GDPR за онлайн магазини — пълно ръководство за електронна търговия
GDPR изискванията за онлайн магазини обхващат всички етапи на електронната търговия — от събирането на данни при поръчка и регистрация до имейл маркетинга, бисквитките и договорите с обработващи лични данни (платежни доставчици, куриери, хостинг). Всеки онлайн магазин е администратор на лични данни по Регламент (ЕС) 2016/679, а нарушенията могат да доведат до глоби до 20 милиона евро или 4% от годишния оборот.
Съдържание
- Правни основания за обработка на данни
- Бисквитки (cookies) — правилният consent
- Имейл маркетинг — кога може, кога не
- Guest checkout — новите препоръки на ЕКЗД
- Плащания и обработващи лични данни
- Трансфер на данни извън ЕС
- Срокове за съхранение на данни
- 12-те най-чести грешки
- GDPR чеклист за онлайн магазини
- Често задавани въпроси
Правни основания за обработка на клиентски данни
Съгласно чл. 6, пар. 1 от GDPR, всяка обработка на лични данни изисква правно основание. За онлайн магазини най-честите основания са:
| Дейност | Правно основание | GDPR член |
|---|---|---|
| Изпълнение на поръчка (име, адрес, плащане) | Изпълнение на договор | чл. 6(1)(б) |
| Издаване на фактури, данъчни задължения | Законово задължение | чл. 6(1)(в) |
| Предотвратяване на измами | Легитимен интерес | чл. 6(1)(е) |
| Маркетинг към съществуващи клиенти (подобни продукти) | Легитимен интерес + soft opt-in | чл. 6(1)(е) + ePrivacy |
| Маркетинг към нови абонати | Съгласие | чл. 6(1)(а) |
| Аналитични бисквитки (Google Analytics) | Съгласие | чл. 6(1)(а) |
| Маркетингови бисквитки (Facebook Pixel) | Съгласие | чл. 6(1)(а) |
Ключов принцип: минимизация на данните (чл. 5(1)(в))
Събирайте само данните, които са необходими за конкретната цел. Например: за доставка на стока са ви нужни име и адрес, но не и рождена дата. Не събирайте „за бъдещо ползване" или „за всеки случай".
Бисквитки (cookies) — правилният consent
Бисквитките са един от най-честите проблеми за онлайн магазини. Съгласно ePrivacy Директивата (2002/58/ЕО, чл. 5(3)) и потвърдено от Съда на ЕС в дело C-673/17 (Planet49), за неосновни бисквитки се изисква предварително, активно съгласие (opt-in).
Какво е задължително:
- Активен opt-in — предварително отметнатите кутийки НЕ са валидно съгласие
- Гранулярен контрол — потребителят трябва да може да избира по категории (необходими, функционални, аналитични, маркетингови)
- „Отказ на всички" = „Приемам всички" — бутонът за отказ трябва да е еднакво видим
- Скриптовете не се зареждат преди consent — Google Analytics, Facebook Pixel и др. трябва да се активират СЛЕД съгласието
- Без „cookie walls" — не може да блокирате сайта, ако потребителят откаже бисквитки
Категории бисквитки:
| Категория | Consent | Примери |
|---|---|---|
| Строго необходими | Не е нужен | Сесия, кошница, сигурност |
| Функционални | Изисква се | Език, потребителски настройки |
| Аналитични | Изисква се | Google Analytics, Hotjar |
| Маркетингови / Tracking | Изисква се | Facebook Pixel, Google Ads, remarketing |
Внимание: България и ePrivacy
Българският Закон за електронната търговия (чл. 4, ал. 1, т. 2) все още предвижда по-мекия opt-out режим за бисквитки. Въпреки това, GDPR се прилага директно и изисква валидно съгласие за обработка чрез аналитични/маркетингови cookies. Прилагайте по-строгия стандарт (opt-in), за да сте в безопасност.
Имейл маркетинг — кога може, кога не
Имейл маркетингът за онлайн магазини в България се регулира едновременно от GDPR, ePrivacy Директивата и Закона за електронните съобщения (ЗЕС), чл. 261.
Правилото:
За B2C директен маркетинг по електронен път се изисква предварително съгласие (opt-in) съгласно чл. 261 от ЗЕС.
Изключението — „soft opt-in":
Съгласно чл. 13, пар. 2 от ePrivacy Директивата (потвърдено от решение на Съда на ЕС от 13 ноември 2025 г.), можете да изпращате маркетинг без изрично съгласие на съществуващи клиенти, ако:
- Имейлът е получен в контекста на продажба на продукт или услуга
- Маркетингът е за ваши собствени подобни продукти/услуги
- Клиентът е получил ясна и безплатна възможност за отказ при събирането на имейла И при всяко следващо съобщение
Практически съвет
При checkout добавете непредварително отметнато поле: „Искам да получавам оферти за подобни продукти по имейл". Включете линк за отписване във всеки маркетингов имейл. Помнете: съгласно чл. 21, пар. 2 от GDPR, субектът на данни има безусловно право да възрази срещу обработване за директен маркетинг по всяко време.
Guest checkout — новите препоръки на ЕКЗД
На 4 декември 2025 г. Европейският комитет по защита на данните (ЕКЗД) публикува Препоръки 2/2025, които директно засягат всеки онлайн магазин:
- Guest checkout трябва да е по подразбиране — потребителите трябва да могат да купуват без да създават акаунт
- Задължителната регистрация за еднократни покупки НЕ може да се обоснове с „изпълнение на договор" по чл. 6(1)(б) от GDPR — създаването на акаунт не е „необходимо" за доставка на стока
- Аргументът „предотвратяване на измами" е отхвърлен — компрометирани акаунти могат да създадат дори по-големи рискове
- Принцип за минимизация (чл. 25 GDPR) — guest checkout е по-съответстващ на „защита на данните по проектиране и по подразбиране"
Кога е допустима задължителна регистрация?
Само при абонаментни услуги, затворени потребителски групи, или когато членството е основната част от договора. Доброволната регистрация винаги трябва да е истински избор, не манипулативен дизайн (dark pattern).
Плащания и обработващи лични данни
Когато клиент плаща на вашия сайт, данните му (име, картов номер, адрес) минават през платежен процесор. Съгласно GDPR:
- Вие сте администратор (определяте целите и средствата на обработка)
- Платежният процесор (Stripe, PayPal и др.) е обработващ (обработва от ваше име)
- Необходим е писмен договор за обработка (DPA) съгласно чл. 28 от GDPR
Договорът по чл. 28 трябва да покрива: предмет, продължителност, естество и цел на обработването; видове лични данни; задължения на обработващия относно сигурност, подизпълнители, трансфери и изтриване.
Практически съвет: токенизация
Използвайте платежни процесори с токенизация (Stripe, Braintree) — реалните картови данни никога не достигат до вашия сървър. Проверете дали процесорът е PCI DSS съвместим и дали предлага DPA. Stripe LLC например е сертифициран по EU-US Data Privacy Framework.
Трансфер на данни извън ЕС
Ако използвате Shopify, Google Analytics, Facebook Pixel, Mailchimp или друга платформа с бази в САЩ, вие трансферирате лични данни извън ЕИП. Това е допустимо само при наличие на подходяща защита (GDPR, Глава V, чл. 44–49).
Актуално положение (март 2026):
| Услуга | Механизъм за трансфер | Статус |
|---|---|---|
| Google LLC (Analytics, Ads) | EU-US Data Privacy Framework | Сертифициран (от авг. 2023) |
| Meta (Facebook Pixel) | EU-US Data Privacy Framework | Сертифициран, но под наблюдение |
| Stripe | EU-US Data Privacy Framework | Сертифициран |
| Shopify | SCCs + DPA | Покрит чрез Data Processing Addendum |
Риск: нестабилност на EU-US DPF
Макар EU-US Data Privacy Framework да издържа първото съдебно оспорване (решение на Общия съд на ЕС, септември 2025 г.), бъдещето му не е сигурно. Препоръчително е да поддържате стандартни договорни клаузи (SCC) като запасен вариант и да разгледате EU-базирани алтернативи (напр. Matomo вместо Google Analytics).
Срокове за съхранение на данни
Съгласно чл. 5(1)(д) от GDPR (принцип за ограничение на съхранението), личните данни трябва да се пазят само толкова дълго, колкото е необходимо. За онлайн магазини обаче има и законови задължения:
| Тип данни | Срок на съхранение | Основание |
|---|---|---|
| Данни от фактури и счетоводни документи | 10 години | Закон за счетоводството, чл. 12 |
| Ведомости за заплати | 50 години | Закон за счетоводството, чл. 12 |
| Други счетоводни носители | 3 години | Закон за счетоводството, чл. 12 |
| Маркетингови данни (при оттегляне на съгласие) | Незабавно изтриване | GDPR чл. 7(3), чл. 17 |
| Потребителски акаунт (при заявка за изтриване) | 30 дни за отговор | GDPR чл. 12(3), чл. 17 |
| Cookie consent записи | Докато е актуално | GDPR чл. 7(1) — доказване на съгласие |
Важно: Правото на изтриване (чл. 17 от GDPR) не се прилага, когато обработката е необходима за спазване на законово задължение (чл. 17(3)(б)). Данните, свързани с фактури, не подлежат на изтриване в рамките на 10-годишния счетоводен срок. Можете обаче да анонимизирате или ограничите данните, които не са счетоводно необходими.
12-те най-чести GDPR грешки на онлайн магазините
Задължителна регистрация за покупка
ЕКЗД изрично казва: guest checkout трябва да е по подразбиране.
„Информационен" cookie банер без opt-in
Банер, който само информира, не е consent. Нужен е активен opt-in за неосновни бисквитки.
Предварително отметнат newsletter
Добавяне на клиенти в маркетинг списък при checkout без отделно, активно съгласие.
Без договор за обработка (DPA)
Липсващи DPA с платежни процесори, хостинг, доставчици, аналитични услуги.
Непълна политика за поверителност
Generic шаблон, който не покрива реалните потоци от данни и чл. 13/14 изисквания.
„Purpose creep" — промяна на целта
Имейли, събрани за потвърждение на поръчка, използвани за маркетинг без основание.
Без retention policy
Съхраняване на всички клиентски данни за неопределено време без дефинирани срокове.
Игнориране на data subject requests
Без процедура за отговор при искания за достъп/изтриване в 30-дневния срок.
Липсваща фирмена идентификация
Малки магазини без адрес, ЕИК и контакти — нарушение на ЗЕТ + DSA.
Без Transfer Impact Assessment
Ползване на Google Analytics, Facebook Pixel без оценка на механизмите за трансфер.
Маркетинг = „легитимен интерес"
ЗЕС изисква opt-in за B2C електронен маркетинг. Легитимен интерес не е достатъчен.
Без DPIA при профилиране
Behavioral tracking, remarketing и профилиране без оценка на въздействието (чл. 35).
GDPR чеклист за онлайн магазини
Използвайте този чеклист, за да проверите дали вашият онлайн магазин е в съответствие:
Документация
- Политика за поверителност, покриваща чл. 13/14 от GDPR
- Политика за бисквитки с детайлно описание на всяка бисквитка
- Общи условия, съобразени с GDPR и ЗЗП
- Договори за обработка (DPA) с всички доставчици
- Регистър на дейностите по обработване (чл. 30)
Технически мерки
- Cookie consent банер с opt-in и гранулярен контрол
- Скриптове за analytics/marketing зареждат СЛЕД consent
- SSL/TLS криптиране на целия сайт
- Guest checkout опция по подразбиране
- Процедура за отговор на data subject requests (30 дни)
Маркетинг
- Отделен opt-in за newsletter (не предварително отметнат)
- Линк за отписване във всеки маркетингов имейл
- Double opt-in за нови абонати (препоръчително)
- Retention policy за маркетингови данни
Често задавани въпроси
Трябва ли онлайн магазинът ми да има политика за поверителност?
Да, това е задължително по GDPR. Съгласно чл. 13, всеки администратор е длъжен да предостави подробна информация за обработването — включително цели, правни основания, получатели, срокове на съхранение и права. Прочетете нашето ръководство за GDPR за малък бизнес за повече.
Необходим ли е cookie consent банер?
Да. Неосновните бисквитки (аналитични, маркетингови) изискват изрично предварително съгласие (opt-in). Предварително отметнатите кутийки и implied consent не са валидни (дело C-673/17, Planet49).
Мога ли да изпращам маркетингови имейли без съгласие?
Частично. Съгласно „soft opt-in" правилото, можете да изпращате маркетинг за подобни продукти на съществуващи клиенти, ако сте дали възможност за отказ при събирането на имейла и при всяко следващо съобщение. За нови абонати — необходимо е изрично съгласие.
Трябва ли да предлагам guest checkout?
Съгласно Препоръки 2/2025 на ЕКЗД — да. Задължителната регистрация за еднократни покупки не може да се обоснове с изпълнение на договор. Предлагайте guest checkout като опция по подразбиране.
Колко дълго мога да пазя данните на клиентите?
Данните, свързани с фактури — 10 години (Закон за счетоводството, чл. 12). Маркетинговите данни — до оттегляне на съгласието. Данни от акаунти — при заявка за изтриване или при дефиниран период на неактивност.
Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Искате GDPR одит за вашия онлайн магазин?
Нашият екип от юристи и IT специалисти може да проведе пълен одит на вашия e-commerce сайт — от cookie consent до договори с доставчици.
- Пълен GDPR одит на сайта и процесите
- Изготвяне на политика за поверителност и бисквитки
- Договори за обработка с всички доставчици
- Настройка на cookie consent платформа
- Обучение на екипа
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.