GDPR HR & КОРПОРАТИВНО Публикувано: 24 април 2026 14 мин четене

Мониторинг на служители за HR директори — Microsoft 365, GPS, мейли и какво позволява законът

След пандемията и масовото преминаване към дистанционна работа, инструментите за наблюдение на служители станаха стандартна корпоративна практика — Microsoft 365 Productivity Score, GPS на служебни коли, мониторинг на имейл комуникация. Но колко от тези инструменти са законни в България? Отговорът е по-ограничителен, отколкото повечето HR директори очакват. Решенията на ЕСПЧ Bărbulescu и López Ribalda, насоките на ЕКЗД и позициите на КЗЛД — заедно с чл. 6 GDPR (легитимен интерес и пропорционалност) — определят строги граници. Това ръководство дава практически анализ за HR директори, юрисконсулти и длъжностни лица по защита на данните.

Съдържание

  1. Защо темата гори сега — дистанционна работа и AI
  2. Правна рамка — четирите източника
  3. 6-факторният тест на ЕСПЧ (Bărbulescu)
  4. Защо съгласието на служителите НЕ работи
  5. Microsoft 365 Productivity Score — какво е разрешено
  6. Видеонаблюдение на работното място
  7. GPS на служебни автомобили
  8. Мониторинг на имейл и електронни комуникации
  9. Чеклист за HR директора
  10. Често задавани въпроси

Защо темата гори сега — дистанционна работа и AI

След 2020 г. границата между „работна среда" и „личен живот" се размиха. Служителите работят от дома, използват служебни лаптопи за лични задачи и обратно. Работодателите реагираха с по-агресивни инструменти за наблюдение — от софтуер за проследяване на работното време до системи с изкуствен интелект за оценка на производителността.

Резултатът: експлозия на жалби до КЗЛД от служители. Според годишния отчет на КЗЛД за 2024 г., видеонаблюдението остава водещият сектор по брой жалби, като значителна част са от служители срещу работодатели.

Цената на грешката

Глобите по чл. 83 GDPR за неправомерно обработване на данни на служители достигат до EUR 20 милиона или 4% от глобалния годишен оборот. Освен това: уволненият служител има право на обезщетение по чл. 82 GDPR; при незаконно прекратяване по КТ служителят има право на възстановяване на работа и на обезщетение за пропуснати ползи. Един неправомерно мониториран служител може да струва на компанията над EUR 100 000 в комбиниран риск.

Правна рамка — четирите източника

Мониторингът на служители се регулира от четири правни източника, които работят паралелно:

01

GDPR (Регламент 2016/679)

Чл. 6 (правни основания), чл. 9 (специални категории — здравни данни, биометрия), чл. 35 (DPIA при висок риск), чл. 88 (обработване в трудови отношения).

02

ЗЗЛД и Кодекс на труда

Видеонаблюдението на работното място няма самостоятелна разпоредба в Кодекса на труда — основанието се извежда от чл. 6 GDPR (обикновено легитимен интерес по б. „е“) и чл. 5 GDPR (минимизация и пропорционалност), при задължителна оценка на въздействието по чл. 35 GDPR съгласно Списъка на видовете операции по обработване, за които се изисква ОВЗД (КЗЛД, обн. ДВ бр. 14/2019). Чл. 25к ЗЗЛД урежда отделен, несвързан въпрос: 6-месечния срок за съхранение на документи от подбора на персонал.

03

ЕКПЧ — практика на ЕСПЧ

Чл. 8 ЕКПЧ (право на зачитане на личния и семейния живот). Решения на ЕСПЧ: Bărbulescu срещу Румъния (жалба № 61496/08, реш. на Голямата камара от 5.09.2017 г.); López Ribalda и др. срещу Испания (жалби № 1874/13 и 8567/13, реш. на Голямата камара от 17.10.2019 г.); Köpke срещу Германия (жалба № 420/07, решение по допустимостта от 5.10.2010 г.) — формират европейския стандарт.

04

Насоки на ЕКЗД (EDPB) и на Работната група по чл. 29

Становище 2/2017 на Работната група по чл. 29 относно обработването на данни на работното място (WP249) — подробни правила за 9 категории мониторинг. Насоки 3/2019 на EDPB за видеонаблюдение.

6-факторният тест на ЕСПЧ (Bărbulescu)

Решението на Голямата камара на ЕСПЧ по делото Bărbulescu срещу Румъния (жалба № 61496/08, 5.09.2017 г.) постави фундаменталния тест за всеки инструмент за мониторинг. Делото касаеше румънски служител, уволнен заради лични съобщения по служебен Yahoo Messenger акаунт. ЕСПЧ установи нарушение на чл. 8 ЕКПЧ.

Преди да внедрите кой да е инструмент за мониторинг, трябва да проверите шестте фактора:

  1. Уведомяване — Дали и как е уведомен служителят за естеството на мониторинга? Изричното, ясно и предварително уведомяване е почти задължителна предпоставка.
  2. Обхват и интрузия — Колко интрузивен е мониторингът? Чете ли само метаданни (време, обем) или съдържание? Постоянен ли е или таргетиран?
  3. Обоснованост — Какъв е легитимният интерес на работодателя? Конкретно посочен и пропорционален ли е?
  4. По-малко интрузивна алтернатива — Възможна ли е алтернатива с по-малка намеса в правата на служителя? (Технически контроли, обучение, политика и т.н.)
  5. Последици за служителя — Какво следва от мониторинга? Уволнение е тежка последица, която изисква по-висока пропорционалност.
  6. Процесуални гаранции — Какви защитни механизми са въведени? (Преглед от длъжностно лице, ограничен достъп, право на обяснение.)

Това не е препоръка — това е тест от ЕСПЧ

Шестте фактора не са препоръка. Те са правен тест, който всеки национален съд (включително български) трябва да прилага. Ако внедрите инструмент без документиран преглед на тези шест фактора и съответната оценка на въздействието по чл. 35 GDPR — изложени сте както пред КЗЛД, така и пред български съдилища при иск от служител по чл. 82 GDPR.

Защо съгласието на служителите НЕ работи

Една от най-честите HR грешки: „Ще накараме служителите да подпишат съгласие за мониторинг — и ще сме защитени." Не работи.

Работната група по чл. 29 (предшественик на EDPB) в Становище 2/2017 (WP249) изрично постанови:

„Служителите почти никога не са в позиция да дадат, откажат или оттеглят свободно съгласието си — поради зависимостта, която произтича от трудовото правоотношение."
— Работната група по чл. 29, WP249, юни 2017 г.

Това означава, че съгласието по чл. 6, ал. 1, б. „а" GDPR не е валидно правно основание в трудово правоотношение в почти всички случаи. Алтернативите:

За пълен анализ на правните основания, прочетете нашия материал за легитимния интерес и теста тест за легитимен интерес.

Microsoft 365 Productivity Score — какво е разрешено

През октомври 2020 г. Microsoft пусна функция „Productivity Score" в Office/Microsoft 365 — оценка от 100 точки, измерваща активността на всеки служител в комуникация, срещи, сътрудничество и мобилност. По данни на международни анализатори (Computer Weekly, Privacy International), инструментът даваше на администраторите достъп до над 70 показателя и детайлни данни за всеки служител, включително брой имейли, време в срещи и активност извън работно време.

Реакцията: вълна от критики през ноември-декември 2020 г. от Privacy International, журналисти и експерти по защита на данните. Microsoft бързо премахна индивидуалните идентификатори — днес Productivity Score показва само агрегирани данни на ниво организация.

Грешка

„Активирам индивидуалните метрики — служителите не разбират"

Дори ако технически е възможно да се включат индивидуални идентификатори (чрез комбиниране с други инструменти, персонализирани скриптове), това е незаконно по GDPR без отделна оценка на въздействието и без ясна, пропорционална обосновка. КЗЛД и съдилищата няма да приемат „за повишаване на производителността" като легитимен интерес.

Правилно

Какво е разрешено

Агрегирани данни на ниво организация (брой обаждания, общо време в срещи) — допустими за анализ на работните процеси и оптимизация. Никога свързани с индивидуални имена, никога за оценка на изпълнението на конкретен служител. Документирайте политиката, направете DPIA, информирайте екипа.

Видеонаблюдение на работното място

В България видеонаблюдението на работното място се основава на чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес на работодателя) във връзка с чл. 5, ал. 1, б. „в“ GDPR (минимизация и пропорционалност), а допустимостта се извежда последователно от поредица становища на КЗЛД, насоките на ЕКЗД (Guidelines 3/2019 за видеонаблюдение) и практиката на ЕСПЧ. Основното правило: видеонаблюдението е допустимо само ако е необходимо — тоест когато целта не може да се постигне с други, по-малко интрузивни средства.

Какво е допустимо

Какво е НЕдопустимо (КЗЛД позиция)

Скрито видеонаблюдение — допустимо ли е?

В López Ribalda and Others v Spain (Голяма камара на ЕСПЧ, 17 октомври 2019 г., 14 на 3 гласа) Съдът призна, че скрито видеонаблюдение в работно помещение може да бъде допустимо — но само в строго ограничени случаи: при обосновано подозрение за престъпление (в случая — кражби в супермаркет), кратък период, ограничен обхват, и липса на по-малко интрузивна алтернатива.

López Ribalda не е „зелена светлина"

Решението НЕ означава, че работодателят може да слага скрити камери „за всеки случай". Стандартът остава много висок — необходимо е документирано подозрение за конкретно престъпление, ограничен период, преглед на алтернативите. Преди подобно действие — задължително юридическа консултация.

GPS на служебни автомобили

GPS на служебни коли е законен — но при стриктни условия. Работната група по чл. 29 в Становище 2/2017 (WP249) дава ясни насоки:

Допустимо Недопустимо
Проследяване на стоки/транспорт по логистична верига Постоянно проследяване извън работно време
Оптимизация на маршрути Проследяване в личния живот при разрешено лично ползване
Доказване на работно време при работа на терен Записване на скорост, поведение на шофиране (за дисциплинарни цели)
Сигурност на ценен товар Споделяне на местоположение с трети лица без основание

Задължителни мерки: писмено информиране на служителя; ако автомобилът се ползва и за лични цели — техническа възможност за изключване на устройството в извънработно време; ясно ограничение на достъпа до данните; срок на съхранение пропорционален на целта (типично до 6 месеца).

Мониторинг на имейл и електронни комуникации

Bărbulescu v Romania установи фундаменталния стандарт: работодателят не може да чете лични съобщения, дори ако са изпратени през служебни системи, без ясно предварително уведомление и обоснован легитимен интерес.

Препоръчителна практика:

Чеклист за HR директора

Преди внедряване на каквато и да е система за мониторинг на служители:

Често задавани въпроси

Може ли работодател да използва съгласие на служителите като правно основание за мониторинг?

По правило — не. Според Работната група по чл. 29 — Становище 2/2017 (WP249) служителите почти никога не са в позиция да дадат свободно съгласие, поради зависимостта от работодателя. Съгласието може да бъде оттеглено и това би оставило обработването без правно основание. Препоръчителните основания са: законово задължение (трудовото законодателство), легитимен интерес с тест за пропорционалност, или изпълнение на договор за конкретни цели.

Какво представлява 6-факторният тест на ЕСПЧ за мониторинг на служители?

В Bărbulescu v Romania (Голяма камара, 5 септември 2017 г.) ЕСПЧ установи 6 фактора за оценка на пропорционалността: (1) дали служителят е бил уведомен; (2) обхватът и степента на интрузия; (3) обоснованост на мониторинга; (4) възможност за по-малко интрузивен подход; (5) последиците за служителя; (6) процесуални гаранции. Всеки фактор се оценява поотделно.

Може ли HR директор да използва Microsoft 365 Productivity Score за оценка на служителите?

Не, ако е свързан с конкретен служител. След критиките през 2020 г. Microsoft премахна потребителските имена от Productivity Score. Сега инструментът показва само агрегирани данни на ниво организация. Ако HR директор активира индивидуални метрики или комбинира с други инструменти за идентифициране на служители — това е незаконно по GDPR без отделна оценка на въздействието и юридически анализ.

Кога е законно видеонаблюдение на работното място в България?

Видеонаблюдението на работното място се допуска въз основа на чл. 6, ал. 1, б. „е" GDPR (легитимен интерес на работодателя) във връзка с принципа на пропорционалност по чл. 5, ал. 1, б. „в" GDPR. КЗЛД тълкува необходимостта като „когато целта не може да се постигне с други, по-малко интрузивни средства". Допустими цели: сигурност на сградата, защита на имущество, специфични регулаторни изисквания (фармация, химическа индустрия, ядрена енергетика). Незаконни са: оценка на трудовото изпълнение, измерване на производителността, контрол на работното време като основна цел. Видеокамери в санитарни и почивни помещения са категорично забранени.

Може ли работодател да следи GPS-ите на служебните автомобили?

Да, но при стриктни условия. По Работната група по чл. 29, Становище 2/2017 GPS на служебни коли е допустимо за: проследяване на стоки/транспорт, оптимизация на маршрути, доказване на работно време при работа на терен. Задължително: писмено информиране на служителя, политика за изключване на устройството в извънработно време, забрана на проследяване в личния живот.

Може ли работодател да чете личните мейли на служители?

Не — дори ако са изпратени през служебен имейл. Bărbulescu v Romania категорично установи, че работодателят НЕ може да чете лични съобщения, дори да са на служебни системи, без ясно предварително уведомление и обоснован легитимен интерес. Препоръчителна практика: ясна политика, която различава служебни от лични съобщения; технически контроли; при нужда от разследване — пропорционална и таргетирана проверка с участие на длъжностно лице по защита на данните.

Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретно подпомагане при внедряване на инструмент за мониторинг, изготвяне на DPIA или защита при иск от служител, моля свържете се с нас.

Внедрявате нов инструмент за мониторинг? Получавате жалба от служител?

Помагаме на HR директори, юрисконсулти и екипи по съответствие да внедрят инструменти за мониторинг законно — преди КЗЛД или съд да повдигне въпрос.

Заявете консултация →

Свързани статии

GDPR · 10 мин

Проследяване на служители — къде свършва правото на работодателя

Базов анализ за запис на натиснатите клавиши (keylogging), GPS, скрийншотове и границите на мониторинга.
GDPR · 11 мин

Видеонаблюдение и GDPR — пълно ръководство

Кога е законно, какви документи са нужни, как се уведомяват засегнатите лица.
GDPR · 12 мин

Легитимен интерес — кога и как да го приложите (тест за легитимен интерес (LIA — Legitimate Interest Assessment))

Тристепенният тест по Насоки 1/2024 на EDPB — приложен и за HR контекст.
GDPR · 13 мин

КЗЛД проверка — какво да направите в първите часове

Когато служител подаде жалба за мониторинг — какво следва и как се защитавате.
Сподели:

Получавайте нови анализи на корпоративна GDPR практика

Свежи разбори за HR директори, юрисконсулти и DPO в големи компании. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Йордан Чолаков
Адв. Йордан Чолаков и адв. Десислава Димитрова
Dimitrova, Cholakov & Partners · Innovires

Адв. Чолаков и адв. Димитрова консултират HR директори и юрисконсулти на над 90 компании в България — банки, телекоми, държавни органи, технологични фирми — за внедряване на инструменти за мониторинг и съответствие с практиката на ЕСПЧ, КЗЛД и Кодекса на труда.