Įsivaizduokite, kad įeinate į parduotuvę, ir pardavėjas be jūsų sutikimo nufotografuoja jūsų veidą, užsirašo banko kortelės numerį ir pradeda sekti jus iki pat namų, stebėdamas, ką veikiate. Skamba kaip kriminalinio filmo scenarijus? Deja, internete tai vyko dešimtmečius. Iki tol, kol atsirado BDAR (Bendrasis duomenų apsaugos reglamentas), arba angliškai GDPR. 2026-aisiais metais privatumo apsauga nebėra „rekomendacija“. Tai yra griežtas įstatymas, kurio nesilaikymas gali užtraukti baudas iki 20 milijonų eurų arba 4% metinės apyvartos. Tačiau BDAR reikalavimai svetainėms dažnai vis dar suprantami klaidingai: daugelis mano, kad užtenka tiesiog įdėti mygtuką „Sutinku su slapukais“. Realybė yra kur kas sudėtingesnė. Šiame gide mes išversime teisinę kalbą į verslo kalbą ir paaiškinsime, kaip sutvarkyti svetainę, kad ji būtų legali, saugi ir nekeltų problemų su institucijomis.
Kas yra asmens duomenys internete?
Daugelis verslininkų sako: „Aš nerenku jokių duomenų, mano svetainė tik informacinė“. Tai beveik visada yra netiesa. Pagal BDAR, asmens duomenys yra bet kokia informacija, kuri leidžia tiesiogiai ar netiesiogiai identifikuoti žmogų.
Jūsų svetainė renka duomenis, jei joje yra:
– Kontaktų forma: Vardas, el. paštas, telefono numeris.
– Google Analytics: IP adresas, buvimo vieta, naršymo istorija.
– Slapukai (Cookies): Unikalūs identifikatoriai, sekantys vartotojo elgseną.
– El. parduotuvės krepšelis: Adresas, mokėjimo informacija, pirkimų istorija.
Net jei renkate tik IP adresus serverio žurnaluose (logs), jūs jau esate Duomenų valdytojas ir privalote laikytis reglamento.
Slapukų juosta (Cookie Banner): „Sutinku“ nebepakanka
Tai labiausiai matoma BDAR dalis. Seniau užtekdavo juostos apačioje su užrašu „Mes naudojame slapukus“ ir vieninteliu mygtuku „Gerai“. 2026-aisiais tokia juosta yra nelegali.
Teisinga slapukų sutikimo platforma (CMP – Consent Management Platform) privalo atitikti šiuos kriterijus:
- Išankstinis blokavimas: Jokie slapukai (išskyrus būtinus techninius) negali būti įrašomi į lankytojo kompiuterį prieš jam paspaudžiant „Sutinku“. Jei „Facebook Pixel“ užsikrauna dar prieš paspaudimą – tai pažeidimas.
- Lygiavertis pasirinkimas: Mygtukas „Atmesti visus“ (Reject All) turi būti toks pat ryškus, tokio paties dydžio ir spalvos kaip „Sutikti su visais“. Negalima slėpti atmetimo mygtuko po nuoroda „Nustatymai“.
- Detalizacija: Vartotojas turi turėti galimybę pasirinkti, kuriuos slapukus leisti (pvz., tik statistinius, bet ne rinkodaros).
- Sutikimo atšaukimas: Svetainės kampe turi būti lengvai randama ikonėlė, leidžianti bet kada pakeisti nustatymus.
Google Consent Mode v2: Naujas standartas 2026 m.
Tai yra kritiškai svarbu tiems, kurie naudoja „Google Ads“ reklamą. Nuo 2024 m. kovo mėnesio „Google“ įvedė privalomą Consent Mode v2.
Jei jūsų slapukų juosta neturi šios integracijos, „Google“ nustoja rinkti duomenis apie jūsų auditorijas. Tai reiškia:
– Jūsų Remarketingo (pakartotinės rinkodaros) sąrašai nustoja pildytis.
– Jūs negalite tiksliai matuoti konversijų.
– Reklamos efektyvumas krenta, o kaina kyla.
Kurdami naujas svetaines, mes visada diegiame sertifikuotus sprendimus (pvz., „Cookiebot“ arba „CookieYes“), kurie pilnai palaiko Consent Mode v2.
Trys banginiai: Privatumo politika, Taisyklės, Slapukų politika
Kiekviena legali svetainė privalo turėti šiuos dokumentus. Ir ne, kopijuoti jų nuo konkurentų negalima (nes konkurentas gali būti pasirašęs klaidingai, o be to – tai autorinių teisių pažeidimas).
1. Privatumo politika (Privacy Policy)
Tai pagrindinis dokumentas. Jame privaloma aiškiai (be teisinio žargono) nurodyti:
– Kas yra duomenų valdytojas (Įmonės pavadinimas, kodas, kontaktai).
– Kokius duomenis renkate ir kodėl (pvz., „renkame el. paštą, kad išsiųstume naujienlaiškį“).
– Kam perduodate duomenis (pvz., „duomenis perduodame kurjerių tarnybai, kad pristatytų prekę“).
– Kiek laiko saugote duomenis.
– Kokias teises turi vartotojas.
2. Slapukų politika (Cookie Policy)
Tai lentelė, kurioje išvardinti visi naudojami slapukai: jų pavadinimai, tiekėjai (pvz., Google), paskirtis ir galiojimo laikas. Ši informacija turi būti dinamiškai atnaujinama (automatinis skenavimas), nes svetainės įskiepiai dažnai keičia slapukus be jūsų žinios.
3. Pirkimo taisyklės (Terms & Conditions)
Aktualu el. parduotuvėms. Čia nustatoma sutartis tarp pirkėjo ir pardavėjo: grąžinimo sąlygos (14 dienų taisyklė), garantijos, atsakomybės ribos.
Formos ir „Checkbox“ spąstai
Didžiausia klaida rinkodaroje – automatiškai pažymėti langeliai.
Pagal BDAR, sutikimas turi būti aktyvus veiksmas. Tai reiškia:
– Langelis „Noriu gauti naujienlaiškį“ turi būti tuščias. Vartotojas pats turi jį pažymėti.
– Negalima sujungti sutikimų. Pirkimo taisyklės ir Naujienlaiškio prenumerata turi būti du atskiri langeliai. Negalima sakyti: „Pirkdamas prekę sutinki gauti reklamą“.
– Po kiekviena forma (pvz., „Susisiekite su mumis“) turi būti nuoroda į Privatumo politiką.
Duomenų saugumas: Kur laikomi jūsų klientų failai?
BDAR reikalauja ne tik teisinių popierių, bet ir techninio saugumo. Duomenų valdytojas privalo užtikrinti „organizacines ir technines priemones“ duomenims apsaugoti.
Ką tai reiškia svetainei?
– SSL sertifikatas (HTTPS): Privalomas. Jis šifruoja duomenis, keliaujančius nuo vartotojo naršyklės iki serverio.
– Serverio lokacija: Jei jūsų duomenys laikomi už ES ribų (pvz., pigiame JAV serveryje), tai gali būti traktuojama kaip nesaugus duomenų perdavimas trečiosioms šalims. Mes rekomenduojame naudoti serverius, esančius Europos Sąjungos teritorijoje.
– Prieigos kontrolė: Ar visi jūsų darbuotojai turi administratoriaus teises? Tai nesaugu. Teisės turi būti suteikiamos tik tiems, kam jų reikia.
Vartotojo teisės: Ką daryti, kai klientas parašo?
BDAR suteikia Europos piliečiams plačias teises. Jūs privalote žinoti, kaip reaguoti, jei gausite el. laišką su prašymu pasinaudoti šiomis teisėmis:
- Teisė būti pamirštam (Right to Erasure): Klientas gali reikalauti ištrinti visus jo duomenis iš jūsų sistemų. Jūs privalote tai padaryti (jei tai neprieštarauja kitiems įstatymams, pvz., sąskaitų saugojimui VMI reikmėms) ir patvirtinti ištrynimą.
- Teisė susipažinti (Right to Access): Klientas gali klausti: „Ką jūs apie mane žinote?“. Jūs privalote pateikti išrašą (XML ar CSV formatu) su visais sukauptais duomenimis.
- Teisė perkelti duomenis (Data Portability): Klientas gali paprašyti perkelti jo duomenis kitam paslaugų tiekėjui.
Jei jūsų svetainė naudoja profesionalią TVS (pvz., WordPress), joje yra įrankiai „Export Personal Data“ ir „Erase Personal Data“, kurie automatizuoja šį procesą. Tačiau tam reikia nuolatinio sistemos administravimo.
Duomenų nutekėjimas: Košmaras, kuriam reikia ruoštis
Kas nutinka, jei hakeriai pavagia jūsų klientų duomenų bazę?
Pagal BDAR, jūs privalote informuoti Valstybinę duomenų apsaugos inspekciją (VDAI) per 72 valandas nuo sužinojimo apie incidentą. Taip pat privalote informuoti pačius nukentėjusius vartotojus.
Slėpti incidentą yra blogiausia strategija, nes paaiškėjus tiesai, baudos bus maksimalios. Geriausia gynyba – prevencija ir reguliarus saugumo auditas.
Baudos: Ar tikrai baudžia mažus?
Mitai, kad „VDAI tikrina tik didelius“, sklaidosi. Nors didžiausios baudos tenka gigantams (pvz., „Vinted“ gavo 2,3 mln. eurų baudą), mažos įmonės taip pat tikrinamos, dažniausiai – po skundų.
Pakanka vieno nepatenkinto konkurento ar kliento skundo, kad jūsų svetainė būtų patikrinta. Jei neturite Privatumo politikos ar slapukų juostos – bauda neišvengiama. Pirmoji bauda gali būti įspėjimas arba keli tūkstančiai eurų, tačiau reputacijos žala gali būti daug didesnė.
Apibendrinimas: Teisėtumas yra pasitikėjimas
Žiūrėkite į BDAR ne kaip į biurokratinę naštą, o kaip į kokybės ženklą.
Kai lankytojas mato tvarkingą slapukų juostą, aiškią privatumo politiką ir saugų atsiskaitymą, jis jaučiasi ramiau. Jis supranta, kad turi reikalų su atsakingu verslu, kuris gerbia jo privatumą.
Ar jūsų svetainė atitinka 2026-ųjų metų reikalavimus? Ar naudojate „Consent Mode v2“? Jei nesate tikri, nerizikuokite. Mūsų komanda atliks jūsų svetainės teisinio atitikimo auditą, įdiegs reikiamus įrankius ir paruoš jus saugiam darbui. Apsaugokite savo verslą ir savo klientus jau dabar.