10-те най-чести GDPR грешки на българския бизнес
КЗЛД получи над 1,080 жалби през 2024 — ръст от 40% за две години. България е на последно място в ЕС по GDPR осведоменост (43%, по данни на Eurostat). Ето 10-те грешки, които виждаме най-често при нашите клиенти — и какво да направите, за да ги избегнете.
Съдържание
- Политика за поверителност — copy-paste или липсваща
- Cookie банер само с бутон „ОК"
- Липсва договор за обработка с доставчици
- CV-та се пазят над 6 месеца
- Няма регистър на дейностите по обработване (ROPA)
- Няма процедура за теч на данни
- „Легитимен интерес" за маркетинг без LIA
- Камери без табела и DPIA
- Прехвърляне на данни в САЩ без механизъм
- Няма GDPR обучение за служителите
- Самодиагностика — колко грешки допускате?
- Често задавани въпроси
Политика за поверителност — copy-paste или липсваща
Около 50% от европейските МСП нямат адекватна политика за поверителност. В България процентът е дори по-висок — много фирми или нямат политика изобщо, или използват генерични шаблони от интернет, които не отразяват реалните им практики за обработка на данни.
Съгласно чл. 13 и чл. 14 от GDPR, всеки администратор е длъжен да информира субектите на данни за: целите на обработване, правните основания, получателите, сроковете на съхранение, правата им и контактите на администратора. Generic шаблон, който не покрива тези елементи, е все едно да нямате политика.
Изгответе индивидуална политика за поверителност, съобразена с конкретните потоци от лични данни във вашата фирма. Прегледайте нашето пълно ръководство за политика за поверителност — стъпка по стъпка, с примери и чеклист.
Cookie банер само с бутон „ОК"
България има 15.2% процент на нарушения при бисквитки — трето място в ЕС. Освен това, 30% от българските сайтове използват предварително избрани цели — второ място в целия Европейски съюз. Банер, който само информира или предлага единствен бутон „ОК", не е валидно съгласие.
Съдът на ЕС в дело C-673/17 (Planet49) категорично постанови, че съгласието трябва да бъде активно, информирано и гранулярно. Предварително отметнатите кутийки не са валидни. Бутонът за отказ трябва да е еднакво видим с бутона за приемане.
Внедрете cookie consent банер с opt-in, гранулярен контрол по категории и еднакво видим бутон „Отказ на всички". Вижте нашето ръководство за GDPR бисквитки и cookie consent за техническите детайли.
Липсва договор за обработка (DPA) с доставчици
34% от несъвместимите бизнеси в ЕС не разбират изискванията за договор за обработка на лични данни (DPA). Ако използвате счетоводна кантора, хостинг доставчик, имейл маркетинг платформа, платежен процесор или HR софтуер — всеки от тях е обработващ лични данни и трябва да имате писмен договор по чл. 28 от GDPR.
Без DPA, и двете страни — администраторът и обработващият — носят отговорност при инцидент. Глобите могат да стигнат до 10 милиона евро или 2% от оборота.
Направете списък на всички доставчици, които имат достъп до лични данни. Сключете DPA с всеки от тях. Прочетете нашето ръководство за договор за обработка на лични данни — включва примерни клаузи и чеклист.
CV-та се пазят над 6 месеца
Много български фирми съхраняват автобиографии от кандидати за работа с години — „за всеки случай". Това е пряко нарушение на чл. 25з от ЗЗЛД (Закон за защита на личните данни), който определя максимален срок от 6 месеца за съхранение на данни на кандидати, освен ако лицето не е дало изрично съгласие за по-дълъг срок.
Важно: Чл. 25з от ЗЗЛД е законово изискване, не препоръка. Нарушаването му може да доведе до глоба от КЗЛД.
Въведете автоматизирана процедура за изтриване на CV-та и лични данни на кандидати след 6 месеца. Ако искате да ги запазите по-дълго — поискайте отделно, изрично съгласие. Вижте нашето ръководство за GDPR при подбор на персонал.
Няма регистър на дейностите по обработване (ROPA)
Съгласно чл. 30 от GDPR, всяка организация с повече от 250 служители — или която обработва данни редовно, чувствителни данни, или данни, свързани с наказателни присъди — е длъжна да поддържа регистър на дейностите по обработване (Records of Processing Activities, ROPA). На практика, почти всеки бизнес попада в тази категория.
Едва 35% от МСП в ЕС провеждат редовни GDPR одити. В България този процент е значително по-нисък.
Създайте ROPA, който документира: целите на обработване, категориите данни, получателите, сроковете за съхранение и техническите мерки за защита. Нашето ръководство за GDPR одит за бизнеса включва шаблон за ROPA и инструкции стъпка по стъпка.
Няма процедура за теч на данни
Помните ли случая с НАП от 2019 г.? Изтичането на данните на 5 милиона граждани доведе до глоба от 2.6 милиона евро (5.1 милиона лева) — заради неадекватни мерки за сигурност. Съгласно чл. 33 от GDPR, при теч на данни администраторът е длъжен да уведоми КЗЛД в рамките на 72 часа. Без предварителна процедура, спазването на този срок е почти невъзможно.
Повечето български фирми нямат plan за data breach — нито назначено отговорно лице, нито шаблон за уведомяване, нито тествана процедура.
Подгответе план за реакция при теч на данни (Data Breach Response Plan), включващ: кой е отговорен, как се оценява инцидентът, как се уведомява КЗЛД и субектите на данни. Прочетете нашето ръководство Теч на лични данни — какво да направите в първите 72 часа.
„Легитимен интерес" за маркетинг без оценка (LIA)
Много фирми използват „легитимен интерес" (чл. 6(1)(е) от GDPR) като основание за директен маркетинг, без да провеждат оценка на легитимния интерес (Legitimate Interest Assessment, LIA). Насоките на EDPB (Guidelines 1/2024) затвърдиха изискването за документирана LIA при всяко позоваване на легитимен интерес.
Допълнителна уловка за България: Чл. 261 от Закона за електронните съобщения (ЗЕС) изисква предварително съгласие (opt-in) за B2C електронен маркетинг. Легитимен интерес не е достатъчно основание за изпращане на маркетингови имейли или SMS-и на потребители.
За директен маркетинг по електронен път — събирайте изрично съгласие (opt-in). Ако се позовавате на легитимен интерес за друг вид обработка — документирайте LIA с три стъпки: (1) идентифицирайте легитимния интерес, (2) проверете дали обработката е необходима, (3) балансирайте с правата на субекта на данни.
Камери без табела и DPIA
Видеонаблюдението е категорията с най-много жалби пред КЗЛД — 345 жалби през 2024 г. Много фирми инсталират камери без: информационна табела (чл. 13 от GDPR), оценка на въздействието (DPIA по чл. 35), или дефиниран срок за съхранение на записите.
Съгласно Насоки 3/2019 на EDPB, видеонаблюдението на работното място или на обществени зони изисква DPIA. КЗЛД е налагала множество глоби за камери, насочени към съседни имоти, работни места без основание, или липса на информация за субектите.
Поставете информационна табела на всеки вход в зоната на наблюдение. Проведете DPIA, ако камерите покриват работни места или обществени зони. Дефинирайте максимален срок за съхранение на записите (обикновено 30 дни). Прочетете нашето ръководство за видеонаблюдение и GDPR.
Прехвърляне на данни в САЩ без механизъм
Организацията noyb е подала 4 жалби срещу български уебсайтове за използване на Google Analytics без подходящ механизъм за международен трансфер на данни. Ако използвате Google Analytics, Facebook Pixel, Mailchimp, HubSpot или друг американски инструмент — вие прехвърляте лични данни извън ЕИП.
Съгласно Глава V от GDPR (чл. 44–49), такъв трансфер изисква: решение за адекватно ниво на защита (напр. EU-US Data Privacy Framework), стандартни договорни клаузи (SCC), или друг признат механизъм.
Проверете дали всеки ваш доставчик с база в САЩ е сертифициран по EU-US Data Privacy Framework. Ако не е — сключете стандартни договорни клаузи (SCC) и проведете Transfer Impact Assessment (TIA). Прочетете нашето ръководство за международен трансфер на лични данни.
Няма GDPR обучение за служителите
България е на последно място в ЕС по GDPR осведоменост (по данни на Eurostat) — едва 43% от гражданите са запознати с регламента. Фирмите не са изключение — повечето не провеждат обучение за служителите си по защита на данните. Това означава, че грешките от #1 до #9 се случват ежедневно — защото хората просто не знаят.
Съгласно чл. 39(1)(б) от GDPR, обучението е изрична задача на длъжностното лице по защита на данните (DPO). А чл. 32 изисква „подходящи организационни мерки" — обучението е първата и най-ефективна такава мярка.
Организирайте ежегодно GDPR обучение за всички служители, които работят с лични данни. Документирайте кой е обучен, кога и какво е съдържанието. Специализирано обучение за HR, маркетинг и IT екипите е критично — те обработват най-чувствителните данни.
Колко от тези грешки допускате?
Маркирайте всяка грешка, която не сте адресирали във вашата организация:
- Нямаме индивидуална политика за поверителност (или ползваме copy-paste шаблон)
- Cookie банерът ни няма opt-in или бутон „Отказ на всички"
- Нямаме DPA с всички доставчици, които обработват лични данни
- Съхраняваме CV-та на кандидати за повече от 6 месеца без съгласие
- Нямаме регистър на дейностите по обработване (ROPA)
- Нямаме процедура за реакция при теч на данни
- Използваме „легитимен интерес" за маркетинг без документирана LIA
- Камерите ни нямат информационни табели или DPIA
- Използваме американски инструменти без проверка на механизма за трансфер
- Не сме провели GDPR обучение за служителите
Ако маркирахте 3 или повече — имате нужда от GDPR одит
Всяка от тези грешки може да доведе до жалба пред КЗЛД, глоба или теч на данни. Колкото повече грешки натрупате, толкова по-висок е рискът. Не чакайте КЗЛД да ви провери — действайте проактивно. Вижте нашия преглед на GDPR глоби в България — реални примери.
Често задавани въпроси
Задължително ли е GDPR обучението?
Самият GDPR не налага изрично задължение за обучение на всички служители. Но чл. 39(1)(б) определя обучението като задача на DPO, а чл. 32 изисква подходящи организационни мерки — включително обучение. КЗЛД и EDPB третират обучението като стандартна мярка за съответствие. На практика — да, обучението е задължително за всеки бизнес, който обработва лични данни.
Кой проверява дали спазвам GDPR?
В България надзорният орган е Комисията за защита на личните данни (КЗЛД). Тя има правомощия да извършва проверки по жалби и по собствена инициатива, да налага глоби до 20 милиона евро или 4% от годишния оборот, и да дава задължителни предписания. През 2024 г. КЗЛД е получила над 1,080 жалби.
Малка фирма с 5 служители трябва ли да спазва GDPR?
Да, без изключение. GDPR се прилага за всяка организация, която обработва лични данни на физически лица в ЕС, независимо от броя на служителите. Няма праг по размер или оборот. Прочетете нашето ръководство за GDPR за малък бизнес за повече.
От къде да започна?
Започнете с GDPR одит — преглед на всички лични данни, които събирате, защо ги събирате, с кого ги споделяте и как ги защитавате. Подгответе политика за поверителност, ROPA и договори за обработка с доставчиците си. Нашата препоръка е да се консултирате с юрист, специализиран в защита на данните.
Тази статия отразява правното положение към 18 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Не сте сигурни колко сте съвместими? Направете GDPR одит с нас.
Нашият екип от юристи и IT специалисти ще идентифицира всяка пропусна точка — и ще ви даде конкретен план за действие.
- Пълен GDPR одит — документация, процеси, технически мерки
- Оценка на риска и приоритизиране на действията
- Изготвяне на липсващи документи (ROPA, DPA, политики)
- Обучение на екипа по GDPR
- Постоянна поддръжка и DPO като услуга
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.