Обезщетение при нарушение на GDPR — как да получите компенсация
Член 82 от GDPR дава на всяко лице правото да получи обезщетение, когато личните му данни са обработени в нарушение на Регламента. В тази статия разглеждаме ключовите решения на Съда на ЕС, практиката на българските съдилища (включително делата за теча от НАП), новите колективни искове и конкретните стъпки за предявяване на иск.
Съдържание
Право на обезщетение по чл. 82 GDPR
Член 82, параграф 1 от GDPR предвижда, че всяко лице, претърпяло материални или нематериални вреди в резултат на нарушение на Регламента, има право да получи обезщетение от администратора или обработващия лични данни.
Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. — чл. 82, пар. 1 от GDPR
За да възникне правото на обезщетение, трябва да са налице три кумулативни условия:
- Нарушение на GDPR — действие или бездействие на администратора/обработващия, което противоречи на разпоредбите на Регламента
- Вреда — материална (финансови загуби, разходи, пропуснати ползи) или нематериална (стрес, тревожност, страх от злоупотреба, накърнено достойнство, загуба на контрол върху данните)
- Причинно-следствена връзка — вредата трябва да е пряка последица от нарушението
Чисто компенсаторен характер
Обезщетението по чл. 82 GDPR има изцяло компенсаторна функция — целта е да възстанови претърпяната вреда, а не да наказва нарушителя. GDPR не предвижда наказателни (punitive) обезщетения. За наказателните функции служат административните глоби по чл. 83, налагани от надзорните органи (в България — КЗЛД).
Ключови решения на Съда на ЕС
От 2023 г. насам Съдът на Европейския съюз (СЕС) постанови серия от знакови решения, които оформят рамката за обезщетенията по GDPR в целия ЕС. Ето най-важните:
Няма минимален праг за вредата
Голям състав на СЕС постанови, че чл. 82 GDPR не изисква вредата да надвишава определен праг на значимост. Нематериалните вреди не подлежат на ограничение de minimis. Достатъчно е вредата да е реална, дори и да е незначителна.
Извод: Всяка реална вреда — дори минимална — подлежи на обезщетениеСтрахът от злоупотреба е вреда
Делото произтича от мащабния теч на лични данни от НАП през 2019 г. СЕС потвърди, че обоснованият страх на субекта на данни от бъдеща злоупотреба с личните му данни представлява нематериална вреда по смисъла на чл. 82 GDPR. Самият факт на нарушение обаче не е достатъчен — субектът трябва да докаже реално изпитан страх.
Извод: Страхът от злоупотреба = подлежаща на обезщетение вредаОчевидно необоснован риск = няма обезщетение
В този случай документ с лични данни на клиент беше погрешно предаден на друг клиент. СЕС прие, че когато рискът от злоупотреба е очевидно необоснован (напр. данните са били веднага върнати и няма индикация за копиране или разпространение), субектът не може да претендира за нематериални вреди само на базата на абстрактен страх.
Извод: Абстрактен страх без обоснован риск ≠ вредаВременна загуба на контрол = вреда
Делото засяга българската Агенция по вписванията. СЕС постанови, че временната загуба на контрол върху личните данни (дори без доказана конкретна злоупотреба) може сама по себе си да представлява нематериална вреда, подлежаща на обезщетение по чл. 82 GDPR.
Извод: Временна загуба на контрол върху данните = вреда€400 за незаконен трансфър на лични данни
Общият съд на ЕС присъди €400 обезщетение на гражданин, чиито лични данни бяха прехвърлени в САЩ чрез уебсайт на Европейската комисия (използване на Google Analytics без адекватни гаранции). Съдът прие, че е налице нематериална вреда поради загуба на контрол върху данните.
Извод: €400 за незаконен трансфър — загуба на контролПраво на преустановяване + вината е ирелевантна за размера
СЕС потвърди, че субектите на данни могат да искат не само обезщетение, но и преустановяване (injunctive relief) на незаконната обработка. Допълнително, Съдът уточни, че степента на вина на администратора (умисъл или небрежност) е ирелевантна за определяне на размера на обезщетението — водеща е единствено претърпяната вреда.
Извод: Размерът на обезщетението зависи от вредата, не от винатаПрактика в България
Делата за теча от НАП (2019 г.)
През юли 2019 г. настъпи най-мащабният теч на лични данни в българската история — данните на над 5 милиона граждани от системите на Националната агенция за приходите (НАП) бяха компрометирани. Това доведе до вълна от съдебни производства:
- Хиляди индивидуални искове бяха предявени пред районните и окръжните съдилища в цялата страна
- Българските съдилища присъждат обезщетения в диапазон от €225 до €300 (440–590 лв.) за нематериални вреди на ищец — предимно за стрес и тревожност от страх за злоупотреба с данните
- Множество искове бяха отхвърлени поради недоказване на конкретна вреда — самият факт на теч не беше достатъчен без доказан реално претърпян стрес или притеснение
Колективни искове срещу НАП — отхвърлени
Няколко опита за колективни искове срещу НАП бяха отхвърлени от българските съдилища, тъй като към момента на предявяване (2019–2023 г.) българското законодателство не предвиждаше адекватен механизъм за колективни искове за обезщетение по GDPR. Положението се промени с транспонирането на Директивата за представителните искове (виж раздел Колективни искове).
КЗЛД и делото пред СЕС
КЗЛД наложи на НАП глоба от 5 100 000 лв. (≈ €2,6 млн.) за нарушение на GDPR. Решението по преюдициалното запитване на българския съд (дело C-340/21) изясни ключови въпроси за обезщетенията и стана водещ прецедент за целия ЕС.
Как да предявите иск за обезщетение
Ако считате, че личните ви данни са обработени в нарушение на GDPR и сте претърпели вреда, следвайте тези стъпки:
-
Идентифицирайте нарушението
Установете коя разпоредба на GDPR е нарушена — незаконна обработка, теч на данни, отказ да бъде уважено право по GDPR, незаконен трансфър в трета държава и др. Съберете доказателства: кореспонденция, уведомления, скрийншотове, публикации в медиите.
-
Документирайте вредата
Съберете доказателства за претърпяната вреда: медицински документи (за стрес, тревожност), финансови щети, свидетелски показания, записи за опити за злоупотреба (фишинг имейли, подозрителни SMS-и). При нематериални вреди — водете хронология на преживяванията си.
-
Предявете граждански иск
Подайте искова молба пред районен съд (при цена на иска до 25 000 лв.) или окръжен съд (при цена над 25 000 лв.). Съгласно чл. 79, пар. 2 от GDPR имате право да изберете юрисдикцията — по обичайното местопребиваване на администратора или по вашето обичайно местопребиваване.
-
Обърната тежест на доказване
Ключово предимство: съгласно чл. 82, пар. 3 от GDPR, тежестта на доказване е обърната. Администраторът или обработващият трябва да докаже, че по никакъв начин не е отговорен за вредата. Вие трябва да докажете само нарушението, вредата и причинно-следствената връзка.
Давностен срок
Давностният срок за иск за обезщетение по GDPR в България е 5 години (общият давностен срок по чл. 110 от Закона за задълженията и договорите), считано от момента, в който сте узнали или е следвало да узнаете за нарушението и произтичащата от него вреда.
Жалба до КЗЛД — паралелно средство
Подаването на жалба до КЗЛД не е предпоставка за съдебен иск, но може значително да укрепи позицията ви. Решение на КЗЛД за нарушение е силен доказателствен елемент пред съда. Двете процедури могат да текат паралелно.
Колективни искове
На 21 януари 2026 г. в България влезе в сила транспонирането на Директива (ЕС) 2020/1828 за представителните искове за защита на колективните интереси на потребителите (обн. ДВ, бр. 10 от 3 февруари 2026 г.).
Ключови характеристики на новия режим:
- GDPR исковете попадат в обхвата — защитата на личните данни е изрично включена в Приложение I на Директивата
- Opt-out система — засегнатите потребители са автоматично включени в колективния иск, освен ако изрично не заявят, че не желаят участие
- Квалифицирани организации — само организации, вписани в националния или европейския списък, могат да предявяват представителни искове
- Искове за обезщетение — за разлика от предишния режим (само преустановителни мерки), новата уредба позволява и искове за парично обезщетение от името на засегнатата група
- Трансгранични искове — квалифицирани организации от една държава членка могат да предявяват искове в друга
Нов инструмент — без практика още
Тъй като режимът влезе в сила едва на 21 януари 2026 г., все още няма съдебна практика по представителни GDPR искове в България. Очаква се първите такива искове да бъдат подадени в рамките на 2026 г., вероятно във връзка с мащабни течове на данни или масови нарушения от телекомуникационни оператори и технологични компании.
Отговорност — администратор vs обработващ
Член 82, параграфи 2–5 от GDPR установяват ясна система за разпределение на отговорността:
| Аспект | Администратор | Обработващ |
|---|---|---|
| Обхват на отговорността | Отговаря за всяко нарушение на GDPR (чл. 82(2), изр. 1) | Отговаря само за задълженията по GDPR, насочени конкретно към обработващите, или когато е действал извън/в противоречие с указанията на администратора (чл. 82(2), изр. 2) |
| Солидарна отговорност | Когато и двамата са участвали в обработването, те носят солидарна отговорност — пострадалият може да търси пълно обезщетение от който и да е от тях (чл. 82(4)) | |
| Обърната тежест на доказване | И двамата се освобождават от отговорност само ако докажат, че по никакъв начин не носят отговорност за събитието, причинило вредата (чл. 82(3)) | |
| Регресно право | Ако единият е платил пълно обезщетение, той има право на регрес срещу другия за частта от обезщетението, съответстваща на неговата отговорност (чл. 82(5)) | |
Практическо значение
За пострадалия субект на данни солидарната отговорност е важно предимство — не е необходимо да установявате точно кой (администраторът или обработващият) е виновен. Можете да насочите иска си към по-платежоспособната страна и да получите пълно обезщетение. Вътрешното разпределение на отговорността е въпрос между администратора и обработващия.
Типични размери на обезщетения в ЕС
Обезщетенията по GDPR в Европа остават сравнително ниски в сравнение с други юрисдикции (напр. САЩ). Ето обобщение на типичните суми:
| Юрисдикция / Дело | Размер | Контекст |
|---|---|---|
| Германия (типични национални дела) | €100 – €5 000 | Незаконен маркетинг, нарушения на правата на субектите, непълно изпълнение на SAR |
| България / НАП | €225 – €300 | Нематериални вреди от мащабен теч на данни (страх от злоупотреба) |
| Bindl v Commission (T-354/22) | €400 | Незаконен трансфър на данни в САЩ чрез Google Analytics |
| Австрия (типични национални дела) | €500 – €2 000 | Незаконно видеонаблюдение, нарушения на правото на достъп |
| Нидерландия (изключения) | до €10 000+ | Тежки случаи: дискриминация, разкриване на здравни данни |
Тенденция: постепенно нарастване
Макар типичните обезщетения да остават ниски, тенденцията е към постепенно увеличаване. С натрупването на практика на СЕС (особено след C-300/21 и C-340/21) и въвеждането на колективните искове, очакванията са за по-значими суми в бъдеще — особено при мащабни течове на данни и системни нарушения.
Често задавани въпроси
Какъв е минималният праг за обезщетение по GDPR?
Няма минимален праг. Съдът на ЕС изрично постанови в решението по дело C-300/21 (Österreichische Post), че чл. 82 GDPR не изисква вредата да надвишава определен праг на значимост. Всяка реална вреда — дори незначителна — подлежи на обезщетение, стига да е действително претърпяна.
Мога ли да получа обезщетение само за страх от злоупотреба?
Да, при условие че страхът е обоснован и реално изпитан. СЕС потвърди в дело C-340/21 (НАП/България), че обоснованият страх от злоупотреба е нематериална вреда. Но абстрактен, необоснован страх не е достатъчен (дело C-687/21 — MediaMarktSaturn).
Каква е давността за иск за обезщетение по GDPR?
В България — 5 години от момента, в който сте узнали (или е следвало да узнаете) за нарушението и вредата, съгласно чл. 110 от Закона за задълженията и договорите. При продължаващи нарушения давността започва да тече от последното нарушение.
Трябва ли първо да подам жалба до КЗЛД?
Не. Подаването на жалба до КЗЛД не е предпоставка за предявяване на иск за обезщетение пред съд. Двете процедури са независими и могат да текат паралелно. Решението на КЗЛД обаче е ценно доказателство в съдебното производство.
Мога ли да подам колективен иск по GDPR в България?
Да, от 21 януари 2026 г., когато Директивата за представителните искове (ЕС) 2020/1828 беше транспонирана в българското законодателство. GDPR исковете попадат в обхвата. Системата е opt-out — засегнатите лица са включени автоматично, освен ако не заявят изрично, че не желаят участие. Исковете се подават от квалифицирани организации, вписани в националния списък.
Тази статия отразява правното положение към 23 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Защитете правата си — потърсете обезщетение
Нашият екип от специалисти по защита на личните данни ще ви помогне да получите справедливо обезщетение.
- Оценка на основателността на иска за обезщетение
- Подаване на жалба до КЗЛД
- Изготвяне и водене на съдебен иск по чл. 82 GDPR
- Представителство пред районен и окръжен съд
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.