Вътрешен GDPR одит — методология за екипи по съответствие преди КЗЛД да дойде
Външният GDPR одит от консултант ви дава снимка веднъж годишно. Вътрешният одит ви позволява да следите съответствието постоянно — и да поправите грешки преди КЗЛД да дойде. По чл. 5, ал. 2 GDPR администраторът трябва да може да докаже спазването. По ISO/IEC 27701:2025 — стандартът за системи за управление на лични данни (Privacy Information Management Systems) — има структурирана методология за такъв одит. Това ръководство дава практически модел: четирите фази на одитния цикъл, осемте ключови области за покриване, разпределение на ролите и шаблон за доклад към ръководството. За длъжностни лица по защита на данните, вътрешен одит и директори по съответствие в големи компании.
Съдържание
Защо вътрешен одит, а не само външен
Външният GDPR одит (от външен консултант) има две предимства: независимост и експертиза. Но има и две сериозни ограничения:
- Времева ограниченост — обикновено веднъж годишно, понякога на 2 години. Между одитите имате „слепи зони".
- Разход — пълен външен одит за голяма компания струва EUR 15 000 – 50 000. Това ограничава честотата.
Вътрешният одит запълва тези пропуски. Той е:
- По-чест — обикновено годишен пълен + тримесечни целеви
- По-евтин — основно вътрешни ресурси
- По-дълбок — вътрешният екип познава процесите и системите
- Превантивен — открива проблеми преди да са се превърнали в инциденти
Двата одита са допълващи, не заместващи
Препоръчваме комбиниран подход: годишен вътрешен одит от съответствие екипа + годишен или двугодишен външен одит от независим консултант. Външният има по-висока тежест пред КЗЛД, борда и одитен комитет; вътрешният дава непрекъснат поглед върху съответствието.
Правна основа и стандарти
Изричното задължение за вътрешен одит не е в GDPR — но косвено произтича от няколко източника:
| Източник | Задължение |
|---|---|
| Чл. 5, ал. 2 GDPR | Принцип на отчетност — администраторът трябва да може да докаже спазването. Без вътрешен преглед, доказването е счупено. |
| Чл. 24 GDPR | Администраторът прилага подходящи мерки и проверява и актуализира при необходимост. Това е циклична задача. |
| Чл. 32, ал. 1, б. „г" GDPR | Процес за редовно тестване, оценка и преценка на ефективността на техническите и организационни мерки. |
| Чл. 39, ал. 1, б. „б" GDPR | Длъжностното лице по защита на данните наблюдава съответствието с GDPR — което включва периодичен преглед. |
| ISO/IEC 27701:2025 | Стандарт за системи за управление на лични данни (Privacy Information Management Systems) (PIMS) — clauses 4-10 изискват вътрешен одит на системата. |
| EDPB Guidelines 4/2019 | DPO accountability — детайлни задължения за наблюдение на съответствието. |
Видове GDPR одити — три типа
Не всички одити са еднакви. В съответствие практиката има три различни типа, всеки с различна цел и обхват:
| Тип | Цел | Кой го прави | Тежест пред КЗЛД |
|---|---|---|---|
| Вътрешен одит | Самооценка, корекция, превенция | Internal audit / DPO / Compliance екип | Среден — показва зрелост на отчетността |
| Външен одит | Независимо потвърждение, сертификация | Външен консултант или сертифициращ орган | Висок — независим външен поглед |
| Compliance review | Бърз преглед при конкретно събитие | DPO + юрисконсулт | Нисък — обикновено вътрешен документ |
Принципът на независимостта
За вътрешния одит важи фундаменталният принцип на независимост — одиторът не трябва да одитира собствената си работа. Ако длъжностното лице по защита на данните разработи политиката, то не може да одитира внедряването ѝ. За големи компании препоръчваме отделен вътрешен одитор (от функция Вътрешен одитта) или ротация на ролите.
Четирите фази на одитния цикъл
Стандартният одитен цикъл, базиран на ISO 27701 и общи практики на Вътрешен одит, има четири фази:
Планиране
Определяне на обхвата (целия GDPR или конкретни области), рисковите приоритети, методологията, екипа, времевия график. Резултат: писмен план на одита, одобрен от ръководството. Продължителност: 1-2 седмици.
Изпълнение (fieldwork)
Преглед на документация (RoPA, политики, договори), интервюта с ключови служители, тестове на контроли (извадково тестване), проверка на системи и журнали. Резултат: работни листи, доказателства, констатации. Продължителност: 3-8 седмици в зависимост от обхвата.
Доклад
Структуриране на констатациите по риск (висок, среден, нисък), препоръки за корекция, срокове за внедряване, отговорни лица. Преглед и обсъждане с ръководството преди финализиране. Продължителност: 2-3 седмици.
Проследяване
Потвърждаване, че препоръките са изпълнени в срок. Повторна проверка за високорискови констатации. Включване на статуса в следващия одитен цикъл. Продължителност: непрекъсната, с тримесечни прегледи.
Осем ключови области за одит
Минималното покритие на GDPR одит трябва да включва осем ключови области:
Регистър на дейностите по обработване (RoPA)
Чл. 30 GDPR. Проверка на пълнота, актуалност (последно тримесечие), точност на полетата. Сравнение с реални процеси.
Правни основания и съгласия
Чл. 6, 9 GDPR. Преглед за всяка дейност — има ли документирано основание. За съгласия — как се събира, документира, оттегля.
Договори за обработване
Чл. 28 GDPR. Списък на доставчиците с достъп до лични данни, проверка за подписан договор, аудит на критични доставчици.
Оценки на въздействието (DPIA)
Чл. 35 GDPR. Списък на високорискови операции по списъка на КЗЛД от 2019 г., преглед на изготвените DPIA-та, актуалност.
Технически и организационни мерки
Чл. 32 GDPR. Преглед на политиките за сигурност, контрол на достъп, криптиране, журнали за одит, физическа сигурност.
Права на субектите
Чл. 12-22 GDPR. Процедура, регистър на постъпили искания, средно време за отговор, спазване на 1-месечния срок.
Нарушения на сигурността
Чл. 33-34 GDPR. Процедура за идентифициране и докладване, регистър на инциденти (включително под прага), уведомления до КЗЛД.
Длъжностно лице и обучение
Чл. 37-39 GDPR. Назначаване, уведомяване на КЗЛД, програма за обучение на служителите, метрики за завършване.
Допълнителни области за специфични сектори
- Международни трансфери (чл. 44-49) — за компании с глобална активност
- AI системи (чл. 22 GDPR + AI Act) — за компании с AI инструменти
- Видеонаблюдение и мониторинг на служители — за компании с работни помещения, кол-центрове
- Бисквитки и онлайн проследяване — за уебсайт и мобилни приложения
- Whistleblowing канал — за компании 50+ служители
Разпределение на ролите
Зависи от размера на компанията. По модела RACI (Responsible, Accountable, Consulted, Informed):
| Роля | Малка/средна (до 250 души) | Голяма компания (250+) |
|---|---|---|
| Изпълнител (Responsible) | Длъжностно лице по защита на данните + външна помощ | функция Вътрешен одит (независима) |
| Носител на отговорност (Accountable) | Директор по съответствие / CEO | Chief Compliance Officer (CCO) |
| Консултирани (Consulted) | Юрисконсулт, IT, HR | Длъжностно лице, юрисконсулт, CISO, HR, бизнес единици |
| Информирани (Informed) | Управителен съвет | Управителен съвет, одитен комитет, акционери |
Конфликт на интереси при длъжностно лице като одитор
За големи компании длъжностното лице по защита на данните не може да бъде вътрешен одитор на собствената си работа — това е конфликт на интереси и нарушава принципа за независимост по чл. 38, ал. 6 GDPR. Препоръчваме разделение: длъжностното лице е обект на одит, не одитор.
Шаблон за доклад към ръководството
Качественият доклад от вътрешен GDPR одит е защитен документ — представя се пред ръководството, одитен комитет, при необходимост пред КЗЛД. Минимална структура:
Изпълнително резюме
1-2 страници. Обобщение на резултатите, общ риск, ключови констатации, препоръки. За CEO/борд който не чете 50 страници.
Обхват и методология
Какви области са одитирани, по каква методология (ISO 27701, чл. 5(2) GDPR), кой е одиторът, кога е извършен.
Констатации по област
За всяка от 8-те ключови области: какво е проверено, какво е намерено, оценка на риска (висок/среден/нисък).
Препоръки за корекция
За всяка констатация: конкретна препоръка, отговорно лице, срок за внедряване, очакван разход.
Тенденции и сравнение
Сравнение с предишния одит — подобрения, влошавания. Общ тренд на зрелостта на GDPR съответствието.
Приложения
Доказателства, работни листи, интервюта, тестови резултати. Не за CEO — за следващия одитор и за защита.
Докладът като защитен инструмент
При проверка от КЗЛД представянето на качествен годишен доклад от вътрешен одит — с конкретни препоръки и доказателства за тяхното изпълнение — е силен сигнал за зрелост на отчетността. По чл. 83, ал. 2 GDPR това е фактор за смекчаване на размера на евентуална глоба. Документираният одитен процес често превръща потенциална глоба от стотици хиляди левове в препоръка за подобрение.
Чеклист за съответствие директор
- Документирана политика за вътрешен GDPR одит, одобрена от ръководството
- Годишен план на одита с обхват и приоритетни области
- Назначен независим вътрешен одитор (не длъжностното лице)
- Бюджет за одита (време + външна експертиза при нужда)
- Стандартизирана методология (по ISO 27701 или вътрешен framework)
- Шаблони за работни листи по 8-те ключови области
- Процедура за интервюта с ключови служители
- Процедура за тестване на контроли (извадково тестване)
- Шаблон за доклад към ръководството (изпълнително резюме + детайли)
- Регистър на констатации с отговорни лица и срокове
- Тримесечни прегледи на статуса на изпълнение на препоръките
- Годишен доклад към одитен комитет / управителен съвет
- Архив на одитните доклади за минимум 5 години
- Координация с външен одит — синергия, не дублиране
- План за реакция при намерени значими нарушения
Често задавани въпроси
Каква е разликата между вътрешен и външен GDPR одит?
Вътрешният одит се извършва от служители на компанията (длъжностно лице по защита на данните, вътрешен одитор, съответствие екип) с цел самооценка и подобряване. Външният одит се извършва от независим консултант или сертифициращ орган с цел независимо потвърждение пред трети лица (клиенти, ръководство, КЗЛД). И двата служат на принципа на отчетност по чл. 5, ал. 2 GDPR — но имат различна тежест.
Колко често трябва да се прави вътрешен GDPR одит?
По най-добри практики на ISO 27701 и общи съответствие стандарти — минимум веднъж годишно за цялата организация плюс целеви одити при значими промени: нов високорисков продукт, нарушение на сигурността, регулаторна промяна (Digital Omnibus, AI Act), нов CCO/CISO. За високорискови сектори (банки, здравеопазване) препоръчваме полугодишен цикъл.
Какви са четирите фази на одитния цикъл?
Стандартният одитен цикъл следва четири фази: (1) Планиране — определяне на обхвата, рисковите области, методологията, екипа; (2) Изпълнение — преглед на документация, интервюта, тестове на контроли, проверка на системи; (3) Доклад — констатации, оценка на риска, препоръки за корекция; (4) Проследяване — потвърждаване, че препоръките са изпълнени, повторна проверка.
Кои области трябва да покрие GDPR одитът?
Минимум 8 ключови области: (1) Регистър на дейностите по обработване (RoPA) по чл. 30; (2) Правни основания и съгласия (чл. 6, 9); (3) Договори за обработване с доставчици (чл. 28); (4) Оценки на въздействието (DPIA) по чл. 35; (5) Технически и организационни мерки (чл. 32); (6) Процедури за искания на субекти (чл. 12-22); (7) Процедура за нарушения на сигурността (чл. 33-34); (8) Длъжностно лице по защита на данните и обучение на персонала (чл. 37-39).
Кой носи отговорност за вътрешния GDPR одит?
Зависи от размера на организацията. За малки и средни — обикновено самото длъжностно лице по защита на данните. За големи компании препоръчваме разделение: одитът се извършва от функция Вътрешен одитта (независима от длъжностното лице), а длъжностното лице е consulted/responsible за съдържанието. Ключово е принципът на независимост — одиторът не трябва да одитира собствената си работа. CFO/одитен комитет получава доклада.
Как ISO 27701 помага за GDPR одита?
ISO/IEC 27701:2025 (актуализирана версия от 2025 г.) е стандарт за системи за управление на лични данни (Privacy Information Management Systems) (PIMS) — разширение на ISO 27001 за лични данни. Дава структурирана методология: clauses 4-10 за PIMS изисквания, anex A контроли за администратори, anex B за обработващи. Има изричен mapping към GDPR членовете. Внедряване на ISO 27701 не е задължително за GDPR съответствие, но дава готова, доказана методология за вътрешен одит.
Тази статия отразява правното положение към 26 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За изграждане на методология за вътрешен GDPR одит, провеждане на одит или преглед на доклад от вътрешен одит, моля свържете се с нас.
Изграждате методология за вътрешен GDPR одит? Нуждаете се от външна експертиза?
Помагаме на длъжностни лица по защита на данните, вътрешен одит и директори по съответствие в големи български компании да изградят систематична одитна функция.
- Разработване на методология за вътрешен GDPR одит (по ISO 27701 + GDPR)
- Шаблони за работни листи по 8-те ключови области
- Шаблон за доклад към ръководството и одитен комитет
- Обучение на вътрешните одитори по специфика на GDPR
- Coсreening на готов одит от ваша страна — независимо мнение
- Координиран външен одит като допълнение към вътрешния
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за директори по съответствие, длъжностни лица по защита на данните и вътрешен одит. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова разработват методологии за вътрешен GDPR одит, провеждат външни одити и обучават съответствие екипи в над 90 български компании — банки, телекоми, технологични фирми и държавни органи.