НачалоПубликацииЛични данни и изкуствен интелект — GDPR и AI Act

Лични данни и изкуствен интелект — GDPR и AI Act в пресечна точка (2026)

Публикувано: 14 април 2026 | Последна актуализация: 14 април 2026

Изкуственият интелект променя начина, по който бизнесите обработват лични данни — от автоматизиран подбор на персонал и кредитен скоринг до персонализиран маркетинг и медицинска диагностика. С влизането в сила на по-голямата част от AI Act (Регламент (ЕС) 2024/1689) от 2 август 2026 г., компаниите се изправят пред двоен регулаторен режим: едновременно спазване на GDPR (Регламент (ЕС) 2016/679) и AI Act. Тази статия анализира пресечните точки, практическите предизвикателства и конкретните стъпки за съответствие.

В тази статия ще научите

  • Как GDPR и AI Act си взаимодействат при обработване на лични данни чрез AI
  • Кои принципи на GDPR се прилагат при AI системи и какво означава “black box” проблемът
  • Кога е задължителна DPIA и кога — FRIA (Оценка на въздействието върху основните права)
  • Как да изберете правилното правно основание за обработване на данни чрез AI
  • Какви права имат субектите на данни при автоматизирано вземане на решения (чл. 22 GDPR)
  • Какви санкции грозят при нарушения по двата регламента

Двойният регулаторен режим — GDPR + AI Act

GDPR (в сила от 25 май 2018 г.)

Общият регламент относно защитата на данните (ОРЗД/GDPR) урежда обработването на лични данни на физически лица в целия ЕС. Той се прилага ВИНАГИ, когато AI система обработва лични данни — независимо дали системата е “high-risk” по AI Act или не. За подробно ръководство за GDPR съответствие, вижте нашата отделна статия.

AI Act (поетапно влизане в сила)

Законодателният акт за изкуствения интелект (AI Act) въвежда специфични задължения в зависимост от нивото на риск на AI системата:

ДатаКакво влиза в сила
02.02.2025Забранени AI практики (чл. 5)
02.08.2025Правила за GPAI модели, глава V
02.08.2026Мнозинството от разпоредбите — вкл. high-risk AI по Приложение III
02.08.2027Пълно прилагане (вкл. Приложение I)

Ключова разлика

  • GDPR регулира данните — как се събират, обработват, съхраняват и споделят
  • AI Act регулира системите — как се проектират, внедряват, използват и наблюдават

Важно: AI Act изрично посочва, че НЕ засяга прилагането на GDPR (чл. 2, пар. 7). Двата регламента се прилагат кумулативно — спазването на единия не освобождава от спазване на другия.

На практика — за компания, използваща AI система за обработване на лични данни (напр. HR скоринг, кредитна оценка, медицинска диагностика), и двата режима се прилагат едновременно.

За детайлен анализ на взаимодействието между GDPR и AI Act посетете нашата специализирана статия на gdprbg.com.

Принципите на GDPR при внедряване на AI

AI системите трябва да спазват всичките 7 принципа на GDPR (чл. 5). Ако планирате внедряване на AI в бизнеса си, запознайте се и с нашето GDPR ръководство за бизнеса.

1. Законосъобразност, добросъвестност и прозрачност

  • AI решенията трябва да имат валидно правно основание (виж секцията по-долу)
  • Субектите на данни трябва да бъдат информирани, че техни данни се обработват от AI система
  • “Black box” проблемът — липсата на обяснимост на AI решенията влиза в пряко противоречие с принципа за прозрачност

2. Ограничение на целите

  • Данните, събрани за една цел, не могат да бъдат преизползвани за обучение на AI модел без ново правно основание
  • EDPB Opinion 28/2024: разглежда кога и как AI моделите могат да се считат за “анонимни” и следователно извън обхвата на GDPR

3. Свеждане на данните до минимум

  • AI системите по природа изискват големи обеми данни — това е в пряко напрежение с принципа за минимизиране
  • Решение: privacy-enhancing technologies (PETs), федеративно обучение, синтетични данни

4. Точност

  • AI моделите могат да генерират неточни или пристрастни резултати
  • GDPR изисква данните да бъдат “точни и, когато е необходимо, поддържани в актуално състояние”
  • Практическо предизвикателство: при обучение на модел с исторически данни, пристрастията от миналото се възпроизвеждат

5. Ограничение на съхранението

  • Данните за обучение на модела — колко дълго могат да се съхраняват?
  • Данните, обработвани от модела в реално време — различен retention период
  • EDPB Opinion 28/2024: ако моделът е истински анонимен (преминава 3-те теста), GDPR не се прилага към модела, но към входните данни — да

6. Цялостност и поверителност (сигурност)

  • AI системите като нова повърхност за атаки: model poisoning, data extraction, adversarial attacks
  • GDPR чл. 32 изисква подходящи технически и организационни мерки

7. Отчетност

  • Администраторът трябва да може да докаже съответствие — документация, одити, логове
  • AI Act добавя: задължителни логове за минимум 6 месеца за high-risk системи
Съвет от практиката ни: Поддържането на пълна документация е най-честата слабост при AI проектите. Нашият екип на gdprbg.com помага с изграждане на compliance framework от ден 1.

Жизненият цикъл на данните при AI системи

Фаза 1: Събиране на данни за обучение

  • Правно основание за събирането?
  • Информиране на субектите за бъдещо използване за AI обучение?
  • Ако данните са събрани за друга цел → тест за съвместимост по чл. 6, ал. 4 GDPR

Фаза 2: Обучение на модела

  • Обработването на лични данни за обучение = самостоятелна операция по обработване
  • Необходимо правно основание (различно от или идентично с фаза 1)
  • Ако моделът “запомня” лични данни → моделът съдържа лични данни → GDPR продължава да се прилага

Фаза 3: Внедряване и експлоатация

  • Входни данни → AI обработка → изходни данни (решение/прогноза/препоръка)
  • Ако входните данни са лични → GDPR
  • Ако изходът засяга конкретно физическо лице → GDPR (дори ако входът е агрегиран)

Фаза 4: Мониторинг и подобряване

  • Обратна връзка, re-training, fine-tuning
  • Нови операции по обработване → нови оценки на съответствие

Нашият GDPR и AI екип може да помогне

Специалистите ни на gdprbg.com имат опит с над 300 клиенти в сферата на защита на личните данни и AI съответствие.

Вижте услугите на gdprbg.com →

Правно основание за обработване на данни чрез AI

Изборът на правно основание (чл. 6 GDPR) е критичен и трябва да се направи ПРЕДИ внедряване на AI системата:

Правно основаниеПриложимост за AI
Съгласие (чл. 6(1)(а))Трудно приложимо — трябва да е конкретно, информирано и свободно дадено; “black box” затруднява информирането
Изпълнение на договор (чл. 6(1)(б))Възможно ако AI обработката е необходима за договора (напр. застраховка, кредит)
Законово задължение (чл. 6(1)(в))Ограничено — когато закон изисква използване на AI (напр. AML screening)
Легитимен интерес (чл. 6(1)(е))Най-често използваното — изисква balancing test; EDPB Opinion 28/2024 дава насоки

EDPB Opinion 28/2024 за легитимен интерес при AI

  • Администраторът трябва да идентифицира конкретен, реален и настоящ интерес
  • Обработването трябва да е необходимо (не просто удобно)
  • Балансът трябва да е в полза на администратора, като се вземат предвид разумните очаквания на субектите
  • При неправомерно обучен модел: EDPB признава, че не е автоматично необходимо целият модел да бъде унищожен — оценява се case-by-case

DPIA vs. FRIA — двете оценки на въздействието

DPIA (Оценка на въздействието върху защитата на данните) — GDPR чл. 35

  • Задължителна когато обработването може да доведе до висок риск за правата и свободите на ФЛ
  • Систематично и обширно профилиране → DPIA задължителна
  • AI-базирано вземане на решения → DPIA задължителна
  • КЗЛД е публикувала списък на дейности, за които DPIA е задължителна
  • Съдържание: описание на обработването, оценка на необходимостта и пропорционалността, рискове, мерки за смекчаване
Нашият екип на gdprbg.com извършва DPIA за AI системи — с готови темплейти и реални казуси.

FRIA (Оценка на въздействието върху основните права) — AI Act чл. 27

  • Задължителна за deployers (ползватели) на high-risk AI, които са:
    • Публични органи
    • Частни оператори, предоставящи обществени услуги
  • Обхват: по-широк от DPIA — обхваща всички основни права (не само защита на данните)
  • Срок: преди пускане в експлоатация

Кога се правят И ДВЕТЕ?

Ако AI системата е high-risk по Приложение III И обработва лични данни → DPIA + FRIA едновременно. Различен обхват, методология и документация, но могат да споделят общи елементи.

КритерийDPIA (GDPR)FRIA (AI Act)
Нормативна основаЧл. 35 GDPRЧл. 27 AI Act
Задължителна заВисокорисково обработване на лични данниDeployers на high-risk AI (публичен сектор)
ОбхватЗащита на личните данниВсички основни права
СрокПреди обработванетоПреди пускане в експлоатация
Надзорен органКЗЛДНационален AI орган (неопределен)

Профилиране и автоматизирано вземане на решения — чл. 22 GDPR + AI Act

Чл. 22 GDPR — правото да не бъдеш обект на автоматизирано решение

“Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данни или по подобен начин го засяга в значителна степен.”

Изключения (чл. 22, пар. 2): необходимо за договор, разрешено от правото на ЕС/ДЧ, изрично съгласие.

CJEU дело SCHUFA (C-634/21, 07.12.2023): дори вероятностни скорове, използвани от трети лица, могат да представляват “решение” по чл. 22 → пряко релевантно за AI системи за скоринг. Ако използвате AI за рекрутиране и подбор на персонал, запознайте се с правните рискове.

AI Act — допълнителни права (чл. 86)

AI Act въвежда ново индивидуално право: всяко лице, засегнато от решение, взето/подпомогнато от high-risk AI система, има право на ясно обяснение (clear explanation). Това НАДХВЪРЛЯ правото по чл. 22 GDPR, което се прилага само при “solely automated” решения.

Практически последици

  • AI препоръка + човешко одобрение → чл. 22 GDPR може да не се прилага (не е “solely automated”)
  • НО AI Act чл. 86 → правото на обяснение СЕ ПРИЛАГА (дори при human-in-the-loop)
  • Извод: human-in-the-loop вече не е достатъчна защита — нужно е meaningful човешко участие

“Black box” проблемът — прозрачност и обяснимост

Какво е “черната кутия”?

Много AI модели (особено deep learning) вземат решения по начин, който е практически невъзможно да се обясни човешки. Това е в пряко напрежение с:

  • GDPR чл. 13-14 — право на информация за “логиката, участваща в обработването”
  • GDPR чл. 15 — право на достъп до “смислена информация за използваната логика”
  • AI Act чл. 13 — задължение за прозрачност на high-risk AI системи
  • AI Act чл. 86 — право на обяснение

Практически подходи

  1. Explainable AI (XAI) — техники като SHAP, LIME, attention maps
  2. Model cards — стандартизирана документация за модела
  3. Layered transparency — обяснение на различни нива за различни аудитории
  4. Algorithmic audits — независими одити на AI системите

Споделяне на данни с AI платформи (трети лица)

Кога е администратор, кога — обработващ?

СценарийРоля на компаниятаРоля на AI доставчика
AI платформата обработва данни по наши инструкцииАдминистраторОбработващ (чл. 28 GDPR)
AI платформата определя сама целитеАдминистраторАдминистратор (съвместен)
Данните се качват за обучение на модела на доставчикаАдминистраторАдминистратор (нов)

Задължения при споделяне с AI доставчици

  • Договор по чл. 28 GDPR ако AI доставчикът е обработващ
  • Международен трансфер — ако AI сървърите са извън ЕС (напр. OpenAI, Google AI) → Standard Contractual Clauses (SCCs) или адекватност
  • Ежемесечна проверка какво става с данните: запазват ли се за обучение? споделят ли се?
  • AI Act чл. 26, пар. 5 — договорни условия за deployers на high-risk AI

За повече информация относно регулацията на данните в ЕС, вижте нашия анализ на EU Data Act и приложението му в България.

Локално vs. облачно обработване

КритерийЛокално (on-premise)Облачно (cloud)
КонтролПъленОграничен
Международен трансферБезВероятен → SCC/адекватност
СигурностВаша отговорностСподелена
GDPR усложнениеПо-малкоПо-голямо
AI Act — логовеВътрешниЧрез доставчика

Санкционен режим — двойно натрупване

AI системи, обработващи лични данни, могат да бъдат санкционирани по И ДВАТА регламента за едно и също нарушение:

РегламентМаксимална санкция
GDPREUR 20,000,000 или 4% от глобалния годишен оборот
AI Act — забранени практикиEUR 35,000,000 или 7%
AI Act — high-risk нарушенияEUR 15,000,000 или 3%
AI Act — невярна информацияEUR 7,500,000 или 1%

Кумулативен ефект: нарушение на AI система за рекрутиране може да доведе до GDPR санкция (до 4% от оборота) + AI Act санкция (до 3%) = до 7% от глобалния оборот.

За информация относно регулацията на цифровите услуги в ЕС, вижте и нашата статия за Digital Services Act в България.

Ролята на КЗЛД и националния AI надзор

КЗЛД (Комисия за защита на личните данни)

  • Надзорен орган по GDPR и ЗЗЛД в България
  • EDPB ясно заявява, че DPA трябва да бъдат определени като Market Surveillance Authorities по AI Act в много случаи
  • КЗЛД вече участва в общоевропейски инициативи за AI и лични данни (Съвместно изявление от 2025 г. за AI-генерирани изображения)

Национален AI надзор

  • Към април 2026 г.: България все още не е определила национален компетентен орган за AI Act
  • Обсъждани кандидати: КЗЛД, КЗК, ДАЕУ
  • Практическо значение: GDPR enforcement (чрез КЗЛД) ще бъде първата линия на приложение за AI нарушения, свързани с лични данни

За повече информация относно анонимизация и псевдонимизация по GDPR, вижте нашия анализ на насоките на EDPB.

10 практически стъпки за съответствие

  1. Инвентаризирайте AI системите — кои обработват лични данни?
  2. Класифицирайте по AI Act — забранена, high-risk, ограничен, минимален риск
  3. Определете правно основание по GDPR за всяка AI операция
  4. Извършете DPIA (GDPR чл. 35) за всяка AI система с високо-рискова обработка
  5. Извършете FRIA (AI Act чл. 27) ако сте deployer на high-risk AI в публичен сектор
  6. Актуализирайте информацията за субектите — уведомете ги за използване на AI
  7. Проверете договорите с AI доставчици — чл. 28 GDPR + международен трансфер
  8. Осигурете human-in-the-loop за решения с правни последствия (meaningful, не формален)
  9. Документирайте всичко — логове (мин. 6 месеца по AI Act), DPIA, решения
  10. Обучете персонала — HR, маркетинг, IT, management — всички, работещи с AI
Нуждаете се от помощ с GDPR и AI съответствие? Нашият специализиран GDPR екип на gdprbg.com предлага пълен пакет — одит, DPIA, DPO-as-a-Service, обучения и ongoing compliance. Заявете безплатна консултация.

Често задавани въпроси

Трябва ли DPIA за всяка AI система?
Не автоматично, но на практика — почти винаги. DPIA е задължителна когато обработването може да доведе до висок риск за правата на субектите — а повечето AI системи, обработващи лични данни, попадат в тази категория. Ръководство за DPIA на gdprbg.com.
GDPR или AI Act — кой е по-важен?
И двата са задължителни и се прилагат паралелно. GDPR регулира данните, AI Act — системите. Нарушение може да доведе до санкции по двата регламента едновременно — до 7% от оборота кумулативно.
Мога ли да използвам “легитимен интерес” за обучение на AI модел?
Да, при определени условия. EDPB Opinion 28/2024 дава насоки — необходим е конкретен интерес, балансов тест и документиране. Не е приложимо автоматично за всички сценарии.
Какво е “black box” и защо е проблем за GDPR?
“Black box” описва AI модели, чиято вътрешна логика е непрозрачна. Това противоречи на правото на информация (чл. 13-14 GDPR) и правото на обяснение (AI Act чл. 86). Решение: Explainable AI техники (SHAP, LIME, attention maps).
Кога влизат high-risk задълженията по AI Act?
На 2 август 2026 г. — за AI системи по Приложение III (вкл. HR, кредитен скоринг, медицина, правоприлагане).
Кой е компетентният орган в България?
За GDPR — КЗЛД. За AI Act — към април 2026 националният орган все още не е определен. На практика КЗЛД ще бъде първата линия за AI нарушения, свързани с лични данни.
Как да защитя бизнеса си?
Започнете с GDPR одит на AI системите, определете правно основание, извършете DPIA и осигурете meaningful human oversight. За пълен пакет — свържете се с gdprbg.com.

Заключение

Пресечната точка между GDPR и AI Act създава нов, по-сложен регулаторен пейзаж за всяка компания, използваща изкуствен интелект за обработване на лични данни. Ключовите послания:

  • Двата регламента се прилагат кумулативно — не се изключват взаимно
  • DPIA е почти винаги задължителна при AI обработка на лични данни
  • Прозрачността е критична — “black box” не е оправдание
  • Санкциите се натрупват — до 7% от глобалния оборот
  • 02.08.2026 г. е крайният срок за high-risk AI по Приложение III

Източници

Нуждаете се от GDPR одит на Вашите AI системи?

Innovires Legal разполага със специализиран GDPR и AI екип с опит при над 300 клиенти. За пълна подкрепа — посетете нашия специализиран сайт gdprbg.com.

Безплатна консултация на gdprbg.com →