GDPR за счетоводители и счетоводни кантори — пълно ръководство
Счетоводителите обработват едни от най-чувствителните лични данни — ЕГН, заплати, болнични листове, банкови сметки. Същевременно те имат уникална двойна роля по GDPR: едновременно администратор и обработващ лични данни. Това ръководство обяснява как да изградите пълно GDPR съответствие за счетоводната си кантора — от договора за обработка до облачния софтуер.
Съдържание
- Двойната роля — администратор И обработващ
- Какви данни обработва счетоводителят
- Договор за обработка (чл. 28 GDPR)
- Срокове за съхранение на данни
- Мерки за сигурност (чл. 32)
- Облачен счетоводен софтуер и GDPR
- DPO — задължение или препоръка
- Искания за изтриване vs. законови срокове
- Смяна на счетоводител — GDPR аспекти
- Често задавани въпроси
1. Двойната роля — администратор И обработващ
Счетоводните кантори заемат уникална позиция в GDPR екосистемата. За разлика от повечето бизнеси, те действат едновременно в две различни роли, всяка с отделни задължения.
Като администратор на лични данни (чл. 4, т. 7 GDPR)
Счетоводната кантора самостоятелно определя целите и средствата за обработка на данните на:
- Собствените си клиенти — имена, ЕИК, данни за контакт, договорни условия, фактури за счетоводни услуги
- Собствените си служители — трудови договори, заплати, осигуровки, болнични
- Потенциални клиенти — данни от запитвания, оферти, преддоговорни отношения
Като обработващ лични данни (чл. 4, т. 8 GDPR)
Когато кантората обработва данни от името на своите клиенти, тя действа като обработващ:
- ТРЗ обработка — заплати, осигуровки, болнични на служителите на клиента
- Данъчни декларации — подаване на данъчни документи, съдържащи лични данни на трети лица
- Годишно приключване — обработка на документи с лични данни на контрагенти на клиента
Пример от практиката
Счетоводна кантора „Алфа" обслужва фирма „Бета" ЕООД с 15 служители. За фактурирането на услугите си към „Бета", кантората е администратор (сама решава какви данни да събере от „Бета" като клиент). За обработката на заплатите на 15-те служители на „Бета", кантората е обработващ (обработва данните по указания на „Бета" като работодател). Тази разлика е критична, защото задълженията по GDPR са различни за всяка роля.
2. Какви данни обработва счетоводителят
Обемът от лични данни, преминаващи през счетоводна кантора, е значителен. Ето пълен преглед:
Данни на служители на клиенти (ТРЗ)
| Категория данни | Конкретни данни | Чувствителност |
|---|---|---|
| Идентификационни | Три имена, ЕГН, адрес, лична карта | Висока |
| Трудови | Трудов договор, длъжност, стаж, работно време | Средна |
| Финансови | Заплата (бруто/нето), удръжки, аванси, банкова сметка (IBAN) | Висока |
| Осигурителни | Осигурителен доход, вноски ДОО/ДЗПО/ЗО, декларации 1 и 6 | Висока |
| Здравни | Болнични листове, ТЕЛК решения, бременност | Специална категория (чл. 9) |
| Семейни | Данни за деца (данъчни облекчения), семейно положение | Средна |
Данни на клиенти и техни контрагенти
| Категория данни | Конкретни данни | Роля на кантората |
|---|---|---|
| Фактури и договори | Имена на физически лица, ЕГН (за ЕТ/самоосигуряващи се), адреси | Обработващ |
| Банкови извлечения | IBAN, имена на наредители/получатели, основания за плащане | Обработващ |
| Данъчни декларации | ЕГН, доходи, имущество (за физически лица) | Обработващ |
| Клиентско досие | Данни за контакт, ЕИК, МОЛ, договорни условия | Администратор |
Внимание: здравни данни = специална категория
Болничните листове съдържат информация за здравословното състояние — това са специални категории данни по чл. 9 от GDPR. Обработката им е допустима на основание чл. 9(2)(б) — необходимост за целите на трудовото и осигурителното право. Въпреки това, те изискват засилена защита и ограничен достъп.
3. Договор за обработка на лични данни (чл. 28 GDPR)
Когато счетоводната кантора обработва данни от името на клиент (ТРЗ, осигуровки, декларации), договорът за обработка е задължителен съгласно чл. 28 от GDPR. Без него и двете страни рискуват санкция от КЗЛД.
Какво трябва да съдържа договорът (чл. 28, пар. 3):
- Предмет и продължителност на обработването
- Естество и цел — ТРЗ обработка, подаване на декларации, годишно приключване
- Видове лични данни — ЕГН, заплати, здравни данни, банкови сметки
- Категории субекти на данни — служители, самоосигуряващи се, контрагенти
- Задължения на обработващия:
- Обработва данните само по документирани указания на администратора
- Гарантира, че лицата, обработващи данните, са поели задължение за поверителност
- Прилага подходящи технически и организационни мерки за сигурност (чл. 32)
- Не ползва подизпълнители без предварително писмено разрешение
- Съдейства на администратора при искания от субекти на данни
- След прекратяване — връща или изтрива данните (освен при законово задължение)
- Предоставя информация за доказване на съответствие и позволява одити
Практически съвет
Договорът за обработка може да бъде отделен документ или анекс към основния договор за счетоводно обслужване. Не е достатъчна само клауза за поверителност — чл. 28 изисква конкретно съдържание. Вижте нашето подробно ръководство: Договор за обработка на лични данни — какво трябва да знаете.
4. Срокове за съхранение на данни
Счетоводителите са изправени пред уникално предизвикателство: GDPR изисква минимизация на съхранението (чл. 5(1)(д)), но българското законодателство налага дълги задължителни срокове. Ето пълната картина:
| Тип документ / данни | Срок | Правно основание |
|---|---|---|
| Ведомости за заплати | 50 години | Закон за счетоводството, чл. 12, ал. 1, т. 1 |
| Счетоводни регистри и финансови отчети | 10 години | Закон за счетоводството, чл. 12, ал. 1, т. 2 |
| Документи за данъчен контрол (фактури, договори) | 10 години | ДОПК, чл. 38 + Закон за счетоводството |
| Всички останали носители на счетоводна информация | 3 години | Закон за счетоводството, чл. 12, ал. 1, т. 3 |
| Трудови досиета (при работодателя) | 50 години след прекратяване | КТ, чл. 128б + Наредба за трудовата книжка |
| Декларации обр. 1 и 6 | 10 години | КСО + ДОПК |
| Документи за ДЗПО | 50 години | КСО, чл. 5, ал. 10 |
| Маркетингови данни (собствени клиенти) | До оттегляне на съгласието | GDPR, чл. 7(3) |
Право на изтриване vs. задължение за съхранение
Когато клиент или негов служител поиска изтриване по чл. 17 от GDPR, счетоводителят може да откаже за данни, обвързани със законово задължение, на основание чл. 17(3)(б) — „обработването е необходимо за спазване на правно задължение". Трябва обаче да изтриете всички данни, които не са обвързани с такива задължения. Например: телефонен номер на служител, който не е част от ведомостта — подлежи на изтриване.
5. Мерки за сигурност (чл. 32 GDPR)
Член 32 от GDPR изисква „подходящи технически и организационни мерки" за осигуряване на ниво на сигурност, съответстващо на риска. За счетоводна кантора, обработваща ЕГН, заплати и здравни данни, рискът е висок. Ето практически мерки, подходящи дори за малки кантори:
Технически мерки
- Криптиране на дискове — BitLocker (Windows) или FileVault (macOS) на всеки компютър с лични данни
- Силни пароли + MFA — минимум 12 символа, двуфакторна автентикация за имейл, счетоводен софтуер и НАП портал
- Криптиран имейл — използвайте TLS 1.2+ за изпращане на ведомости и документи с ЕГН. Архивите с парола (7-Zip, AES-256) са минимум
- Антивирус и ъпдейти — актуален антивирус, автоматични обновления на ОС и софтуер
- Редовни бекъпи — ежедневен бекъп по правилото 3-2-1 (3 копия, 2 медии, 1 външен). Криптирайте бекъпите
- Сигурна мрежа — WPA3 за Wi-Fi, отделна мрежа за гости, firewall
Организационни мерки
- Заключени шкафове — хартиените документи (болнични, ведомости, трудови договори) се съхраняват в заключени метални шкафове
- Принцип „need to know" — достъп до данните на конкретен клиент имат само счетоводителите, които го обслужват
- Чисто бюро (clean desk policy) — документи с лични данни не се оставят на бюрата след работно време
- Унищожаване на хартия — шредер (минимум ниво P-4) за документи, съдържащи лични данни
- Обучение на екипа — поне веднъж годишно за GDPR, фишинг и сигурност на данните
- Процедура при нарушение — писмена процедура какво да се направи при теч на данни (уведомяване на КЗЛД в 72 часа)
Често срещан проблем: изпращане на ведомости по имейл
Изпращането на незащитени ведомости с ЕГН и заплати по обикновен имейл е сериозен GDPR риск. Имейлът по подразбиране не е криптиран end-to-end. Минимумът е: архив с парола (съобщена по друг канал, например по телефон) или използване на защитена платформа за споделяне на документи.
6. Облачен счетоводен софтуер и GDPR
Все повече счетоводни кантори преминават към облачни решения — Microinvest, Плюс Минус, Ajur, Omega500 и други. Това носи удобства, но и специфични GDPR задължения.
GDPR изисквания при облачен софтуер:
- Договор за обработка с доставчика — доставчикът на облачния софтуер е обработващ лични данни по смисъла на чл. 28. Трябва да имате писмен DPA с него
- Местоположение на данните — проверете дали данните се съхраняват в ЕС/ЕИП. Ако сървърите са извън ЕС, трябва да има подходящ механизъм за трансфер (чл. 44-49 GDPR)
- Криптиране при пренос и съхранение — данните трябва да са криптирани при транспорт (TLS) и в покой (AES-256)
- Контрол на достъпа — облачният софтуер трябва да поддържа ролеви достъп, за да може всеки счетоводител да вижда само данните на клиентите, които обслужва
- Резервни копия и възстановяване — проверете политиката за бекъп на доставчика и правото ви на експорт на данни
Верига от обработващи
Когато счетоводна кантора (обработващ за своя клиент) използва облачен софтуер (подобработващ), се формира верига: Клиент (администратор) → Счетоводна кантора (обработващ) → Облачен доставчик (подобработващ). Съгласно чл. 28(2) от GDPR, кантората трябва да получи предварително писмено разрешение от клиента за ангажиране на подобработващ. Включете това в договора за обработка.
Въпроси към доставчика на софтуер:
- Къде физически се съхраняват данните (държава, дата център)?
- Имате ли DPA, съвместим с чл. 28 от GDPR?
- Какви мерки за сигурност прилагате (криптиране, достъп, мониторинг)?
- Какво се случва с данните при прекратяване на договора?
- Използвате ли подизпълнители и кои са те?
- Какъв е процесът при нарушение на сигурността (уведомяване)?
7. DPO — задължение или препоръка
Съгласно чл. 37 от GDPR, назначаването на длъжностно лице по защита на данните (DPO) е задължително в три случая:
- Обработването се извършва от публичен орган
- Основната дейност изисква мащабно, редовно и систематично наблюдение на субекти
- Основната дейност включва мащабна обработка на специални категории данни (чл. 9) или данни за присъди (чл. 10)
Попада ли счетоводната кантора?
По правило — не. Въпреки че счетоводителите обработват здравни данни (болнични листове), тази обработка обикновено не е „мащабна" по смисъла на GDPR. Съображение 91 от GDPR изрично посочва, че обработването от отделен лекар или адвокат не се счита за мащабно — по аналогия, това важи и за малки и средни счетоводни кантори.
Кога е препоръчително да назначите DPO
Въпреки че не е задължително, DPO е силно препоръчителен за по-големи счетоводни кантори (над 50 клиента или над 500 обработвани служители), кантори, обработващи данни за специални категории субекти (напр. медицински персонал, синдикални членове), и кантори, предлагащи ТРЗ услуги на голям брой работодатели. Можете да ползвате и външно DPO като услуга — по-икономично за малки кантори.
8. Искания за изтриване — когато GDPR среща Закона за счетоводството
Едно от най-честите практически затруднения за счетоводителите е как да реагират, когато клиент или негов служител поиска изтриване на данни по чл. 17 от GDPR.
Стъпки при получаване на искане за изтриване:
Проверете самоличността
Уверете се, че искането идва от субекта на данни или от упълномощено лице. Не изтривайте данни по телефонно обаждане без верификация.
Идентифицирайте данните
Определете точно кои данни се обработват за това лице — ТРЗ, фактури, договори, кореспонденция.
Приложете чл. 17(3)(б)
За данни, обвързани със законово задължение за съхранение (ведомости, фактури), откажете изтриването с писмена обосновка, позовавайки се на конкретния закон и срок.
Изтрийте останалото
Данни, които НЕ са обвързани с правно задължение (маркетинг, допълнителни контакти, бележки), трябва да бъдат изтрити в 30-дневен срок (чл. 12(3)).
Пример: бивш служител иска изтриване
Служител, напуснал фирма преди 2 години, иска от счетоводната кантора да изтрие всичките му данни. Кантората трябва да: (1) обясни, че ведомостите се пазят 50 години по закон; (2) обясни, че данъчните документи се пазят 10 години; (3) изтрие данни, които не са обвързани с тези задължения (напр. личен телефон, ако не е в официални документи); (4) информира клиента-работодател (администратор), тъй като кантората действа като обработващ.
9. Смяна на счетоводител — GDPR аспекти
Когато клиент сменя счетоводната си кантора, процесът включва трансфер на значителен обем лични данни. GDPR налага конкретни задължения и за старата, и за новата кантора.
Задължения на „старата" кантора:
- Връщане на всички данни — съгласно чл. 28(3)(ж) от GDPR и клаузите в договора за обработка, при прекратяване обработващият трябва да върне или изтрие всички лични данни (по избор на администратора)
- Предаване в структуриран формат — данните трябва да бъдат предадени в разбираем формат (не просто „ето ви кашоните")
- Изтриване на копия — след предаването, старата кантора трябва да изтрие всички копия, освен ако законът не изисква съхранение
- Удостоверение за изтриване — препоръчително е да се издаде писмено потвърждение за изтриването
Задължения на „новата" кантора:
- Нов договор за обработка — преди да получи каквито и да е данни, новата кантора трябва да има подписан DPA с клиента
- Проверка на законността — уверете се, че данните са предадени законосъобразно и с знанието на субектите
- Актуализация на информацията по чл. 13/14 — клиентът трябва да информира служителите си за новия обработващ
Чест спор: „Няма да ви върна документите, докато не платите"
Задържането на лични данни като „гаранция" за неплатени задължения е недопустимо по GDPR. Правото на администратора (клиента) да получи обратно данните на служителите си не може да бъде обвързано с търговски спор. Неуредените финансови отношения се решават по гражданскоправен ред, а не чрез задържане на лични данни.
Често задавани въпроси
Счетоводната кантора администратор или обработващ лични данни е?
И двете. За данните на собствените си клиенти (договори, фактуриране) кантората е администратор. За данните на служителите на клиентите си (ТРЗ, осигуровки, болнични) кантората е обработващ. Двойната роля изисква отделни мерки за всяка категория данни. Прочетете повече в нашето ръководство за GDPR за малък бизнес.
Трябва ли договор за обработка между счетоводител и клиент?
Да, задължително. Съгласно чл. 28 от GDPR, когато кантората обработва ТРЗ данни, осигуровки и декларации от името на клиента, трябва да има писмен договор за обработка (DPA). Липсата му е нарушение и за двете страни.
Трябва ли счетоводна кантора да назначи DPO?
По правило не. Повечето счетоводни кантори не извършват „мащабна обработка" на специални категории данни по смисъла на чл. 37 от GDPR. Въпреки това, за по-големи кантори с много клиенти назначаването на DPO (вътрешен или външен) е силно препоръчително.
Може ли клиент да иска изтриване на данните си от счетоводителя?
Частично. Данни, обвързани с правно задължение за съхранение (ведомости — 50 г., фактури — 10 г.), не подлежат на изтриване (чл. 17(3)(б) GDPR). Данни извън тези задължения трябва да бъдат изтрити при поискване в 30-дневен срок.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
GDPR одит и документация за счетоводни кантори
Нашият екип от юристи и IT специалисти предлага специализиран GDPR пакет за счетоводители — от анализа на потоците от данни до готови договори и процедури.
- Пълен GDPR одит на счетоводната кантора
- Изготвяне на договори за обработка с клиенти и доставчици
- Регистър на дейностите по обработване (чл. 30)
- Политика за поверителност и вътрешни процедури
- Процедура при нарушение на сигурността (data breach)
- Обучение на екипа по GDPR
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.