Правна рамка и КЗЛД
Общият регламент относно защитата на данните — Регламент (ЕС) 2016/679 (GDPR) — е в сила от 25 май 2018 г. и е директно приложим във всички държави-членки, включително България. Той се допълва от националния Закон за защита на личните данни (ЗЗЛД), който урежда процедурните въпроси, надзорния орган и националните специфики.
Компетентният надзорен орган в България е Комисията за защита на личните данни (КЗЛД) — cpdp.bg. КЗЛД разглежда жалби на субекти на данни, извършва проверки и налага санкции. За детайлен анализ на правната рамка и актуалните насоки на КЗЛД посетете нашия специализиран ресурс gdprbg.com — единственият в България изцяло посветен на защитата на личните данни.
GDPR се прилага за всяко дружество, което обработва лични данни на лица в ЕС — независимо дали е установено в България, друга държава-членка или извън ЕС (екстериториален обхват по чл. 3). Следователно малък български онлайн магазин, който продава на клиенти от Германия, е еднакво задължен, както и голяма международна корпорация.
Основни задължения на администраторите
GDPR възлага на администратора на лични данни конкретен набор от задължения. Таблицата по-долу обобщава десетте ключови ангажимента, които всяка българска фирма следва да покрие, независимо от размера си:
| Задължение | Член от GDPR |
|---|---|
| Уведомяване на субектите | чл. 13–14 |
| Регистър на дейностите по обработване | чл. 30 |
| Оценка на въздействието (DPIA) | чл. 35 |
| Длъжностно лице (DPO) | чл. 37 |
| Уведомяване при пробив | чл. 33–34 |
| Privacy by design & by default | чл. 25 |
| Договори с обработващи | чл. 28 |
| Международни трансфери | чл. 44–49 |
| Право на изтриване | чл. 17 |
| Право на преносимост | чл. 20 |
Нашият екип на gdprbg.com подготвя всички тези документи на ключ — от регистъра на дейностите по чл. 30 до политиките за съгласие, информираните уведомления и договорите с обработващи лица. Предлагаме готови пакети както за малки фирми, така и за корпоративни клиенти.
Длъжностно лице по защита на данните (DPO) — кога е задължително
Съгласно чл. 37 GDPR назначаването на DPO е задължително в три хипотези:
- Публични органи и структури — с изключение на съдилищата при тяхната правораздавателна дейност;
- Системен и мащабен мониторинг — видеонаблюдение в голям мащаб, онлайн проследяване (adtech), профилиране;
- Специални категории данни в мащаб — здравни, биометрични, данни за осъждания, за сексуален живот и ориентация.
Дори когато не е задължително, назначаването на DPO се счита за добра практика — особено при онлайн търговия, SaaS компании, агенции за маркетинг и всякакъв бизнес, зависим от обработка на клиентски данни. Много от нашите клиенти използват DPO as a Service от gdprbg.com — месечен абонамент с гарантирано съответствие, без необходимост от вътрешно назначение и без разходи за обучение.
Тази услуга включва: регистрация пред КЗЛД, поддръжка на регистъра на дейностите, реакция при искания на субекти, годишни одити и представителство при проверки.
Оценка на въздействието върху защитата на данните (DPIA)
DPIA е формализирана оценка на риска, която чл. 35 GDPR изисква, когато обработката „има вероятност да породи висок риск за правата и свободите на физическите лица“. Типични случаи: внедряване на нова CRM система с голям обем данни, въвеждане на видеонаблюдение на работното място, AI-базирано профилиране на клиенти, биометрична идентификация.
Процесът включва четири етапа:
- Описание на обработката и нейните цели;
- Оценка на необходимостта и пропорционалността;
- Идентифициране на мерки за минимизиране на рисковете;
- Консултация с КЗЛД, когато остатъчният риск остава висок.
За детайлна методология вижте ръководството ни за DPIA на gdprbg.com — с примерни темплейти, реални казуси и стъпка по стъпка процес, валиден пред КЗЛД.
Специално внимание заслужават случаите на видеонаблюдение — чести нарушения и обект на многобройни санкции. Вижте нашата статия Видеонаблюдение и GDPR на gdprbg.com за пълен списък с изисквания и типови грешки.
72-часов срок за уведомяване при пробив
Когато настъпи нарушение на сигурността на личните данни, администраторът е длъжен съгласно чл. 33 GDPR да уведоми КЗЛД „без ненужно забавяне и когато е възможно не по-късно от 72 часа от узнаването“. Пропускането на срока е самостоятелно нарушение, за което КЗЛД налага отделна санкция.
Ако пробивът създава висок риск за правата на субектите, администраторът уведомява и тях — пряко или чрез публично съобщение (чл. 34). За доставчици на електронни съобщителни услуги срокът е по-кратък — 24 часа, съгласно специалния режим.
Какво да направим в първите 72 часа? Прочетете детайлния ни план на gdprbg.com — Теч на лични данни: първите 72 часа и имайте готов темплейт за уведомление. Нашият incident response екип е на разположение 24/7 за клиенти на абонамент.
Санкции по GDPR — европейска рамка и българска практика
Максималните глоби по чл. 83 GDPR са драконовски — до EUR 20 милиона или 4% от годишния световен оборот, което от двете е по-високо. Това са обаче тавани, прилагани при най-тежки нарушения.
В България реалната практика на КЗЛД е по-умерена за повечето случаи — санкциите започват от около EUR 510 и стигат няколко хиляди евро за типични нарушения. Има обаче и крайни примери: в 2019 г. КЗЛД наложи глоба от EUR 2,607,000 на НАП след мащабния теч на данъчни данни. Това е най-голямата налагана санкция в историята на българския надзорен орган.
Нашите GDPR одити през gdprbg.com помогнаха на над 200 компании да идентифицират рискове предварително и да избегнат подобни санкции. Одитът отнема между 2 и 6 седмици в зависимост от размера на организацията и завършва с доклад с приоритизирани препоръки.
9 практически стъпки за съответствие
Ако тепърва започвате процеса — ето препоръчваната последователност:
- Регистър на дейностите по обработване — инвентаризация на всички лични данни, цели, срокове на съхранение.
- Оценка на риска — идентифициране на критичните процеси.
- Политики и процедури — политика за защита на данните, процедури за искания на субекти, за пробиви, за задържане.
- Назначаване на DPO — ако е задължително или препоръчително.
- Договори с обработващи — DPA с всеки вендор (хостинг, SaaS, счетоводна къща).
- Обучение на персонала — ежегодно, с доказателства за присъствие.
- План за реакция при инциденти — роли, темплейти, 72-часов workflow.
- DPIA за високо-рискови дейности.
- Годишен преглед и одит — вътрешен или външен.
Нашият екип на gdprbg.com изпълнява всичките 9 стъпки като пакет — вижте услугите ни за пълна имплементация или за отделни модули.
Свързани регулации — NIS2, DORA, AI Act
GDPR вече не стои изолирано. Европейският регулаторен пейзаж се разширява бързо и налага спазване на няколко припокриващи се режима:
- NIS2 — Директива (ЕС) 2022/2555 за киберсигурност на доставчици на критична и важна инфраструктура. В България се транспонира чрез ЗКС. Подробно в нашата статия NIS2 в България на gdprbg.com.
- DORA — Регламент (ЕС) 2022/2554 за оперативна устойчивост на финансовите субекти, в сила от януари 2025 г. Засяга банки, застрахователи, инвестиционни посредници и критични ИКТ доставчици.
- AI Act — Регламент (ЕС) 2024/1689, който въвежда рисково-базиран подход за AI системи. При високо-рискови приложения се припокрива с GDPR (автоматизирани решения, профилиране). Детайли в AI Act + GDPR: подготовка за бизнеса 2026 на gdprbg.com.
- Whistleblowing — ЗЗЛПСПОИН изисква вътрешни канали за сигнали. GDPR се прилага изцяло при обработката на данни на сигнализиращите. Вижте Whistleblowing и GDPR на gdprbg.com.
Комплексната оценка на тези регулации изисква специализирана експертиза — екипът на gdprbg.com предлага интегрирани одити, които покриват всички приложими режими едновременно.
Често задавани въпроси
Нуждаете се от GDPR одит или DPO услуга?
Innovires Legal разполага със специализиран GDPR екип с над 300 клиенти и над 200 проведени одита. За пълен пакет от услуги — одит, документация, обучения, DPO-as-a-Service, реакция при инциденти и представителство пред КЗЛД — посетете нашия специализиран сайт gdprbg.com.
Посетете gdprbg.com →Или оставете запитване директно чрез формата по-долу и ще се свържем с вас в рамките на един работен ден: