peržiūra. Pastarasis, naudojant išsamų klausimyną, yra dažniausias ir labiausiai neįvertinamas.

Procedūra

Jei nustatomi pažeidimai, CNIL pirmiausia išsiunčia oficialų pranešimą su nustatytu terminu. 2024 m. buvo išduota 180 oficialių pranešimų. Tai dažnai būna paskutinė galimybė išvengti viešosios sankcijos. Priešingu atveju ribotos sudėties komisija pradeda procedūrą, kuri gali trukti nuo šešių iki aštuoniolikos mėnesių. Daugiau informacijos galite rasti „Viqtor“ vadovas apie BDAR atitikties auditą.

Dažniausios verslo pažeidžiamumo sritys

Ydinga duomenų valdymo sistema

Tai yra pagrindinis rizikos veiksnys. Daugelis įmonių 2018 m. parengė BDAR politiką, ją pateikė ir niekada neperžiūrėjo. Tačiau įrankiai, paslaugų teikėjai ir duomenų srautai nuolat keičiasi. Be nuolatinės stebėsenos atotrūkis nuo realybės didėja. Šis klausimas tiesiogiai priklauso vadovybės kompetencijai: BDAR 5.2 straipsnyje įtvirtintas atskaitomybės principas reikalauja bet kuriuo metu įrodyti atitiktį. Tai ne priemonių, o įrodymų prievolė.

DAP nebuvimas arba prastas pareigų pozicionavimas

Duomenų apsaugos pareigūno (DAP) skyrimas yra privalomas valdžios institucijoms, organizacijoms, kurios dideliu mastu tvarko jautrius duomenis, arba organizacijoms, kurios sistemingai stebi asmenis. Praktiškai daugeliui įmonių naudinga paskirti jį net ir be oficialaus įsipareigojimo, nes tai sustiprina atsakomybės grandinę. Tačiau DAP turi turėti reikiamus išteklius veikti: tiesioginę prieigą prie vadovybės, biudžetą, nepriklausomumą ir dalyvavimą projektuose. Kelios neseniai pritaikytos sankcijos buvo konkrečiai nukreiptos į įmones, kurios paskyrė grynai oficialų DAP.

Nepakankamai išmatuotas techninis saugumas

Tai tapo pagrindine didelių sankcijų priežastimi. 2025 m. 29 % Europos baudų buvo susijusios su nepakankamomis techninėmis ir organizacinėmis priemonėmis. „Free and Free Mobile“ byla, kuriai 2026 m. sausio mėn. buvo skirta 42 mln. eurų bauda, puikiai tai iliustruoja: daugiafaktorinio autentifikavimo nebuvimas VPN prieigoje ir neefektyvios įsilaužimo aptikimo sistemos buvo pripažintos rimtais pažeidimais po to, kai įsilaužimas pakenkė 24 mln. sutarčių.

Norint struktūrizuoti šį matmenį, „Viqtor“ BDAR valdymo modulis siūlo tiesiogiai naudojamą biblinio paprastumo operacinį pagrindą.

Ar norite konkrečiai įvertinti savo poveikio lygį? „Viqtor“ komanda gali jums padėti atliekant jūsų verslui pritaikytą diagnozę.

Veiksmingo BDAR atitikties požiūrio kūrimas

Žemėlapis prieš taisymą

Joks rimtas BDAR atitikties procesas neprasideda be išsamaus duomenų tvarkymo veiklos planavimo. Šis žingsnis yra būtinas viskam kitam: duomenų srautų, tikslų, gavėjų, saugojimo laikotarpių ir teisinių pagrindų nustatymui. Gauta informacija įtraukiama į tvarkymo registrą, privalomą dokumentą ir pirmą kartą prašomą dokumentą CNIL audito atveju.

Sutarčių sudarymas ir subrangos grandinė

Kiekvienas paslaugų teikėjas, kuris tvarko duomenis jūsų vardu, privalo būti reglamentuojamas sutarties, atitinkančios BDAR 28 straipsnį: prieglobos paslaugų teikėjas, SaaS leidėjas, rinkodaros agentūra, darbo užmokesčio įmonė. Vienos trūkstamos sąlygos gali pakakti, kad jūs būtumėte atsakingi duomenų pažeidimo atveju subrangovo patalpose. Šis punktas yra dar svarbesnis, atsižvelgiant į tai, kad daugelis įrankių perduoda duomenis už Europos Sąjungos ribų, o tam reikalingos specialios apsaugos priemonės, kurios retai įforminamos.

Tvaraus valdymo įgyvendinimas

Atitiktis nėra projektas, tai procesas. Tai apima metinę duomenų tvarkymo veiklos peržiūrą, dokumentuotą pažeidimų valdymo procedūrą (pranešimas per 72 valandas), mokymo planą, duomenų subjektų teisių prašymų stebėseną ir suvestinę vadovybei. „Viqtor“ vadovas dėl asmens duomenų išsamiai aprašoma ši geriausia praktika.

Apibendrinant

Per pastaruosius dvejus metus pasikeitė BDAR nesilaikymo rizikos pobūdis. Ji tapo labiau tikėtina, nes kontrolė tampa labiau standartizuota. Brangesnė, nes valdžios institucijos taiko pavyzdinių baudų skyrimo strategiją. Labiau matoma, nes atitiktis tampa sutartiniu standartu, kurio tikisi jūsų klientai ir partneriai.

Vadovui klausimas nebėra tas, ar pastangos vertos dėmesio, o kaip jas efektyviai struktūrizuoti. Gerai įgyvendintas metodas – žemėlapių sudarymas, valdymas, saugumas ir stebėsena – visada yra pigesnis nei bauda ir ilgainiui suteikia realų konkurencinį pranašumą.

Ar norite užtikrinti atitiktį reikalavimams? Pasikalbėkite su „Viqtor“ ekspertu laikui bėgant struktūrizuoti savo požiūrį.

DUK – Jūsų, kaip vadovo, klausimai

Kurioms įmonėms kyla BDAR neatitikimo rizika?

Visi jie. Kai tik įmonė pradeda tvarkyti Europos Sąjungoje gyvenančių fizinių asmenų – klientų, potencialių klientų, darbuotojų, tiekėjų – duomenis, ji patenka į BDAR taikymo sritį. Dydis, statusas ir sektorius neturi reikšmės. 2024 m. beveik 8 iš 10 CNIL (Prancūzijos duomenų apsaugos tarnybos) skirtų sankcijų buvo skirtos labai mažoms įmonėms ir MVĮ.

Kas nutiks, jei CNIL pradės tyrimą?

CNIL (Prancūzijos duomenų apsaugos institucija) pirmiausia išsiunčia pranešimą paštu, šaukimu arba apsilankymo vietoje metu. Tada įmonė turi laiko pateikti prašomus dokumentus: duomenų tvarkymo registrą, privatumo politiką, subrangos sutartis ir saugumo priemones. Jei randama trūkumų, išsiunčiamas oficialus pranešimas, kuriuo pradedamas atitikties laikotarpis. Jei situacija neištaisoma, pradedamos sankcijos.

Ar subrangovas gali būti nubaustas už BDAR nesilaikymą?

Taip, ir tai nutinka reguliariai. BDAR nustato konkrečius duomenų tvarkytojams keliamus įpareigojimus: saugumo, įrašų, pranešimų apie pažeidimus ir dokumentuotų nurodymų laikymosi. CNIL bauda gali būti skirta tik duomenų tvarkytojui, tik duomenų valdytojui arba abiem. Todėl 28 straipsnio sutartys yra būtinos siekiant paaiškinti, kas už ką atsakingas.

Kaip greitai sumažinti BDAR nesilaikymo riziką?

Per 90 dienų galima įgyvendinti tris didelio poveikio veiksmus: atlikti duomenų tvarkymo registro auditą ir atnaujinimą; patikrinti, ar visose subrangos sutartyse yra privalomos 28 straipsnio nuostatos; ir sustiprinti pagrindinį techninį saugumą (daugiafaktorinis autentifikavimas, šifravimas, griežtas prieigos valdymas). Šios trys priemonės apima daugumą neseniai nustatytų sankcijų pagrindų.

Kokios yra maksimalios baudos už BDAR nesilaikymą?

BDAR nustato dvi maksimalias baudas: iki 10 mln. EUR arba 2 % pasaulinės metinės apyvartos už pirmo lygio pažeidimus ir iki 20 mln. EUR arba 4 % pasaulinės apyvartos už sunkius pažeidimus (teisinio pagrindo nebuvimas, teisių pažeidimas, nereguliuojamas duomenų perdavimas). Be šių administracinių nuobaudų, pagal Prancūzijos baudžiamąjį kodeksą numatytos ir baudžiamosios sankcijos.

BDAR pažeidimų, už kuriuos skirtos didelės baudos, pavyzdžiai?

Keletas atvejų išsiskiria: „Meta“ 2023 m. gavo 1,2 mlrd. eurų baudą už duomenų perdavimą į Jungtines Valstijas; „Uber“ – 290 mln. eurų baudą 2024 m. už nesaugų duomenų perdavimą; „Amazon France Logistique“ – 32 mln. eurų baudą 2024 m. už neproporcingą darbuotojų stebėseną; „Google“ – 325 mln. eurų baudą ir „Shein“ – 150 mln. eurų baudą 2025 m. už slapukų naudojimo taisyklių pažeidimus. Šios bylos iliustruoja rizikos mastą ir baudžiamų nusikaltimų įvairovę.