← Atgal į tinklaraštį
BDAR / Compliance · 2026 m.

Šaltieji laiškai Lietuvoje pagal BDAR – ar tai legalu? Pilnas gidas 2026 m.

Ne, nereikia bijoti VDAI baudų – bet reikia daryti teisingai. BDAR straipsnis 6(1)(f), legitimate interest balansavimas, unsubscribe reikalavimai, ir top 7 klaidos, dėl kurių LT verslai gauna BDAR pretenzijas.

⚠️ Teisinė pastaba: Šis straipsnis yra informacinis vadovas, ne teisinė konsultacija. Konkrečiu atveju konsultuokitės su BDAR specialistu ar advokatu. MB Kriptika dirba pagal čia aprašytus BDAR principus, bet kiekvienas verslas turi savo specifiką.

Trumpas atsakymas: TAIP, bet su sąlygomis

Šaltieji laiškai B2B kontekste Lietuvoje yra legalūs pagal BDAR, jei laikomasi konkrečių sąlygų. Tai patvirtina:

  • BDAR straipsnis 6 dalies 1 punktas (f) – „legitimate interest" (teisėtas interesas) kaip pagrindas duomenų tvarkymui be sutikimo
  • BDAR konstatuojamoji dalis 47 – tiesioginė rinkodara gali būti pripažįstama teisėtu interesu
  • VDAI praktika – Lietuvos Valstybinė duomenų apsaugos inspekcija nesankcionuoja B2B šaltųjų laiškų, jei laikomasi atsisakymo procedūros

Tačiau yra kritinė riba: B2C (privatiems asmenims) šaltieji laiškai yra NELEGALŪS be išankstinio sutikimo. Apie tai vėliau.

Teisinis pagrindas: BDAR str. 6(1)(f)

Bendrasis duomenų apsaugos reglamentas (2016/679) nustato 6 pagrindus duomenų tvarkymui:

  1. Sutikimas (a)
  2. Sutarties vykdymas (b)
  3. Teisinė prievolė (c)
  4. Gyvybiniai interesai (d)
  5. Viešoji galia (e)
  6. Teisėti interesai (f) ← mums aktualu

Šaltieji laiškai B2B remiasi 6 punktu (f): „duomenų tvarkymas yra reikalingas teisėtų interesų, kurių siekia duomenų valdytojas ar trečioji šalis, įgyvendinti, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra svarbesni..."

Tai reiškia: jei jūsų komercinis interesas (rasti klientų) nenusveria recipient'o pagrindinių teisių (privatumo, dėmesio), tvarkyti duomenis galima be sutikimo. Bet šis balansavimas turi būti dokumentuotas.

Legitimate interest balansavimo testas

VDAI rekomenduoja trijų etapų testą prieš pradedant šaltųjų laiškų kampaniją:

1 etapas: Tikslo testas

Ar tikslas yra teisėtas? Pavyzdys: „Surasti B2B klientų savo paslaugoms" – TAIP, legitimus. „Asmeninių duomenų pardavimas trečiosioms šalims" – NE, ne legitimus.

2 etapas: Būtinybės testas

Ar duomenų tvarkymas yra būtinas, ar yra mažiau invazyvus būdas? Pavyzdys: jei galite naudoti tik viešus įmonės kontaktus (info@) be asmens vardo – geriau taip. Jei reikia kontakto su konkrečiu direktoriumi – galima, bet su pateisinimu.

3 etapas: Balansavimo testas

Ar jūsų interesas nenusveria recipient'o teisių? Klausimai:

  • Ar recipient'as gali pagrįstai tikėtis, kad gaus jūsų laišką? (B2B paštas info@ – taip)
  • Ar laiškas nesukels emocinės žalos? (komercinis B2B pasiūlymas – minimalu)
  • Ar yra paprastas būdas atsisakyti? (unsubscribe link – privalo būti)
  • Ar duomenys saugomi tik tiek, kiek reikia? (suppressions list – privalo)

Šis testas dokumentuojamas raštu (excel, PDF, Word) ir saugomas 5 metus. Jei VDAI atvyks tikrinti, šitas testas yra pagrindinis BDAR atitikties įrodymas.

B2B vs B2C – kritinis skirtumas

Aspektas B2B (legalu) B2C (nelegalu be sutikimo)
Recipient'as Juridinis asmuo (info@, kontaktai@) Fizinis asmuo (privatus paštas)
BDAR pagrindas 6(1)(f) legitimate interest 6(1)(a) – TIK su sutikimu
Duomenų šaltinis Vieši (Registrų centras, svetainė) Tik su sutikimu surinkti
Pavyzdys legalu info@uab-x.lt → B2B paslaugos pasiūlymas jonas.petraitis@gmail.com – tik jei pats užsiprenumeravo
Sąlyga Atsisakymas + dokumentavimas Aiškus opt-in + dokumentavimas

Pilkoji zona: direktorius@uab-x.lt – tai formaliai asmens duomuo, bet jis viešas verslo kontekste. Praktika: legalu, jei laiškas susijęs su jo verslo veikla (B2B pasiūlymas), bet ne su jo asmeniniu gyvenimu.

7 privalomi BDAR reikalavimai šaltiesiems laiškams

1. Vieši duomenų šaltiniai. Įmonių sąrašas iš Registrų centro JAR, įmonių pačių svetainių, viešųjų B2B katalogų. Nei LinkedIn scraping, nei nupirkti privačių asmenų sąrašai.

2. Veikiantis atsisakymo mechanizmas. Kiekviename laiške – arba paspaudžiama nuoroda (unsubscribe link), arba aiški atsakymo galimybė („Atrašykite STOP, ir nebepasiekiam"). Privalomas BDAR str. 21 (teisė nesutikti).

3. Suppression list. Centrinis sąrašas, kuriame saugomi visi atsisakę. Niekada negalima vėliau jiems siųsti – net jei pakeitėt kampaniją ar produktą.

4. Aiškus siuntėjas. Realus žmogus arba įmonė, ne anonimiškas „No-Reply". From: vardas, pavardė, įmonės kodas. Reply-To: realus email, į kurį atsakomas.

5. Duomenų šaltinio nurodymas. Body apačioje – frazė tipo „Jūsų email gautas iš viešo Registrų centro JAR" (BDAR str. 14 teisė žinoti). Tai padidina pasitikėjimą + apsaugo nuo BDAR pretenzijų.

6. Legitimate interest dokumentacija. Trijų etapų testas (žr. aukščiau) raštu. Saugoma 5 metus. Pavyzdinį šabloną – paklauskite info@kriptika.lt.

7. Privatumo politika svetainėje. Aiškiai aprašyta, kaip ir kokius duomenis renkate, kiek saugot, kam perduodate. Pavyzdys.

Top 7 klaidos, dėl kurių gaunamos VDAI pretenzijos

1. Sąrašai iš LinkedIn / Facebook scraping. LinkedIn ToS draudžia, plus privačių platformų duomenys nėra „vieši" BDAR prasme.

2. Nupirkti privačių asmenų email sąrašai. Nei viešas šaltinis, nei legitimate interest pagrindas neveikia. VDAI 2024 m. baudė LT įmonę už pirktą sąrašą 8 000 € bauda.

3. Nėra atsisakymo mechanizmo. Bet koks „Reply to unsubscribe" be aiškios nuorodos – nepakanka. VDAI laiko BDAR str. 21 pažeidimu.

4. „No-Reply" arba apgaulingas siuntėjas. Jei From: nėra realus email, į kurį atsakymas pasiekia siuntėją – VDAI pretenzija garantuota.

5. Po atsisakymo – siuntimas iš kito sender domeno. Suppression list veikia per visus jūsų siuntėjus. Suklydus – automatiškai 4-skaitmenė bauda.

6. Privačių el. paštų (Gmail, Outlook) targeting. Net jei rastas viešoje svetainėje (kontaktai), siunčiant „Jonas Petraitis <jonas@gmail.com>" – beveik visada B2C, nelegalu.

7. Manipuliatyvūs subject line'ai („Re:", „Fwd:", „Tavo užklausa"). Tai apgaulinga reklama, draudžiama BDAR + LR vartotojų teisių apsaugos įstatymo.

Realios VDAI baudos LT B2B kontekste

BDAR maksimali bauda – 20 mln. EUR arba 4 % pasaulinės metinės apyvartos. Bet realybėje VDAI Lietuvoje 2022–2025 metais skyrė labiau proporcingas baudas:

  • 500-2 000 € – už unsubscribe mechanizmo nebuvimą (po vienos VDAI pretenzijos)
  • 2 000-5 000 € – už nupirktų privačių asmenų sąrašų naudojimą
  • 5 000-15 000 € – už sistemingą BDAR pažeidimą + apgaulingus subject line'us
  • 50 000+ € – tik didelėms įmonėms su recidyvu (nėra LT šaltųjų laiškų atvejo iki šiol)

Statistiškai: iš ~150 VDAI patikrinimų per metus, tik ~10 susiję su šaltaisiais laiškais. Iš jų 80 % baigiasi įspėjimu, ne bauda. Sąžiningai vykdant BDAR – rizika praktiškai nulinė.

BDAR dokumentacija – ką privalu turėti

Jei VDAI ateis tikrinti, parodote šituos dokumentus:

  1. Legitimate interest balansavimo testas – Word/PDF, 1-2 puslapiai per kampaniją
  2. Privatumo politika – svetainėje, aiškiai aprašytas duomenų tvarkymas
  3. Suppression list – eksportuojamas CSV su visais atsisakiusiais + datomis
  4. Sender įmonės kodas – JAR registracija
  5. Audit trail – kiekvienam send'ui įrašoma: data, recipient, body, reply (jei buvo)
  6. DPO kontaktai – jei jūsų įmonė turi duomenų apsaugos pareigūną (privaloma, kai duomenys tvarkomi sistemingai dideliais kiekiais)

Mūsų klientų paieškos paslaugoje visi šie dokumentai paruošiami automatiškai kiekvienai kampanijai. Klientui – jokio rankinio darbo.

Norite BDAR saugios klientų paieškos jūsų verslui?

15 min nemokama konsultacija – peržvelgsime jūsų sektorių, paruošime BDAR atitikties dokumentaciją ir paleisime pirmąją kampaniją per 24-72 val.

✉ Parašyti info@kriptika.lt →

Galutinis verdiktas

Šaltieji laiškai Lietuvoje pagal BDAR yra legalūs B2B kontekste, jei:

  • Duomenys iš viešų šaltinių (Registrų centras, įmonės svetainė)
  • Veikiantis unsubscribe mechanizmas
  • Suppression list valdoma
  • Aiškus siuntėjas (ne „No-Reply")
  • Legitimate interest balansavimas dokumentuotas
  • Privatumo politika svetainėje
  • B2B kontekste, ne į privatus paštus

Šių 7 reikalavimų laikymasis suteikia realiai nulinę BDAR riziką ir leidžia legaliai auginti verslą per klientų paiešką. VDAI baudų LT B2B kontekste praktiškai nėra, kai laikomasi šių taisyklių.

Klausimai? Parašykite info@kriptika.lt arba Telegram.

📱 Klausimas? Parašyk Telegram'u →