Проверки на кандидати при наемане в България — какво е законно, какво не и как се документира
Когато наемате ръководна позиция, ИТ архитект с достъп до критични системи или счетоводител, който ще управлява фирмени сметки — естествено искате да проверите кого пускате в компанията. Но в България има стриктни правила какво можете да проверявате и как. Грешният проверка на кандидата може да доведе до жалба пред КЗЛД, иск за обезщетение и парадоксално — до невъзможност да отхвърлите кандидата при истинска нужда. Това ръководство дава точните граници за HR директори и юрисконсулти, базирани на чл. 25к ЗЗЛД, ЗЗДискр., GDPR и Работна група по член 29, Становище 2/2017.
Съдържание
- Защо темата е критична — увеличаване на риска
- Правна рамка
- Какво НЕ можете да искате — забрани по ЗЗДискр.
- Свидетелство за съдимост
- Здравни данни на кандидати
- Проверки в социалните медии и Google
- Препоръки от бивши работодатели
- Проверка на кандидата доставчики — какво да изисквате
- Срок за съхранение (чл. 25к ЗЗЛД)
- Чеклист за HR
- Често задавани въпроси
Защо темата е критична — увеличаване на риска
Проверки на кандидати стават все по-важни поради три тенденции:
- Ръководни длъжности в чувствителни позиции — финансови директори, ИТ архитекти, мениджъри с достъп до клиентски данни
- Дистанционна работа — кандидатите често не се срещат физически, което прави документната проверка по-важна
- AI инструменти за пресяване — все повече HR екипи използват автоматизирани проверки в социални медии и публични регистри
Но всеки от тези инструменти крие правен риск. Прекомерна проверка води до жалба пред КЗЛД и Комисията за защита от дискриминация (КЗД); недостатъчна проверка води до неправилно наемане и риск за компанията. Балансът е тесен.
Правна рамка
Проверки на кандидати в България се регулират от четири правни източника, които работят паралелно:
| Източник | Какво регулира |
|---|---|
| GDPR чл. 6, 9, 10 | Правни основания, специални категории (здраве), данни за присъди и нарушения |
| ЗЗЛД чл. 25к | Срок за съхранение на CV — макс. 6 месеца от приключване на процедурата |
| ЗЗДискр. чл. 12 | Забрана за искане на дискриминираща информация при наемане |
| Специални закони | ЗЧОД (охрана), ЗКИ (банки), ЗДСл (държавна служба), ЗПУО (образование) — изискват специфични проверки |
За правни основания за обработване на данни на служители (включително кандидати) виж нашата статия за шестте правни основания по чл. 6 GDPR.
Какво НЕ можете да искате — забрани по ЗЗДискр.
По чл. 12 от Закона за защита от дискриминация, при наемане работодателят НЕ може да изисква информация, основана на признаци на дискриминация. Това е едно от най-нарушаваните правила в българската практика.
Възраст
Освен ако специален закон изисква (напр. за някои регулирани професии). Запитване „на колко години сте?" е дискриминация.
Бременност и семейно положение
Категорично забранено да се пита жена-кандидат „планирате ли деца?" или „имате ли семейство?". Глоби до 2 500 лв. по ЗЗДискр.
Религия и политически възгледи
Специални категории по чл. 9 GDPR. Забранено даже „на каква партия симпатизирате?" в неформален разговор.
Сексуална ориентация
Категорично забранено искане. Специална категория данни. Висок риск от иск пред КЗД и КЗЛД.
Етнически произход
Забранено за всички работодатели, без изключение. Не питайте „откъде сте?" в смисъл на етнически произход.
Здравословно състояние
Освен при специфични позиции (пилоти, шофьори, медицински персонал). Общо запитване „болни ли сте от нещо?" — забранено.
Двойна санкция — КЗД + КЗЛД
Ако зададете дискриминиращ въпрос (напр. за бременност), кандидатът може да подаде паралелно жалба до Комисията за защита от дискриминация (КЗД) и до КЗЛД. Това генерира две отделни производства с двойни глоби и репутационен риск. През 2024 г. се наблюдава ръст на подобни искове в България.
Свидетелство за съдимост
По чл. 10 GDPR данните за присъди и нарушения попадат в особена категория. Изискване на свидетелство за съдимост е законно само когато специален закон го предвижда:
| Закон | Позиции |
|---|---|
| Закон за частната охранителна дейност | Охранителен персонал, мениджъри на охранителни фирми |
| Закон за кредитните институции | Банкови ръководители, членове на УС/НС |
| Закон за държавния служител | Всички държавни служители |
| Закон за предучилищното и училищното образование | Преподаватели и педагогически персонал |
| Закон за лекарските съсловия | Медицински специалисти |
За всички останали позиции — изискване на свидетелство за съдимост е нарушение на GDPR. Дори ако кандидатът е „съгласен" да предостави, основанието е невалидно по причините, описани в WP249 (служителите не могат да дадат свободно съгласие).
Срок на валидност на свидетелство за съдимост
Стандартният срок на валидност на свидетелство за съдимост е 6 месеца от издаването. Ако позицията изисква актуално свидетелство, кандидатът трябва да предостави документ, издаден през последните 6 месеца. Цифровото свидетелство се издава онлайн чрез Единния портал за електронни услуги.
Здравни данни на кандидати
Здравните данни са специална категория по чл. 9, ал. 1 GDPR — забранено е тяхното обработване, освен при специфични основания по ал. 2.
Допустимо обработване на здравни данни на кандидати:
- Задължителни медицински прегледи по закон — пилоти, шофьори на тежки превозни средства, медицински персонал, пожарникари
- Експертиза за работоспособност при специфични физически изисквания на позицията
- Доброволно предоставяне от кандидата (например за обоснование на специфични нужди — увреждане, изискващо адаптация)
Категорично НЕдопустимо: искане на „медицинско удостоверение" за всички позиции; питане за хронични заболявания; запитване за психично здраве; претендиране на достъп до медицинско досие.
Проверки в социалните медии и Google
Проверките в LinkedIn, Facebook и Google са широко разпространена практика, но крият правни рискове. Според Работна група по член 29 — Становище 2/2017 (WP249):
„Самият факт, че профилът на едно лице в социалните медии е публично достъпен, не предоставя на работодателя свободно правно основание да обработва тези данни за свои собствени цели. Необходима е валидна правна основа — обикновено легитимен интерес — за която се прави документиран тест за пропорционалност."
— Работна група по член 29, WP249, юни 2017 г.
Препоръчителна процедура
- LinkedIn — релевантна професионална информация е допустима (опит, образование, публикации)
- Facebook / Instagram — лични профили — НЕ е препоръчително да се проверяват за оценка на кандидата
- Документирайте кои профили проверявате и защо — вътрешна процедура, не индивидуална преценка
- Не записвайте лична информация — политически възгледи, религия, сексуална ориентация, лични отношения — даже ако са публични
- Информирайте кандидата — в политиката за поверителност на наемането трябва да има изрично уведомление за проверка в социалните медии
„Намерих в Facebook че пие много на партита — отхвърлям го"
Това е дискриминация на основа личен живот, заедно с обработване на данни без правно основание. Дори ако никога не казвате причината, документираният модел на отхвърляне на кандидати след проверка в социалните медии е лесно установим и води до иск.
Препоръки от бивши работодатели
Препоръките са едно от най-полезните средства за проверка — но трябва да се правят коректно.
Съгласие на кандидата
Кандидатът сам предоставя контакти на бивши работодатели. НЕ се обаждайте на работодатели, които кандидатът не е посочил.
Проверка по списъка
Обадете се на посочените контакти. Задавайте въпроси за работните задължения и резултатите — не за личността.
Документиране
Запишете кратко резюме на разговора — не цял запис. Съхранявайте в досието на процедурата по подбор.
ЕЕТЗ за обективни данни
От 01.06.2025 г. единният електронен трудов запис, поддържан от НАП, дава официална справка за минала заетост.
Проверка на кандидата доставчики — какво да изисквате
Все повече български компании използват външни доставчики за проверки на кандидати (особено за международен опит на кандидата). Изборът на доставчик е критично решение — той става ваш обработващ по чл. 28 GDPR и носите солидарна отговорност за неговите нарушения.
- Писмен договор за обработване (DPA) по чл. 28 GDPR
- Документация за източниците на данни — откъде се извлича всяка информация
- Съгласие на кандидата за всяка отделна проверка (не „пакет")
- Ясно разграничение какво се проверява за всяка позиция (минимизация)
- Процедура за оспорване от кандидата на неточни данни
- Гаранции за сигурност (ISO 27001, SOC 2 или еквивалент)
- Срок за съхранение от доставчика — не по-дълъг от вашия (6 месеца по чл. 25к ЗЗЛД)
- Локализация на данните — къде се съхраняват, в ЕС или извън
- GDPR съответствие на самия доставчик — длъжностно лице, DPIA, регистрация
- Право на одит от ваша страна (записано в DPA)
Срок за съхранение (чл. 25к ЗЗЛД)
„Работодателят или органът по назначаването, в качеството си на администратор на лични данни, определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок."
— Чл. 25к, ал. 1 от ЗЗЛД
Ключови точки от КЗЛД становище за прилагане на чл. 25к:
- Срокът тече от приключване на процедурата — не от подаване на кандидатурата
- Удължаване само със изрично писмено съгласие — за бъдещи свободни позиции
- Кандидатът има право да оттегли съгласието си по всяко време
- След изтичане — задължително изтриване или унищожаване (документирано)
- Изключение: специален закон, който предвижда по-дълъг срок (например за държавни служители)
Чеклист за HR директора
Преди обявяването на нова позиция и старта на процедурата по подбор:
- Формулярът за кандидатстване не съдържа дискриминиращи въпроси (възраст, бременност, религия, ...)
- Изготвена е политика за поверителност на наемането, връчвана на всеки кандидат
- Свидетелство за съдимост — изисква се само ако специален закон го предвижда
- Здравни данни — само за специфични позиции с правно основание
- Социалните медии — проверяват се само за релевантна професионална информация, документирано
- Препоръки — само от посочени от кандидата източници, със съгласие
- Външен доставчик за проверки на кандидати — има подписан DPA по чл. 28 GDPR
- Процедура за информиране на отхвърлени кандидати за изтриване на данните
- Срок за съхранение — макс. 6 месеца, документиран и автоматично прилаган
- Шаблон за съгласие за по-дълго съхранение (за подходящи кандидати)
- Регистър на дейностите по обработване (RoPA) включва процеса по подбор
- Обучение на специалистите по подбор по правилата — поне веднъж годишно
Често задавани въпроси
Може ли работодател в България да изисква свидетелство за съдимост от всеки кандидат?
Не. Свидетелство за съдимост може да се изисква само ако специален закон го предвижда — например Закон за частната охранителна дейност (за охранителен персонал), Закон за държавния служител, Закон за предучилищното и училищното образование (за преподаватели), Закон за кредитните институции (за банкови ръководители). За всички останали позиции изискването на свидетелство е нарушение на GDPR (чл. 10 — данни за присъди и нарушения) и потенциално основание за жалба до КЗЛД.
Колко време работодател може да съхранява CV-та на кандидати?
По чл. 25к, ал. 1 от ЗЗЛД срокът е максимум 6 месеца от приключване на процедурата по подбор. Срокът тече от окончателно приключване на процедурата (включително изтичане на сроковете за обжалване, ако има такива). Удължаване е възможно само със изрично, писмено съгласие на кандидата. След изтичане документите трябва да бъдат изтрити или унищожени.
Може ли HR директор да проверява LinkedIn профила на кандидат?
Да, но при условия. Според Работна група по член 29 — Становище 2/2017 (WP249) самият факт, че профилът е публично достъпен, НЕ означава автоматично право на обработване. Препоръчителна практика: проверявайте само професионално-релевантна информация (опит, образование, препоръки), документирайте кои профили сте проверили и защо, не използвайте лична информация (политически възгледи, религия, личен живот) за оценка. За масови или систематични проверки е необходим тест за легитимен интерес (тест за легитимен интерес).
Кои данни НЕ могат да се искат от кандидат?
По чл. 12 от Закона за защита от дискриминация и принципите на GDPR не се искат: възраст (освен ако е изискване на закона), бременност или семейно положение, политически възгледи, религиозни убеждения, синдикална принадлежност, сексуална ориентация, етнически произход. Тези данни попадат в специалните категории по чл. 9 GDPR и могат да доведат до жалба пред КЗД и КЗЛД едновременно.
Може ли да се изискват препоръки от бивши работодатели?
Да, но със съгласие на кандидата. Препоръчителната практика: кандидатът сам предоставя контакти на бивши работодатели; работодателят се обажда (не споделя оценка с трети лица); съхранява само резюме на разговора, не целия запис. От 1 юни 2025 г. ЕЕТЗ (единен електронен трудов запис), управляван от НАП, дава достъп до официална информация за минала заетост — това е по-надеждна алтернатива на устните препоръки.
Какво трябва да изисквам от доставчик за проверки на кандидати?
Първо: писмен договор за обработване по чл. 28 GDPR. Второ: документация за източниците (откъде черпи данните); съгласие от кандидата за всяка проверка; ясно разграничение какво проверява за всяка позиция. Трето: процедура за оспорване от кандидата на неточни данни. Четвърто: гаранции за сигурност и срок за съхранение. Пето: GDPR съответствие на самия доставчик. Не приемайте „универсален" пакет за всички позиции.
Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изготвяне на политика за наемане, преглед на договор с проверка на кандидата доставчик или защита при жалба от кандидат, моля свържете се с нас.
Проверки на кандидати за ръководни позиции — без правен риск
Помагаме на HR директори, агенции за подбор на персонал и съответствие екипи да внедрят процеси за проверки на кандидати, които са едновременно ефективни и в съответствие с българското право.
- Изготвяне на политика за наемане и формуляри за кандидатстване
- Преглед на договори с проверка на кандидата доставчики (DPA по чл. 28 GDPR)
- Шаблони за съгласие за проверка в социалните медии и за по-дълго съхранение
- Обучение на специалисти по подбор за правилата на ЗЗДискр. и GDPR
- Защита при жалби от кандидати пред КЗД и КЗЛД
- Процедури за специфични регулирани позиции (банки, охрана, образование)
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за HR директори, юрисконсулти и DPO в големи компании. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират HR директори и юрисконсулти на над 90 компании в България — банки, телекоми, технологични фирми и държавни органи — за процеси по подбор на персонал в съответствие с GDPR, ЗЗЛД, ЗЗДискр. и Кодекса на труда.