6-те правни основания за обработка на лични данни по чл. 6 GDPR
Кратък отговор: Всяка обработка на лични данни трябва да се основава на поне едно от шестте правни основания по чл. 6(1) GDPR: съгласие, изпълнение на договор, законово задължение, жизненоважни интереси, обществен интерес или легитимен интерес. Основанието трябва да бъде определено преди началото на обработването, документирано и посочено на субектите на данни. Смяната на правно основание след стартиране на обработването не е допустима.
Съдържание
- Защо изборът на правно основание е толкова важен
- Съгласие — чл. 6(1)(a)
- Изпълнение на договор — чл. 6(1)(b)
- Законово задължение — чл. 6(1)(c)
- Жизненоважни интереси — чл. 6(1)(d)
- Обществен интерес — чл. 6(1)(e)
- Легитимен интерес — чл. 6(1)(f)
- Дърво за вземане на решение
- Най-честите грешки в България
- Често задавани въпроси
Всяка организация, която обработва лични данни, трябва да отговори на един основен въпрос: „На какво правно основание разчитаме?" Без ясен и документиран отговор на този въпрос обработването е незаконосъобразно, независимо от всички останали мерки за защита, които прилагате. В тази статия разглеждаме подробно всяко от шестте основания, кога да го изберете и какви грешки да избягвате в българския контекст.
Защо изборът на правно основание е толкова важен
Чл. 6 GDPR е фундаментът на законосъобразната обработка. Ето защо определянето на правилното основание не е формалност:
- Определя правата на субектите. Различните основания дават различни права. Например правото на преносимост (чл. 20) е налично само при съгласие или договор. Правото на възражение (чл. 21) се прилага само при легитимен интерес или обществен интерес.
- Определя Вашите задължения. При съгласие трябва да осигурите лесен механизъм за оттегляне. При легитимен интерес трябва да извършите оценка на баланса (LIA).
- Не може да се сменя ретроактивно. EDPB подчертава, че смяната на основание, след като обработването вече е започнало, е недопустима (EDPB Guidelines on Consent, параграф 122).
- Непосочването е самостоятелно нарушение. Дори обработката да е по същество законосъобразна, ако не сте информирали субектите за избраното основание (чл. 13(1)(c)), това само по себе си води до глоба.
Правило: Определете правното основание преди началото на всяко обработване. Документирайте избора в ROPA и го посочете в уведомлението за поверителност по чл. 13.
1. Съгласие — чл. 6(1)(a)
Съгласието е може би най-познатото правно основание, но парадоксално е и най-крехкото. EDPB и КЗЛД последователно препоръчват то да се използва като последна опция, когато нито едно от останалите основания не е приложимо.
Кога да използвате съгласие
- Абониране за маркетингов бюлетин (newsletter)
- Поставяне на аналитични или рекламни бисквитки (cookies)
- Снимане на събитие за публикуване в социалните мрежи
- Обработка на чувствителни данни (чл. 9), когато няма друго приложимо изключение
Четири кумулативни изисквания
| Изискване | Какво означава | Пример за нарушение |
|---|---|---|
| Свободно изразено | Реален избор, без последици при отказ | „Ако не се съгласите, не можете да използвате услугата" (cookie wall) |
| Конкретно | Отделно съгласие за всяка цел | Една отметка и за маркетинг, и за анализ, и за профилиране |
| Информирано | Ясна информация за администратора, целите, данните, правата | Съгласие, скрито в 20-странични общи условия |
| Недвусмислено | Активно действие (кликване, подписване) | Предварително маркирана отметка (Planet49, C-673/17) |
Решение Planet49 (C-673/17, 2019 г.): Съдът на ЕС окончателно потвърди, че предварително маркирани полета (pre-ticked boxes) не представляват валидно съгласие. Това се отнася и за бисквитки, и за всякаква друга обработка. Повече за темата в нашата статия „Съгласие по GDPR".
- ✗ Използване на съгласие за обработка на данни на служители (дисбаланс на силата)
- ✗ Обвързване на съгласието с предоставянето на услуга (bundling)
- ✗ Съгласие, дадено чрез бездействие или мълчание
- ✗ Липса на механизъм за оттегляне, толкова лесен, колкото и даването
2. Изпълнение на договор — чл. 6(1)(b)
Това основание се прилага, когато обработването е обективно необходимо за сключването или изпълнението на договор, по който субектът на данни е страна.
Кога е приложимо
- Онлайн магазин: обработка на име, адрес и телефон за доставка на поръчка
- Трудов договор: обработка на данни на новопостъпил служител за целите на оформяне на трудовото правоотношение
- Банков кредит: обработка на финансови данни за оценка на кредитоспособност
- Наемен договор: обработка на данни на наемател за сключване и управление на договора
Кога НЕ е приложимо
- ✗ Изпращане на маркетингови съобщения на клиент, който е купил нещо (маркетингът не е необходим за изпълнение на договора за покупко-продажба)
- ✗ Профилиране на потребителско поведение (не е обективно необходимо за договора)
- ✗ Предаване на данни на рекламни партньори (не е необходимо за изпълнение на договора с клиента)
- ✓ Обработка на адрес за доставка на поръчана стока
- ✓ Изчисляване на заплата по трудов договор
- ✓ Обработка на данни за кредитна оценка при сключване на кредитен договор
EDPB насоки 2/2019: „Необходимо" по чл. 6(1)(b) означава обективна, а не субективна необходимост. Фактът, че обработването е включено в общите условия, не го прави „необходимо за изпълнение на договора".
3. Законово задължение — чл. 6(1)(c)
Това основание се прилага, когато обработването е необходимо за спазване на конкретно правно задължение, наложено от правото на ЕС или националното право. В България основните закони, които създават такива задължения, са:
| Закон | Задължение | Примерни данни |
|---|---|---|
| КТ (Кодекс на труда) | Водене на трудови досиета, уведомления до НАП | ЕГН, три имена, длъжност, заплата |
| ЗСч (Закон за счетоводството) | Съхранение на счетоводни документи 10 г., ведомости за заплати 50 г. | Фактури с данни на ФЛ, ведомости |
| ДОПК | Предоставяне на данни на НАП при ревизия | Данъчни декларации, финансови отчети |
| ЗМИП (AML) | Идентификация на клиенти (KYC), съхранение 5 г. | Копие на лична карта, адрес, бенефициери |
| КСО | Деклариране на осигуровки | ЕГН, осигурителен доход, стаж |
Важно: Законовото задължение трябва да произтича от конкретна правна норма, а не от общо разбиране за „добра практика". В ROPA посочете конкретния закон и член.
4. Жизненоважни интереси — чл. 6(1)(d)
Това е най-рядко използваното основание. То се прилага само когато обработването е необходимо за защита на живота на субекта на данни или на друго физическо лице.
Примери
- Спешна медицинска помощ, когато пациентът е в безсъзнание и не може да даде съгласие
- Природно бедствие или авария: предоставяне на данни за контакт на близки на пострадал
- Издирване на изчезнало лице
Внимание: Жизненоважните интереси са приложими само ако никое друго основание не може да се използва. За рутинна медицинска обработка съществуват специфичните изключения по чл. 9(2)(c) и (h) GDPR. Не злоупотребявайте с това основание за ежедневна дейност.
5. Обществен интерес — чл. 6(1)(e)
Това основание е предназначено предимно за публични органи при изпълнение на техните законови функции. Частни организации рядко могат да се позоват на него, освен ако не изпълняват делегирани публични функции.
Примери в България
- Общини: обработка на данни при издаване на удостоверения, разрешителни за строеж
- НАП: данъчен контрол и ревизии
- МВР: обработка за целите на обществената сигурност
- Университети (държавни): обработка на студентски данни в рамките на образователната мисия
- Нотариуси: удостоверяване на подписи и документи (делегирана публична функция)
Разликата с „законово задължение" (чл. 6(1)(c)) е, че обществен интерес обхваща по-широк кръг от дейности. При законовото задължение законът задължава обработката. При обществен интерес законът овластява публичния орган да обработва данни за определена цел, но не винаги го задължава.
Не сте сигурни кое правно основание да изберете?
- Анализ на Вашите дейности по обработване
- Определяне на правилното основание за всяка дейност
- Актуализация на уведомленията за поверителност по чл. 13
6. Легитимен интерес — чл. 6(1)(f)
Легитимният интерес е най-гъвкавото, но и най-сложното за прилагане основание. То изисква тристепенен тест (LIA), при който организацията трябва да докаже, че нейният интерес не се надделява от правата и свободите на субекта на данни.
Типични случаи на легитимен интерес
- Видеонаблюдение (CCTV) за защита на имущество
- Директен маркетинг към съществуващи клиенти (Съображение 47)
- Предотвратяване на измами (fraud prevention) в банковия и застрахователния сектор
- IT сигурност: логове, мониторинг за кибератаки (Съображение 49)
- Вътрешногрупово предаване на данни за административни цели (Съображение 48)
EDPB Guidelines 1/2024 (октомври 2024): Легитимният интерес не е „крайна мярка". Може да се използва наравно с другите основания, стига тристепенният тест да е покрит. Комерсиалните интереси са „легитимни" наравно с правните и обществените. Подробно разглеждаме LIA теста в статията „Легитимен интерес — кога и как да го приложите".
Важно: Публичните органи не могат да се позовават на легитимен интерес за обработване, извършвано при изпълнение на техните функции (чл. 6(1), последно изречение). Те трябва да използват обществен интерес или законово задължение.
Дърво за вземане на решение
Използвайте следния алгоритъм, за да определите правилното правно основание за всяка конкретна дейност по обработване:
| Стъпка | Въпрос | Ако „Да" |
|---|---|---|
| 1 | Съществува ли конкретен закон, който задължава обработката? | → Законово задължение чл. 6(1)(c) |
| 2 | Обработката необходима ли е за изпълнение на договор с субекта? | → Договор чл. 6(1)(b) |
| 3 | Организацията публичен ли е орган, действащ в обществен интерес? | → Обществен интерес чл. 6(1)(e) |
| 4 | Има ли организацията легитимен интерес, който не е надделян от правата на субекта? | → Легитимен интерес чл. 6(1)(f), след LIA |
| 5 | Налице ли е заплаха за живота на субекта или друго лице? | → Жизненоважни интереси чл. 6(1)(d) |
| 6 | Нито едно от горните не е приложимо? | → Съгласие чл. 6(1)(a), ако може да бъде свободно дадено |
Защо съгласието е последно? Съгласието изисква реален избор. Ако съгласието е единствената Ви опция, но субектът на практика няма избор (например служител, който зависи от работодателя), то не е „свободно изразено" и следователно е невалидно. Затова EDPB препоръчва първо да проверите останалите пет основания.
Сравнителна таблица на шестте основания
| Основание | Право на достъп | Право на изтриване | Право на преносимост | Право на възражение |
|---|---|---|---|---|
| Съгласие (a) | ✓ | ✓ | ✓ | Оттегляне |
| Договор (b) | ✓ | ✓* | ✓ | Не |
| Законово задължение (c) | ✓ | Не** | Не | Не |
| Жизненоважни интереси (d) | ✓ | ✓* | Не | Не |
| Обществен интерес (e) | ✓ | ✓* | Не | ✓ |
| Легитимен интерес (f) | ✓ | ✓* | Не | ✓ |
* С ограничения, когато обработването е необходимо за друга законна цел. ** Не може да се изтрие, докато законовото задължение за съхранение е в сила.
Най-честите грешки в България
- ✗ Искане на съгласие от служители за обработка на заплатите (работодателят е длъжен по КТ и КСО)
- ✗ Съгласие като „универсално основание" за всичко
- ✗ Непосочване на правно основание в уведомлението за поверителност (чл. 13)
- ✗ Смяна на основанието след начало на обработването (например от съгласие на легитимен интерес, когато субектът оттегли съгласието)
- ✗ Използване на „обществен интерес" от частни фирми
- ✗ Позоваване на „жизненоважни интереси" за рутинна медицинска практика
- ✓ Определяне на основанието преди началото на обработването
- ✓ Посочване на конкретно основание за всяка цел на обработване
- ✓ Документиране на избора в ROPA с обосновка
- ✓ Посочване на основанието в информацията по чл. 13 (уведомление за поверителност)
- ✓ Провеждане на LIA преди позоваване на легитимен интерес
- ✓ Разделяне на обработката на служителски данни: договор (за изпълнение на трудовия договор) + законово задължение (за заплати, осигуровки, данъци)
Практически примери за българския бизнес
Онлайн магазин
| Дейност | Основание | Обосновка |
|---|---|---|
| Обработка на поръчка и доставка | Договор — чл. 6(1)(b) | Необходимо за изпълнение на договора за покупко-продажба |
| Издаване на фактура | Законово задължение — чл. 6(1)(c) | ЗДДС, ЗСч |
| Маркетингов бюлетин | Съгласие — чл. 6(1)(a) | Отделна отметка при регистрация |
| Аналитични бисквитки | Съгласие — чл. 6(1)(a) | Cookie banner с активен избор |
| Предотвратяване на измами | Легитимен интерес — чл. 6(1)(f) | LIA документиран; защита от фиктивни поръчки |
Работодател
| Дейност | Основание | Обосновка |
|---|---|---|
| Трудов договор, допълнителни споразумения | Договор — чл. 6(1)(b) | Необходимо за сключване и изпълнение на трудовия договор |
| Заплати, осигуровки, данъци | Законово задължение — чл. 6(1)(c) | КТ, КСО, ЗДДФЛ, ЗСч |
| Видеонаблюдение в офиса | Легитимен интерес — чл. 6(1)(f) | Защита на имущество; LIA документиран |
| Снимки от фирмено събитие | Съгласие — чл. 6(1)(a) | Не е необходимо за трудовото правоотношение |
| Подаване на данни за болничен лист | Законово задължение — чл. 6(1)(c) | КСО, Наредба за временната неработоспособност |
Често задавани въпроси
Кое правно основание да избера за обработка на лични данни?
Следвайте дървото за вземане на решение: първо проверете дали съществува законово задължение, след това дали обработката е необходима за договор, обществен интерес, легитимен интерес или жизненоважни интереси. Съгласието използвайте последно, когато нито едно от останалите основания не е приложимо.
Мога ли да сменя правното основание, ако първоначалното вече не е валидно?
Не. EDPB подчертава, че смяната на правно основание, след като обработването е започнало, е недопустима. Ако например субект оттегли съгласието си, не можете ретроактивно да преминете към „легитимен интерес" за същата обработка. Трябва да преустановите обработването.
Кое правно основание е подходящо за обработка на данни на служители?
За изпълнение на трудовия договор: чл. 6(1)(b). За заплати, осигуровки, данъци: чл. 6(1)(c) (законово задължение по КТ, КСО, ЗСч). Съгласието в трудовите правоотношения е почти винаги невалидно поради дисбаланса на силата между работодател и служител.
Трябва ли да посоча правното основание в политиката за поверителност?
Да, задължително. Чл. 13(1)(c) GDPR изисква при събиране на данни да информирате субекта за правното основание за всяка цел на обработване. Непосочването е самостоятелно нарушение, което може да доведе до глоба дори ако самата обработка е законосъобразна.
Може ли една обработка да има повече от едно правно основание?
EDPB препоръчва да се определи едно основно правно основание за всяка конкретна цел на обработване. В изключителни случаи може да се посочи алтернативно основание, но не е допустимо „кумулиране" с цел заобикаляне на ограниченията на отделните основания.
Защо съгласието е „най-крехкото" основание и кога да го избягвам?
Защото субектът може да го оттегли по всяко време с еднакво лесно действие (чл. 7(3)). При оттегляне трябва да преустановите обработването. Избягвайте съгласието: при трудови правоотношения, при невъзможност за реален отказ, и когато друго основание е приложимо.
Как да документирам избора на правно основание?
Посочете правното основание в ROPA за всяка дейност по обработване. Добавете кратка обосновка защо това основание е избрано. При легитимен интерес приложете LIA документация. При законово задължение посочете конкретния закон и член.
Какво е разликата между законово задължение и обществен интерес?
При законово задължение (чл. 6(1)(c)) законът задължава администратора да обработва определени данни (напр. ЗСч задължава съхранение на фактури 10 г.). При обществен интерес (чл. 6(1)(e)) законът овластява публичен орган да обработва данни за изпълнение на негова функция. Частните организации рядко могат да се позовават на обществен интерес.
Нуждаете се от помощ с определяне на правни основания?
- Анализ на всички Ваши дейности по обработване на лични данни
- Определяне и документиране на правилното основание за всяка дейност
- Изготвяне или актуализация на уведомление за поверителност по чл. 13
- Попълване на ROPA с правни основания и обосновки
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.