← Cuadernos Lacre

Analizė · 2026 m. gegužės 16 d.

BDAR ir profesionalus susirašinėjimas: kodėl dauguma pažeidžia taisykles to nežinodami

Beveik kiekvienas biuras, kabinetas ar konsultacinė įmonė siunčia klientų dokumentus per programėles, kurių serveris yra už Europos ekonominės erdvės ribų. Be piktos valios, bet daugeliu atvejų pažeidžiant reglamentą, niekam jų apie tai neįspėjus.

Dokumentas, kuris keliauja toliau nei manote

Kasdienė situacija: mokesčių konsultantė per susirašinėjimo programėlę gauna dokumentą su kliento duomenimis. Pardavimų vadybininkas per pokalbių programą persiunčia pasiūlymą kolegai. Gydytoja tuo pačiu keliu bendrina klinikinę ataskaitą su kolega. Niekas apie tai nepagalvoja dukart. Tai normalu. Tai patogu. Tai daroma kiekvieną dieną kiekviename biure kiekviename Europos mieste.

Bet šis dokumentas daugeliu atvejų ką tik nukeliavo į serverį JAV. Jis buvo išsaugotas – tegu ir laikinai, tegu ir „užšifruotas ramybės būsenoje“ – debesyje, kurio nei profesionalas, nei jo klientas nekontroliuoja. Jis praėjo per sistemas, kurios techniškai gali indeksuoti su turiniu susijusius metaduomenis. Ir Europos bendrasis duomenų apsaugos reglamentas apie tai turi pasakyti kai ką gana aiškaus.

Ko reikalauja norma

BDAR – o vėliau ir Europos Sąjungos Teisingumo Teismo jurisprudencija (ypač 2020 m. „Schrems II“ sprendimas, C-311/18) – nustato, kad Europos piliečių asmens duomenys turi būti tinkamai apsaugoti. Jei šie duomenys palieka Europos ekonominę erdvę, duomenų valdytojas privalo garantuoti, kad gavėjas siūlo apsaugos lygį, kuris yra „iš esmės lygiavertis“ europiniam. Praktiškai tai reiškia, kad klientų duomenų siuntimas per paslaugas, kurių serveriai priklauso JAV jurisdikcijai, neatlikus poveikio vertinimo ir neįgyvendinus papildomų garantijų – standartinių sutarčių sąlygų, papildomų techninių priemonių, tokių kaip patikrinamas šifravimas ir pan. – gali būti reglamento pažeidimas. Net jei iki šiol niekas nieko nesakė.

Ir tai ne tik apie žinučių turinį. Metaduomenys – kas kam ką siunčia, kada, kaip dažnai, iš kur – pagal taisykles ir pagal pakartotinį Europos duomenų apsaugos valdybos aiškinimą taip pat yra asmens duomenys. Paslauga, renkanti metaduomenius iš vartotojo profesinės komunikacijos, tvarko to vartotojo klientų asmens duomenis, šiems apie tai nežinant ir nedavus jokio sutikimo tokiam tvarkymui.

Įprasta mąstymo schema – „naudoju programėlę tik rašymui; programėlė nėra mano kliento duomenų teikėja“ – yra teisiškai klaidinga. Jei kliento duomenys eina per trečiosios šalies infrastruktūrą, ta trečioji šalis tvarko tuos duomenis. O jei ji juos tvarko, turi būti teisinis pagrindas, duomenų tvarkymo sutartis ir atitinkamos garantijos.

Kas yra atsakingas

Klausimas, kas neša teisinę atsakomybę, nėra akademinis. BDAR skiria duomenų valdytoją (kas nusprendžia, kokie duomenys ir kokiu tikslu tvarkomi) ir duomenų tvarkytoją (kas tai daro materialiai valdytojo vardu). Profesionalas, siunčiantis klientų dokumentus, yra duomenų valdytojas. Susirašinėjimo programėlės teikėjas daugeliu atvejų yra faktinis duomenų tvarkytojas. Be duomenų tvarkymo sutarties – ir be daugumos sąlygų, kurias tokia sutartis turėtų apimti – valdytojas neįvykdė savo prievolės.

Atlaidus aiškinimas sako: „dauguma profesionalų to nežino“. Griežtas aiškinimas sako: „įstatymo nežinojimas neatleidžia nuo atsakomybės“. O bet kurio šiuo klausimu konsultuojančio specializuoto duomenų apsaugos advokato aiškinimas paprastai yra griežtas.

Kam tai svarbu konkrečiai

Kiekvienam profesionalui ar įmonei, kuri bent retkarčiais operuoja trečiųjų šalių asmenine informacija:

  • Advokatams, gaunantiems klientų dokumentaciją (sutartis, ieškinius, deklaracijas, turto ataskaitas).
  • Gydytojams ir kitiems sveikatos priežiūros specialistams, bendrinantiems sveikatos duomenis – kurie pagal BDAR 9 str. laikomi specialiųjų kategorijų duomenimis su sustiprintu apsaugos režimu –.
  • Mokesčių konsultantams ir administracinio valdymo specialistams, operuojantiems identifikaciniais, mokesčių ir banko duomenimis.
  • Personalo skyriams, valdantiems darbuotojų darbo ir asmeninę dokumentaciją.
  • Prekybos atstovams, gaunantiems kontaktinius duomenis ir dažnai jautrią verslo informaciją iš potencialių ir esamų klientų.

Visais atvejais informacija yra saugoma BDAR. Visais atvejais, įprastoje praktikoje, ši informacija teka kanalais, kurių jurisdikcija neleidžia jų deklaruoti „iš esmės lygiaverčiais“ Europos sistemai be papildomų garantijų. Ne iš piktos valios. Iš įpročio. Ir dėl technologinės infrastruktūros, kuri penkiolika metų patogumą kėlė aukščiau atitikties.

Argumentas „visi taip daro“

Verta numatyti dažniausią prieštaravimą: „jei visi taip daro, tai negali būti tikra problema“. Tai visiškai suprantamas argumentas, bet teisiškai jis neturi jokios galios. Faktas, kad praktika yra paplitusi, nepadaro jos atitinkančia reglamentą. Duomenų apsaugos institucijos (pavyzdžiui, VDAI Lietuvoje) pastaraisiais metais nubaudė keletą įmonių būtent už susirašinėjimo būdus, kurie iki patikrinimo akimirkos atrodė nekenksmingi.

Dabartinė operacinė realybė yra tokia, kad rizika tikimybės požiūriu yra maža – labai retai pasitaiko, kad Institucijos patikrinimas audituotų konkrečius vidutinio dydžio biuro susirašinėjimo įrankius – bet didelė poveikio požiūriu, jei ji pasireiškia. Tai rizika, kurią dauguma prisiima nežinodami, kad ją prisiima. Tai yra, neįvertinę, ar naudojamas įrankis atitinka teisinę duomenų valdytojo atsakomybę.

Skaitmeninis pėdsakas yra retroaktyvus

Yra antras argumentas, beveik simetriškas ankstesniam, kurį verta numatyti: „jei tai būtų rimta problema, administracija jau būtų pradėjusi tai kontroliuoti“. Dabartinė stebima realybė jam suteikia paviršutinišką tiesą. Patikrinimų dėl netinkamo susirašinėjimo naudojimo mažose įmonėse ir ypač pas savarankiškai dirbančius asmenis šiandien beveik nėra – ne todėl, kad elgesys būtų leidžiamas, o todėl, kad administracijai Lietuvoje ir didžiojoje dalyje ES trūksta žmogaus išteklių, reikalingų audituoti milijonus įpareigotų subjektų.

Tai rodo šiandienos stebima praktika. Bet tai nėra tai, ką rodo kitas dešimtmetis. Du vektoriai susilieja, kad pakeistų pusiausvyrą per palyginti trumpą laiką.

Pirma: skaitmeninis pėdsakas yra retroaktyvus. Kiekviena žinutė, išsiųsta per programėlę su centriniu serveriu, lieka užregistruota – bent jau metaduomenyse – infrastruktūroje, kuri išlieka. Tai, kas buvo išsiųsta prieš šešis mėnesius, techniškai vis dar yra audituotina šiandien. Tai, kas bus išsiųsta šiandien, bus audituotina po penkerių metų. Dabartinis patikrinimų nebuvimas nėra garantija, kad jų nebus ateityje. Tai vertinimo atidėjimas, o ne atleidimas nuo jo.

Antra: administracinio audito pajėgumai augs pagreitintai. Dirbtinio intelekto įrankių diegimas kontrolės procesuose pašalina žmogaus resursų kliūtį, kuri iki šiol saugojo – faktiškai, ne teisiškai – mažas įmones ir savarankiškai dirbančius asmenis. Sistemai, galinčiai kryžminti masinius metaduomenų masyvus, mokesčių deklaracijas, prekybos registrus ir prievoles pranešti apie saugumo pažeidimus, nereikia inspektorių: jai reikia prieigos. O prieiga per reikalavimus teikėjams, turintiems teisinį atstovavimą ES, pagal dabartinę norminę bazę yra visiškai įmanoma.

Prie to prisideda mažiau techninis, bet tiek pat lemiamas veiksnys: Europos valstybės yra nuolatinio augančio įsiskolinimo procese ir joms, beveik be išimties, reikia plėsti savo mokesčių bazę. Administracinė sankcija, kylanti dėl BDAR nesilaikymo, grynai fiskaline prasme yra augantis ir politiškai patogus pajamų šaltinis. Tai ne prielaida: tai pastebima tendencija Europos duomenų apsaugos institucijų metinėse ataskaitose, kur bendra sankcijų suma auga keletą finansinių metų iš eilės.

Operacinė išvada duomenų valdytojui nėra aliarminė, o blaivi: sprendimas dėl to, kaip šiandien valdoma komunikacija su klientais, vertinamas pagal patikrinimo metų kontrolės pajėgumus, o ne pagal dabartinius. O tie pajėgumai per protingą laikotarpį bus iš esmės kitokie nei šiandien. Tas, kuris pradeda daryti dalykus teisingai šiandien, bus tvarkingas ne tik nuo šiandien: nuo šios akimirkos generuojamas pėdsakas atitiks normą, ir tai retrospektyviai apsaugo ateinantį laikotarpį. Tas, kuris tęs kaip iki šiol, kaups audituotiną pėdsaką, kurio atitiktis bus vertinama pagal ateinančių metų standartus – ir išteklius.

Kas keičiasi su kitokia architektūra

Yra techninių alternatyvų, kai duomenys nesaugomi trečiųjų šalių infrastruktūroje, o keliauja tiesiai iš siuntėjo įrenginio į gavėjo įrenginį. Šioje architektūroje BDAR laikymasis dėl tarptautinių perdavimų nepriklauso nuo standartinių sutarties sąlygų, nei nuo teikėjo geros valios, nei nuo būsimų auditų. Jis priklauso nuo to, kad perdavimo nėra. O tam, ko nėra, negalima nusižengti.

Tai nėra išskirtinis sprendimas ir ne vienintelis įmanomas. Bet jis yra struktūriškai kitoks, ir norminė atitiktis nustoja būti procedūriniu priedu, o tampa tiesiogine projekto pasekme. Profesionalui, kuris rimtai žiūri į savo, kaip duomenų valdytojo, atsakomybę, tas skirtumas yra svarbus.

Kitame „Cuadernos“ numeryje bus išsamiai analizuojamas „Schrems II“ sprendimas ir jo praktinės pasekmės mažoms ir vidutinėms įmonėms, priklausomoms nuo JAV debesų paslaugų, praėjus penkeriems metams po jo paskelbimo.

Šaltiniai ir teisinė bazė

  • ES reglamentas 2016/679 (BDAR), ypač V skyrius dėl tarptautinių perdavimų.
  • ESTT sprendimas byloje C-311/18 („Schrems II“), 2020 m. liepos 16 d.
  • EDPB – Rekomendacijos 01/2020 dėl priemonių, papildančių perdavimo priemones.
  • Duomenų apsaugos institucijos (įskaitant VDAI) – Metinės ataskaitos su sankcijų dėl netinkamo susirašinėjimo naudojimo profesinėje aplinkoje pavyzdžiais.

Naujausi skaitiniai