GDPR Последна актуализация: 9 март 2026 12 мин четене

GDPR одит за бизнеса — как да проверите дали фирмата ви е в съответствие

Q: Какво е GDPR одит?

GDPR одитът е систематична проверка на съответствието на фирмата с Регламент (ЕС) 2016/679 и ЗЗЛД.

GDPR одитът е систематична проверка, която оценява доколко дадена организация спазва изискванията на Регламент (ЕС) 2016/679 за защита на личните данни. Той обхваща документация, технически мерки, организационни процедури и реални практики. Одитът е основният инструмент за изпълнение на принципа на отчетността по чл. 5, §2 от GDPR, който задължава всяка фирма да докаже съответствието си.

От влизането в сила на Общия регламент относно защитата на данните (Регламент (ЕС) 2016/679, GDPR) през май 2018 г., всяка фирма, обработваща лични данни на физически лица, е задължена да докаже спазването на регламента. Това е т.нар. принцип на отчетността, заложен в чл. 5, §2 от GDPR.

В България този принцип е допълнително уреден чрез Закона за защита на личните данни (ЗЗЛД), съществено изменен през 2019 г. Комисията за защита на личните данни (КЗЛД) е надзорният орган с правомощия да провежда проверки и да налага санкции.

Какво представлява GDPR одитът и защо е необходим

GDPR одитът е независима и систематична проверка, която оценява доколко дадена организация спазва изискванията на Регламент (ЕС) 2016/679 и националното законодателство. Той обхваща преглед на документацията, техническите мерки за сигурност, организационните процедури и реалните практики.

Съгласно чл. 5, §2 от GDPR, администраторът носи отговорност за спазването на основните принципи и трябва да може да докаже съответствието си. Одитът е основният инструмент за това.

Съдебна практика

Съдът на ЕС потвърди в дело C-60/22, че неизпълнението на документационни изисквания (чл. 26 и чл. 30 GDPR) може да представлява нарушение на принципа на отчетността, когато се чете във връзка с чл. 5, §1, б. „а" от GDPR.

Кой се нуждае от GDPR одит

На практика всяка фирма, обработваща лични данни, се нуждае от одит — включително най-малките дружества с клиенти, служители или контрагенти. Особено важен е одитът за:

Фирми с клиенти от ЕС — електронна търговия, SaaS платформи, мобилни приложения
Компании, задължени да поддържат регистър на дейностите по обработка (чл. 30 GDPR)
Организации, обработващи специални категории данни — здравни, биометрични, генетични (чл. 9 GDPR)
Фирми, използващи AI, профилиране или автоматизирано вземане на решения

Стъпките на един GDPR одит

1. Картографиране на личните данни (Data Mapping)

Идентифициране на всички категории данни — от имена и електронни адреси на клиенти, до данни на служители, IP адреси и бисквитки. КЗЛД препоръчва този етап като втора стъпка от ръководството „Десет практически стъпки за прилагане на GDPR".

2. Преглед на правното основание

За всяка дейност по обработка трябва да съществува валидно правно основание по чл. 6, §1 от GDPR: съгласие, договор, законово задължение, жизненоважни интереси, обществен интерес или легитимен интерес.

3. Проверка на документацията

Регистър на дейностите по обработка (ROPA) по чл. 30 GDPR
Политика за поверителност — съгласно чл. 13 и чл. 14 GDPR
Формуляри за съгласие (когато съгласието е основание)
Договори за обработка (DPA) по чл. 28 GDPR
Процедура за уведомяване при нарушение (чл. 33–34 GDPR)
DPIA по чл. 35 GDPR, когато е приложимо

4. Оценка на техническите и организационните мерки

Съгласно чл. 32 от GDPR се проверяват: криптиране, управление на достъпа, 2FA, обучения на служителите и процедури за отговор при инцидент.

5. Проверка на правата на субектите

Проверява се дали фирмата има процедури за отговор на искания по чл. 15–21 от GDPR в срок от един месец (чл. 12, §3 GDPR).

6. Проверка на договорите с подизпълнители

Съгласно чл. 28 от GDPR, всяка обработка от името на администратора трябва да е уредена с DPA, който ясно определя предмета, продължителността, естеството и целта на обработката.

Какво се случва при несъответствие — санкции и глоби

Регламентът предвижда две нива на санкции:

До 10 млн. евро или 2% от оборота — за по-леки нарушения (чл. 83, §4 GDPR)
До 20 млн. евро или 4% от оборота — за тежки нарушения (чл. 83, §5 GDPR)

В България КЗЛД е наложила значителни санкции — 5,1 млн. лв. на НАП и 1 млн. лв. на Банка ДСК. През 2024 г. общият размер на глобите е 74 700 лв.

Колко често трябва да се провежда одит

Добрата практика препоръчва поне веднъж годишно, както и при съществена промяна — нова IT система, нов доставчик, нов вид обработка или инцидент. Препоръчително е одитът да се извършва от външен специалист за обективност.

Често задавани въпроси

Какво е GDPR одит?

Систематична проверка на съответствието на фирмата с Регламент (ЕС) 2016/679 и ЗЗЛД.

Колко често трябва да се провежда GDPR одит?

Препоръчително е поне веднъж годишно, както и при съществени промени в дейността.

Какви са глобите за несъответствие с GDPR?

До 20 млн. евро или 4% от годишния глобален оборот по чл. 83 от GDPR.

Настоящата статия има информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.

Нуждаете се от професионална консултация?

Ние от Димитрова, Чолаков и партньори / Innovires работим ежедневно с бизнеси в България за пълно GDPR съответствие.

Безплатна консултация →

Получавайте нови статии директно в пощата си

Практически анализи по GDPR и киберсигурност. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Десислава Димитрова & Адв. Йордан Чолаков

Dimitrova, Cholakov & Partners · Innovires

Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.