Digital Omnibus — какво се променя в GDPR за бизнеса от 2026
На 19 ноември 2025 г. Европейската комисия публикува Digital Omnibus — законодателен пакет, който за първи път предлага съществени изменения на GDPR от приемането му през 2016 г. Целта: намаляване на административната тежест за бизнеса с прогнозирани 6 милиарда евро спестявания годишно, без да се компрометира защитата на личните данни. В тази статия разглеждаме ключовите промени, позицията на ЕКЗД и какво трябва да направи вашият бизнес още сега.
Съдържание
- Какво е Digital Omnibus и защо е важен
- Нотификация при нарушение: от 72 на 96 часа
- ROPA освобождаване: от 250 на 750 служители
- Нови правила за DSAR исканията
- AI/ML и легитимен интерес — нов чл. 88в
- Реформа на cookie consent — чл. 88а
- Промяна в дефиницията за лични данни
- ЕКЗД/ЕНОЗД Съвместно становище 2/2026
- Времева рамка за приемане
- 7 неща, които бизнесът трябва да направи СЕГА
- Често задавани въпроси
Какво е Digital Omnibus и защо е важен
Digital Omnibus е част от по-широкия Digital Package на Европейската комисия, публикуван на 19 ноември 2025 г. За разлика от предишни насоки и тълкувания, този пакет предлага законодателни изменения директно в текста на GDPR — първите от този вид от влизането на регламента в сила на 25 май 2018 г.
Основната мотивация: 8 години практическо прилагане на GDPR показаха, че някои изисквания създават непропорционална административна тежест, особено за малки и средни предприятия (МСП), без да допринасят съществено за защитата на личните данни.
Комисията подчертава, че целта не е отслабване на защитата, а рационализиране на процесите. Въпреки това, някои от предложенията предизвикаха остри реакции от страна на Европейския комитет по защита на данните (ЕКЗД) и Европейския надзорен орган по защита на данните (ЕНОЗД).
Нотификация при нарушение: от 72 на 96 часа
Една от най-коментираните промени засяга процедурата при нарушение на сигурността на личните данни. Digital Omnibus предлага четири ключови изменения:
Какво се променя при breach notification
1. Срок: от 72 на 96 часа — Администраторите ще имат 96 часа (вместо 72) за уведомяване на надзорния орган. Допълнителните 24 часа са резултат от обратната връзка, че 72 часа често са недостатъчни за качествена оценка на инцидента.
2. Праг: само ВИСОК РИСК — Задължението за нотификация се ограничава до нарушения, които представляват висок риск за правата и свободите на субектите. Досега прагът беше „вероятен риск“ — значително по-нисък стандарт.
3. Единна входна точка (чл. 33а) — Администратори, опериращи в няколко държави членки, ще могат да уведомяват само водещия надзорен орган, вместо всеки национален орган поотделно.
4. Стандартизиран формуляр на ЕКЗД — ЕКЗД ще изработи единен, стандартизиран шаблон за уведомяване, което ще улесни попълването и ще намали грешките.
Внимание: Повишеният праг не означава по-малко отговорност
Въпреки че само нарушения с висок риск ще изискват уведомяване на надзорния орган, задължението за вътрешно документиране на всички нарушения (чл. 33, пар. 5) остава непроменено. Също така, задължението за уведомяване на субектите на данни при висок риск (чл. 34) се запазва.
ROPA освобождаване: от 250 на 750 служители
Регистърът на дейностите по обработване (ROPA) по чл. 30 от GDPR е един от най-времеемките елементи за съответствие. Digital Omnibus предлага драстично разширяване на изключението:
| Критерий | Сегашно изискване | Digital Omnibus |
|---|---|---|
| Брой служители | Задължително за ≥ 250 служители | Задължително само за ≥ 750 служители |
| Годишен оборот | Без финансов критерий | Или ≥ €150 млн. оборот |
| Балансова стойност | Без финансов критерий | Или ≥ €129 млн. активи |
| Изключения | Рискова/системна обработка | Запазват се: рискова, системна или специални категории данни |
Какво означава това за българския бизнес
Въздействието върху българските МСП е значително. Повечето фирми в страната имат далеч под 750 служители и оборот под €150 млн.
Освобождаването от ROPA не означава освобождаване от GDPR
Дори ако вашата фирма попадне в освободената категория, поддържането на ROPA остава силно препоръчително. Регистърът е основен инструмент за доказване на съответствие (accountability principle по чл. 5, пар. 2) и е първото нещо, което КЗЛД изисква при проверка. При GDPR одит липсата на ROPA е червен флаг, дори да не е формално задължителен.
Нови правила за DSAR исканията
Правата на субектите на данни (Data Subject Access Requests — DSAR) остават непроменени по принцип, но Digital Omnibus внася важни уточнения за случаите, когато исканията са „явно неоснователни или прекомерни“ (чл. 12, пар. 5):
- По-ясна дефиниция на „явно неоснователна или прекомерна“ — въвеждат се конкретни критерии, вместо да се разчита само на тълкуване от съдебната практика
- Злоупотреба с права — изрично се посочва, че повтарящи се идентични искания с цел причиняване на неудобство или натиск могат да бъдат отказани
- Несъразмерни искания — администраторът може да откаже или да начисли разумна такса при искания, изискващи непропорционални ресурси спрямо обема и сложността на данните
- Тежестта на доказване остава при администратора — той трябва да докаже, че искането е неоснователно или прекомерно, а не субектът да доказва обратното
Тези промени са особено релевантни за компании, които получават голям обем DSAR искания — финтех платформи, телекомуникационни оператори и онлайн търговци.
AI/ML и легитимен интерес — нов чл. 88в
Може би най-дискусионната промяна: Digital Omnibus предлага нов чл. 88в, който създава изрично правно основание за обработка на лични данни при разработка и използване на модели за изкуствен интелект и машинно обучение.
Какво предвижда новият чл. 88в
-
Легитимен интерес за AI/ML обработка
Разработката и обучението на AI/ML модели може да се основава на легитимен интерес (чл. 6, пар. 1, б. „е“) при спазване на конкретни гаранции, без необходимост от изрично съгласие на субектите.
чл. 88в(1) — предложение на ЕК -
Безусловно право на възражение
Субектите на данни запазват безусловно право на възражение срещу обработката за AI/ML цели, без да е необходимо да доказват „основания, свързани с конкретното им положение“ (за разлика от стандартния чл. 21).
чл. 88в(3) — предложение на ЕК -
Задължителна DPIA
Преди започване на обработка за AI/ML цели, администраторът е длъжен да извърши оценка на въздействието (DPIA) по чл. 35, включваща анализ на рисковете за правата на субектите.
чл. 88в(2) — предложение на ЕК -
Ограничения при автоматизирано вземане на решения
Чл. 88в не отменя забраната по чл. 22 за решения, основани единствено на автоматизирано обработване, включително профилиране, с правни последици. За такива решения е необходимо допълнително правно основание.
чл. 22 GDPR — запазва се
Загрижеността на ЕКЗД
ЕКЗД изразява сериозни резерви относно широкия обхват на чл. 88в. В Съвместно становище 2/2026 ЕКЗД предупреждава, че твърде либералният подход може да подкопае принципа за минимизиране на данните и да създаде „задна врата“ за масова обработка на лични данни за AI обучение без реален контрол.
Реформа на cookie consent — чл. 88а
Digital Omnibus предлага нов чл. 88а, който разширява изключенията от изискването за съгласие при използване на бисквитки и подобни технологии за проследяване:
- Аналитични бисквитки — Първична уеб аналитика (напр. измерване на посещения, bounce rate) без съгласие, ако данните се обработват само от администратора (first-party) и не се споделят с трети страни
- A/B тестване — Бисквитки за тестване на варианти на съдържание, при условие че не се създават профили на потребителите
- Борба с измами — Технологии за разпознаване на ботове и предотвратяване на измами — без съгласие
- Софтуерни актуализации — Проверка за нужда от актуализация — без съгласие
Това означава, че инструменти като Google Analytics 4 (ако се конфигурират само за first-party аналитика без споделяне с Google за рекламни цели) или Matomo/Plausible биха могли да работят без cookie consent банер за аналитичната си функция.
Маркетинг бисквитките остават непроменени
Важно уточнение: промяната засяга само аналитичните и техническите бисквитки. За маркетинг, ретаргетинг и рекламни бисквитки на трети страни изискването за изрично, информирано съгласие остава в пълна сила. Cookie банерите няма да изчезнат — но ще бъдат по-прости.
Промяна в дефиницията за лични данни
Може би най-контроверсното предложение в Digital Omnibus: промяна на определението за „лични данни“ по чл. 4, пар. 1 от GDPR. Предложението цели да изключи определени псевдонимизирани набори от данни от обхвата на регламента при конкретни условия.
ЕКЗД и ЕНОЗД „категорично се противопоставят“
В Съвместно становище 2/2026 ЕКЗД и ЕНОЗД заявяват, че „категорично се противопоставят“ (strongly oppose) на тази промяна. Аргументите: промяната може да създаде правна несигурност, да отслаби защитата на субектите и да противоречи на установената съдебна практика на Съда на ЕС (включително делата Breyer и Schrems II).
Съветът на ЕС вероятно ще елиминира тази промяна в хода на преговорите, предвид единодушната опозиция от надзорните органи. Към март 2026 г. няколко национални делегации вече са изразили резерви.
За бизнеса: не планирайте промени, основани на тази потенциална промяна в дефиницията. Шансовете тя да оцелее в окончателния текст са минимални.
ЕКЗД/ЕНОЗД Съвместно становище 2/2026
На 17 януари 2026 г. ЕКЗД и ЕНОЗД публикуваха Съвместно становище 2/2026 относно предложението за Digital Omnibus. Становището е балансирано, но недвусмислено:
- Подкрепа за опростяването на breach notification процедурата (96 часа + единна входна точка)
- Подкрепа за стандартизирания формуляр за уведомяване при нарушения
- Подкрепа за разширяване на ROPA изключението при ясни критерии
- Подкрепа за по-ясните правила за DSAR исканията
Но също така:
- Категорично противопоставяне срещу промяна на дефиницията за лични данни
- Загриженост относно обхвата на легитимния интерес за AI/ML (чл. 88в)
- Призив за допълнителни гаранции при cookie consent изключенията
- Настояване за запазване на ролята на ЕКЗД при тълкуване на новите разпоредби
Времева рамка за приемане
Digital Omnibus следва обикновената законодателна процедура (codecision). Ето очакваната времева рамка:
- 19 ноември 2025 г. — Европейската комисия публикува предложението
- 17 януари 2026 г. — ЕКЗД/ЕНОЗД публикуват Съвместно становище 2/2026
- Март 2026 г. — Комисия LIBE на Европейския парламент започва работа по доклада
- Пролет–лято 2026 г. — Trilogue преговори между Парламента, Съвета и Комисията
- Края на 2026 / началото на 2027 г. — Общ подход на Съвета
- Средата на 2027 г. — Очаквано окончателно приемане и публикуване в OJ
- 2027–2028 г. — Влизане в сила (вероятно с преходен период)
Важно за българския бизнес
Дори преди окончателно приемане, КЗЛД вероятно ще адаптира практиката си в съответствие с духа на промените. Прецеденти от CJEU и насоки на ЕКЗД вече се прилагат преди формално транспониране. Подготовката сега е стратегически правилна.
7 неща, които бизнесът трябва да направи СЕГА
Не чакайте окончателното приемане. Ето конкретните стъпки, които можете да предприемете днес:
-
Направете GDPR одит на текущото състояние
Преди да се подготвяте за промените, уверете се, че сте в съответствие с действащите правила. Одитът ще идентифицира пропуски, които трябва да бъдат адресирани независимо от Digital Omnibus. Вижте нашата услуга за GDPR одит.
-
Преразгледайте процедурата за breach notification
Актуализирайте вътрешния план за реакция при инциденти (Incident Response Plan). Дори преди промяната от 72 на 96 часа, инвестирайте в качеството на уведомлението, а не просто в скоростта. Подгответе се за стандартизирания формуляр.
-
Продължавайте да поддържате ROPA
Дори ако фирмата ви ще бъде формално освободена при прага от 750 служители, ROPA е вашата застрахователна полица при проверка от КЗЛД. Оптимизирайте го, вместо да го елиминирате.
-
Одитирайте cookie consent механизма
Подгответе се за разделянето на бисквитките на категории. Идентифицирайте кои бисквитки биха попаднали в новите изключения (first-party аналитика, A/B тест) и кои остават с изискване за съгласие.
-
Оценете AI/ML проектите си
Ако използвате или планирате AI/ML решения, направете DPIA сега. Документирайте правното основание, гаранциите за субектите и механизма за право на възражение. Не чакайте чл. 88в — подгответе се предварително.
-
Обучете екипа си
Информирайте DPO (или отговорното лице за GDPR), правния екип и IT отдела за предстоящите промени. Awareness е ключов елемент на подготовката. Провеждайте вътрешни брифинги поне на тримесечие.
-
Потърсете експертна помощ навреме
Промените засягат множество области едновременно: процедури, технология, документация, обучения. Комплексната подготовка изисква мултидисциплинарен подход — право, IT, организация. Не оставяйте всичко за последния момент.
Често задавани въпроси
Кога влизат в сила промените от Digital Omnibus?
Предложението е публикувано на 19 ноември 2025 г. от ЕК. Към март 2026 г. се провеждат trilogue преговори. Окончателно приемане се очаква средата на 2027 г., с вероятен преходен период от 12–24 месеца. Промените няма да влязат в сила преди 2028 г., но подготовката трябва да започне сега.
Какво означава промяната в ROPA прага от 250 на 750 служители?
Предприятия с по-малко от 750 служители, оборот под €150 млн. и балансова стойност под €129 млн. няма да имат формално задължение да поддържат регистър на дейностите по обработване (ROPA) по чл. 30. Изключенията обаче се запазват: ако обработката е рискова, системна или включва специални категории данни, ROPA остава задължителен. На практика — препоръчително е да продължите да го поддържате.
Променя ли се срокът за уведомяване при теч на данни?
Да. Digital Omnibus предлага удължаване от 72 на 96 часа и ограничаване на задължението само до нарушения с висок риск (вместо досегашния „вероятен риск“). Въвежда се единна входна точка (чл. 33а) и стандартизиран формуляр от ЕКЗД за по-лесно уведомяване.
Как засяга Digital Omnibus използването на AI в бизнеса?
Новият чл. 88в предвижда легитимен интерес като правно основание за AI/ML обработка при обучение на модели. Но с гаранции: субектите запазват безусловно право на възражение, задължителна е DPIA, а профилиране с правни последици без допълнително основание остава забранено. ЕКЗД изразява загриженост относно потенциалните злоупотреби.
Подгответе бизнеса си за промените в GDPR
Digital Omnibus ще промени правилата за всички. Започнете с одит на текущото състояние и ясен план за адаптация.
- GDPR одит — идентифициране на пропуски
- Преглед на breach notification процедурите
- Оценка на AI/ML обработките за съответствие
- Актуализиране на cookie consent механизма
- DPO като услуга — месечен абонамент
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Тази статия отразява правното положение към 17 март 2026 г. и се основава на предложението на Европейската комисия COM(2025) 560 final от 19 ноември 2025 г. Digital Omnibus все още е в законодателна процедура и окончателният текст може да се различава съществено. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно подготовката за промените, моля свържете се с нас.
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.