GDPR AI И КОРПОРАТИВНО Публикувано: 24 април 2026 13 мин четене

DPIA за ChatGPT, Microsoft Copilot и Google Gemini — внедряване в бизнеса 2026

Q: Задължителна ли е DPIA преди внедряване на ChatGPT, Copilot или Gemini?

Почти винаги — да. По чл. 35 GDPR DPIA е задължителна при висок риск за правата на субектите. Списъкът на КЗЛД от 2019 г. включва „иновативни технологии” с потенциален висок риск, което обхваща AI системите. Освен това всеки от трите инструмента: (1) обработва лични данни на служители и/или клиенти, (2) ползва автоматизирано вземане на решения или генерира съдържание за лица, (3) включва трансфери извън ЕС. Съчетанието на тези три елемента отключва задължителна DPIA.

Q: С какво се различават трите инструмента от GDPR гледна точка?

Microsoft 365 Copilot — най-добре адаптиран за корпоративна употреба по зона за данни в ЕС (от март 2024 г.); Microsoft е обработващ; данните не се ползват за обучение по подразбиране. ChatGPT Enterprise — данните не се ползват за обучение, OpenAI е обработващ, но трансферите са в САЩ под SCC. Google Gemini for Workspace — Google е обработващ; опции за локализация на данните в ЕС; ясни договорни клаузи. Безплатните версии (ChatGPT, Gemini Free) НЕ са подходящи за корпоративна употреба — данните могат да се ползват за обучение.

Q: Какво е значението на Garante глобата от 15 млн. евро на OpenAI?

През декември 2024 г. италианският Garante наложи глоба от 15 млн. евро на OpenAI за нарушения от 2023 г.: неправомерно ползване на лични данни за обучение на ChatGPT без правно основание, липса на прозрачност, неуведомяване за нарушение на сигурността през март 2023 г., липса на възрастова проверка. Решението е важен прецедент: показва, че европейските надзорни органи няма да приемат „AI е специален” като извинение за неспазване на GDPR. За българските организации — категорично потвърждение, че DPIA преди внедряване е задължителна.

Q: Какъв е рискът „гъвкаво маршрутизиране” на Microsoft Copilot за GDPR?

По неотдавнашни анализи на Microsoft документация, при пиково натоварване Microsoft 365 Copilot може да маршрутизира заявки за AI обработване извън зона за данни в ЕС — с цел поддържане на качеството на услугата. Към момента в административната конзола на Microsoft 365 няма опция за изключване на гъвкаво маршрутизиране. За високорискови сектори (банки, здравеопазване, държавна администрация) това е значим фактор за DPIA. Препоръка: следете обновленията на Microsoft Product Terms и Data Protection Addendum, и при необходимост обсъдете с Microsoft договорни ограничения.

През 2024 г. Garante (италианският надзорен орган) наложи на OpenAI глоба от 15 млн. евро за нарушения при ChatGPT — недостатъчно правно основание, липса на прозрачност, неуведомяване за нарушение на сигурността. Това е сигнал за всяка европейска компания: ползването на ChatGPT, Microsoft 365 Copilot или Google Gemini в бизнеса без оценка на въздействието по чл. 35 GDPR е сериозен риск. Това ръководство дава сравнителен анализ на тримата лидери, ключовите рискове и практически шаблон за DPIA — за CIO, длъжностни лица по защита на данните и юрисконсулти.

Съдържание

Защо DPIA за AI инструменти е критично важна сега
Кога DPIA е задължителна
Сравнение: ChatGPT vs Copilot vs Gemini
Осем ключови риска за оценка
Garante решение и какво научихме
Сенчесто използване на AI — най-големият скрит риск
Структура на DPIA за AI инструмент
Чеклист за внедряване
Често задавани въпроси

Защо DPIA за AI инструменти е критично важна сега

През 2025–2026 г. корпоративните AI инструменти преминаха от пилоти към масово внедряване. По различни оценки на пазара, над 70% от средните и големи европейски компании ползват поне един от тримата лидери — ChatGPT Enterprise, Microsoft 365 Copilot или Google Gemini for Workspace. Регулаторите реагираха:

Декември 2024 г. — Garante глобява OpenAI с 15 млн. евро
Октомври 2025 г. — EDPS публикува ревизирани насоки за генеративен AI
Април 2026 г. — EDPB приема нов хармонизиран DPIA шаблон
2 август 2026 г. — AI Act пълно прилагане за високорискови AI системи

Контекстът е ясен: регулаторният натиск само се увеличава, а компаниите, които внедряват AI инструменти без документирана оценка на въздействието, поемат непропорционален риск.

Кога DPIA е задължителна

По чл. 35, ал. 1 GDPR DPIA е задължителна, когато обработването „е вероятно да доведе до висок риск за правата и свободите на физическите лица". Внедряването на AI инструменти почти винаги попада в тази категория, защото отключва три едновременни условия от Решение № 1/2019 на КЗЛД:

Иновативни технологии

Списъкът на КЗЛД от 2019 г. изрично включва „иновативни технологии с потенциален висок риск" — генеративният AI безспорно попада тук.

Мащабно обработване

AI инструментите по дефиниция работят с големи обеми данни — служители, клиенти, документи, имейли. Мащабът е критерий по чл. 35(3)(б) GDPR.

Систематично оценяване

Когато AI поддържа решения за хора (HR оценка, кредитен скоринг, медицинска диагностика) — попада под чл. 22 GDPR за автоматизирани решения. Изисква DPIA.

Международни трансфери

OpenAI, Microsoft и Google са американски корпорации. Дори с зона за данни в ЕС, рискът от трансфер съществува (вж. гъвкаво маршрутизиране на Copilot).

Сравнение: ChatGPT vs Copilot vs Gemini

За корпоративна употреба не всички версии са еднакви. Безплатните или потребителските версии (ChatGPT Free, ChatGPT Plus, Gemini Free) НЕ са подходящи за бизнес — обработват данните за обучение на моделите. Корпоративните пакети имат фундаментално различни условия.

Аспект	ChatGPT Enterprise	Microsoft 365 Copilot	Google Gemini for Workspace
Доставчик	OpenAI (САЩ)	Microsoft (САЩ)	Google (САЩ)
Роля по GDPR	Обработващ	Обработващ	Обработващ
Данни за обучение	Не по подразбиране	Не по подразбиране	Не по подразбиране
зона за данни в ЕС	Опция (при пиково натоварване е възможно резервно пренасочване към САЩ)	Да от 03.2024 г. (но виж гъвкаво маршрутизиране)	Опция за локализация на данните в ЕС
SCC / трансфери	Да, в DPA	Да, в DPA	Да, в DPA
SOC 2 / ISO 27001	Да	Да	Да
Права на одит	Ограничени, чрез доклади	Ограничени, чрез доклади	Ограничени, чрез доклади

Не приемайте „enterprise" като автоматична GDPR съвместимост

Дори най-добрият корпоративен пакет НЕ ви освобождава от задължението за DPIA. Вашата компания остава администратор на личните данни и носи цялостната отговорност. Доставчикът е само обработващ. Оценката на въздействието трябва да адресира конкретно как данните на вашите служители и клиенти ще се обработват в инструмента.

Осем ключови риска за оценка

Всяка DPIA за AI инструмент трябва да оцени минимум следните осем риска:

Изтичане на корпоративна или клиентска информация в подканите към AI (prompts) — служител въвежда чувствителни данни в чат (заплати, медицински данни, договорни условия)
Халюцинации — генериране на неверни твърдения за реални лица — AI генерира фалшива информация за реални лица (с правен риск по чл. 5(1)(г) GDPR за точност)
Предубеденост (bias) и дискриминация — AI оценки на кандидати или служители възпроизвеждат систематична предубеденост
Автоматизирано вземане на решения по чл. 22 GDPR без подходящи гаранции
Международни трансфери — данни обработени в САЩ въпреки зона за данни в ЕС
Неуведомяване на субектите — клиенти и служители не знаят, че техни данни се обработват с AI
Липса на правно основание — особено когато AI се тренира на лични данни
сенчесто използване на AI (shadow AI) — служители ползват безплатни версии без корпоративен контрол

Garante решение и какво научихме

Кратко резюме на казуса

На 30 март 2023 г. италианският надзорен орган Garante per la protezione dei dati personali издаде временна забрана върху обработването на лични данни на италиански потребители от ChatGPT — поради установени нарушения при обучението на модела и липса на възрастова проверка. След предприети от OpenAI коригиращи мерки временната забрана беше вдигната, но административното производство продължи.

На 19 декември 2024 г. Garante постанови окончателно решение № 498/2024, с което наложи на OpenAI имуществена санкция в размер на 15 млн. евро и допълнително задължение за провеждане на 6-месечна информационна кампания по радио, телевизия, печатни и електронни медии.

Решението не е формално обвързващ прецедент за останалите надзорни органи в ЕС — задължителни за всички надзорни органи са само решенията на Европейския комитет по защита на данните (EDPB) по чл. 65 GDPR. Решението на Garante обаче представлява важен ориентир за КЗЛД и за останалите надзорни органи, тъй като разкрива тълкувателния подход към генеративните AI инструменти и очертава типичните нарушения.

Установените от Garante нарушения са:

Липса на правно основание за обработване на лични данни с цел обучение на ChatGPT
Нарушаване на принципа на прозрачност — потребителите не са били адекватно информирани
Неуведомяване на Garante за нарушение на сигурността от март 2023 г. (нарушение на чл. 33 GDPR)
Липса на възрастова проверка — риск за непълнолетни потребители

Освен глобата, Garante задължи OpenAI да проведе 6-месечна информационна кампания — мярка, която показва, че надзорните органи виждат проблема като структурен, а не индивидуален.

Какво означава за български компании

Решението показва, че надзорните органи в ЕС няма да приемат „AI е нова технология" като извинение за неспазване на GDPR. Българските компании, които внедряват ChatGPT, Copilot или Gemini, трябва да могат да докажат: (1) правно основание за всяко обработване, (2) прозрачност към субектите, (3) процедура за нарушения на сигурността, (4) подходящи гаранции за чувствителни групи (непълнолетни, особени категории данни).

Сенчесто използване на AI — най-големият скрит риск

Насоките на Европейския надзорен орган по защита на данните (EDPS) — EDPS Orientations on the use of generative AI systems by EU institutions от октомври 2025 г. — изрично определят сенчестото използване на AI (т.нар. shadow AI — употреба от служителите извън одобрен корпоративен контрол) като „значителен и нарастващ" риск за организациите.

Типичен сценарий: служител в HR отдела копира CV-та в безплатната версия на ChatGPT, за да направи „анализ на кандидатите". Резултатите:

Личните данни на кандидатите се изпращат на OpenAI без правно основание
Данните могат да се ползват за обучение на модела (в безплатната версия)
Няма договор за обработване по чл. 28 GDPR
Няма документация за трансфери в САЩ
Кандидатите не са информирани
Компанията е в нарушение на чл. 5, 6, 13, 28, 32, 44, 35 GDPR — едновременно

Препоръчителен подход: приемане на писмена вътрешна политика за използване на AI инструменти, която:

се приема със заповед на управителния орган и се връчва на всички служители срещу подпис;
изрично забранява ползването на безплатни и потребителски версии (ChatGPT Free/Plus, Gemini Free) за служебни задачи и за обработване на лични данни на трети лица;
посочва одобрени корпоративни алтернативи и реда за достъп до тях;
определя длъжностното лице по защита на данните и CISO като отговорни за актуализацията;
се преразглежда най-малко веднъж на 12 месеца;
предвижда дисциплинарна отговорност при нарушение по реда на чл. 188 и сл. от Кодекса на труда.

Структура на DPIA за AI инструмент

Базирано на новия EDPB DPIA шаблон от 14 април 2026 г. (виж нашия пълен анализ), DPIA за AI инструмент трябва да съдържа:

Технически лист

Кой инструмент, версия, дата, екип (RACI), длъжностно лице по защита на данните, одобрение.

Описание на обработването

Какви данни се въвеждат в AI; кой ги въвежда; цел; категории субекти; международни трансфери; срокове.

Необходимост и пропорционалност

Защо AI е необходим; алтернативи без AI; съответствие с минимизация и ограничаване на целта.

Оценка на риска

Присъщ риск (заложен в архитектурата на инструмента) и риск от инциденти (от външни заплахи). Оценете осемте риска от секцията по-горе.

Мерки за смекчаване

Технически (DLP (система за предотвратяване на изтичане), филтриране на входните данни, локализация на данните в ЕС); организационни (политика, обучение); правни (DPA, SCC).

Заключения

Остатъчен риск приемлив ли е; нужна ли е предварителна консултация с КЗЛД по чл. 36 GDPR; график за периодичен преглед.

Чеклист за внедряване

Преди стартиране на корпоративен AI инструмент в дейността на дружеството:

Завършена DPIA по чл. 35 GDPR (по новия EDPB шаблон от 14.04.2026 г.) — отговорник: длъжностното лице по защита на данните; одобрение от управителния орган преди стартиране;
Подписан договор за обработване (DPA) по чл. 28 GDPR с доставчика — отговорник: юрисконсулт; преглед на 12 месеца;
Сключени Стандартни договорни клаузи (СДК) за трансфери в САЩ, със съответния модул (администратор–процесор);
Оценка на въздействието върху основните права (FRIA) по чл. 27 от AI Act, ако внедряването попада в сферата на високорисковите системи;
Регистър на дейностите по обработване (RoPA) — обновен с новия инструмент в срок до 14 дни от внедряването;
Вътрешна политика за AI — приета със заповед на управителя, връчена срещу подпис на всеки служител; преглед на 12 месеца;
Технически контрол срещу сенчесто използване — DLP правила, блокиране на безплатни AI услуги на корпоративните устройства; отговорник: CISO;
Обучение за безопасно въвеждане на данни — задължително за всички служители с достъп до инструмента; периодичност: при наемане и веднъж годишно; протокол за участие;
Процедура за нарушения на сигурността при AI инцидент — спазване на 72-часовия срок по чл. 33 GDPR; отговорник: длъжностното лице по защита на данните;
Уведомяване на субектите — изрично включване на AI обработването в политиката за поверителност и в договорите със служителите/клиентите;
Документиран процес за искания на субекти при AI обработване — журнал, шаблон за отговор, едномесечен срок;
Годишен преглед на DPIA — задължителен поне веднъж на 12 месеца; извънреден при съществена промяна на инструмента или законодателството;
Мониторинг на промените в DPA на доставчика — Microsoft, OpenAI и Google периодично обновяват условията; отговорник: юрисконсулт; периодичност: тримесечен преглед.

Често задавани въпроси

Задължителна ли е DPIA преди внедряване на ChatGPT, Copilot или Gemini?

Почти винаги — да. По чл. 35 GDPR DPIA е задължителна при висок риск за правата на субектите. Списъкът на КЗЛД от 2019 г. включва „иновативни технологии" с потенциален висок риск, което обхваща AI системите. Освен това всеки от трите инструмента: (1) обработва лични данни на служители и/или клиенти, (2) ползва автоматизирано вземане на решения или генерира съдържание за лица, (3) включва трансфери извън ЕС. Съчетанието на тези три елемента отключва задължителна DPIA.

С какво се различават трите инструмента от GDPR гледна точка?

Microsoft 365 Copilot — най-добре адаптиран за корпоративна употреба по зона за данни в ЕС (от март 2024 г.); Microsoft е обработващ; данните не се ползват за обучение по подразбиране. ChatGPT Enterprise — данните не се ползват за обучение, OpenAI е обработващ, но трансферите са в САЩ под SCC. Google Gemini for Workspace — Google е обработващ; опции за локализация на данните в ЕС; ясни договорни клаузи. Безплатните версии (ChatGPT, Gemini Free) НЕ са подходящи за корпоративна употреба.

Какво е значението на Garante глобата от 15 млн. евро на OpenAI?

През декември 2024 г. италианският Garante наложи глоба от 15 млн. евро на OpenAI за нарушения от 2023 г.: неправомерно ползване на лични данни за обучение на ChatGPT без правно основание, липса на прозрачност, неуведомяване за нарушение на сигурността през март 2023 г., липса на възрастова проверка. Решението е важен прецедент: показва, че европейските надзорни органи няма да приемат „AI е специален" като извинение за неспазване на GDPR. За българските организации — категорично потвърждение, че DPIA преди внедряване е задължителна.

Може ли служителят сам да ползва безплатна версия на ChatGPT за работа?

Не — това е „сенчесто използване на AI (shadow AI)" и носи висок риск за компанията. Безплатните версии използват въведените данни за обучение на моделите (по подразбиране), което означава, че корпоративна или клиентска информация може да изтече. EDPS Generative AI Guidance от октомври 2025 г. изрично подчертава риска от ползване извън корпоративен контрол. Препоръчителна практика: вътрешна политика за AI, забрана на безплатни версии за служебни задачи, осигуряване на одобрена корпоративна опция.

Какъв е рискът „гъвкаво маршрутизиране" на Microsoft Copilot за GDPR?

По публично достъпната документация на Microsoft, при пиково натоварване Microsoft 365 Copilot може да пренасочва заявките за AI обработване извън ЕС зоната за данни (т.нар. flexible routing) — с цел поддържане на качеството на услугата. Към момента административната конзола на Microsoft 365 не предоставя опция за изключване на това пренасочване. Препоръка за високорискови сектори (банки, здравни заведения, държавна администрация): не внедрявайте Copilot за обработване на специални категории лични данни по чл. 9 GDPR, докато Microsoft не предостави договорна гаранция за изключване на пренасочването. Алтернативно — ограничете внедряването до tenant с активирани EU Data Boundary и Customer Lockbox, и документирайте остатъчния риск в DPIA.

Кои сектори в България имат задължителна DPIA за AI?

По списъка на КЗЛД от 2019 г. и общите принципи на GDPR, задължителна DPIA е необходима при: банки и финансови институции (кредитен скоринг с AI, мерки срещу изпирането на пари (по ЗМИП)); здравни заведения (AI диагностика, телемедицина); образователни институции (AI оценка на ученици); HR (AI подбор на кандидати); държавни органи (AI поддръжка на решения). За всеки от тези сектори AI инструментите изискват не само DPIA по GDPR, но и FRIA по чл. 27 от AI Act (от 2 август 2026 г.).

Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изготвяне на DPIA, преглед на договор с AI доставчик или защита при иск/проверка, моля свържете се с нас.

Внедрявате ChatGPT, Copilot или Gemini? Изготвяме DPIA за вас

Помагаме на CIO, длъжностни лица по защита на данните и юрисконсулти да внедрят корпоративни AI инструменти в съответствие с GDPR — преди КЗЛД да задава въпроси.

Пълна DPIA по новия EDPB шаблон (14.04.2026 г.)
Преглед на DPA на Microsoft, OpenAI, Google — конкретни препоръки
Шаблон за вътрешна политика за AI (със забрана на сенчесто използване на AI (shadow AI))
Технически препоръки за DLP (система за предотвратяване на изтичане), филтриране на входните данни, журнали за одит
Уведомления за служители и клиенти (политика за поверителност)
FRIA по чл. 27 AI Act за високорискови сценарии
Защита при иск или проверка от КЗЛД

Заявете консултация →

Получавайте нови анализи на корпоративна GDPR + AI практика

Свежи разбори за CIO, DPO и юрисконсулти. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Йордан Чолаков и адв. Десислава Димитрова

Dimitrova, Cholakov & Partners · Innovires

Адв. Чолаков и адв. Димитрова консултират над 90 компании в България — банки, телекоми, технологични фирми и държавни органи — за внедряване на AI инструменти в съответствие с GDPR и AI Act. Изготвят DPIA-та и преглеждат договори с Microsoft, OpenAI, Google и други корпоративни AI доставчици.