НачалоПубликацииGDPR съответствие за български компании

GDPR съответствие за български компании — практическо ръководство (2026)

Общият регламент относно защитата на данните (GDPR) е в сила от 25 май 2018 г. и е директно приложим във всички държави — членки на Европейския съюз, включително България. Въпреки това много български дружества все още не са постигнали пълно съответствие. В настоящото ръководство ще Ви запознаем с правната рамка, задълженията и практическите стъпки за привеждане на Вашата организация в съответствие с изискванията за защита на личните данни.

Правна рамка за защита на личните данни в България

Защитата на личните данни в България се основава на няколко взаимосвързани нормативни акта, които образуват цялостна регулаторна система:

  • Регламент (ЕС) 2016/679 (GDPR) — директно приложим от 25 май 2018 г., без необходимост от транспониране. Регламентът установява единни правила за обработване на лични данни в целия ЕС и е със задължителен характер за всички администратори и обработващи лични данни, които оперират на територията на Съюза или обработват данни на субекти от ЕС.
  • Закон за защита на личните данни (ЗЗЛД) — изменен и допълнен през 2019 г. за привеждане в съответствие с GDPR. ЗЗЛД урежда специфичните национални аспекти, включително допълнителни основания за обработване, възрастова граница за съгласие на деца (14 години в България), обработване за журналистически цели и санкции по националното право.
  • Закон за електронните съобщения — транспонира Директива 2002/58/ЕО (ePrivacy) и регулира конфиденциалността на електронните комуникации, включително правилата за бисквитки (cookies), директен маркетинг по електронна поща и уведомяване при нарушения на сигурността на данните в телекомуникационния сектор.

Тази тристранна регулаторна рамка означава, че българските дружества трябва да съобразяват дейността си не само с GDPR, но и с националните разпоредби, които го допълват.

Комисия за защита на личните данни (КЗЛД)

Комисията за защита на личните данни (КЗЛД) е независимият национален надзорен орган по смисъла на чл. 51 от GDPR. КЗЛД е създадена през 2002 г. и разполага с широки правомощия за осигуряване на спазването на регламента и националното законодателство:

  • Разглеждане на жалби — КЗЛД приема и разглежда жалби от физически лица (субекти на данни), които считат, че правата им по GDPR са нарушени. Комисията се произнася с решение в разумен срок.
  • Провеждане на проверки — органът има право да извършва планови и инцидентни проверки на администратори и обработващи лични данни, включително достъп до помещения и документация.
  • Налагане на санкции — при установени нарушения КЗЛД може да налага коригиращи мерки и административни наказания, включително глоби по GDPR и по националното законодателство.
  • Консултативна дейност — Комисията предоставя становища и насоки по въпросите на защитата на данните, включително предварителни консултации по чл. 36 от GDPR.

Следва да се отбележи, че КЗЛД се е сблъсквала с институционални предизвикателства — включително периоди с изтекли мандати на членовете си. Независимо от това, органът продължава да функционира и да упражнява надзорните си правомощия.

Длъжностно лице по защита на данните (DPO)

Регламентът GDPR въвежда задължението за определяне на длъжностно лице по защита на данните (Data Protection Officer — DPO) в определени хипотези. Не всяка организация е длъжна да назначи DPO, но задължението възниква в следните случаи:

  • Публични органи и структури — всички държавни и общински органи, които обработват лични данни (с изключение на съдилищата при упражняване на съдебните им функции), са длъжни да определят DPO.
  • Масов мониторинг — когато основните дейности на администратора или обработващия се състоят в операции по обработване, които по своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни (например видеонаблюдение на обществени места, онлайн проследяване на поведението).
  • Специални категории данни — когато основните дейности се състоят в мащабно обработване на специални категории данни по чл. 9 от GDPR (здравни данни, биометрични данни, данни за расов или етнически произход и др.) или на лични данни, свързани с присъди и нарушения по чл. 10.

Вътрешен или външен DPO

GDPR предоставя гъвкавост по отношение на статута на DPO. Длъжностното лице може да бъде:

  • Вътрешен служител — член на персонала на организацията, който съвместява тази роля с други задължения, при условие че не възниква конфликт на интереси (например DPO не може да бъде и управител или ръководител на IT отдела).
  • Външен изпълнител — функцията може да бъде възложена на външно лице или организация по силата на договор за услуги. Това е особено подходящо за малки и средни предприятия.
  • Юридическо лице — функцията на DPO може да бъде изпълнявана и от юридическо лице (адвокатска кантора, консултантска компания), при условие че е определено конкретно физическо лице за контакт.

Дори когато назначаването на DPO не е задължително, много организации избират доброволно да определят такова лице като израз на добра практика и за улесняване на комуникацията с надзорния орган.

Оценка на въздействието върху защитата на данните (DPIA)

Оценката на въздействието върху защитата на данните (Data Protection Impact Assessment — DPIA) е задължителен инструмент по чл. 35 от GDPR, който се прилага, когато определен вид обработване може да породи висок риск за правата и свободите на физическите лица.

Кога е задължителна DPIA?

DPIA е задължителна в следните случаи:

  • Систематична и обширна оценка на лични аспекти на физически лица, основана на автоматизирано обработване, включително профилиране, въз основа на която се вземат решения с правни последици за субектите.
  • Мащабно обработване на специални категории данни по чл. 9 или на данни, свързани с присъди и нарушения по чл. 10.
  • Систематично мащабно наблюдение на публично достъпна зона.

На основание чл. 35, параграф 4 от GDPR, КЗЛД е публикувала списък на видовете операции по обработване, за които се изисква извършване на DPIA. Този списък включва допълнителни хипотези, специфични за българския контекст, и е задължителен за всички администратори, действащи на територията на страната.

DPIA се извършва преди започването на обработването и трябва да включва: систематично описание на операциите и целите, оценка на необходимостта и пропорционалността, оценка на рисковете за правата и свободите и мерките за справяне с тези рискове. При висок остатъчен риск администраторът е длъжен да се консултира с КЗЛД преди обработването (предварителна консултация по чл. 36).

Уведомяване при нарушения на сигурността на данните

Нарушенията на сигурността на личните данни (data breaches) подлежат на строг режим на уведомяване, който е сред най-значимите нововъведения на GDPR:

Уведомяване на надзорния орган (КЗЛД)

  • Администраторът е длъжен да уведоми КЗЛД за нарушение на сигурността без ненужно забавяне и не по-късно от 72 часа след узнаването, освен ако нарушението не поражда риск за правата и свободите на физическите лица.
  • За доставчици на електронни съобщителни услуги (телекоми) се прилага по-кратък срок от 24 часа по Закона за електронните съобщения.
  • При уведомяването се описват естеството на нарушението, засегнатите категории и приблизителният брой субекти, вероятните последици и предприетите мерки.

Уведомяване на субектите на данни

Когато нарушението може да породи висок риск за правата и свободите на физическите лица, администраторът е длъжен да уведоми и самите субекти на данни без ненужно забавяне. Уведомлението трябва да бъде на ясен и разбираем език и да съдържа препоръки за намаляване на потенциалните неблагоприятни последици.

Независимо от задължението за уведомяване, всяко нарушение на сигурността (включително такива, за които не е необходимо уведомление) трябва да бъде документирано във вътрешен регистър.

Глоби и санкции

Санкционният режим при нарушения на правилата за защита на личните данни е многопластов и включва както глоби по GDPR, така и санкции по националното законодателство:

Глоби по GDPR

Ниво Максимален размер Типични нарушения
Долно ниво EUR 10 000 000 или 2 % от годишния оборот Нарушения на задълженията на администратора/обработващия, DPO, сертифициране
Горно ниво EUR 20 000 000 или 4 % от годишния оборот Нарушения на принципите, основанията за обработване, правата на субектите, трансфери

Глоби по ЗЗЛД

Законът за защита на личните данни предвижда допълнителни санкции за специфични нарушения, включително глоби до BGN 5 000 за физически лица при определени нарушения на националните разпоредби.

Практика в България

Забележителен случай е глобата на Националната агенция за приходите (НАП) в размер на BGN 5 100 000 (приблизително EUR 2 550 000), наложена от КЗЛД след мащабно нарушение на сигурността през 2019 г., засегнало данните на над 5 милиона граждани. Това остава една от най-значимите санкции в региона.

В по-типичните случаи обаче глобите са значително по-ниски. Средностатистическите санкции за български компании обикновено варират между BGN 1 000 и BGN 10 000. Според данните за 2023 г. КЗЛД е наложила 37 наказания и е сключила 12 споразумения за общата сума от BGN 90 900.

Следва да се има предвид, че размерът на глобите в България тенденциозно расте с всяка изминала година и че КЗЛД все по-активно прилага надзорните си правомощия.

9 практически стъпки към GDPR съответствие

За постигане на пълно съответствие с GDPR и националното законодателство, препоръчваме следната методология:

  1. Определете длъжностно лице по защита на данните (DPO)

    Преценете дали Вашата организация попада в хипотезите за задължително назначаване на DPO. Дори при липса на задължение, помислете за доброволно определяне на вътрешен или външен DPO, който да координира процесите по защита на данните.

  2. Извършете mapping на личните данни

    Съставете пълен регистър на дейностите по обработване (чл. 30 от GDPR). Идентифицирайте какви лични данни обработвате, от кого ги събирате, за какви цели, на какво основание, с кого ги споделяте и какви са сроковете за съхранение.

  3. Актуализирайте уведомленията за поверителност (privacy notices)

    Уверете се, че политиките за поверителност на Вашия уебсайт, мобилни приложения и вътрешни процеси отговарят на изискванията на чл. 13 и чл. 14 от GDPR — включително информация за правата на субектите, основанието за обработване и сроковете за съхранение.

  4. Извършете оценка на въздействието (DPIA)

    Идентифицирайте операциите по обработване с висок риск и извършете DPIA за тях. Консултирайте списъка на КЗЛД по чл. 35(4) за специфичните български изисквания.

  5. Внедрете технически и организационни мерки за сигурност

    Приложете подходящи мерки за защита на личните данни: криптиране, псевдонимизация, контрол на достъпа, резервно копиране, редовни тестове на сигурността. Мерките трябва да отговарят на принципа за защита на данните по подразбиране и на етапа на проектирането (чл. 25).

  6. Разработете процедура за реагиране при нарушения (breach procedure)

    Създайте ясна вътрешна процедура за идентифициране, документиране и уведомяване при нарушения на сигурността на данните. Определете отговорните лица, каналите за комуникация и сроковете (72 часа за КЗЛД, 24 часа за телекоми).

  7. Сключете споразумения с обработващите лични данни (DPA)

    Ако използвате услугите на трети лица за обработване на данни (облачни услуги, счетоводни къщи, маркетинг агенции), сключете писмени споразумения за обработка на данни (Data Processing Agreements) по чл. 28 от GDPR. Тези споразумения трябва да съдържат задължителните клаузи относно предмета, продължителността, естеството и целта на обработването.

  8. Проведете обучение на персонала

    Организирайте редовни обучения за служителите Ви относно правилата за защита на данните, вътрешните политики и процедурите за реагиране при инциденти. Документирайте проведените обучения.

  9. Поддържайте регистри и документация

    Водете регистър на дейностите по обработване (чл. 30), регистър на нарушенията на сигурността, извършените DPIA и документирайте всички решения, свързани с обработването на лични данни. Тази документация е ключова при проверки от КЗЛД.

Често задавани въпроси

Задължително ли е назначаването на DPO за малки фирми?
Не непременно. Задължението за назначаване на DPO зависи от вида на обработваните данни и мащаба на дейността, а не от размера на дружеството. Ако основната Ви дейност не включва мащабно систематично наблюдение на субекти или мащабно обработване на специални категории данни и не сте публичен орган, DPO не е задължителен. Въпреки това, доброволното назначаване е препоръчителна практика.
Какъв е срокът за уведомяване на КЗЛД при нарушение на сигурността?
Общият срок по GDPR е 72 часа от момента на узнаване за нарушението. За доставчици на електронни съобщителни услуги срокът е 24 часа по Закона за електронните съобщения. Ако уведомлението не може да бъде изпратено в рамките на 72 часа, то трябва да бъде придружено от мотивите за забавянето. Важно е да разполагате с предварително разработена процедура, за да можете да реагирате навреме.
Какви са реалните глоби в България за нарушения на GDPR?
Макар GDPR да предвижда глоби до EUR 20 000 000 или 4 % от годишния оборот, в българската практика санкциите са значително по-ниски за повечето компании — обикновено между BGN 1 000 и BGN 10 000. Изключение е глобата на НАП от BGN 5 100 000. Тенденцията обаче е към нарастване на размера на санкциите и засилване на надзорната дейност на КЗЛД.

Нуждаете се от съдействие?

Екипът на Innovires може да Ви помогне с пълен одит на GDPR съответствието, изготвяне на необходимата документация, назначаване на външно DPO и обучение на персонала Ви.