Топ 5 GDPR глоби през април 2026 — какво научаваме от Garante и AEPD
Април 2026 г. донесе на първа линия две теми, които вече години са в центъра на правоприлагането по GDPR: прекомерно наблюдение чрез мобилни приложения и пропуски в техническите и организационните мерки по чл. 32. Италианският Garante санкционира Poste Italiane и Postepay общо за над 12,5 милиона евро за приложения, превърнали смартфоните на клиентите в инструмент за следене. Испанският AEPD удари банка, застраховател и VTC оператор за общо 800 000 евро. Класацията по-долу разглежда всяка от петте глоби по същина, цитираните членове на GDPR и какво конкретно научаваме за ежедневната практика на български администратори.
Съдържание
- Кратко резюме на месеца
- Класация на петте глоби
- Глоба #1 — Poste Italiane (6,624 млн евро)
- Глоба #2 — Postepay (5,877 млн евро)
- Глоба #3 — Unicaja Banco (400 000 евро)
- Глоба #4 — AXA Seguros (200 000 евро)
- Глоба #5 — ARES Capital (200 000 евро)
- Четирите общи теми от април 2026
- Пет конкретни поуки за български администратори
- Често задавани въпроси
Кратко резюме на месеца
Картина на април 2026 г. в едно изречение
Общо над 13,3 милиона евро санкции от петте най-високи решения на надзорни органи в ЕС: две италиански (Poste Italiane и Postepay в общо производство — общо 12,5 млн евро) и три испански (Unicaja Banco, AXA Seguros Generales, ARES Capital). Доминират два проблема: прекомерно мобилно наблюдение и липса на адекватни технически мерки за достъп.
Класацията не претендира за изчерпателност на всички произнесени глоби в Европа за месеца — фокусира се върху петте най-високи решения, които достигнаха до публично оповестяване от съответния надзорен орган и независими специализирани източници. Не са включени по-малки санкции (под 100 000 евро), нито такива, които са обжалвани и временно нямат правно действие към момента на писане.
Класация на петте глоби
| # | Дружество | Държава / орган | Размер | Основни нарушени членове |
|---|---|---|---|---|
| 1 | Poste Italiane S.p.A. | Италия / Garante | 6 624 000 евро | чл. 5, 6, 13, 25, 28, 32, 35 GDPR |
| 2 | Postepay S.p.A. | Италия / Garante | 5 877 000 евро | чл. 5, 6, 13, 25, 28, 32, 35 GDPR |
| 3 | Unicaja Banco | Испания / AEPD | 400 000 евро (намалена от 500 000) | чл. 32 GDPR |
| 4 | AXA Seguros Generales, S.A. | Испания / AEPD | 200 000 евро | чл. 32 GDPR |
| 5 | ARES Capital, S.A. | Испания / AEPD | 200 000 евро | чл. 5, параграф 1, буква „а"; чл. 6 GDPR |
Важно методологично уточнение: Poste Italiane и Postepay са санкционирани в едно общо производство на Garante от 17 април 2026 г., публикувано на 20 април 2026 г. Двете дружества действат като съвместни администратори по смисъла на чл. 26 GDPR за съответните мобилни приложения. Включваме ги отделно в класацията, защото всяко юридическо лице понася собствена санкция и обвинения, но в съдържателно отношение става дума за един и същи фактически състав.
Глоба #1 — Poste Italiane S.p.A. (6 624 000 евро)
Същина на нарушението. Приложението BancoPosta изискваше от потребителите да разрешат сканиране и предаване към компанията на данни за инсталираните приложения на устройството, текущо работещите процеси и индикатори за зловреден софтуер. Сканирането се извършваше посредством инструмента ThreatMetrix на LexisNexis. Потребителите, които откажат, не получаваха пълен достъп до банковия си акаунт. Garante установи, че 303 880 потребители са имали ограничен достъп след отказ. Освен това данните бяха съхранявани в средата за външен анализ до 28 месеца — значително по-дълго, отколкото е било първоначално оповестено.
Цитирани членове на GDPR
Чл. 5 (принципи), чл. 6 (правно основание), чл. 13 (информиране при събиране), чл. 25 (защита на данните на етапа на проектиране и по подразбиране), чл. 28 (договор с обработващ), чл. 32 (сигурност), чл. 35 (DPIA).
Защита на компанията и отговор на надзора
Poste Italiane се позова на Директива (ЕС) 2015/2366 за платежните услуги (PSD2) и задълженията за стриктно установяване на самоличността и предотвратяване на измами. Garante отхвърли защитата с мотив, че сигурностните мерки не дерогират принципите на минимизация и пропорционалност и не освобождават администратора от задължението за DPIA при високорисково обработване. Компанията обяви, че ще обжалва решението пред Съда в Рим.
Какво научаваме
Аргументът „това е изисквано от регулатор за финансова сигурност" не е автоматично достатъчен по GDPR. Когато поставяте съответствие с PSD2, AML, NIS2 или друга секторна регулация в основа на обработването, длъжни сте да докажете, че конкретната мярка е необходима и пропорционална по чл. 5, параграф 1, буква „в" — иначе влизате в зоната на чл. 6 без основание.
Глоба #2 — Postepay S.p.A. (5 877 000 евро)
Същина на нарушението. Постановена в едно и също производство с тази срещу Poste Italiane. Приложението Postepay прилагаше идентична логика — сканиране на устройството като условие за достъп. Garante квалифицира двете дружества като съвместни администратори по чл. 26 GDPR, тъй като определят съвместно целите и средствата. Размерът на санкцията за Postepay (5,877 млн евро) отразява частта от нарушението, която се отнася към нейния обхват на обработване (издаване на платежни инструменти), отделно от пощенските и банковите услуги на дружеството-майка.
Защо две отделни санкции, а не една обща
По чл. 83 GDPR санкцията се налага на конкретно юридическо лице. При съвместно администриране всеки администратор отговаря за своя дял в нарушението — Garante е изчислил оборотния показател на Postepay отделно от този на Poste Italiane, което е довело до две отделни глоби с различни тавани.
Какво научаваме
Договорът между съвместни администратори по чл. 26, параграф 1 GDPR не разпределя отговорността пред надзорния орган — той само договорно разпределя задълженията между страните. Когато няколко дружества от една и съща група издават мобилни приложения с обща сървърна (back-end) логика, всяко от тях рискува отделна санкция върху собствения си оборот.
Глоба #3 — Unicaja Banco (400 000 евро)
Същина на нарушението. 11 служители на центъра за приемане на сигнали на банката достъпваха записи от системата за видеонаблюдение в клоновете и централата чрез един общ потребителски акаунт. Резултат: невъзможност да се проследи кой служител и кога е достъпил кои изображения. AEPD квалифицира това като нарушение на чл. 32, параграф 1, буква „б" GDPR (поверителност и контрол на достъпа) и чл. 32, параграф 4 (отговорност на администратора да гарантира, че всяко лице, действащо под негово ръководство, обработва данни само по указания).
Намаление на санкцията
Първоначално определената санкция от 500 000 евро беше намалена до 400 000 евро, защото банката призна отговорност и направи доброволно плащане в законоустановения срок. Това е стандартен испански механизъм по чл. 85 от Закон 39/2015, неприложим в България (КЗЛД няма аналогичен механизъм за намаляване по признание).
Какво научаваме
Общи (споделени) акаунти в системи за видеонаблюдение, архиви, ERP, CRM и всяка друга система с лични данни са лоша практика, която трудно се защитава пред надзорен орган. Минимумът: индивидуален акаунт на всеки служител с достъп, многофакторно удостоверяване, протоколиране на всеки достъп с дата, час, потребител и обект на достъпа. Препоръчително: преглед на записите за достъп веднъж тримесечно за необичайни модели.
Глоба #4 — AXA Seguros Generales (200 000 евро)
Същина на нарушението. AEPD установи пропуски в сигурността на процеса по смяна на парола в клиентския портал на AXA. Конкретният технически дефект е довел до възможност за неоторизиран достъп до данни на клиенти. Нарушен е чл. 32 GDPR — по-конкретно липсата на адекватни мерки за защита на данните по време на критичен момент в жизнения цикъл на акаунта (възстановяване на достъп).
Защо смяната на парола е „критичен момент"
Атаките по време на процеса по възстановяване на парола — грешки в контрола на достъпа от типа BOLA/IDOR, кражба на сесия — са сред най-честите реализирани сценарии в банкови, застрахователни и здравни портали. Стандартът ISO/IEC 27001:2022 (контрол A.5.17) и публикуваните насоки на ENISA (Агенцията на ЕС за киберсигурност) изискват: ограничаване на броя на опитите, кратък срок на валидност на еднократните токени за възстановяване, втори фактор за потвърждаване, протоколиране на промените.
Какво научаваме
Прегледът на процеса за смяна и възстановяване на парола трябва да е част от годишния план за тестване на сигурността на всеки администратор, който поддържа клиентски портал. Конкретно: тест за проникване (penetration test), насочен към процеса по възстановяване; преглед на записите за достъп от последните 12 месеца за необичайни модели; обновяване на политиката за пароли в съответствие с NIST SP 800-63B (актуална редакция).
Глоба #5 — ARES Capital, S.A. (200 000 евро)
Същина на нарушението. Испанската VTC компания (превоз с водач) задължава шофьорите си да инсталират на личните си мобилни телефони до четири работни приложения, които достъпват: местоположение в реално време, съобщения, обаждания, аудио, в някои случаи и здравни данни. Алтернатива под формата на корпоративен телефон е била обявена, но в действителност не е била достъпна за всички — приложенията са били „де факто задължителни" на личните устройства на повечето шофьори.
Защо съгласието не е валидно
По чл. 4, точка 11 GDPR съгласието трябва да е „свободно дадено". В трудовоправни отношения свободата на съгласието е винаги съмнителна заради йерархичния характер на отношението — позиция, потвърдена многократно в Насоки 05/2020 на ЕКЗД (EDPB Guidelines 05/2020) и в становище WP249 на Работна група „Член 29". Когато алтернативата (корпоративен телефон) на практика отсъства, останалата „свобода" е илюзорна — служителят избира между „инсталирай" и „загуби работа".
Защо чл. 6 също е нарушен
Дори да оставим съгласието настрани, обработването на местоположение, съобщения, обаждания и здравни данни не отговаря на нито едно от другите основания по чл. 6: договорът за работа не изисква 24-часово следене на личния телефон; легитимният интерес не може да оправдае непропорционално намесване в личния живот; никое законово задължение не предвижда такова обработване в Испания. Резултатът: липсва правно основание по смисъла на чл. 6 GDPR.
Какво научаваме
Ползването на лични устройства за служебни цели (познато като BYOD — bring your own device) е широко разпространено в българската практика — особено в куриерски, охранителни, дистрибуторски и пътнически компании. Когато работодателят задължава ползването на личния телефон за работни приложения, трябва да осигури: реална и достъпна алтернатива (корпоративно устройство); приложенията да достъпват само строго необходимото; ясно разделение между работна и лична част на устройството чрез отделен работен контейнер; писмено съгласие, което може да бъде оттеглено, без последици за трудовото правоотношение.
Имате ли подобни уязвимости в собствените си процеси?
Извършваме целеви прегледи на трите най-чести зони от априлските решения: мониторинг чрез мобилни устройства, контрол на достъпа в системи за видеонаблюдение и сигурност на процеса по възстановяване на парола.
Заявете експресен преглед →Четирите общи теми от април 2026
Мобилните приложения са в центъра
Три от петте решения касаят мобилни приложения — два пъти на издателя (Poste Italiane, Postepay), веднъж на работодателя, който задължава ползване на лични устройства (ARES Capital). Тенденция, която наблюдавахме и в решението на Garante срещу OpenAI от декември 2024 г.
Чл. 32 е „сребърният куршум" на надзорите
Три от петте решения цитират чл. 32 GDPR. Този член е удобен за надзорите, защото техническите пропуски често са документирани в системните записи и могат да се установят без сложен правен анализ. За администраторите това означава, че невидимите пропуски — споделен акаунт, слаб процес по възстановяване на парола — могат да донесат шестцифрена санкция.
Аргументът „регулаторите ме карат" не работи
Garante изрично отхвърли защитата на Poste Italiane, че PSD2 изисква сканирането. Когато съответствие с друг закон се ползва като оправдание за намеса в личните данни, тежестта на доказване е върху администратора — да покаже необходимост и пропорционалност.
Свободата на съгласието в трудови отношения
Случаят ARES Capital потвърждава трайна линия — съгласието на служители за непропорционално следене на лични устройства практически винаги е невалидно. EDPB Guidelines 05/2020 за обработване на лични данни в контекста на заетост остават основният ориентир.
Пет конкретни поуки за български администратори
Тези поуки са приоритизирани по съотношение „риск × вероятност" за български контекст. Не претендират за изчерпателност — това са пет от темите, които очакваме КЗЛД да започне да цитира в производства през следващите 12–18 месеца, доколкото вече присъстват в практиката на Garante и AEPD.
1. Преглед на достъпите до системи за видеонаблюдение
Премахнете всички споделени акаунти, които множество служители ползват за достъп до записи от камери. Минимум: индивидуално удостоверяване с многофакторно потвърждение и протоколиране на всеки достъп с потребител, дата, час и сегмент от записа. Срок: 30 дни. Артефакт: актуализиран регистър на дейностите по обработване по чл. 30 GDPR и протокол за потвърждение от системния администратор.
2. Преглед на политиките за лични устройства на служители (BYOD)
Ако служителите ползват личните си телефони за работни приложения (служебна поща, инструменти за съобщения, CRM, навигация), проверете дали алтернативата с корпоративно устройство е реално достъпна. Ако не — или осигурете корпоративно устройство, или ограничете приложенията до тези, които достъпват само необходимото (без проследяване на местоположение в реално време, без записване на аудио, без здравни данни).
3. Проверка на процеса по смяна и възстановяване на парола в клиентски портали
Включете процеса по възстановяване на парола в обхвата на следващия тест за проникване (penetration test). Конкретни сценарии за тестване: грешки в контрола на достъпа от типа BOLA/IDOR при потвърждение чрез имейл; кражба на сесия; систематично налучкване на еднократния токен за възстановяване (brute force); възстановяване чрез социално инженерство през контактния център. Резултатите документирайте и съхранявайте като доказателство за съответствие по чл. 32 GDPR.
4. DPIA за всяко мобилно приложение, което публикувате или внедрявате
По чл. 35 GDPR оценката на въздействието е задължителна, когато обработването „е вероятно да доведе до висок риск" — мобилните приложения, които достъпват местоположение, контакти, камера, микрофон или биометрични данни, попадат в тази категория. Решението на Garante изрично цитира липсата на DPIA при Poste Italiane като самостоятелно нарушение.
5. Документация на пропорционалността на сигурностните мерки
Когато налагате на потребителите си изискване, мотивирано от „сигурност" или съответствие с друг закон (PSD2, NIS2, законодателството срещу изпиране на пари), документирайте конкретно защо точно тази мярка е необходима и защо няма по-малко натрапчива алтернатива. Без такъв анализ оставате уязвими пред същия аргумент, който Garante отхвърли при Poste Italiane.
Подгответе организацията си преди КЗЛД да дойде
Подпомагаме български администратори в преглед на тези пет точки в 30-дневен формат — анализ на пропуските, приоритизирани препоръки и пакет документация, готов за представяне пред надзорния орган.
- Анализ на пропуските спрямо най-новите практики на Garante и AEPD
- Преглед на политиките за лични устройства (BYOD) и оценка на „свободата на съгласието"
- Тест за проникване на процеса по възстановяване на парола в клиентски портал
- Оценка на въздействието (DPIA) за мобилни приложения и автоматизирани обработвания
- Документиран анализ на пропорционалността на сигурностните мерки
- Подготовка на отговор за КЗЛД при евентуално запитване
Често задавани въпроси
Кои са най-високите GDPR глоби през април 2026 г.?
Първите пет глоби, обявени от европейски надзорни органи през април 2026 г., са: Poste Italiane (Италия) — 6 624 000 евро, Postepay (Италия) — 5 877 000 евро, Unicaja Banco (Испания) — 400 000 евро, AXA Seguros Generales (Испания) — 200 000 евро и ARES Capital (Испания) — 200 000 евро. Общата сума надхвърля 13,3 милиона евро. Двете италиански санкции са произнесени в едно общо производство на Garante от 17 април 2026 г. за приложенията BancoPosta и Postepay.
За какво беше глобена Poste Italiane с 6,6 милиона евро?
Италианският надзорен орган Garante санкционира Poste Italiane и Postepay в общо производство за приложенията BancoPosta и Postepay, които изискваха от потребителите да разрешат сканиране на данни на устройствата им (инсталирани и работещи в момента приложения, потенциален зловреден код) като условие за достъп до банковия акаунт. Garante установи, че 303 880 потребители са имали ограничения на достъпа след отказ да разрешат това наблюдение. Нарушени са членове 5, 6, 13, 25, 28, 32 и 35 GDPR. Защитата на компанията, че мярката е изисквана от Директивата за платежните услуги (PSD2) за борба с измами, е отхвърлена с мотив, че сигурността не дерогира принципите на минимизация и пропорционалност.
Защо Unicaja Banco беше глобена за чл. 32 GDPR?
AEPD установи, че 11 служители на центъра за приемане на сигнали на Unicaja достъпваха записи от системата за видеонаблюдение чрез един споделен потребителски акаунт без индивидуална проследимост. Това нарушава чл. 32, параграф 1, буква „б" GDPR (поверителност и контрол на достъпа) и чл. 32, параграф 4 (мерки за гарантиране, че всяко лице действа по указания). Първоначалната санкция от 500 000 евро беше намалена до 400 000 евро поради признаване на отговорност и доброволно плащане. Урокът: споделените акаунти са лоша практика в системи за видеонаблюдение и архиви, ползвани от множество служители.
Какъв е случаят на ARES Capital — мониторинг чрез лични телефони?
AEPD санкционира испанската VTC компания ARES Capital с 200 000 евро за това, че задължава шофьорите да инсталират до четири приложения на личните си мобилни телефони — приложения, които достъпват местоположение, съобщения, обаждания, здравни данни и аудио. Установени са нарушения на чл. 5, параграф 1, буква „а" (законосъобразност) и чл. 6 GDPR (липса на валидно правно основание). Съгласието не е „свободно дадено" по смисъла на чл. 4, точка 11 GDPR, тъй като предложените корпоративни телефони не са били достатъчно за всички служители.
Какви членове на GDPR се повтарят най-често в петте глоби?
Най-чести нарушения в априлската класация: чл. 5, параграф 1, буква „а" (законосъобразност, добросъвестност, прозрачност) — 3 случая; чл. 6 (правно основание) — 3 случая; чл. 32 (сигурност на обработването) — 3 случая; чл. 5, параграф 1, буква „в" (минимизация на данните) — 2 случая; чл. 13 (информация при събиране), чл. 25 (защита на данните на етапа на проектиране), чл. 28 (договор с обработващ), чл. 35 (DPIA) — само в производството срещу Poste Italiane и Postepay. Общата тема: голяма част от санкциите касаят технически и организационни мерки и липса на валидно правно основание при автоматизирани/мобилни обработвания.
Какво трябва да направи български администратор след тези решения?
Препоръчителни действия в кратък срок: (1) Преглед на достъпите до системи за видеонаблюдение — без споделени акаунти, индивидуално удостоверяване и протоколиране на всеки достъп. (2) Преглед на всяко обработване, при което служители ползват личните си устройства — оценка на свободата на съгласието и наличие на реална алтернатива. (3) Преглед на мобилните приложения, които дружеството публикува или използва за работа с клиентски данни — оценка на въздействието (DPIA) по чл. 35 GDPR и минимизация на исканите разрешения. (4) Преглед на процеса по смяна на парола и възстановяване на достъп в клиентски портали — чл. 32 GDPR. (5) Документиране на отказа да се изпълни „максималистично" изискване за сигурност, когато то би било непропорционално — позицията на Garante показва, че надзорните органи активно балансират сигурността спрямо минимизацията на данните.
Тази статия отразява публично оповестените решения на Garante (Италия) и AEPD (Испания) към 8 май 2026 г. Размерите на санкциите са предмет на обжалване от страна на Poste Italiane и Postepay; възможно е да бъдат променени от компетентните национални съдилища. Информацията е с информативен характер и не представлява правна консултация. За оценка на конкретен ваш сценарий свържете се с нас.
Получавайте месечния разбор на GDPR глобите в Европа
Всеки месец преглед на най-важните решения на Garante, AEPD, CNIL, ICO и КЗЛД — с поуки за български администратори. Без нежелана поща.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират над 90 български компании — банки, застрахователи, телекоми и технологични фирми — по подготовка за КЗЛД проверки, защита срещу административни производства и преглед на BYOD/мобилни обработвания. Публикуват месечен разбор на правоприлагането по GDPR в ЕС.