Договор за обработка на лични данни — какво трябва да съдържа
Договорът за обработка на лични данни (DPA — Data Processing Agreement) е задължително споразумение по чл. 28 от GDPR между администратор и обработващ лични данни. Той урежда предмета, продължителността, естеството и целта на обработването и трябва да съдържа 8 задължителни клаузи, определени в чл. 28, пар. 3 от Регламент (ЕС) 2016/679. Без DPA и двете страни носят отговорност и рискуват санкции от КЗЛД.
Съдържание
- Какво е договор за обработка и защо е задължителен
- Кога е необходим договор — практически примери
- 8-те задължителни клаузи по чл. 28(3)
- Подизпълнители (sub-processors)
- Администратор vs. обработващ vs. съвместни администратори
- Стандартни договорни клаузи на ЕК
- Чести грешки
- Санкции
- Често задавани въпроси
Какво е договор за обработка и защо е задължителен
Договорът за обработка на лични данни (Data Processing Agreement, DPA) е правен документ, който урежда отношенията между администратор на лични данни и обработващ лични данни, когато последният обработва данни от името на администратора.
Съгласно GDPR, ролите са дефинирани в чл. 4:
- Администратор (чл. 4(7)) — лицето, което определя целите и средствата за обработване на лични данни. Това е вашият бизнес.
- Обработващ (чл. 4(8)) — лицето, което обработва данни от името на администратора. Това е вашият доставчик — хостинг компания, маркетингова агенция, облачен софтуер.
Обработването от обработващ лични данни се урежда с договор или друг правен акт съгласно правото на Съюза или правото на държавата членка, който е задължителен за обработващия лични данни спрямо администратора...
— Чл. 28, пар. 3 от GDPR
Ключовият момент: чл. 28(9) от GDPR изисква договорът да бъде в писмена форма, включително в електронен формат. Устните уговорки не са достатъчни.
Защо е задължителен? Без DPA администраторът:
- Нарушава чл. 28 от GDPR — подлежи на глоби до 10 000 000 EUR / 2% от оборота
- Няма правно основание да предаде данните на обработващия
- Не може да контролира как обработващият използва данните
- Носи пълна отговорност при нарушение на сигурността, без възможност за регрес
За повече информация относно цялостната GDPR документация, вижте нашето ръководство за политика за поверителност по GDPR.
Кога е необходим договор — практически примери
Не всяка външна услуга изисква DPA. Ключовият въпрос е: обработва ли доставчикът лични данни от ваше име? Ето практическа таблица:
| Доставчик / Услуга | DPA необходим? | Обяснение |
|---|---|---|
| Хостинг компания | ДА | Съхранява и обработва данни на вашите клиенти на своите сървъри от ваше име. |
| Счетоводител / счетоводна къща | ЗАВИСИ | Ако действа по ваши указания — обработващ (DPA). Ако има собствени законови задължения (напр. данъчно законодателство) — може да е самостоятелен администратор. |
| IT поддръжка с отдалечен достъп | ДА | Има достъп до системи с лични данни и обработва от ваше име. |
| Маркетингова агенция | ДА | Обработва имейл списъци, данни от реклами, аналитики от ваше име. |
| Платежен процесор | ЗАВИСИ | Зависи от модела. Ако процесорът определя сам средствата за обработка на плащанията — може да е самостоятелен администратор (напр. банка). Ако действа изцяло по ваши указания — обработващ. |
| Адвокат / адвокатска кантора | ОБИКНОВЕНО НЕ | Адвокатът действа независимо по силата на закона и професионалните си задължения — обикновено е самостоятелен администратор. |
| Куриерска фирма | ОБИКНОВЕНО НЕ | Куриерът обработва данните за доставка за собствени цели (изпълнение на куриерската услуга) — обикновено самостоятелен администратор. |
Правило за ориентация
Задайте си въпроса: „Доставчикът обработва ли данните само по мои указания и за мои цели?" Ако отговорът е „да" — трябва DPA. Ако доставчикът определя сам целите — той е самостоятелен администратор и DPA не се изисква (но може да е необходимо друго правно основание за предаването на данните).
За специфични сценарии в електронната търговия вижте GDPR за онлайн магазини.
8-те задължителни клаузи по чл. 28(3)
Чл. 28(3) от GDPR изброява осем задължителни елемента, които трябва да присъстват във всеки договор за обработка. Освен тях, договорът трябва да определи и предмета, продължителността, естеството и целта на обработването, видовете лични данни и категориите субекти на данни.
-
Документирани указания на администратора
Обработващият обработва личните данни само по документирани указания на администратора, включително по отношение на предаването на данни към трети страни. Ако законът изисква друго — обработващият уведомява администратора преди обработването.
чл. 28(3)(а) -
Задължение за поверителност
Обработващият гарантира, че лицата, оправомощени да обработват данните, са поели задължение за поверителност или имат подходящо нормативно задължение за поверителност. Това включва служители, подизпълнители и всеки с достъп до данните.
чл. 28(3)(б) -
Мерки за сигурност по чл. 32
Обработващият предприема всички подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска — криптиране, псевдонимизация, способност за възстановяване, редовно тестване. Конкретните мерки трябва да бъдат описани в договора или в приложение към него.
чл. 28(3)(в) + чл. 32 -
Условия за привличане на подизпълнители
Обработващият не привлича друг обработващ (sub-processor) без предварителното писмено разрешение на администратора — общо или конкретно. При общо разрешение обработващият информира за всяка промяна, за да може администраторът да възрази.
чл. 28(3)(г) + чл. 28(2)/(4) -
Съдействие при упражняване на права на субектите
Обработващият подпомага администратора чрез подходящи технически и организационни мерки при изпълнение на задълженията за отговор на искания за упражняване на права — достъп, коригиране, изтриване, преносимост, възражение.
чл. 28(3)(д) -
Съдействие при сигурност, ОВЗД и нарушения
Обработващият подпомага администратора при: осигуряване на сигурност (чл. 32), уведомяване при нарушение на сигурността (чл. 33–34), оценка на въздействието (DPIA, чл. 35–36). Особено важно: при нарушение обработващият уведомява администратора без ненужно забавяне.
чл. 28(3)(е) -
Изтриване или връщане на данните
При приключване на услугите по обработване обработващият, по избор на администратора, изтрива или връща всички лични данни и заличава съществуващите копия, освен ако правото на Съюза или на държава членка не изисква съхранение.
чл. 28(3)(ж) -
Право на одит
Обработващият предоставя на администратора цялата необходима информация за доказване на изпълнение на задълженията, позволява и допринася за извършването на одити и проверки, включително от друг одитор, упълномощен от администратора.
чл. 28(3)(з)
Допълнителни задължителни реквизити
Освен 8-те клаузи по-горе, чл. 28(3) изисква договорът да определя:
- Предмет и продължителност — какво обработване и за какъв период
- Естество и цел — по какъв начин и защо се обработват данните
- Вид лични данни — имена, имейли, IP адреси, финансови данни и т.н.
- Категории субекти — клиенти, служители, уебсайт посетители и т.н.
За цялостен преглед на вашата GDPR документация, разгледайте GDPR одит за бизнеса.
Подизпълнители (sub-processors)
Въпросът с подизпълнителите е една от най-сложните и практически значими теми при DPA договорите. Чл. 28(2) и (4) от GDPR установяват ясни правила:
Предварително разрешение
Обработващият не може да привлече друг обработващ (sub-processor) без предварителното писмено разрешение на администратора. Разрешението може да бъде:
- Конкретно — за всеки отделен подизпълнител поотделно
- Общо — обработващият информира администратора за планирани промени, а администраторът има право да възрази
Flow-down задължения
Съгласно чл. 28(4), когато обработващият привлече друг обработващ, същите задължения за защита на данни от договора между администратора и обработващия се налагат и на подизпълнителя чрез отделен договор. Това означава, че подизпълнителят също трябва да:
- Обработва данни само по документирани указания
- Осигурява мерки за сигурност по чл. 32
- Изтрие или върне данните при приключване
- Позволява одити
Обработващият остава отговорен
Съгласно чл. 28(4), ако подизпълнителят не изпълни задълженията си, първоначалният обработващ остава изцяло отговорен пред администратора за изпълнението на задълженията на подизпълнителя. Затова е критично важно обработващият да подбира подизпълнителите си внимателно.
На практика, големите облачни доставчици (AWS, Google Cloud, Microsoft Azure) публикуват списъци на подизпълнителите си и предлагат механизъм за уведомяване при промени. Проверете дали вашият DPA покрива тези сценарии.
Администратор vs. обработващ vs. съвместни администратори
Правилното определяне на ролите е фундаментално за GDPR съответствието. Грешната квалификация води до грешен договор и потенциални санкции.
Администратор (controller) — чл. 4(7)
Физическо или юридическо лице, което определя целите и средствата за обработване. Примери: вашата фирма по отношение на данните на клиентите ви, работодател по отношение на данните на служителите.
Обработващ (processor) — чл. 4(8)
Физическо или юридическо лице, което обработва данни от името на администратора. Примери: хостинг доставчик, SaaS платформа за имейл маркетинг, облачен CRM.
Съвместни администратори (joint controllers) — чл. 26
Когато двама или повече администратори съвместно определят целите и средствата за обработване. В този случай се сключва споразумение по чл. 26 (не DPA по чл. 28), което определя отговорностите на всяка страна. Пример: две компании, които съвместно провеждат маркетингова кампания и споделят базата данни.
EDPB Насоки 07/2020
Европейският комитет по защита на данните (ЕКЗД / EDPB) публикува Насоки 07/2020 относно понятията „администратор" и „обработващ". Ключовият принцип: квалификацията се извършва на база фактически анализ, а не на база наименованието в договора. Дори да наричате партньора си „обработващ", ако той фактически определя целите — той е администратор. Подробности: edpb.europa.eu
Стандартни договорни клаузи на ЕК
На 4 юни 2021 г. Европейската комисия прие Решение за изпълнение (ЕС) 2021/915, с което утвърди стандартни договорни клаузи (Standard Contractual Clauses, SCC) за отношенията администратор—обработващ по чл. 28(7) GDPR.
Тези SCC могат да се използват като готов шаблон за вашия DPA. Предимствата:
- Пълно покритие — включват всички задължителни елементи по чл. 28(3)
- Правна сигурност — одобрени от Европейската комисия
- Модулна структура — можете да изберете приложимите модули
- Допълнителни гаранции — покриват и аспекти, които не са изрично изискуеми, но са добра практика
Използването им е доброволно, но силно препоръчително, особено за малки бизнеси, които нямат ресурс за изготвяне на DPA от нулата.
Не бъркайте двата вида SCC
SCC по чл. 28(7) (Решение 2021/915) са за отношението администратор—обработващ в рамките на ЕИП. SCC по чл. 46(2)(в) (Решение 2021/914) са за международен трансфер на данни извън ЕИП. Двата документа имат различна функция и често трябва да се използват заедно, когато обработващият е извън ЕИП.
Чести грешки
В нашата практика на GDPR одити за български бизнеси, най-често срещаме следните проблеми с DPA договорите:
- Липса на DPA изобщо — бизнесът използва десетки външни доставчици (хостинг, CRM, маркетинг, счетоводство), но няма нито един договор за обработка. Това е директно нарушение на чл. 28(3).
- Грешна квалификация на ролите — доставчикът е посочен като „обработващ", но фактически определя целите и средствата за обработване. Или обратно — самостоятелен администратор е квалифициран като обработващ.
- Copy-paste без персонализация — използван е generic шаблон, който не отразява конкретните видове данни, категории субекти, мерки за сигурност и специфики на услугата.
- Липса на клаузи за подизпълнители — договорът не урежда правото на обработващия да привлича sub-processors, нито механизма за уведомяване и възразяване.
- Неясни мерки за сигурност — вместо конкретни технически и организационни мерки, се използват общи фрази като „подходящи мерки за сигурност" без приложение с детайли.
- Липса на право на одит — администраторът няма договорно право да проверява дали обработващият спазва задълженията си. Без тази клауза чл. 28(3)(з) не е изпълнен.
- Неясен режим на изтриване — не е уредено какво се случва с данните при прекратяване на договора — изтриване, връщане, срокове, формат.
- Пренебрегване на международни трансфери — обработващият използва подизпълнители извън ЕИП (напр. AWS US, Cloudflare), но DPA не покрива механизмите за трансфер (SCC, решение за адекватност).
Санкции
Нарушенията на задълженията на администратора и обработващия по чл. 28 попадат под чл. 83(4)(а) от GDPR:
Глоби до 10 000 000 EUR или 2% от оборота
Нарушенията на задълженията на администратора и обработващия, посочени в членове 8, 11, 25–39, 42 и 43, подлежат на административни наказания в размер до 10 000 000 EUR, или, в случай на предприятие — до 2% от общия му годишен световен оборот за предходната финансова година, като се прилага по-голямата сума.
В българската практика Комисията за защита на личните данни (КЗЛД) е налагала санкции за нарушения, свързани с липсата на подходящи договорни отношения с обработващи. Размерите на глобите зависят от:
- Естеството, тежестта и продължителността на нарушението
- Дали нарушението е умишлено или по небрежност
- Мерките, предприети за смекчаване на вредите
- Категориите лични данни, засегнати от нарушението
- Предишни нарушения от страна на администратора или обработващия
Важно: санкциите по чл. 83(4) са отделни от евентуалната гражданска отговорност по чл. 82 GDPR, по която засегнатите лица могат да претендират обезщетение за претърпени вреди. При нарушение на сигурността, липсата на DPA значително влошава позицията на администратора.
Често задавани въпроси
Задължителен ли е договорът за обработка на лични данни?
Да. Съгласно чл. 28(3) от GDPR, обработването от обработващ лични данни се урежда с договор или друг правен акт. Без такъв документ администраторът нарушава GDPR и подлежи на санкции до 10 000 000 евро или 2% от годишния оборот. Задължението важи за всеки случай, в който външен доставчик обработва лични данни от ваше име.
Какво се случва при липса на договор за обработка?
Липсата на DPA е нарушение на чл. 28 GDPR и попада под санкционния режим на чл. 83(4)(а). Освен финансовите санкции, администраторът носи пълна отговорност за всички действия на обработващия, без ефективна възможност за регрес. При проверка от КЗЛД или при нарушение на сигурността, това е един от първите документи, които се изискват.
Може ли договорът за обработка да е част от основния договор?
Да. Чл. 28(3) GDPR позволява клаузите за обработка да бъдат включени като анекс, приложение или отделен раздел в основния договор за услуги. Важното е да бъдат покрити всички 8 задължителни елемента. На практика обаче отделен DPA е по-лесен за управление, актуализиране и одитиране.
Кой трябва да изготви договора за обработка?
Задължението е на администратора — той трябва да гарантира, че обработващият действа само по негови документирани указания. На практика често обработващият предлага свой шаблон (особено големите SaaS доставчици), но администраторът носи отговорността да провери дали документът покрива всички изисквания на чл. 28(3) и отразява реалната обработка.
Трябва ли DPA при използване на облачни услуги (AWS, Google Cloud)?
Да. Всеки облачен доставчик, който обработва лични данни от ваше име, е обработващ по смисъла на GDPR. Големите доставчици (AWS, Google, Microsoft) предлагат стандартни DPA, които трябва да приемете и активирате изрично — обикновено чрез техния портал за управление или при сключване на договора за услуги.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Нуждаете се от договор за обработка на лични данни?
Не разчитайте на generic шаблони. Нашият екип изготвя DPA договори, съобразени с конкретните ви доставчици и потоци от данни.
- Изготвяне на DPA по чл. 28 GDPR
- Преглед и актуализация на съществуващи DPA
- Пълен пакет GDPR документация
- Анализ на ролите администратор / обработващ
- Стандартни договорни клаузи за международен трансфер
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.