Регистър на дейностите по обработване (ROPA) — шаблон и примери
Кратък отговор: Регистърът на дейностите по обработване (ROPA) е задължителен документ по чл. 30 GDPR, който описва всички операции с лични данни във Вашата организация. На практика почти всяка фирма в България е длъжна да го поддържа, защото обработката на заплати и HR данни не е „окасионална". ROPA е първият документ, който КЗЛД иска при проверка, а липсата му води до глоба до 10 млн. евро (около 19,5 млн. лв.).
Съдържание
Регистърът на дейностите по обработване, известен в практиката като ROPA (от англ. Record of Processing Activities), е един от най-важните инструменти за доказване на съответствие с GDPR. Въпреки това множество български организации все още нямат актуален регистър или го водят формално, без да отразяват реалните процеси по обработване на лични данни. В тази статия ще намерите конкретни шаблони, примери от практиката и насоки за правилно попълване.
Какво е ROPA и защо е задължителен
Чл. 30 от Общия регламент относно защитата на данните (GDPR) въвежда задължението всеки администратор и обработващ лични данни да поддържа писмен регистър на дейностите по обработване. Този документ не е формалност, а практически инструмент, който изпълнява няколко функции:
- Доказва спазване на принципа за отчетност (чл. 5, ал. 2 GDPR) пред КЗЛД при проверка
- Помага за идентифициране на рискове и определяне дали е необходима оценка на въздействието (DPIA)
- Служи като основа за изготвяне на информация по чл. 13 и чл. 14 GDPR (уведомления за поверителност)
- Улеснява отговорите на искания от субектите на данни за достъп, коригиране или изтриване
Съображение (Recital) 82 от GDPR: За да се докаже спазването на настоящия регламент, администраторът или обработващият лични данни следва да поддържа регистри на дейностите по обработване, за които отговаря. Всеки администратор и обработващ лични данни следва да е задължен да сътрудничи на надзорния орган и да предоставя тези регистри при поискване.
Кой е длъжен да поддържа ROPA
Чл. 30, ал. 5 GDPR предвижда изключение от задължението за поддържане на регистър за организации с по-малко от 250 служители. На пръв поглед това изглежда като облекчение за малкия и средния бизнес. В действителност обаче изключението е приложимо само когато са изпълнени едновременно следните условия:
Важно: На практика изключението е почти неприложимо. Всяка фирма, която има поне един служител, обработва данни за заплати, социално и здравно осигуряване, трудови договори. Тази обработка е систематична, а не „окасионална". Следователно дори микропредприятие с 2-3 души персонал е длъжно да води ROPA.
Ето кои дейности правят обработката „неокасионална" и задължават Ви да поддържате регистър, дори ако имате под 250 служители:
- Обработка на заплати и осигуровки (месечна, систематична)
- Поддържане на клиентска база данни или CRM система
- Изпращане на рекламни имейли или бюлетин
- Видеонаблюдение (CCTV) на работното място или в обект
- Водене на счетоводство с данни на физически лица
- Онлайн магазин с поръчки и адреси за доставка
Регистър на администратора (чл. 30, ал. 1)
Ако Вашата организация определя целите и средствата за обработване на лични данни, тя действа като администратор. Регистърът на администратора трябва да съдържа осемте задължителни елемента, посочени в чл. 30, ал. 1 GDPR:
| № | Елемент | Какво да включите |
|---|---|---|
| 1 | Име и данни за контакт | Наименование на администратора, адрес, съвместни администратори, представител, ДЛЗД (DPO) |
| 2 | Цели на обработването | Конкретна цел за всяка дейност (напр. „управление на трудови правоотношения", „директен маркетинг") |
| 3 | Категории субекти на данни | Служители, клиенти, доставчици, посетители, кандидати за работа |
| 4 | Категории лични данни | Имена, ЕГН, адрес, банкова сметка, здравни данни, видеозаписи и др. |
| 5 | Категории получатели | НАП, НОИ, обработващи (счетоводител, хостинг), трети страни |
| 6 | Предаване към трети държави | Дали се предават данни извън ЕИП, към кои държави, гаранции (адекватност, SCC, DPF) |
| 7 | Срокове за изтриване | Предвидени срокове или критерии за определянето им (напр. „10 г. по ЗСч", „до оттегляне на съгласието") |
| 8 | Мерки за сигурност | Общо описание на технически и организационни мерки (криптиране, контрол на достъпа, обучения и др.) |
Регистър на обработващия (чл. 30, ал. 2)
Ако Вашата организация обработва лични данни от името на друга организация (администратор), тя действа като обработващ. Типични примери за обработващи в България са счетоводни къщи, IT доставчици, хостинг компании и маркетинг агенции.
Регистърът на обработващия е по-кратък, но също задължителен. Той включва:
| № | Елемент | Какво да включите |
|---|---|---|
| 1 | Име и данни за контакт | На обработващия, на всеки администратор, от чието име се обработва, и на ДЛЗД |
| 2 | Категории обработване | Какви операции извършвате за всеки администратор (напр. „изчисляване на заплати", „хостинг на уебсайт") |
| 3 | Предаване към трети държави | Аналогично на регистъра на администратора |
| 4 | Мерки за сигурност | Общо описание на техническите и организационните мерки |
Ако организацията Ви е едновременно администратор и обработващ (например счетоводна фирма, която обработва данни на клиентите си като обработващ и на собствените си служители като администратор), водите два отделни регистъра.
Нуждаете се от помощ с изготвяне на ROPA?
- Безплатна първоначална оценка дали Вашият регистър отговаря на изискванията
- Попълване и актуализация на ROPA за администратор и обработващ
- Подготовка за проверка от КЗЛД
Шаблон за ROPA с примери
По-долу представяме практически примери за записи в ROPA на администратор. Всеки ред представлява отделна дейност по обработване:
Пример 1: Управление на персонала (HR)
| Поле | Съдържание |
|---|---|
| Дейност по обработване | Управление на трудови правоотношения |
| Цел | Сключване, изпълнение и прекратяване на трудови договори; изчисляване на заплати и осигуровки |
| Правно основание | Чл. 6(1)(b) GDPR (договор) и чл. 6(1)(c) GDPR (законово задължение по КТ, КСО, ЗСч) |
| Категории субекти | Служители, бивши служители |
| Категории данни | Три имена, ЕГН, адрес, банкова сметка, данни за трудов стаж, здравни данни (болнични) |
| Получатели | НАП, НОИ, НЗОК, банка обслужваща, външен счетоводител (обработващ по чл. 28) |
| Предаване извън ЕИП | Не |
| Срок за съхранение | Ведомости за заплати: 50 г. (чл. 12 ЗСч); трудови договори: 50 г.; болнични: 3 г. |
| Мерки за сигурност | Контрол на достъпа (парола + роли), криптиране на бази данни, заключени шкафове за хартиени досиета |
Пример 2: Маркетинг (бюлетин)
| Поле | Съдържание |
|---|---|
| Дейност по обработване | Изпращане на имейл бюлетин |
| Цел | Директен маркетинг на продукти и услуги |
| Правно основание | Чл. 6(1)(a) GDPR (съгласие) |
| Категории субекти | Абонати на бюлетина |
| Категории данни | Имейл адрес, име (ако е предоставено), дата на абониране, история на отваряне |
| Получатели | Mailchimp/Brevo (обработващ по чл. 28) |
| Предаване извън ЕИП | Да, САЩ. Гаранции: EU-US DPF (проверен статус на dataprivacyframework.gov) + SCC като резервен механизъм |
| Срок за съхранение | До оттегляне на съгласието + 30 дни за техническо изтриване |
| Мерки за сигурност | Двуфакторна автентикация за акаунта, криптирана връзка (TLS), ежегоден преглед на списъците |
Пример 3: Видеонаблюдение
| Поле | Съдържание |
|---|---|
| Дейност по обработване | Видеонаблюдение на входове и обща зона |
| Цел | Защита на имущество и сигурност на служители и посетители |
| Правно основание | Чл. 6(1)(f) GDPR (легитимен интерес), документиран чрез LIA |
| Категории субекти | Служители, посетители, доставчици |
| Категории данни | Видеозаписи (образ на лица и фигури) |
| Получатели | МВР (при инцидент, по искане) |
| Предаване извън ЕИП | Не |
| Срок за съхранение | 30 календарни дни, след което автоматично презаписване |
| Мерки за сигурност | Физическа защита на записващото устройство, парола за достъп, логове за преглед, информационни табели |
Най-честите грешки при попълване на ROPA
- ✗ Копиране на чужд шаблон без адаптация към реалните процеси
- ✗ Посочване на „съгласие" като правно основание за обработка на данни на служители
- ✗ Липса на конкретни срокове за съхранение (записано е „колкото е необходимо")
- ✗ Пропускане на обработващите лични данни (счетоводител, хостинг, CRM система)
- ✗ ROPA, който не е обновяван от 2018 г. (годината на влизане в сила на GDPR)
- ✗ Липса на регистър на обработващия, когато фирмата обработва данни от чуждо име
- ✗ Непосочване на предаване на данни към трети държави (напр. при използване на Google Workspace или AWS)
- ✓ Провеждане на вътрешен одит и картографиране на реалните потоци от данни преди попълване
- ✓ Определяне на правното основание за всяка дейност с препратка към конкретен закон
- ✓ Посочване на конкретни срокове с правно основание (напр. „50 г. по чл. 12 ЗСч")
- ✓ Включване на всички обработващи с име и DPA статус
- ✓ Редовен преглед и актуализация (минимум веднъж годишно)
- ✓ Водене на отделен регистър за ролята „обработващ", ако е приложимо
- ✓ Документиране на трансферите извън ЕИП с посочване на приложимите гаранции
Колко често да актуализирате ROPA
GDPR не определя конкретна честота за преглед на регистъра. На практика обаче ROPA трябва да се третира като жив документ, който се актуализира:
- Незабавно при въвеждане на нова дейност по обработване (нов софтуер, нова услуга, нов тип клиенти)
- Незабавно при смяна на обработващ лични данни (нов счетоводител, нов хостинг доставчик)
- Незабавно при промяна на правното основание или целта на обработване
- Минимум веднъж годишно при цялостен преглед, дори ако няма видими промени
Препоръка: Включете прегледа на ROPA в ежегодния план за GDPR съответствие. Определете отговорно лице (ДЛЗД или privacy champion) и задайте конкретна дата за годишен одит. Документирайте всяка промяна с дата и инициали на отговорното лице.
Какво проверява КЗЛД
При проверка Комисията за защита на личните данни (КЗЛД) изисква ROPA като първи документ. Въз основа на него надзорният орган може да провери:
- Дали всяка дейност по обработване има валидно правно основание
- Дали са определени и спазвани конкретни срокове за съхранение
- Дали има сключени договори с обработващите (чл. 28 GDPR)
- Дали трансферите извън ЕИП са покрити с адекватни гаранции
- Дали организацията е наясно какви данни обработва и за какви цели
Практиката показва, че КЗЛД в България налага глоби в значително по-нисък размер от теоретичния максимум, но при проверка липсата на ROPA винаги води до предписание, а при повторно нарушение глобата се увеличава значително.
Формат на регистъра
GDPR изисква регистърът да бъде воден в писмена форма, включително в електронна (чл. 30, ал. 3). Няма задължителен формат. На практика най-разпространените варианти са:
- Excel/Google Sheets — подходящ за малки и средни предприятия. Лесен за поддръжка, но труден за контрол на версиите.
- Специализиран GDPR софтуер (OneTrust, DataGrail, Priverion) — подходящ за по-големи организации. Осигурява автоматично версиониране и напомняния.
- Word/PDF документ — допустимо, но по-трудно за актуализация. Не се препоръчва за организации с повече от 5-6 дейности по обработване.
Изтеглете безплатен шаблон за ROPA
- Готов Excel шаблон за администратор с примерни записи
- Шаблон за обработващ лични данни
- Инструкции за попълване на български език
Практически съвети за внедряване
Стъпка 1: Картографиране на потоците от данни
Преди да попълните ROPA, проведете вътрешен одит. Интервюирайте ръководителите на всеки отдел и установете:
- Какви лични данни събират и обработват
- С каква цел и на какво основание
- На кого ги предоставят (вътрешно и външно)
- Колко дълго ги съхраняват
- Какви мерки за защита прилагат
Стъпка 2: Попълване на регистъра
Запишете всяка дейност по обработване като отделен ред в регистъра. Бъдете конкретни: вместо „обработка на данни на клиенти" посочете „обработка на поръчки в онлайн магазин" и „изпращане на маркетингов бюлетин" като отделни записи.
Стъпка 3: Преглед и валидиране
Проверете за пълнота и последователност. Всяко правно основание трябва да съответства на реалността. Проверете дали за всеки обработващ има валиден договор по чл. 28.
Стъпка 4: Определяне на процес за актуализация
Въведете вътрешна процедура: при всяко ново закупуване на софтуер, наемане на нов доставчик или стартиране на нова бизнес дейност ROPA трябва да бъде актуализиран преди началото на обработването.
ROPA за свързани дружества (холдинги)
Ако Вашата организация е част от група свързани дружества, всяко юридическо лице трябва да поддържа собствен ROPA. Не е допустимо един общ регистър за целия холдинг, тъй като всяко дружество е самостоятелен администратор. Допустимо е обаче да се използва общ шаблон и единна система за управление, стига записите да са разграничени по юридическо лице.
Често задавани въпроси
Какво е регистър на дейностите по обработване (ROPA) и защо ми е нужен?
ROPA е задължителен документ по чл. 30 GDPR, който описва всички дейности по обработване на лични данни във Вашата организация. Той доказва спазването на принципа за отчетност (чл. 5(2) GDPR) и е първият документ, който КЗЛД изисква при проверка. Без актуален ROPA не можете да докажете съответствие с регламента.
Длъжен ли съм да водя ROPA, ако фирмата ми има по-малко от 250 служители?
Да, в повечето случаи. Изключението по чл. 30(5) се прилага само ако обработката е „окасионална", няма риск за субектите и не включва чувствителни данни. На практика всяка фирма с поне един служител обработва заплати и HR данни систематично, което прави ROPA задължителен.
Каква е разликата между регистъра на администратора и регистъра на обработващия?
Регистърът на администратора (чл. 30(1)) съдържа 8 елемента, включително цели, правни основания и срокове за изтриване. Регистърът на обработващия (чл. 30(2)) е по-кратък и включва 4 елемента, фокусирани върху категориите обработване, извършвано от името на всеки администратор. Ако организацията Ви е и в двете роли, водите два отделни регистъра.
Колко често трябва да актуализирам ROPA?
Незабавно при всяка промяна: нова дейност по обработване, смяна на обработващ, промяна на правно основание. Освен това се препоръчва цялостен преглед поне веднъж годишно. Датата на всяка актуализация трябва да се документира.
В какъв формат трябва да бъде воден ROPA?
Чл. 30(3) GDPR изисква „писмена форма, включително в електронен формат". Най-разпространеният вариант за МСП е Excel. За по-големи организации са подходящи специализирани платформи като OneTrust или Priverion. Хартиен регистър е допустим, но непрактичен за актуализация.
Какво се случва, ако КЗЛД поиска регистъра ми и аз не го водя?
Липсата на ROPA е самостоятелно нарушение на чл. 30 GDPR, санкционирано по чл. 83(4)(a) с глоба до 10 млн. евро (около 19,5 млн. лв.) или 2% от годишния глобален оборот. В българската практика глобите са по-ниски, но КЗЛД издава задължително предписание с кратък срок за изпълнение.
Мога ли да използвам един ROPA за няколко свързани дружества?
Не. Всяко юридическо лице е самостоятелен администратор и трябва да има собствен ROPA. Допустимо е да се използва общ шаблон и единна система за управление в рамките на групата, но записите трябва да са ясно разграничени по дружество.
Какви са най-честите грешки при попълване на ROPA?
Най-честите грешки са: копиране на шаблон без адаптация, посочване на „съгласие" за обработка на данни на служители, липса на конкретни срокове за съхранение, пропускане на обработващи (счетоводител, хостинг), непосочване на трансфери извън ЕИП и липса на актуализация от 2018 г. насам.
Нуждаете се от помощ с ROPA и GDPR съответствие?
- Изготвяне и попълване на регистър на дейностите по обработване
- Вътрешен одит на потоците от лични данни
- Преглед на договори с обработващи по чл. 28 GDPR
- Подготовка за проверка от КЗЛД
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.