GDPR за малък бизнес — практическо ръководство стъпка по стъпка
В България 338,000+ МСП (по данни на НСИ) съставляват 99.8% от всички бизнеси — и всяко едно от тях трябва да спазва GDPR. Няма изключение по размер, няма праг по оборот. Но мерките трябва да бъдат пропорционални. Ето какво точно трябва да направите — стъпка по стъпка, без излишна сложност.
Съдържание
GDPR важи ли за малки фирми?
Да, без изключение. Регламент (ЕС) 2016/679 (GDPR) се прилага за всяка организация, която обработва лични данни на физически лица в ЕС — независимо от броя на служителите, оборота или правната форма.
Съгласно чл. 2(1) от GDPR, регламентът обхваща „обработването на лични данни изцяло или частично с автоматични средства, както и обработването с други средства на лични данни, които са част от регистър или са предназначени да бъдат включени в регистър". Териториалният обхват по чл. 3 означава, че дори фирма без физическо присъствие в ЕС, но обработваща данни на европейски граждани, попада под GDPR.
Какво значи това на практика? Ако имате:
- Списък с клиенти с имена и имейли
- Счетоводна програма с данни на служители
- Уебсайт с контактна форма
- CRM система, дори безплатна
- Камери за видеонаблюдение
...вие обработвате лични данни и GDPR важи за вас.
Принципът на пропорционалност (чл. 24)
Добрата новина: GDPR не изисква малка фирма с 5 служители да прилага същите мерки като мултинационална корпорация. Чл. 24 гласи, че мерките трябва да бъдат „подходящи" с оглед на характера, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица. Пропорционалност — не перфекционизъм.
5 мита за GDPR и малкия бизнес
Тези заблуди чуваме всеки ден от нашите клиенти. Всяка от тях може да ви струва скъпо.
„GDPR не важи за малки фирми"
НЕВЯРНО. Както обяснихме по-горе — няма изключение по размер. Чл. 2(1) и чл. 3 определят обхвата на GDPR по вид дейност (обработване на лични данни), а не по размер на организацията. Едноличен търговец с 1 служител и 10 клиента е длъжен да спазва GDPR по абсолютно същия начин като банка — само мерките се различават по мащаб.
„Достатъчна е само политика за поверителност"
НЕВЯРНО. Политиката за поверителност е само един от 10+ елемента на GDPR съответствието. Без регистър на дейностите по обработване (ROPA), без договори за обработка (DPA), без процедура за теч на данни, без cookie consent — политиката за поверителност е просто документ, който описва нещо, което не правите. Вижте нашето ръководство за политика за поверителност.
„Винаги е нужно съгласие за обработка на данни"
НЕВЯРНО. Съгласието е само едно от 6 правни основания по чл. 6(1) от GDPR. Останалите пет са: изпълнение на договор (б), законово задължение (в), защита на жизненоважни интереси (г), обществен интерес (д) и легитимен интерес (е). За малка фирма най-често приложимите основания са изпълнение на договор (за клиенти) и законово задължение (за счетоводство, данъци, трудово право).
„Под 250 служители = без ROPA"
ПРЕДИМНО НЕВЯРНО. Чл. 30(5) предвижда изключение за организации с под 250 служители, но само ако обработването не е редовно, не включва специални категории данни (чл. 9) и не създава риск за правата на субектите. На практика всеки бизнес обработва данни редовно — заплати, клиенти, маркетинг. Затова изключението се прилага изключително рядко.
„Задължително е DPO за всяка фирма"
НЕВЯРНО. Повечето малки фирми НЕ са задължени да назначат DPO. Чл. 37 изисква DPO само при три конкретни сценария (вижте секцията по-долу). Но това не означава, че нямате нужда от някой, който да се грижи за GDPR — просто не е задължително да бъде назначено формално длъжностно лице.
GDPR важи за всички, но е пропорционален. Малка фирма не се нуждае от DPO, 200-страничен ROPA или скъп софтуер. Нуждае се от основни документи, ясни процеси и обучен екип. Прочетете и нашия анализ на 10-те най-чести GDPR грешки на бизнеса, за да знаете какво да избегнете.
10 минимални изисквания за GDPR съответствие
Независимо от размера на вашата фирма, тези 10 елемента са абсолютният минимум. Липсата на дори един от тях е нарушение на GDPR.
Политика за поверителност
Публична, достъпна на уебсайта, съобразена с чл. 13 и чл. 14 от GDPR. Не generic шаблон, а индивидуален документ, отразяващ вашите реални практики. Пълно ръководство.
Cookie consent
Банер с opt-in, гранулярен контрол по категории и еднакво видим бутон „Отказ". Предварително избрани кутийки не са валидни (дело Planet49, C-673/17). Ръководство за бисквитки.
Правни основания
За всяка дейност по обработване — документирано правно основание по чл. 6(1). Не можете просто да кажете „легитимен интерес" — трябва да го обосновете с оценка (LIA).
Договори за обработка (DPA)
Писмен DPA по чл. 28 с всеки доставчик, който има достъп до лични данни — счетоводител, хостинг, имейл маркетинг, HR софтуер. Ръководство за DPA.
Процедура за теч на данни
Писмен план за реакция при data breach — кой е отговорен, как се оценява инцидентът, как се уведомява КЗЛД в рамките на 72 часа (чл. 33) и как се уведомяват засегнатите лица (чл. 34).
Регистър на дейностите (ROPA)
Документ по чл. 30, описващ всички видове обработване — цели, категории данни, получатели, срокове за съхранение, мерки за защита. Може да бъде обикновена таблица.
Обучение на екипа
Всеки служител, който работи с лични данни, трябва да знае основните правила. Чл. 39(1)(б) определя обучението като задача на DPO, а чл. 32 го включва в „подходящи организационни мерки".
Мерки за сигурност (чл. 32)
Технически и организационни мерки, пропорционални на риска: пароли, двуфакторна автентикация (2FA), криптиране на преносими устройства, резервни копия, антивирусна защита.
Процедури за права на субектите
Процес за обработка на заявки по чл. 15–22: достъп, коригиране, изтриване, преносимост, ограничаване, възражение. Срокът е 1 месец (чл. 12(3)).
Управление на съгласия
Когато съгласието е правно основание — документирайте кога, как и за какво е дадено. Осигурете лесен начин за оттегляне (чл. 7(3)). Съгласието трябва да е свободно, конкретно, информирано и недвусмислено.
Не подценявайте основите
КЗЛД получи над 1,080 жалби през 2024 г. — ръст от 40% за две години. Повечето глоби в България са за липса на базови елементи, а не за сложни технически нарушения. Вижте реални примери за GDPR глоби в България.
Практически план за фирма с 5 служители
Ето конкретен план за действие, ако сте малка фирма с до 5 служители. Всяка стъпка може да се изпълни без външен консултант (макар че препоръчваме юрист за проверка на крайния резултат).
Картографирайте данните
Направете списък: какви лични данни събирате, от кого (клиенти, служители, доставчици), защо, къде се съхраняват, с кого се споделят, колко дълго се пазят. Обикновена таблица в Excel е достатъчна.
Изберете правни основания
За всяка дейност от списъка — определете правно основание по чл. 6(1). Клиентски договори → изпълнение на договор (б). Заплати → законово задължение (в). Маркетинг → съгласие (а) или легитимен интерес (е) + LIA.
Напишете политика за поверителност
Индивидуален документ, базиран на данните от стъпка 1. Публикувайте на уебсайта и я дайте на клиенти/служители. Включва: администратор, цели, основания, получатели, срокове, права. Шаблон и ръководство.
Настройте cookie consent
Инсталирайте cookie consent банер с opt-in контрол. Безплатни решения: Cookiebot (безплатно до 100 страници), CookieYes, Osano. Блокирайте всички аналитични и маркетинг бисквитки преди съгласие. Детайлно ръководство.
Сключете DPA с доставчици
Списък на всички доставчици с достъп до лични данни: счетоводител, хостинг (напр. SiteGround), имейл (Mailchimp, Google Workspace), софтуер. Повечето вече имат готов DPA — просто го подпишете. Подробности.
Базова сигурност
Пароли: уникални, 12+ символа, password manager. 2FA: за всички бизнес акаунти. Криптиране: BitLocker/FileVault на лаптопи. Резервни копия: автоматични, 3-2-1 правило. Антивирус: актуален на всички устройства.
Обучете екипа (1–2 часа)
Кратко обучение: какво е лична данна, какви са правилата, какво да правят при съмнение за инцидент, как да разпознават фишинг. Документирайте: дата, участници, съдържание. Повторете ежегодно.
Създайте процедура за теч (1 стр.)
Една страница: (1) Кой е отговорен? (2) Как се класифицира инцидентът? (3) Шаблон за уведомление до КЗЛД (72 часа). (4) Кога и как се уведомяват засегнатите лица? Тествайте с екипа веднъж годишно.
Създайте базов ROPA
Таблица с колони: дейност, цел, правно основание, категории субекти, категории данни, получатели, трансфери извън ЕИП, срок за съхранение, мерки за сигурност. За фирма с 5 служители — обикновено 5–10 реда.
Определете срокове за съхранение
За всяка категория данни — конкретен срок: счетоводни документи (10 г. по ЗСч), трудови досиета (50 г. по КТ), CV-та на кандидати (6 мес. по ЗЗЛД), маркетинг данни (до оттегляне на съгласието). Документирайте и спазвайте.
Времева оценка
За фирма с 5 служители, целият процес отнема 2–4 работни дни за първоначално привеждане в съответствие. След това — 1–2 часа месечно за поддръжка. Не е толкова страшно, колкото звучи.
DPO — кога е задължително?
Длъжностното лице по защита на данните (DPO) е НЕ задължително за повечето малки фирми. Съгласно чл. 37 от GDPR, DPO се изисква само в три случая:
- Публичен орган или структура — общини, държавни агенции, болници (с изключение на съдилища при упражняване на съдебни функции)
- Основна дейност = мащабно систематично наблюдение — напр. охранителна фирма с видеонаблюдение, платформа за онлайн проследяване, компания за кредитни рейтинги
- Основна дейност = мащабна обработка на специални категории данни — напр. медицински лаборатории, клинични изпитвания, генетични тестове
Малка фирма за счетоводство, ресторант, фризьорски салон, IT агенция, онлайн магазин — обикновено НЕ попада в нито една от тези три категории.
Но ако искате DPO?
Назначаването на DPO е добра практика, дори когато не е задължително. За малки фирми най-изгодната опция е DPO като услуга (DPO-as-a-Service) — външен специалист, който поема ролята на непълно работно време. Прочетете повече в нашето ръководство за длъжностно лице по защита на данните.
Колко струва GDPR за малка фирма
Един от най-честите въпроси. Ето реалистични числа за българския пазар:
За фирма с 5 служители и прост бизнес модел, разходите са в долния край на тези диапазони. DPO като услуга може да намали общите разходи значително — вместо да наемате вътрешен специалист на пълен работен ден.
Цената на несъответствието е несравнимо по-висока
Глобите по GDPR достигат до 20 милиона евро или 4% от годишния оборот (което от двете е по-високо). Дори за малка фирма, минималните глоби от КЗЛД в България са от порядъка на 5,000–50,000 лева. Добавете репутационните щети, загубата на клиенти и потенциални граждански искове. Инвестицията в GDPR съответствие е застраховка, не разход. Вижте реални примери за GDPR глоби в България.
Digital Omnibus — облекчения идват
На 26 февруари 2025 г. Европейската комисия публикува предложение за Регламент за опростяване (Digital Omnibus), което включва значителни облекчения за МСП:
- Изключение от ROPA за фирми до 750 служители — вместо сегашния праг от 250 (който на практика не действа)
- Cookie реформа — опростяване на consent механизма, потенциално централизирано управление на бисквитки през браузъра
- Опростено уведомление при теч на данни — намалена административна тежест за малки инциденти
- Облекчения при DPIA — намалени изисквания за стандартни обработки с нисък риск
НО: все още е предложение
Digital Omnibus е на етап предложение. Трябва да мине през Европейски парламент и Съвет — процес, който отнема 1–3 години. Не чакайте тези облекчения. Действащият GDPR е задължителен днес. Ако не сте в съответствие сега, рискът е реален. Прочетете нашия подробен анализ на Digital Omnibus.
Безплатни ресурси
Тези инструменти и ръководства са безплатни и могат да ви помогнат при самостоятелно привеждане в съответствие:
КЗЛД Self-Assessment Tool
Инструмент за самооценка на съответствието с GDPR, разработен от Комисията за защита на личните данни. Покрива основните изисквания и помага за идентифициране на пропуски.
GDPR in Your Pocket (приложение)
Мобилно приложение с пълния текст на GDPR, речник на термините, чеклисти и бързи справки. Достъпно за iOS и Android.
EDPB SME Guide
Ръководство на Европейския комитет по защита на данните, специално за малки и средни предприятия. Практически съвети за привеждане в съответствие стъпка по стъпка.
EC GDPR Compliance Tool
Интерактивен инструмент на Европейската комисия за оценка на GDPR съответствието. Включва въпросник, който помага да разберете какви мерки са ви необходими.
Важно за безплатните ресурси
Тези инструменти са отправна точка, а не заместител на юридическа консултация. Те помагат за самооценка и базово разбиране, но за правно издържан резултат препоръчваме консултация със специалист по защита на данните.
Често задавани въпроси
GDPR важи ли за фирма с 5 служители?
Да, без изключение. GDPR се прилага за всяка организация, която обработва лични данни, независимо от броя на служителите или оборота. Няма праг по размер. Дори самоосигуряващ се предприемач с 1 клиент е длъжен да спазва GDPR. Единственото облекчение е, че мерките трябва да бъдат пропорционални на рисковете (чл. 24).
Задължително ли е DPO за малка фирма?
Не за повечето малки фирми. Съгласно чл. 37 от GDPR, DPO е задължително само ако: сте публичен орган, основната ви дейност включва мащабно систематично наблюдение, или обработвате мащабно специални категории данни. Малка фирма с 5 служители обикновено не попада в тези категории. Прочетете повече за DPO.
Колко струва GDPR за малка фирма?
Първоначалното привеждане в съответствие може да струва между 8,000 и 50,000 евро, а годишната поддръжка — 5,000–20,000 евро. За фирма с 5 служители разходите са в долния край. DPO като услуга намалява разходите. Цената на несъответствието (глоби до 20 милиона евро или 4% от оборота) е несравнимо по-висока.
Трябва ли ROPA за фирма с под 250 служители?
В повечето случаи — да. Чл. 30(5) предвижда изключение, но само ако обработването не е редовно, не включва чувствителни данни и не създава риск за правата на субектите. На практика почти всеки бизнес обработва данни редовно (заплати, клиенти, маркетинг), затова изключението рядко се прилага.
От къде да започна с GDPR за малката си фирма?
Започнете с картографиране на данните — запишете какви лични данни събирате, защо, с кого ги споделяте и как ги защитавате. След това подгответе политика за поверителност, настройте cookie consent, сключете DPA с доставчиците си и обучете екипа. Планът от 10 стъпки по-горе покрива всичко.
Тази статия отразява правното положение към 23 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
GDPR одит за малък бизнес — достъпен и практичен
Знаем, че бюджетът е ограничен. Затова предлагаме специален пакет за малки фирми — бързо привеждане в съответствие без излишна бюрокрация.
- Картографиране на данни и gap analysis
- Изготвяне на всички задължителни документи (ROPA, DPA, политики)
- Настройка на cookie consent и privacy policy
- Обучение на екипа (1–2 часа, на място или онлайн)
- 6 месеца поддръжка след одита
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.