КЗЛД проверка — какво да направите в първите часове когато инспектор почука на вратата
Последното нещо, което всеки изпълнителен директор иска да чуе в понеделник сутрин: „Господине, ние сме от Комисията за защита на личните данни. Имаме заповед за проверка." През 2024 г. КЗЛД получи прогнозно над 1 000 жалби, които предизвикаха стотици проверки на български компании. Първите часове от вашата реакция определят дали ще се справите с препоръка за подобрение или с глоба до 4% от глобалния оборот. Това ръководство дава точен план за CEO, юрисконсулти и длъжностни лица по защита на данните — базиран на чл. 12 ЗЗЛД и чл. 58 GDPR.
Съдържание
- Защо проверките зачестяват — статистики и сектори под надзор
- Правни основания за проверка от КЗЛД
- Видове проверки — планови, по жалба, по сигнал
- Първите 60 минути — какво да НЕ правите
- Първите 24 часа — мобилизация на екипа
- Какво трябва да е готово в първия ден
- Правомощия на КЗЛД при проверка
- Вашите права като администратор
- След проверката — констативен акт и обжалване
- Чеклист „КЗЛД готовност"
- Често задавани въпроси
Защо проверките зачестяват — статистики и сектори под надзор
Според годишния отчет на КЗЛД за 2024 г. комисията получи прогнозно над 1 000 жалби срещу администратори и обработващи лични данни — устойчиво нарастване спрямо предишните години. Не всяка жалба води до проверка, но всяка проверка започва с някакъв тригер.
Кои сектори са най-често проверявани
Според структурата на жалбите за 2024 г., водещите сектори след видеонаблюдението са:
- Банки и кредитни институции — основания: обработване без съгласие, неправомерно споделяне с трети лица, неуважени искания за достъп
- Държавни органи и общини — обработване на чувствителни данни без правно основание, неправомерно разкриване
- Телекомуникационни оператори — съхранение на трафични данни, директен маркетинг без съгласие
- Политически партии и коалиции — особено в предизборни периоди, обработване на данни на симпатизанти
- Здравеопазване — неправомерно разкриване на медицински данни, нарушения на сигурността
Защо вашата фирма може да е следваща
Дори при безупречна вътрешна практика, рискът от проверка е реален: един недоволен бивш служител, един разочарован клиент или една случайна публикация могат да задействат жалба. КЗЛД не е длъжна да ви предупреди предварително. Затова готовността не е лукс — тя е операционна задължителност за всяка компания, която обработва лични данни.
Правни основания за проверка от КЗЛД
Правомощията на КЗЛД да извършва проверки произтичат от два правни източника, които работят паралелно:
1. Чл. 58, параграф 1 от Регламент (ЕС) 2016/679 (GDPR)
Регламентът дава на всеки надзорен орган в ЕС шест ясно определени правомощия за разследване (чл. 58, ал. 1, букви а–е):
- Разпорежда на администратора и обработващия да предоставят всяка информация, която поиска
- Провежда одити във връзка със защитата на данните
- Преглежда сертификати по чл. 42, ал. 7
- Уведомява за предполагаемо нарушение
- Получава достъп до всички лични данни и информация, нужни за изпълнение на задачите му
- Получава достъп до помещения, включително оборудване и средства за обработване на данни
2. Чл. 12 от Закона за защита на личните данни (ЗЗЛД)
Българският закон конкретизира процедурните правила:
- Чл. 12, ал. 4 ЗЗЛД: „Проверки се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал."
- Чл. 12, ал. 5 ЗЗЛД: „Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка."
- Чл. 12, ал. 7 ЗЗЛД: „Проверката завършва с констативен акт."
- Чл. 12, ал. 8 ЗЗЛД: Когато се установи административно нарушение, се образува административнонаказателно производство.
- Чл. 12, ал. 9 ЗЗЛД: Възможно е и налагане на принудителна административна мярка по глава девета.
Видове проверки — планови, по жалба, по сигнал
Разбирането на типа проверка ви помага да оцените сериозността и да настроите реакцията си.
| Тип проверка | Тригер | Предупреждение | Типична продължителност |
|---|---|---|---|
| Планова | Годишна програма на КЗЛД, секторни приоритети | Обикновено уведомяване с няколко дни напред | 1–4 седмици |
| По жалба | Жалба от субект на данни (бивш служител, клиент) | Понякога с уведомление, понякога внезапна | 2–8 седмици |
| По сигнал | Анонимен или подписан сигнал, медийна публикация | Често внезапна | 1–6 седмици |
| След нарушение | Уведомление за нарушение на сигурността по чл. 33 GDPR | Очаквана след подадено уведомление | 4–12 седмици |
Внимание: документална или присъствена
Много проверки започват като документални — комисията изпраща писмо с искане да предоставите конкретни документи в определен срок (обикновено 7–14 дни). Тази форма е по-малко стресираща, но изисква същото ниво на готовност. Не я подценявайте — ако не реагирате качествено на писмено искане, КЗЛД може да премине към присъствена проверка с правомощие за достъп до помещения по чл. 58, ал. 1, буква „е" GDPR.
Първите 60 минути — какво да НЕ правите
В моментa, в който проверяващите се идентифицират, започва правно значимо производство. Грешки в първия час може да определят изхода на цялата проверка.
„Да им дам каквото поискат, за да не се ядосат"
НЕ. Прекомерната готовност означава: предоставяте документи без правен преглед — които после се ползват срещу вас. Включително информация, защитена като професионална, банкова или адвокатска тайна.
„Веднага ще обясня всичко устно"
НЕ. Устните обяснения от служителите имат правна сила и се ползват в констативния акт. Импровизирана информация може да създаде впечатление за нарушение без основание. Съществените въпроси отговаряйте писмено, след юридически преглед.
„Бързо ще изтрия / поправя това в системата"
КАТЕГОРИЧНО НЕ. Промяна или унищожаване на документи по време на проверка е възпрепятстване — отделно нарушение по чл. 83, ал. 5, б. „д" GDPR с глоби до 4% от оборота. В тежки случаи и наказателна отговорност по чл. 311 НК.
Какво ДА направите в първите 60 минути
(1) Поискайте служебните карти и заповедта на председателя — направете копия. (2) Уведомете изпълнителния директор и длъжностното лице по защита на данните. (3) Поканете юрисконсулт или външен адвокат веднага. (4) Определете един единствен лице за контакт за проверяващите. (5) Започнете писмен дневник на всичко, което се случва — час, събитие, кой е присъствал.
Първите 24 часа — мобилизация на екипа
След първоначалното овладяване на ситуацията, следващото 24-часово прозорче е критично за изграждане на координирана защита.
Свикайте кризисния екип
Изпълнителен директор, юрисконсулт, длъжностно лице по защита на данните, ИТ ръководител, корпоративни комуникации. Минимум — еднократно физическо или виртуално срещане в първите 12 часа.
Активирайте външен правен съветник
Дори с вътрешен юрисконсулт, при сериозна проверка препоръчваме външен GDPR експерт. Втори чифт очи и независима преценка на риска са безценни в първите дни.
Документална замразяваща мярка
Издайте вътрешна заповед за пълна забрана на изтриване, промяна или унищожаване на каквито и да било документи и електронни записи, свързани с предмета на проверката.
Обзор на фактите
Кратък писмен меморандум от кризисния екип: какво е предметът на проверката, какви документи биха могли да са релевантни, кои служители са компетентни.
Какво трябва да е готово в първия ден
До края на първия ден следните документи трябва да са на масата — независимо дали проверката е документална или присъствена:
Регистър на дейностите по обработване (RoPA)
По чл. 30 GDPR. Това е първият документ, който проверяващите ще искат. Ако нямате актуален — това е тежък сигнал за неготовност.
Политика за поверителност и съгласия
Текущата версия на сайта, исторически версии, доказателства за това как се събират съгласия (журнали, екранни снимки).
Договори за обработване (DPA)
Списък на всички доставчици, които имат достъп до лични данни, с подписани договори по чл. 28 GDPR.
Оценки на въздействието (DPIA)
За високорискови операции по чл. 35 GDPR. Списък + копия от документираните оценки.
Процедура за искания на субекти
Документиран процес за приемане, обработване и отговор на искания за достъп, изтриване и т.н. Регистър на постъпилите искания.
Регистър на нарушенията на сигурността
Всички инциденти с лични данни — дори тези, които не са били обект на уведомяване по чл. 33 GDPR. Документация за оценка на риска.
Ако някоя от тези документации липсва или е остаряла, направете два регистъра: (1) какво имате готово; (2) какво ще представите с обяснение за статуса. Прозрачността за пропуски е по-добра от опит за маскиране.
Правомощия на КЗЛД при проверка
По чл. 12а, ал. 1 ЗЗЛД администраторът е длъжен да оказва съдействие на комисията. Но това задължение има изрични граници: ако сте банка — банковата тайна остава; ако сте лекар — медицинската; ако сте адвокат — адвокатската. Чл. 12а, ал. 2 ЗЗЛД дава право на отказ до информация, защитена като тайна по закон. Класифицираната информация се предоставя само по реда на Закона за защита на класифицираната информация (чл. 12а, ал. 3 ЗЗЛД).
По чл. 12, ал. 6 ЗЗЛД проверяващите могат да възлагат експертизи по реда на ГПК — например външен ИТ специалист за анализ на системите ви. Имате право да присъствате и да задавате въпроси.
Вашите права като администратор
В административното производство пред КЗЛД ви се полагат следните права (по АПК, ЗАНН и ЗЗЛД):
- Правна защита на всеки етап — адвокат или юрисконсулт при отговори, интервюта, преглед на констативния акт
- Изискване на легитимация — служебна карта + заповед на председателя (чл. 12, ал. 5 ЗЗЛД)
- Достъп до материалите по проверката (чл. 35 АПК)
- Писмени възражения срещу акта за установяване на нарушение по ЗАНН — 7 дни
- Обжалване на решението пред Административен съд — София-град — 14 дни (чл. 38, ал. 8 ЗЗЛД)
- Информация за хода на производството — 3-месечен срок (чл. 38, ал. 2 ЗЗЛД)
- Отказ при защитена информация — професионална, класифицирана, банкова, адвокатска, медицинска тайна
Стратегия: сътрудничество, не противопоставяне
В нашата практика конструктивното сътрудничество с проверяващите значително намалява риска от тежки санкции. Това не означава да предавате всичко безкритично — означава: бърз отговор на разумни искания, ясна комуникация за процедурните граници, прозрачност за пропуските, по които вече работите. Често превръща потенциална глоба от стотици хиляди левове в препоръка за подобрение.
След проверката — констативен акт и обжалване
Проверката завършва с констативен акт по чл. 12, ал. 7 ЗЗЛД. Това е най-важният документ — той съдържа фактическите констатации, които впоследствие ще са основа на евентуалното решение на комисията.
Констативен акт
Прочетете внимателно. Ако има неточни факти, незабавно подайте писмени възражения. Поискайте копие при подписване.
Акт за установяване на нарушение (ЗАНН)
Ако КЗЛД счита, че е налице нарушение. Имате 7 дни за писмени възражения по чл. 44 ЗАНН.
Решение на комисията
Издава се след преценка на възраженията. Може да съдържа: предупреждение, наказателно постановление, принудителна мярка.
Обжалване (14 дни)
По реда на АПК пред Административен съд — София-град. Подава се чрез самата КЗЛД. Спира изпълнението при определени условия.
Размери на глобите
По чл. 83 GDPR глобите са до EUR 20 милиона или 4% от глобалния годишен оборот (което е по-високо) за тежки нарушения, и до EUR 10 милиона или 2% за по-леки.
Размерът зависи от тежестта и продължителността на нарушението, броя засегнати субекти, степента на отговорност, предишни нарушения и сътрудничеството с комисията (чл. 83, ал. 2 GDPR). На практика КЗЛД е налагала глоби от единици хиляди левове до 5 100 000 лв. (приблизително EUR 2 600 000 — наложена на НАП за теча от 2019 г.). Прочетете нашия подробен анализ на реални GDPR глоби в България.
Чеклист „КЗЛД готовност"
Минете през този чеклист преди проверката — не след нея. Готовността превръща потенциална глоба в препоръка за подобрение.
- Актуален регистър на дейностите по обработване (RoPA) — последно тримесечие
- Текуща политика за поверителност + предходни версии за 3 години
- Регистър на договорите за обработване с всички доставчици с достъп до лични данни
- Оценки на въздействието (DPIA) за високорискови обработки по чл. 35 GDPR
- Писмена процедура за искания на субекти + регистър на постъпилите искания
- Регистър на нарушенията на сигурността с оценка на риска
- Заповед за назначаване на длъжностно лице по защита на данните + уведомление до КЗЛД
- Политика за сигурност на информацията и записи за обучение на служителите
- Регистър на трансфери на лични данни извън ЕС/ЕИП с правни основания
- Писмен план за реакция при КЗЛД проверка с разпределени роли (CEO, юрисконсулт, ДЛЗД, ИТ)
- Преддоговорно споразумение с външен правен съветник по GDPR — готов за активиране
- Шаблон за вътрешна заповед за документална замразяваща мярка
- Годишен вътрешен GDPR одит и симулация на проверка
Често задавани въпроси
Какви са основанията за КЗЛД да извърши проверка на бизнеса ми?
По чл. 12, ал. 4 от Закона за защита на личните данни проверка се извършва в три случая: по инициатива на самата комисия (планова или внезапна), по жалба на заинтересовано лице (например бивш служител или клиент) или след подаден сигнал. Проверките са най-чести след получена жалба — според годишния отчет на КЗЛД за 2024 г. постъпили са прогнозно над 1 000 жалби, като водещ сектор е видеонаблюдението.
С какви документи се легитимират проверяващите от КЗЛД?
По чл. 12, ал. 5 от ЗЗЛД проверяващите са длъжни да се легитимират със служебна карта и заповед на председателя на комисията за конкретната проверка. Преди да допуснете когото и да било в офиса си, поискайте да видите и двата документа. Ако заповедта липсва или не идентифицира конкретно проверяващите лица, имате право да откажете достъп до момента на представянето им.
Имам ли право да присъства адвокат по време на проверката?
Да. Правото на правна защита е общ принцип на административното производство по Административнопроцесуалния кодекс. Препоръчваме веднага да поканите вашия юрисконсулт или външен правен съветник. Ако външен адвокат има нужда от време да пристигне, можете учтиво да помолите проверяващите да изчакат разумен срок (обикновено 1-2 часа) — това не е възпрепятстване, а упражняване на право на защита.
Длъжен ли съм да предоставя ВСИЧКИ документи, които КЗЛД поиска?
Принципно — да, по чл. 12а, ал. 1 от ЗЗЛД сте длъжни да оказвате съдействие. НО по чл. 12а, ал. 2 от ЗЗЛД администраторът отказва достъп до информация, защитена като професионална тайна или друга законова тайна. Класифицирана информация се предоставя само по реда на Закона за защита на класифицираната информация (чл. 12а, ал. 3 ЗЗЛД). Адвокатска тайна, банкова тайна, медицинска тайна и търговска тайна също имат самостоятелна защита.
Какъв е срокът за обжалване на решение на КЗЛД?
По чл. 38, ал. 8 от ЗЗЛД решенията на КЗЛД подлежат на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването им. Жалбата се подава до Административен съд — София-град чрез самата КЗЛД. Препоръчваме да започнете подготовка на жалбата веднага след получаване на решението — 14 дни е кратък срок за качествена правна позиция.
Какви глоби може да наложи КЗЛД?
По чл. 83 от Регламент (ЕС) 2016/679 глобите достигат до EUR 20 милиона или 4% от глобалния годишен оборот (което е по-високо) за тежки нарушения, и до EUR 10 милиона или 2% за по-леки. На практика КЗЛД е налагала глоби от единици хиляди левове до 5,1 милиона лева (приблизително EUR 2,6 милиона — наложена на НАП за теча от 2019 г.). Размерът зависи от тежестта, продължителността, броя засегнати субекти и сътрудничеството с комисията.
Какво се случва след констативния акт?
По чл. 12, ал. 7 от ЗЗЛД проверката завършва с констативен акт — това е първият документ. Ако е установено нарушение, се образува административнонаказателно производство (чл. 12, ал. 8) — следва акт за установяване на нарушение по ЗАНН, при който имате право на писмени възражения. След това КЗЛД издава решение, което подлежи на обжалване по АПК в 14-дневен срок. Целият процес може да отнеме от 6 месеца до 2 години в зависимост от сложността.
Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретно подпомагане при проверка от КЗЛД, изготвяне на план за реакция или защита в производство, моля свържете се с нас.
КЗЛД проверка — спешна правна защита и подготовка
Помагаме на банки, застрахователи, телекоми, държавни органи и онлайн платформи да се справят с проверки от КЗЛД — от спешна реакция до пълна подготовка преди контрола да дойде.
- Спешна реакция при получено уведомление за проверка (24/7)
- Изготвяне на пакет „КЗЛД готовност" — RoPA, политики, процедури
- Преглед на договори за обработване с критични доставчици
- Симулация на проверка с екипа ви — как да се държат служителите
- Защита в административнонаказателно производство по ЗАНН
- Обжалване по АПК пред Административен съд — София-град
- Стратегическо договаряне на размер на глоба и принудителни мерки
Получавайте нови анализи на GDPR съдебна и регулаторна практика
Свежи разбори на проверки, решения на КЗЛД, СЕС и важни корпоративни казуси. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова представляват над 90 компании в България — банки, застрахователи, телекоми, държавни органи и онлайн платформи — пред КЗЛД и Административен съд — София-град. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни. Заедно водят над 50 успешни производства по обжалване на решения на КЗЛД.