Оценка на въздействието при трансфер (TIA) — шаблон за трансфери в САЩ след Schrems II
Когато подписвате договор с американски доставчик на софтуерни услуги (Salesforce, AWS, Microsoft, Slack), трябва задължително да изготвите оценка на въздействието при трансфер (TIA). Това задължение произтича от решението на Съда на ЕС Schrems II (C-311/18) от 16 юли 2020 г. и е конкретизирано в EDPB Препоръки 01/2020 чрез 6-стъпкова методология. EU-US Data Privacy Framework (от юли 2023 г.) отпада задължението за TIA само когато получателят е сертифициран — и то с резерви. Това ръководство дава практически шаблон, базиран на първични източници — за юрисконсулти, длъжностни лица по защита на данните и екипи по снабдяване в български компании.
Съдържание
- Защо темата е критична — Schrems II и след това
- Какво е TIA и кога е задължителна
- Спестява ли EU-US Data Privacy Framework нуждата от TIA?
- EDPB 6-стъпкова методология
- Кой SCC модул се ползва
- Допълнителни мерки — три категории
- Шаблон за TIA — какво трябва да съдържа
- Чеклист за снабдяване и юристи
- Често задавани въпроси
Защо темата е критична — Schrems II и след това
На 16 юли 2020 г. Съдът на ЕС постанови решението си в делото Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (C-311/18). Двете ключови последствия:
- Privacy Shield беше обезсилен — старото решение за адекватност между ЕС и САЩ от 2016 г. отпадна моментално
- Стандартните договорни клаузи (SCCs) останаха валидни — но със задължение за всеки предаващ администратор да оцени дали правото на третата държава осигурява еквивалентна защита
Това второ задължение е оценката на въздействието при трансфер (TIA) — Transfer Impact Assessment. Без нея трансферът е незаконен, дори при перфектно подписани SCCs.
Цената на липсваща TIA
Когато КЗЛД (или съответен надзорен орган в ЕС) проверява международен трансфер, първият документ, който ще поиска, е TIA. Липсата на документирана оценка означава автоматична констатация за нарушение на чл. 46 GDPR — глоби до EUR 20 милиона или 4% от глобалния оборот. Освен това възниква задължение за прекратяване на трансфера, което може да парализира бизнеса — например при използване на AWS за производствени системи.
Какво е TIA и кога е задължителна
TIA е писмен документ, който съдържа правен и фактически анализ на трансфера: какви данни се прехвърлят, на кого, в коя държава, по какъв инструмент, какъв е рискът от достъп от държавни органи, какви допълнителни мерки са въведени за компенсация на пропуски в правото на получаващата държава.
TIA е задължителна за:
| Сценарий | TIA задължителна | Основание |
|---|---|---|
| Трансфер на данни в САЩ (без DPF сертификация на получателя) | Да | Schrems II + EDPB Rec 01/2020 |
| Трансфер в страни без решение за адекватност (Индия, Бразилия, Китай, ОАЕ) | Да | Чл. 46 GDPR + Schrems II |
| Трансфер в Великобритания, Швейцария, Япония, Канада, Израел | Не (адекватност) | Чл. 45 GDPR — решение за адекватност |
| Трансфер в САЩ при DPF сертифициран получател | Не (адекватност, но проверка на сертификацията) | Чл. 45 + Решение за изпълнение (ЕС) 2023/1795 |
| Трансфер по дерогация (чл. 49 GDPR — изключения) | Понякога (документация задължителна) | Чл. 49 GDPR |
Спестява ли EU-US Data Privacy Framework нуждата от TIA?
На 10 юли 2023 г. Европейската комисия прие решение за адекватност на EU-US Data Privacy Framework (DPF) — Решение за изпълнение 2023/1795. От 11 юли 2023 г. американски компании могат да се сертифицират по DPF и да получават лични данни от ЕС без допълнителни SCC и TIA.
През септември 2025 г. Общият съд на ЕС постанови решение по делото Latombe срещу Комисията (T-553/23), с което отхвърли искането за отмяна на решението за адекватност за DPF. Жалбоподателят — френският евродепутат Филип Ламбле — твърдеше, че DPF не отговаря нито на стандартите по чл. 8 от Хартата на основните права на ЕС, нито на тълкуването в Schrems II. По-конкретно той оспорваше режима на масово събиране на данни по чл. 702 от FISA и независимостта на Data Protection Review Court. Решението потвърди валидността на DPF към момента на постановяването, без да изключва бъдещо преюдициално оспорване.
Какво проверявате преди да се позовете на DPF
(1) Получателят е сертифициран в публичния списък на DPF (dataprivacyframework.gov). (2) Сертификацията покрива конкретния тип данни, които прехвърляте (HR данни не са винаги покрити). (3) Сертификацията е активна — компании могат да отпаднат от списъка. (4) Имате писмено потвърждение от получателя за DPF покритие. Без тези 4 проверки трансферът не е защитен.
Препоръчваме комбиниран подход — DPF + SCCs резерва
Privacy Shield беше обезсилен през 2020 г., само четири години след одобрението си от 2016 г.; през 2025 г. администрацията на Тръмп отслаби независимия надзор на Data Protection Review Court. С оглед на тази политическа несигурност препоръчваме на големите български компании да поддържат SCCs + TIA готови за активиране, дори когато се позовават на DPF. Това е запасен правен инструмент при евентуално бъдещо обезсилване на DPF от Съда на ЕС.
EDPB 6-стъпкова методология
EDPB Препоръки 01/2020 (финална версия от 18 юни 2021 г.) формулира задължителна 6-стъпкова методология за TIA:
Картографиране на трансферите
Документирайте всички международни трансфери: какви данни, кой ги изпраща, на кого, по какъв канал. Включете и подизпълнителите. Без тази карта на трансферите останалите пет стъпки нямат основа.
Идентификация на инструмента
За всеки трансфер — кой е правният механизъм: SCCs (Решение (ЕС) 2021/914), Задължителни корпоративни правила (BCR — за вътрешногрупови), DPF (адекватност за САЩ), дерогация по чл. 49 GDPR, или адекватност за други държави.
Оценка на правото на третата държава
Проверете дали правото и практиката на получаващата държава осигуряват „по същество еквивалентна" защита. За САЩ — релевантни са: чл. 702 от Закона за надзор на чуждестранното разузнаване (FISA 702), Изпълнителна заповед 12333 (Executive Order 12333) и Законът за изясняване на законното използване на данни в чужбина (CLOUD Act) — и трите дават на щатските държавни органи възможност да достъпват данни, обработвани от американски доставчици.
Допълнителни мерки
Ако правото на третата държава не дава еквивалентна защита, въведете компенсаторни мерки — технически, организационни, договорни. Подробно в следваща секция.
Процедурни стъпки
Документирайте формалните стъпки: подписване на SCCs (с правилния модул), уведомяване на получателя за допълнителните мерки, регистриране в RoPA (регистър на дейностите), уведомяване на КЗЛД при необходимост.
Периодична преоценка
TIA не е еднократен документ — препоръчваме годишна преоценка плюс незабавна при ново съдебно решение на СЕС, нов закон в третата държава, промяна в SCCs или съществена промяна в трансфера.
Кой SCC модул се ползва
Решение (ЕС) 2021/914 на Европейската комисия от 4 юни 2021 г. въвежда нови стандартни договорни клаузи с модулна структура — общи клаузи плюс модул, който отразява конкретния сценарий:
| Модул | Сценарий | Типичен пример |
|---|---|---|
| Модул 1 | Администратор → Администратор (C2C) | Българска компания споделя клиентски данни с американска партньорска компания |
| Модул 2 | Администратор → Обработващ (C2P) | Българска компания ползва Salesforce / AWS / Slack за свои данни (най-чест сценарий) |
| Модул 3 | Обработващ → Подобработващ (P2P) | Българска IT агенция ползва американски подизпълнител за клиентски проект |
| Модул 4 | Обработващ → Администратор (P2C) | Български процесор предоставя данни обратно на американски администратор |
Грешен модул = незаконен трансфер
Една от най-честите грешки: подписват се SCCs с грешен модул, защото доставчикът представя стандартен пакет „за всички случаи". Модул 2 (C2P) е напълно различен от Модул 3 (P2P) по задължения и отговорности. Преглеждайте предложените SCCs преди подписване — често доставчикът използва неподходящ модул.
Допълнителни мерки — три категории
Ако TIA установи, че правото на третата държава не дава еквивалентна защита — а при САЩ това е почти винаги така за данни, попадащи в обхвата на FISA 702 — задължени сте да въведете допълнителни мерки. EDPB Препоръки 01/2020 описват три категории:
Технически мерки (най-висока тежест)
- Силно криптиране в покой и при пренос — минимум AES-256 за съхраняваните данни и TLS 1.3 при пренос; ключовете остават под контрола на предаващия администратор в ЕС (схеми BYOK / HYOK с управление на ключовете в инфраструктура, разположена в ЕС);
- Псевдонимизация — данните се прехвърлят без преки идентификатори, така че повторното идентифициране да изисква допълнителна информация, съхранявана отделно в ЕС;
- Разделена обработка (split processing) — част от данните се обработват в ЕС, а в третата държава се обработват само такива, които не позволяват самостоятелно идентифициране;
- Хомоморфно криптиране — изчисления върху криптирани данни, без необходимост от разшифроване в третата държава.
Организационни мерки
- Вътрешни политики на получателя за реагиране при искания от държавни органи
- Обучение на персонала на получателя за признаване и оспорване на незаконни искания
- Редовни одити на получателя (право на одит в SCC)
- Минимизация на данните, които изобщо се прехвърлят
Договорни мерки
- Задължение на получателя да уведомява за всяко искане от държавни органи
- Задължение за оспорване на незаконни искания в съда
- Прекратяване на трансфера при промяна в правото на третата държава
- Право на износителя да преустанови трансфера незабавно
- Уведомяване на засегнатите субекти при пробив
Само договорните мерки не са достатъчни
EDPB изрично подчертава: договорни и организационни мерки не могат сами да компенсират законови правомощия за неограничен достъп от държавни органи. За да защитите данните при трансфер в САЩ за чувствителни употреби, трябват и технически мерки — особено криптиране с ключове в ЕС.
Шаблон за TIA — какво трябва да съдържа
Документът на TIA има 7 задължителни раздела:
Идентификация на страните
Предаващ администратор (българската компания), получател (доставчик), подизпълнители, длъжностни лица по защита на данните, дата и версия.
Описание на трансфера
Категории данни, категории субекти, цел на обработването, обем, срок, географска локация на сървърите.
Правен инструмент
SCCs (с конкретен модул), BCR, DPF сертификация, дерогация по чл. 49 — с обосновка защо точно този инструмент.
Анализ на третата държава
Релевантно законодателство (FISA 702, Executive Order 12333, CLOUD Act); съдебна практика; възможности на местните субекти за защита.
Допълнителни мерки
Списък на технически, организационни и договорни мерки — с конкретни параметри (вид на криптиране, дължина на ключа, кой ги държи).
Заключение и решение
Дали оценката води до извод, че трансферът е законосъобразен; дали се изисква предварителна консултация с КЗЛД; кой и кога одобрява.
Чеклист за снабдяване и юристи
Преди подписване на договор с американски (или друг чужд) доставчик на софтуерна услуга:
- Идентифициран инструмент за трансфер (DPF, SCC, BCR, дерогация по чл. 49) — отговорник: юрисконсулт; артефакт: писмено становище в досието на доставчика;
- При SCC — избран правилният модул (1, 2, 3 или 4) според ролята на двете страни — потвърден от длъжностното лице по защита на данните;
- Изготвена TIA по 6-стъпковата методология на EDPB Препоръки 01/2020 — писмен документ с дата и версия, подписан от DPO;
- Анализирано приложимото право на третата държава (за САЩ — FISA 702, EO 12333, CLOUD Act) с препратки към актуални първични източници;
- Идентифицирани допълнителни мерки — технически, организационни и договорни — с конкретни параметри, не общи формулировки;
- Криптиране в покой и при пренос с ключове в ЕС — минимум AES-256 / TLS 1.3, BYOK или HYOK; отговорник: CISO съвместно с DPO;
- Документирано право на одит на получателя — периодичност (на 24 месеца за обработващи с висок риск, на 36 за останалите); форма (дистанционен въпросник плюс одит на място при констатации);
- Включена клауза за уведомяване при искания от държавни органи — със срок и адресати;
- Одобрение на TIA от длъжностното лице по защита на данните, с дата и подпис; досието се съхранява в RoPA;
- Регистрация в RoPA в срок до 14 дни от подписването на договора;
- Уведомяване на субектите в политиката за поверителност и при необходимост — индивидуално по чл. 13/14 GDPR;
- Преценка за предварителна консултация с КЗЛД по чл. 36 GDPR — задължителна при висок остатъчен риск след прилагане на допълнителните мерки; отговорник: DPO; срок: преди стартиране на трансфера;
- График за периодична преоценка — задължителна годишна; извънредна при ново съдебно решение на СЕС, промяна в правото на третата държава или нова версия на SCC;
- Клауза за прекратяване на трансфера при промяна в правото на третата държава или при загуба на DPF сертификация.
Често задавани въпроси
Какво е оценка на въздействието при трансфер (TIA) и кога е задължителна?
TIA (Transfer Impact Assessment) е документирана оценка на правните рискове при предаване на лични данни извън ЕС. Задължителна е по решението Schrems II (СЕС, дело C-311/18 — Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems, 16.07.2020 г.), с което Съдът на ЕС обезсили Privacy Shield, потвърди валидността на SCC, но изиска за всеки конкретен трансфер извън ЕС администраторът да оценява дали правото на третата държава осигурява „по същество еквивалентна" защита. TIA е задължителна винаги когато се ползват SCC или други инструменти по чл. 46 GDPR за трансфери, които не са покрити от решение за адекватност (чл. 45). Без TIA трансферът е незаконен дори при подписани SCC.
Спестява ли EU-US Data Privacy Framework нуждата от TIA?
Само частично. EU-US Data Privacy Framework (DPF) е решение за адекватност от 10 юли 2023 г. Когато получателят е сертифициран по DPF, трансферът става по чл. 45 GDPR — без задължителна TIA. НО: (1) трябва да проверите редовно че получателят остава сертифициран; (2) DPF покрива само лични данни на физически лица; (3) при политическа несигурност (предишно обезсилване на Privacy Shield през 2020 г.) препоръчваме DPF + SCCs като резерва.
Кои са 6-те стъпки на EDPB методологията за TIA?
По EDPB Препоръки 01/2020: (1) Картографиране на трансферите; (2) Идентифициране на инструмента (SCCs, BCR, DPF, дерогации); (3) Оценка на правото и практиката на третата държава; (4) Идентифициране и внедряване на допълнителни мерки (технически, организационни, договорни); (5) Процедурни стъпки; (6) Периодична преоценка. Цялата методология е документирана и доказуема — задължителна е, не препоръчителна.
Кои са 4-те модула на новите SCCs?
По Решение (ЕС) 2021/914 на ЕК от 04.06.2021 г. има 4 модула: Модул 1 — администратор към администратор (C2C); Модул 2 — администратор към обработващ (C2P, най-чест за SaaS); Модул 3 — обработващ към обработващ (P2P, за подизпълнители); Модул 4 — обработващ към администратор (P2C, рядък сценарий). Ползва се правилният модул в зависимост от ролята на двете страни — грешен модул прави трансфера незаконен.
Какви допълнителни мерки могат да заместят пропуски в правото на третата държава?
По EDPB Препоръки 01/2020 има три категории: (1) Технически — криптиране в покой и при пренос с ключове, които не се споделят с получателя; псевдонимизация. (2) Организационни — вътрешни политики за достъп до данните от държавни органи; обучение; одити. (3) Договорни — задължение на получателя да уведомява за искания от държавни органи; задължение за оспорване в съда. Само техническите мерки имат най-висока тежест.
Колко често трябва да се прави преоценка на TIA?
По стъпка 6 на EDPB Препоръки 01/2020 — на „подходящи интервали". В нашата практика препоръчваме: годишна редовна преоценка за всички оценки по TIA; незабавна преоценка при значими събития (промяна в правото на третата държава, ново съдебно решение на СЕС, ново правило в SCCs); преоценка при значима промяна в обхвата на трансфера или в подизпълнителите. Документираният цикъл на преоценка е защитен инструмент пред КЗЛД и съд.
Тази статия отразява правното положение към 25 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изготвяне на TIA, преглед на договор с американски доставчик или подготовка за КЗЛД проверка, моля свържете се с нас.
Подписвате договор с американски доставчик? Изготвяме TIA
Помагаме на български компании — банки, застрахователи, телекоми, технологични фирми — да изготвят правомерни TIA документи преди подписване на договор с американски и други чужди доставчици.
- Пълна TIA по EDPB 6-стъпкова методология
- Преглед на SCCs — кой модул, какви клаузи се добавят
- Анализ на DPF сертификация на получателя
- Шаблони за допълнителни мерки (технически, организационни, договорни)
- Защита при КЗЛД проверка на международни трансфери
- Годишна преоценка и мониторинг на промени в правото
Получавайте нови анализи на международни трансфери и GDPR практика
Свежи разбори за юрисконсулти, длъжностни лица по защита на данните и екипи по снабдяване. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков е експерт по международни трансфери на данни и Schrems II съответствие. Адв. Димитрова е CIPP/E сертифициран специалист. Заедно изготвят TIA-та и преглеждат договори с американски доставчици за над 90 български компании.