Срокове за съхранение на лични данни по сектори — практическа таблица
Кратък отговор: GDPR не определя конкретни срокове за съхранение на лични данни — принципът за ограничение на съхранението (чл. 5(1)(е)) изисква данните да се пазят само „за срока, необходим за целите на обработването". На практика обаче десетки български закони определят минимални задължителни срокове: от 30 дни за видеонаблюдение до 50 години за ведомости за заплати. В тази статия ще намерите пълна таблица по сектори с цитирани закони.
Съдържание
- Принципът за ограничение на съхранението
- Голямата таблица — срокове по сектори
- Счетоводство и данъци (ЗСч, ДОПК)
- Трудово право (КТ, КСО)
- Видеонаблюдение (CCTV)
- Маркетинг и комуникации
- Медицински данни
- Подбор на персонал
- Други сектори (AML, литигация, CCTV)
- Как да определите срок, когато законът мълчи
- Какво да правите, когато срокът изтече
- Често задавани въпроси
Определянето на срокове за съхранение е една от най-практически важните и същевременно най-объркващите задачи при спазване на GDPR. Администраторът е длъжен да посочи конкретен срок или критерии за определянето му в уведомлението за поверителност (чл. 13(2)(a)), в регистъра на дейностите по обработване (ROPA) и при отговор на искания от субектите на данни. В тази статия систематизираме основните срокове, приложими в България, с точни препратки към закони и членове.
Принципът за ограничение на съхранението
Чл. 5(1)(е) GDPR установява принципа за ограничение на съхранението (storage limitation): личните данни трябва да се съхраняват във форма, позволяваща идентифициране на субектите, за срок, не по-дълъг от необходимия за целите на обработването.
Това означава:
- Всяка дейност по обработване трябва да има определен срок за съхранение
- Срокът трябва да е обоснован — или с конкретен закон, или с легитимна бизнес необходимост
- „Колкото е необходимо" не е достатъчно конкретен отговор — КЗЛД очаква числа
- След изтичане на срока данните трябва да бъдат изтрити или анонимизирани
Важно: Чл. 17(1)(a) GDPR дава на субектите право на изтриване, когато данните „вече не са необходими за целите, за които са събрани". Ако нямате документиран срок за съхранение, всяко искане за изтриване ще бъде трудно за отклоняване.
Голямата таблица — срокове за съхранение по сектори
По-долу представяме обобщена таблица с основните срокове за съхранение на лични данни, приложими в България. Всеки срок е обвързан с конкретен закон или добра практика.
| Сектор / Тип данни | Срок | Правно основание | Бележки |
|---|---|---|---|
| СЧЕТОВОДСТВО И ДАНЪЦИ | |||
| Счетоводни документи (фактури, договори) | 10 години | чл. 12, ал. 1 ЗСч | От 1 януари на периода, следващ отчетния |
| Ведомости за заплати | 50 години | чл. 12, ал. 1 ЗСч | Най-дългият срок — за пенсионни цели |
| Други счетоводни носители | 3 години | чл. 12, ал. 1 ЗСч | Кореспонденция, вътрешни справки |
| Данъчни документи за ревизия | 10 години | ДОПК | Синхронизирано със ЗСч |
| Данъчни задължения (давност) | 5 / 10 години | чл. 171 ДОПК | 5 г. обща давност, 10 г. при укриване |
| ТРУДОВО ПРАВО И HR | |||
| Трудови договори и допълнителни споразумения | 50 години | чл. 12, ал. 1 ЗСч + КТ | След прекратяване на правоотношението |
| Лични картони на служители | 50 години | Наредба за трудовата книжка и трудовия стаж | Съхраняват се от работодателя |
| Графици за работно време | 3 години | чл. 149 КТ (давност за трудови спорове) | Препоръчително за доказване при спорове |
| Болнични листове | 3 години | КСО | Давност за оспорване на обезщетения |
| Уведомления по чл. 62 КТ | 50 години | КТ | Изпратени до НАП |
| ВИДЕОНАБЛЮДЕНИЕ (CCTV) | |||
| Видеозаписи (обща сигурност) | 30 дни | Практика / КЗЛД указания | Не е законов срок, а утвърдена практика |
| Записи, запазени за инцидент | До приключване на разследването | Чл. 6(1)(f) GDPR | Плюс давност за евентуален иск |
| МАРКЕТИНГ И КОМУНИКАЦИИ | |||
| Данни за бюлетин (newsletter) | До оттегляне на съгласието | Чл. 6(1)(a) + чл. 7(3) GDPR | + 30 дни за техническо изтриване |
| Доказателство за даденото съгласие | 3 години след оттегляне | Чл. 7(1) GDPR + чл. 110 ЗЗД | За защита при евентуални жалби |
| Бисквитки и аналитични данни | До 13 месеца | КЗЛД указания + CNIL насоки | Препоръка на повечето DPA в ЕС |
| ПОДБОР НА ПЕРСОНАЛ | |||
| CV на неодобрен кандидат | 6 месеца | КЗЛД становище | След приключване на процедурата |
| CV с дадено съгласие за бъдещи позиции | До оттегляне / max 2 години | Чл. 6(1)(a) GDPR | Добра практика: подновяване на съгласието |
| МЕДИЦИНСКИ ДАННИ | |||
| Медицинска документация | Без определен max срок | Закон за здравето / ЗЗОД | Доколкото е необходимо за лечение |
| Медицински записи (практика) | 10+ години | Професионална практика | 10 г. след последно лечение; деца — до 25 г. |
| ФИНАНСОВ СЕКТОР И AML | |||
| KYC документи (AML) | 5 години | чл. 67 ЗМИП | След прекратяване на деловите отношения |
| Съмнителни транзакции | 5 години | ЗМИП | От докладването на транзакцията |
| ГРАЖДАНСКИ СПОРОВЕ | |||
| Данни за защита при обща давност | 5 години | чл. 110 ЗЗД | Обща давност за граждански искове |
| Данни при специална давност | 3 години | чл. 111 ЗЗД | Периодични плащания, наеми, обезщетения |
| WHISTLEBLOWING | |||
| Данни от сигнали (добра практика) | 5 години | ЗЗЛПСПОИН + давност | След приключване на разследването |
Внимание: Таблицата е обобщена. Конкретните срокове могат да варират в зависимост от спецификата на дейността и приложимите секторни закони. Винаги проверявайте актуалната редакция на цитирания закон. За сложни случаи потърсете правна консултация.
Счетоводство и данъци (ЗСч, ДОПК)
Законът за счетоводството (ЗСч) е основният закон, който определя срокове за съхранение на документи с лични данни в счетоводен контекст. Чл. 12, ал. 1 диференцира три категории:
50-годишният срок за ведомости за заплати изглежда непропорционален от гледна точка на GDPR, но е обоснован: ведомостите служат за доказване на трудов стаж и осигурителен доход при пенсиониране. До пълната дигитализация на регистрите на НОИ, хартиените ведомости остават единственият начин за установяване на тези обстоятелства за по-стари периоди.
Пресечна точка с GDPR: ЗСч изисква съхранение, а GDPR изисква ограничение. Решението е в правното основание: за срока на законовото задължение (чл. 6(1)(c) GDPR) съхранението е законосъобразно. След изтичане на срока данните трябва да бъдат изтрити — автоматично или чрез периодичен процес.
Трудово право (КТ, КСО)
Трудовото право в България налага едни от най-дългите срокове за съхранение. Причината е свързана с пенсионното осигуряване и трудовите спорове:
| Документ | Срок | Основание | Защо толкова дълго |
|---|---|---|---|
| Трудови договори | 50 г. | ЗСч + КТ | Доказване на стаж при пенсиониране |
| Ведомости за заплати | 50 г. | чл. 12 ЗСч | Пенсионен доход |
| Лични картони | 50 г. | Наредба за трудовата книжка | Трудов стаж |
| Графици за работно време | 3 г. | Давност за трудови спорове | Исковете по КТ се погасяват за 3 г. |
| Болнични листове | 3 г. | КСО | Давност за обезщетения |
| Длъжностни характеристики | 50 г. | КТ | Част от трудовото досие |
Често питане: „Мога ли да изтрия трудовото досие на бивш служител?" Отговорът е не — трудовите договори, ведомостите и личните картони трябва да се пазят 50 години. Можете обаче да ограничите достъпа до тези данни и да ги архивирате по сигурен начин.
Видеонаблюдение (CCTV)
GDPR не определя конкретен срок за съхранение на видеозаписи. В България няма и специален закон за видеонаблюдение. На практика обаче е утвърдена следната рамка:
- 30 дни — наложилата се в практиката граница за записи от обща сигурност (произлиза от техническите ограничения на старите VHS системи, но е възприета и от КЗЛД)
- 72 часа — за дребни инциденти (достатъчно за установяване на обстоятелствата)
- До приключване на производството — ако записът е свързан с конкретен инцидент или престъпление
Практически съвет: Конфигурирайте системата за видеонаблюдение на автоматично презаписване след 30 дни. Ако трябва да запазите запис, свързан с инцидент, копирайте го на отделен носител и документирайте причината за запазването.
Маркетинг и комуникации
При маркетинговата обработка на данни, основана на съгласие (чл. 6(1)(a) GDPR), срокът за съхранение е принципно обвързан с оттеглянето на съгласието:
| Тип данни | Срок | Бележка |
|---|---|---|
| Имейл в абонатски списък | До оттегляне на съгласието | + 30 дни за техническо изтриване |
| Запис за дадено съгласие | 3 г. след оттегляне | За защита при евентуални жалби пред КЗЛД |
| Аналитични бисквитки | Max 13 месеца | Препоръка на CNIL и повечето DPA |
| CRM данни на клиенти (без съгласие) | 5 г. след последна покупка | Обща давност ЗЗД |
Добра практика: Подновявайте/потвърждавайте съгласието за маркетинг на всеки 12-24 месеца. Ако абонат не е отворил нито един имейл в последните 12 месеца, изпратете re-consent имейл. Ако не потвърди, изтрийте го от списъка. Това е и добра антиспам практика.
Медицински данни
Медицинските данни са специална категория лични данни по чл. 9 GDPR и изискват допълнителна защита. Сроковете за съхранение в България не са уеднаквени:
- Закон за здравето / ЗЗОД — не определя максимален срок; медицинската документация се съхранява, доколкото е необходима за лечение
- Практика: поне 10 години след последно лечение
- Детски записи: до навършване на 25 години на пациента
- Рецепти: 3 години (Закон за лекарствените продукти)
Подбор на персонал
КЗЛД е издала становище относно съхранението на данни от подбор на персонал:
Становище на КЗЛД за подбор на персонал
- Неодобрен кандидат: CV и свързаните документи се изтриват до 6 месеца след приключване на процедурата по подбор
- С изрично съгласие за бъдещи позиции: до оттегляне на съгласието, но добра практика е не повече от 2 години
- Одобрен кандидат: данните стават част от трудовото досие и се пазят по правилата на КТ/ЗСч
Други сектори
AML (Закон за мерките срещу изпирането на пари)
Задължените лица по ЗМИП (банки, адвокати, нотариуси, счетоводители, агенти на недвижими имоти) трябва да съхраняват KYC документите 5 години след прекратяване на деловите отношения (чл. 67 ЗМИП). Това включва копия на лични документи, декларации за произход на средства и данни за действителните собственици.
Граждански спорове (ЗЗД)
Давностните срокове по Закона за задълженията и договорите определят колко дълго могат да се пазят данни за целите на защита при потенциални искове:
- Обща давност: 5 години (чл. 110 ЗЗД)
- Специална давност: 3 години (чл. 111 ЗЗД) — за периодични плащания, наеми, обезщетения за вреди
- Вещни права: 10 години (чл. 79 ЗС)
Връзка с ROPA: Всеки от горните срокове трябва да бъде вписан в регистъра на дейностите по обработване (ROPA) срещу съответната дейност. Вместо „колкото е необходимо" посочете конкретен срок и закона, от който произтича.
Нуждаете се от политика за съхранение на данни?
- Изготвяне на retention policy с конкретни срокове за Вашия бизнес
- Преглед и актуализация на ROPA с правилни срокове и правни основания
- Внедряване на процес за периодично изтриване на данни
Как да определите срок, когато законът мълчи
За много дейности по обработване няма изричен законов срок. В тези случаи администраторът трябва сам да определи срока, като се ръководи от следните критерии:
Стъпка 1: Проверете дали има законов срок
Проверете приложимото секторно законодателство (ЗСч, КТ, ЗМИП, ЗЗЛПСПОИН и др.). Ако има законов минимум — спазете го.
Стъпка 2: Проверете давностните срокове
Ако данните са необходими за защита при потенциални правни спорове, давностните срокове по ЗЗД (3 или 5 години) са разумна отправна точка.
Стъпка 3: Оценете пропорционалността
Задайте си въпроса: „Наистина ли ми трябват тези данни след X месеца/години?" Ако отговорът е „не" — определете по-кратък срок.
Стъпка 4: Документирайте
Запишете избрания срок и аргументацията в ROPA и в retention policy. При проверка от КЗЛД ще трябва да обясните защо сте избрали този конкретен срок.
Пример: Определяне на срок за контактна форма на уебсайт
Ситуация: Получавате запитвания чрез контактната форма на уебсайта. Няма законов срок за тези данни.
Анализ:
- Целта е да отговорите на запитването
- Обикновено отговаряте в рамките на 1-3 дни
- Ако кореспонденцията доведе до договор — данните стават договорни
- Ако не — данните вече не са необходими
Определен срок: 6 месеца от последната кореспонденция (с разумен буфер за евентуално подновяване на запитването)
Какво да правите, когато срокът изтече
Изтичането на срока за съхранение не е само формално събитие — то изисква конкретни действия:
- ✓ Изтрийте данните безвъзвратно (от всички системи, бекъпи и хартиени носители)
- ✓ Или анонимизирайте ги (ако са необходими за статистика — премахнете идентификаторите)
- ✓ Документирайте изтриването: дата, метод, отговорно лице
- ✓ Проверете и обработващите (SaaS доставчици) — изискайте потвърждение за изтриване
- ✓ Актуализирайте ROPA
- ✗ Оставяне на данни „за всеки случай" след изтичане на срока
- ✗ Изтриване само от основната система, без проверка на бекъпите
- ✗ Липса на документация за извършеното изтриване
- ✗ Забравяне за хартиените носители (шкафове с досиета)
- ✗ Псевдонимизация вместо анонимизация (псевдонимизираните данни все още са лични)
Бекъпи: Данните в резервните копия също подлежат на изтриване. Ако бекъпът Ви е monthly full backup с 12-месечна ротация, данните ефективно се „пазят" до 12 месеца след изтриване от основната система. Отразете това в retention policy.
Как да внедрите retention policy
Определянето на срокове е само началото. Практическото внедряване изисква:
- Retention schedule — таблица с всички типове данни и техните срокове (базирана на таблицата по-горе, адаптирана за Вашия бизнес)
- Автоматизация — настройте автоматично изтриване в CRM, имейл системи и другите платформи, когато е възможно
- Периодичен преглед — поне веднъж на 6 месеца проверявайте дали има данни с изтекъл срок
- Обучение — уверете се, че всеки отдел знае сроковете за данните, които обработва
- Отговорно лице — определете кой отговаря за изпълнението на retention policy (ДЛЗД или privacy champion)
Често задавани въпроси
Има ли GDPR конкретни срокове за съхранение на лични данни?
Не. GDPR определя само принципа за ограничение на съхранението (чл. 5(1)(е)) — данните да се пазят „не по-дълго от необходимото". Конкретните срокове произтичат от националното законодателство (ЗСч, КТ, ЗМИП и др.) или трябва да бъдат определени от администратора на базата на целите на обработване.
Колко дълго трябва да пазя счетоводни документи с лични данни?
Чл. 12, ал. 1 от Закона за счетоводството определя: ведомости за заплати — 50 години; счетоводни документи (фактури, финансови отчети) — 10 години от 1 януари на периода, следващ отчетния; всички други счетоводни носители — 3 години. Тези срокове са законово задължение по чл. 6(1)(c) GDPR.
Какъв е срокът за съхранение на трудови досиета?
Трудовите договори, допълнителните споразумения, ведомостите за заплати и личните картони се съхраняват 50 години. Графиците за работно време и болничните листове — 3 години. Тези срокове са обусловени от пенсионното осигуряване и давността за трудови спорове.
Колко дълго мога да съхранявам записи от видеонаблюдение?
GDPR и българският закон не определят конкретен срок. В практиката и според КЗЛД, 30 дни е утвърдената граница за записи за обща сигурност. Записи, свързани с конкретен инцидент, могат да се пазят до приключване на разследването и изтичане на давността.
Кога трябва да изтрия данните на кандидат за работа, който не е одобрен?
Според КЗЛД — до 6 месеца след приключване на процедурата по подбор. Ако искате да запазите CV за бъдещи позиции, трябва изрично съгласие на кандидата. Дори при съгласие, добрата практика е не повече от 2 години, с периодично подновяване.
Как да определя срок за съхранение, когато законът не посочва конкретен?
Следвайте четири стъпки: (1) Проверете дали има секторен закон; (2) Проверете давностните срокове по ЗЗД (3 или 5 години); (3) Оценете дали данните реално Ви трябват; (4) Документирайте избора с аргументация. При проверка КЗЛД ще приеме всеки разумно обоснован срок.
Трябва ли да информирам субектите за срока на съхранение?
Да. Чл. 13(2)(a) GDPR изисква в уведомлението за поверителност (privacy notice) да посочите срока за съхранение или, ако това не е възможно, критериите за неговото определяне. Чл. 30(1)(f) изисква същото в ROPA.
Какво да правя с данни, за които срокът е изтекъл?
Имате две опции: (1) Безвъзвратно изтриване от всички системи (включително бекъпи); (2) Анонимизация, ако данните са необходими за статистически цели. Псевдонимизацията НЕ е достатъчна — псевдонимизираните данни остават лични. Документирайте изтриването с дата и метод.
Нуждаете се от помощ с retention policy и GDPR?
- Изготвяне на retention schedule за Вашата организация
- Актуализация на ROPA с конкретни срокове и правни основания
- Процедура за периодично изтриване на данни
- Подготовка за проверка от КЗЛД
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. Сроковете за съхранение могат да варират в зависимост от спецификата на дейността и приложимите секторни закони. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.