НачалоПубликацииDigital Omnibus и GDPR — становище 2/2026 на EDPB и EDPS

Digital Omnibus и GDPR — Съвместното становище 2/2026 на EDPB и EDPS: какво ще се промени и какво (вероятно) няма да се промени

Публикувано: 30 април 2026 г. | Последна актуализация: 30 април 2026 г.

На 19 ноември 2025 г. Европейската комисия предложи Digital Omnibus — обширна реформа за опростяване на цифровата нормативна рамка на ЕС, която засяга GDPR, директивата ePrivacy, Data Act, Data Governance Act, NIS2 и редица други инструменти. На 10 февруари 2026 г. Европейският комитет по защита на данните (EDPB) и Европейският надзорен орган по защита на данните (EDPS) приеха Съвместно становище 2/2026 — обстоен анализ на предложените изменения. Посланието е условна подкрепа: от една страна органите приветстват редица мерки за опростяване, но от друга изразяват сериозни резерви и в някои случаи твърдо се противопоставят на ключови предложения. Тази статия е тематичен анализ на 9-те най-важни изменения на GDPR, на позициите на EDPB и EDPS, както и на практическите последици за българските администратори и обработващи лични данни.

Накратко: Digital Omnibus е хоризонтална реформа на ЕС за опростяване на цифровата уредба — засяга GDPR, ePrivacy, Data Act, NIS2 и др. Съвместното становище 2/2026 на EDPB и EDPS оценява 9 ключови изменения на GDPR. Подкрепа за: уведомяване при нарушения на сигурността (праг повишен до „висок риск“, срок удължен от 72 на 96 ч.); хармонизирани шаблони за DPIA; биометрично удостоверяване под изключителен контрол на субекта; целта за намаляване на cookie banner-ите. Категорично против: предложеното контекстуално определение на „лични данни“ (което би стеснило обхвата на GDPR); смекчаване на забраната за автоматизирано вземане на решения. Смесено: ограничения на правата по DSAR (само при доказана злоупотреба); опростяване на информационните задължения; легитимен интерес за обучение на AI. За българските администратори: предстоят съществени промени в режима на нарушенията на сигурността, шаблоните за DPIA и cookie уведомленията. Innovires Legal и специализираният ни сайт GDPRBG.com предлагат пълно правно съдействие при прилагането на бъдещите изменения.

Какво е Digital Omnibus и защо е важен

Digital Omnibus е хоризонтален пакет за изменения, представен от Европейската комисия на 19 ноември 2025 г. Целта му е да опрости и хармонизира съществуващата цифрова нормативна рамка на ЕС, която според Комисията е станала прекомерно сложна и понякога противоречива. Пакетът засяга едновременно следните инструменти:

  • Регламент (ЕС) 2016/679 — Общ регламент относно защитата на данните (GDPR);
  • Регламент (ЕС) 2018/1725 — защита на данните в институциите на ЕС (EUDPR);
  • Директива 2002/58/EО — ePrivacy (за cookie банери, електронни съобщения);
  • Регламент (ЕС) 2023/2854 — Data Act (Закон за данните);
  • Регламент (ЕС) 2022/868 — Data Governance Act;
  • Директива (ЕС) 2022/2555 — NIS2 (киберсигурност);
  • Регламент (ЕС) 2018/1724 — Single Digital Gateway;
  • и редица други актове в цифровото право на ЕС.

Защо е важно за българския бизнес

За българските администратори и обработващи лични данни Digital Omnibus има значение по три основни причини. Първо — голяма част от предложенията биха опростили съществуващите задължения (например сроковете за уведомление при нарушение на сигурността и единните шаблони за оценка на въздействието). Второ — някои предложения биха намалили защитата на субектите на данни, което създава сложен баланс при разработването на корпоративни политики. Трето — всички промени, които бъдат приети, ще се прилагат пряко в България без необходимост от транспониране и ще обвържат КЗЛД като надзорен орган.

За допълнително въвеждане в материята, виж нашето общо ръководство за GDPR съответствие и специализираните анализи в GDPRBG.com.

Съвместното становище 2/2026 — обзор на позициите

На 10 февруари 2026 г. EDPB и EDPS приеха Съвместно становище 2/2026. Документът извършва тематичен преглед на всички предложени изменения на GDPR и директивата ePrivacy. Общото послание може да се обобщи в три категории:

  • Категорично против — промени, които органите оценяват като несъвместими с фундаменталното право на защита на данните;
  • Смесена позиция — концептуална подкрепа, но необходимост от значителни редакции в текста;
  • Подкрепа — промени, които органите приветстват като реално опростяване, без ущърб за защитата.

В следващите раздели разглеждаме 9-те ключови изменения на GDPR, групирани по тематика, заедно със становището на EDPB и EDPS и с оценка на практическите последици за българските администратори.

Какво следва процедурно: Съвместното становище има консултативен характер — то не е обвързващо за европейските законодатели. Текстът на Digital Omnibus се обсъжда в Съвета на ЕС и в Европейския парламент по обикновена законодателна процедура. Реалистичен срок за окончателно приемане — края на 2026 г. или първата половина на 2027 г. Влизането в сила на измененията на GDPR ще зависи от приетия преходен период (типично 12–24 месеца).

Тема 1: Определение на „лични данни“ — червената линия

Предложението на Комисията

Комисията предлага контекстуално (entity-relative) определение: дадена информация да се счита за „лични данни“ само спрямо конкретен администратор, който може разумно да идентифицира субекта. Идеята е да се улесни обменът на данни и практиките по псевдонимизация — ако администратор А разполага с псевдонимизиран набор от данни, който той самият не може да преобразува в идентифицируема форма, наборът няма да представлява „лични данни“ за него.

Позицията на EDPB и EDPS

Категорично против
Тук EDPB и EDPS изразяват най-категоричното си възражение. Предложеното определение не е техническо уточнение, нито кодификация на практиката на Съда на ЕС — то стеснява обхвата на понятието „лични данни“ по начин, който надхвърля целта за опростяване. Съществен риск: администраторите биха могли да структурират дейностите си така, че да попадат извън приложното поле на GDPR (например чрез възлагане на определени дейности на трети лица), докато данните на субектите остават незащитени. EDPB и EDPS настоятелно призовават съзаконодателите да не приемат предложените изменения.

Какво означава за българските администратори

Ако предложението бъде прието въпреки опозицията на EDPB и EDPS, това би създало два паралелни режима в България: регистри на лични данни, които биха попаднали извън обхвата на GDPR (за конкретния администратор), и такива, които остават под защита. Възможни последици: разширяване на споделянето на данни между администратори, повече псевдонимизация, но и потенциални пропуски в защитата.

Прогноза на Innovires Legal: предложението вероятно ще бъде сериозно изменено в законодателния процес, под натиска на EDPB и EDPS и на Европейския парламент. Окончателният текст най-вероятно ще запази текущата дефиниция със само ограничени уточнения.

Тема 2: Чувствителни данни — биометрична изключение и AI

Предложението на Комисията

Към чл. 9 GDPR се добавят две нови изключения за обработване на специални категории данни:

  • Биометрични данни за удостоверяване на самоличност — разрешено е, когато както биометричните данни, така и средствата за удостоверяване са под изключителен контрол на субекта (например удостоверяване само на устройството на потребителя);
  • AI обучение, при което случайно попадат чувствителни данни — разработчиците на AI могат да обработват чувствителни данни, които случайно са попаднали в обучителните набори, при наличие на „надеждни мерки за намаляване на риска“.

Позицията на EDPB и EDPS

Биометрична: ПОДКРЕПА
Изключението за биометрично удостоверяване под изключителен контрол на субекта е приветствано. То кодифицира съществуваща добра практика за удостоверяване на самото устройство (като Face ID и Touch ID), без да отслабва защитата.
AI: НУЖНИ ПОДОБРЕНИЯ
EDPB и EDPS признават, че при обучението на AI системи понякога е невъзможно да се избегне случайното попадане на чувствителни данни в обучителните набори. Те препоръчват обаче в нормативния текст да се добави уточнението „случайно и остатъчно“, да се изясни обхватът на изключението и да се осигурят гаранции през целия жизнен цикъл на AI системата.

За българските администратори

Биометричното изключение е добра новина за финтех и онлайн услугите, които ползват удостоверяване само на устройството на потребителя. Изключението за AI обаче изисква внимателен анализ — всяко позоваване на него ще трябва да е придружено от документация, че обработването е със „случаен и остатъчен“ характер. Виж и нашата статия за лични данни и AI.

Тема 3: Заявки за достъп (DSAR) — стесняване при злоупотреба

Предложението на Комисията

Към съществуващото правило (чл. 12, параграф 5 GDPR) за отказ или такса при явно неоснователни или прекомерни заявки, се добавя нова възможност: администраторът да отказва или таксува заявки, които се използват или злоупотребяват за цели извън защитата на данните (например при съдебен спор, дисциплинарно производство, конкуренция). Тежестта на доказване остава върху администратора.

Позицията на EDPB и EDPS

Смесено
Изясняването на „злоупотреба с права“ е приветствано, но не трябва да бъде обвързвано с упражняване на правото за цели извън защитата на данните — GDPR защитава и други основни права. Освен това Съдът на ЕС вече е потвърдил, че субектите могат да упражняват правото на достъп, без да обосновават мотивите си. EDPB и EDPS препоръчват „злоупотребата“ да се свърже с наличието на злонамерено поведение (например явно намерение за нанасяне на вреда на администратора). Прагът съзнателно е висок: не е достатъчно заявката да е неудобна, широко формулирана или мотивирана от стратегия за съдебен спор — трябва да има доказуемо намерение за вреда.

За българските администратори

Българските администратори, особено в HR/трудови спорове и потребителски жалби, получават широко поле за тълкуване. Препоръчителна тактика: при подозрение за злоупотреба — преди да откажете заявката, да поискате уточняване от субекта (което GDPR вече позволява), да документирате обстоятелствата и едва тогава да решавате за отказ. Виж GDPRBG.com за специализирани шаблони за управление на DSAR.

Тема 4: Прозрачност — опростяване на информационните задължения

Предложението на Комисията

Информационните задължения по чл. 13–14 GDPR могат да отпадат при три кумулативни условия:

  1. Отношението администратор – субект е пряко и ясно;
  2. Обработването не е интензивно с данни;
  3. Разумно е да се предположи, че субектът вече е информиран.

Изключения остават: трансфери към трети държави, последващо разкриване, автоматизирано вземане на решения и обработвания с висок риск.

Позицията на EDPB и EDPS

Подкрепа в принцип
Намаляването на информационните задължения, особено за малки и средни предприятия, е цел, която органите подкрепят принципно. Текущата редакция обаче е прекалено неясна, за да осигури предвидимо приложение, и създава риск от интерпретативна фрагментация в различните държави членки. Необходими са по-конкретни критерии за „интензивност на обработването“ и за „разумно предположение“.

Тема 5: Автоматизирано вземане на решения — не отслабвайте принципа

Предложението на Комисията

Текущата редакция на чл. 22 GDPR забранява автоматизираното вземане на решения с правни последици, освен ако е строго необходимо за изпълнение на договор. Комисията предлага уточнение, че решение може да е автоматизирано, ако е необходимо за изпълнение на договор, дори ако теоретично човек би могъл да вземе същото решение. Това разширява практическото поле за алгоритмична оценка на клиенти при привличане на нови клиенти, кредитен анализ и автоматизирани одобрения.

Позицията на EDPB и EDPS

Запазете принципа
Предложението рискува да превърне принципната забрана в разрешение по подразбиране — винаги когато има договор. EDPB и EDPS препоръчват да се запази забраната като принцип, с ясно дефинирани изключения, и изрично да се потвърди, че субектите запазват правото си сами да се позовават на чл. 22 GDPR.

За българските администратори

Финансовите институции, телекомите и големите онлайн платформи в България са най-засегнати. При имплементиране на автоматизирани решения остава задължително: оценка на въздействието (DPIA), право на човешка намеса, информиране на субекта, документиране на логиката.

Тема 6: Уведомления за нарушение на сигурността — широка подкрепа

Предложението на Комисията

  • Прагът за уведомяване на надзорния орган се повишава: само нарушения с висок риск за субектите задействат задължението (вместо „всякакъв риск“ в момента) — с което прагът се изравнява със съществуващия за уведомяване на самите субекти;
  • Срокът се удължава от 72 на 96 часа;
  • Уведомленията се канализират през единна точка за контакт на ниво ЕС;
  • Въвеждат се хармонизирани шаблони — съгласувани с NIS2 и DORA.

Позицията на EDPB и EDPS

Силна подкрепа
Това е една от областите, в които органите изразяват най-силна подкрепа. EDPB и EDPS приветстват както повишаването на прага, така и удължаването на срока. Те обаче настояват, че EDPB трябва да бъде изцяло натоварен с подготовката и одобряването на шаблоните, без правомощия на Комисията да ги модифицира едностранно при приемане.

За българските администратори

Това е една от най-практичните промени за българския бизнес. Понастоящем 72-часовият срок е значителна оперативна тежест, особено при инциденти през почивни дни или празници. 96 часа дават по-реалистичен прозорец за установяване на фактите, оценка на риска и подготовка на качествено уведомление до КЗЛД. По-високият праг ще намали и обема на „превантивни“ уведомления при инциденти с нисък риск.

Внимание: Съществуващото задължение за вътрешно регистриране на всички нарушения (независимо от риска) се запазва. Промяната засяга само външното уведомяване към КЗЛД и към субектите.

Тема 7: Оценка на въздействието (DPIA) — хармонизация на ЕС ниво

Предложението на Комисията

Сегашната пъстрота от национални списъци на видовете обработване, изискващи DPIA, се заменя с единна европейска рамка. Списъкът ще се изготвя от EDPB и ще се приема от Комисията чрез акт за изпълнение.

Позицията на EDPB и EDPS

Подкрепа с резерви
Хармонизацията е приветствана. Главната резерва е управленска: предложението дава на Комисията право да модифицира едностранно списъците, подготвени от EDPB. Това се счита за неподходящо. EDPB и EDPS препоръчват изключителна отговорност на EDPB както за подготовката, така и за одобряването на списъците, шаблоните и методологията.

За българските администратори

Понастоящем КЗЛД поддържа собствен национален списък на видовете обработване, изискващи DPIA. Този списък ще бъде заменен с европейския. Положителен ефект: международните групи ще имат един и същ списък в цялата ЕС — край на анализа „дали в Германия / Полша / България изисква DPIA“. Виж и нашата статия за анонимизация и псевдонимизация.

Тема 8: Cookie правила и ePrivacy — край на „умората от съгласие“?

Предложението на Комисията

  • Правилата за cookie и крайно устройство се прехвърлят от директивата ePrivacy директно в GDPR;
  • Нови изключения от съгласие за „нискорискови“ цели;
  • Стандарти за машинно четими сигнали, изразяващи избора на субекта (например автоматичен „Do Not Track“ на ниво браузър);
  • Цел: намаляване на cookie banner-ите и борба с „умората от съгласие“.

Позицията на EDPB и EDPS

Подкрепа на целта, структурно възражение
Целта — намаляване на броя cookie banner-и — е силно приветствана. Структурна резерва: разделянето на правилата за крайното устройство в два правни инструмента (в зависимост от това дали данните са лични или не) рискува да създаде нова правна несигурност. Конкретно предложение: изрично изключение от съгласие за контекстуална реклама (реклама на базата на текущата страница или заявка за търсене, без проследяване и натрупване).

За българските администратори

Електронните магазини, медийните сайтове и финтех платформите са най-засегнати. Машинно четимите сигнали (на ниво браузър) могат да заместят настоящите cookie banner-и — с което потребителското изживяване се подобрява. Очакваме обаче преходен период от 18–24 месеца.

Тема 9: AI като легитимен интерес

Предложението на Комисията

Изрично признаване на разработването и експлоатацията на AI като легитимен интерес по чл. 6, параграф 1, буква f) GDPR — при липса на превишаващи права на субектите (особено уязвими) и при наличие на засилени гаранции и безусловно право на възражение за субекта.

Позицията на EDPB и EDPS

Не е необходимо, но работещо
Според Становище 28/2024 на EDPB относно AI моделите, не е необходимо изрично включване на такава разпоредба — легитимният интерес вече покрива тези случаи при правилно балансиране. Въпреки това в Съвместното становище 2/2026 EDPB и EDPS дават конкретни предложения — за оценката на легитимния интерес, за правото на възражение и за специфичните гаранции.

Какво следва за българските администратори — план за действие

Хронология на очакваните събития

ПериодСъбитие
19 ноември 2025 г.Публикуване на Digital Omnibus от Европейската комисия
10 февруари 2026 г.Съвместно становище 2/2026 на EDPB и EDPS
Q2–Q3 2026 г.Обсъждане в Европейския парламент и Съвета на ЕС
Q4 2026 г. — Q1 2027 г.Реалистичен срок за окончателно приемане
Q3 2027 г. — Q1 2028 г.Влизане в сила (след преходен период 12–24 м.)
Q1 2028 г. — Q4 2028 г.Прилагане в България

План за действие 2026–2027

  1. До юни 2026 г. — одит на текущите GDPR практики; идентифицирайте областите, в които предложените изменения биха дали значително облекчение (нарушения на сигурността, DPIA, cookie уведомления);
  2. До декември 2026 г. — следете публичните консултации по Digital Omnibus и адаптирайте позицията си; включете се в преговорите чрез браншови организации, ако е приложимо;
  3. До юни 2027 г. — подгответе се за окончателния текст; започнете адаптация на вътрешните процедури при наличие на приетия закон;
  4. 2027–2028 г. — имплементиране на промените във вашите системи (форми за уведомление, шаблони за DPIA, cookie banner-и);
  5. 2028 г. — пълно прилагане в България.

GDPRBG.com — специализиран ресурс за GDPR в България

Innovires Legal оперира специализиран сайт — GDPRBG.com — който е насочен изцяло към GDPR съответствието в българския контекст. Той допълва основния ни блог в Innovires.com, като предлага по-задълбочени специализирани ресурси.

GDPRBG.com — всичко за GDPR в България на едно място

Какво ще намерите на www.gdprbg.com:

  • Актуални анализи на промените в GDPR — включително Digital Omnibus и Съвместните становища на EDPB и EDPS;
  • Готови образци на политики за защита на данните, информационни известия по чл. 13–14, формуляри за DSAR, шаблони за DPIA, регистри по чл. 30;
  • Решения и практика на КЗЛД — коментари на най-важните решения, с практически последици;
  • Решения на Съда на ЕС — с акцент върху практическото приложение в българския контекст;
  • Гайдове за специфични индустрии — HR, маркетинг, e-commerce, финтех, здравеопазване, образование;
  • Обучителни материали — за длъжностни лица по защита на данните (DPO), HR екипи, маркетинг отдели.
Посетете GDPRBG.com Заявете консултация с Innovires Legal

За изчерпателни статии относно GDPR във вашия конкретен контекст, виж и: общо ръководство за GDPR съответствие, видеонаблюдение на работното място, лични данни и изкуствен интелект, анонимизация и псевдонимизация.

Подгответе организацията си за Digital Omnibus с Innovires Legal + GDPRBG.com

От стратегически анализ на въздействието на Digital Omnibus върху Вашата организация, през преразглеждане на вътрешните политики и процедури, до представителство пред КЗЛД при ревизии и инциденти — екипът на Innovires Legal предлага пълно правно съдействие в областта на защитата на данните. За специализирани ресурси и шаблони на български език — GDPRBG.com. Заявете безплатна 30-минутна консултация — ще оценим текущото Ви съответствие и ще изготвим план за подготовка за бъдещите изменения.

Директно: +359 888 787 414  ·  office@innovires.com  ·  GDPRBG.com

Често задавани въпроси

Кога ще влезе в сила Digital Omnibus?
Реалистичен срок за окончателно приемане на Digital Omnibus от Европейския парламент и Съвета на ЕС е краят на 2026 г. или първата половина на 2027 г. Влизането в сила обикновено става след преходен период от 12–24 месеца, тоест прилагането в България се очаква в периода 2028 г.
Какво е Съвместното становище 2/2026?
Документ, приет на 10 февруари 2026 г. от Европейския комитет по защита на данните (EDPB) и Европейския надзорен орган по защита на данните (EDPS). Съдържа подробна оценка на предложените изменения на GDPR и директивата ePrivacy в Digital Omnibus. Не е обвързващ, но има значително политическо тегло в законодателния процес.
Кое е най-противоречивото предложение?
Контекстуалното (entity-relative) определение на „лични данни“. EDPB и EDPS се противопоставят категорично, тъй като то стеснява обхвата на GDPR и създава риск администраторите да структурират дейностите си извън регламента. Прогноза: предложението вероятно ще бъде сериозно изменено или изоставено в законодателния процес.
Кое е най-полезното предложение за бизнеса?
Промените в режима за уведомяване при нарушения на сигурността: повишен праг (само висок риск задейства уведомяване), удължен срок (от 72 на 96 часа), хармонизирани шаблони. EDPB и EDPS подкрепят тези промени, които значително намаляват административната тежест за администраторите.
Какво се променя за заявките за достъп (DSAR)?
Комисията предлага администраторите да могат да отказват DSAR при злоупотреба с правото за цели извън защитата на данните. EDPB и EDPS препоръчват прагът да бъде по-висок — само при доказано злонамерено поведение (намерение за нанасяне на вреда на администратора). Препоръчителна тактика за бизнеса: при подозрителни DSAR — първо искайте уточнение и едва след това преценявайте отказ.
Ще се промени ли работата с cookie banner-и?
Да. Digital Omnibus предлага машинно четими сигнали (на ниво браузър) да заменят настоящите cookie banner-и в редица случаи, плюс изключения от съгласие за „нискорискови“ цели. EDPB и EDPS подкрепят целта, но имат структурно възражение срещу разделянето на правилата между GDPR и ePrivacy. Преходен период за бизнеса — 18–24 месеца.
Какво да направя сега?
До юни 2026 г. — одит на текущите GDPR практики и идентификация на областите, в които измененията биха донесли облекчение. До декември 2026 г. — следете развитието на законодателния процес. През 2027 г. — подготовка на вътрешните процедури. През 2028 г. — пълно прилагане. Innovires Legal и GDPRBG.com предоставят актуализации и поддръжка през целия процес.
Какво представлява GDPRBG.com?
Специализиран сайт на Innovires Legal, насочен изцяло към GDPR съответствието в българския контекст. Включва анализи, образци на политики, формуляри за DSAR, шаблони за DPIA, коментари на решенията на КЗЛД и Съда на ЕС, гайдове по индустрии и обучителни материали. Достъпен на www.gdprbg.com.