КЗЛД проверка — какво да направите в първите часове когато инспектор почука на вратата
Последното нещо, което всеки изпълнителен директор иска да чуе в понеделник сутрин: „Господине, ние сме от Комисията за защита на личните данни. Имаме заповед за проверка." През 2024 г. КЗЛД получи прогнозно над 1 000 жалби, които предизвикаха стотици проверки на български компании. Първите часове от вашата реакция определят дали ще се справите с препоръка за подобрение или с глоба до 4% от глобалния оборот. Това ръководство, базирано на ЗЗЛД и чл. 58 GDPR, дава точен план за CEO, юрисконсулти и длъжностни лица по защита на данните.
Съдържание
- Защо проверките зачестяват — статистики и сектори под надзор
- Правни основания за проверка от КЗЛД
- Видове проверки — планови, по жалба, по сигнал
- Първият час — какви грешки да избегнете
- Първите 24 часа — мобилизация на екипа
- Какво трябва да е готово в първия ден
- Правомощия на КЗЛД при проверка
- Вашите права като администратор
- След проверката — констативен акт и обжалване
- Чеклист „КЗЛД готовност"
- Често задавани въпроси
Защо проверките зачестяват — статистики и сектори под надзор
Според годишния отчет на КЗЛД за 2024 г. комисията получи прогнозно над 1 000 жалби срещу администратори и обработващи лични данни — устойчиво нарастване спрямо предишните години. Не всяка жалба води до проверка, но всяка проверка започва с някакъв тригер.
Кои сектори са най-често проверявани
Според структурата на жалбите за 2024 г., водещите сектори след видеонаблюдението са:
- Банки и кредитни институции — основания: обработване без съгласие, неправомерно споделяне с трети лица, неуважени искания за достъп
- Държавни органи и общини — обработване на чувствителни данни без правно основание, неправомерно разкриване
- Телекомуникационни оператори — съхранение на трафични данни, директен маркетинг без съгласие
- Политически партии и коалиции — особено в предизборни периоди, обработване на данни на симпатизанти
- Здравеопазване — неправомерно разкриване на медицински данни, нарушения на сигурността
Защо вашата фирма може да е следваща
Дори при безупречна вътрешна практика, рискът от проверка е реален: един недоволен бивш служител, един разочарован клиент или една случайна публикация могат да задействат жалба. КЗЛД не е длъжна да ви предупреди предварително. Затова готовността не е лукс — тя е оперативно задължение за всяка компания, която обработва лични данни.
Правни основания за проверка от КЗЛД
Правомощията на КЗЛД да извършва проверки произтичат от два правни източника, които работят паралелно:
1. Чл. 58, параграф 1 от Регламент (ЕС) 2016/679 (GDPR)
Регламентът дава на всеки надзорен орган в ЕС шест ясно определени правомощия за разследване:
- Разпорежда на администратора и обработващия да предоставят всяка информация, която поиска
- Провежда одити във връзка със защитата на данните
- Преглежда сертификати по чл. 42, ал. 7
- Уведомява за предполагаемо нарушение
- Получава достъп до всички лични данни и информация, нужни за изпълнение на задачите му
- Получава достъп до помещения, включително оборудване и средства за обработване на данни
2. Закон за защита на личните данни (ЗЗЛД) — процедурни правила
Българският закон конкретизира процедурните правила:
- Чл. 12, ал. 4 ЗЗЛД: „Проверки се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал."
- Чл. 12, ал. 5 ЗЗЛД: „Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка."
- Чл. 12, ал. 7 ЗЗЛД: „Проверката завършва с констативен акт."
- Чл. 12, ал. 8 ЗЗЛД: Когато се установи административно нарушение, се образува административнонаказателно производство.
- Чл. 12, ал. 9 ЗЗЛД: Възможно е и налагане на принудителна административна мярка по глава девета.
Видове проверки — планови, по жалба, по сигнал
Разбирането на типа проверка ви помага да оцените сериозността и да настроите реакцията си.
| Тип проверка | Тригер | Предупреждение | Типична продължителност |
|---|---|---|---|
| Планова | Годишна програма на КЗЛД, секторни приоритети | Обикновено уведомяване с няколко дни напред | 1–4 седмици |
| По жалба | Жалба от субект на данни (бивш служител, клиент) | Понякога с уведомление, понякога внезапна | 2–8 седмици |
| По сигнал | Анонимен или подписан сигнал, медийна публикация | Често внезапна | 1–6 седмици |
| След нарушение | Уведомление за нарушение на сигурността по чл. 33 GDPR | Очаквана след подадено уведомление | 4–12 седмици |
Внимание: документална или присъствена
Много проверки започват като документални — комисията изпраща писмо с искане да предоставите конкретни документи в определен срок (обикновено 7–14 дни). Тази форма е по-малко стресираща, но изисква същото ниво на готовност. Не я подценявайте — ако не реагирате качествено на писмено искане, КЗЛД може да премине към присъствена проверка с правомощие за достъп до помещения по чл. 58, ал. 1, буква „е" GDPR.
Първият час — какви грешки да избегнете
В момента, в който проверяващите се идентифицират, започва правно значимо производство. Грешки в първия час може да определят изхода на цялата проверка.
„Да им дам каквото поискат, за да не се ядосат"
НЕ. Прекомерната готовност означава: предоставяте без правен преглед документи, които после се ползват срещу вас. Включително информация, защитена като професионална, банкова или адвокатска тайна.
„Веднага ще обясня всичко устно"
НЕ. Устните обяснения от служителите имат правна сила и се ползват в констативния акт. Импровизираните обяснения може да създадат необосновано впечатление за нарушение. Съществените въпроси отговаряйте писмено, след юридически преглед.
„Бързо ще изтрия / поправя това в системата"
КАТЕГОРИЧНО НЕ. Промяна или унищожаване на документи по време на проверка е възпрепятстване — отделно нарушение по чл. 83, ал. 5, б. „д" GDPR с глоби до 4% от оборота. В тежки случаи — наказателна отговорност по чл. 319 НК (унищожаване, повреждане или укриване на чужд документ) или чл. 270 НК (възпрепятстване на орган на властта).
Какво ДА направите в първите 60 минути
(1) Поискайте служебните карти и заповедта на председателя — направете копия. (2) Уведомете изпълнителния директор и длъжностното лице по защита на данните. (3) Поканете юрисконсулт или външен адвокат веднага. (4) Определете едно-единствено лице за контакт за проверяващите. (5) Започнете писмен дневник на всичко, което се случва — час, събитие, кой е присъствал.
Първите 24 часа — мобилизация на екипа
След първоначалното овладяване на ситуацията, следващите 24 часа са критични за изграждането на координирана защита.
Свикайте кризисния екип
Изпълнителен директор, юрисконсулт, длъжностно лице по защита на данните, ръководител на отдел Информационни технологии, корпоративни комуникации. Минимум — еднократно физическо или виртуално срещане в първите 12 часа.
Активирайте външен правен съветник
Дори с вътрешен юрисконсулт, при сериозна проверка препоръчваме външен GDPR експерт. Втори чифт очи и независима преценка на риска са безценни в първите дни.
Заповед за съхраняване на документи
Издайте писмена заповед за съхраняване на документите — забрана за изтриване, промяна или унищожаване на всички документи и електронни записи, свързани с предмета на проверката, до приключване на производството.
Обзор на фактите
Кратък писмен меморандум от кризисния екип: какво е предметът на проверката, какви документи биха могли да са релевантни, кои служители са компетентни.
Какво трябва да е готово в първия ден
До края на първия ден следните документи трябва да са на масата — независимо дали проверката е документална или присъствена:
Регистър на дейностите по обработване (RoPA)
По чл. 30 GDPR. Това е първият документ, който проверяващите ще искат. Ако нямате актуален — това е тежък сигнал за неготовност.
Политика за поверителност и съгласия
Текущата версия на сайта, исторически версии, доказателства за това как се събират съгласия (журнали, екранни снимки).
Договори за обработване (DPA)
Списък на всички доставчици, които имат достъп до лични данни, с подписани договори по чл. 28 GDPR.
Оценки на въздействието (DPIA)
За високорискови операции по чл. 35 GDPR. Списък + копия от документираните оценки.
Процедура за искания на субекти
Документиран процес за приемане, обработване и отговор на искания за достъп, изтриване и т.н. Регистър на постъпилите искания.
Регистър на нарушенията на сигурността
Всички инциденти с лични данни — дори тези, които не са били обект на уведомяване по чл. 33 GDPR. Документация за оценка на риска.
Ако някоя от тези документации липсва или е остаряла, направете два регистъра: (1) какво имате готово; (2) какво ще представите с обяснение за статуса. Прозрачността за пропуски е по-добра от опит за маскиране.
Правомощия на КЗЛД при проверка
По ЗЗЛД администраторът е длъжен да оказва съдействие на КЗЛД при проверка. Но това задължение има изрични граници: законови граници: банковата тайна (за банки), медицинската тайна (за лекари) и адвокатската тайна по чл. 33 от Закона за адвокатурата остават защитени. Законът дава право на отказ за информация, защитена като тайна по закон. Класифицираната информация се предоставя само по реда на Закона за защита на класифицираната информация (ЗЗКИ).
Проверяващите могат да възлагат експертизи по реда на АПК (чл. 36, ал. 4 и чл. 39), със субсидиарно прилагане на ГПК — например на външен ИТ специалист за анализ на системите ви. При възлагане на експертиза администраторът има право да присъства и да задава въпроси.
Вашите права като администратор
В административното производство пред КЗЛД ви се полагат следните права (по АПК, ЗАНН и ЗЗЛД):
- Правна защита на всеки етап — адвокат или юрисконсулт при отговори, интервюта, преглед на констативния акт
- Изискване на легитимация — служебна карта и заповед на председателя на КЗЛД за конкретната проверка
- Достъп до материалите по проверката (чл. 35 АПК)
- Писмени възражения срещу акта за установяване на административно нарушение (АУАН) — 3 дни от подписването му (чл. 44, ал. 1 ЗАНН)
- Обжалване на решението на КЗЛД пред Административен съд — София-град по реда на АПК (чл. 145 и сл. АПК; 14-дневен срок от съобщаването по чл. 149, ал. 1 АПК); при наказателно постановление — обжалване по реда на ЗАНН (7-дневен срок по чл. 59, ал. 2 ЗАНН) пред районния съд
- Информация за хода на производството — в сроковете, определени в Правилника за дейността на КЗЛД и АПК
- Отказ при защитена информация — професионална, класифицирана, банкова, адвокатска, медицинска тайна
Стратегия: сътрудничество, не противопоставяне
В нашата практика конструктивното сътрудничество с проверяващите значително намалява риска от тежки санкции. Това не означава да предавате всичко безкритично — означава: бърз отговор на разумни искания, ясна комуникация за процедурните граници, прозрачност за пропуските, по които вече работите. Често превръща потенциална глоба от стотици хиляди левове в препоръка за подобрение.
След проверката — констативен акт и обжалване
Проверката завършва с констативен акт. Това е най-важният документ — той съдържа фактическите констатации, които впоследствие ще са основа на евентуалното решение на комисията.
Констативен акт
Прочетете внимателно. Ако има неточни факти, незабавно подайте писмени възражения. Поискайте копие при подписване.
Акт за установяване на нарушение (ЗАНН)
Ако КЗЛД счита, че е налице нарушение. Имате 3-дневен срок за писмени възражения от подписването на АУАН по чл. 44, ал. 1 ЗАНН.
Решение на комисията
Издава се след преценка на възраженията. Може да съдържа: предупреждение, наказателно постановление, принудителна мярка.
Обжалване (14 дни)
По реда на АПК пред Административен съд — София-град. Подава се чрез самата КЗЛД. Спира изпълнението при определени условия.
Размери на глобите
По чл. 83 GDPR глобите са до EUR 20 милиона или 4% от глобалния годишен оборот (което е по-високо) за тежки нарушения, и до EUR 10 милиона или 2% за по-леки.
Размерът зависи от тежестта и продължителността на нарушението, броя засегнати субекти, степента на отговорност, предишни нарушения и сътрудничеството с комисията (чл. 83, ал. 2 GDPR). На практика КЗЛД е налагала глоби от единици хиляди левове до 5 100 000 лв. (приблизително EUR 2 600 000 — наложена на НАП за теча от 2019 г.). Прочетете нашия подробен анализ на реални GDPR глоби в България.
Чеклист „КЗЛД готовност"
Минете през този чеклист преди проверката — не след нея. Готовността превръща потенциална глоба в препоръка за подобрение.
- Актуален регистър на дейностите по обработване (RoPA) — последно тримесечие
- Текуща политика за поверителност + предходни версии за 3 години
- Регистър на договорите за обработване с всички доставчици с достъп до лични данни
- Оценки на въздействието (DPIA) за високорискови обработки по чл. 35 GDPR
- Писмена процедура за искания на субекти + регистър на постъпилите искания
- Регистър на нарушенията на сигурността с оценка на риска
- Заповед за назначаване на длъжностно лице по защита на данните + уведомление до КЗЛД
- Политика за сигурност на информацията и записи за обучение на служителите
- Регистър на трансфери на лични данни извън ЕС/ЕИП с правни основания
- Писмен план за реакция при КЗЛД проверка с разпределени роли (CEO, юрисконсулт, ДЛЗД, ИТ)
- Преддоговорно споразумение с външен правен съветник по GDPR — готов за активиране
- Шаблон за вътрешна заповед за документална замразяваща мярка
- Годишен вътрешен GDPR одит и симулация на проверка
Често задавани въпроси
Какви са основанията за КЗЛД да извърши проверка на бизнеса ми?
По ЗЗЛД проверката се извършва в три случая: по инициатива на самата комисия (планова или внезапна), по жалба на заинтересовано лице (например бивш служител или клиент) или след подаден сигнал. Проверките са най-чести след получена жалба — според годишния отчет на КЗЛД за 2024 г. постъпили са прогнозно над 1 000 жалби, като водещ сектор е видеонаблюдението.
С какви документи се легитимират проверяващите от КЗЛД?
По ЗЗЛД проверяващите са длъжни да се легитимират със служебна карта и заповед на председателя на комисията за конкретната проверка. Преди да допуснете когото и да било в офиса си, поискайте да видите и двата документа. Ако заповедта липсва или не идентифицира конкретно проверяващите лица, имате право да откажете достъп до момента на представянето им.
Имам ли право да присъства адвокат по време на проверката?
Да. Правото на правна защита е общ принцип на административното производство по Административнопроцесуалния кодекс. Препоръчваме веднага да поканите вашия юрисконсулт или външен правен съветник. Ако външен адвокат има нужда от време да пристигне, можете учтиво да помолите проверяващите да изчакат разумен срок (обикновено 1-2 часа) — това не е възпрепятстване, а упражняване на право на защита.
Длъжен ли съм да предоставя ВСИЧКИ документи, които КЗЛД поиска?
Принципно — да, ЗЗЛД задължава администратора да оказва съдействие. Но при информация, защитена като професионална тайна по специален закон, администраторът отказва достъп или друга законова тайна. Класифицирана информация се предоставя само по реда на Закона за защита на класифицираната информация (ЗЗКИ). Адвокатска тайна, банкова тайна, медицинска тайна и търговска тайна също имат самостоятелна защита.
Какъв е срокът за обжалване на решение на КЗЛД?
По чл. 38, ал. 8 от ЗЗЛД решенията на КЗЛД подлежат на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването им. Жалбата се подава до Административен съд — София-град чрез самата КЗЛД. Препоръчваме да започнете подготовка на жалбата веднага след получаване на решението — 14 дни е кратък срок за качествена правна позиция.
Какви глоби може да наложи КЗЛД?
По чл. 83 от Регламент (ЕС) 2016/679 глобите достигат до EUR 20 милиона или 4% от глобалния годишен оборот (което е по-високо) за тежки нарушения, и до EUR 10 милиона или 2% за по-леки. На практика КЗЛД е налагала глоби от единици хиляди левове до 5,1 милиона лева (приблизително EUR 2,6 милиона — наложена на НАП за теча от 2019 г.). Размерът зависи от тежестта, продължителността, броя засегнати субекти и сътрудничеството с комисията.
Какво се случва след констативния акт?
По ЗЗЛД проверката завършва с констативен акт — това е първият документ. Ако е установено нарушение, се образува административнонаказателно производство по реда на ЗАНН — следва акт за установяване на нарушение по ЗАНН, при който имате право на писмени възражения. Решението на КЗЛД подлежи на обжалване по реда на АПК (чл. 145 и сл., 14-дневен срок по чл. 149, ал. 1 АПК); наказателните постановления се обжалват по реда на ЗАНН (7-дневен срок по чл. 59, ал. 2 ЗАНН) пред районния съд. Целият процес може да отнеме от 6 месеца до 2 години в зависимост от сложността.
Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретно подпомагане при проверка от КЗЛД, изготвяне на план за реакция или защита в производство, моля свържете се с нас.
КЗЛД проверка — спешна правна защита и подготовка
Помагаме на банки, застрахователи, телекоми, държавни органи и онлайн платформи да се справят с проверки от КЗЛД — от спешна реакция до пълна подготовка преди контрола да дойде.
- Спешна реакция при получено уведомление за проверка (24/7)
- Изготвяне на пакет „КЗЛД готовност" — RoPA, политики, процедури
- Преглед на договори за обработване с критични доставчици
- Симулация на проверка с екипа ви — как да се държат служителите
- Защита в административнонаказателно производство по ЗАНН
- Обжалване по АПК пред Административен съд — София-град
- Стратегическо договаряне на размер на глоба и принудителни мерки
Получавайте нови анализи на GDPR съдебна и регулаторна практика
Свежи разбори на проверки, решения на КЗЛД, СЕС и важни корпоративни казуси. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова представляват над 90 компании в България — банки, застрахователи, телекоми, държавни органи и онлайн платформи — пред КЗЛД и Административен съд — София-град. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни. Заедно водят над 50 успешни производства по обжалване на решения на КЗЛД.