GDPR при подбор на персонал — как да обработвате законно CV-тата на кандидатите
Всяко получено CV съдържа лични данни — име, телефон, адрес, образование, трудов опит, а нерядко и снимка, ЕГН или здравна информация. GDPR и българският Закон за защита на личните данни (ЗЗЛД) поставят конкретни правила за обработката на тези данни: от правното основание и 6-месечния срок за съхранение, до изискванията при използване на AI в подбора и проверките на кандидати.
Съдържание
- Правни основания за обработка на CV
- 6-месечен срок за съхранение (чл. 25ж ЗЗЛД)
- Неискано изпратени CV-та
- AI в подбора на персонал — AI Act
- Проверки на кандидати (background checks)
- Права на кандидатите по GDPR
- Минимизация на данни — какво да събирате и какво НЕ
- Референтни проверки
- Често задавани въпроси
1. Правни основания за обработка на CV
Много HR екипи погрешно смятат, че за обработката на CV е нужно съгласие от кандидата. Всъщност GDPR предвижда няколко правни основания, като съгласието рядко е най-подходящото.
Чл. 6(1)(б) — преддоговорни мерки (PRIMARY основание)
Когато кандидат кандидатства за конкретна позиция, обработката на CV-то му е необходима за предприемане на стъпки по искане на субекта на данни преди сключване на договор. Това е основното и най-подходящо правно основание за активен подбор. Кандидатът сам е инициирал процеса, като е изпратил CV или е попълнил формуляр за кандидатстване.
Кога се прилага чл. 6(1)(б)
Кандидатът кандидатства за обявена позиция чрез обява, платформа за работа или директно. Обработката обхваща: преглед на CV, провеждане на интервю, оценка на квалификация и вземане на решение за назначаване. Не е нужно съгласие — самото кандидатстване е „искането" по смисъла на чл. 6(1)(б).
Чл. 6(1)(е) — легитимен интерес (за talent pools)
Ако искате да включите неодобрен кандидат в база данни за бъдещи позиции (talent pool), можете да се позовете на легитимен интерес. Необходимо е обаче да извършите балансиращ тест (LIA — Legitimate Interest Assessment), който да покаже, че интересът ви не надделява над правата на кандидата. На практика този подход е по-рисков и е препоръчително да се комбинира със съгласие.
Чл. 6(1)(а) — съгласие (за удължено съхранение)
Съгласието е подходящо правно основание, когато искате да съхранявате CV-то за период, по-дълъг от 6 месеца — например за бъдещи подходящи позиции. Съгласието трябва да бъде:
- Свободно дадено — кандидатът не трябва да усеща натиск, че отказът ще повлияе на текущата кандидатура
- Конкретно — ясно посочен срок и цел (напр. „за 2 години за позиции в отдел маркетинг")
- Информирано — кандидатът знае какви данни се съхраняват и как да оттегли съгласието
- Недвусмислено — активно действие (отметка, подпис), не мълчаливо съгласие
Грешка: съгласие като единствено основание за целия подбор
Използването на съгласие като основание за целия процес на подбор е проблематично. Съгласието може да бъде оттеглено по всяко време (чл. 7(3) GDPR), което означава, че ако кандидат оттегли съгласието си по средата на процеса, вие губите основанието за обработка на данните му. С чл. 6(1)(б) този проблем не съществува.
2. 6-месечен срок за съхранение — ЗАКОНОВО задължение
Един от най-важните и най-често нарушавани аспекти на GDPR при подбор в България е срокът за съхранение на данни от конкурси за работа.
Чл. 25ж от ЗЗЛД — задължително, не препоръчително!
Член 25ж от Закона за защита на личните данни изрично предвижда, че личните данни на участници в конкурси (подбор) се съхраняват до 6 месеца от приключването на конкурса, освен ако кандидатът не е дал изрично съгласие за по-дълъг срок. Това е законова разпоредба с пряко действие, а не просто препоръка на КЗЛД или добра практика. Нарушаването й е административно нарушение.
Какво означава на практика:
- Началният момент е приключването на конкурса (назначаването на избрания кандидат или прекратяването на подбора)
- След изтичане на 6 месеца, данните на неодобрените кандидати трябва да бъдат изтрити или анонимизирани
- Изтриването обхваща: CV, мотивационно писмо, бележки от интервю, тестови резултати, кореспонденция
- Изключение: кандидатът е дал изрично съгласие данните му да се съхраняват по-дълго (напр. за бъдещи позиции)
Препоръчителен процес:
Фиксирайте датата
Документирайте датата на приключване на конкурса. Настройте напомняне за 6 месеца по-късно.
Поискайте съгласие
При отхвърляне на кандидат, попитайте дали желае данните му да бъдат запазени за бъдещи позиции. Документирайте отговора.
Изтрийте навреме
На 6-ия месец: изтрийте данните на кандидатите без съгласие. Включително от имейл, споделени дискове, ATS системи и хартиени копия.
Документирайте
Водете лог за изтриването. Записвайте кога, какви данни и от кои системи са изтрити — за доказване на съответствие.
3. Неискано изпратени CV-та (спонтанни кандидатури)
Кандидатите нерядко изпращат CV на имейл „info@" или „hr@" без да кандидатстват за конкретна позиция. Много работодатели запазват тези CV-та „за всеки случай". Правилата са същите.
Задължения при получаване на неискано CV:
- Информирайте кандидата — в 30-дневен срок (чл. 14(3)(а) GDPR) изпратете уведомление с информация по чл. 13/14: кой обработва данните, за какво, на какво основание и какви права има
- Определете дали ще обработвате — ако нямате отворени позиции и не планирате да ползвате CV-то, изтрийте го незабавно
- Ако запазвате — правното основание е легитимен интерес (чл. 6(1)(е)) или съгласие. Спазвайте 6-месечния срок по чл. 25ж ЗЗЛД
- Не препращайте безразборно CV-та на колеги или партньорски фирми без знанието на кандидата
Практически съвет: автоматичен отговор
Настройте автоматичен имейл отговор за входящи CV-та, който съдържа: информация за администратора, целта на обработката, правното основание, срока на съхранение и връзка към политиката за поверителност. Така спазвате чл. 13 от GDPR без ръчна работа.
4. AI в подбора на персонал — AI Act класификация
Все повече компании използват AI инструменти за скрининг на CV-та, видеоинтервюта с анализ на емоции или автоматизирано класиране на кандидати. Регламентът за изкуствения интелект (AI Act) квалифицира тези системи като високорискови.
AI Act, Приложение III, точка 4 — ВИСОКОРИСКОВ AI
AI системи, предназначени за използване при подбор на персонал — по-специално за публикуване на целеви обяви, скрининг или филтриране на кандидатури и оценяване на кандидати — са класифицирани като високорискови съгласно Приложение III, точка 4(а) от Регламент (ЕС) 2024/1689. Крайният срок за съответствие е 2 август 2026 г.
Какво означава „високорисков" за HR:
- Оценка на съответствието — преди внедряване AI системата трябва да премине оценка за съответствие с изискванията
- Човешки надзор — задължителен „human-in-the-loop": човек трябва да преглежда и валидира решенията на AI
- Прозрачност — кандидатите трябва да бъдат информирани, че AI участва в процеса на подбор
- Документация и логове — задължителна техническа документация, лог на решенията и редовен мониторинг за пристрастия (bias)
- Оценка на въздействието върху основните права — задължителна за deployers (работодателите, които ползват AI)
GDPR допълнения при AI подбор:
Освен AI Act, чл. 22 от GDPR забранява изцяло автоматизирано вземане на решения с правни последици (включително отхвърляне на кандидатура) без човешка намеса, освен при изрично съгласие или законово основание. Необходима е и оценка на въздействието (DPIA) съгласно чл. 35 от GDPR.
Срок: 2 август 2026
Ако вашата организация използва или планира да внедри AI инструменти за подбор на персонал (автоматизиран скрининг на CV, чатботове за интервю, системи за класиране), имате до 2 август 2026 г. да осигурите съответствие с AI Act. Подготовката трябва да започне сега — оценка на съответствието, техническа документация и обучение на HR екипа отнемат месеци.
5. Проверки на кандидати (background checks)
Проверките преди назначаване са чест елемент от подбора, но не всяка проверка е законна. GDPR, ЗЗЛД и секторното законодателство поставят ясни граници.
Свидетелство за съдимост — само при законово основание
Изискването на свидетелство за съдимост (данни за присъди по чл. 10 от GDPR) е допустимо само на основание чл. 6(1)(в) — спазване на правно задължение, и то за конкретни длъжности, определени със закон:
- Охранителна дейност — Закон за частната охранителна дейност (чл. 27)
- Банки и финансови институции — Закон за кредитните институции (чл. 11)
- Застрахователи — Кодекс за застраховането
- Държавни служители — Закон за държавния служител (чл. 7)
- Педагогически специалисти — Закон за предучилищното и училищното образование
- Здравни работници — Закон за здравето, Закон за лечебните заведения
За длъжности извън тези категории, изискването на свидетелство за съдимост е непропорционално и незаконосъобразно.
Проверка на социални мрежи
Скринингът на социални мрежи на кандидати е все по-честа практика, но крие сериозни GDPR рискове:
- Необходима е DPIA — систематичната проверка на профили е обработка, която може да доведе до висок риск за правата на субектите
- Трябва да се ограничите до професионални мрежи (LinkedIn) и само когато информацията е пряко свързана с длъжността
- Лични профили (Facebook, Instagram) — проверката е допустима само при изключителни обстоятелства и доказана необходимост
- Кандидатът трябва да бъде информиран предварително, че ще бъде извършена такава проверка
Копиране на документи за самоличност
Забрана за копиране на лична карта
Съгласно чл. 25в от ЗЗЛД, копирането на документи за самоличност (лична карта, паспорт) е забранено, освен когато е предвидено в закон. Работодателят може да погледне документа за самоличност за верификация, но не може да го копира, сканира или снима. Нарушението подлежи на санкция от КЗЛД.
6. Права на кандидатите по GDPR
Кандидатите за работа се ползват с пълния набор от права по GDPR. HR екипите трябва да имат готовност да реагират в законовите срокове.
| Право | Описание | Срок за отговор |
|---|---|---|
| Достъп (чл. 15) | Кандидатът може да поиска копие на всички данни, които обработвате за него — CV, бележки от интервю, оценки, кореспонденция | 30 дни |
| Коригиране (чл. 16) | Право да поиска коригиране на неточни данни (напр. грешно изписано име, неактуален адрес) | 30 дни |
| Изтриване (чл. 17) | Право да поиска изтриване на данните си — особено след приключване на конкурса или при оттегляне на съгласие | 30 дни |
| Ограничаване (чл. 18) | Право да поиска спиране на обработката, докато се разглежда спор за точността на данните | 30 дни |
| Преносимост (чл. 20) | Право да получи данните си в структуриран, машинночетим формат (напр. JSON, CSV) при обработка на основание съгласие или договор | 30 дни |
| Възражение (чл. 21) | Право да възрази срещу обработка, основана на легитимен интерес (напр. включване в talent pool) | Незабавно спиране |
Бележки от интервю — подлежат на достъп!
Много HR специалисти не осъзнават, че ръчните бележки от интервю, ако са структурирани по критерии или ако се съхраняват в досие на кандидата, представляват лични данни по смисъла на GDPR. При искане за достъп по чл. 15, те трябва да бъдат предоставени. Имайте предвид това, когато записвате впечатления — пишете обективно и професионално.
7. Минимизация на данни — какво ДА и какво НЕ да събирате
Принципът за минимизация на данните (чл. 5(1)(в) GDPR) изисква да събирате само данни, които са адекватни, относими и ограничени до необходимото с оглед целта. При подбор това означава критичен преглед на формулярите за кандидатстване.
| Данни | Допустимо | Коментар |
|---|---|---|
| Име и фамилия | ДА | Необходимо за идентификация |
| Имейл и телефон | ДА | Необходимо за комуникация |
| Образование и квалификация | ДА | Относимо към длъжността |
| Трудов опит | ДА | Относимо към длъжността |
| Езикови умения / сертификати | ДА | Ако са относими за позицията |
| ЕГН | НЕ | Необходимо едва при сключване на трудов договор, не при подбор |
| Снимка | НЕ | Не е необходимо за оценка на квалификация (освен при модели, актьори) |
| Дата на раждане / възраст | НЕ | Риск от дискриминация; необходимо само ако има законово изискване за минимална възраст |
| Семейно положение / деца | НЕ | Неотносимо и дискриминационно |
| Религия / етнос / политически възгледи | НЕ | Специална категория данни (чл. 9) — забранена обработка при подбор |
| Здравословно състояние | НЕ | Специална категория; медицински преглед е допустим само след назначаване, не преди |
| Свидетелство за съдимост | УСЛОВНО | Само за длъжности, за които е предвидено в закон (вж. раздел 5) |
Практически съвет: преработете формулярите си
Прегледайте всички формуляри за кандидатстване на вашия уебсайт, ATS система и хартиени бланки. Премахнете полета за ЕГН, дата на раждане, семейно положение и снимка. Ако кандидатите изпращат CV в свободен формат и то съдържа тези данни, не ги използвайте при подбора и ги изтрийте при първа възможност.
8. Референтни проверки
Референтните проверки (обаждане на предишен работодател) са стандартна практика в HR, но GDPR изисква прозрачност и основание.
Правила за законосъобразна референтна проверка:
- Знанието на кандидата е задължително — не се свързвайте с предишни работодатели без знанието на кандидата. Информирайте го предварително и посочете кой ще бъде контактуван
- Правно основание — легитимен интерес (чл. 6(1)(е)) или съгласие. При легитимен интерес трябва да можете да обосновете необходимостта
- Пропорционалност — питайте само за информация, пряко свързана с длъжността: професионални качества, изпълнение на задачи, причина за напускане. Не питайте за лични въпроси, болнични, семейно положение
- Прозрачност към предишния работодател — информирайте го за целта на обаждането и за какво ще бъде използвана информацията
- Документирайте — записвайте какво е попитано и какво е отговорено, за да може кандидатът да упражни правото си на достъп
Внимание: предишният работодател също има GDPR задължения
Предишният работодател не е длъжен да предоставя информация за бивш служител на трета страна. Ако го направи без основание, той самият нарушава GDPR. По тази причина много компании отказват да дават референции или се ограничават до потвърждаване на факта на заетост и периода. Вижте повече в нашето ръководство за GDPR и проследяване на служители.
Често задавани въпроси
Колко време мога да съхранявам CV на неодобрен кандидат?
Максимум 6 месеца от приключване на конкурса. Това е задължение по чл. 25ж от ЗЗЛД. За по-дълго съхранение е необходимо изричното съгласие на кандидата. Прочетете повече за сроковете в ръководството за GDPR за малък бизнес.
Трябва ли съгласие за обработка на CV при кандидатстване?
Не. Основното правно основание е чл. 6(1)(б) от GDPR — преддоговорни мерки. Кандидатът сам е инициирал процеса. Съгласие е нужно само за удължено съхранение (над 6 месеца) или за включване в talent pool.
Мога ли да проверявам социалните мрежи на кандидатите?
Само при доказан легитимен интерес, пряка връзка с длъжността и след извършване на DPIA. Ограничете се до професионални мрежи (LinkedIn). Лични профили — само при изключителни обстоятелства. Винаги информирайте кандидата предварително.
Прилага ли се GDPR за CV-та, изпратени по имейл без обява?
Да, напълно. Дори при спонтанна кандидатура вие сте администратор на данните. Трябва да информирате кандидата в 30-дневен срок (чл. 14), да спазите 6-месечния срок и да осигурите упражняване на правата му.
Какви са санкциите при нарушение на GDPR при подбор?
КЗЛД може да наложи глоба до 20 000 000 EUR или 4% от годишния глобален оборот (което е по-голямо). В българската практика глобите за нарушения при подбор варират от 5 000 до 50 000 лв. Освен глобата, има и риск от искове за обезщетение от засегнати кандидати по чл. 82 от GDPR. За да сте подготвени, помислете за договор за обработка с агенциите за подбор.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
GDPR документация за HR и обучение за подбор на персонал
Нашият екип от юристи и IT специалисти предлага специализирани GDPR решения за HR отдели — от готови формуляри за съгласие до цялостно обучение на екипа.
- HR политики за обработка на лични данни при подбор
- Формуляри за съгласие за удължено съхранение на CV
- Уведомления за кандидати по чл. 13/14 GDPR
- DPIA за AI инструменти и социален скрининг
- Договори за обработка с агенции за подбор
- GDPR обучение за HR екипи — присъствено и онлайн
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.