Съгласие по GDPR — кога е нужно и как да го получите правилно
Кратък отговор: Съгласието по GDPR е валидно само ако е свободно изразено, конкретно, информирано и недвусмислено (чл. 4(11) и чл. 7). Предварително маркираните полета, мълчанието и бездействието не са валидно съгласие. В България децата могат да дават съгласие от 14-годишна възраст (чл. 25в ЗЗЛД). Съгласието трябва да може да бъде оттеглено по всяко време, толкова лесно, колкото е било дадено.
Съдържание
- Кога е необходимо съгласие и кога да изберете друго основание
- Четирите кумулативни изисквания
- Решение Planet49 и бисквитките
- Double opt-in — задължителен ли е
- Съгласие на деца — правилата за България
- Оттегляне на съгласието
- Как да документирате съгласието
- Съгласие в трудовите правоотношения
- Често срещани грешки
- Често задавани въпроси
Съгласието е едно от шестте правни основания за обработка на лични данни по GDPR и може би най-разпознаваемото от тях. Парадоксално, то е и най-крехкото: може да бъде оттеглено по всяко време, а условията за валидност са строги. В тази статия разглеждаме кога съгласието е правилният избор, как да го получите в съответствие с GDPR и какви са специфичните правила за България.
Кога е необходимо съгласие и кога да изберете друго основание
Съгласието е подходящо правно основание, когато:
- Субектът на данни има реален избор дали да приеме обработката
- Нито едно от останалите пет основания по чл. 6(1) GDPR не е приложимо
- Можете да осигурите лесен механизъм за оттегляне
Типични случаи за съгласие
- ✓ Абониране за маркетингов бюлетин (newsletter)
- ✓ Поставяне на аналитични и рекламни бисквитки
- ✓ Снимки от фирмено събитие за публикуване в социалните мрежи
- ✓ Участие в анкета или проучване
- ✓ Обработка на здравни данни за научно изследване (чл. 9(2)(a))
- ✓ Абониране за push известия
Кога съгласието НЕ е подходящо
- ✗ Обработка на данни на служители от работодателя (дисбаланс на силата)
- ✗ Обработка, необходима за изпълнение на договор (използвайте чл. 6(1)(b))
- ✗ Обработка, изискуема по закон (използвайте чл. 6(1)(c))
- ✗ Ситуации, при които отказът води до невъзможност да получите основна услуга (cookie wall)
- ✗ Обработка от публични органи при изпълнение на функциите им
EDPB препоръка: Съгласието трябва да бъде „последно по ред" основание. Винаги първо проверете дали някое от останалите пет основания е приложимо. Вижте нашата статия „6-те правни основания по чл. 6 GDPR" за подробен алгоритъм за избор.
Четирите кумулативни изисквания за валидно съгласие
Чл. 4(11) GDPR определя съгласието като „всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните". Четирите изисквания са кумулативни: ако липсва дори едно, съгласието е невалидно.
1. Свободно изразено (Freely given)
Субектът трябва да има реален избор и да не търпи негативни последици при отказ.
| Свободно | Несвободно |
|---|---|
| Отделна отметка за newsletter при покупка | „Ако не се абонирате, не можете да завършите поръчката" |
| Гранулиран избор за различни видове бисквитки | Cookie wall: „Приемете всички бисквитки или напуснете сайта" |
| Доброволно участие в лотария | „Подпишете тук, за да получите заплатата си" (работодател) |
Съображение 43 GDPR: Съгласието не се счита за свободно изразено, ако е налице явен дисбаланс между субекта и администратора, по-специално когато администраторът е публичен орган. Това правило важи с особена сила за трудовите правоотношения (работодател и служител).
2. Конкретно (Specific)
Съгласието трябва да бъде дадено за конкретна цел. Ако имате множество цели, трябва да предоставите отделна опция за всяка.
- ✗ „Съгласявам се данните ми да бъдат обработвани за маркетинг, анализ и профилиране" (една обща отметка)
- ✗ „Съгласявам се с общите условия" (скрито съгласие в ОУ)
- ✓ Отделна отметка: „Искам да получавам маркетингов бюлетин"
- ✓ Отделна отметка: „Разрешавам аналитични бисквитки"
- ✓ Отделна отметка: „Разрешавам рекламни бисквитки"
3. Информирано (Informed)
Преди даване на съгласие субектът трябва да е информиран най-малко за:
- Наименованието на администратора
- Целта на обработването
- Какви данни ще бъдат обработвани
- Правото на оттегляне и как да го упражни
- Ако има трансфер към трети държави
- Ако данните ще бъдат предоставени на трети страни
4. Недвусмислено (Unambiguous)
Съгласието трябва да бъде дадено чрез ясно утвърдително действие (Съображение 32):
- ✓ Кликване на непредварително маркирано квадратче
- ✓ Подписване на декларация за съгласие
- ✓ Изпращане на потвърдителен имейл (double opt-in)
- ✓ Избор на настройки в интерфейс за бисквитки
- ✗ Предварително маркирани полета (pre-ticked boxes)
- ✗ Мълчание или бездействие
- ✗ Скролване на страница
- ✗ „Продължавайки да разглеждате сайта, Вие се съгласявате..."
Решение Planet49 и бисквитките
Решение C-673/17 на Съда на ЕС (1 октомври 2019 г.) е знаково за разбирането на съгласието в контекста на бисквитките. Делото засяга германската компания Planet49, която използва предварително маркирано квадратче за рекламни бисквитки в онлайн лотария.
Planet49 (C-673/17) — основни изводи
1. Предварително маркирани полета не са валидно съгласие. Съдът потвърди, че съгласието изисква активно действие от потребителя. Квадратче, което е маркирано по подразбиране и трябва да бъде демаркирано, не отговаря на изискването за „ясно утвърдително действие".
2. Информация за срок и достъп. Субектът трябва да бъде информиран за срока на действие на бисквитките и дали трети страни имат достъп до тях.
3. Приложимо е за всички бисквитки, освен стриктно необходимите. Функционалните бисквитки (сесия, кошница) не изискват съгласие. Всички останали (аналитични, рекламни, трекинг) изискват активно съгласие.
Практическо значение за България: Ако Вашият уебсайт използва Google Analytics, Facebook Pixel, рекламни мрежи или друга проследяваща технология, трябва да имате cookie banner, който изисква активен избор (opt-in) за всяка категория бисквитки. „Продължавайки да разглеждате сайта, Вие се съгласявате" не е валидно.
Как трябва да изглежда cookie банерът
- ✓ Бутон „Приемам всички" и бутон „Настройки" / „Управление на бисквитки"
- ✓ В настройките: гранулиран избор по категории (функционални, аналитични, рекламни)
- ✓ Функционалните могат да бъдат предварително маркирани (необходими за работата на сайта)
- ✓ Аналитичните и рекламните трябва да бъдат ДЕМАРКИРАНИ по подразбиране
- ✓ Информация за всяка категория: какви бисквитки, от кого, колко дълго
- ✓ Бутон „Приемам избраните" или „Запазване на настройки"
Вашият cookie банер съответства ли на GDPR?
- Безплатен преглед на cookie банера на Вашия уебсайт
- Изготвяне на cookie политика в съответствие с GDPR и ePrivacy
- Внедряване на CMP (Consent Management Platform)
Double opt-in — задължителен ли е
Double opt-in означава, че след първоначалното съгласие (например попълване на формуляр за newsletter) субектът получава потвърдителен имейл с линк, който трябва да кликне, за да потвърди абонамента си.
| Аспект | Single opt-in | Double opt-in |
|---|---|---|
| Правна задължителност по GDPR | Допустим | Не е изрично задължителен |
| Задължителен в DE и AT | Не | Да, по съдебна практика |
| Доказателствена стойност | По-слаба | Много силна |
| Защита от злоупотреба | Няма | Предотвратява фалшиви абонаменти |
| Препоръка за България | Допустим, но рисков | Силно препоръчителен |
Препоръка: Макар GDPR да не изисква изрично double opt-in, ние силно го препоръчваме за имейл маркетинг. Той осигурява най-силното доказателство за валидно съгласие при евентуална проверка от КЗЛД и предотвратява абонаменти с чужди имейл адреси.
Съгласие на деца — правилата за България
Чл. 8 GDPR въвежда специални правила за съгласието на деца при предоставяне на услуги на информационното общество (уебсайтове, приложения, социални мрежи, онлайн игри). Стандартната възрастова граница по GDPR е 16 години, но държавите членки могат да я намалят до минимум 13 години.
Какво означава това на практика
- Деца 14-17 г.: Могат сами да дават съгласие за услуги на информационното общество (социални мрежи, онлайн игри, абонаменти). Администраторът обаче трябва да предостави информация на разбираем за тях език.
- Деца под 14 г.: Необходимо е съгласие на родител или настойник. Администраторът трябва да положи разумни усилия да провери, че съгласието е дадено от лицето, което упражнява родителската отговорност.
Внимание: Правилото за 14-годишна възраст се отнася само за услуги на информационното общество. За други видове обработка (снимки на ученици, записвания за извънкласни дейности) се прилагат общите правила на гражданското право. За повече информация вижте „GDPR за училища и образователни институции".
Разумни усилия за верификация
GDPR не определя конкретни технически мерки за верификация на родителско съгласие. На практика се използват:
- Изпращане на потвърдителен имейл до имейл адрес на родителя
- Телефонно обаждане за потвърждение
- Изискване родителят да предостави ограничена информация за самоличност
- Декларация от родителя при физическо присъствие
Оттегляне на съгласието
Чл. 7(3) GDPR установява, че субектът има право по всяко време да оттегли съгласието си. Ключовият принцип е:
„Оттеглянето на съгласие трябва да е толкова лесно, колкото и даването му." (чл. 7(3), трето изречение)
Практически последици
| Как е дадено съгласието | Как трябва да може да се оттегли |
|---|---|
| 1 клик (отметка онлайн) | 1 клик (бутон „Отпиши ме" / unsubscribe) |
| Имейл | Имейл (не обаждане, не писмо с нотариална заверка) |
| Cookie банер | Достъпни настройки за бисквитки (не скрити в 5-то подменю) |
- ✗ Изискване да се обадите на горещ телефон, за да се отпишете от бюлетин
- ✗ Изискване да изпратите писмо или да посетите офис
- ✗ „Вашето оттегляне ще бъде обработено до 30 дни" (трябва незабавно)
- ✗ Скриване на настройките за бисквитки дълбоко в сайта
Какво се случва с данните след оттегляне
Оттеглянето на съгласие действа занапред. Обработването, извършено преди оттеглянето, остава законосъобразно (чл. 7(3), четвърто изречение). Администраторът обаче трябва:
- Да преустанови обработването незабавно
- Да изтрие данните, ако няма друго правно основание за съхранение
- Ако има друго основание (напр. законово задължение по ЗСч за съхранение на фактури), да ограничи обработката само до тази цел
Как да документирате съгласието
Чл. 7(1) GDPR изисква администраторът да може да докаже, че субектът е дал съгласие. Какво да документирате:
- Кой е дал съгласието (идентификация на субекта)
- Кога е дадено (дата и час)
- Какво е било казано на субекта (текст на формата за съгласие, версия на cookie банера)
- Как е дадено (онлайн формуляр, писмена декларация, double opt-in)
- Дали е оттеглено и кога
Практически съвет: Съхранявайте в базата данни: имейл адрес, IP адрес при регистрация, дата и час, точния текст на съгласието (или версия на формуляра) и линк от потвърдителния имейл (при double opt-in). Тази информация е достатъчна за доказване пред КЗЛД.
Съгласие в трудовите правоотношения
Това е една от най-често допусканите грешки в България: работодатели, които искат съгласие от служителите за обработка на данните им за заплати, осигуровки или трудови досиета.
EDPB позиция: Трудовото правоотношение създава дисбаланс на силата между работодателя и служителя. Служителят не може да откаже без страх от негативни последици. Следователно съгласието в повечето случаи не е свободно изразено и е невалидно.
Какво основание да използва работодателят
| Дейност | Правилно основание | Защо НЕ съгласие |
|---|---|---|
| Заплати, осигуровки | Законово задължение — чл. 6(1)(c) | Работодателят е длъжен по КТ и КСО |
| Трудов договор, длъжностна характеристика | Договор — чл. 6(1)(b) | Необходимо за изпълнение на трудовия договор |
| Видеонаблюдение в офиса | Легитимен интерес — чл. 6(1)(f) | Служителят не може реално да откаже |
| Фирмено събитие + снимки за соц. мрежи | Съгласие — чл. 6(1)(a) | ✓ Изключение: тук съгласието е допустимо, защото отказът не влияе на трудовото правоотношение |
Често срещани грешки
- ✗ Предварително маркирани полета за бисквитки или маркетинг
- ✗ „Съгласявам се с политиката за поверителност" като единствена отметка при покупка
- ✗ Cookie wall: „Приемете всички или напуснете сайта"
- ✗ Съгласие от служители за обработка на заплатите
- ✗ Липса на механизъм за оттегляне
- ✗ Оттегляне, което е по-трудно от даването
- ✗ Непроверяване на възрастта при услуги за деца
- ✗ Липса на документация за полученото съгласие
- ✓ Непредварително маркирани полета за всяка отделна цел
- ✓ Ясна и кратка информация за целта на обработването
- ✓ Лесен opt-out с 1 клик (unsubscribe линк)
- ✓ Double opt-in за имейл маркетинг
- ✓ Гранулиран cookie банер с категории
- ✓ Документиране: кой, кога, какво е казано, как е дадено
- ✓ Верификация на възрастта за деца под 14 г. в България
- ✓ Периодичен преглед и подновяване (12-24 месеца за маркетинг)
Решение Orange Romania (C-61/19)
В допълнение към Planet49, решението по делото Orange Romania (2020 г.) потвърди, че:
- Договор с предварително попълнена клауза за съгласие с обработка на данни не е валидно съгласие
- Субектът трябва да маркира отделно квадратче или да подпише отделна декларация
- Фактът, че субектът е подписал целия договор, не означава, че е дал съгласие за всяка обработка, описана в него
Тези правила имат пряко значение за практиката на телекомуникационни оператори, банки, застрахователи и всякакви компании, които включват клаузи за обработка на данни в договорите си.
Често задавани въпроси
Кога е необходимо съгласие по GDPR и кога да избера друго основание?
Съгласието е необходимо, когато нито едно от останалите пет основания не е приложимо и субектът има реален избор. Типични случаи: маркетингов бюлетин, бисквитки, снимки от събития. Не използвайте съгласие, когато обработката е задължителна по закон, необходима за договор или когато субектът не може реално да откаже.
Валидно ли е „мълчаливо" съгласие или предварително маркирани полета?
Не. Съображение 32 GDPR изрично изключва мълчанието, бездействието и предварително маркираните полета като форма на съгласие. Решение Planet49 (C-673/17, 2019) потвърди това правило, включително за бисквитки. Необходимо е активно действие: кликване, подписване, изпращане на потвърждение.
Как трябва да изглежда съгласието за бисквитки на уебсайт?
Cookie банерът трябва да предоставя гранулиран избор по категории (функционални, аналитични, рекламни). Аналитичните и рекламните бисквитки трябва да бъдат демаркирани по подразбиране. Субектът трябва да може да приеме или откаже всяка категория поотделно. Информация за срока и достъпа от трети страни е задължителна (Planet49).
На колко години децата в България могат сами да дават съгласие?
14 години. Чл. 25в от ЗЗЛД определя 14 като минимална възраст за съгласие при услуги на информационното общество (уебсайтове, приложения, социални мрежи). Под 14 години е необходимо съгласие на родител или настойник, а администраторът трябва да положи разумни усилия за верификация.
Как субектът на данни може да оттегли съгласието си?
По всяко време, като механизмът за оттегляне трябва да е толкова лесен, колкото и даването (чл. 7(3)). Ако съгласието е дадено с 1 клик онлайн, оттеглянето не може да изисква обаждане, писмо или посещение на офис. Стандартна практика: unsubscribe линк в имейла, настройки за бисквитки на сайта.
Задължителен ли е double opt-in за имейл маркетинг?
GDPR не изисква изрично double opt-in. В Германия и Австрия обаче е фактически задължителен по съдебна практика. За България силно го препоръчваме: осигурява най-силното доказателство за валидно съгласие, предотвратява фалшиви абонаменти и е приет от КЗЛД като добра практика.
Как да документирам полученото съгласие за целите на проверка от КЗЛД?
Съхранявайте: идентификация на субекта (имейл, име), дата и час на съгласието, точния текст, който е бил представен на субекта (версия на формуляра), начина на даване (онлайн формуляр, писмена декларация) и IP адрес (при онлайн). При double opt-in съхранете и записа за кликване на потвърдителния линк.
Какво се случва с вече събрани данни, ако субектът оттегли съгласието?
Оттеглянето действа занапред (чл. 7(3)). Обработването преди оттеглянето остава законосъобразно. След оттеглянето трябва да преустановите обработването и да изтриете данните, освен ако имате друго правно основание за съхранение (напр. законово задължение за фактури по ЗСч за 10 години).
Нуждаете се от помощ със съгласието по GDPR?
- Преглед и привеждане в съответствие на формулярите за съгласие
- Одит и оптимизация на cookie банера
- Изготвяне на декларации за съгласие за служители, клиенти и деца
- Внедряване на механизъм за оттегляне в съответствие с чл. 7(3)
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.