НачалоПубликацииВидеонаблюдение на работното място — GDPR

Видеонаблюдение на работното място — правила по GDPR и решения на КЗЛД (2026)

Публикувано: 11 април 2026 | Последна актуализация: 11 април 2026

Видеонаблюдението в офис и производствени обекти отдавна е стандартна практика — но е и един от най-честите обекти на жалби и проверки пред КЗЛД. В настоящото ръководство разглеждаме правната рамка, законните основания, задължителната DPIA и практиката на Комисията. За специализиран анализ препоръчваме и нашата партньорска публикация на gdprbg.com.

Правна рамка

Видеонаблюдението на работното място в България се регулира от няколко припокриващи се нормативни акта, които работодателят е длъжен да спазва едновременно:

  • Регламент (ЕС) 2016/679 (GDPR) — видеозаписите на физически лица представляват обработване на лични данни по чл. 4, т. 1 и 2 и попадат изцяло под обхвата на регламента. Работодателят е администратор на лични данни.
  • Закон за защита на личните данни (ЗЗЛД) — националният акт, който допълва GDPR с конкретни изисквания за администраторите в България и правомощията на КЗЛД.
  • Кодекс на труда — чл. 126 задължава работника да изпълнява задълженията си добросъвестно, но и налага на работодателя задължение за зачитане на достойнството и защита на личните данни на работника.
  • Закон за частната охранителна дейност — приложим за охранителни фирми, които управляват видеонаблюдение върху обекти на клиенти.

Надзорният орган по всички тези правила е Комисията за защита на личните данни (КЗЛД), която приема жалби, извършва проверки и налага санкции.

За подробен практически анализ вижте нашата статия на gdprbg.com за видеонаблюдение и GDPR — специализираният ни екип по защита на данните поддържа задълбочени ресурси по темата.

Законни основания за видеонаблюдение (чл. 6 GDPR)

Преди да инсталира камери, работодателят е длъжен да определи конкретно правно основание по чл. 6, параграф 1 от GDPR. Грешката в това основание е една от най-честите причини за глоби при проверка на КЗЛД.

Основание Приложимост в трудов контекст
Легитимен интерес (чл. 6(1)(е))Най-честото основание — защита на имущество, безопасност на служители и клиенти, предотвратяване на кражби. Изисква тест за балансиране.
Изпълнение на правно задължение (чл. 6(1)(в))Банки, казина, охранителни фирми, летища — когато закон налага наличие на видеонаблюдение.
Защита на жизнено важни интереси (чл. 6(1)(г))Изключителни случаи — опасни производства, лаборатории със силно рискови материали.
Съгласие (чл. 6(1)(а))НЕ е подходящо на работното място — поради неравенството между работодател и служител съгласието се счита за недоброволно.

Легитимният интерес изисква документиран тест за балансиране (LIA — Legitimate Interest Assessment), в който работодателят преценява дали целта не може да бъде постигната с по-малко инвазивни средства и дали очакванията на служителите са съобразени. При избор на основание — препоръчваме консултация с нашия GDPR екип на gdprbg.com.

Практика на КЗЛД — ключови решения

Практиката на Комисията за защита на личните данни през последните години дефинира ясни граници на допустимото видеонаблюдение в трудов контекст:

  • Забрана на лицево разпознаване в търговски обекти (2025) — КЗЛД се произнесе, че биометричното разпознаване на лица с цел идентификация на клиенти или служители без категорично правно основание е недопустимо и представлява обработване на специални категории данни по чл. 9 GDPR.
  • Футболни клубове — задължително DPO — заради мащабното видеонаблюдение на стадиони и съоръжения, КЗЛД изисква тези субекти да назначават длъжностно лице по защита на данните.
  • Видеонаблюдение на служители — НЕ за оценка на представянето — Комисията последователно застъпва позицията, че камерите не могат да бъдат използвани за измерване на продуктивност, брой почивки или скорост на изпълнение на задачите.
  • Шофьори с видеорегистратори — когато лице използва dash-cam в търговски автомобил и записва трети лица, то е администратор на лични данни и носи пълните задължения по GDPR.
  • Публични места и училища — КЗЛД е критична към разширяване на видеонаблюдението в чувствителни зони и изисква стриктна обосновка на пропорционалността.

Следим практиката на КЗЛД внимателно — актуалните решения и коментар вижте на gdprbg.com.

Забранени практики

Независимо от избраното основание, следните практики са изрично забранени или представляват сериозен риск от санкция:

  • Видеонаблюдение в тоалетни, съблекални, стаи за почивка и зони за хранене — абсолютна забрана, тъй като нарушава правото на лична неприкосновеност, която работникът запазва и на работното място.
  • Наблюдение единствено за контрол на служителите — ако единствената цел е контрол на работата, целта не е легитимна; КЗЛД изисква и друга съществена цел (сигурност, защита на имущество).
  • Лицево разпознаване без силни основания — обработване на биометрични данни изисква изрично изключение по чл. 9, параграф 2 GDPR, което работодателят рядко може да обоснове.
  • Постоянно наблюдение на конкретни лица — „targeted surveillance“ върху конкретен служител е непропорционално и е основание за жалба.
  • Запис на разговори (аудио) — комбинирането на видео и аудио многократно увеличава риска за правата на субектите и изисква значително по-високи основания; практиката на КЗЛД в общия случай не я допуска.
  • Използване на записите за оценка на представянето — дори когато камерите са поставени законно за сигурност, използването на записите в дисциплинарни производства, оценки и промоции извън случаите на конкретно нарушение е несъвместимо с първоначалната цел на обработването.

DPIA — задължителна ли е?

Оценката на въздействието върху защитата на данните (DPIA) по чл. 35 GDPR е задължителна, когато обработването „вероятно ще породи висок риск за правата и свободите“ на физическите лица. КЗЛД е публикувала списък на операциите, за които DPIA е задължителна, и систематичното видеонаблюдение на работно място попада в обхвата на този списък.

Практически това означава, че преди да инсталирате видеонаблюдение, трябва да извършите и документирате DPIA със следните елементи:

  • Описание на обработването — брой и местоположение на камерите, зони на покритие, технически характеристики, брой потенциално засегнати лица, срок за съхранение.
  • Оценка на необходимостта и пропорционалността — защо целта не може да се постигне с по-малко инвазивни мерки (охрана, ключови карти, аларма).
  • Оценка на рисковете — идентифициране на потенциалните вреди за служителите и посетителите, вероятност и тежест.
  • Мерки за смекчаване — технически и организационни мерки за ограничаване на риска (ограничен достъп, криптиране, срок за изтриване).

При остатъчен висок риск работодателят е длъжен да се консултира предварително с КЗЛД по чл. 36 GDPR преди започването на обработването. Нашият екип на gdprbg.com извършва DPIA за видеонаблюдение с готови темплейти, адаптирани към българския контекст.

Задължения за прозрачност

Член 13 GDPR изисква администраторът да предостави на субектите изчерпателна информация преди започване на обработването. В контекста на видеонаблюдение на работно място това означава:

  • Уведомяване на служителите ПРЕДИ започването — писмено уведомление (по електронна поща, с подпис или включено във вътрешни правила).
  • Информационни табели на видими места — при всеки вход и преди навлизане в зона с видеонаблюдение; табелите са „първо ниво“ на информация.
  • Зони, покрити от камерите — схема или карта на покритието, достъпна за служителите.
  • Цел на обработването — ясно формулирана (защита на имущество, сигурност), без общи фрази.
  • Правно основание — легитимен интерес, правно задължение и др.
  • Срок за съхранение — конкретен период, не „колкото е необходимо“.
  • Права на субектите — достъп, възражение, жалба пред КЗЛД.
  • Контакти на администратора и DPO — ако такъв е назначен.

Препоръчително е тази информация да бъде оформена като двустепенна — кратка пиктограма + QR код към пълно уведомление — в съответствие с насоките на EDPB.

Срок за съхранение

GDPR не определя фиксиран минимум или максимум, но принципът на ограничаване на съхранението (чл. 5, параграф 1, буква „д“) изисква срокът да бъде минималният необходим за постигане на целта. Практиката и препоръките на КЗЛД са следните:

  • 14–30 дни — стандартната препоръка за рутинно видеонаблюдение в офис и търговски обекти; достатъчно за откриване на инцидент и задействане на разследване.
  • До приключване на разследването — при конкретен инцидент записите могат да се съхраняват по-дълго, но само конкретните фрагменти, а не всички записи.
  • Архивиране = ново обработване — прехвърлянето на записи в дългосрочен архив е обработване с нова цел и се нуждае от самостоятелно основание по чл. 6 GDPR.

Работодателят трябва да документира политика за срок на съхранение и автоматично изтриване — технически мерки, които гарантират, че записите няма как да се съхраняват „по инерция“ след изтичане на срока.

Технически мерки

Чл. 32 GDPR изисква „подходящи технически и организационни мерки“ за сигурност на обработването. При видеонаблюдение това включва:

  • Ограничен достъп до записите — само определен кръг от служители (охрана, ръководител обект, DPO) с документирани роли и отговорности.
  • Криптиране на съхранението — at-rest криптиране на хард дискове и сървъри, съхраняващи записите.
  • Логиране на достъпа — всяко гледане, копиране или експорт на запис се документира в лог, който сам по себе си е запис за целите на одитирането.
  • Защита срещу неоторизиран достъп — силни пароли, многофакторна автентикация, защитени мрежи, отделени от обществения интернет.
  • План за бекъп и изтриване — автоматично презаписване след изтичане на срока; проверка, че бекъпите също се изтриват.
  • Сигурност на облачните доставчици — при използване на облачно видеонаблюдение — договор за обработка по чл. 28 GDPR и проверка на юрисдикцията на съхранение на данните.

Техническите аспекти обхващаме в нашите GDPR одити на gdprbg.com — предлагаме оценка на съществуващи системи и препоръки за подобряване.

Права на служителите (субекти на данни)

Служителите, чиито изображения се обработват чрез видеонаблюдение, разполагат с пълния каталог от права по глава III GDPR:

  • Право на достъп (чл. 15) — служителят може да поиска достъп до записите, на които присъства. Работодателят е длъжен да предостави копие, като замъглява изображенията на трети лица.
  • Право на възражение (чл. 21) — при обработване на основание легитимен интерес служителят има право да възрази срещу обработването по причини, свързани с неговото конкретно положение.
  • Право на изтриване (чл. 17) — ако записите се обработват без основание или са вече ненужни.
  • Жалба пред КЗЛД — независима от трудовите отношения, без риск от репресии.
  • Обезщетение при нарушения (чл. 82) — право на материални и неимуществени обезщетения при установено нарушение.

Санкции при нарушения

Чл. 83 GDPR предвижда максимални глоби до EUR 20 милиона или 4% от глобалния годишен оборот, което е по-голямото. Това е теоретичният максимум и се прилага рядко в България.

В практиката КЗЛД налага за нарушения при видеонаблюдение значително по-ниски глоби — обикновено между EUR 510 и EUR 2,556 — при неправилно уведомяване, непоставени табели или грешно определено правно основание. Тенденцията обаче е към по-строги санкции за повторни нарушения и за обработване без DPIA, когато такава е задължителна.

Освен глоби, КЗЛД може да нареди спиране на обработването — т.е. демонтаж или изключване на камери — което обикновено е по-сериозната оперативна последица за бизнеса.

Чеклист за работодателя

Следната последователност от стъпки гарантира съответствие при внедряване на видеонаблюдение на работно място:

  1. Установяване на легитимната цел — документирана защита на имущество, сигурност и т.н.; никога единствено „контрол“.
  2. DPIA — препоръчително (и задължително за систематично наблюдение по списъка на КЗЛД).
  3. Избор на технически система — ориентиране на камерите, избягване на чувствителни зони, достъп, криптиране.
  4. Изготвяне на политика — вътрешни правила за видеонаблюдение, срок на съхранение, достъп.
  5. Информиране на служителите ПРЕДИ внедряване — писмено, с възможност за въпроси и възражения.
  6. Поставяне на табели — на всеки вход и в покритата зона.
  7. Обучение на ограничен кръг с достъп — инструкции за боравене със записи и документиране на достъпа.
  8. Договор за обработка с външен доставчик — по чл. 28 GDPR при облачно видеонаблюдение или външна охрана.
  9. Регистриране в регистъра на дейностите — чл. 30 GDPR, като отделна дейност по обработване.
  10. Годишен преглед — ревизия на нужност, срок, достъп и ефективност на мерките.

Целия пакет документи и внедряване на ключ получавате чрез gdprbg.com — нашият специализиран GDPR екип.

Често задавани въпроси

Задължително ли е да уведомя служителите преди инсталиране на камери?
Да, задължително. Чл. 13 GDPR изисква информация на субектите да се предоставя „към момента на получаване на данните“, което в контекста на видеонаблюдение означава преди включването на системата. Уведомлението трябва да бъде писмено и да съдържа цел, основание, срок и права. За примерни формуляри вижте gdprbg.com.
Мога ли да запазвам записите повече от 30 дни?
По принцип не, освен ако не сте в процес на конкретно разследване на инцидент или имате изрично законово изискване за по-дълъг срок. Стандартната препоръка на КЗЛД е 14–30 дни за рутинно наблюдение. Нашият екип на gdprbg.com помага при изработване на политика за съхранение.
Мога ли да използвам записи от камери при дисциплинарно уволнение?
Само при конкретно и доказано нарушение, когато целта на използването съответства на първоначалната цел на обработването (сигурност, защита на имущество). Системното използване на записите за оценка на представянето е несъвместимо с GDPR и е основание за жалба пред КЗЛД.
Трябва ли DPO за видеонаблюдение в офиса?
Не винаги. Задължение за DPO възниква при „редовно и систематично мащабно наблюдение“ — т.е. при големи обекти, търговски центрове, стадиони, болници. За средностатистически офис не е задължително, но се препоръчва. Повече на gdprbg.com — DPO.
Задължителна ли е DPIA за видеонаблюдение на работно място?
В повечето случаи — да. Систематичното наблюдение на служители е включено в списъка на КЗЛД, за който DPIA е задължителна. Изключения са само дребни, ограничени инсталации с единични камери при минимален риск.
Може ли служителят да поиска копие от записите, на които присъства?
Да, по чл. 15 GDPR. Работодателят е длъжен да предостави копие, като замъглява или прикрива изображенията на трети лица. Отказът е основание за жалба пред КЗЛД и за обезщетение.
Може ли да записваме звук заедно с видео?
В общия случай не. Аудиозаписът е значително по-инвазивен от видеозапис и изисква категорично по-силно основание, което рядко е налице при трудови отношения. Практиката на КЗЛД е изрично критична към тези решения. За анализ — gdprbg.com.

Нуждаете се от DPIA или GDPR одит за Вашето видеонаблюдение?

Посетете gdprbg.com — нашият специализиран GDPR екип, или попълнете формата по-долу, за да се свържем с Вас.