GDPR за онлайн магазини — пълно ръководство за електронна търговия
Всеки онлайн магазин в България обработва лични данни от първия клик до последната фактура — и носи отговорност на администратор по GDPR. Глобите за пропуски достигат 20 милиона евро или 4% от годишния оборот (платежни доставчици, куриери, хостинг). Всеки онлайн магазин е администратор на лични данни по Регламент (ЕС) 2016/679, а нарушенията могат да доведат до глоби до 20 милиона евро или 4% от годишния оборот.
Съдържание
- Правни основания за обработка на данни
- Бисквитки (cookies) — правилният consent
- Имейл маркетинг — кога може, кога не
- Guest завършване на поръчката — новите препоръки на ЕКЗД
- Плащания и обработващи лични данни
- Трансфер на данни извън ЕС
- Срокове за съхранение на данни
- 12-те най-чести грешки
- GDPR контролен списък за онлайн магазини
- Често задавани въпроси
Правни основания за обработка на клиентски данни
Съгласно чл. 6, пар. 1 от GDPR, всяка обработка на лични данни изисква правно основание. За онлайн магазини най-честите основания са:
| Дейност | Правно основание | GDPR член |
|---|---|---|
| Изпълнение на поръчка (име, адрес, плащане) | Изпълнение на договор | чл. 6(1)(б) |
| Издаване на фактури, данъчни задължения | Законово задължение | чл. 6(1)(в) |
| Предотвратяване на измами | Легитимен интерес | чл. 6(1)(е) |
| Маркетинг към съществуващи клиенти (подобни продукти) | Легитимен интерес + мълчаливо съгласие при предходна транзакция (soft opt-in) | чл. 6(1)(е) + ePrivacy |
| Маркетинг към нови абонати | Съгласие | чл. 6(1)(а) |
| Аналитични бисквитки (Google Analytics) | Съгласие | чл. 6(1)(а) |
| Маркетингови бисквитки (Маркетингов пиксел на Facebook) | Съгласие | чл. 6(1)(а) |
Ключов принцип: минимизация на данните (чл. 5(1)(в))
Събирайте само данните, които са необходими за конкретната цел. Например: за доставка на стока са ви нужни име и адрес, но не и рождена дата. Не събирайте „за бъдещо ползване" или „за всеки случай".
Бисквитки (cookies) — правилният consent
Бисквитките са най-видимата GDPR грешка в българските онлайн магазини — и първото нещо, което КЗЛД проверява при сигнал. Съгласно ePrivacy Директивата (2002/58/ЕО, чл. 5(3)) и потвърдено от Съда на ЕС в дело C-673/17 (Planet49), за неосновни бисквитки се изисква предварително, активно съгласие (opt-in).
Какво е задължително:
- Активен opt-in — предварително отметнатите кутийки НЕ са валидно съгласие
- Гранулярен контрол — потребителят трябва да може да избира по категории (необходими, функционални, аналитични, маркетингови)
- „Отказ на всички" = „Приемам всички" — бутонът за отказ трябва да е еднакво видим
- Скриптовете не се зареждат преди consent — Google Analytics, Facebook пикселът и др. трябва да се активират СЛЕД съгласието
- Без „блокиращи стени за бисквитки" — не може да блокирате сайта, ако потребителят откаже бисквитки
Категории бисквитки:
| Категория | Consent | Примери |
|---|---|---|
| Строго необходими | Не е нужен | Сесия, кошница, сигурност |
| Функционални | Изисква се | Език, потребителски настройки |
| Аналитични | Изисква се | Google Analytics, Hotjar |
| Маркетингови / Проследяване | Изисква се | Facebook пикселът, Google Ads, повторно таргетиране (remarketing) |
Внимание: България и ePrivacy
Българският Закон за електронната търговия (чл. 4, ал. 1, т. 2) все още предвижда по-мекия opt-out режим за бисквитки. Въпреки това, GDPR се прилага директно и изисква валидно съгласие за обработка чрез аналитични/маркетингови cookies. В случай на конфликт между двата режима, GDPR има предимство — прилагайте opt-in като минимален стандарт.
Имейл маркетинг — кога може, кога не
Имейл маркетингът за онлайн магазини в България се регулира едновременно от GDPR, ePrivacy Директивата и Закона за електронните съобщения (ЗЕС), чл. 261.
Правилото:
За B2C директен маркетинг по електронен път се изисква предварително съгласие (opt-in) съгласно чл. 6 от ЗЕТ.
Изключението — „мълчаливо съгласие при предходна транзакция (soft opt-in)":
Съгласно чл. 13, пар. 2 от ePrivacy Директивата (потвърдено от практиката на Съда на ЕС), можете да изпращате маркетинг без изрично съгласие на съществуващи клиенти, ако:
- Имейлът е получен в контекста на продажба на продукт или услуга
- Маркетингът е за ваши собствени подобни продукти/услуги
- Клиентът е получил ясна и безплатна възможност за отказ при събирането на имейла И при всяко следващо съобщение
Практически съвет
При завършване на поръчката добавете непредварително отметнато поле: „Искам да получавам оферти за подобни продукти по имейл". Включете линк за отписване във всеки маркетингов имейл. Помнете: съгласно чл. 21, пар. 2 от GDPR, субектът на данни има безусловно право да възрази срещу обработване за директен маркетинг по всяко време.
Guest завършване на поръчката — новите препоръки на ЕКЗД
На 4 декември 2025 г. Европейският комитет по защита на данните (ЕКЗД) публикува Препоръки 2/2025, които директно засягат всеки онлайн магазин:
- Guest завършване на поръчката трябва да е по подразбиране — потребителите трябва да могат да купуват без да създават акаунт
- Задължителната регистрация за еднократни покупки НЕ може да се обоснове с „изпълнение на договор" по чл. 6(1)(б) от GDPR — създаването на акаунт не е „необходимо" за доставка на стока
- Аргументът „предотвратяване на измами" е отхвърлен — компрометирани акаунти могат да създадат дори по-големи рискове
- Принцип за минимизация (чл. 25 GDPR) — поръчка без регистрация е по-съответстващ на „защита на данните по проектиране и по подразбиране"
Кога е допустима задължителна регистрация?
Само при абонаментни услуги, затворени потребителски групи, или когато членството е основната част от договора. Доброволната регистрация винаги трябва да е истински избор, не манипулативен дизайн (манипулативен дизайн).
Плащания и обработващи лични данни
При плащане в онлайн магазин данните на клиента — име, адрес, реквизити на картата — се обработват от външен платежен доставчик от името на търговеца. Съгласно GDPR:
- Вие сте администратор (определяте целите и средствата на обработка)
- Платежният процесор (Stripe, PayPal и др.) е обработващ (обработва от ваше име)
- Необходим е писмен договор за обработка (DPA) съгласно чл. 28 от GDPR
Договорът по чл. 28 урежда предмета и срока на обработването, видовете данни и категориите субекти, както и задълженията на обработващия по отношение на сигурност, подизпълнители, международни трансфери и изтриване след приключване на услугата.
Практически съвет: токенизация
Използвайте платежни процесори с токенизация (Stripe, Braintree) — реалните картови данни никога не достигат до вашия сървър. Проверете дали процесорът е PCI DSS съвместим и дали предлага DPA. Stripe LLC например е сертифициран по EU-US Data Privacy Framework.
Трансфер на данни извън ЕС
Ако използвате Shopify, Google Analytics, Facebook пикселът, Mailchimp или друга платформа с бази в САЩ, вие трансферирате лични данни извън ЕИП. Това е допустимо само при наличие на подходяща защита (GDPR, Глава V, чл. 44–49).
Актуално положение (март 2026):
| Услуга | Механизъм за трансфер | Статус |
|---|---|---|
| Google LLC (Analytics, Ads) | EU-US Data Privacy Framework | Сертифициран (от авг. 2023) |
| Meta (Facebook пикселът) | EU-US Data Privacy Framework | Сертифициран, но под наблюдение |
| Stripe | EU-US Data Privacy Framework | Сертифициран |
| Shopify | SCCs + DPA | Покрит чрез Data Processing Addendum |
Риск: нестабилност на EU-US DPF
Макар EU-US Data Privacy Framework да издържа първото съдебно оспорване (решение на Общия съд на ЕС, септември 2025 г.), бъдещето му не е сигурно. Препоръчително е да поддържате стандартни договорни клаузи (SCC) като резервен вариант и да разгледате EU-базирани алтернативи (напр. Matomo вместо Google Analytics).
Срокове за съхранение на данни
Съгласно чл. 5(1)(д) от GDPR (принцип за ограничение на съхранението), личните данни трябва да се пазят само толкова дълго, колкото е необходимо. За онлайн магазините този принцип се балансира с конкретни законови срокове за съхранение:
| Тип данни | Срок на съхранение | Основание |
|---|---|---|
| Данни от фактури и счетоводни документи | 10 години | Закон за счетоводството, чл. 12 |
| Ведомости за заплати | 50 години | Закон за счетоводството, чл. 12 |
| Други счетоводни носители | 3 години | Закон за счетоводството, чл. 12 |
| Маркетингови данни (при оттегляне на съгласие) | Незабавно изтриване | GDPR чл. 7(3), чл. 17 |
| Потребителски акаунт (при заявка за изтриване) | 30 дни за отговор | GDPR чл. 12(3), чл. 17 |
| Cookie consent записи | Докато е актуално | GDPR чл. 7(1) — доказване на съгласие |
Важно: Правото на изтриване (чл. 17 от GDPR) не се прилага, когато обработката е необходима за спазване на законово задължение (чл. 17(3)(б)). Данните, свързани с фактури, не подлежат на изтриване в рамките на 10-годишния счетоводен срок. Можете обаче да анонимизирате или ограничите данните, които не са счетоводно необходими.
12-те най-чести GDPR грешки на онлайн магазините
Задължителна регистрация за покупка
ЕКЗД изрично казва: поръчка без регистрация трябва да е по подразбиране.
„Информационен" cookie банер без opt-in
Банер, който само информира, не е consent. Нужен е активен opt-in за неосновни бисквитки.
Предварително отметнат newsletter
Добавяне на клиенти в маркетинг списък при завършване на поръчката без отделно, активно съгласие.
Без договор за обработка (DPA)
Липсващи DPA с платежни процесори, хостинг, доставчици, аналитични услуги.
Непълна политика за поверителност
Generic шаблон, който не покрива реалните потоци от данни и чл. 13/14 изисквания.
„Purpose creep" — промяна на целта
Имейли, събрани за потвърждение на поръчка, използвани за маркетинг без основание.
Без политика за съхранение
Съхраняване на всички клиентски данни за неопределено време без дефинирани срокове.
Игнориране на искания на субектите на данни
Без процедура за отговор при искания за достъп/изтриване в 30-дневния срок.
Липсваща фирмена идентификация
Малки магазини без адрес, ЕИК и контакти — нарушение на ЗЕТ + Регламент (ЕС) 2022/2065 (DSA).
Без оценка на въздействието при трансфер (TIA)
Ползване на Google Analytics, Facebook пикселът без оценка на механизмите за трансфер.
Маркетинг = „легитимен интерес"
ЗЕТ изисква изрично предварително съгласие (opt-in) за B2C електронен маркетинг. Легитимен интерес не е достатъчен.
Без DPIA при профилиране
Поведенческо проследяване, повторно таргетиране и профилиране без оценка на въздействието (чл. 35).
GDPR контролен списък за онлайн магазини
Използвайте този контролен списък, за да проверите дали вашият онлайн магазин е в съответствие:
Документация
- Политика за поверителност, покриваща чл. 13/14 от GDPR
- Политика за бисквитки с детайлно описание на всяка бисквитка
- Общи условия, съобразени с GDPR и ЗЗП
- Договори за обработка (DPA) с всички доставчици
- Регистър на дейностите по обработване (чл. 30)
Технически мерки
- Cookie consent банер с opt-in и гранулярен контрол
- Скриптове за analytics/marketing зареждат СЛЕД consent
- SSL/TLS криптиране на целия сайт
- Guest завършване на поръчката опция по подразбиране
- Процедура за отговор на искания на субектите на данни (30 дни)
Маркетинг
- Отделен opt-in за newsletter (не предварително отметнат)
- Линк за отписване във всеки маркетингов имейл
- Двойно потвърждение за нови абонати (препоръчително)
- Retention policy за маркетингови данни
Често задавани въпроси
Трябва ли онлайн магазинът ми да има политика за поверителност?
Да, това е задължително по GDPR. Съгласно чл. 13, всеки администратор е длъжен да предостави подробна информация за обработването — включително цели, правни основания, получатели, срокове на съхранение и права. Прочетете нашето ръководство за GDPR за малък бизнес за повече.
Необходим ли е cookie consent банер?
Да. Неосновните бисквитки (аналитични, маркетингови) изискват изрично предварително съгласие (opt-in). Предварително отметнатите кутийки и мълчаливо съгласие не са валидни (дело C-673/17, Planet49).
Мога ли да изпращам маркетингови имейли без съгласие?
Частично. Съгласно „мълчаливо съгласие при предходна транзакция (soft opt-in)" правилото, можете да изпращате маркетинг за подобни продукти на съществуващи клиенти, ако сте дали възможност за отказ при събирането на имейла и при всяко следващо съобщение. За нови абонати — необходимо е изрично съгласие.
Трябва ли да предлагам поръчка без регистрация?
Съгласно Препоръки 2/2025 на ЕКЗД — да. Задължителната регистрация за еднократни покупки не може да се обоснове с изпълнение на договор. Предлагайте поръчка без регистрация като опция по подразбиране.
Колко дълго мога да пазя данните на клиентите?
Данните, свързани с фактури — 10 години (Закон за счетоводството, чл. 12). Маркетинговите данни — до оттегляне на съгласието. Данни от акаунти — при заявка за изтриване или при дефиниран период на неактивност.
Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Искате GDPR одит за вашия онлайн магазин?
Нашият екип от юристи и IT специалисти може да проведе пълен одит на вашия e-commerce сайт — от cookie consent до договори с доставчици.
- Пълен GDPR одит на сайта и процесите
- Изготвяне на политика за поверителност и бисквитки
- Договори за обработка с всички доставчици
- Настройка на cookie consent платформа
- Обучение на екипа
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.