Europrivacy сертификат — нова алтернатива на SCC при международни трансфери
На 16 април 2026 г. Европейският комитет по защита на данните (ЕКЗД) прие две становища, които променят значително картата на международните трансфери и доказването на съответствие с GDPR. Opinion 14/2026 разширява обхвата на Europrivacy сертификацията към администратори извън ЕИП. Opinion 15/2026 — за първи път в историята на GDPR — одобрява сертификационни критерии и като инструмент за международни трансфери, в редица сценарии алтернатива на стандартните договорни клаузи (SCC) и задължителните корпоративни правила (BCR). За българския бизнес това означава нов, по-достъпен път към международна работа с лични данни. В това ръководство: какво точно решиха ЕКЗД, кой може да кандидатства, кога си струва, преходният режим, цени и сертифициращи органи.
Съдържание
- Защо темата е критична сега
- Какво е Europrivacy и кой управлява схемата
- Opinion 14/2026 — съответствие с GDPR (версия 82)
- Opinion 15/2026 — инструмент за международни трансфери
- Сравнение: Europrivacy vs SCC + TIA vs BCR
- Кога си струва за български бизнес
- Стъпки за подготовка
- Преходен режим v60 → v82 (до края на 2029 г.)
- Българският контекст — акредитация, КЗЛД, цени
- Контролен списък за подготовка
- Често задавани въпроси
Защо темата е критична сега
До април 2026 г. българските организации, които прехвърляха лични данни към получатели извън ЕИП, разполагаха с три основни механизма по Глава V GDPR (чл. 44–50): решение за адекватност (чл. 45), стандартни договорни клаузи (SCC) или задължителни корпоративни правила (BCR) (чл. 46) и дерогации (чл. 49). Сертификацията по чл. 42 теоретично винаги е била сред инструментите за подходящи гаранции, но липсваха одобрени схеми, които конкретно да се използват за трансфери.
С Opinion 15/2026 ЕКЗД за първи път в историята на GDPR одобрява сертификационни критерии и като инструмент за международни трансфери. Това променя стратегическата картина по два начина:
- За приемащите страни извън ЕИП, които често обработват данни от множество европейски администратори (например американски доставчици на облачни услуги, индийски кол-центрове, израелски IT компании), сертификацията дава възможност веднъж да докажат адекватни гаранции, вместо да преподписват SCC с всеки клиент поотделно.
- За българските предаващи администратори, които работят с такъв сертифициран приемащ, отпада необходимостта от подписване на отделни SCC за трансфера; вместо това разчитат на сертификата плюс обвързващи и изпълнителни ангажименти на приемащия.
Свързано четене
За пълен анализ на действащия режим на международни трансфери и шеста стъпка от EDPB Препоръки 01/2020, вижте TIA шаблон за трансфери в САЩ след Schrems II. За цялостен преглед на Глава V GDPR — Международен трансфер на лични данни.
Какво е Europrivacy и кой управлява схемата
Europrivacy е сертификационна схема за съответствие с GDPR, разработена от European Center for Certification and Privacy (ECCP), със седалище в Люксембург. Схемата се администрира от Europrivacy International Board of Experts и беше одобрена от ЕКЗД с Opinion 28/2022 от 10 октомври 2022 г. като първият в историята European Data Protection Seal по чл. 42, параграф 5 GDPR.
Сертификацията се извършва от независим, акредитиран сертифициращ орган (по EN-ISO/IEC 17065) и е доброволна — администраторът или обработващият избира дали да се подложи на нея. Веднъж издаден, сертификатът е валиден за 3 години с междинни надзорни одити веднъж годишно.
Версии на критериите — кратка хронология
- Версия 60 (10.10.2022 г., Opinion 28/2022) — първоначална, ограничена до субекти, установени в ЕИП.
- Версия 82 (16.04.2026 г., Opinion 14/2026) — разширен обхват към субекти извън ЕИП по чл. 3, параграф 2 GDPR; въвежда критерий за конфликт с правото на трета държава; уточнява задълженията за определяне на представител в ЕИП и сътрудничество с надзорните органи.
- Отделна схема за трансфери (16.04.2026 г., Opinion 15/2026) — самостоятелен набор критерии, използваеми като инструмент за трансфери по чл. 46 GDPR.
Opinion 14/2026 — съответствие с GDPR (версия 82)
Кратко резюме
Opinion 14/2026 е становище на ЕКЗД по чл. 64, параграф 2 GDPR, прието на 16 април 2026 г. То одобрява актуализираната версия 82 на Europrivacy сертификационните критерии като European Data Protection Seal по чл. 42, параграф 5 GDPR. Това означава, че всеки администратор или обработващ, успешно сертифициран по схемата, разполага с признат на ниво ЕС знак за съответствие, който всички надзорни органи зачитат като доказателство за изпълнение на конкретните изисквания, обхванати от критериите.
Ключови промени спрямо версия 60
Разширен териториален обхват
Сертификацията вече е достъпна и за администратори и обработващи извън ЕИП, които попадат в чл. 3, параграф 2 GDPR — предлагат стоки или услуги на лица в ЕС или наблюдават поведението им.
Конфликт с правото на трета държава
Въведен е нов критерий за оценка на потенциален конфликт между задълженията по GDPR и правото на трета държава, в която заявителят е установен (FISA 702, EO 12333 и подобни режими).
Представител в ЕИП
Уточнени са задълженията за определяне на представител по чл. 27 GDPR, когато заявителят е извън ЕИП.
Сътрудничество с надзорните органи
По-ясни критерии за процедурите, чрез които сертифицираният субект отговаря на искания и проверки от компетентните надзорни органи (вкл. КЗЛД).
Извън тези нови елементи, версия 82 запазва основната структура на версия 60: одит на политиките, процедурите и техническите мерки, оценка на съответствието с осемте задължения по чл. 24 GDPR (отговорност на администратора), чл. 25 (защита на данните по проект и по подразбиране), чл. 30 (регистър на дейностите), чл. 32 (сигурност), чл. 33–34 (нарушения на сигурността), чл. 35 (DPIA), чл. 37–39 (длъжностно лице по защита на данните) и чл. 44–50 (международни трансфери).
Opinion 15/2026 — инструмент за международни трансфери
Кратко резюме
Opinion 15/2026 е историческо становище. За първи път от прилагането на GDPR на 25 май 2018 г. ЕКЗД одобрява сертификационни критерии за използване не само като доказателство за съответствие, но и като самостоятелен инструмент за международни трансфери по чл. 42 и чл. 46 GDPR. Този ход беше предвиден в самия регламент още от 2016 г., но до април 2026 г. оставаше само хипотетична възможност.
Кой може да кандидатства
Заявителите по тази отделна схема са приемащи страни (data importers), установени извън ЕИП и НЕ обект на GDPR. Идеята е сертификацията да им позволи да докажат пред множество европейски предаващи администратори едновременно, че разполагат с подходящи гаранции по смисъла на чл. 46.
Изисквания към сертифицирания приемащ
Критериите по Opinion 15/2026 изискват от заявителя:
- Картографиране на потоците — ясна и поддържана карта на всички лични данни, които приема от ЕИП, и всички последващи операции по обработване;
- Идентифициране на трансферите към трети държави и международни организации — всички onward transfers, включително от приемащия към негови подизпълнители;
- Подходящи основания по Глава V — за всеки идентифициран трансфер заявителят посочва конкретен инструмент (адекватност, SCC, BCR, друга сертификация или дерогация);
- Onward transfers процедури — писмени правила за всеки последващ трансфер на същите данни;
- Уведомяване при нарушение — процедури за уведомяване на компетентния надзорен орган в ЕИП и на засегнатите субекти;
- Сътрудничество с надзорните органи и предоставяне на необходимите документи при искане.
Обвързващи и изпълнителни ангажименти
Сертификацията сама по себе си не е достатъчна. ЕКЗД изрично подчертава в Opinion 15/2026, че тя трябва да бъде придружена от обвързващи и изпълнителни ангажименти на приемащия (binding and enforceable commitments), които субектът на данни в ЕИП да може да упражни директно срещу него. Тези ангажименти включват:
- Право на третата страна — субект на данни — да предяви иск пред съда в ЕИП;
- Право на достъп, коригиране и изтриване, упражняемо директно срещу приемащия;
- Право на обезщетение по чл. 82 GDPR;
- Задължение на приемащия да не се позовава на конфликтуващи искания на власти на трета държава, без да информира предаващия администратор и надзорния орган.
Сертификацията не освобождава от отговорност
ЕКЗД ясно посочва, че сертификацията остава доброволен инструмент за отчетност — присъединяването към схемата не отнема правомощията на надзорните органи. Предаващият администратор остава длъжен да провери, че сертификатът е валиден, че обхваща конкретния трансфер и че е достатъчен в контекста на конкретното обработване. Schrems II задължението за документирана оценка на правото на третата държава (TIA) не отпада автоматично — препоръчваме винаги да изготвяте кратко становище, в което посочвате защо при наличието на сертификат и обвързващи ангажименти не е нужно по-задълбочено TIA проучване.
Сравнение: Europrivacy vs SCC + TIA vs BCR
За българския администратор, който трябва да избере подходящ инструмент за трансфер, тримата сега изглеждат така:
| Критерий | Europrivacy сертификация | SCC + TIA | BCR |
|---|---|---|---|
| Правно основание | Чл. 46, параграф 2, буква „е" GDPR | Чл. 46, параграф 2, буква „в" GDPR | Чл. 46, параграф 2, буква „б" + чл. 47 GDPR |
| Кой кандидатства | Приемащият (извън ЕИП) | И двете страни — със стандартен договор | Цялата група компании |
| Време за внедряване | 4–9 месеца (одит + издаване) | Седмици (подписване) + месеци за TIA | 2–3 години (с одобрение от водещ надзорен орган) |
| Цена ориентир | 10 000–50 000 евро (по индикативни данни) | Низ за подписване; TIA — 3 000–15 000 евро | 50 000–200 000 евро |
| Подходящо за | Доставчик с много европейски клиенти | Двустранен трансфер, ad hoc | Мултинационална група |
| Освобождаване от TIA | Опростено, но не премахнато | Задължително пълно TIA | Опростено за вътрешногрупови трансфери |
| Валидност | 3 години с годишен надзорен одит | Безсрочна (обвързана с правото) | Безсрочна (с периодичен преглед) |
Кога си струва за български бизнес
Според нас Europrivacy сертификацията дава максимална стойност при следните три профила:
Профил 1: Български IT доставчик с европейски клиенти
Българска софтуерна компания, която предоставя SaaS услуги или аутсорсинг на разработка на клиенти в Германия, Холандия, скандинавските държави. До април 2026 г. всеки нов клиент изискваше отделни преговори по DPA по чл. 28 GDPR, понякога и SCC при подизпълнители извън ЕИП. Със сертификация по версия 82 компанията може да представи единен документ при процедура за избор на доставчик вместо да преминава през индивидуална проверка (due diligence) с всеки потенциален клиент.
Профил 2: Български администратор с американски/индийски доставчик
Българска банка, застраховател или телеком, който ползва американски облачен доставчик за CRM, имейл маркетинг или клиентска поддръжка. Ако този доставчик се сертифицира по схемата от Opinion 15/2026, българският администратор може да разчита на сертификата вместо на индивидуални SCC + пълно TIA. Това е значително облекчение за compliance екипите, които до сега трябваше да поддържат паралелни TIA документи за десетки доставчици.
Профил 3: Българска група с филиали извън ЕИП
Малка или средна група, която не оправдава разходите за пълни BCR, но има филиал/представителство в Сърбия, Северна Македония или Турция. Сертификацията на филиала по Opinion 15/2026 е значително по-достъпно решение от BCR.
Кога не си струва
Сертификацията не е универсалното решение. По наш анализ тя не носи добавена стойност за: (1) администратори, които правят само еднократни или нечести трансфери — SCC остават по-евтини; (2) малки фирми с до 5 служители без международна дейност — DPA по чл. 28 е достатъчен; (3) случаи, в които приемащият вече е сертифициран по DPF (адекватност за САЩ) — сертификацията тогава дублира покритието. За тези сценарии остава по-добре класическият път SCC + TIA, описан в нашата статия за TIA.
Стъпки за подготовка
Подготовката за Europrivacy сертификация преминава през шест последователни фази, които препоръчваме да се планират за период от 6 до 12 месеца:
Първоначална оценка на готовността
Gap анализ срещу актуалния набор критерии (версия 82 или схемата по Opinion 15/2026). Отговорник: длъжностно лице по защита на данните или външен консултант. Артефакт: gap-доклад с приоритети.
Картографиране на обработванията
Пълна актуализация на регистъра на дейностите по чл. 30 GDPR, включително всички трансфери, подизпълнители, цели, основания и срокове. Артефакт: актуализиран RoPA.
Привеждане в съответствие на политиките
Изготвяне или актуализация на политика за поверителност, политика за съхранение, процедура за искания на субекти, план за реакция при нарушение, договори по чл. 28. Артефакт: пакет от правни документи, одобрени от управителния орган.
Технически и организационни мерки
Проверка на сигурностните контроли по чл. 32 GDPR (криптиране, контрол на достъпа, многофакторно удостоверяване, журнали за одит, управление на инциденти, сигурност на доставчиците).
Избор на акредитиран сертифициращ орган
Списъкът се поддържа от Europrivacy International Board of Experts. Към момента на публикуване в България няма акредитиран орган специално за схемата — кандидатите ползват органи в Германия, Австрия или Люксембург.
Одит и издаване на сертификата
Първоначалният одит трае 2–4 седмици. След положителен резултат сертификатът се издава за 3 години, с надзорни одити веднъж годишно и пълно подновяване в края на срока.
Преходен режим v60 → v82 (до края на 2029 г.)
ЕКЗД определи двустепенен преходен план, за да позволи постепенно адаптиране на пазара:
До 31 декември 2026 г.
Сертифициращите органи могат да издават нови сертификати по версия 60. След тази дата нови сертификати се издават само по версия 82.
До 31 декември 2029 г.
Съществуващите сертификати по версия 60 запазват валидността си. След тази дата всички действащи сертификати трябва да са по версия 82.
Препоръчителна стратегия за български кандидати: ако предстои нов одит през втората половина на 2026 г., препоръчваме да се кандидатства директно по версия 82, дори това да удължи подготовката с 1–2 месеца. Издаване на сертификат по версия 60 в 2026 г. означава задължителен пълен одит за преминаване към версия 82 не по-късно от 2029 г. — двойна работа, която може да се избегне.
Българският контекст — акредитация, КЗЛД, цени
Кой акредитира сертифициращите органи в България
По чл. 43, параграф 1 GDPR акредитацията на сертифициращи органи се извършва от националния орган по акредитация в съответствие с EN-ISO/IEC 17065 или от компетентния надзорен орган. В България акредитиращият орган е Изпълнителната агенция „Българска служба за акредитация" (ИА БСА), при сътрудничество с КЗЛД.
По наш анализ към 30 април 2026 г. на територията на България няма акредитиран сертифициращ орган специално за Europrivacy схемата. Българските кандидати ползват акредитирани органи от други държави членки — преди всичко германски (TÜV Rheinland, TÜV SÜD), австрийски и люксембургски. Това не е правна пречка — сертификатът, издаден от орган, акредитиран в една държава членка, важи в целия ЕИП.
Роля на КЗЛД
Българската КЗЛД като компетентен надзорен орган по GDPR:
- Одобрява или участва в одобрението на национални сертификационни схеми (ако има такива);
- Може да оттегля одобрение на сертификати, издадени на администратори под юрисдикцията ѝ, ако заявителят вече не отговаря на критериите (чл. 42, параграф 7 GDPR);
- Запазва пълните си правомощия по чл. 58 GDPR за разследване и санкциониране на сертифицирани субекти, които нарушават регламента.
Цени — индикатори за български пазар
По индикативни данни от пазарни оферти за български администратори, годишният бюджет за Europrivacy сертификация се движи в диапазона 10 000–50 000 евро в зависимост от:
- Размера на организацията (брой служители, обороти, географско присъствие);
- Обхвата на сертификацията (целият бизнес или конкретна услуга/продукт);
- Броя на обработванията в RoPA;
- Степента на готовност към момента на стартиране (gap анализът определя обема на коригиращите мерки).
Малка компания с под 50 служители и една основна услуга може да очаква долната граница; средна или голяма група с международни трансфери и десетки обработвания — горната. Към тези суми се прибавят разходите за вътрешна подготовка (време на DPO, юрисконсулт, IT), които често се подценяват.
Контролен списък за подготовка
- Решение на управителния орган за стартиране на сертификационния процес — отговорник: изпълнителен директор; артефакт: писмен протокол.
- Първоначален gap анализ срещу версия 82 на критериите — отговорник: длъжностно лице по защита на данните или външен консултант; срок: 4–6 седмици; артефакт: gap-доклад с приоритети.
- Актуализиран регистър на дейностите по обработване (RoPA) по чл. 30 GDPR с пълно картографиране на трансферите.
- Документирани политики: политика за защита на данните, политика за съхранение, процедура за искания на субекти, политика за нарушения на сигурността.
- Договори за обработване по чл. 28 GDPR с всички подизпълнители — преглед и при необходимост обновяване.
- Технически мерки по чл. 32 GDPR: криптиране на данни в покой и при пренос, многофакторно удостоверяване, контрол на достъпа по принципа на минималните необходими права.
- Оценки на въздействието (DPIA) по чл. 35 GDPR за всички високорискови обработвания.
- Длъжностно лице по защита на данните — назначено и регистрирано в КЗЛД, ако е задължително по чл. 37 GDPR.
- План за реакция при нарушение на сигурността с тестване (tabletop упражнения) поне веднъж годишно.
- Обучение на персонала по защита на данните — при наемане и веднъж годишно; протокол с подписи.
- Анализ на трансферите — за всеки идентифициран трансфер извън ЕИП посочване на конкретен инструмент по Глава V.
- Обвързващи и изпълнителни ангажименти — само ако се кандидатства по схемата от Opinion 15/2026 като приемащ извън ЕИП.
- Избор на сертифициращ орган — справка с актуалния списък на Europrivacy International Board of Experts.
- Бюджетиране — годишен бюджет за такса на сертифициращия орган + вътрешни разходи + надзорни одити.
- Преглед на трета страна (second opinion) на готовността преди формалното кандидатстване — препоръчително за първи кандидати.
Често задавани въпроси
Какво представляват EDPB Opinions 14/2026 и 15/2026 за Europrivacy?
На 16 април 2026 г. Европейският комитет по защита на данните (ЕКЗД) прие две становища, които заедно надграждат сертификационния режим по чл. 42 GDPR. Opinion 14/2026 одобрява версия 82 на Europrivacy критериите като European Data Protection Seal по чл. 42, параграф 5 GDPR и разширява обхвата към администратори и обработващи извън ЕИП, попадащи в чл. 3, параграф 2 GDPR. Opinion 15/2026 за първи път в историята на GDPR одобрява сертификационни критерии и като инструмент за международни трансфери по чл. 42 и чл. 46 GDPR — алтернатива на стандартните договорни клаузи (SCC) и задължителните корпоративни правила (BCR).
Кой може да кандидатства за Europrivacy сертификация по новата версия 82?
Версия 82 разширява обхвата до три категории заявители: (1) администратори и обработващи, установени в ЕИП; (2) администратори и обработващи извън ЕИП, които попадат в обхвата на GDPR по чл. 3, параграф 2 (предлагат стоки или услуги на лица в ЕС или наблюдават поведението им); (3) по отделната схема на Opinion 15/2026 — приемащи лица извън ЕИП, които НЕ са обект на GDPR, но получават данни от ЕИП и искат да докажат подходящи гаранции по чл. 46 GDPR.
Замества ли Europrivacy сертификацията SCC и TIA при международни трансфери?
Може да ги замести в определени случаи. По чл. 46, параграф 2, буква „е" GDPR одобрена сертификация е самостоятелно подходящо средство за защита при трансфер. Когато приемащият е сертифициран по Europrivacy схемата от Opinion 15/2026 и подпише обвързващи и изпълнителни ангажименти, не е необходимо отделно подписване на стандартни договорни клаузи за същите данни. Препоръчваме обаче и в този случай да се изготви оценка на въздействието при трансфер (TIA), защото сертификацията не освобождава предаващия администратор от задължението да се увери, че защитата е по същество еквивалентна (Schrems II).
Какъв е преходният режим за организациите, сертифицирани по предишната версия 60?
ЕКЗД определи двустепенен преходен режим. Първа фаза: до края на 2026 г. сертифициращите органи могат да издават нови сертификати по версия 60, след тази дата — само по версия 82. Втора фаза: до края на 2029 г. съществуващите сертификати по версия 60 запазват валидността си; след тази дата всички действащи сертификати трябва да са по версия 82. Препоръчителна стратегия: при предстоящ нов одит през 2026 г. — кандидатствайте директно по версия 82, за да избегнете двойна работа.
Кой акредитира сертифициращите органи в България?
По чл. 43, параграф 1 GDPR акредитацията на сертифициращи органи се извършва от националния орган по акредитация в съответствие с EN-ISO/IEC 17065 — в България това е Изпълнителната агенция „Българска служба за акредитация" (ИА БСА), при сътрудничество с КЗЛД. По наш анализ към 30 април 2026 г. на територията на България няма акредитиран орган специално за Europrivacy схемата; кандидатите ползват акредитирани органи от други държави членки — преди всичко Германия, Австрия и Люксембург. Списъкът се поддържа от Europrivacy International Board of Experts.
Колко струва Europrivacy сертификацията?
По индикативни данни от пазарни оферти за български администратори годишният бюджет за Europrivacy сертификация (включително такса на сертифициращия орган, вътрешна подготовка и поддръжка) е в диапазона 10 000–50 000 евро в зависимост от размера на организацията, броя на обработванията и обхвата на схемата. Малка компания с под 50 служители може да очаква долната граница; група компании с международни трансфери и голям обем обработвания — горната. Сертификатът има валидност 3 години с междинни надзорни одити веднъж годишно.
Тази статия отразява правното положение към 30 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За оценка на готовност за Europrivacy сертификация, преглед на конкретен трансферен сценарий или избор на акредитиран сертифициращ орган, моля свържете се с нас.
Обмисляте Europrivacy сертификация или нова стратегия за международни трансфери?
Помагаме на български администратори и обработващи — от технологични фирми до банки и застрахователи — да преценят кога сертификацията е подходящ инструмент и да се подготвят ефективно за одит.
- Предварителен gap анализ срещу версия 82 на Europrivacy критериите
- Сравнителен анализ Europrivacy vs SCC + TIA vs BCR за конкретния ви сценарий
- Подготовка на пакета документи за сертификационния одит
- Свързване с акредитирани сертифициращи органи в Германия, Австрия и Люксембург
- Планиране на преходния режим v60 → v82 до 2029 г.
- Изготвяне на обвързващи и изпълнителни ангажименти за приемащи извън ЕИП
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за длъжностни лица по защита на данните, юрисконсулти и директори по съответствие. Без нежелана поща.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират над 90 български компании — банки, застрахователи, телекоми и технологични фирми — по международни трансфери на лични данни, сертификационни процеси и подготовка за КЗЛД проверки. Подпомагат подготовката за Europrivacy одит и избор на акредитирани сертифициращи органи в ЕИП.