Единна програма за съответствие с GDPR и AI Act — практически модел за български бизнес (2026)
До 2 август 2026 г. — само 100 дни — влизат в сила пълните задължения за високорискови AI системи по Регламент (ЕС) 2024/1689 (AI Act). Българските организации, които вече имат изградена програма за GDPR съответствие, имат сериозно предимство: над 60% от инфраструктурата е обща. Но опасното изкушение е да се събере всичко в една програма. Правилният модел: обща инфраструктура, отделни заключителни регистри. Ето как да го направите практически — с четири точки на синергия, пет точки на различие и чеклист за изграждане.
Съдържание
- Защо обединяването на двете програми е стратегически смислено
- Четири точки на синергия — къде да обедините
- Пет точки на различие — къде да НЕ обединявате
- Ролята на длъжностното лице по защита на данните
- Интегриран процес за оценка на въздействието (DPIA + FRIA)
- Кой е компетентен орган в България
- Чеклист за изграждане на единна програма
- NIS2, DORA и whistleblowing — четирите режима наведнъж
- Често задавани въпроси
Защо обединяването на двете програми е стратегически смислено
AI Act не падна от небето. Като друга част от хармонизационното законодателство на ЕС, той е значително повлиян от регулаторната философия на GDPR. Същите принципи (прозрачност, точност, сигурност), същият рисково-базиран подход, същата структура с отговорности на доставчик и деплойер.
Това означава едно: ако вече имате зряла програма за GDPR съответствие, имате нечест на работата за AI Act готова. Но обратното не е вярно. Без съществуваща GDPR база, AI Act е значително по-труден за прилагане.
Третирайте двете програми като сестри, не като близнаци
Ключовият принцип на единната програма: една обща управленска и оперативна основа, два отделни заключителни регистъра. Запазвайте регистъра на дейностите по обработване (RoPA) до системния опис на AI системите. Запазвайте DPIA до Article 9 risk management файловете и техническата документация по чл. 11 AI Act. Не сливайте крайните документи — те имат различни адресати и различен обхват на правен риск.
Четири точки на синергия — къде да обедините
Четирите естествени области, в които единната програма дава максимален възврат:
Интегриран комитет за управление
Единен междуфункционален комитет (юристи, съответствие, инженери, доставки, бизнес) поема и двата режима. Длъжностното лице по защита на данните е централен член, заедно с AI компетентност (вътрешна или външна).
Консолидиран процес за оценка на риска
Единен intake за рискова триaжа, DPIA по GDPR и FRIA по AI Act. Разделение на паралелни направления само там, където регулаторните изисквания реално се различават. Спестява до 60% от времето за интервюта.
Унифицирано управление на доставчици
Единен въпросник за доставчици, който покрива договорите за обработване по чл. 28 GDPR и договорните задължения по AI Act. Чл. 47 AI Act изрично изисква доставчиците на високорискови AI системи да включат декларация за GDPR съответствие в декларацията си за съответствие.
Унифицирана програма за обучение
Грамотността в областта на изкуствения интелект (задължителна от 2 февруари 2025 г.) и обучението по GDPR се обединяват в единен учебен план — с различна дълбочина за юристи, инженери и оперативни деплойери.
Регулаторна философия — общи принципи
Над тези практически точки на синергия стоят пет общи принципа, които и двата режима споделят:
- Рисково-базирана архитектура — GDPR калибрира задълженията спрямо тежестта на риска за правата на субектите; AI Act класифицира AI системите в четири категории (от минимален риск до забранени) с пропорционални задължения
- Принцип на отчетност — гръбнакът и на двата режима. Документация, одиторски следи, политики и управленски процедури
- Оценки на въздействието — чл. 35 GDPR изисква DPIA, чл. 9 AI Act изисква система за управление на риска за високорискови AI
- Прозрачност и човешки контрол — чл. 22 GDPR (право да не се подлагаме на изцяло автоматизирани решения със значителни последици) и чл. 14 AI Act (изискване за ефективен човешки контрол върху високорисковите AI системи) — практически същият резултат
- Припокриване на надзорните органи — в много държави членки органът за защита на данните е същевременно орган за надзор на пазара по AI Act. В България това все още е отворен въпрос
Пет точки на различие — къде да НЕ обединявате
Изкушението да се „слее всичко в една програма" е сериозна грешка. Следните пет области трябва да останат строго отделни — иначе рискувате да изпуснете задължения и да получите глоби и от двата режима:
Логика на безопасността на продукта vs логика на защитата на данните
AI Act е фундаментална промяна от само резултатно-ориентиран подход (GDPR) към комбинация от резултатно-ориентиран и „пускане на пазара" подход. За разлика от GDPR, AI Act изисква предварително одобрение преди пускане на пазара за високорискови AI системи. Декларацията за съответствие по чл. 47 няма GDPR еквивалент. Жизненият цикъл се различава фундаментално — GDPR съответствието е непрекъснато и оринтирано към потоци данни; AI Act съответствието има твърди гейтове преди разгръщане и задължения за наблюдение след пускане на пазара.
Обхват на приложение
GDPR се задейства от обработването на лични данни — стоп. AI Act се прилага към AI системи независимо от това дали се обработват лични данни. Много AI приложения (компютърно зрение за инфраструктура, предсказваща поддръжка, оптимизация на материали) попадат изцяло извън обхвата на GDPR, но в обхвата на AI Act. Вашата GDPR програма просто няма какво да каже за тях.
Несъвпадение в таксономията на риска
Има фундаментална разлика между двата режима в етапа, на който се адресира рискът, и в типовете риск. GDPR предвижда широк спектър за претегляне на интересите. Класификацията на риска по AI Act е категорична и предварително определена от Анекс III и чл. 6 — система е или високорискова, или не. GDPR рискът е спектър, оценяван контекстуално за всяко обработване. AI базираните рискове могат да не са свързани с вторична употреба на данни, а с взимане на неблагоприятно действие въз основа на неточни данни. Опитите да се картографира едната таксономия върху другата водят до аналитични изкривявания.
Технически документационни задължения
GDPR съответствието не покрива техническата документация, изисквана по чл. 11 AI Act. Изискването да се документира архитектура на системата, методология за обучение и сравнителни показатели за производителност е уникално за AI Act. Няма GDPR аналог, и никаква подробност в регистъра на дейностите по обработване не запълва тази празнина.
Отделна архитектура на прилагане
Нарушение на сигурността на данните, причинено от неизправност на AI система, може да изисква двойно докладване до отделни органи. AI Act изисква органите за надзор на пазара да консултират органите за защита на данните, когато прилагането засяга и AI, и лични данни — но линиите на прилагане остават правно отделни, и санкциите по двата режима могат принципно да се натрупват.
Ролята на длъжностното лице по защита на данните
Един от най-чести въпроси: трябва ли да се назначи отделен отговорник за съответствието с AI Act, или длъжностното лице по защита на данните може да поеме и AI ролята? Отговорът зависи от размера и сложността на организацията.
| Размер на организацията | Препоръчан модел | Обосновка |
|---|---|---|
| Малки и средни (под 50 души) | Разширена роля на длъжностното лице | Едно лице с допълнителна AI компетентност (вътрешно обучение или сертификат) е достатъчно |
| Средни (50–250 души) | Хибриден модел | Длъжностното лице остава отговорно за GDPR; AI компетентност се добавя от ИТ или продукт |
| Големи (над 250 души) | Отделна функция по съответствие с AI Act | Отделен отговорник за съответствието с AI Act със собствен екип; координация с длъжностното лице чрез комитет |
| Високорисков сектор (банки, болници, държава) | Хибриден или отделен — никога едно лице | Юридическата отговорност е твърде сериозна за концентрация в едно лице |
Внимание: преглед на длъжностната характеристика
Ако разширявате ролята на длъжностното лице да покрива и AI Act, трябва да актуализирате длъжностната характеристика, договорите за обслужване (за външни DPO услуги) и описанието на ролята в публичното оповестяване. Самата компетентност не е достатъчна — ролята трябва да е формално разширена. Освен това, длъжностното лице трябва да получи обучение по AI основи: типове AI системи, оценка на риска, технически стандарти за безопасност (включително ISO/IEC 42001 за AI управление).
Интегриран процес за оценка на въздействието (DPIA + FRIA)
Двата режима изискват сходни, но не идентични оценки на въздействието. DPIA по чл. 35 GDPR и FRIA (Fundamental Rights Impact Assessment) по чл. 27 AI Act се различават по обхват, но споделят значителна част от методологията.
| Аспект | DPIA (чл. 35 GDPR) | FRIA (чл. 27 AI Act) |
|---|---|---|
| Обхват | Само рискове за защита на личните данни | Всички основни права (недискриминация, човешко достойнство, достъп до правосъдие) |
| Кога е задължителна | При висок риск за правата (списък КЗЛД 2019) | За високорискови AI системи по Анекс III |
| Кой е длъжен | Администраторът | Главно публични органи и определени частни деплойери |
| Срок | Преди започване на обработването | Преди първото разгръщане на AI системата |
| Връзка | Самостоятелна | Може да стъпи върху DPIA — чл. 27, ал. 4 AI Act |
Препоръчан интегриран процес
Единен intake
Едно входящо интервю за нова обработка/AI система. Едни и същи въпроси за бизнес целта, заинтересованите страни, потоците от данни.
Триaжа
Решение в един документ дали е нужна DPIA, FRIA, и двете, или нито една. Документиране на основанието.
Паралелни оценки
Един екип, два паралелни документа. DPIA с фокус върху лични данни. FRIA с фокус върху всички основни права.
Заключения и одобрения
Отделни заключения с отделни мерки за смекчаване. Едно общо обсъждане в комитета — две отделни решения за одобрение.
Какво печелите от интегрирания процес
В нашата практика виждаме следните резултати: 50–60% намаление на времето за интервюта със заинтересованите страни (един екип, едно интервю). 30–40% намаление на документационната работа (общи раздели за описание на системата). 100% подобрение на координацията между правни и технически екипи. И най-важното — премахване на риска от противоречиви заключения, които често възникват, когато DPIA и FRIA се правят от различни екипи в различно време.
Кой е компетентен орган в България
Към 23 април 2026 г. България все още не е назначила официален орган за надзор на пазара по чл. 70 AI Act — въпреки че срокът беше 2 август 2025 г. Този пропуск е сериозен и излага България на риск от формална процедура за нарушение от страна на Европейската комисия.
Какво е направено: с Решение № 398 от 18 юни 2025 г. на Министерския съвет са назначени седем органа за защита на основните права по чл. 77 от регламента:
КЗЛД
Комисия за защита на личните данни — основен орган за всички AI системи, които обработват лични данни.
Омбудсман
Защита на основните права при използване на AI системи от държавна администрация и публични услуги.
ЦИК
Централна избирателна комисия — за AI системи, използвани в избирателния процес и защита на демокрацията.
КЗД
Комисия за защита от дискриминация — за AI системи, които генерират риск от дискриминационни резултати.
КЗП
Комисия за защита на потребителите — за AI системи в потребителски контекст (онлайн платформи, чатботове).
ДАЗД
Държавна агенция за закрила на детето — за AI системи, които засягат непълнолетни (образование, развлечения).
ГИТ
Главна инспекция по труда — за AI системи в трудовоправен контекст (мониторинг на служители, подбор).
Регулаторна несигурност — какво означава за бизнеса
Тази институционална фрагментация поставя българския бизнес пред сложна регулаторна карта: за една и съща AI система може да има 2–3 компетентни органа едновременно. Например AI система за подбор на персонал в телекоом операторе може да попадне под надзора на КЗЛД (лични данни на кандидатите), КЗД (риск от дискриминация) и ГИТ (трудовоправен контекст). До приемане на национална рамка за координация, препоръчваме проактивна комуникация с КЗЛД като централна точка — Комисията на практика е вече най-готовата от седемте за прилагане на AI Act.
Какво очакваме до края на 2026 г.
- Назначаване на орган за надзор на пазара по чл. 70 — вероятно МЕУ или Държавна агенция „Електронно управление"
- Приемане на национален закон за изкуствения интелект с координационни механизми, санкционен режим и процедури за разследване
- Издаване на първи указания от КЗЛД за AI системи, обработващи лични данни
- Формиране на междуведомствен координационен орган между седемте назначени органа
Чеклист за изграждане на единна програма
За организация, която вече има GDPR програма, изграждането на интегрирана GDPR + AI Act програма обикновено отнема 4–6 месеца. Ето стъпките:
- Картографирайте всички AI системи в употреба — дали са разработени вътрешно, доставени или обикновени AI асистенти
- Класифицирайте всяка AI система по чл. 5–6 AI Act: забранена, високорискова (Анекс III), с ограничени задължения за прозрачност, или минимален риск
- Изградете системен опис (AI inventory) паралелно с регистъра на дейностите по обработване (RoPA)
- Създайте интегриран комитет за управление с представители от юридическия, ИТ, продуктов и оперативен екип
- Разширете ролята на длъжностното лице по защита на данните или назначете отделен координатор по съответствието с AI Act
- Внедрете единен intake процес за нови AI системи — с автоматизирана триaжа за нужда от DPIA/FRIA
- Адаптирайте въпросниците за доставчици да покриват и чл. 28 GDPR, и съответните AI Act изисквания
- Изградете единна програма за обучение, която включва грамотност в областта на изкуствения интелект (задължителна от 2 февруари 2025 г.)
- Документирайте техническите спецификации на всяка високорискова AI система по чл. 11 AI Act
- Подгответе процедура за двойно докладване при инциденти — едновременно до КЗЛД и до орган за надзор на пазара
- Изградете процес за наблюдение след пускане на пазара — задължителен по AI Act, опционален по GDPR
- Прегледайте всички договори за AI услуги — особено за разграничение между доставчик и деплойер
- Подгответе декларации за съответствие за високорискови AI системи (чл. 47 AI Act)
NIS2, DORA и whistleblowing — четирите режима наведнъж
За много български организации картината е още по-сложна — освен GDPR и AI Act, се прилагат и NIS2 (киберсигурност), DORA (финансов сектор) и ЗЗЛПСПОИН (whistleblowing). Всичките четири режима имат припокривания.
| Режим | Обхват | Припокриване | Компетентен орган в БГ |
|---|---|---|---|
| GDPR | Лични данни | — | КЗЛД |
| AI Act | AI системи | Висок при AI с лични данни | 7 органа (КЗЛД водещ за личните данни) |
| NIS2 | Киберсигурност на жизненоважни и важни субекти | Висок при инциденти със сигурността | МЕУ + ДАНС |
| DORA | Цифрова устойчивост на финансови субекти | Висок при банки/застрахователи с AI | БНБ, КФН |
| ЗЗЛПСПОИН | Whistleblowing канали | Среден при докладване на нарушения по тези режими | КЗЛД, специализирани органи |
Прочетете нашите анализи на NIS2 за България, DORA за финансовия сектор и whistleblowing и GDPR.
Често задавани въпроси
Защо да обединявам програмите за GDPR и AI Act, вместо да ги поддържам отделно?
Двата режима споделят над 60% от инфраструктурата си: рисково-базиран подход, отчетност, оценка на въздействието, управление на доставчици, обучение, прозрачност. Поддържането на две отделни програми означава дублиране на интервюта, документация, обучения и комитети — обикновено 30 до 50% по-високи разходи без съответна полза. Единната програма с обща инфраструктура и отделни заключителни документи е едновременно по-евтина, по-бърза и по-добре защитена при проверки.
Кога влизат в сила задълженията по AI Act?
Регламент (ЕС) 2024/1689 влезе в сила на 1 август 2024 г. От 2 февруари 2025 г. се прилагат забранените AI практики и задължителната грамотност в областта на изкуствения интелект. От 2 август 2026 г. влизат правилата за модели с общо предназначение и за прозрачност. Пълните задължения за високорискови AI системи започват на 2 август 2026 г. — този срок е твърдо легален и неговото неспазване води до глоби до 35 милиона евро или 7% от глобалния оборот.
Кой е компетентният орган в България по AI Act?
С Решение № 398 от 18 юни 2025 г. на Министерския съвет са назначени 7 органа за защита на основните права по чл. 77 от AI Act: КЗЛД, омбудсманът, ЦИК, Комисията за защита от дискриминация, Комисията за защита на потребителите, Държавната агенция за закрила на детето и Главната инспекция по труда. Към април 2026 г. България все още не е назначила официален орган за надзор на пазара по чл. 70 — Министерството на електронното управление поема представителството в Европейския съвет за изкуствен интелект, но крайният модел остава неясен. КЗЛД остава надзорен орган за всички AI системи, които обработват лични данни.
Може ли длъжностното лице по защита на данните да поеме и AI ролята?
Може, но с уговорки. AI Act не изисква отделен отговорник за съответствието с AI Act. Длъжностното лице може да разшири ролята си, но трябва да придобие техническо разбиране за AI системи, методологии за оценка на риска и стандарти за безопасност. За средни и големи организации препоръчваме хибриден модел — длъжностното лице остава отговорно за GDPR и съвместно с координатор по съответствието с AI Act (от ИТ или продукт) покриват чл. 27 FRIA и техническата документация по чл. 11 AI Act.
Каква е разликата между DPIA и FRIA?
DPIA по чл. 35 GDPR оценява риска за защитата на личните данни. FRIA по чл. 27 AI Act оценява риска за всички основни права (недискриминация, човешко достойнство, достъп до правосъдие, свобода на изразяване) при използване на високорискова AI система. Чл. 27, ал. 4 AI Act позволява DPIA да се използва като основа за FRIA, но не я заменя. Препоръчваме интегриран процес — едно интервю и един екип, две отделни заключения.
Какви са глобите по AI Act?
Регламент (ЕС) 2024/1689 предвижда три нива на глоби: до 35 милиона евро или 7% от глобалния оборот за нарушения на забранените AI практики (чл. 5); до 15 милиона евро или 3% от оборота за нарушения на изискванията към доставчици и деплойери; до 7,5 милиона евро или 1% от оборота за неточна, непълна или подвеждаща информация към компетентните органи. За малки и средни предприятия се прилага по-ниската стойност. Тези глоби могат да се натрупват с GDPR глобите при едно и също нарушение, засягащо двата режима.
Имам ли задължение за FRIA, ако използвам ChatGPT или Claude в работата?
Не автоматично. FRIA е задължителна само за деплойери на високорискови AI системи по списъка в Анекс III на регламента (биометрична идентификация, кредитен скоринг, оценка на кандидати за работа, образователно оценяване и др.) — и то главно за публични органи и определени частни деплойери. Използването на общи AI асистенти за обикновени бизнес задачи обикновено не попада в Анекс III. Но ако използвате AI за вземане на решения в HR, кредитиране, здравеопазване или образование — много вероятно е да е необходима FRIA.
Какво е грамотността в областта на изкуствения интелект и кога е задължителна?
Чл. 4 на AI Act изисква от всички доставчици и деплойери на AI системи да гарантират достатъчно ниво на грамотност в областта на изкуствения интелект на персонала, който работи с тези системи. Задължението е в сила от 2 февруари 2025 г. — приложимо е още сега. На практика това означава: документирана програма за обучение, разбиране за рисковете и възможностите на AI, специфична подготовка за длъжностните лица, които взимат решения с AI поддръжка. Препоръчваме обединение с GDPR обучението в единен учебен план.
Тази статия отразява правното положение към 23 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изграждане на единна програма за съответствие с GDPR и AI Act, оценка на риска по AI Act или подготовка за пълните задължения от 2 август 2026 г., моля свържете се с нас.
До 2 август 2026 г. остават по-малко от 100 дни. Готови ли сте?
Помагаме на банки, застрахователи, телекоми, онлайн платформи и държавни органи да изградят единна програма за съответствие с GDPR и AI Act — без дублиране на работа и с яснота кой какво прави.
- Картографиране на всички AI системи и класификация по AI Act
- Изграждане на интегриран комитет за управление и разширяване на ролята на длъжностното лице
- Интегриран процес за DPIA + FRIA с шаблони по новия EDPB модел
- Унифицирани въпросници за доставчици и AI Act договорни клаузи
- Подготовка за пълните задължения от 2 август 2026 г.
- Координация с КЗЛД и другите шест компетентни органа в България
Получавайте нови анализи на GDPR и AI регулация директно в пощата си
Свежи разбори на ключови развития в правото на защита на данните и изкуствения интелект. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират над 90 компании за пълно GDPR и AI Act съответствие. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни. Заедно изграждат единни програми за съответствие за банки, застрахователи и публични органи в България — обединявайки GDPR, AI Act, NIS2 и DORA.