Оценка на въздействието при трансфер (TIA) — шаблон за трансфери в САЩ след Schrems II
Когато подписвате договор с американски доставчик на софтуерна услуга — Salesforce, AWS, Microsoft, Slack — задължително трябва да изготвите оценка на въздействието при трансфер (TIA). Това задължение произтича от решението на Съда на ЕС Schrems II (C-311/18) от 16 юли 2020 г. и е конкретизирано в EDPB Препоръки 01/2020 чрез 6-стъпкова методология. EU-US Data Privacy Framework (от юли 2023 г.) спестява TIA само при сертифицирани вендори — и то с резерви. Това ръководство дава практически шаблон, базиран на първични източници — за юрисконсулти, длъжностни лица по защита на данните и снабдяване екипи в български компании.
Съдържание
- Защо темата е критична — Schrems II и след това
- Какво е TIA и кога е задължителна
- Спестява ли EU-US Data Privacy Framework нуждата от TIA?
- EDPB 6-стъпкова методология
- Кой SCC модул се ползва
- Допълнителни мерки — три категории
- Шаблон за TIA — какво трябва да съдържа
- Чеклист за снабдяване и юристи
- Често задавани въпроси
Защо темата е критична — Schrems II и след това
На 16 юли 2020 г. Съдът на ЕС постанови решението си в делото Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (C-311/18). Двете ключови последствия:
- Privacy Shield беше обезсилен — старото решение за адекватност между ЕС и САЩ от 2016 г. отпадна моментално
- Стандартните договорни клаузи (SCCs) останаха валидни — но със задължение за всеки износител на данни да оцени дали правото на третата държава осигурява еквивалентна защита
Това второ задължение е оценката на въздействието при трансфер (TIA) — Transfer Impact Assessment. Без нея трансферът е незаконен, дори при перфектно подписани SCCs.
Цената на липсваща TIA
Когато КЗЛД (или съответен надзорен орган в ЕС) проверява международен трансфер, първият документ, който ще поиска, е TIA. Липсата на документирана оценка означава автоматична констатация за нарушение на чл. 46 GDPR — глоби до EUR 20 милиона или 4% от глобалния оборот. Освен това: задължение за прекратяване на трансфера, което може да парализира бизнеса (напр. ако ползвате AWS за производствени системи).
Какво е TIA и кога е задължителна
TIA е писмен документ, който съдържа правен и фактически анализ на трансфера: какви данни се прехвърлят, на кого, в коя държава, по какъв инструмент, какъв е рискът от достъп от държавни органи, какви допълнителни мерки са въведени за компенсация на пропуски в правото на получаващата държава.
TIA е задължителна за:
| Сценарий | TIA задължителна | Основание |
|---|---|---|
| Трансфер на данни в САЩ (без DPF сертификация на получателя) | Да | Schrems II + EDPB Rec 01/2020 |
| Трансфер в страни без решение за адекватност (Индия, Бразилия, Китай, ОАЕ) | Да | Чл. 46 GDPR + Schrems II |
| Трансфер в Великобритания, Швейцария, Япония, Канада, Израел | Не (адекватност) | Чл. 45 GDPR — adequacy decision |
| Трансфер в САЩ при DPF сертифициран получател | Не (адекватност, но проверка на сертификацията) | Чл. 45 + Decision 2023/1795 |
| Трансфер по дерогация (чл. 49 GDPR — изключения) | Понякога (документация задължителна) | Чл. 49 GDPR |
Спестява ли EU-US Data Privacy Framework нуждата от TIA?
На 10 юли 2023 г. Европейската комисия прие решение за адекватност на EU-US Data Privacy Framework (DPF) — Решение за изпълнение 2023/1795. От 11 юли 2023 г. американски компании могат да се сертифицират по DPF и да получават лични данни от ЕС без допълнителни SCC и TIA.
През 2024 г. Общият съд на ЕС отхвърли първоначалното оспорване на DPF (делото Latombe v Commission), което укрепи правната сигурност.
Какво проверявате преди да се позовете на DPF
(1) Получателят е сертифициран в публичния списък на DPF (dataprivacyframework.gov). (2) Сертификацията покрива конкретния тип данни, които прехвърляте (HR данни не са винаги покрити). (3) Сертификацията е активна — компании могат да отпаднат от списъка. (4) Имате писмено потвърждение от вендора за DPF покритие. Без тези 4 проверки трансферът не е защитен.
Препоръчваме комбиниран подход — DPF + SCCs резерва
По наш анализ, при политическа несигурност (Privacy Shield беше обезсилен през 2020 г. след първоначално одобрение през 2016 г.; Trump администрацията отслаби независимия надзор на Data Protection Review Court през 2025 г.), препоръчваме на големите български компании да поддържат SCCs + TIA готови за активиране, дори когато се позовават на DPF. Това е защитен резерв при евентуално бъдещо обезсилване на DPF от Съда на ЕС.
EDPB 6-стъпкова методология
EDPB Препоръки 01/2020 (финална версия от 18 юни 2021 г.) формулира задължителна 6-стъпкова методология за TIA:
Картографиране на трансферите
Документирайте всички международни трансфери: какви данни, кой ги изпраща, на кого, по какъв канал. Включете и подизпълнителите. Без този картографски документ, останалите 5 стъпки са недостоверни.
Идентификация на инструмента
За всеки трансфер — кой е правният механизъм: SCCs (Decision 2021/914), BCRs (за вътрешногрупови), DPF (адекватност за САЩ), дерогация по чл. 49 GDPR, или адекватност за други държави.
Оценка на правото на третата държава
Проверете дали правото и практиката на получаващата държава осигуряват „по същество еквивалентна" защита. За САЩ: FISA 702, Executive Order 12333, CLOUD Act — възможности за достъп от държавни органи.
Допълнителни мерки
Ако правото на третата държава не дава еквивалентна защита, въведете компенсаторни мерки — технически, организационни, договорни. Подробно в следваща секция.
Процедурни стъпки
Документирайте формалните стъпки: подписване на SCCs (с правилния модул), уведомяване на вендора за допълнителните мерки, регистриране в RoPA (регистър на дейностите), уведомяване на КЗЛД при необходимост.
Периодична преоценка
TIA не е еднократен документ — препоръчваме годишна преоценка плюс незабавна при ново съдебно решение на СЕС, нов закон в третата държава, промяна в SCCs или съществена промяна в трансфера.
Кой SCC модул се ползва
Решение (ЕС) 2021/914 на Европейската комисия от 4 юни 2021 г. въвежда нови стандартни договорни клаузи с модулна структура — общи клаузи плюс модул, който отразява конкретния сценарий:
| Модул | Сценарий | Типичен пример |
|---|---|---|
| Module 1 | Администратор → Администратор (C2C) | Българска компания споделя клиентски данни с американска партньорска компания |
| Module 2 | Администратор → Обработващ (C2P) | Българска компания ползва Salesforce / AWS / Slack за свои данни (най-чест сценарий) |
| Module 3 | Обработващ → Подобработващ (P2P) | Българска IT агенция ползва американски подизпълнител за клиентски проект |
| Module 4 | Обработващ → Администратор (P2C) | Български процесор предоставя данни обратно на американски администратор |
Грешен модул = незаконен трансфер
Една от най-честите грешки: подписват се SCCs с грешен модул, защото вендорът представя стандартен пакет „за всички случаи". Module 2 (C2P) е напълно различен от Module 3 (P2P) по задължения и отговорности. Преглеждайте предложените SCCs преди подписване — често доставчикът използва неподходящ модул.
Допълнителни мерки — три категории
Ако TIA установи, че правото на третата държава не дава еквивалентна защита (което е почти винаги за САЩ за данни, които могат да попаднат под FISA 702), задължени сте да въведете допълнителни мерки. EDPB Препоръки 01/2020 описват три категории:
Технически мерки (най-висока тежест)
- Силно криптиране в покой и при пренос — с ключове, които остават под контрола на износителя в ЕС
- Псевдонимизация — данни се прехвърлят без преки идентификатори
- Split processing — част от данните се обработват в ЕС, само неконфиденциални части в третата държава
- Хомоморфна криптография — изчисления върху криптирани данни без расшифроване
Организационни мерки
- Вътрешни политики на вендора за reagиране при искания от държавни органи
- Обучение на персонала на вендора за признаване и оспорване на незаконни искания
- Редовни одити на вендора (право на одит в SCC)
- Минимизация на данните, които изобщо се прехвърлят
Договорни мерки
- Задължение на вендора да уведомява за всяко искане от държавни органи
- Задължение за оспорване на незаконни искания в съда
- Прекратяване на трансфера при промяна в правото на третата държава
- Право на износителя да преустанови трансфера незабавно
- Уведомяване на засегнатите субекти при пробив
Само договорните мерки не са достатъчни
EDPB изрично подчертава: договорни и организационни мерки не могат сами да компенсират законови правомощия за неограничен достъп от държавни органи. За да защитите данните при трансфер в САЩ за чувствителни употреби, трябват и технически мерки — особено криптиране с ключове в ЕС.
Шаблон за TIA — какво трябва да съдържа
Документът на TIA има 7 задължителни раздела:
Идентификация на страните
Износител (българска компания), получател (вендор), подизпълнители, длъжностни лица по защита на данните, дата и версия.
Описание на трансфера
Категории данни, категории субекти, цел на обработването, обем, срок, географска локация на сървърите.
Правен инструмент
SCCs (с конкретен модул), BCR, DPF сертификация, дерогация по чл. 49 — с обосновка защо точно този инструмент.
Анализ на третата държава
Релевантно законодателство (FISA 702, Executive Order 12333, CLOUD Act); съдебна практика; възможности на местните субекти за защита.
Допълнителни мерки
Списък на технически, организационни и договорни мерки — с конкретни параметри (вид на криптиране, дължина на ключа, кой ги държи).
Заключение и решение
Дали оценката води до извод, че трансферът е законосъобразен; дали се изисква предварителна консултация с КЗЛД; кой и кога одобрява.
Чеклист за снабдяване и юристи
Преди подписване на договор с американски (или друг чужд) доставчик на софтуерна услуга:
- Идентифициран ли е инструментът за трансфер (DPF, SCCs, BCRs)
- Ако SCCs — избран ли е правилният модул (1, 2, 3 или 4)
- Изготвена ли е TIA по EDPB 6-стъпкова методология — писмен документ
- Анализирано ли е приложимото право на третата държава (FISA 702 за САЩ)
- Идентифицирани ли са допълнителни мерки — технически, организационни, договорни
- Криптиране в покой и при пренос — с ключове в ЕС
- Документирано ли е право на одит на вендора
- Включена ли е клауза за уведомяване при искания от държавни органи
- TIA одобрена от длъжностно лице по защита на данните
- Регистрирана в RoPA (регистър на дейностите по обработване)
- Уведомени ли са субектите в политиката за поверителност
- Предварителна консултация с КЗЛД по чл. 36 GDPR — необходима ли е
- График за периодична преоценка — поне веднъж годишно
- Запазена ли е възможност за прекратяване на трансфера при промяна в правото
Често задавани въпроси
Какво е оценка на въздействието при трансфер (TIA) и кога е задължителна?
TIA (Transfer Impact Assessment) е документирана оценка на правните рискове при предаване на лични данни извън ЕС. Тя е задължителна по решението Schrems II (СЕС C-311/18, 16.07.2020) винаги когато се ползват SCCs или други инструменти по чл. 46 GDPR — тоест за трансфери извън ЕС, които не са покрити от решение за адекватност (чл. 45). Без TIA трансферът е незаконен дори при подписани SCCs.
Спестява ли EU-US Data Privacy Framework нуждата от TIA?
Само частично. EU-US Data Privacy Framework (DPF) е решение за адекватност от 10 юли 2023 г. Когато получателят е сертифициран по DPF, трансферът става по чл. 45 GDPR — без задължителна TIA. НО: (1) трябва да проверите редовно че вендорът остава сертифициран; (2) DPF покрива само лични данни на физически лица; (3) при политическа несигурност (предишно обезсилване на Privacy Shield през 2020 г.) препоръчваме DPF + SCCs като резерва.
Кои са 6-те стъпки на EDPB методологията за TIA?
По EDPB Препоръки 01/2020: (1) Картографиране на трансферите; (2) Идентифициране на инструмента (SCCs, BCR, DPF, дерогации); (3) Оценка на правото и практиката на третата държава; (4) Идентифициране и внедряване на допълнителни мерки (технически, организационни, договорни); (5) Процедурни стъпки; (6) Периодична преоценка. Цялата методология е документирана и доказуема — задължителна е, не препоръчителна.
Кои са 4-те модула на новите SCCs?
По Решение (ЕС) 2021/914 на ЕК от 04.06.2021 г. има 4 модула: Module 1 — администратор към администратор (C2C); Module 2 — администратор към обработващ (C2P, най-чест за SaaS); Module 3 — обработващ към обработващ (P2P, за подизпълнители); Module 4 — обработващ към администратор (P2C, рядък сценарий). Ползва се правилният модул в зависимост от ролята на двете страни — грешен модул прави трансфера незаконен.
Какви допълнителни мерки могат да заместят пропуски в правото на третата държава?
По EDPB Препоръки 01/2020 има три категории: (1) Технически — криптиране в покой и при пренос с ключове, които не се споделят с получателя; псевдонимизация. (2) Организационни — вътрешни политики за достъп до данните от държавни органи; обучение; одити. (3) Договорни — задължение на получателя да уведомява за искания от държавни органи; задължение за оспорване в съда. Само техническите мерки имат най-висока тежест.
Колко често трябва да се прави преоценка на TIA?
По стъпка 6 на EDPB Препоръки 01/2020 — на „подходящи интервали". В нашата практика препоръчваме: годишна редовна преоценка за всички TIA-та; незабавна преоценка при значими събития (промяна в правото на третата държава, ново съдебно решение на СЕС, ново правило в SCCs); преоценка при значима промяна в обхвата на трансфера или в подизпълнителите. Документираният цикъл на преоценка е защитен инструмент пред КЗЛД и съд.
Тази статия отразява правното положение към 25 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изготвяне на TIA, преглед на договор с американски доставчик или подготовка за КЗЛД проверка, моля свържете се с нас.
Подписвате договор с американски доставчик? Изготвяме TIA
Помагаме на български компании — банки, застрахователи, телекоми, технологични фирми — да изготвят правомерни TIA-та преди подписване на договор с американски и други чужди доставчици.
- Пълна TIA по EDPB 6-стъпкова методология
- Преглед на SCCs — кой модул, какви клаузи се добавят
- Анализ на DPF сертификация на вендора
- Шаблони за допълнителни мерки (технически, организационни, договорни)
- Защита при КЗЛД проверка на международни трансфери
- Годишна преоценка и мониторинг на промени в правото
Получавайте нови анализи на международни трансфери и GDPR практика
Свежи разбори за юрисконсулти, длъжностни лица по защита на данните и снабдяване екипи. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков е експерт по международни трансфери на данни и Schrems II съответствие. Адв. Димитрова е CIPP/E сертифициран специалист. Заедно изготвят TIA-та и преглеждат договори с американски доставчици за над 90 български компании.