AI & GDPR AI Act Последна актуализация: 5 март 2026 12 мин четене

Изкуствен интелект и ГДПР: Какво трябва да знае всеки бизнес в България през 2026 г.

Използването на изкуствен интелект (AI) в бизнеса расте с бързи темпове — от чатботове и автоматизирани системи за обслужване на клиенти до алгоритми за кредитен скоринг и подбор на персонал. Но всяка AI система, която обработва лични данни, попада под разпоредбите на ГДПР. С влизането в сила на AI Act и предложените промени в рамките на Цифровия омнибус, 2026 г. е повратна точка за всяка компания, използваща AI технологии.

В нашата практика забелязваме, че много български бизнеси вече използват AI инструменти, без да са наясно с правните рискове. В тази статия нашият екип обобщава ключовите правни изисквания, практическите стъпки за съответствие и конкретните рискове, свързани с AI и защитата на личните данни.

Какво е AI Act и защо е важен за бизнеса в България

Регламентът за изкуствения интелект (Регламент (ЕС) 2024/1689), известен като AI Act, е първият в света цялостен закон за регулиране на AI. Той въвежда рисково-базиран подход, като категоризира AI системите в четири нива:

От февруари 2025 г. вече са в сила забраните за неприемливо рискови AI системи. Изискванията за високорисковите AI системи ще се прилагат от декември 2027 г. след удължаването на сроковете чрез Цифровия омнибус.

Важно

AI Act действа паралелно с ГДПР. Когато AI система обработва лични данни, двата регламента се прилагат кумулативно. Бизнесите трябва да осигурят съответствие и с двата набора от правила.

Как ГДПР се прилага при AI модели

Становище 28/2024 на Европейския комитет по защита на данните (ЕКЗД), прието на 17 декември 2024 г., дава ключови насоки за прилагането на ГДПР при AI модели. Становището адресира три основни аспекта.

Анонимност на AI модели

Не всеки AI модел, обучен с лични данни, автоматично „съдържа" лични данни. ЕКЗД приема, че анонимността трябва да се оценява за всеки конкретен случай. За да се счита за анонимен, вероятността от извличане на лични данни — директно или чрез запитвания — трябва да е незначителна. На практика компаниите трябва да документират техническите мерки, предприети за осигуряване на анонимност.

Легитимен интерес като правно основание

ЕКЗД потвърди, че легитимният интерес по чл. 6, §1, б. „е" от ГДПР е допустимо правно основание за обработване на лични данни при разработка и внедряване на AI модели. Необходим е обаче тристепенен тест:

  1. Идентифициране на легитимен интерес
  2. Доказване, че обработването е необходимо за постигането му
  3. Баланс между интереса на контрольора и правата на субектите на данни

Конкретни примери, дадени от ЕКЗД, включват разговорни агенти (чатботове) за обслужване на клиенти и AI за киберсигурност.

Последици при незаконосъобразно обработване

Ако лични данни са били обработени незаконосъобразно във фазата на обучение на AI модел, това може да засегне и законосъобразността на последващото внедряване. Надзорните органи могат да наредят:

Единственият начин за „изчистване" на ситуацията е доказана анонимизация на модела.

Цифровият омнибус: Предстоящи промени в ГДПР

На 19 ноември 2025 г. Европейската комисия публикува пакета Цифров омнибус — мащабно предложение за изменение на множество цифрови закони, включително ГДПР. Предложението е в процес на обсъждане.

Ключовите предложения, засягащи AI и лични данни, включват:

Позиция на ЕКЗД и ЕНОЗД

Съвместното становище от 11 февруари 2026 г. категорично се противопоставя на промените в дефиницията за лични данни, като отбелязва, че те противоречат на практиката на Съда на ЕС и значително стесняват приложното поле на ГДПР.

Практически стъпки: ГДПР одит за AI системи

Независимо от развитието на законодателството, всеки бизнес, използващ AI, трябва да предприеме конкретни стъпки. Нашият екип препоръчва следния подход:

1. Инвентаризация на AI системите

Изгответе пълен списък на всички AI инструменти, които вашият бизнес използва — включително чатботове, системи за автоматизация на маркетинга, AI-базирани CRM решения и инструменти за анализ на данни. За всяка система определете дали обработва лични данни.

2. Оценка на въздействието (DPIA)

Съгласно чл. 35 от ГДПР, когато обработването (включително чрез AI) може да доведе до висок риск за правата на физическите лица, е задължително извършване на DPIA. Това е особено важно при профилиране, автоматизирано вземане на решения или обработване на чувствителни данни.

3. Определяне на правно основание

За всяка AI система, обработваща лични данни, определете правното основание по чл. 6 от ГДПР. Ако разчитате на легитимен интерес, документирайте тристепенния тест.

4. Прозрачност и информиране

Чл. 13 и 14 от ГДПР изискват субектите на данни да бъдат информирани за обработването, включително за автоматизираното вземане на решения. AI Act допълнително изисква потребителите да бъдат уведомени, когато взаимодействат с AI система.

5. Договори с доставчици

Ако използвате AI като услуга (например облачен AI модел), е необходим договор за обработка на лични данни по чл. 28 от ГДПР с доставчика. Уверете се, че договорът покрива и изискванията на AI Act за разпределение на отговорностите между доставчик (provider) и потребител (deployer).

КЗЛД и AI: Какво да очакваме в България

С избирането на новия състав на КЗЛД през май 2025 г. предстои определянето на стратегическите приоритети на националния надзорен орган. Според AI Act всяка държава-членка трябва да определи национален компетентен орган за надзор на AI системите. Все още не е ясно дали тази роля ще бъде поверена на КЗЛД или на друга институция.

Практиката на КЗЛД показва активна позиция по отношение на санкциите — българският надзорен орган е наложил глоби за над 3,2 млн. евро от въвеждането на ГДПР, включително значимата санкция от 1 000 000 лв. на Банка ДСК за нарушение на мерките за сигурност. С навлизането на AI технологиите е вероятно да видим нови проверки и санкции.

Рискове и глоби: Какво да знаете

Санкционният режим при нарушения, свързани с AI и лични данни, е многопластов:

За тежки нарушения се прилагат директно санкциите по чл. 83 от ГДПР.

Често задавани въпроси

Как AI Act засяга моя бизнес в България?

AI Act засяга всеки бизнес, който разработва или използва AI системи на територията на ЕС. Ако вашият бизнес използва AI за подбор на персонал, кредитна оценка, здравни услуги или биометрична идентификация, това попада в категорията „високорискови AI системи" и трябва да отговаря на строги изисквания за прозрачност, документация и човешки надзор.

Мога ли да използвам ChatGPT и други AI инструменти без да нарушавам ГДПР?

Да, при условие че сте предприели необходимите мерки: определили сте правно основание за обработването; информирали сте субектите на данни; сключили сте подходящ договор с доставчика; и не въвеждате лични данни на трети лица без основание. При бизнес използване е препоръчително да използвате версиите с договор за обработка (Enterprise/Business планове).

Какво е DPIA и кога е задължителна при AI?

Оценката на въздействието (DPIA) е задължителна съгласно чл. 35 от ГДПР, когато обработването може да доведе до висок риск за правата на физическите лица. При AI това включва: систематично профилиране; автоматизирано вземане на решения с правно или значително въздействие; мащабно обработване на чувствителни данни; или използване на нови технологии.

Трябва ли съгласие за обработка на лични данни от AI?

Не непременно. Съгласието е само едно от шестте правни основания по чл. 6 от ГДПР. За AI модели легитимният интерес е най-често използваното основание, но изисква документиран тристепенен тест. Важно е да знаете, че съгласието при AI трябва да бъде информирано, конкретно и свободно дадено — което на практика е трудно постижимо при мащабно обучение на модели.

Какви глоби може да наложи КЗЛД за AI нарушения?

КЗЛД може да наложи глоби по ГДПР до 20 млн. евро или 4% от годишния оборот за тежки нарушения. С AI Act ще се добавят и допълнителни санкции. В България най-честите глоби за нарушения на ГДПР варират от 5 000 до 100 000 лв., но за системни или тежки нарушения могат да бъдат значително по-високи.

Какво е високорискова AI система?

Според AI Act високорисковите AI системи са тези, използвани в области като: биометрична идентификация; управление на критична инфраструктура; образование и професионално обучение; заетост и управление на работници; достъп до основни публични и частни услуги (вкл. кредитен скоринг); правоприлагане; миграция и управление на границите; и правосъдие.

Как да защитя правата си, ако AI вземе решение за мен?

Чл. 22 от ГДПР дава право да не бъдете обект на решение, основано единствено на автоматизирано обработване, включително профилиране, което произвежда правни последици за вас. Можете да поискате човешка намеса, да изразите своята гледна точка и да оспорите решението. При нарушение можете да подадете жалба до КЗЛД.

Настоящата статия има информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.

Нуждаете се от ГДПР одит за вашите AI системи?

В Димитрова, Чолаков и партньори / Innovires помагаме на бизнеси в България да постигнат пълно съответствие с ГДПР и AI Act.

Безплатна консултация →
Сподели:

Получавайте нови статии директно в пощата си

Практически анализи по GDPR и киберсигурност. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Десислава Димитрова
Адв. Десислава Димитрова & Адв. Йордан Чолаков
Dimitrova, Cholakov & Partners · Innovires

Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.