DPIA за ChatGPT, Microsoft Copilot и Google Gemini — внедряване в бизнеса 2026
През 2024 г. Garante (италианският надзорен орган) наложи на OpenAI глоба от EUR 15 милиона за нарушения при ChatGPT — недостатъчно правно основание, липса на прозрачност, неуведомяване за нарушение на сигурността. Това е сигнал за всяка европейска компания: ползването на ChatGPT, Microsoft 365 Copilot или Google Gemini в бизнеса без оценка на въздействието по чл. 35 GDPR е сериозен риск. Това ръководство дава сравнителен анализ на тримата лидери, ключовите рискове и практически шаблон за DPIA — за CIO, длъжностни лица по защита на данните и юрисконсулти.
Съдържание
- Защо DPIA за AI инструменти е критична сега
- Кога DPIA е задължителна
- Сравнение: ChatGPT vs Copilot vs Gemini
- Осем ключови риска за оценка
- Garante решение и какво научихме
- AI извън корпоративен контрол — най-големият скрит риск
- Структура на DPIA за AI инструмент
- Чеклист за внедряване
- Често задавани въпроси
Защо DPIA за AI инструменти е критична сега
През 2025–2026 г. корпоративен AI инструментите минаха от пилоти към масово внедряване. По различни оценки на пазара, над 70% от средните и големи европейски компании ползват поне един от тримата лидери — ChatGPT Enterprise, Microsoft 365 Copilot или Google Gemini for Workspace. Регулаторите реагираха:
- Декември 2024 г. — Garante глобява OpenAI с EUR 15 млн
- Октомври 2025 г. — EDPS публикува ревизирани насоки за генеративен AI
- Април 2026 г. — EDPB приема нов хармонизиран DPIA шаблон
- 2 август 2026 г. — AI Act пълно прилагане за високорискови AI системи
Контекстът е ясен: регулаторният натиск само се увеличава, а компаниите, които внедряват AI инструменти без документирана оценка на въздействието, поемат непропорционален риск.
Кога DPIA е задължителна
По чл. 35, ал. 1 GDPR DPIA е задължителна, когато обработването „е вероятно да доведе до висок риск за правата и свободите на физическите лица". Внедряването на AI инструменти почти винаги попада в тази категория, защото отключва три едновременни условия от Решение № 1/2019 на КЗЛД:
Иновативни технологии
КЗЛД списъкът от 2019 г. изрично включва „иновативни технологии с потенциален висок риск" — генеративният AI безспорно попада тук.
Мащабно обработване
AI инструментите по дефиниция работят с големи обеми данни — служители, клиенти, документи, имейли. Мащабът е критерий по чл. 35(3)(б) GDPR.
Систематично оценяване
Когато AI поддържа решения за хора (HR оценка, кредитен скоринг, медицинска диагностика) — попада под чл. 22 GDPR за автоматизирани решения. Изисква DPIA.
Международни трансфери
OpenAI, Microsoft и Google са американски корпорации. Дори с ЕС зона за данни, рискът от трансфер съществува (вж. гъвкаво маршрутизиране на Copilot).
Сравнение: ChatGPT vs Copilot vs Gemini
За корпоративна употреба не всички версии са еднакви. Безплатните или потребителските версии (ChatGPT Free, ChatGPT Plus, Gemini Free) НЕ са подходящи за бизнес — обработват данните за обучение на моделите. Корпоративните пакети имат фундаментално различни условия.
| Аспект | ChatGPT Enterprise | Microsoft 365 Copilot | Google Gemini for Workspace |
|---|---|---|---|
| Доставчик | OpenAI (САЩ) | Microsoft (САЩ) | Google (САЩ) |
| Роля по GDPR | Обработващ | Обработващ | Обработващ |
| Данни за обучение | Не по подразбиране | Не по подразбиране | Не по подразбиране |
| ЕС зона за данни | Опция (резервно маршрутизиране в САЩ възможен) | Да от 03.2024 г. (но виж гъвкаво маршрутизиране) | Опция за локализация на данните в ЕС |
| SCC / трансфери | Да, в DPA | Да, в DPA | Да, в DPA |
| SOC 2 / ISO 27001 | Да | Да | Да |
| Права на одит | Ограничени, чрез доклади | Ограничени, чрез доклади | Ограничени, чрез доклади |
Не приемайте „enterprise" като автоматична GDPR съвместимост
Дори най-добрият корпоративен пакет НЕ ви освобождава от задължението за DPIA. Вашата компания остава администратор на личните данни и носи цялостната отговорност. Доставчикът е само обработващ. Оценката на въздействието трябва да адресира конкретно как данните на вашите служители и клиенти ще се обработват в инструмента.
Осем ключови риска за оценка
Всяка DPIA за AI инструмент трябва да оцени минимум следните осем риска:
- Изтичане на корпоративна или клиентска информация в въвеждания към AI — служител въвежда чувствителни данни в чат (заплати, медицински данни, договорни условия)
- Hallucinations (фалшиво генериране на информация за реални лица) — AI генерира фалшива информация за реални лица (с правен риск по чл. 5(1)(г) GDPR за точност)
- Bias (предубеденост) и дискриминация — AI оценки на кандидати или служители възпроизвеждат систематична предубеденост
- Автоматизирано вземане на решения по чл. 22 GDPR без подходящи гаранции
- Международни трансфери — данни обработени в САЩ въпреки ЕС зона за данни
- Неуведомяване на субектите — клиенти и служители не знаят, че техни данни се обработват с AI
- Липса на правно основание — особено когато AI се тренира на лични данни
- AI извън корпоративен контрол — служители ползват безплатни версии без корпоративен контрол
Garante решение и какво научихме
През декември 2024 г. италианският Garante наложи на OpenAI глоба от EUR 15 милиона за нарушения, открити при разследването от март 2023 г. Решението е обвързващ прецедент за европейските надзорни органи (вкл. КЗЛД).
Идентифицирани нарушения:
- Липса на правно основание за обработване на лични данни с цел обучение на ChatGPT
- Нарушаване на принципа на прозрачност — потребителите не са били адекватно информирани
- Неуведомяване на Garante за нарушение на сигурността от март 2023 г. (нарушение на чл. 33 GDPR)
- Липса на възрастова проверка — риск за непълнолетни потребители
Освен глобата, Garante задължи OpenAI да проведе 6-месечна информационна кампания по радио, телевизия, печат и интернет — мярка, която показва, че надзорните органи виждат проблема като структурен, не индивидуален.
Какво означава за български компании
Решението показва, че надзорните органи в ЕС няма да приемат „AI е нова технология" като извинение за неспазване на GDPR. Българските компании, които внедряват ChatGPT, Copilot или Gemini, трябва да са в позиция да докажат: (1) правно основание за всяко обработване, (2) прозрачност към субектите, (3) процедура за нарушения на сигурността, (4) подходящи гаранции за чувствителни групи (непълнолетни, особени категории данни).
AI извън корпоративен контрол — най-големият скрит риск
EDPS Generative AI Guidance от октомври 2025 г. изрично идентифицира AI извън корпоративен контрол — ползването на AI инструменти от служителите извън корпоративен контрол — като „значителен и нарастващ" риск.
Типичен сценарий: служител в HR отдела копира CV-та в безплатната версия на ChatGPT, за да направи „анализ на кандидатите". Резултатите:
- Личните данни на кандидатите се изпращат на OpenAI без правно основание
- Данните могат да се ползват за обучение на модела (в безплатната версия)
- Няма договор за обработване по чл. 28 GDPR
- Няма документация за трансфери в САЩ
- Кандидатите не са информирани
- Компанията е в нарушение на чл. 5, 6, 13, 28, 32, 44, 35 GDPR — едновременно
Решение: вътрешна политика за AI, която забранява ползването на безплатни версии за служебни задачи, и осигурява одобрена корпоративна опция.
Структура на DPIA за AI инструмент
Базирано на новия EDPB DPIA шаблон от 14 април 2026 г. (виж нашия пълен анализ), DPIA за AI инструмент трябва да съдържа:
Технически лист
Кой инструмент, версия, дата, екип (RACI), длъжностно лице по защита на данните, одобрение.
Описание на обработването
Какви данни се въвеждат в AI; кой ги въвежда; цел; категории субекти; международни трансфери; срокове.
Необходимост и пропорционалност
Защо AI е необходим; алтернативи без AI; съответствие с минимизация и ограничаване на целта.
Оценка на риска
Проектен риск (заложен в архитектурата) + инцидентен риск (от външни заплахи). 8-те риска от секцията по-горе.
Мерки за смекчаване
Технически (DLP (система за предотвратяване на изтичане), филтриране на въвежданията, локализация на данните в ЕС); организационни (политика, обучение); правни (DPA, SCC).
Заключения
Остатъчен риск приемлив ли е; нужна ли е предварителна консултация с КЗЛД по чл. 36 GDPR; график за периодичен преглед.
Чеклист за внедряване
Преди стартиране на корпоративен AI инструмент в компанията:
- Завършена DPIA по чл. 35 GDPR (по новия EDPB шаблон)
- Подписан договор за обработване (DPA) по чл. 28 GDPR с доставчика
- Включени Стандартни договорни клаузи (Standard Contractual Clauses) за трансфери в САЩ
- Проведена оценка на въздействието върху основните права (FRIA) по чл. 27 AI Act, ако е приложимо
- Регистър на дейностите по обработване (RoPA) обновен с новия инструмент
- Вътрешна политика за AI разпространена сред всички служители
- Технически забрани за AI извън корпоративен контрол (DLP, блокиране на безплатни версии)
- Обучение за хигиена при въвеждане — какви данни не се въвеждат в AI
- Процедура за нарушения на сигурността при AI инцидент (чл. 33 GDPR — 72 часа)
- Уведомяване на субектите (служители, клиенти) в политиката за поверителност
- Документиран процес за искания на субекти при AI обработване
- Годишен преглед на DPIA — AI бързо се променя
- Мониторинг на промени в DPA на доставчика — Microsoft/OpenAI/Google периодично обновяват условията
Често задавани въпроси
Задължителна ли е DPIA преди внедряване на ChatGPT, Copilot или Gemini?
Почти винаги — да. По чл. 35 GDPR DPIA е задължителна при висок риск за правата на субектите. Списъкът на КЗЛД от 2019 г. включва „иновативни технологии" с потенциален висок риск, което обхваща AI системите. Освен това всеки от трите инструмента: (1) обработва лични данни на служители и/или клиенти, (2) ползва автоматизирано вземане на решения или генерира съдържание за лица, (3) включва трансфери извън ЕС. Тристранното припокриване отключва задължителна DPIA.
С какво се различават трите инструмента от GDPR гледна точка?
Microsoft 365 Copilot — най-зрял за корпоративна употреба по ЕС зона за данни (от март 2024 г.); Microsoft е обработващ; данните не се ползват за обучение по подразбиране. ChatGPT Enterprise — данните не се ползват за обучение, OpenAI е обработващ, но трансферите са в САЩ под SCC. Google Gemini for Workspace — Google е обработващ; опции за локализация на данните в ЕС; ясни договорни клаузи. Безплатните версии (ChatGPT, Gemini Free) НЕ са подходящи за корпоративна употреба.
Какво е значението на Garante глобата от EUR 15 милиона на OpenAI?
През декември 2024 г. италианският Garante наложи глоба от EUR 15 милиона на OpenAI за нарушения от 2023 г.: неправомерно ползване на лични данни за обучение на ChatGPT без правно основание, липса на прозрачност, неуведомяване за нарушение на сигурността през март 2023 г., липса на възрастова проверка. Решението е важен прецедент: показва, че European DPA-та няма да приемат „AI е специален" като извинение за неспазване на GDPR. За българските организации — категорично потвърждение, че DPIA преди внедряване е задължителна.
Може ли служителят сам да ползва безплатна версия на ChatGPT за работа?
Не — това е „AI извън корпоративен контрол" и носи висок риск за компанията. Безплатните версии използват въведените данни за обучение на моделите (по подразбиране), което означава, че корпоративна или клиентска информация може да изтече. EDPS Generative AI Guidance от октомври 2025 г. изрично подчертава риска от ползване извън корпоративен контрол. Препоръчителна практика: вътрешна политика за AI, забрана на безплатни версии за служебни задачи, осигуряване на одобрена корпоративна опция.
Какъв е рискът „гъвкаво маршрутизиране" на Microsoft Copilot за GDPR?
По неотдавнашни анализи на Microsoft документация, при пиково натоварване Microsoft 365 Copilot може да маршрутизира заявки за AI обработване извън ЕС зона за данни — с цел поддържане на качеството на услугата. Към момента в административната конзола на Microsoft 365 няма опция за изключване на гъвкаво маршрутизиране. За високорискови сектори (банки, здравеопазване, държавна администрация) това е значим фактор за DPIA.
Кои сектори в България имат задължителна DPIA за AI?
По списъка на КЗЛД от 2019 г. и общите принципи на GDPR, задължителна DPIA е необходима при: банки и финансови институции (кредитен скоринг с AI, борба с пране на пари); здравни заведения (AI диагностика, telemedicine); образователни институции (AI оценка на ученици); HR (AI подбор на кандидати); държавни органи (AI поддръжка на решения). За всеки от тези сектори AI инструментите изискват не само DPIA по GDPR, но и FRIA по чл. 27 от AI Act (от 2 август 2026 г.).
Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изготвяне на DPIA, преглед на договор с AI доставчик или защита при иск/проверка, моля свържете се с нас.
Внедрявате ChatGPT, Copilot или Gemini? Изготвяме DPIA за вас
Помагаме на CIO, длъжностни лица по защита на данните и юрисконсулти да внедрят корпоративен AI инструменти в съответствие с GDPR — преди КЗЛД да задава въпроси.
- Пълна DPIA по новия EDPB шаблон (14.04.2026 г.)
- Преглед на DPA на Microsoft, OpenAI, Google — конкретни препоръки
- Шаблон за вътрешна политика за AI (с забрана на AI извън корпоративен контрол)
- Технически препоръки за DLP (система за предотвратяване на изтичане), филтриране на въвежданията, журнали за одит
- Уведомления за служители и клиенти (политика за поверителност)
- FRIA по чл. 27 AI Act за високорискови сценарии
- Защита при иск или проверка от КЗЛД
Получавайте нови анализи на корпоративна GDPR + AI практика
Свежи разбори за CIO, DPO и юрисконсулти. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират над 90 компании в България — банки, телекоми, технологични фирми и държавни органи — за внедряване на AI инструменти в съответствие с GDPR и AI Act. Изготвят DPIA-та и преглеждат договори с Microsoft, OpenAI, Google и други корпоративен AI доставчици.