Политика за поверителност — как да я напишете правилно по GDPR
Политиката за поверителност е задължителен документ за всеки бизнес, който обработва лични данни. Въпреки това, огромна част от българските уебсайтове използват generic шаблони, които не покриват действителните потоци от данни и не отговарят на изискванията на чл. 13 и 14 от GDPR. В тази статия ще ви покажем точно какво трябва да съдържа вашата политика.
Съдържание
Защо е задължителна и какво казва законът
Задължението за предоставяне на информация при обработка на лични данни е заложено в два ключови члена на GDPR:
- Чл. 13 — информация, която трябва да предоставите, когато събирате данни директно от лицето (формуляр на сайта, поръчка, регистрация)
- Чл. 14 — информация, която трябва да предоставите, когато данните не са получени от самото лице (от трета страна, публични регистри, бизнес партньор)
Допълнително, чл. 12 от GDPR поставя изискванията за формата на тази информация:
Администраторът предприема подходящи мерки, за да предостави... информацията... в сбита, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, по-специално за всяка информация, адресирана конкретно до деца.
Политиката за поверителност е най-разпространеният и препоръчителен начин за изпълнение на тези задължения. Тя не е просто правен формализъм — тя е основният инструмент за прозрачност между вас и вашите клиенти.
Какво се случва без политика?
Липсата на политика за поверителност или наличието на непълна такава е нарушение на чл. 13/14 от GDPR, което попада под чл. 83, пар. 5 — глоби до 20 000 000 евро или 4% от годишния оборот. В българската практика КЗЛД налага санкции за нарушения на принципите за прозрачност.
15-те задължителни елемента на политиката за поверителност
Съгласно чл. 13, пар. 1 и 2 от GDPR, вашата политика трябва да съдържа минимум следната информация:
-
Самоличност и данни за контакт на администратора
Пълно наименование на фирмата/организацията, ЕИК, адрес, имейл, телефон. Ако има представител по чл. 27 — и неговите данни.
чл. 13(1)(а) -
Данни за контакт на DPO (ако е приложимо)
Ако имате длъжностно лице по защита на данните — посочете начин за връзка.
чл. 13(1)(б) -
Цели на обработването
Конкретно и ясно: „изпълнение на поръчка", „изпращане на маркетингови съобщения", „анализ на поведението на сайта". Не общи формулировки като „подобряване на услугите".
чл. 13(1)(в) -
Правно основание за всяка цел
За всяка цел посочете съответното основание по чл. 6(1): съгласие, договор, законово задължение, легитимен интерес и т.н. При легитимен интерес — опишете какъв е.
чл. 13(1)(в) + чл. 13(1)(г) -
Легитимни интереси (ако е приложимо)
Когато основанието е „легитимен интерес" (чл. 6(1)(е)) — опишете конкретните интереси, преследвани от администратора или трета страна.
чл. 13(1)(г) -
Получатели или категории получатели
Кой получава данните: доставчици на хостинг, платежни процесори, куриерски фирми, аналитични услуги, маркетингови платформи, държавни органи при законово основание.
чл. 13(1)(д) -
Трансфер извън ЕИП
Ако данни се предават извън Европейското икономическо пространство — посочете къде, на какво основание (адекватност, SCC, DPF) и как субектът може да получи копие от гаранциите.
чл. 13(1)(е) -
Срок на съхранение
Конкретни срокове за всяка категория данни, или критериите за определянето им. „Колкото е необходимо" НЕ е достатъчно — посочете конкретни периоди (напр. „10 години за счетоводни документи").
чл. 13(2)(а) -
Права на субектите на данни
Изброете правата: достъп (чл. 15), коригиране (чл. 16), изтриване (чл. 17), ограничаване (чл. 18), преносимост (чл. 20), възражение (чл. 21). Обяснете как да ги упражнят.
чл. 13(2)(б) -
Право на оттегляне на съгласие
Ако обработката се основава на съгласие — субектът трябва да знае, че може да го оттегли по всяко време, и че оттеглянето не засяга законосъобразността на обработването преди оттеглянето.
чл. 13(2)(в) -
Право на жалба до надзорен орган
Посочете, че субектът има право да подаде жалба до КЗЛД. Включете контактните данни: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2, kzld@cpdp.bg.
чл. 13(2)(г) -
Задължителен или доброволен характер на предоставянето
Посочете дали предоставянето на данни е задължително (по закон или по договор) и какви са последиците от отказ (напр. „не можем да изпълним поръчката ви").
чл. 13(2)(д) -
Автоматизирано вземане на решения / профилиране
Ако използвате автоматизирано вземане на решения (вкл. профилиране) — опишете логиката, значението и последиците за лицето.
чл. 13(2)(е) -
Източник на данните (за чл. 14)
Ако данните НЕ са получени от самото лице — посочете от кого/откъде и дали произхождат от публично достъпни източници.
чл. 14(2)(е) -
Категории лични данни (за чл. 14)
Когато данните не са събрани от лицето — посочете какви категории данни обработвате (имена, имейл, IP адрес, финансови данни и т.н.).
чл. 14(1)(г)
Как да пишем разбираемо
Съгласно Насоки WP260 rev.01 на Работната група по чл. 29 (сега ЕКЗД), информацията трябва да бъде:
- Кратка — избягвайте ненужни повторения и правен жаргон
- Прозрачна — без скрити или двусмислени формулировки
- Разбираема — на ясен и прост език, разбираем за средния потребител
- Лесно достъпна — на видно място на сайта, достъпна с максимум 2 клика
Практически съвети:
- Използвайте къси изречения и параграфи
- Структурирайте с ясни заглавия за всяка секция
- Използвайте таблици за цели vs. правни основания vs. срокове
- Избягвайте фрази като „може да обработваме", „запазваме правото си" — бъдете конкретни
- Тествайте с някой, който не е юрист — ако не разбира, пренапишете
- Поддържайте дата на последна актуализация на видно място
Многослоен подход (layered approach)
ЕКЗД препоръчва „многослоен подход" — кратко резюме с най-важната информация на първо ниво (напр. при събиране на данни) и пълна политика на второ ниво (отделна страница). Така не претоварвате потребителя, но изпълнявате задълженията си.
7 най-чести грешки в политиките за поверителност
- Generic шаблон — копирана политика от друг сайт, която не отразява реалните потоци от данни на вашия бизнес
- Липсващи правни основания — изброени цели, но не е посочено кое правно основание по чл. 6(1) се прилага за всяка
- „Колкото е необходимо" като срок — чл. 13(2)(а) изисква конкретни срокове или ясни критерии, не неопределени формулировки
- Непосочени получатели — „трети страни" без конкретика; трябва да опишете категориите (хостинг, аналитики, маркетинг, доставки)
- Пропуснат трансфер извън ЕИП — ако използвате Google Analytics, Facebook Pixel, Mailchimp — имате трансфер и трябва да го декларирате
- Остаряла информация — промени в доставчиците или процесите, които не са отразени в политиката
- Труднодостъпна — политика, скрита в подфутъра без линк от ключовите точки на събиране (формуляри, checkout)
Ако разпознавате някоя от тези грешки в собствената си политика, е време за актуализация. Прочетете нашето ръководство за GDPR одит, за да идентифицирате всички пропуски.
Политика за поверителност vs. бисквитки vs. общи условия
Тези три документа имат различни функции и НЕ са взаимозаменяеми:
- Политика за поверителност — покрива цялата обработка на лични данни (онлайн и офлайн). Задължителна по GDPR чл. 13/14.
- Политика за бисквитки — детайлизира конкретните бисквитки на сайта, категориите и начина за управление на съгласието. Препоръчително е да бъде отделен документ за по-голяма яснота. Вж. нашата статия за GDPR за онлайн магазини.
- Общи условия — регулират договорните отношения между вас и клиента (цени, доставка, връщане, отговорност). Задължителни по ЗЗП и ЗЕТ.
Препоръка
Поддържайте три отделни документа, линкнати от футъра на сайта. Политиката за поверителност и политиката за бисквитки трябва да бъдат линкнати и от всички точки на събиране на данни — формуляри за контакт, checkout, newsletter signup.
Финален checklist
Преди да публикувате или актуализирате политиката си, проверете:
Съдържание
- Пълни данни за администратора (наименование, ЕИК, адрес, имейл, телефон)
- Контакт на DPO (ако е приложимо)
- Всички цели на обработване са изброени
- Правно основание по чл. 6(1) е посочено за ВСЯКА цел
- Легитимните интереси са конкретно описани
- Категории получатели са изброени
- Трансфери извън ЕИП са декларирани с механизъм за защита
- Конкретни срокове за съхранение за всяка категория данни
- Всички права на субектите са изброени (достъп, коригиране, изтриване, ограничаване, преносимост, възражение)
- Право на оттегляне на съгласието е обяснено
- Право на жалба до КЗЛД с контактни данни
- Автоматизирано вземане на решения / профилиране (ако е приложимо)
Формат и достъпност
- Написана на ясен и прост български език
- Структурирана със заглавия, подзаглавия, таблици
- Линкната от футъра на всяка страница
- Линкната от формуляри, checkout, newsletter signup
- Дата на последна актуализация е видима
- Достъпна с максимум 2 клика от всяка страница
Често задавани въпроси
Задължителна ли е политиката за поверителност?
Да. Съгласно чл. 13 и 14 от GDPR, всеки администратор на лични данни е длъжен да предостави определена информация на субектите. Политиката за поверителност е стандартният начин за изпълнение на това задължение. Това важи за всеки уебсайт, онлайн магазин, мобилно приложение или бизнес, обработващ лични данни.
На какъв език трябва да бъде?
Съгласно чл. 12(1) от GDPR — на ясен и разбираем език. За български потребители — на български. Ако сайтът е насочен и към чуждестранни потребители — и на съответния друг език. Правилото е: на езика на аудиторията, за която е предназначен сайтът.
Различна ли е политиката за поверителност от политиката за бисквитки?
Да, макар и свързани. Политиката за поверителност покрива цялата обработка на лични данни. Политиката за бисквитки детайлизира конкретните бисквитки, категориите и управлението на съгласието. Препоръчително е да бъдат отделни документи за по-голяма яснота.
Колко често трябва да я обновявам?
При всяка промяна в обработката — нов доставчик, нова услуга, промяна в законодателството. Добра практика е преглед поне веднъж годишно. Включете дата на последна актуализация на видно място в документа.
Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Нуждаете се от професионална политика за поверителност?
Не разчитайте на generic шаблони. Нашият екип изготвя политики, съобразени с конкретните потоци от данни на вашия бизнес.
- Изготвяне на политика за поверителност по GDPR
- Политика за бисквитки + настройка на cookie consent
- Пълен пакет GDPR документация
- Актуализация на съществуващи документи
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.