Нов шаблон на EDPB за оценка на въздействието (DPIA) — какво се променя за българския бизнес и какво да направите до 9 юни 2026 г.
На 14 април 2026 г. Европейският комитет по защита на данните (EDPB) прие първия хармонизиран шаблон за оценка на въздействието върху защитата на данните по чл. 35 GDPR. Шаблонът е отворен за обществена консултация до 9 юни 2026 г. и въвежда едно ключово нововъведение, което променя начина, по който мислим за риска: разделянето между проектен риск (заложен в самото обработване) и инцидентен риск (от външни и вътрешни заплахи). Ето пълен анализ — структура на шаблона, разлики от досегашната практика на КЗЛД, и какво да направите още сега.
Съдържание
- Защо EDPB прие шаблона точно сега
- Структура на шаблона — шест секции
- Ключово нововъведение: проектен риск срещу инцидентен риск
- Модел RACI за екипа на оценката
- Какво се променя в практиката на КЗЛД
- Кои български организации трябва да обърнат внимание
- Връзка с оценката по AI Act (FRIA)
- Чеклист за миграция към новия шаблон
- Как да участвате в обществената консултация
- Често задавани въпроси
Защо EDPB прие шаблона точно сега
Оценката на въздействието върху защитата на данните (DPIA) е основополагащо изискване по чл. 35 GDPR от 25 май 2018 г. — но почти осем години по-късно практиката в ЕС остава фрагментирана. Различни надзорни органи приеха различни шаблони, методологии и нива на детайл. Резултатът: организации, действащи в няколко държави членки, са принудени да поддържат паралелни DPIA-и, а фирмените оценки често не съдържат елементите, които конкретен надзорен орган очаква.
EDPB реагира с хармонизиран, общ шаблон. Основните мотиви:
- Хармонизация — еднакъв минимален стандарт в целия ЕС
- По-лесно демонстриране на отчетност при проверки и инспекции
- Структурирана документация като защитен инструмент при искове за обезщетение
- Подготовка за интегриране с оценките по AI Act (FRIA)
- Натиск от Digital Omnibus, който вероятно ще донесе и облекчения за малките и средните предприятия
Защо това има пряко значение за България
В България DPIA задълженията са регулирани с Решение № 1/2019 на КЗЛД, което определя 14 типа операции, за които DPIA е задължителна — от мащабно биометрично разпознаване до видеонаблюдение в работни помещения. Новият шаблон на EDPB ще се прилага паралелно с този списък. Очаква се КЗЛД да приеме шаблона като основен или базов формат, към който да приведе националните си насоки. Подготовката още сега намалява риска при бъдещи проверки.
Структура на шаблона — шест секции
Шаблонът е организиран в шест последователни секции (номерирани от 0 до 5), всяка от които покрива определен етап от процеса на оценка на риска.
Технически лист на DPIA
Базова информация: заглавие, версия, дата, екип (с роли по модела RACI), идентификация на администратора, обработващите и подобработващите, връзка с длъжностното лице по защита на данните, формално одобрение.
Описание на обработването
Категории данни, цели, функционални средства, поддържащи системи, международни трансфери (с правни основания), процедури за изтриване и срокове за съхранение.
Необходимост и пропорционалност
Оценка дали обработването е необходимо за заявената цел, дали съществуват по-малко инвазивни алтернативи, и съответствие с ключовите принципи по чл. 5 GDPR — особено минимизация, ограничаване на целта и точност.
Оценка на риска
Сърцевината на новия шаблон. Въвежда се методологическо разграничение между проектен риск (риск, заложен в самата структура на обработването) и инцидентен риск (риск от външни и вътрешни заплахи). Подробен анализ в следващата секция.
Мерки за смекчаване
Технически и организационни мерки за намаляване на идентифицирания риск. Всяка мярка получава отговорно лице, срок за внедряване и индикатор за ефективност. Това превръща мерките от пожелания в проследими ангажименти.
Заключения
Окончателен извод дали остатъчният риск е приемлив или дали се изисква предварителна консултация с надзорния орган по чл. 36 GDPR. Включва се и план за периодичен преглед.
Шаблонът е придружен от обяснителна нотка, която разяснява ключовите концепции на достъпен език и отговаря на често срещани въпроси. И двата документа са публикувани на сайта на EDPB.
Ключово нововъведение: проектен риск срещу инцидентен риск
До сега повечето методологии за оценка на риска по GDPR разглеждаха риска като еднообразна категория — обикновено вероятност умножена по тежест. Новият шаблон въвежда фундаментално разграничение, което променя начина, по който се мисли за смекчаването.
| Аспект | Проектен риск | Инцидентен риск |
|---|---|---|
| Източник | Заложен в самата структура на обработването | Произтича от външни и вътрешни заплахи |
| Пример | Обработване на чувствителни данни без анонимизация | Кибератака, кражба на лаптоп, грешка на служител |
| Смекчаване | Преструктуриране на обработването, минимизация, псевдонимизация | Технически защити, политики за достъп, обучение, кибер защита |
| Управление | На етап проектиране (privacy by design) | В оперативен живот (incident response) |
| Проверка | Архитектурен преглед, юридически анализ | Пенетрационно тестване, симулации, одити |
Защо това разделение е важно
В досегашната практика често виждаме DPIA-и, в които всички рискове са третирани еднакво — и съответно смекчаващите мерки се концентрират в кибер защита и политики за достъп. Това е логично за инцидентния риск, но не решава проектния. Ако дадена обработка е заложена с прекомерно събиране на данни, никаква кибер защита няма да компенсира първоначалното нарушение на принципа на минимизация. Новият шаблон принуждава DPIA екипите да адресират двата типа поотделно — и това дава много по-точен план за действие.
Модел RACI за екипа на оценката
В Секция 0 шаблонът въвежда задължителна таблица за разпределение на ролите по модел RACI — общоприета методология за управление на проекти, която сега се прилага и към процеса на DPIA.
Responsible — Изпълнител
Лицето или екипът, който реално извършва оценката. Обикновено: ИТ архитект, бизнес анализатор, юрисконсулт.
Accountable — Носител на отговорност
Лицето с крайна отговорност за DPIA. Обикновено: ръководител на бизнес единица или директор. Винаги един човек за всяка задача.
Consulted — Консултиран
Лица или функции, чието мнение е задължително преди финализиране. Обикновено: длъжностно лице по защита на данните, юрисконсулт, информационна сигурност.
Informed — Информиран
Лица или функции, които трябва да знаят за резултата (но не участват в изготвянето). Обикновено: висш мениджмънт, други бизнес единици, понякога — представители на субектите на данни.
Внимание: ролята на длъжностното лице по защита на данните
По чл. 35, ал. 2 GDPR администраторът е длъжен да поиска становището на длъжностното лице по защита на данните при изготвяне на DPIA. В модела RACI това означава, че длъжностното лице задължително е Consulted — но в общия случай не е Responsible (то не е извършителят на оценката). Тази позиция предпазва длъжностното лице от конфликт на интереси: то преглежда и съветва, не изготвя самостоятелно. Грешката да възложите DPIA изцяло на длъжностното лице е сериозна.
Какво се променя в практиката на КЗЛД
Българската КЗЛД през 2019 г. прие Решение № 1/2019 със списък на 14 вида операции, за които DPIA е задължителна. Този списък остава в сила и след новия шаблон на EDPB. Следните типове обработки задължително изискват DPIA в България:
- Мащабно обработване на биометрични данни за уникална идентификация (лицево разпознаване, отпечатъци, гласово разпознаване)
- Обработване на генетични данни с цел профилиране
- Обработване на данни за местоположение с цел профилиране със значителни последици за субекта
- Систематично мащабно видеонаблюдение на публично достъпна площ
- Видеонаблюдение в работни помещения
- Обработване на данни на деца за маркетингови цели или за предлагане на услуги директно към тях
- Обработване на данни за здравето в големи мащаби (болници, клинични изпитвания)
- Систематично проследяване на служители (мониторинг на електронна поща, активност на компютри)
- Кредитен скоринг и оценка на платежоспособност
- Иновативни технологии с потенциален висок риск (AI системи, блокчейн при чувствителни данни)
За пълния списък виж нашата статия Оценка на въздействието върху защитата на данните (DPIA).
Очаквана позиция на КЗЛД
След приключване на консултацията на 9 юни 2026 г., се очаква КЗЛД да:
- Преведе шаблона на български език
- Адаптира го към специфичния списък по Решение № 1/2019
- Издаде указание за прилагане на шаблона в България
- Включи го в проверките и одитите си през 2027 г.
Препоръчваме да не чакате тези стъпки. Адаптирайте процедурите си още сега — това ще направи прехода плавен, а не реактивен.
Кои български организации трябва да обърнат внимание
Шаблонът е особено релевантен за индустрии със системно високорисково обработване. Според опита ни от практиката и списъка на КЗЛД, следните сектори трябва да започнат адаптация в първите 60 дни:
| Сектор | Типични високорискови операции | Спешност |
|---|---|---|
| Банки и финансови | Кредитен скоринг, мониторинг на транзакции, борба с пране на пари, профилиране | Висока |
| Застрахователи | Оценка на риска, обработка на искове, медицински данни | Висока |
| Здравни заведения | Електронни здравни досиета, телемедицина, генетични тестове | Висока |
| Телекоми | Данни за местоположение, метаданни на комуникации, поведенческо профилиране | Висока |
| Онлайн платформи | Поведенческо проследяване, рекомандации, маркетинг към деца | Висока |
| Държавни органи | Биометрични регистри, видеонаблюдение, обработка на чувствителни данни | Висока |
| Образователни институции | Електронни дневници, видеонаблюдение в училища, данни на непълнолетни | Средна |
| HR и подбор на персонал | AI системи за оценка на кандидати, мониторинг на служители | Средна |
Връзка с оценката по AI Act (FRIA)
От 2 август 2026 г. в сила влизат правилата за високорискови AI системи по Регламент (ЕС) 2024/1689 (AI Act). Един от ключовите инструменти е оценката на въздействието върху основните права (FRIA — Fundamental Rights Impact Assessment) по чл. 27 на регламента.
Това е отделен инструмент от DPIA, но има значително припокриване:
| Аспект | DPIA (чл. 35 GDPR) | FRIA (чл. 27 AI Act) |
|---|---|---|
| Обхват на риска | Само рискове за защита на личните данни | Всички основни права (недискриминация, достъп до правосъдие, свобода на изразяване) |
| Кога е задължителна | При висок риск за правата на субектите | За високорискови AI системи по списъка в Анекс III |
| Кой я прави | Администраторът | Деплойерът (този, който използва системата) — обикновено публични органи и определени частни |
| Връзка | Независима | Може да се позове на DPIA — чл. 27, ал. 4 AI Act |
Препоръка: интегриран процес, отделни заключения
Най-ефективният подход е един екип, един intake процес, едно интервю със заинтересованите страни — но два отделни заключителни документа. Това спестява до 60% от времето за изготвяне, без да дублира документация. За повече информация виж нашите статии AI Act и GDPR — подготовка за 2026 г. и AI и GDPR за бизнеса в България.
Чеклист за миграция към новия шаблон
Следните стъпки преобразуват вашата текуща практика в съответствие с новия шаблон на EDPB — без излишно дублиране:
- Свалете шаблона и обяснителната нотка от сайта на EDPB
- Преведете шаблона на български (ако ще се използва от непанскоговорящ екип)
- Сравнете секциите със съществуващата си методология за DPIA — идентифицирайте пропуските
- Разделете риска в съществуващите DPIA-и на проектен и инцидентен — оценете дали мерките адресират и двата вида
- Въведете таблица RACI за всяка предстояща DPIA — задайте ясни роли
- Обучете екипа за разликата между проектен и инцидентен риск (вътрешно обучение, 2 часа)
- Адаптирайте регистъра на дейностите по обработване (RoPA) така, че да включва препратки към актуалните DPIA-и
- За високорискови AI системи — създайте интегриран процес DPIA + FRIA
- Подгответе шаблон за обосновка дали е необходима предварителна консултация с КЗЛД (чл. 36 GDPR)
- Планирайте годишен преглед на всички DPIA-и (нов шаблон ⇒ нова дисциплина за актуализация)
- Документирайте перехода — това е доказателство за отчетност при бъдещи проверки
Как да участвате в обществената консултация
Обществената консултация е активна от 14 април до 9 юни 2026 г. Всеки заинтересован има право да изпрати коментари — администратори, обработващи, длъжностни лица по защита на данните, асоциации, академична общност, граждани. EDPB обикновено публикува всички получени коментари след затваряне на консултацията.
Прегледайте шаблона
Свалете шаблона и обяснителната нотка от сайта на EDPB. Прочетете и двата документа в контекста на собствената си практика.
Идентифицирайте проблемните точки
Запишете секциите, които са неясни, прекомерно общи или не работят за специфичния ви сектор. Дайте конкретен пример за всяка.
Подгответе коментар
Структурирайте коментара по секция и страница, дайте обосновка и предложение за подобрение. Английски (или друг официален език на ЕС).
Изпратете до 9 юни 2026
Подайте чрез официалната онлайн платформа на EDPB. Съхранете копие за вашите архиви и евентуално следваща публикация на анализа.
Координиран български глас
Препоръчваме на български кантори, асоциации и DPO мрежи да координират коментарите си — например чрез подаване на общ коментар през КЗЛД, която след това го предава към EDPB. Координиран глас от една държава членка има по-голяма тежест от 30 разпръснати индивидуални коментари. Ако имате интерес да се присъедините към такава инициатива, свържете се с нас.
Често задавани въпроси
Задължителен ли е новият шаблон на EDPB за DPIA?
Не. Шаблонът е препоръчителен, не задължителен. Администраторите могат да продължат да използват собствените си методологии за оценка на въздействието. Очаква се обаче националните надзорни органи (включително КЗЛД) да приемат шаблона като свой основен или базов формат, към който да привеждат националните насоки. Препоръчваме адаптация още сега — това намалява риска при бъдещи проверки и осигурява по-лесно сравнение между организациите.
Кога влиза в сила и до кога е обществената консултация?
EDPB прие шаблона на 14 април 2026 г. Обществената консултация е открита до 9 юни 2026 г. През този период всеки заинтересован — администратор, обработващ, длъжностно лице по защита на данните, асоциация, академична общност — може да изпрати коментари до EDPB. След консултацията Комитетът ще преразгледа документа и националните органи ще започнат стъпки за официално приемане.
Какво ново има в сравнение с досегашните методологии за DPIA?
Най-важното нововъведение е разделянето на риска на два вида: проектен риск (заложен в самата структура на обработването) и инцидентен риск (произтичащ от външни и вътрешни заплахи). Освен това шаблонът въвежда модела RACI за разпределение на ролите в екипа на DPIA, изисква изрично документиране на международните трансфери и въвежда стандартизирана секция за крайни заключения и нужда от предварителна консултация с надзорния орган.
Трябва ли българските организации да преработят съществуващите си DPIA-и?
Не са длъжни — съществуващите DPIA-и остават валидни, докато описват реално настоящо обработване. Препоръчваме обаче преглед на всички DPIA-и за дейности с висок риск (по списъка на КЗЛД от 2019 г.), за да се идентифицират пропуски, които новият шаблон ще направи видими: липсваща таблица RACI, неразграничен проектен и инцидентен риск, нестандартизирани мерки за смекчаване. При следващата актуализация на DPIA преминете към новия шаблон.
Кои организации в България трябва да обърнат най-голямо внимание?
Шаблонът е особено релевантен за индустрии със системно високорисково обработване: банки и финансови институции, застрахователи, здравни заведения, телекомуникационни оператори, онлайн платформи с профилиране, организации с мащабно видеонаблюдение, държавни органи с биометрични данни, образователни институции с електронни дневници. Списъкът на КЗЛД от 2019 г. определя 14 типа операции — за всички тях DPIA е задължителна.
Как да изпратя коментар по обществената консултация?
EDPB приема коментари през официалната си онлайн платформа за обществени консултации. Коментарите трябва да бъдат подадени до 9 юни 2026 г. на английски (или един от другите официални езици на ЕС), да бъдат конкретни (с препратка към секция и страница на шаблона) и придружени с обосновка. Кантори, асоциации и мрежи на длъжностни лица по защита на данните в България могат да консолидират коментарите си — препоръчваме координация чрез КЗЛД, която ще ги препрати към EDPB.
Замества ли шаблонът оценката за въздействие върху основните права (FRIA) по AI Act?
Не. DPIA по чл. 35 GDPR и FRIA по чл. 27 AI Act са различни инструменти с различен обхват — DPIA покрива само рисковете за защита на личните данни, докато FRIA обхваща всички основни права (недискриминация, човешко достойнство, достъп до правосъдие). Чл. 27, ал. 4 AI Act обаче изрично позволява DPIA да се ползва като основа за FRIA. Препоръчваме интегриран процес, в който едно интервю и един екип покриват и двете оценки — но с отделни заключителни документи.
Тази статия отразява правното положение към 23 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретно подпомагане при адаптация на вашия процес за DPIA към новия шаблон или за подаване на координиран коментар по консултацията, моля свържете се с нас.
Искате готова DPIA по новия шаблон на EDPB?
Помагаме на банки, застрахователи, здравни заведения, телекоми и държавни органи да адаптират процеса си за оценка на въздействието и да изготвят DPIA-и, готови за проверка от КЗЛД и съд.
- Преглед на съществуващи DPIA-и срещу новия шаблон
- Изготвяне на нови DPIA-и по структурата от шест секции
- Разделение на проектен и инцидентен риск с конкретни мерки
- Изграждане на таблица RACI и разпределение на роли
- Интегриран процес DPIA + FRIA за високорискови AI системи
- Подготовка за предварителна консултация с КЗЛД (чл. 36 GDPR)
Получавайте нови анализи на GDPR практика и насоки на EDPB
Свежи разбори на нови шаблони, насоки и решения с практически изводи. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират над 90 компании за пълно GDPR съответствие. Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни. Заедно подготвят оценки на въздействието за банки, застрахователи, здравни заведения и публични органи в България.