Pereiti prie turinio
web1o
Tinklaraštis

Slapukų sutikimas ir privatumo politika: ko reikia LT svetainei

Slapukų sutikimas ir privatumo politika pagal GDPR/BDAR: ką privalo turėti Lietuvos svetainė, kad atitiktų VDAI reikalavimus.

  • GDPR
  • Slapukai
  • Teisė

Kiekviena komercinė Lietuvos svetainė privalo turėti du dalykus: slapukų sutikimo banerį, kuris neaktyvių (statistikos, rinkodaros) slapukų neįjungia tol, kol lankytojas aiškiai nesutinka, ir privatumo politiką, paaiškinančią, kokius asmens duomenis renkate, kodėl ir kiek laiko juos saugote. Tai kyla ne iš geros valios, o iš BDAR (GDPR) ir Elektroninių ryšių įstatymo. Toliau – konkrečiai, ką tai reiškia praktiškai ir kaip nesusilaukti VDAI (Valstybinės duomenų apsaugos inspekcijos) dėmesio.

Kodėl tai privaloma kiekvienai komercinei svetainei

Net paprasčiausia vizitinė svetainė beveik visada renka duomenis: kontaktinė forma surenka vardą ir el. paštą, „Google Analytics" ar „Meta Pixel" deda slapukus, hostingas saugo IP adresus serverio žurnaluose. Visi šie atvejai patenka į Bendrojo duomenų apsaugos reglamento (BDAR) taikymo sritį, o slapukų naudojimą papildomai reguliuoja Lietuvos Respublikos elektroninių ryšių įstatymas (perkeliantis ES ePrivacy direktyvą).

Pagrindinė taisyklė paprasta: prieš įrašydami į lankytojo įrenginį bet kokį slapuką, kuris nėra būtinas svetainės veikimui, turite gauti jo aiškų, laisvą ir informuotą sutikimą. Būtinieji slapukai (pvz., krepšelio turinys, prisijungimo sesija, kalbos pasirinkimas) sutikimo nereikalauja – jie veikia iškart.

Priežiūrą Lietuvoje vykdo VDAI. Inspekcija gali atlikti patikrinimus pagal skundus arba savo iniciatyva, o už BDAR pažeidimus numatytos baudos iki 20 mln. eurų arba 4 % metinės apyvartos. Smulkiam verslui realesnė rizika – ne maksimali bauda, o nurodymas ištaisyti pažeidimus, reputacinė žala ir prarastas kliento pasitikėjimas.

Verta atskirti du dažnai painiojamus dalykus. Slapukai yra techninė priemonė – maži failai, įrašomi į naršyklę – ir jų naudojimą reguliuoja Elektroninių ryšių įstatymas. Asmens duomenų tvarkymas yra platesnė sąvoka (kontaktinės formos, naujienlaiškio prenumeratos, užsakymai), kurią reguliuoja BDAR. Praktikoje tos sritys persidengia: vos tik slapukas leidžia atpažinti konkretų įrenginį ar žmogų, įsijungia ir BDAR. Todėl tvarkinga svetainė turi pasirūpinti abiem – ir banerio mechanika, ir aiškia politika.

Sutikimas „pagal nutylėjimą" – kai slapukai jau įjungti, o baneris tik praneša „naudojame slapukus" – nuo 2019 m. Teisingumo Teismo sprendimo (byla Planet49) laikomas negaliojančiu visoje ES.

Slapukų rūšys ir kuo skiriasi sutikimas

Kad teisingai sukonfigūruotumėte banerį, pirmiausia reikia suprasti, kokie slapukai skiriasi pagal paskirtį:

  • Būtinieji (techniniai) slapukai. Be jų svetainė neveiktų – sesijos, saugumo, krepšelio, kalbos slapukai. Sutikimo NEreikia, bet juos vis tiek reikia įvardyti politikoje.
  • Statistikos (analitikos) slapukai. „Google Analytics", „Hotjar" ir panašūs. Renka anonimizuotus arba pseudonimizuotus naudojimo duomenis. Reikalauja sutikimo.
  • Rinkodaros (sekimo) slapukai. „Meta Pixel", „Google Ads", remarketingas. Skirti reklamai ir sekimui per skirtingas svetaines. Reikalauja sutikimo ir dažniausiai kelia daugiausia klausimų.
  • Funkciniai slapukai. Įterpti „YouTube" vaizdo įrašai, pokalbių langai, žemėlapiai. Dažnai jie patys deda trečiųjų šalių slapukus, todėl irgi reikalauja sutikimo.

Esmė: sutikimas turi būti suskirstytas pagal kategorijas, o ne vienas mygtukas „Sutinku su viskuo". Lankytojas turi galėti sutikti tik su statistika, bet atsisakyti rinkodaros.

Teisingo slapukų banerio reikalavimai

Kad baneris atitiktų BDAR ir VDAI lūkesčius, jis turi tenkinti kelias sąlygas vienu metu.

Sutikimas prieš aktyvuojant slapukus, ne po

Neaktyvieji slapukai (statistika, rinkodara) negali būti įrašomi tol, kol lankytojas nepaspaudžia „Sutinku". Praktiškai tai reiškia, kad sekimo skriptai turi būti užkrauti tik po sutikimo, per sutikimo valdymo įrankį (CMP – Consent Management Platform). Jei „Google Analytics" suveikia jau atsidarius puslapiui, baneris yra dekoracija ir pažeidimas išlieka.

Galimybė atsisakyti taip pat lengvai kaip sutikti

Jei pirmame banerio ekrane yra ryškus mygtukas „Sutinku", šalia turi būti vienodai matomas ir lengvai paspaudžiamas „Atsisakau" arba „Tik būtinieji". Draudžiama „atsisakymą" paslėpti už kelių paspaudimų ar nustatymų meniu, o „sutikimą" padaryti vieno mygtuko atstumu – tai vadinamieji „tamsieji modeliai" (dark patterns), į kuriuos VDAI ir Europos duomenų apsaugos valdyba žiūri itin kritiškai.

Sutikimo atšaukimas bet kada

Lankytojas turi galėti atšaukti sutikimą taip pat paprastai, kaip jį davė. Praktiškai tai dažniausiai – nedidelė nuolatinė piktograma kampe arba nuoroda „Slapukų nustatymai" poraštėje, atidaranti tą patį banerį. Be šios galimybės sutikimas laikomas nevisaverčiu.

Papildomai baneris turi: aiškiai įvardyti, kas yra duomenų valdytojas, pateikti nuorodą į slapukų politiką, neturėti iš anksto pažymėtų varnelių neaktyviems slapukams ir veikti vienodai kompiuteryje bei telefone.

Pavyzdys: kaip atrodo teisingas ir neteisingas baneris

Kad būtų konkrečiau, palyginkime du dažnai matomus variantus tipinėje LT smulkaus verslo svetainėje:

  • Neteisingas baneris. Atsidarius puslapiui „Google Analytics" ir „Meta Pixel" suveikia iškart; baneris apačioje rašo „Naudojame slapukus. Tęsdami sutinkate" ir turi tik vieną mygtuką „Gerai". Atsisakyti negalima, atšaukti – taip pat. Tai pažeidimas iš karto trimis aspektais: slapukai įjungti prieš sutikimą, nėra atsisakymo, nėra atšaukimo.
  • Teisingas baneris. Atsidarius puslapiui veikia tik būtinieji slapukai. Baneryje – trumpas paaiškinimas, nuoroda į slapukų politiką ir trys lygiaverčiai mygtukai: „Priimti viską", „Tik būtinieji" ir „Nustatymai" (kur galima atskirai įjungti statistiką ar rinkodarą). Poraštėje lieka nuoroda „Slapukų nustatymai", kuria sutikimą galima pakeisti bet kada.

Skirtumas techniškai nedidelis, bet teisiškai – esminis. Daugumai svetainių jį išsprendžia tinkamai sukonfigūruotas sutikimo valdymo įrankis (CMP), o ne ranka rašytas „cookie" pranešimas.

Kas privalo būti privatumo politikoje

Privatumo politika – atskiras nuo slapukų banerio dokumentas, paaiškinantis bendrą duomenų tvarkymą. Kad atitiktų BDAR 13–14 straipsnius, joje turi būti:

  1. Duomenų valdytojo rekvizitai – įmonės pavadinimas, kodas, adresas, kontaktinis el. paštas (duomenis galima pasitikrinti Registrų centre).
  2. Kokie duomenys renkami – vardas, el. paštas, telefonas, IP adresas, naršymo duomenys ir t. t.
  3. Tvarkymo tikslai ir teisinis pagrindas – pvz., sutarties vykdymas, sutikimas, teisėtas interesas.
  4. Saugojimo terminai – kiek laiko duomenys laikomi ir kokiu kriterijumi tai nustatoma.
  5. Duomenų gavėjai – buhalterija, IT paslaugų teikėjai, rinkodaros platformos, ypač jei duomenys keliauja už ES ribų.
  6. Asmens teisės – susipažinti, ištaisyti, ištrinti, apriboti tvarkymą, perkelti duomenis, nesutikti, atšaukti sutikimą.
  7. Teisė pateikti skundą VDAI ir kontaktiniai inspekcijos duomenys.

Gera praktika – politiką rašyti aiškia, ne teisine kalba ir reguliariai atnaujinti, kai keičiasi įrankiai ar paslaugų teikėjai.

Atskiro dėmesio nusipelno kontaktinės formos ir naujienlaiškio prenumeratos. Tai dažniausias smulkaus verslo asmens duomenų rinkimo taškas, dažnai paliekamas be jokios teisinės apsaugos. Prie formos turi būti trumpa nuoroda į privatumo politiką, o jei renkate sutikimą rinkodaros laiškams – atskira, iš anksto nepažymėta varnelė tik tam tikslui. Sutikimas užklausai atsakyti ir sutikimas gauti naujienlaiškį yra du skirtingi dalykai ir negali būti sujungti į vieną „sutinku su viskuo".

Dažnos klaidos, dėl kurių gresia VDAI dėmesys

Iš realios praktikos dažniausiai kartojasi šios klaidos:

  • Slapukai įjungiami iškart, dar prieš sutikimą – techniškai dažniausia ir rimčiausia klaida.
  • Tik mygtukas „Sutinku" be lygiavertės atsisakymo galimybės.
  • Iš anksto pažymėtos varnelės statistikos ir rinkodaros kategorijoms.
  • Nėra galimybės atšaukti sutikimo – baneris dingsta visam laikui.
  • Privatumo politika nukopijuota nuo kitos įmonės su svetimais rekvizitais ir įrankiais, kurių realiai nenaudojate.
  • Politika neatnaujinama – įdiegėte „Meta Pixel", bet dokumente jo nėra.
  • Kontaktinė forma be sutikimo žymės ir be nuorodos į privatumo politiką.

Trumpas savitikros pavyzdys

Atsidarykite savo svetainę naršyklės inkognito režimu ir patikrinkite kūrėjo įrankių skiltyje „Application → Cookies", ar dar nepaspaudus banerio jau yra _ga, _fbp ar panašių trečiųjų šalių slapukų. Jei yra – sutikimo mechanizmas neveikia taip, kaip turėtų, nepriklausomai nuo to, kaip gražiai atrodo baneris.

Greita atmintinė, ką patikrinti per kelias minutes:

  1. Ar prieš sutikimą įrašomi tik būtinieji slapukai?
  2. Ar baneryje yra lygiavertis „Atsisakau" / „Tik būtinieji"?
  3. Ar galima atšaukti sutikimą po jo davimo (nuoroda poraštėje)?
  4. Ar yra atskira slapukų politika ir privatumo politika su jūsų tikrais rekvizitais?
  5. Ar prie kontaktinės formos yra nuoroda į privatumo politiką?

Jei bent vienas atsakymas „ne" – tai aiškus signalas, ką taisyti pirmiausia.

Iš kur gauti patikimus šablonus

Neskubėkite kopijuoti pirmo rasto teksto. Patikimi atskaitos taškai:

  • VDAI (vdai.lt) – oficialios gairės dėl slapukų ir sutikimo, rekomendacijos duomenų valdytojams.
  • VVTAT (vvtat.lrv.lt) – vartotojų teisių ir prieinamumo informacija, aktuali ir el. parduotuvėms.
  • EUR-Lex – BDAR (Reglamentas 2016/679) pirminis tekstas, jei reikia pasitikrinti konkretų straipsnį.

Šablonas yra tik atspirties taškas – jį būtina pritaikyti savo realiai situacijai: įvardyti tikslius įrankius, rekvizitus ir saugojimo terminus. Universalus, niekam nepritaikytas dokumentas dažnai būna blogiau nei jo nebuvimas, nes klaidina ir lankytojus, ir patikrinimą atliekantį inspektorių.

Visus svetainės teisinius dokumentus patogu laikyti vienoje vietoje – mūsų dokumentų skiltyje rasite struktūrą, kurią galite pritaikyti savo verslui.

Pastaba: čia pateikta informacija yra orientacinė (2026 m.) ir nėra teisinė konsultacija. Tikslius reikalavimus visada verta pasitikrinti VDAI tinklalapyje arba pasitarti su teisininku.

Kaip greitai sutvarkyti savo svetainę

Jei nesate tikri, ar jūsų baneris ir politika atitinka reikalavimus, pradėkite nuo nemokamos svetainės patikros – ji parodo, ar slapukai įjungiami prieš sutikimą ir ar trūksta privalomų dokumentų. Toliau galite peržiūrėti ir atsisiųsti pritaikomus slapukų politikos bei privatumo politikos pavyzdžius. Jei norite, kad viską sutvarkytume už jus – nuo teisingo sutikimo banerio iki atnaujintų dokumentų – susisiekite ir suderinsime konkretų planą jūsų svetainei.

Visi įrašai

Susiję straipsniai

Svetainės prieinamumas: ką keičia 2025 m. prieinamumo įstatymas

Svetainės prieinamumas pagal 2025 m. įstatymą ir WCAG: kam taikoma, ką privalo atitikti verslas ir nuo ko pradėti pritaikymą.