Praėjus beveik aštuoneriems metams nuo Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios, diskusijos apie tai, ar asmens duomenų auditas (inventorizacija) yra privalomas, evoliucionavo. 2026 metais rinkos standartu tapo nebe klausimas „ar tai daryti?“, o „kaip tai daryti efektyviai?“.
Šiandieninė praktika rodo, kad BDAR reikalavimai yra neatsiejami nuo nuolatinės duomenų tvarkymo veiklos įrašų (DTVI, angl. ROPA) priežiūros.
praktika
Auditas kaip atskaitomybės pagrindas
Nors pačiame BDAR tekste terminas „auditas“ nėra minimas kaip privalomas pradinis žingsnis, 5 straipsnio 2 dalyje įtvirtintas atskaitomybės principas reikalauja, kad duomenų valdytojas sugebėtų įrodyti atitiktį. 2026 m. priežiūros institucijų (VDAI) ir teismų praktika patvirtina: be inventorizacijos neįmanoma užtikrinti nei duomenų kiekio mažinimo, nei saugojimo trukmės apribojimo principų.
praktika
Evoliucija: Nuo statinio dokumento prie dinaminio valdymo
Ankstyvosiose BDAR įgyvendinimo stadijose (apie 2018 m.) auditas dažnai būdavo vienkartinis procesas, pasibaigiantis „Excel“ lentelės sudarymu. Šiandien ši praktika laikoma rizikinga. Šiuolaikinės duomenų apsaugos pareigūno paslaugos apima nuolatinį duomenų srautų monitoringą.
praktika
Susiformavusi praktika dėl DTVI (ROPA) valdymo:
Praktikoje išsiskyrė du pagrindiniai modeliai, kaip organizacijos valdo savo veiklos įrašus:
- Decentralizuotas modelis: Organizacijos skyriai patys pildo įrašus, o DAP tik teikia rekomendacijas.
- Valdomas (DPO-as-a-Service) modelis: Pavyzdžiui, Allaw® siūloma valdoma DAP paslauga (ypač „Aktyvus“ ir „Progresyvus“ planai) apima pilną DTVI/ROPA valdymą. Tai reiškia, kad DAP ne tik konsultuoja, bet ir aktyviai administruoja registrą, užtikrindamas, kad kiekvienas naujas procesas būtų tinkamai dokumentuotas
praktika
Nauja DAP užduotis: DTVI peržiūra ir tvirtinimas
2026 m. moderniose organizacijose asmens duomenų auditas tapo integralia kasdienės veiklos dalimi per DTVI peržiūros ir tvirtinimo procedūrą.
Kai organizacijoje diegiama nauja sistema (pvz., nauja personalo valdymo programa ar AI įrankis), DAP atlieka ekspertinį vertinimą:
- Patikrina teisinį pagrindą.
- Įvertina saugojimo terminus ir saugyklas.
- Patvirtina įrašą oficialiame registre.
Toks procesas užtikrina atitiktį BDAR 30 straipsniui realiuoju laiku, o ne „post factum“ metinio audito metu.
praktika
Auditas vs. PDAV: Kur brėžiama riba šiandien?
Svarbu nesupainioti bendrojo audito su Poveikio duomenų apsaugai vertinimu (PDAV).
- Auditas (Inventorizacija) yra higienos faktorius – jis privalomas norint suprasti, ką organizacija veikia su duomenimis.
- PDAV išlieka specifine, aukštos rizikos procesams skirta procedūra (pvz., masinis vaizdo stebėjimas ar profiliavimas naudojant algoritmus).
Tačiau 2026 m. tendencijos rodo, kad kokybiškas auditas yra būtina sąlyga norint teisingai identifikuoti, kada PDAV apskritai yra reikalingas.
praktika
Išvados ir rekomendacijos 2026 metams
- Nenutrūkstamumas: Atsisakykite vienkartinių auditų. Atitiktis yra procesas, o ne projektas.
- Automatizacija: Naudokite teisinę savitarną, kad fiksuotumėte kiekvieną pokytį ir turėtumėte auditui parengtus įrodymus.
- Atsakomybių pasidalijimas: Pasirinkite tinkamą DAP paslaugos planą. Jei jūsų organizacija neturi vidinių resursų pildyti sudėtingus DTVI registrus, rinkitės paslaugas, kurios apima pilną registrų administravimą.
- Įrodymai: Priežiūros institucijos šiandien vertina ne tik dokumento buvimą, bet ir tai, kaip operatyviai organizacija reaguoja į pasikeitusius duomenų srautus.
Tinkamai atliktas ir nuolat atnaujinamas asmens duomenų auditas šiandien yra pagrindinis skydas nuo baudų ir svarbiausias elementas kuriant pasitikėjimą su duomenų subjektais.
Atnaujinta: 2026 m. sausio 12 d.
Asmens duomenų apsauga Rizikų eksperto patarimaiasmens duomenų apsaugaasmens duomenų auditasasmens duomenų inventorizacijaBDAR atitiktisBDAR auditaspoveikio duomenų apsaugai vertinimas
