GDPR AI ACT Последна актуализация: 17 март 2026 14 мин четене

AI Act и GDPR — как да подготвите бизнеса си до август 2026

Q: Кога влиза в сила AI Act за високорискови системи?

Правилата за високорискови AI системи по Анекс III на AI Act влизат в сила на 2 август 2026 г. От тази дата всички доставчици и внедрители на високорискови AI системи трябва да отговарят на пълните изисквания на Регламента.

Q: Каква е разликата между DPIA по GDPR и оценката по AI Act?

DPIA по чл. 35 от GDPR оценява рисковете за правата на субектите на данни. Оценката на съответствието по AI Act (чл. 9) обхваща по-широк кръг рискове — включително безопасност, прозрачност и човешки надзор. На практика двете оценки се припокриват значително и могат да се извършват интегрирано.

Q: Кой е надзорният орган за AI Act в България?

Към март 2026 г. България все още не е определила национален надзорен орган за AI Act. Очаква се това да бъде КЗЛД (Комисия за защита на личните данни) или нов специализиран орган. Държавите-членки трябва да определят компетентните органи преди 2 август 2025 г.

Q: Какви са глобите по AI Act?

Глобите по AI Act достигат до 35 милиона евро или 7% от глобалния годишен оборот за забранени AI практики, и до 15 милиона евро или 3% от оборота за нарушения на изискванията за високорискови системи. За МСП и стартъпи глобите се определят пропорционално.

На 2 август 2026 г. влизат в сила правилата за високорискови AI системи по Регламент (ЕС) 2024/1689 (AI Act). Ако вашият бизнес използва изкуствен интелект за подбор на персонал, кредитен скоринг, застрахователна оценка или биометрична идентификация — времето за подготовка изтича. Това ръководство покрива пресечните точки между AI Act и GDPR и дава 7 конкретни стъпки за съответствие.

Ключови дати — времева линия на AI Act

Регламент (ЕС) 2024/1689 (AI Act) влезе в сила на 1 август 2024 г., но прилагането е поетапно. Ето ключовите дати, които трябва да знаете:

2 февруари 2025 — ИЗТЕКЪЛ

AI грамотност (чл. 4)

Всички организации, които разработват или внедряват AI системи, трябва да осигурят достатъчно ниво на AI грамотност на персонала си. Това задължение вече е в сила.

2 август 2025

Забранени AI практики (чл. 5) + Надзорни органи

Забрана на: подсъзнателна манипулация, социален скоринг, предиктивно полицейско профилиране, скрапинг на лицеви изображения. Държавите-членки трябва да определят национални надзорни органи.

2 август 2026

Високорискови AI системи (Анекс III) — ПЪЛНО ПРИЛАГАНЕ

Влизат в сила всички изисквания за високорискови AI системи: управление на риска, качество на данните, документация, прозрачност, човешки надзор, точност и робустност. Остават по-малко от 5 месеца.

2 август 2027

AI системи с общо предназначение (GPAI)

Пълно прилагане на правилата за модели с общо предназначение, включително задълженията за системни рискове (напр. GPT-подобни модели).

Внимание: до 2 август 2026 остават по-малко от 5 месеца

Ако вашият бизнес използва или внедрява високорискови AI системи, времето за подготовка е критично ограничено. Започнете с инвентаризация на AI системите и оценка на риска още сега.

Високорискови AI системи (Анекс III)

Анекс III на AI Act дефинира 8 категории високорискови AI системи. Ето най-важните за българския бизнес:

Категория (Анекс III)	Примери	Засегнати сектори
1. Биометрична идентификация	Лицево разпознаване, верификация на самоличност, емоционално разпознаване	Сигурност, финанси, HR
2. Критична инфраструктура	AI управление на електрически мрежи, водоснабдяване, транспорт	Енергетика, транспорт
3. Образование и обучение	Автоматизирано оценяване, adaptive learning, приемни системи	Образование
4. Заетост и управление на персонала	CV скрининг, автоматизиран подбор, мониторинг на продуктивността	HR, подбор на персонал
5. Достъп до услуги	Кредитен скоринг, застрахователна оценка на риска, оценка на кредитоспособност	Банки, застраховане, финтех
6. Правоприлагане	Предиктивен полицейски анализ, оценка на риска от рецидив, детекция на лъжа	МВР, правосъдие
7. Миграция и граничен контрол	Автоматизирана оценка на визови заявления, верификация на документи	Държавна администрация
8. Правосъдие и демокрация	AI съдебни помощници, оценка на доказателства, правен анализ	Съдебна система

Кои са задълженията за високорискови системи?

За всяка високорискова AI система се изисква: система за управление на риска (чл. 9), управление на данните (чл. 10), техническа документация (чл. 11), водене на записи (чл. 12), прозрачност (чл. 13), човешки надзор (чл. 14), точност и робустност (чл. 15) и оценка на съответствието преди пускане на пазара.

AI Act + GDPR: пресечни точки

AI Act и GDPR не са алтернативни — те се прилагат кумулативно. Ако AI системата обработва лични данни, и двата регламента важат едновременно. Ето ключовите пресечни точки:

1. DPIA по GDPR (чл. 35) + Оценка на риска по AI Act (чл. 9)

Съгласно чл. 35 от GDPR, оценка на въздействието върху защитата на данните (DPIA) е задължителна, когато обработката е вероятно да доведе до висок риск за правата на физическите лица — включително при систематично профилиране и автоматизирано вземане на решения. AI Act добавя допълнително изискване за система за управление на риска (чл. 9), която обхваща и рискове извън личните данни.

Практически съвет: интегрирана оценка

Вместо да провеждате две отделни оценки, създайте интегриран DPIA + AI Risk Assessment, който покрива и двата регламента. Съгласно Съображение 27 от AI Act, съществуващите DPIA процеси могат да се допълнят с елементите на AI Act.

2. Автоматизирани решения: чл. 22 от GDPR + чл. 14 от AI Act

Чл. 22 от GDPR дава на физическите лица право да не бъдат обект на решение, основано единствено на автоматизирана обработка, което поражда правни последици или значително ги засяга. AI Act допълва това с изискване за човешки надзор (чл. 14) — високорисковите AI системи трябва да позволяват ефективен контрол от оператор.

Аспект	GDPR	AI Act
Прозрачност	Чл. 13-14: информиране за автоматизирано вземане на решения и логиката	Чл. 13: инструкции за употреба, описание на предназначение и ограничения
Оценка на риска	Чл. 35: DPIA за високорисково обработване	Чл. 9: система за управление на риска за целия жизнен цикъл
Човешки надзор	Чл. 22: право на човешка намеса при автоматизирани решения	Чл. 14: задължителен човешки контрол за високорискови системи
Качество на данните	Чл. 5(1)(г): точност на данните	Чл. 10: управление на данните, обучителни и тестови набори
Документация	Чл. 30: регистър на дейностите по обработване	Чл. 11-12: техническа документация и записи (логове)
DPO / Отговорно лице	Чл. 37-39: длъжностно лице по защита на данните	Няма еквивалент, но се изисква компетентен персонал (чл. 4, 14)

3. Правно основание за обучителни данни

AI системите се обучават с данни — включително лични. Съгласно GDPR, за всяко обработване е необходимо правно основание по чл. 6. За обучение на AI модели с лични данни най-често се използва легитимен интерес (чл. 6(1)(е)), но това изисква:

Тест за балансиране (balancing test) — легитимен интерес на администратора срещу права на субектите
DPIA, когато обработването е мащабно или включва профилиране
Информиране на субектите на данни по чл. 13/14
Право на възражение по чл. 21 — субектите могат да възразят срещу обработването

Внимание: специални категории данни (чл. 9 GDPR)

Ако AI системата обработва биометрични данни, здравни данни, данни за расов или етнически произход, се прилага забраната по чл. 9(1) от GDPR. Обработването е допустимо само при наличие на изрично основание по чл. 9(2) — напр. изрично съгласие или съществен обществен интерес. AI Act добавя допълнителни изисквания за прозрачност и недискриминация при обработката на такива данни (Съображение 66).

Глоби и санкции

AI Act въвежда най-високите глоби в европейската регулаторна рамка — дори по-високи от GDPR:

35 млн. / 7%

Максимална глоба за забранени AI практики (чл. 5) — 35 милиона евро или 7% от глобалния годишен оборот (по-високото от двете)

15 млн. / 3%

Глоба за нарушение на изискванията за високорискови системи — 15 милиона евро или 3% от глобалния годишен оборот

7.5 млн. / 1.5%

Глоба за предоставяне на невярна информация на надзорни органи — 7.5 милиона евро или 1.5% от оборота

20 млн. / 4%

Допълнителна GDPR глоба (чл. 83) — може да се наложи кумулативно, ако AI системата нарушава и GDPR

Кумулативни глоби: AI Act + GDPR

Съгласно чл. 99(4) от AI Act, при нарушение на двата регламента, общата глоба не надвишава по-високата от двете. Въпреки това, надзорните органи по GDPR (КЗЛД) и бъдещият надзорен орган по AI Act могат да водят паралелни производства. На практика, едно нарушение на AI система може да генерира санкции по двата регулаторни режима.

AI Act в България — текущ статус

Към март 2026 г. положението в България е следното:

Няма определен национален надзорен орган — съгласно чл. 70 от AI Act, държавите-членки трябваше да определят компетентните органи до 2 август 2025 г. България все още не е направила това официално.
КЗЛД (Комисия за защита на личните данни) е вероятният кандидат за надзорен орган, предвид припокриването с GDPR компетентностите
Липсва национално законодателство за прилагане — няма приети подзаконови актове или национални насоки за AI Act
AI Act е регламент — прилага се директно, без необходимост от транспониране в националното законодателство
Българските бизнеси трябва да се съобразяват с текста на регламента и насоките на Европейския офис за AI (AI Office)

Какво означава това за вашия бизнес?

Липсата на определен надзорен орган не означава липса на задължения. AI Act се прилага директно от 2 август 2026 г. Бизнесите, които използват високорискови AI системи, трябва да бъдат готови — независимо от институционалната ситуация в България. Освен това, КЗЛД вече може да санкционира по GDPR нарушения, свързани с AI обработка на лични данни.

7 стъпки за подготовка на бизнеса

Ето конкретен план за действие, който да следвате до август 2026 г.:

Инвентаризация на AI системите

Идентифицирайте всички AI системи, които вашият бизнес използва, разработва или внедрява. Включете и AI, вграден в SaaS продукти (HR платформи, CRM, chatbot-ове). Класифицирайте ги по рисков клас: забранени, високорискови, ограничен или минимален риск.

AI грамотност на екипа (чл. 4)

Обучете персонала, който работи с AI системи. Това задължение вече е в сила от февруари 2025 г. Документирайте обученията — те са доказателство за съответствие. Включете ръководство, HR, IT и правен отдел.

Интегрирана DPIA + AI оценка на риска

За всяка високорискова AI система проведете DPIA по чл. 35 GDPR, комбинирана с оценка на риска по чл. 9 AI Act. Оценете рисковете за точност, дискриминация, прозрачност и човешки надзор.

Техническа документация (чл. 11)

Подгответе документация за всяка високорискова система: предназначение, обучителни данни, архитектура, метрики за точност, тестови резултати, известни ограничения и рискове. Поддържайте записи за решенията на системата (логове).

Механизъм за човешки надзор (чл. 14)

Внедрете процедури за ефективен човешки контрол: override механизъм, ескалация при несигурни решения, обучен оператор с правомощия да отмени AI решение. Интегрирайте с чл. 22 GDPR — правото на човешка намеса.

Актуализирайте GDPR документацията

Добавете AI обработката в: регистъра по чл. 30, политиката за поверителност (чл. 13/14), информацията за автоматизирано вземане на решения. Назначете или консултирайте DPO за AI-специфичните рискове.

Проведете GDPR + AI Act одит

Поръчайте пълен GDPR одит, разширен с елементите на AI Act. Одитът трябва да покрие: инвентаризация на AI системи, класификация по рисков клас, оценка на съответствието, gap анализ и план за действие. Не чакайте август 2026 — провеждането на одит отнема 4-8 седмици, а отстраняването на несъответствия — още повече.

Често задавани въпроси

Кога влиза в сила AI Act за високорискови системи?

Правилата за високорискови AI системи по Анекс III влизат в сила на 2 август 2026 г. Задължението за AI грамотност (чл. 4) вече е в сила от февруари 2025 г., а забранените практики (чл. 5) — от август 2025 г.

Моят бизнес използва AI за подбор на персонал — попадам ли под AI Act?

Да. AI системи за подбор на персонал, скрининг на кандидати и автоматизирано филтриране на CV-та са класифицирани като високорискови по Анекс III, категория 4. Необходимо е пълно съответствие до август 2026 — включително DPIA, техническа документация и човешки надзор. Прочетете нашата статия за AI и GDPR за бизнеса в България.

Каква е разликата между DPIA по GDPR и оценката по AI Act?

DPIA по чл. 35 от GDPR оценява рисковете за правата на субектите на данни. Оценката по AI Act (чл. 9) обхваща по-широк кръг рискове — безопасност, прозрачност, дискриминация и човешки надзор. На практика двете се припокриват и могат да се извършват интегрирано. Научете повече за DPIA процеса.

Кой е надзорният орган за AI Act в България?

Към март 2026 г. България все още не е определила национален надзорен орган за AI Act. Очаква се това да бъде КЗЛД или нов специализиран орган. Независимо от това, AI Act се прилага директно като регламент — задълженията са в сила от съответните дати.

Какви са глобите по AI Act?

До 35 милиона евро или 7% от оборота за забранени практики; до 15 милиона евро или 3% за нарушения на изискванията за високорискови системи. За МСП и стартъпи глобите се определят пропорционално. Допълнително, GDPR глоби до 20 млн. евро / 4% могат да се наложат кумулативно.

Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.

Подгответе бизнеса си за AI Act + GDPR

Нашият екип от юристи и IT специалисти може да проведе пълна оценка на вашите AI системи и да ви подготви за август 2026.

Пълен GDPR одит, разширен с AI Act елементи
DPO като услуга с AI Act компетентност
DPIA за AI системи — интегрирана оценка по GDPR + AI Act
Инвентаризация и класификация на AI системите
Обучение на екипа за AI грамотност (чл. 4)

Заявете безплатна консултация →

Получавайте нови статии директно в пощата си

Практически анализи по GDPR и киберсигурност. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Десислава Димитрова & Адв. Йордан Чолаков

Dimitrova, Cholakov & Partners · Innovires

Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.