GDPR DPO Последна актуализация: 16 март 2026 12 мин четене

DPO — кога е задължително и как да изберете правилното длъжностно лице

Q: Каква е санкцията, ако не назнача DPO, когато е задължително?

Неназначаването на DPO, когато е задължително, е нарушение на чл. 37 от GDPR и попада под санкционния режим на чл. 83(4) — глоби до 10 000 000 EUR или до 2% от общия годишен световен оборот, което от двете е по-високо. КЗЛД може да наложи санкции и по националното законодателство.

Длъжностното лице по защита на данните (DPO) е независим експерт, определен по чл. 37–39 от GDPR, който следи за спазването на Регламент (ЕС) 2016/679 в организацията. DPO е задължително за публични органи, фирми с мащабно наблюдение на лица и организации, обработващи специални категории данни. Може да бъде вътрешен служител или външно лице, но не трябва да има конфликт на интереси.

Съдържание

Какво е DPO и каква е ролята му
Кога е задължително назначаването на DPO
Кои организации в България трябва да имат DPO
Вътрешно vs. външно DPO — сравнение
Квалификации и изисквания
Конфликт на интереси — кой НЕ може да бъде DPO
Задачите на DPO по чл. 39
Санкции при неизпълнение
Често задавани въпроси

Какво е DPO и каква е ролята му

Длъжностното лице по защита на данните (на английски: Data Protection Officer, DPO) е лице, определено от администратора или обработващия лични данни, чиято основна задача е да наблюдава спазването на GDPR в рамките на организацията.

Правната рамка за DPO е заложена в чл. 37, 38 и 39 от Регламент (ЕС) 2016/679 (GDPR):

Чл. 37 — кога е задължително определянето на DPO
Чл. 38 — позиция, независимост и защита на DPO
Чл. 39 — задачите на DPO

DPO не е „полицай" на данните

Важно е да се разбере, че DPO има консултативна и надзорна роля. Длъжностното лице не носи лична отговорност за спазването на GDPR — тази отговорност остава при администратора. DPO информира, съветва и наблюдава, но не взема решения за обработката на данни.

В българското законодателство DPO е уредено и в Закона за защита на личните данни (ЗЗЛД), който допълва GDPR с национални специфики. Комисията за защита на личните данни (КЗЛД) е надзорният орган, с който DPO трябва да поддържа контакт.

Кога е задължително назначаването на DPO

Съгласно чл. 37, пар. 1 от GDPR, определянето на длъжностно лице по защита на данните е задължително в три случая:

Публичен орган или структура

Когато обработването се извършва от публичен орган или структура, с изключение на съдилищата при изпълнение на съдебните им функции. Това включва: министерства, общини, агенции, държавни и общински предприятия, публични болници, държавни училища и др.
чл. 37(1)(а) GDPR
Мащабно систематично наблюдение

Когато основните дейности на администратора или обработващия се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни. Примери: онлайн проследяване на поведение, видеонаблюдение на обществени места, геолокация в реално време.
чл. 37(1)(б) GDPR
Мащабна обработка на специални категории данни

Когато основните дейности се състоят в мащабна обработка на специални категории данни по чл. 9 (здравни данни, биометрични данни, расов/етнически произход, политически убеждения и др.) или на лични данни, свързани с присъди и нарушения по чл. 10.
чл. 37(1)(в) GDPR

Какво означава „мащабна обработка"?

GDPR не дефинира изрично понятието „мащабна обработка". Съгласно Насоки WP243 rev.01 на Работната група по чл. 29 (сега ЕКЗД), при преценката се вземат предвид следните фактори:

Брой засегнати субекти — като конкретен брой или като процент от съответното население
Обем на данните и/или обхват на различните обработвани елементи от данни
Продължителност или постоянство на дейността по обработване
Географски обхват на дейността по обработване

Какво означава „основни дейности"?

Съгласно WP243, „основни дейности" означават ключовите операции, необходими за постигане на целите на администратора/обработващия. Те не включват спомагателни функции като заплати на служители или IT поддръжка, които са необходими за всяка организация.

Пример: болница

Основната дейност на болницата е предоставяне на здравни грижи. Но тя не може да предоставя здравни грижи без обработка на здравни данни. Следователно обработката на здравни данни е „основна дейност" и болницата попада в обхвата на чл. 37(1)(в).

Кои организации в България трябва да имат DPO

По-долу е обобщена таблица с типични организации и вероятната необходимост от DPO. Имайте предвид, че конкретната преценка зависи от мащаба и спецификата на дейността на всяка организация.

Организация	DPO задължително?	Основание
Болници и клиники	Да	Мащабна обработка на здравни данни — чл. 37(1)(в)
Групови лекарски практики (поликлиники)	Да	Мащабна обработка на здравни данни — чл. 37(1)(в)
Банки и финансови институции	Да	Мащабно систематично наблюдение + специални данни — чл. 37(1)(б)(в)
Училища и детски градини	Да	Публичен орган (държавни/общински) — чл. 37(1)(а)
Общини, министерства, агенции	Да	Публичен орган — чл. 37(1)(а)
Застрахователни компании	Да	Мащабна обработка на здравни/финансови данни — чл. 37(1)(б)(в)
Големи работодатели (500+ служители)	Вероятно	Зависи от обема и вида на обработваните данни на служители
Охранителни фирми с видеонаблюдение	Вероятно	Мащабно систематично наблюдение — чл. 37(1)(б)
Индивидуален лекар (solo GP)	Не	Не е „мащабна" обработка — WP243, рецитал 91
Малък магазин / ателие	Не	Обработка на клиентски данни в ограничен мащаб
Фрийлансър / едноличен търговец	Не	Ограничен обем данни, няма мащабност

Дори да не е задължително — помислете за DPO

Съгласно ЕКЗД, дори когато DPO не е задължително, организациите могат доброволно да определят такова лице. Ако го направите, се прилагат всички изисквания на чл. 37-39. Алтернативно, можете да ангажирате консултант по защита на данните, без формалното определяне като DPO.

Вътрешно vs. външно DPO — сравнение

Съгласно чл. 37, пар. 6 от GDPR, длъжностното лице по защита на данните може да бъде член на персонала на администратора/обработващия или да изпълнява задачите си въз основа на договор за услуги (т.нар. външно DPO).

Критерий	Вътрешно DPO	Външно DPO
Познаване на организацията	Дълбоко познаване на вътрешните процеси	Изисква време за запознаване; компенсира с широк опит от различни сектори
Независимост	Риск от вътрешен натиск и конфликт на интереси	Висока независимост — няма йерархична зависимост
Експертиза	Зависи от квалификацията на лицето; може да изисква обучения	Екип от специалисти с различни компетенции (право, IT, одит)
Наличност	На място, достъпно по всяко време	По договор; обикновено с определени часове за контакт
Разходи	Заплата + осигуровки + обучения + сертификации (обикновено 3 000-6 000 лв/месец)	Фиксиран месечен абонамент (обикновено 500-2 000 лв/месец)
Мащабируемост	Ограничена — едно лице за всички задачи	Достъп до цял екип при инциденти или проекти
Актуалност на знанията	Изисква постоянно самообучение	Постоянно обновяване чрез работа с множество клиенти
Защита при уволнение	Чл. 38(3) — DPO не може да бъде уволнено заради изпълнение на задачите си	Не е приложимо — прекратяване по договор

Защо външно DPO е подходящо за повечето организации

За организации, които нямат ресурс за щатен специалист с необходимата квалификация, външното DPO като услуга предлага оптимално съотношение цена-качество. Вие получавате достъп до екип от юристи и IT специалисти на цената на малка част от щатна позиция. Вижте нашата услуга „DPO като услуга".

Квалификации и изисквания

Съгласно чл. 37, пар. 5 от GDPR:

Длъжностното лице по защита на данните се определя въз основа на професионалните си качества, и по-специално въз основа на експертните си познания в областта на законодателството и практиките за защита на данните, както и въз основа на способността си да изпълнява задачите, посочени в чл. 39.

GDPR не изисква конкретна сертификация или образователна степен. Въпреки това, в практиката се е наложил определен стандарт за квалификация:

Препоръчителни сертификации

CIPP/E (Certified Information Privacy Professional/Europe) — издава се от IAPP; фокус върху европейското законодателство за защита на данните
CIPM (Certified Information Privacy Manager) — управление на програми за поверителност
CDPO (Certified Data Protection Officer) — специализирана сертификация за DPO
ISO 27001 Lead Auditor/Implementer — за информационна сигурност
CISM / CISSP — за технически аспекти на сигурността на данните

Необходими знания и опит

Правни познания — GDPR, ЗЗЛД, ePrivacy, секторно законодателство (здравеопазване, финанси, телекомуникации)
Технически познания — информационна сигурност, криптиране, анонимизация, псевдонимизация
Управленски опит — способност за работа с ръководството и различни отдели
Познаване на сектора — специфични рискове и практики в индустрията на организацията
Опит с надзорни органи — познаване на практиката на КЗЛД и ЕКЗД

Съгласно Насоки WP243, необходимото ниво на експертиза не е фиксирано, а трябва да бъде съобразено с чувствителността, сложността и обема на данните, които организацията обработва. Болница ще се нуждае от DPO с по-висока квалификация от малка софтуерна компания.

Конфликт на интереси — кой НЕ може да бъде DPO

Съгласно чл. 38, пар. 6 от GDPR:

Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни гарантира, че тези задачи и задължения не водят до конфликт на интереси.

Конфликт на интереси възниква, когато DPO заема позиция, в рамките на която определя целите и средствата на обработката на лични данни. Съгласно Насоки WP243, следните позиции по правило са несъвместими с ролята на DPO:

Изпълнителен директор (CEO) — определя стратегията и целите на обработката
Финансов директор (CFO) — взема решения за обработка на финансови данни
IT директор (CTO/CIO) — определя техническите средства на обработката
HR мениджър — определя целите на обработка на данни на служители
Маркетинг директор — определя целите на обработка за маркетингови кампании
Ръководител на отдел продажби — определя как се обработват данни на клиенти

Кой МОЖЕ да бъде DPO

Специалист по съответствие (compliance officer) — ако не определя цели/средства на обработка
Юрист без управленски функции — със съответната квалификация
Външен консултант или фирма — оптимална независимост
Специално назначено лице — без други конфликтни функции

Реален случай: Proximus — глоба 50 000 EUR за конфликт на интереси

Белгийският орган за защита на данните (APD) наложи на телекомуникационната компания Proximus глоба от 50 000 EUR, защото DPO на компанията едновременно ръководел отделите за съответствие, управление на риска и вътрешен одит. Органът постанови, че тези комбинирани роли водят до конфликт на интереси по чл. 38(6), тъй като лицето де факто определя цели и средства на обработката чрез другите си функции.

Задачите на DPO по чл. 39

Съгласно чл. 39 от GDPR, длъжностното лице по защита на данните изпълнява най-малко следните задачи:

Информиране и съветване

DPO информира и съветва администратора или обработващия, както и служителите, които извършват обработване, за техните задължения по GDPR, ЗЗЛД и другите приложими нормативни актове за защита на данните.
чл. 39(1)(а) GDPR
Наблюдение на спазването

DPO наблюдава спазването на GDPR, на националното законодателство и на вътрешните политики на администратора/обработващия. Това включва разпределяне на отговорностите, повишаване на осведомеността и обучение на персонала, както и одити по защита на данните.
чл. 39(1)(б) GDPR
Съветване относно DPIA

DPO дава становище по оценката на въздействието върху защитата на данните (DPIA) по чл. 35 и наблюдава извършването на оценката, когато това е поискано.
чл. 39(1)(в) GDPR
Сътрудничество с надзорния орган

DPO сътрудничи с КЗЛД (или друг компетентен надзорен орган) при проверки, разследвания и консултации по чл. 36 (предварителна консултация).
чл. 39(1)(г) GDPR
Точка за контакт

DPO е точката за контакт за надзорния орган по въпроси, свързани с обработването. Също така субектите на данни могат да се обръщат към DPO по всички въпроси, свързани с обработването на техните данни и упражняването на правата им.
чл. 38(4) + чл. 39(1)(г) GDPR

Важно: DPO трябва да отчита рисковете

Съгласно чл. 39(2), DPO надлежно отчита рисковете, свързани с операциите по обработване, като взема предвид естеството, обхвата, контекста и целите на обработването. Това означава, че DPO приоритизира задачите си въз основа на рисков подход — първо се занимава с високорисковите обработки.

Допълнителни задачи в практиката

Въпреки че не са изрично посочени в чл. 39, в практиката DPO често изпълнява и следните функции:

Поддържане на регистъра на дейностите по обработване по чл. 30
Управление на нарушения — координиране на уведомяването на КЗЛД в 72-часовия срок по чл. 33
Обработка на искания от субекти на данни (достъп, изтриване, преносимост)
Преглед на договори с обработващи лични данни (чл. 28)
Privacy by design — консултации при разработка на нови продукти и услуги

Санкции при неизпълнение

Неизпълнението на задълженията, свързани с DPO, може да доведе до сериозни санкции:

Неназначаване на DPO, когато е задължително

Нарушение на чл. 37 от GDPR, което попада под санкционния режим на чл. 83, пар. 4:

Глоби до 10 000 000 EUR или 2% от оборота

Неназначаването на DPO, когато е задължително, необосигуряването на независимост на DPO или възпрепятстването на изпълнението на задачите му може да доведе до глоби до 10 000 000 EUR или до 2% от общия годишен световен оборот на предприятието за предходната финансова година, което от двете е по-високо.

Конфликт на интереси на DPO

Дори да сте назначили DPO, ако лицето е в конфликт на интереси по чл. 38(6), това се третира като нарушение. Както показва случаят с Proximus, надзорните органи активно проверяват и санкционират подобни нарушения.

Други възможни нарушения

Невключване на DPO в обсъждания, свързани със защитата на данните — нарушение на чл. 38(1)
Непредоставяне на ресурси на DPO за изпълнение на задачите — нарушение на чл. 38(2)
Даване на инструкции на DPO относно изпълнението на задачите — нарушение на чл. 38(3)
Санкциониране на DPO за изпълнение на задачите му — нарушение на чл. 38(3)

За пълна информация за GDPR одит и проверка на съответствието на вашата организация, включително назначаването на DPO, прочетете нашето детайлно ръководство.

Често задавани въпроси

Задължително ли е DPO за всяка фирма в България?

Не. Длъжностно лице по защита на данните е задължително само в случаите, посочени в чл. 37(1) от GDPR: публични органи, организации с мащабно систематично наблюдение на субекти или мащабна обработка на специални категории данни. За повечето малки и средни предприятия DPO не е задължително, но е силно препоръчително. Прочетете нашето ръководство за GDPR за малкия бизнес.

Може ли DPO да бъде външно лице или фирма?

Да. Съгласно чл. 37(6) от GDPR, длъжностното лице може да бъде член на персонала или да изпълнява задачите въз основа на договор за услуги (външно DPO). Външното DPO е особено подходящо за малки и средни организации, които нямат нужда от щатна позиция. Вижте нашата услуга.

Какви квалификации трябва да има DPO?

Съгласно чл. 37(5) от GDPR, DPO се определя въз основа на професионалните си качества, по-специално експертни познания в областта на законодателството и практиките за защита на данните. Няма задължителна сертификация, но CIPP/E, CDPO или еквивалентни сертификати са силно препоръчителни и демонстрират необходимото ниво на компетентност.

Може ли управителят или IT директорът да бъде DPO?

По правило не. Съгласно чл. 38(6) от GDPR, DPO не трябва да изпълнява задачи, водещи до конфликт на интереси. Позиции, които определят целите и средствата на обработката (CEO, CFO, CTO, HR мениджър, маркетинг директор), по правило са несъвместими с ролята на DPO.

Каква е санкцията, ако не назнача DPO, когато е задължително?

Неназначаването на DPO при задължение по чл. 37 е нарушение, което попада под чл. 83(4) от GDPR — глоби до 10 000 000 EUR или до 2% от общия годишен световен оборот. КЗЛД може да наложи санкции и по националното законодателство. Проверете дали вашата организация се нуждае от DPO чрез GDPR одит.

Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно необходимостта от DPO или избора на подходящо лице, моля свържете се с нас.

DPO като услуга — месечен абонамент

Не е нужно да наемате щатен служител. Нашият екип от юристи и IT специалисти поема ролята на вашето външно DPO при оптимално съотношение цена-качество.

Пълно изпълнение на задачите по чл. 39 GDPR
Точка за контакт с КЗЛД и субекти на данни
Консултации при DPIA и нови проекти
Управление на нарушения и уведомления
Обучения на персонала
Фиксирана месечна цена без скрити разходи

Заявете безплатна консултация →

Получавайте нови статии директно в пощата си

Практически анализи по GDPR и киберсигурност. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Десислава Димитрова & Адв. Йордан Чолаков

Dimitrova, Cholakov & Partners · Innovires

Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.