GDPR ir AI atitiktis Lietuvoje 2026: ką privalote žinoti prieš diegiant AI
EU AI Act įsigaliojo. GDPR vis griežčiau taikomas AI sistemoms. Lietuvos verslas, diegiantis chatbotus, HR AI ar veido atpažinimą, susiduria su naujomis teisinėmis prievolėmis — bet dauguma apie jas net nežino. Šiame vadove: kas pasikeitė, kokios konkrečios rizikos ir kaip užtikrinti atitiktį neperkant brangaus teisininko kiekvienam žingsniui.
EU AI Act 2026 — kas pasikeitė
2024 m. rugpjūtį įsigaliojo pirmasis pasaulyje visapusiškas AI teisės aktas — EU AI Act. Lietuva, kaip ES narė, privalo jį taikyti. Aktas skirsto AI sistemas į keturias rizikos kategorijas — ir nuo to priklauso, kokios prievolės tenka jūsų verslui.
- ·Socialinio reitingavimo sistemos
- ·Nesąmoningas manipuliavimas
- ·Biometrinė stebėsena viešose vietose (realiu laiku)
Pasekmės: Draudžiama visoje ES. Baudos iki 35 mln. EUR.
- ·Darbuotojų atrankos AI
- ·Kredito sprendimų sistemos
- ·Medicinos diagnostika
- ·Teisėsaugos AI
Pasekmės: Leidžiama, bet reikia registro, audito, žmogaus priežiūros.
- ·Chatbotai (skaidrumo reikalavimas)
- ·Deepfake turinio žymėjimas
- ·Emocijų atpažinimas
Pasekmės: Leidžiama. Privaloma informuoti vartotojus, kad bendrauja su AI.
- ·Spam filtrai
- ·Turinio rekomendacijos
- ·Žaidimai su AI
- ·Vidiniai darbo įrankiai
Pasekmės: Praktiškai laisva naudoti. Taikomos tik bendros GDPR normos.
Svarbu: EU AI Act taikomas ne tik AI kūrėjams, bet ir naudotojams. Jei jūsų įmonė naudoja trečiųjų šalių AI sistemą didelės rizikos kategorijai, jums tenka prievolė užtikrinti žmogaus priežiūrą, vesti registrą ir galėti paaiškinti, kaip sistema priima sprendimus.
Draudžiamos sistemos turėjo būti išimtos iš rinkos iki 2025 m. vasario 2 d. Didelės rizikos sistemos — iki 2026 m. rugpjūčio 2 d. Lietuvos valstybinės inspekcijos jau rengia patikrinimų protokolus.
GDPR reikalavimai AI sistemoms
GDPR egzistavo gerokai anksčiau nei AI Act, tačiau dabar jis itin aktualus AI kontekste. Trys sritys, kur Lietuvos įmonės daro daugiausia klaidų:
Duomenų perdavimas trečiosioms šalims
Kiekvieną kartą, kai siunčiate asmens duomenis į išorinę AI platformą (OpenAI, Anthropic, Google), vyksta duomenų perdavimas trečiajai šaliai. Pagal GDPR reikia: teisinio pagrindo (sutikimas, sutartis, teisėtas interesas), duomenų tvarkymo sutarties (DPA) su tiekėju, ir — jei tiekėjas JAV ar kitoje ne-ES šalyje — papildomų apsaugos priemonių (standartinės sutarčių sąlygos, SCCs).
Sutikimai ir skaidrumas
Jei naudojate AI, kuris automatiškai analizuoja ar profiliuoja klientus, turite aiškiai informuoti apie tai privatumo politikoje. Vartotojas turi teisę žinoti, kad jo duomenis apdoroja AI, ir teisę atsisakyti automatizuoto sprendimo priėmimo (GDPR 22 str.). Tai ypač aktualu — HR sistemoms, kreditų vertinimui, draudimo rizikos skaičiavimui.
Duomenų nutekėjimo rizika
AI modeliai, apmokyti su jūsų klientų duomenimis, gali "nutekėti" informaciją — pvz., kitas vartotojas gali savo klausimais išgauti privačią informaciją, kurią įvedėte. Tai ypatinga rizika su privačiai "fine-tuintais" modeliais. GDPR reikalauja pranešti apie pažeidimus per 72 val. po jų aptikimo.
Svarbu žinoti
OpenAI turi DPA sutartį, kurią galima pasirašyti jų platformoje — tai būtina bet kuriam verslui, kuris naudoja OpenAI API su asmens duomenimis. Tačiau vien DPA neužtenka: taip pat reikia teisinio pagrindo duomenų tvarkymui ir jo atspindėjimo privatumo politikoje.
Konkrečios rizikos Lietuvos verslui
Štai keturi dažniausi AI naudojimo scenarijai Lietuvoje — ir susijusios teisinės rizikos:
Chatbotai su klientų duomenimis
Didelė rizikaJei chatbot siunčia klientų el. pašto adresus, vardus ar užklausas į OpenAI API — tai asmens duomenų perdavimas trečiajai šaliai. Reikia DPA sutarties su OpenAI ir teisinio pagrindo duomenų tvarkymui.
Sprendimas: Naudokite Azure OpenAI EU regione su DPA sutartimi arba self-hosted modelį.
Veido atpažinimas darbuotojams / klientams
Kritinė rizikaBiometriniai duomenys — ypatingos kategorijos duomenys pagal GDPR 9 str. Jų tvarkymas be aiškaus sutikimo ar kito teisinio pagrindo — rimtas pažeidimas. EU AI Act priskiria tokias sistemas prie didelės rizikos.
Sprendimas: Gauti aiškų ir informuotą rašytinį sutikimą. Atlikti DPIA. Svarstyti alternatyvias autentifikacijos priemones.
HR AI: CV atranka ir vertinimas
Didelė rizikaAutomatizuotas darbuotojų atrankos sprendimas — EU AI Act didelės rizikos kategorija. Reikia žmogaus priežiūros kiekviename sprendime, skaidrumo kandidatams ir galimybės apskųsti sprendimą.
Sprendimas: AI gali padėti, bet galutinį sprendimą turi priimti žmogus. Privaloma informuoti kandidatus apie AI naudojimą.
Duomenų analitika su klientų elgsena
Vidutinė rizikaProfiliavimas ir segmentavimas pagal klientų elgseną reikalauja skaidrumo privatumo politikoje ir sutikimo mechanizmo. "Legitimi interesai" kaip teisinis pagrindas — siauros apimties.
Sprendimas: Atnaujinti privatumo politiką. Aiškiai nurodyti profilavimo tikslus. Suteikti galimybę atsisakyti.
GDPR-suderinamos alternatyvos
Gera žinia: GDPR atitiktis nereiškia, kad negalite naudoti AI. Ji reiškia, kad turite rinktis tinkamus įrankius ir architektūrą.
Self-hosted modeliai (Ollama, LM Studio)
Atvirojo kodo modeliai (Llama 3, Mistral, Qwen) paleidžiami jūsų serveryje arba debesyje. Duomenys niekada nepalieka jūsų infrastruktūros.
Privalumai
- +100% duomenų kontrolė
- +GDPR problemų iš esmės nėra
- +Nėra API mokesčių esant dideliam srautui
Trūkumai
- −Reikia serverio (GPU arba stiprus CPU)
- −Techninės žinios diegimui
- −Modeliai šiek tiek silpnesni nei GPT-4o
Kaina: Serverio kaina: 50–500 EUR/mėn (cloud) arba vienkartinė investicija į hardware
Azure OpenAI EU duomenų centras
Microsoft Azure siūlo OpenAI modelius su garantija, kad duomenys tvarkomi ES ribose (Vakarų Europa, Šiaurės Europa). Tinka daugumui verslo atvejų.
Privalumai
- +GPT-4o kokybė su EU garantija
- +Aiški DPA sutartis su Microsoft
- +Lengva integracija
Trūkumai
- −Brangesnis nei tiesioginis OpenAI
- −Reikia Azure paskyros ir konfigūracijos
- −Kai kurios funkcijos prieinamos vėliau
Kaina: Panašus į OpenAI + 10–20% Azure maržas
Europos AI tiekėjai (Mistral, Aleph Alpha)
Prancūzų Mistral AI ir vokiečių Aleph Alpha sukurti Europoje, laikosi ES teisės aktų. Mistral modeliai — vienas geriausių atvirojo kodo variantų.
Privalumai
- +Europinis tiekėjas
- +Konkurencinga kokybė
- +GDPR sutartys standartinės
Trūkumai
- −Mistral gali būti silpnesnis už GPT-4o specifinėms užduotims
- −Mažesnė integracijų biblioteka
Kaina: Mistral API: panašus į OpenAI kainodara
Duomenų anoniminimas prieš siunčiant
Jei naudojate bet kurį išorinį AI, prieš siunčiant automatiškai pašalinkite asmens duomenis: vardus, el. paštus, telefono numerius, adresus.
Privalumai
- +Galima naudoti bet kurį AI tiekėją
- +Nedidelis papildomas kūrimo darbas
- +Žymiai sumažina riziką
Trūkumai
- −Reikia kruopštaus anonimavimo (regex + NER modeliai)
- −Kai kada praranda kontekstą
- −Nėra absoliuti apsauga
Kaina: 500–2,000 EUR papildomo kūrimo darbo
Kaip pasiruošti — DPIA ir dokumentacija
Duomenų apsaugos poveikio vertinimas (DPIA) yra GDPR 35 straipsnio reikalavimas visoms didelės rizikos duomenų tvarkymo operacijoms. AI sistemos, susijusios su biometriniais duomenimis, dideliu mastu profiliavimu ar automatizuotais sprendimais, beveik visada reikalauja DPIA.
Inventorizuokite AI sistemas
Surašykite visas AI sistemas, kurias naudoja jūsų verslas: chatbotai, el. laiškų apdorojimas, HR įrankiai, analitika. Pažymėkite, kokie asmens duomenys naudojami kiekvienoje sistemoje ir kur jie keliauja.
Identifikuokite, kurioms reikia DPIA
DPIA privaloma jei: sistemingas dideliu mastu profiliavimas, biometriniai ar sveikatos duomenys, automatizuoti sprendimai su reikšmingu poveikiu asmenims. Jei abejojate — atlikite DPIA preemptively.
Atlikite DPIA vertinimą
DPIA apima: sistemos aprašymą ir tikslus, būtinumo ir proporcingumo vertinimą, rizikų identifikavimą (konfidencialumas, integralumas, prieinamumas), sušvelninimo priemones. VDAI turi DPIA šabloną, kurį galima naudoti.
Pasirašykite DPA su AI tiekėjais
Su kiekvienu AI tiekėju, kuriam perduodate asmens duomenis, pasirašykite duomenų tvarkymo sutartį (DPA). OpenAI, Anthropic, Google, Microsoft — visi turi standartines DPA formas savo platformose.
Atnaujinkite privatumo politiką
Privatumo politikoje nurodykite: kad naudojate AI sistemas, kokiam tikslui, kokie duomenys tvarkomi, kokiems tiekėjams perduodama, ir kaip vartotojas gali pasinaudoti savo teisėmis (prieiga, ištaisymas, ištrynimas, atsisakymas).
Apmokymas ir procesai
Darbuotojai turi žinoti, ko negalima daryti: kopijuoti klientų asmens duomenų į ChatGPT, siųsti konfidencialius dokumentus į viešas AI platformas, naudoti AI sprendimų be žmogaus peržiūros didelės rizikos atvejais.
Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI) teikia nemokamas konsultacijas ir turi DPIA šablonus savo svetainėje vdai.lrv.lt. Sudėtingesniais atvejais rekomenduojame kreiptis į sertifikuotą duomenų apsaugos specialistą.
Kainos ir atitikties diegimas
Atitikties kainos Lietuvoje 2026 m. priklauso nuo sistemos sudėtingumo ir to, kiek jau padaryta. Orientaciniai diapazonai:
DPIA konsultacija
500–1,500 EURVienkartinė DPA specialisto konsultacija: AI sistemų inventorizacija, DPIA atlikimas vienai-dviem sistemoms, DPA sutarčių peržiūra, privatumo politikos atnaujinimas. Tinka daugumai SMB, naudojančių standartinius AI įrankius.
DPO paslaugos (išorinis)
200–600 EUR/mėnIšorinis duomenų apsaugos pareigūnas (DPO-as-a-service). Apima nuolatinę atitikties priežiūrą, naujų sistemų vertinimą, darbuotojų mokymus ir pažeidimų procedūras. Rekomenduojama kai AI naudojamas dideliam asmens duomenų kiekiui tvarkyti.
Techninė atitiktis (self-hosted ar EU cloud)
1,500–5,000 EURPerėjimas puo viešo AI API į GDPR-suderinamos architektūros: self-hosted modelių diegimas, Azure OpenAI konfigūracija, duomenų anoniminimo sluoksnio kūrimas. Vienkartinė investicija + mažesnė mėnesinė priežiūra.
Pilnas atitikties auditas ir diegimas
3,000–8,000 EURVisapusiškas projektas: auditas, DPIA visoms sistemoms, DPA sutartys, techniniai pakeitimai, darbuotojų mokymai, dokumentacija ir politikos. Tinka įmonėms, kurios pirmą kartą sistematiškai sprendžia atitikties klausimą.
Praktinis pavyzdys
E-komercija — chatbot su klientų duomenimis
Situacija: Klientų aptarnavimo chatbot, siunčiantis klientų el. paštus ir vardus į OpenAI API
Rizika: GDPR pažeidimas — asmens duomenys perduodami į JAV be tinkamo teisinio pagrindo
Sprendimas: DPA sutartis su OpenAI + privatumo politikos atnaujinimas + duomenų minimazavimas (siųsti tik būtinus duomenis)
Kaina: 700 EUR (teisinė konsultacija + dokumentų atnaujinimas)
Rezultatas: Chatbot veikia toliau, GDPR atitiktis užtikrinta, įmonė apsaugota nuo baudų
Dažniausios klaidos (ir kaip jų išvengti)
Štai klaidos, kurias Lietuvos verslas kartoja dažniausiai diegiant AI sistemas:
Klientų duomenų kopijavimas į ChatGPT
ChatGPT yra vieša platforma — jei neturite Enterprise plano su DPA sutartimi, jūsų įvesti duomenys gali būti naudojami modelio mokymui.
Kaip išvengti: Naudokite ChatGPT Enterprise arba OpenAI API su DPA. Arba anonimininkite duomenis prieš siunčiant.
HR AI be žmogaus priežiūros
GDPR 22 str. draudžia visiškai automatizuotus sprendimus, turinčius reikšmingą poveikį asmeniui — įdarbinimas, atleidimas, atlyginimo nustatymas.
Kaip išvengti: AI gali rekomenduoti, bet galutinį sprendimą turi priimti žmogus ir tai turi būti dokumentuota.
Privatumo politika neatnaujinta
Jei naudojate AI su klientų duomenimis, bet tai nenurodyta privatumo politikoje — tai GDPR pažeidimas, net jei kiti aspektai tvarkingi.
Kaip išvengti: Atnaujinkite privatumo politiką: nurodykite, kokie AI įrankiai naudojami, kokiam tikslui ir kaip galima atsisakyti.
Vieno tiekėjo DPA pasirašymas ir manoma, kad viskas gerai
DPA su OpenAI nereiškia, kad viskas atitinka GDPR. Dar reikia teisinio pagrindo, skaidrumo vartotojams ir galimybės pasinaudoti duomenų subjekto teisėmis.
Kaip išvengti: GDPR atitiktis — tai ne dokumentų rinkinys, o procesas. Reikia teisinės, techninės ir organizacinės dalies.
Ignoruojamas EU AI Act, nes "galioja tik kūrėjams"
Klaidingas įsitikinimas. Didelės rizikos AI sistemų naudotojai — net jei sistema sukurta kitur — privalo užtikrinti žmogaus priežiūrą, vesti registrą ir laikytis naudojimo apribojimų.
Kaip išvengti: Patikrinkite savo naudojamų AI sistemų klasifikaciją pagal EU AI Act. Didelės rizikos sistemoms — dokumentuokite priežiūros procesus.
Susijusios temos
→ AI valdymas ir atitiktis — sprendimų katalogas→ Kiek kainuoja AI projektas Lietuvoje 2026? Tikros kainos→ Verslo procesų automatizavimas su AIDažniausiai užduodami klausimai
Ar ChatGPT naudojimas versle pažeidžia GDPR?
Tai priklauso nuo to, kokius duomenis siunčiate. Jei kopijuojate klientų vardus, el. pašto adresus ar kitus asmens duomenis į ChatGPT be Enterprise DPA sutarties — tai gali pažeisti GDPR. Saugi alternatyva: naudoti OpenAI API su DPA sutartimi, Azure OpenAI EU regione arba anonimininti duomenis prieš siunčiant.
Ar reikia DPO (duomenų apsaugos pareigūno) jei naudoju AI?
DPO privalomas pagal GDPR jei sistemingai stebite asmenis dideliu mastu, tvarkote ypatingų kategorijų duomenis arba esate valstybinė institucija. Daugumai Lietuvos SMB, naudojančių AI tik vidiniam darbui, DPO nėra privalomas — tačiau bent vienkartinė konsultacija su duomenų apsaugos specialistu yra protinga investicija.
Kaip patikrinti ar AI tiekėjas GDPR-suderinamas?
Patikrinkite: ar siūloma DPA sutartis? Kur fiziškai laikomi duomenys (EU ar ne)? Ar galima pasirinkti EU duomenų centrą? Ar yra ISO 27001 / SOC 2 sertifikatas? Ar galima ištrinti duomenis pagal pareikalavimą? Europiečių tiekėjai (Mistral, Aleph Alpha) ir Azure/AWS EU regionai paprastai atitinka reikalavimus.
Kokios baudos gresia už GDPR pažeidimus su AI?
GDPR numato iki 20 mln. EUR arba 4% metinės apyvartos baudas už sunkius pažeidimus. EU AI Act papildomai — iki 35 mln. EUR už draudžiamų AI sistemų naudojimą. Lietuvos VDAI jau skyrė baudas Lietuvos įmonėms. Praktikoje SMB baudos dažniausiai siekia 10,000–100,000 EUR, tačiau reputacijos žala gali būti didesnė.