EU Data Act България 2026

Q: Кога е крайният срок за съответствие?

Основната дата на прилагане е 12 септември 2025 г. Изискването за access by design за нови свързани продукти влиза в сила от 12 септември 2026 г. Пълната забрана на switching charges за облачни доставчици е от 12 януари 2027 г.

Q: Какви са санкциите при нарушение?

Санкциите се определят на национално ниво. Примерът на Малта показва максимален размер до 5 % от годишния оборот. България все още не е определила санкционен режим.

Какво е EU Data Act

Регламент (ЕС) 2023/2854 на Европейския парламент и на Съвета относно хармонизирани правила за справедлив достъп до данни и тяхното използване (EU Data Act) беше приет на 13 декември 2023 г. и влезе в сила на 11 януари 2024 г. Регламентът е директно приложим — не изисква транспониране в националното законодателство на държавите членки.

Data Act се прилага изцяло от 12 септември 2025 г., но съдържа фазирани срокове за отделни задължения:

12 септември 2025 г. — основната дата на пълно прилагане. От този момент потребителите имат право на достъп до данните от своите свързани продукти, а data holders са длъжни да предоставят тези данни.
12 септември 2026 г. — изискването за „access by design“ влиза в сила. Новите свързани продукти, пуснати на пазара след тази дата, трябва да бъдат проектирани така, че данните от тях да бъдат лесно, сигурно и директно достъпни за потребителя или за трети лица по негово искане.
12 януари 2027 г. — пълна забрана на таксите за смяна на облачен доставчик (switching charges). До тази дата доставчиците могат да начисляват намалени такси, но след нея всякакви switching charges са забранени.

Регламентът допълва съществуващата правна рамка, включително GDPR, Директивата за отворени данни (2019/1024) и Акта за управление на данните (Data Governance Act). Той не засяга правата и задълженията по GDPR — защитата на личните данни остава под режима на Регламент (ЕС) 2016/679.

Кой е засегнат

Data Act има широк персонален обхват. Той засяга множество категории стопански субекти, независимо от тяхната големина, макар и с облекчен режим за микро- и малки предприятия в определени случаи.

Категория	Примери	Основни задължения
IoT производители	Smart home устройства, wearables, индустриални сензори	Access by design, предоставяне на информация на потребителите
Connected cars	Автомобилни производители, телематика	Достъп до данни от автомобилни сензори и бордова електроника
Индустриален IoT	Smart manufacturing, предиктивна поддръжка	Споделяне на машинно генерирани данни с потребители
Cloud / SaaS доставчици	IaaS, PaaS, SaaS платформи	Switching, портиране на данни, функционална еквивалентност
Data-driven бизнеси	Компании, които обработват или получават IoT данни	Справедливо B2B споделяне, защита на търговски тайни
Публична администрация	Държавни и общински органи	Право на достъп до данни при извънредна необходимост

Регламентът изрично изключва микро- и малките предприятия от задълженията за споделяне на данни в качеството им на data holders (чл. 7, пар. 1), но те могат да бъдат засегнати като производители на свързани продукти или като получатели на данни.

Права за достъп до IoT данни (Глави II–III)

Глави II и III на Data Act установяват правото на потребителите — както физически лица, така и предприятия — да получават достъп до данните, генерирани от свързаните продукти, които използват.

Основни права на потребителя

Безплатен достъп — потребителят има право на достъп до данните от своите свързани устройства безплатно, без ненужно забавяне и в същото качество, в което те са достъпни за data holder.
Машинночетим формат — данните трябва да бъдат предоставени в структуриран, широко използван и машинночетим формат. Когато е технически възможно — непрекъснато и в реално време.
Споделяне с трети лица — потребителят може да поиска данните да бъдат споделени директно с трето лице по негов избор. Третото лице трябва да обработва данните само за договорените цели и не може да ги използва за разработване на конкурентен свързан продукт.

Задължения на data holder

Предоставяне на данните при поискване, без ненужно забавяне.
Забрана за използване на данните за подкопаване на конкурентната позиция на потребителя — например чрез анализ на данните за извличане на търговски прозрения за конкурента.
Забрана за използване на данните за разработване на конкурентен свързан продукт.
Задължение за предоставяне на достатъчна информация преди покупката — потребителят трябва да бъде информиран какви данни ще бъдат генерирани, как и за какви цели ще бъдат обработвани.

Тези права ще имат особено значимо въздействие в секторите на свързаните автомобили, smart home устройствата и индустриалния IoT, където значителни обеми от данни се генерират, но досега оставаха затворени в екосистемите на производителите.

Справедливо B2B споделяне на данни (Глава IV)

Глава IV на Data Act въвежда правила за справедливост на договорните условия при споделяне на данни между предприятия. Целта е да се предотврати злоупотребата с преговорна сила от страна на по-големи участници на пазара.

Изисквания за договорните условия

Справедливост и разумност — договорните условия за достъп до и използване на данни трябва да бъдат справедливи, разумни и недискриминационни.
Компенсация — data holder може да поиска разумна компенсация за предоставянето на данни на трети лица. За МСП компенсацията не може да надвишава преките разходи за предоставяне на данните.

Черен и сив списък на нелоялни клаузи

Регламентът въвежда система от черен и сив списък на едностранно наложени договорни клаузи, подобна на тази в потребителското право:

Черен списък (чл. 13, пар. 3) — клаузи, които са винаги нелоялни: изключване или ограничаване на отговорността на страната, наложила клаузата, за умишлени действия или груба небрежност; изключване на средствата за правна защита при неизпълнение на договорни задължения.
Сив списък (чл. 13, пар. 4) — клаузи, за които се презумира нелоялност до доказване на противното: предоставяне на едностранно право за тълкуване на условията; ограничаване на правото на получателя да използва данните.

Тази защита е особено важна за малките и средните предприятия в България, които често се намират в неравностойна позиция при преговори с големи технологични компании за достъп до данни.

Cloud switching — край на vendor lock-in (Глава VI)

Глава VI на Data Act адресира един от най-значимите проблеми на пазара на облачни услуги — затруднената смяна на доставчик (vendor lock-in). Регламентът въвежда конкретни задължения за доставчиците на услуги за обработка на данни (cloud, edge, SaaS).

Ключови изисквания

Максимален срок за предизвестие — клиентът трябва да може да прекрати договора с максимум 2 месеца предизвестие.
Преходен период — доставчикът е длъжен да осигури 30-дневен преходен период, през който клиентът може да мигрира данните и приложенията си.
Премахване на switching charges — от 12 януари 2027 г. всички такси за смяна на доставчик са забранени. До тази дата таксите се намаляват постепенно (от 12 септември 2025 г. те не могат да надвишават преките разходи).
Портиране на данни — доставчикът трябва да осигури възможност за експорт на всички данни на клиента в структуриран, широко използван и машинночетим формат.
Функционална еквивалентност — за услуги от типа IaaS регламентът изисква осигуряване на функционална еквивалентност, т.е. минимално ниво на функционалност в целевата среда след мигрирането.

Тези правила ще засегнат директно всички доставчици на облачни и SaaS услуги в България, както и техните клиенти, които ще получат значително по-голяма свобода при избора и смяната на доставчик.

Защита на търговски тайни

Едно от основателните опасения на бизнеса е дали задълженията за споделяне на данни по Data Act могат да доведат до разкриване на търговски тайни. Регламентът изрично адресира този въпрос в чл. 4(6)–(8) и чл. 8(6).

Гаранции за защита

Задължения за споделяне на данни не изискват разкриване на търговски тайни — data holder и получателят на данни могат да договорят пропорционални технически и организационни мерки за запазване на конфиденциалността на търговските тайни.
NDA и технически мерки — data holder може да изиска от получателя сключване на споразумение за неразкриване (NDA), прилагане на технически мерки за защита (криптиране, контрол на достъпа, одитни пътеки) и ограничаване на кръга на лицата с достъп.
Право на отказ — data holder може да откаже споделянето на данни, ако демонстрира, че е „highly likely“ споделянето да причини сериозна икономическа вреда чрез разкриване на търговски тайни, независимо от предприетите защитни мерки.

В случай на спор относно отказа, страните могат да сезират компетентния орган за разрешаване на спорове. Този баланс е от ключово значение за защитата на иновациите и инвестициите на бизнеса, като същевременно не позволява безосновано ограничаване на достъпа до данни.

Имплементация в България

Към април 2026 г. България не е приела национално законодателство за прилагане на Data Act. Не е определен компетентен орган по смисъла на чл. 37 от регламента, който да отговаря за надзора и прилагането на национално ниво.

Това не означава, че регламентът не се прилага. Като регламент на ЕС, Data Act е директно приложим във всички държави членки, включително България. Предприятията са длъжни да спазват разпоредбите му, независимо от липсата на национални изпълнителни мерки.

Аналогия с DSA имплементацията

Полезна аналогия е имплементацията на Акта за цифровите услуги (DSA) в България. През ноември 2025 г. бяха определени три компетентни органа: Комисия за регулиране на съобщенията (КРС), Комисия за защита на личните данни (КЗЛД) и Съвет за електронни медии (СЕМ) — всеки с компетентност по различни аспекти на регламента. Подобен модел на разпределена компетентност е вероятен и за Data Act.

Digital Omnibus

През ноември 2025 г. Европейската комисия представи предложение за т.нар. „Digital Omnibus“ — пакет от изменения на Data Act, Data Governance Act, Digital Markets Act и AI Act. Предложението цели опростяване на задълженията, особено за МСП, и по-добра координация между отделните регулации. Тези промени все още са в процес на законодателно приемане и ще окажат влияние върху окончателния обхват на задълженията по Data Act.

За бизнесите в България практическият извод е ясен: подготовката за съответствие с Data Act не бива да се отлага, дори при липсата на национално законодателство. Регламентът е в сила и неговите задължения са обвързващи.

Санкции

Data Act предвижда, че санкциите за нарушения се определят на национално ниво от всяка държава членка. Чл. 40 изисква санкциите да бъдат ефективни, пропорционални и възпиращи.

Примери от други държави членки

Държава	Компетентен орган	Максимална санкция
Малта	MDIA	До 5 % от годишния оборот
Германия	BNetzA (Bundesnetzagentur)	По секторни регулации
Нидерландия	ACM (Autoriteit Consument & Markt)	По секторни регулации
България	Не е определен	Не е определен режим

На европейско ниво Европейският съвет за иновации и данни (EDIB) координира подхода на държавите членки към прилагането и санкциите. EDIB издава насоки и препоръки, които, макар и необвързващи, формират общата рамка за тълкуване на регламента.

Липсата на определен санкционен режим в България към момента не означава, че нарушенията няма да бъдат преследвани. Засегнатите страни могат да предявят граждански искове пред националните съдилища за нарушение на директно приложимия регламент. Освен това, след определянето на компетентен орган, е вероятно да бъде установен административнонаказателен режим, подобен на този по GDPR.

Често задавани въпроси

Трябва ли ми лиценз, за да спазвам Data Act?

Не. Data Act не въвежда лицензионен режим. Регламентът установява права и задължения за определени категории субекти (производители, data holders, облачни доставчици), но не изисква получаване на специален лиценз или разрешение. Задълженията произтичат директно от регламента въз основа на дейността, която извършвате.

Кога е крайният срок за съответствие?

Основната дата на прилагане е 12 септември 2025 г. От тази дата повечето задължения по регламента са в сила. Изискването за „access by design“ за нови свързани продукти влиза в сила от 12 септември 2026 г. Пълната забрана на switching charges за облачни доставчици е от 12 януари 2027 г.

Засяга ли Data Act GDPR?

Data Act не отменя и не изменя GDPR. Двата регламента действат паралелно. Когато данните от свързани продукти включват лични данни, обработването им остава под режима на GDPR — включително принципите за законосъобразност, минимизиране на данните и правата на субектите. Data holder е длъжен да осигури спазването и на двата регламента.

Мога ли да откажа споделяне на търговски тайни?

Да, при определени условия. Ако data holder демонстрира, че споделянето на конкретни данни е „highly likely“ да причини сериозна икономическа вреда чрез разкриване на търговски тайни, той може да откаже споделянето. Преди отказ обаче трябва да бъдат обсъдени пропорционални технически и организационни мерки за защита. Решението за отказ подлежи на оспорване пред компетентния орган.

Какви са санкциите при нарушение?

Санкциите се определят на национално ниво от всяка държава членка. Примерът на Малта показва максимален размер до 5 % от годишния оборот. България все още не е определила санкционен режим, но регламентът е директно приложим и нарушенията могат да бъдат преследвани по граждански ред пред националните съдилища.

Засяга ли Data Act SaaS бизнеси?

Да. SaaS доставчиците попадат под задълженията на Глава VI относно cloud switching — включително задължението за портиране на данни, осигуряване на преходен период от 30 дни, максимално предизвестие от 2 месеца и забрана на switching charges от 12 януари 2027 г. Ако SaaS продуктът генерира данни от свързани устройства, могат да възникнат и задължения по Глави II–III.

България определила ли е компетентен орган по Data Act?

Не, към април 2026 г. България не е определила компетентен орган по смисъла на чл. 37 от Data Act. Не е приет и специален закон за прилагане на регламента. Регламентът обаче е директно приложим и задълженията по него са обвързващи, независимо от липсата на национални мерки.

EU Data Act — какво означава за бизнеса в България (2026)