GDPR глоби в България — реални примери и как да ги избегнете
Колко струва едно нарушение на GDPR в България? От рекордните 5.1 милиона лева срещу НАП (които никога не бяха платени) до глоби от 10 000 лв за общински компании — разглеждаме всеки значим случай, анализираме методологията на КЗЛД за определяне на санкциите, сравняваме българските глоби с европейските и предлагаме 7 конкретни стъпки, с които можете да предотвратите санкция за вашата организация.
Съдържание
Колко са глобите по GDPR
Регламент (ЕС) 2016/679 (GDPR) предвижда два нива на административни глоби, определени в чл. 83. Размерът зависи от вида на нарушението и се изчислява като по-високата стойност между фиксирана сума и процент от годишния оборот на предприятието.
Чл. 83(4) — долен праг: до €10M / 2%
Този праг се прилага за нарушения на задълженията на администратора и обработващия, включително:
- Задължения по чл. 8 (съгласие на деца)
- Задължения по чл. 11 (обработване, което не изисква идентификация)
- Задължения по чл. 25–39 (privacy by design, DPO, регистри, сигурност, уведомяване за нарушения)
- Задължения по чл. 42–43 (сертифициране)
Чл. 83(5) — горен праг: до €20M / 4%
Този по-висок праг се прилага за нарушения на основните принципи и права:
- Основни принципи на обработката — чл. 5, 6, 7, 9
- Права на субектите на данни — чл. 12–22
- Предаване на данни към трети страни — чл. 44–49
- Неспазване на разпореждане на надзорен орган
Национална допълнителна санкция: ЗЗЛД чл. 86
Освен глобите по GDPR, българският Закон за защита на личните данни (ЗЗЛД) предвижда в чл. 86 допълнителна „catch-all" санкция: глоба до 5 000 лв за физически лица и еднолични търговци, които нарушат разпоредбите на ЗЗЛД, за които не е предвидено друго наказание. Тази санкция се прилага при по-леки нарушения, които не попадат директно под чл. 83 на GDPR.
Реални глоби в България — case по case
От влизането на GDPR в сила на 25 май 2018 г. КЗЛД е наложила няколко значими глоби. Разглеждаме всеки случай подробно — от фактите до правните основания и крайния изход.
Национална агенция за приходите (НАП)
Година: 2019 | Инцидент: Хакерска атака, при която бяха изтеглени и публично разкрити данните на над 6 милиона граждани — ЕГН, имена, адреси, данъчна и осигурителна информация. Това е най-мащабният теч на лични данни в историята на България.
Нарушени разпоредби: чл. 5(1)(f) (принцип за цялостност и поверителност), чл. 24 (отговорност на администратора), чл. 25 (защита на данните на етапа на проектирането и по подразбиране), чл. 32 (сигурност на обработването).
КЗЛД установи, че НАП не е приложила адекватни технически и организационни мерки за защита на данните — липса на криптиране, остарял софтуер, недостатъчен контрол на достъпа.
Решение на КЗЛД от 28.08.2019 г.Глобата НИКОГА не е платена
НАП обжалва решението на КЗЛД. След дългогодишно съдебно производство, през февруари 2024 г. Върховният административен съд (ВАС) анулира глобата поради изтекъл давностен срок (4.5 години от налагането). Глобата от 5.1 млн лв така и не беше събрана. Случаят илюстрира сериозен проблем с ефективността на санкционния механизъм в България — дори рекордни глоби могат да останат неизпълнени поради процедурни забавяния.
ДСК Банк
Година: 2019 | Инцидент: Неоторизиран достъп до данните на 33 492 клиенти на банката. При миграция на данни служители на IT доставчик получиха достъп до лични данни без необходимото разрешение.
Нарушени разпоредби: чл. 32 (сигурност на обработването), чл. 5(1)(f) (принцип за цялостност и поверителност).
За разлика от случая с НАП, ДСК Банк прие и плати глобата без обжалване. Банката предприе корективни мерки и засили вътрешния контрол.
Решение на КЗЛД от 2019 г.Български пощи ЕАД
Година: 2022 | Инцидент: Ransomware атака, при която бяха криптирани и изтеглени данните на около 680 000 физически лица — имена, адреси, телефонни номера, данни от пощенски пратки.
Нарушени разпоредби: чл. 5(1)(f) (поверителност), чл. 32 (сигурност на обработването). КЗЛД установи недостатъчни мерки за киберсигурност — липса на актуализиран антивирусен софтуер, недостатъчна сегментация на мрежата и липса на адекватни backup процедури.
Решение на КЗЛД от 2022 г.Телеком оператор
Инцидент: Регистрация на предплатени услуги (предплатени SIM карти) с откраднати лични данни (чужда самоличност). Оператор не е проверил адекватно идентичността на клиента при активиране на услугата, което е позволило използването на чужди документи за регистрация.
Нарушени разпоредби: чл. 5(1)(а) (законосъобразност, добросъвестност и прозрачност), чл. 6 (законосъобразност на обработването).
Решение на КЗЛДПолитическа партия
Година: 2023 | Инцидент: Използване на фалшифицирани подписи на граждани като привърженици на партията в контекста на избори. Лични данни (имена, ЕГН, адреси) са били обработвани без знанието и съгласието на засегнатите лица.
Нарушени разпоредби: чл. 5(1)(а) (законосъобразност), чл. 6 (липса на правно основание за обработването).
Решение на КЗЛД от 2023 г.Министерство на вътрешните работи (МВР)
Инцидент: Незаконно предаване на лични данни на български гражданин на властите в Того (Западна Африка) без правно основание за международния трансфер. Предаването е извършено извън рамките на международните споразумения за правна помощ.
Нарушени разпоредби: чл. 44–49 GDPR (предаване на данни към трети страни без адекватни гаранции).
Решение на КЗЛДКомунална компания
Инцидент: Грешно въведено ЕГН в системата на комуналната компания, в резултат на което на невинен гражданин беше наложен запор на заплатата за чужд дълг. Грешката не беше коригирана въпреки многократни жалби от засегнатото лице.
Нарушени разпоредби: чл. 5(1)(d) (точност на данните), чл. 16 (право на коригиране).
Решение на КЗЛДВажно уточнение
Понякога в медиите се цитират глоби, наложени от надзорни органи на други държави членки на ЕС, като български. Например, глобата на Raiffeisen Bank е наложена от румънския надзорен орган ANSPDCP, а не от КЗЛД. В настоящата статия включваме само глоби, наложени от КЗЛД на територията на България.
Глоби по години — таблица
Интересен парадокс: докато общият размер на наложените глоби намалява след 2019 г., броят на жалбите от граждани непрекъснато расте. Това показва повишена обществена осведоменост за правата по GDPR и по-активна позиция на субектите на данни.
| Година | Общо глоби (лв) | Значими случаи | Брой жалби |
|---|---|---|---|
| 2018 | ~120 000 | Малки глоби в първата година на GDPR | ~770 |
| 2019 | ~6 200 000 | НАП (5.1M), ДСК Банк (1M) | ~850 |
| 2020 | ~180 000 | Различни малки и средни глоби | ~900 |
| 2021 | ~150 000 | Телеком оператор, различни малки случаи | ~950 |
| 2022 | ~1 150 000 | Български пощи (1M), МВР, комунална компания | ~1 000 |
| 2023 | ~130 000 | Политическа партия (25K), малки случаи | ~1 050 |
| 2024 | ~90 000 | Предимно малки глоби 1 000–10 000 лв | ~1 080 |
Тенденция: жалбите растат, глобите — не
Броят на жалбите до КЗЛД е нараснал от ~770 през 2018 г. до ~1 080 през 2024 г. — ръст от над 40%. Същевременно, извън пиковата 2019 г., типичните годишни глоби остават в диапазона 90 000–180 000 лв. Това може да се обясни с по-честото използване на корективни мерки (предупреждения, разпореждания) вместо финансови санкции.
Най-честите нарушения, за които КЗЛД глобява
Анализът на решенията на КЗЛД показва, че четири категории нарушения се повтарят най-често:
-
Нарушение на основните принципи — чл. 5 GDPR
Най-честата основа за глоби. Включва нарушения на принципите за законосъобразност, точност, минимизиране на данните и поверителност. Почти всяка глоба включва позоваване на чл. 5 като нарушена разпоредба.
чл. 5(1)(a)-(f), чл. 5(2) GDPR -
Липса на правно основание — чл. 6 GDPR
Обработване на лични данни без валидно правно основание: нито съгласие, нито договор, нито легитимен интерес, нито друго основание по чл. 6(1). Особено често при маркетинг, видеонаблюдение и споделяне на данни с трети лица.
чл. 6(1)(a)-(f) GDPR -
Недостатъчна сигурност — чл. 32 GDPR
Липса на адекватни технически и организационни мерки за сигурност: некриптирани бази данни, остарял софтуер, липса на контрол на достъпа, неадекватни backup процедури. Всички големи глоби (НАП, ДСК, Пощи) включват нарушение на чл. 32.
чл. 32(1)(a)-(d) GDPR -
Неизпълнение на задълженията на администратора — чл. 24 GDPR
Администраторът не е приложил подходящи мерки, за да гарантира и да е в състояние да демонстрира, че обработването се извършва в съответствие с GDPR. Липса на вътрешни политики, процедури и документация.
чл. 24(1)-(2) GDPR
Как КЗЛД определя размера на глобата
Размерът на глобата не е произволен. GDPR определя 10 критерия в чл. 83(2), които надзорният орган трябва да вземе предвид:
- Естество, тежест и продължителност на нарушението, брой засегнати лица и размер на вредата
- Умисъл или небрежност при нарушението
- Мерки за смекчаване на вредата, предприети от администратора
- Степен на отговорност с оглед на мерките по чл. 25 и 32
- Предишни нарушения от същия администратор/обработващ
- Степен на сътрудничество с надзорния орган
- Категории засегнати данни
- Начин на узнаване — дали администраторът сам е уведомил за нарушението
- Предишни корективни мерки, наложени на администратора
- Спазване на кодекси за поведение или одобрени сертификационни механизми
EDPB Guidelines 04/2022 — 5-стъпкова методология
Европейският комитет по защита на данните (EDPB) прие през 2023 г. Насоки 04/2022 за изчисляване на глобите, които въвеждат хармонизирана 5-стъпкова методология за всички надзорни органи в ЕС:
- Стъпка 1: Идентифициране на операциите по обработване и оценка на приложението на чл. 83(3)
- Стъпка 2: Определяне на начална стойност въз основа на естеството, тежестта и оборота
- Стъпка 3: Отчитане на отегчаващи и смекчаващи обстоятелства
- Стъпка 4: Определяне на максималния праг по чл. 83(4)-(6)
- Стъпка 5: Оценка дали крайната сума е ефективна, пропорционална и възпираща
Тази методология осигурява по-голяма предвидимост и последователност при налагане на глоби в целия ЕС. КЗЛД също следва тези насоки при определяне на санкциите.
Сравнение с ЕС
България се нарежда на приблизително 9-то място по общ размер на наложените GDPR глоби сред държавите от ЕС. Общата сума на българските глоби е около €3.21 милиона, но значителна част от тази сума идва от анулираната глоба на НАП.
| Държава | Общо глоби | Най-голяма единична глоба |
|---|---|---|
| Ирландия | ~€3.5 млрд | Meta — €1.2 млрд (2023) |
| Люксембург | ~€746 млн | Amazon — €746 млн (2021) |
| Франция | ~€700+ млн | Meta — €250 млн (2023) |
| Италия | ~€200+ млн | Enel Energia — €26.5 млн |
| Германия | ~€100+ млн | H&M — €35.3 млн (2020) |
| България | ~€3.21 млн | НАП — €2.6 млн (анулирана) |
Типичните глоби в България са в диапазона 1 000–10 000 лв (€500–€5 000), което е значително под средноевропейското ниво. Средната глоба в ЕС е около €1.5–2 милиона, а медианата — около €15 000. Българските глоби отразяват по-ниския икономически стандарт, но и по-консервативния подход на КЗЛД в сравнение с надзорните органи в Западна Европа.
Топ 5 EU глоби — за контекст
За да поставим българските глоби в перспектива, ето петте най-големи глоби по GDPR в ЕС към момента:
Сравнението показва, че дори анулираната глоба на НАП от €2.6M е незначителна в европейски мащаб. Големите GDPR глоби са насочени предимно към технологични гиганти с огромен оборот и масова обработка на данни.
Как да избегнете глоба — 7 стъпки
Предотвратяването на глоба е значително по-евтино от плащането й. Ето седем конкретни стъпки, с които можете да минимизирате риска от санкция:
-
Проведете GDPR одит
Започнете с пълен преглед на текущото състояние — какви данни обработвате, на какво основание, какви мерки за сигурност имате. Одитът идентифицира пропуски преди КЗЛД да го направи.
Прочетете: GDPR одит за бизнеса → -
Изградете документация
Създайте регистър на дейностите по обработване (чл. 30), политика за поверителност, вътрешни процедури и записи за съгласия. Документацията е първото нещо, което КЗЛД изисква при проверка.
Прочетете: GDPR за малкия бизнес → -
Назначете DPO (ако е приложимо)
Ако организацията ви попада в обхвата на чл. 37 GDPR, назначаването на DPO е задължително. Дори да не е задължително, външно DPO може значително да намали риска от нарушения.
Прочетете: DPO — кога е задължително → -
Обучете екипа
Човешкият фактор е причина за повечето инциденти. Провеждайте редовни обучения на всички служители, които обработват лични данни — поне веднъж годишно, с документиране на участието.
Прочетете: Практическо ръководство → -
Създайте процедура за теч на данни
Имайте готов план за реакция при нарушение на сигурността: кой уведомява КЗЛД, в какъв срок (72 часа!), как се информират засегнатите лица, кой координира вътрешното разследване.
Прочетете: Теч на данни — 72 часа → -
Сключете договори за обработка
Всеки доставчик, който обработва лични данни от ваше име (IT, счетоводство, маркетинг), трябва да има договор по чл. 28 GDPR с конкретни клаузи за сигурност и права.
Прочетете: Договор за обработка на данни → -
Провеждайте редовен преглед
GDPR съответствието не е еднократно усилие. Планирайте годишен преглед на политиките, процедурите и техническите мерки. Актуализирайте ги при промяна на дейността, технологиите или законодателството.
Прочетете: GDPR одит — процес и стъпки →
Често задавани въпроси
Може ли КЗЛД да глоби малка фирма?
Да. КЗЛД може да наложи глоба на всяка организация — независимо от размера — ако установи нарушение на GDPR или ЗЗЛД. При определяне на размера обаче се взема предвид мащабът на дейността и финансовото състояние. По ЗЗЛД чл. 86 глобата може да бъде до 5 000 лв за физически лица и еднолични търговци. Прочетете повече в нашето ръководство за GDPR за малък бизнес.
Колко е минималната глоба по GDPR?
GDPR не определя минимална глоба — посочени са само максимални прагове (до €10M/2% или €20M/4% от годишния оборот). В България типичните глоби за малки нарушения са в диапазона 1 000–10 000 лв. КЗЛД може да наложи и корективни мерки без глоба — предупреждение, разпореждане за привеждане в съответствие или временно ограничаване на обработването.
Могат ли да ми наложат глоба без жалба?
Да. КЗЛД може да образува проверка по собствена инициатива, без жалба от субект на данни. Проверки се инициират при медийни публикации за теч на данни, по сигнал от друг надзорен орган в ЕС, при планови (секторни) проверки или при информация за нарушение от друг източник. Случаят с НАП е пример — проверката е образувана след медийни публикации за хакерската атака.
Мога ли да обжалвам глобата?
Да. Решенията на КЗЛД подлежат на обжалване пред Административен съд — София-град (АССГ) в 14-дневен срок от съобщаването. Решението на АССГ може да бъде обжалвано пред Върховния административен съд (ВАС). Случаят с НАП е показателен — глобата от 5.1 млн лв беше анулирана от ВАС поради изтекъл давностен срок (4.5 години).
Застраховка покрива ли GDPR глоби?
Застраховка „Кибер отговорност" (Cyber Liability Insurance) може да покрие разходите за разследване, уведомяване на засегнатите лица, правна защита и обезщетения. Самите административни глоби по GDPR обаче по правило НЕ се покриват от застраховка, тъй като застраховането на санкции се счита за противоречащо на обществения ред. Най-добрата „застраховка" е превантивен GDPR одит.
Тази статия отразява правното положение към 18 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет относно GDPR съответствие, глоби или обжалване на решения на КЗЛД, моля свържете се с нас.
GDPR одит — предотвратете глобата преди да дойде
КЗЛД увеличава секторните проверки всяка година. Не чакайте жалба или инцидент — проверете съответствието си сега.
- Пълен преглед на обработването на лични данни
- Идентифициране на пропуски и рискове
- Конкретен план за привеждане в съответствие
- Подготовка на документация за проверка от КЗЛД
- Обучение на екипа за предотвратяване на инциденти
- Текуща поддръжка и мониторинг
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.