GDPR e-parduotuvei 2026: checklist, bausmės, dažniausios klaidos
Pilnas GDPR checklist'as Lietuvos e-parduotuvei 2026 m. Slapukai, pirkėjų duomenys, rinkodara, DSR reikalavimai, praktiniai sprendimai.
GDPR pažeidimai Lietuvoje 2025 m. sukėlė 1.2 mln. € bausmių. E-parduotuvės — viena rizikingiausių kategorijų. Štai pilnas 2026 checklist’as, kad išvengti problemų.
Ką GDPR reglamentuoja
- Asmens duomenų rinkimas ir tvarkymas.
- Duomenų saugojimas ir ištrynimas.
- Slapukai ir trackeriai.
- Duomenų subjekto teisės (prieiga, ištrynimas, portabilumas).
- Pažeidimų pranešimai (72 h).
- Duomenų apsaugos pareigūno (DPO) skyrimas tam tikrais atvejais.
Bausmės LT 2026 m.
- Iki 20 mln. € arba 4% metinės apyvartos (didesnė suma) — stambiems pažeidimams.
- Iki 10 mln. € arba 2% — mažesniems.
- 2025 m. vidutinė bausmė LT e-parduotuvei: 5 000–25 000 €.
Dažniausios priežastys: slapukų banner’iai neveikia, privatumo politika nesuteikia informacijos, duomenys laikomi per ilgai.
15 punktų GDPR checklist’as
1. Privatumo politika
- ☐ Skelbiama, aiškiai pasiekiama (footer).
- ☐ Nurodo: kas renkama, kodėl, kiek laiko laikoma, kam dalinasi.
- ☐ Kontaktai, jei vartotojas turi klausimų.
- ☐ Atnaujinta per paskutinius 12 mėn.
2. Slapukų banner’is
- ☐ Rodomas pirmą kartą užėjus.
- ☐ Siūlo aiškų „Atmesti” mygtuką (ne tik „Accept”).
- ☐ Granulinis pasirinkimas (būtini, analitika, marketingas).
- ☐ Naudotojo pasirinkimas išsaugomas ir gerbiamas.
- ☐ Analytics/Pixel’iai NEveikia iki sutikimo.
3. Pirkėjo duomenys
- ☐ Renkami tik būtini (vardas, adresas, telefonas, email) — nieko papildomo.
- ☐ Saugomi ne ilgiau nei teisiškai būtina (PVM sąskaitoms — 10 metų).
- ☐ Šifruojami DB lygiu (MySQL TLS + at-rest encryption).
4. Mokėjimų duomenys
- ☐ Kortelių duomenys NEsaugomi jūsų serveryje.
- ☐ Naudojate PCI-DSS compliant mokėjimų gateway (Paysera, Montonio, Stripe).
- ☐ Tokenization, ne hardcoded saugojimas.
5. Newsletter sutikimas
- ☐ Opt-in, ne opt-out. Checkbox’as NEturi būti pre-checked.
- ☐ Double opt-in (email patvirtinimas).
- ☐ Easy unsubscribe kiekvienoje newsletter’yje.
- ☐ Log’as kada, kaip vartotojas prenumeravo.
6. Duomenų subjekto teisės (DSR)
Vartotojas gali paprašyti:
- Prieigos — kokius duomenis apie jį turite.
- Pataisymo — pakeisti klaidingus.
- Ištrynimo („right to be forgotten”).
- Portabilumo — eksportuoti savo duomenis.
- Apribojimo — sustabdyti tvarkymą.
Jūs turite atsakyti per 30 d. Nemokamai.
7. Data breach procedūra
- ☐ Aptikote breach → per 72 h pranešti VDAI.
- ☐ Jei didelė rizika — pranešti ir vartotojams.
- ☐ Log’as — kas atsitiko, kada, kokie duomenys paveikti.
8. Tarptautiniai duomenys
- ☐ Serveriai ES/EEE — OK.
- ☐ Už ES ribų (JAV) — tik su Standard Contractual Clauses arba Data Privacy Framework.
- ☐ Google Analytics 4 — OK, GA3 (UA) — NOT OK (neturi DPF).
9. Duomenų tvarkytojų sutartys (DPA)
Su kiekvienu 3rd party, kuris tvarko jūsų klientų duomenis:
- Hosting (Plesk VPS provider).
- Email (Mailchimp, SendGrid).
- Analytics (Google, Plausible).
- Payments (Paysera, Stripe).
Sutartis gausite iš jų — saugokit.
10. Vaikų apsauga
- ☐ <16 m. vaikai NEsiregistruoja be tėvų sutikimo (LT — 16 m.).
- ☐ Prašykit gimimo datos (arba checkbox’o „man 16+“).
11. Atsiliepimų sekcija
- ☐ El. paštas / pavardė — ne viešai rodomi pilni (pvz. „Jonas K.”).
- ☐ IP adresai — log’inami saugumui, ne publikavimui.
12. CCTV / įrašai
- ☐ Jei turite fizinę parduotuvę su CCTV — įspėjimai lipdukai.
- ☐ Įrašai saugomi max 30 d. (jei nėra incidento).
13. Darbuotojų duomenys
- ☐ HR politika atskira nuo klientų privatumo politikos.
- ☐ Darbuotojai pasirašo duomenų tvarkymo raštą.
14. DPO (Data Protection Officer)
Privaloma, jei:
- Tvarkote „specialius kategorijų” duomenis didesnio masto (sveikatos, etninės, politinės).
- Vykdo sisteminį vartotojų monitoring’ą.
Smulki e-parduotuvė dažniausiai — nereikalinga, bet rekomenduojama paskirti atsakingą asmenį.
15. Metinis audit’as
Kartą per metus peržiūrėkit:
- Kas renkama, ar vis dar būtina?
- Kas turi prieigą?
- Ar politika atnaujinta?
- Ar slapukai vis tiek aktualūs?
Slapukų banner’iai — kurį rinktis?
| Plugin | Kaina | Ar compliance | UX |
|---|---|---|---|
| CookieYes | Nemokamas (iki 25k lank./mėn.) | ✓ | Geras |
| Complianz | 99 $/m. | ✓ (auto-scan) | Labai geras |
| Cookiebot | 11 €/mėn. | ✓ (auditas) | Geras |
| Custom solution | 500–1 500 € setup | Priklauso | Geriausias |
Rekomenduojame Complianz — automatiškai aptinka, kokie slapukai jūsų svetainėje, ir atitinkamai valdo banner’į.
Google Analytics 4 — saugu?
Taip, jei:
- Įjungtas IP Anonymization.
- Įjungtas Data Retention = 14 mėn.
- Patvirtinta DPA.
- Vartotojui suteiktas sutikimas prieš trackinant.
Alternatyva: Plausible Analytics (ES serveriuose, be slapukų) — 9 $/mėn.
Praktinis scenarijus — rizikos
Jūs turite WooCommerce parduotuvę
Būtina:
- Privatumo politika + pirkimo taisyklės viešai.
- Slapukų banner’is (Complianz).
- GA4 tik po sutikimo.
- Facebook Pixel tik po sutikimo (dažniausiai pažeidimas).
- Registruotų vartotojų „delete account” funkcija WP admin.
- SSL visur.
- DB password’as strong, MFA admin’ui.
Rizikos areas
- Mailchimp newsletter su pre-checked checkbox’u — didelė rizika.
- Facebook Pixel, kuris veikia prieš cookie consent’ą — tikra bausmė.
- „Anonimus” atsiliepimai su vardu ir pavardė viešai — pažeidimas.
DUK
Ar MB be darbuotojų turi registruoti VDAI? Ne. Registracija panaikinta. Bet jūs atsakingi už compliance — ne turit registracijos, bet VDAI gali audituoti.
Ar galiu naudoti Google Fonts? Teoriškai — taip su DPA. Praktiškai — rizikinga (2022 m. Vokietijoje bausmės už Google Fonts load’ą). Rekomenduojame self-host fonts (Google Fonts Checker → download → local).
Ar galima siųsti newsletter’ius esamiem klientams be opt-in? „Legitimate interest” — taip, ribotai (su aiškiu unsubscribe). Rekomenduojame vis tiek gauti explicit opt-in.
Kokių duomenų galiu reikalauti iš kliento check-out’e? Tik būtinų pristatymui + sąskaitai: vardas, pavardė, adresas, telefonas, el. paštas. „Gimimo data”, „šeiminė padėtis” — NE.
Reikia GDPR audit’o savo svetainei? Susisiekit → — auditas iki 1 000 €, ataskaita su konkrečiais fix’ais per 5 d.