Проблемът Услуги Казуси Екип Ресурси FAQ Контакт
Водещи GDPR и Compliance експерти в България

GDPR защита. Правни консултации. Пълно съответствие.

Правни консултации, одити и пълно GDPR съответствие за бизнеси и физически лица. Защитаваме данните ви, докато вие развивате бизнеса си.

Безплатна консултация → Разгледай услугите
0+
Обслужени клиенти
€5M+
Предотвратени глоби
24/7
Поддръжка при инциденти
0+
Години опит
GDPR Одити DPO услуги NIS2 съответствие DORA регулации Pen Testing Whistleblowing Обучения Правна защита Реакция при инциденти GDPR Одити DPO услуги NIS2 съответствие DORA регулации Pen Testing Whistleblowing Обучения Правна защита Реакция при инциденти
Проблемът

GDPR не е опция.
Това е задължение.

83% от българските компании не отговарят напълно на изискванията на GDPR. Глобите могат да достигнат €20 милиона или 4% от годишния оборот — което е по-голямо.

Регулаторният натиск расте. С въвеждането на NIS2 и DORA, изискванията се разширяват отвъд личните данни — към цялостна киберсигурност и оперативна устойчивост.

Повечето бизнеси осъзнават проблема, когато вече е твърде късно. Ние помагаме преди да дойде проверката.

01

Финансов риск

Глоби до €20M или 4% от глобалния оборот

02

Репутационен риск

Изтичане на данни = загуба на клиентско доверие

03

Правен риск

Нарастващ брой жалби от физически лица

04

Оперативен риск

NIS2 и DORA изискват нови системи и процеси

05

Трансграничен риск

Международни трансфери на данни под лупа

Услуги

Всичко, от което
имате нужда

Пълен спектър GDPR и киберсигурност услуги под един покрив.

GDPR Одит

Пълна оценка на съответствието с GDPR. Идентифицираме пропуски и даваме конкретен план за действие с приоритети.

Най-търсена услуга

DPO като услуга

Външно длъжностно лице по защита на данните. Постоянна поддръжка без нуждата от щатна позиция.

Месечен абонамент

Документация

Изготвяне на политики, процедури, регистри на дейностите, оценки на въздействието (DPIA) и всички задължителни документи.

Обучения

Интерактивни обучения за вашия екип — от основни принципи до специализирани сценарии за вашата индустрия.

Реакция при инциденти

Готов план за реакция при нарушение на сигурността. Помагаме с уведомлението до КЗЛД в рамките на 72 часа.

Трансфер на данни

Консултации за международен трансфер на лични данни — стандартни договорни клаузи, BCR, адекватност.

Защита на правата ви

Помагаме ви да упражните правата си по GDPR — достъп, коригиране, изтриване, ограничаване на обработката.

Жалби до КЗЛД

Изготвяне и подаване на жалби до Комисията за защита на личните данни при нарушения на правата ви.

Обезщетения

Представителство при искове за обезщетение при незаконна обработка на личните ви данни или изтичане на информация.

Онлайн поверителност

Консултации за защита на личните данни онлайн — социални мрежи, маркетинг, бисквитки, профилиране.

Penetration Testing

Етично хакване на вашите системи. Откриваме уязвимости преди злонамерени лица да ги използват.

Технически одит

DORA съответствие

Пълна подготовка за Digital Operational Resilience Act — за финансови институции, застрахователи и ИКТ доставчици.

NIS2 съответствие

Оценка и внедряване на изискванията по директивата за мрежова и информационна сигурност за критична инфраструктура.

Cloud Security

Одит и оптимизация на облачната сигурност — AWS, Azure, Google Cloud. Конфигурация, достъп, криптиране.

Вътрешен канал за сигнали

Изграждане на вътрешен канал за подаване на сигнали за вашата организация — допустимо по чл. 12 от Закона за защита на лицата, подаващи сигнали. Сигурна и анонимна платформа.

Задължително за 50+ служители

Документация и процедури

Изготвяне на пълния набор документи — вътрешни правила за подаване и разглеждане на сигнали, регистър, формуляри, информационни материали за служителите.

Служител по разглеждане на сигнали

Назначаване или обучение на отговорно лице/звено, отговарящи за разглеждане на сигнали — процедури, срокове, поверителност.

Правна защита на сигнализиращи лица

Консултации и представителство на лица, подали сигнали — защита срещу ответни действия, дискриминация и уволнение съгласно закона.

Обучения по Whistleblowing

Обучение на ръководители и служители — какво представлява законът, какви са задълженията и как да се гарантира поверителността на сигналите.

Одит на съответствието

Проверка дали вашата организация отговаря на изискванията на Закона за защита на лицата, подаващи сигнали, и препоръки за подобрение.

Казуси

Реални резултати,
доказана експертиза

01
E-Commerce

Онлайн ритейлър с над 200 000 клиенти — цялостно GDPR преструктуриране

Голям онлайн търговец оперираше с множество маркетингови канали, CRM системи и външни доставчици, без ясна рамка за защита на личните данни. Извършихме пълен GDPR одит, картографиране на процесите по обработване на данни, изготвихме нови политики и процедури и внедрихме механизми за контрол на маркетинговите комуникации.

✓ Успешна проверка от КЗЛД без предписания
02
FinTech

Финтех компания с трансгранични операции — GDPR и DORA рамка

Финтех компания с дейност в няколко държави се нуждаеше от стабилна рамка за защита на личните данни и управление на технологичните рискове. Изградихме цялостна GDPR програма — включително DPIA, трансферни механизми за данни извън ЕС, процедури за управление на инциденти и договорна рамка с технологични доставчици.

✓ GDPR и DORA съответствие за международна финтех дейност
03
Производство

Международен производител на електроуреди — GDPR рамка за индустриална компания

Голям български производител на електроуреди с международни пазари се нуждаеше от привеждане на вътрешните си процеси в съответствие с GDPR. Извършихме анализ на всички процеси, включително HR, производствени системи, клиентски гаранции и сервизни данни, след което внедрихме вътрешни политики и обучения.

✓ GDPR съответствие в производствена и корпоративна среда
04
Ритейл

Моден бранд с физически и онлайн магазини — управление на клиентски данни

Ритейл компания с магазини и онлайн платформа обработваше големи обеми клиентски данни за маркетинг и лоялни програми. Екипът ни извърши пълна оценка на процесите, преструктурира маркетинговите механизми за съгласие и изготви GDPR документация за онлайн продажби, CRM и рекламни кампании.

✓ GDPR-съвместим маркетинг и управление на клиентски данни
05
Data Breach

Голям международен ритейлър — защита при пробив в сигурността

След инциденти със сигурността и пробиви в системите на международна ритейл компания беше необходимо управление на процеса пред регулатора. Екипът ни анализира инцидента, подготви уведомленията към регулаторните органи и изгради план за управление на риска и комуникация със засегнатите лица.

✓ Успешна защита при регулаторна проверка след пробив в сигурността
06
SaaS Платформа

B2B SaaS компания — GDPR рамка за навлизане на европейския пазар

Технологична компания, разработваща SaaS решения, се нуждаеше от GDPR инфраструктура преди разширяване в ЕС. Изготвихме цялостната правна документация — DPA, политики за поверителност, рамка за работа с подизпълнители и процедури за управление на данни.

✓ GDPR-ready технологична платформа
Защо GDPR BG

Четирите стълба
на нашата експертиза

01

Правна + техническа експертиза

Уникална комбинация от юристи и IT специалисти. Разбираме и двете страни на GDPR.

02

Доказан опит

90+ клиенти, 10+ години в сферата на защитата на данни и киберсигурността.

03

Индивидуален подход

Няма шаблонни решения. Всеки клиент получава стратегия, съобразена с неговия бизнес.

04

Дългосрочно партньорство

Не само одити — ние оставаме до вас с постоянна поддръжка и мониторинг.

Екип

Хората зад GDPR BG

Адв. Десислава Димитрова — Управляващ партньор GDPR BG

Адв. Димитрова

Управляващ партньор

Специалист по защита на лични данни и GDPR съответствие. Дългогодишен опит в правото на ЕС.

Адв. Йордан Чолаков — Партньор GDPR BG

Адв. Чолаков

Партньор

Експерт по GDPR съответствие, международни трансфери на данни, DPIA и whistleblowing. Консултира компании с трансгранична дейност.

Снимка

Спас Иванов

Киберсигурност

Cyber Security специалист. Експерт по DORA, NIS2, penetration testing, cloud security и incident response.

Ресурси

Последни статии и
практически съвети

Виж всички статии →
FAQ

Често задавани
въпроси

Видеонаблюдението е допустимо само при наличие на правно основание по GDPR и при спазване на принципите за необходимост, пропорционалност и прозрачност. Администраторът е длъжен да докаже, че има легитимен интерес, видеонаблюдението е необходимо за постигане на целта, няма по-малко инвазивни алтернативи, и правата на заснетите лица не надделяват над интереса му.
Да. GDPR изисква ясна и предварителна информация, обикновено чрез обозначителни табели, които трябва да съдържат поне: кой е администраторът, целта на видеонаблюдението и как да получите допълнителна информация и да упражните правата си. Липсата на адекватна информация е самостоятелно нарушение.
Видеонаблюдението на служители е допустимо само в изключителни случаи и при много строги условия. Постоянно или всеобхватно наблюдение на работния процес обикновено е незаконосъобразно. Наблюдение в съблекални, санитарни помещения и зони за почивка е забранено.
Теч на лични данни е всяко нарушение на сигурността, което води до неразрешен достъп, загуба, унищожаване, разкриване или промяна на лични данни. Това включва хакерски атаки, грешно изпратени имейли, изтекли бази данни, изгубени устройства и др.
Да — когато течът създава риск за Вашите права и свободи. Администраторът е длъжен да уведоми надзорния орган (КЗЛД), както и Вас без неоправдано забавяне, ако рискът е висок. Неуведомяването е сериозно нарушение на GDPR.
Имате право да: изискате информация какви данни са засегнати, поискате мерки за ограничаване на вредите, подадете жалба до КЗЛД и потърсите обезщетение за претърпени вреди.
Личните Ви данни могат да се използват само за конкретни, изрично определени цели, за които са събрани. Използването им за нови цели (напр. маркетинг, профилиране, споделяне с трети лица) без правно основание е нарушение на GDPR.
По правило — не. Маркетингът изисква валидно, информирано и свободно дадено съгласие или друго ясно приложимо правно основание (което в практиката е рядкост). Нежелани обаждания, имейли или SMS-и често представляват нарушение.
Можете да: подадете възражение до администратора, поискате прекратяване на обработването, подадете жалба до КЗЛД и потърсите обезщетение по съдебен ред.
Да. GDPR изрично предвижда право на обезщетение за имуществени вреди (финансови загуби) и неимуществени вреди (стрес, тревожност, накърнено достойнство). Не е необходимо да има наложена глоба, за да се търси обезщетение.
Не. Достатъчно е да се докаже нарушение на GDPR, настъпили вреди и причинно-следствена връзка. Администраторът носи тежестта да докаже, че не е отговорен.
Размерът се определя индивидуално от съда и зависи от: естеството и продължителността на нарушението, вида на засегнатите данни и последиците за Вас като физическо лице. Практиката показва, че обезщетенията реално се присъждат, включително за неимуществени вреди.
GDPR производствата често са юридически и технически сложни. Професионалната помощ значително увеличава шансовете за успешно упражняване на права, ефективна защита пред КЗЛД и реално присъждане на обезщетение.
Можете да упражните правото си на изтриване, като подадете писмено искане до администратора (имейл, онлайн форма или писмо). Искането трябва ясно да посочва кои данни искате да бъдат изтрити и на какво основание. Администраторът е длъжен да Ви отговори в срок до 1 месец.
Не във всички случаи. Изтриване може да бъде отказано, ако обработването е необходимо за спазване на законово задължение, за упражняване или защита на правни претенции, или по причини от обществен интерес. Отказът обаче трябва да бъде мотивиран и законосъобразен. Немотивиран или формален отказ подлежи на обжалване.
Ако отказът е незаконосъобразен или изобщо не получите отговор, имате право да подадете жалба до Комисия за защита на личните данни, да потърсите защита по съдебен ред и да претендирате обезщетение при настъпили вреди.
По правило — не. Звукозаписът е значително по-инвазивен от видеонаблюдението и в повечето случаи е незаконосъобразен. Допустим е само при изключителни обстоятелства, наличие на ясно правно основание, доказана необходимост и липса на по-малко инвазивна алтернатива. Практиката приема, че рутинен звукозапис на служители нарушава GDPR.
Не. Самото уведомяване не легализира звукозаписа. Дори при уведомяване, обработването трябва да отговаря на принципите за минимизация, пропорционалност и защита на личния и професионалния живот. В много случаи съгласието на служителя не се счита за валидно, поради неравнопоставеността в трудовото правоотношение.
Можете да: поискате прекратяване и изтриване на записите, подадете жалба до КЗЛД и потърсите обезщетение за неимуществени вреди (стрес, накърняване на личното пространство).
Работодателят може да въвежда определени форми на контрол само при строго определени условия. Недопустимо е постоянно и тотално наблюдение, скрито проследяване, следене извън работно време и мониторинг на лични комуникации без изключителна причина.
Често нарушения се установяват при: keylogging (записване на натискания на клавиши), скрийншотове без основание, проследяване на уеб активност без ясна цел и GPS проследяване извън работния процес. Такива практики обикновено нарушават принципите на GDPR.
Да. Работодателят е длъжен да предостави ясна, конкретна и пълна информация, включително: какви данни се събират, за какви цели, колко дълго се съхраняват и какви са правата Ви. Обща клауза в вътрешни правила често не е достатъчна.
Имате право да подадете възражение, поискате ограничаване или прекратяване на обработването, сезирате КЗЛД и търсите обезщетение по съдебен ред.
Законът за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН) транспонира Директива (ЕС) 2019/1937 в българското законодателство. Той е в сила от 04.05.2023 г. и задължава определени работодатели да създадат вътрешни канали за подаване на сигнали за нарушения, като осигурят защита на сигнализиращите лица от ответни действия.
Задължени са: всички работодатели в публичния сектор (с изключение на малки общини), работодатели в частния сектор с 50 и повече работници или служители, както и работодатели в частния сектор, чиято дейност попада в приложното поле на определени актове на ЕС — независимо от броя на служителите. Компаниите могат да възлагат функциите по приемане и регистриране на сигнали и на външно лице.
Отговорното лице трябва да потвърди получаването на сигнала в 7-дневен срок, да извърши проверка и да предприеме последващи действия. Самоличността на сигнализиращото лице е поверителна. Организацията е длъжна да води регистър на сигналите и да гарантира защита от ответни действия срещу подателя.
За задължени субекти, които не са създали вътрешен канал или не изпълняват задълженията си по закона, са предвидени глоби. За лица, предприели ответни действия срещу сигнализиращо лице, глобите варират от 1,500 до 6,000 лв., а при повторно нарушение — от 6,000 до 10,000 лв. За недобросъвестно подаване на сигнал с невярна информация глобата е от 3,000 до 7,000 лв.
Контакт

Нека поговорим за
вашата защита

Свържете се с нас за безплатна първоначална консултация. Ще обсъдим вашата ситуация и ще ви предложим най-подходящото решение.

Имейлoffice@gdprbg.com / office@innovires.com
Телефон+359 888 787 414
ОфисСофия, бул. Витоша 25, ет. 2
Работно времеПон–Пет, 09:00–18:00