Whistleblowing и GDPR — наръчник по ЗЗЛПСПОИН (2026)
Кратък отговор: Всяко предприятие с 50+ работници е длъжно да поддържа вътрешен канал за подаване на сигнали за нарушения по ЗЗЛПСПОИН (в сила от 04.05.2023 г., изменен май 2025 г.). Обработката на лични данни в тези сигнали има правно основание законово задължение (чл. 6(1)(c) GDPR), но изисква специфични GDPR мерки: ограничен достъп, поверителност на сигнализатора, DPIA, DPA с доставчика на платформата и внимателно балансиране на правата на обвиненото лице.
Съдържание
- Какво е ЗЗЛПСПОИН и кого задължава
- Измененията от май 2025 г.
- GDPR и whistleblowing — пресечните точки
- Правно основание за обработка на данни от сигнали
- Права на субектите на данни — ограничения
- Срокове за съхранение на данни от сигнали
- КЗЛД като външен канал
- Практически стъпки за работодателите
- Санкции и отговорност
- Често задавани въпроси
Законът за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН, ДВ бр. 11/2023 г.), въведе в българското право задължението за вътрешно и външно подаване на сигнали за нарушения (whistleblowing). Законът транспонира Директива (ЕС) 2019/1937 и създаде нов пласт от задължения за работодателите. С измененията от май 2025 г. (ДВ бр. 39/2025) изискванията бяха допълнително разширени. Тази статия се фокусира върху пресечната точка между ЗЗЛПСПОИН и GDPR — аспект, който повечето наръчници пропускат.
Какво е ЗЗЛПСПОИН и кого задължава
ЗЗЛПСПОИН задължава определени организации да създадат вътрешни канали, чрез които работници, служители и други свързани лица могат да подават сигнали за нарушения на българското и европейското законодателство.
Кой е задължен да създаде вътрешен канал
| Категория | Задължение | Срок |
|---|---|---|
| Публичен сектор (всички) | Вътрешен канал, независимо от броя служители | 04.05.2023 |
| Частен сектор: 250+ работници | Вътрешен канал | 04.05.2023 |
| Частен сектор: 50-249 работници | Вътрешен канал | 17.12.2023 |
| Частен сектор: под 50 работници | Не са задължени (освен ако не попадат в специални категории) | — |
| Специални категории (банки, застрахователи, инвестиционни посредници) | Вътрешен канал, независимо от броя служители | 04.05.2023 |
Кой е защитен
ЗЗЛПСПОИН защитава широк кръг лица, подаващи сигнали:
- Работници и служители (вкл. бивши и кандидати за работа)
- Лица, полагащи труд без трудово правоотношение (граждански договори)
- Доброволци и стажанти (разширено с измененията от 2025 г.)
- Съдружници, акционери, членове на управителни и надзорни органи
- Подизпълнители и доставчици (вкл. бъдещи контрагенти — ново от 2025 г.)
- Свързани лица: роднини, колеги, юридически лица, свързани с подаващия сигнал
Измененията от май 2025 г. (ДВ бр. 39/2025)
Измененията от май 2025 г. внесоха съществени промени, които засягат и GDPR аспектите на системата за сигнали:
Ключови промени от май 2025 г.
- Отпада двугодишната давност за подаване на сигнали — вече няма времево ограничение
- Всяко задължено лице трябва СОБСТВЕН канал — не може да се споделя канал с майка-компанията или групата (критично за GDPR — отделен администратор = отделен канал)
- Разширен кръг защитени лица: доброволци, стажанти, бъдещи контрагенти
- Нова имуществена санкция: 1000-7000 лв. за ЮЛ/ЕТ при нарушаване на поверителността
- Засилена защита: забрана за ответни действия е изрично разширена
Критично за GDPR: Изискването за собствен канал за всяко юридическо лице означава, че всяко дружество в група е отделен администратор на данните от сигналите. Не може да се разчита на общ канал и общ DPA. Всяко дружество трябва да има собствен ROPA запис за обработката на данни от сигнали.
GDPR и whistleblowing — пресечните точки
Системата за подаване на сигнали обработва лични данни на множество категории субекти: сигнализатора, обвиненото лице, свидетели, споменати трети лица. Тази обработка попада изцяло в обхвата на GDPR и изисква спазване на всички принципи и задължения по регламента.
| GDPR аспект | Как се прилага при whistleblowing | Ограничение |
|---|---|---|
| Правно основание | Чл. 6(1)(c) — законово задължение (ЗЗЛПСПОИН) | ЗЗЛПСПОИН създава задължението за канал |
| Право на достъп (чл. 15) | Обвиненият НЕ може да узнае самоличността на сигнализатора | Поверителността на сигнализатора е приоритет |
| Право на информация (чл. 14) | Може да бъде ограничено, ако информирането ще застраши разследването | Чл. 14(5)(b) GDPR — до приключване на проверката |
| Право на изтриване (чл. 17) | Ограничено по време на разследване | Чл. 17(3)(b) и (e) — правни претенции и обществен интерес |
| DPA с доставчик (чл. 28) | Задължителен при използване на външна платформа за сигнали | Доставчикът е обработващ лични данни |
| DPIA (чл. 35) | Препоръчителна — обработката е „високорискова" | Чувствителни данни + уязвими лица + мониторинг |
| Минимизация (чл. 5(1)(c)) | Събирайте само данни, относими към сигнала | Не събирайте повече, отколкото е необходимо за проверката |
Правно основание за обработка на данни от сигнали
Основното правно основание за обработка на данни от сигнали е законово задължение (чл. 6(1)(c) GDPR) — ЗЗЛПСПОИН създава задължението за поддържане на вътрешен канал и обработка на постъпилите сигнали.
За различните етапи на процеса обаче могат да се приложат и други основания:
| Етап | Правно основание | Бележка |
|---|---|---|
| Получаване и регистриране на сигнал | Чл. 6(1)(c) — законово задължение | ЗЗЛПСПОИН задължава да приемете сигнала |
| Проверка на сигнала | Чл. 6(1)(c) — законово задължение | Задължение за проверка в 3-месечен срок |
| Уведомяване на компетентни органи | Чл. 6(1)(c) — законово задължение | При установяване на престъпление |
| Съхранение за последващо производство | Чл. 6(1)(f) — легитимен интерес | Защита при правни претенции |
| Обработка на чувствителни данни | Чл. 9(2)(g) — съществен обществен интерес | Ако сигналът съдържа здравни, политически и др. данни |
Важно: НЕ разчитайте на съгласие (чл. 6(1)(a)) за обработката на данни от сигнали. Съгласието е неподходящо поради дисбаланса на силата между работодател и работник, а при обвиненото лице — е изобщо неприложимо.
Права на субектите на данни — ограничения
При whistleblowing стандартните права по GDPR са обект на съществени ограничения, които произтичат от необходимостта да се защити сигнализаторът и целостта на разследването:
Права на сигнализатора
- ✓ Право да бъде информиран как ще бъдат обработени данните му (чл. 13)
- ✓ Право на достъп до собствените данни (чл. 15)
- ✓ Право на поверителност — самоличността му не може да бъде разкрита без съгласие
- ✓ Право на защита от ответни действия
Права на обвиненото лице
Балансиране: Обвиненото лице има права по GDPR, но те са ограничени с цел защита на сигнализатора и разследването:
- Право на информация (чл. 14): Може да бъде отложено до приключване на проверката (чл. 14(5)(b) GDPR), ако уведомяването би застрашило разследването
- Право на достъп (чл. 15): Обвиненият НЕ може да получи информация, която идентифицира сигнализатора
- Право на изтриване (чл. 17): Ограничено по време на проверката и евентуалното последващо производство
- Право на възражение (чл. 21): Не е приложимо при законово задължение (чл. 6(1)(c))
Практически пример: Обвиненият иска достъп
Ситуация: Служител е обвинен в сигнал за корупция. Научава за сигнала и подава искане за достъп по чл. 15 GDPR, за да узнае кой го е подал.
Правилен отговор:
- Признайте, че обработвате данни за него
- Посочете правното основание (чл. 6(1)(c) — ЗЗЛПСПОИН)
- Предоставете обща информация за категориите данни
- Откажете да разкриете самоличността на сигнализатора — чл. 31, ал. 3 ЗЗЛПСПОИН забранява разкриването без съгласие
- Документирайте отказа с правно обосноваване
Срокове за съхранение на данни от сигнали
ЗЗЛПСПОИН не определя конкретен срок за съхранение на данните от сигнали. Организациите трябва сами да определят разумен срок, съобразен с целите на обработването:
| Категория сигнал | Препоръчителен срок | Обосновка |
|---|---|---|
| Неоснователен сигнал (без последващи действия) | 2-3 месеца | Достатъчно за приключване на проверката |
| Основателен сигнал (вътрешни мерки) | 5 години | Синхронизирано с давността по ЗЗД |
| Сигнал, препратен към прокуратура/КЗЛД | До приключване на производството | + давностен срок за евентуални искове |
| Регистър на сигналите (обобщени данни) | 5 години | За отчетност пред КЗЛД |
Връзка с retention policy: Включете сроковете за данни от сигнали в общата политика за съхранение на данни и в ROPA. Посочете различни срокове за различните изходи (неоснователен / основателен / препратен).
КЗЛД като външен канал
Комисията за защита на личните данни (КЗЛД) има уникално двойно качество в българското право:
Това двойно качество означава, че КЗЛД:
- Приема и разглежда сигнали, подадени по външен канал (когато вътрешният не е сработил или лицето предпочита)
- Генерира уникален идентификационен номер (УИН) за всеки сигнал чрез системата си
- Може да проверява как работодателите обработват данни от сигнали — от GDPR гледна точка
- Може да налага и GDPR глоби (до 20 млн. евро), и санкции по ЗЗЛПСПОИН (до 7000 лв.)
Практически риск: Ако при проверка по ЗЗЛПСПОИН КЗЛД установи и нарушения на GDPR (напр. липса на DPIA, разкриване на самоличността на сигнализатор), може да наложи санкции и по двата закона едновременно.
Нуждаете се от помощ с канал за сигнали по ЗЗЛПСПОИН?
- Изготвяне на вътрешни правила за функциониране на канала
- GDPR оценка (DPIA) на системата за сигнали
- Преглед на DPA с доставчик на платформа за whistleblowing
- Обучение на отговорните лица
Практически стъпки за работодателите
Ако все още не сте създали канал за сигнали или искате да приведете съществуващия в съответствие с GDPR и измененията от 2025 г., следвайте тези стъпки:
Стъпка 1: Определете отговорно лице
Определете конкретно лице или екип (максимум 3 души), отговорен за получаване и разглеждане на сигнали. Това лице трябва да:
- Бъде обучено за ЗЗЛПСПОИН и GDPR
- Бъде независимо — да не е подчинено на лицата, срещу които могат да бъдат подавани сигнали
- Има достъп до данните от сигналите при стриктен контрол
Стъпка 2: Приемете вътрешни правила
Изгответе и приемете вътрешни правила за функциониране на канала, които включват:
- Ред за подаване на сигнали (писмено, устно, среща)
- Ред за регистриране и потвърждаване (7 дни)
- Ред за проверка и обратна връзка (3 месеца)
- Мерки за поверителност на сигнализатора
- GDPR раздел: правно основание, категории данни, срокове за съхранение, права на субектите
Стъпка 3: Създайте Регистър на сигналите
Използвайте утвърдения от КЗЛД образец. Регистърът съдържа:
- УИН (уникален идентификационен номер, генериран от КЗЛД)
- Дата на подаване
- Предмет на сигнала (без лични данни на сигнализатора)
- Предприети действия
- Резултат от проверката
Стъпка 4: Осигурете GDPR съответствие
- ✓ Включете обработката на данни от сигнали в ROPA
- ✓ Извършете DPIA (чл. 35 GDPR) — обработката е високорискова (чувствителни данни + уязвими лица)
- ✓ Ако използвате външна платформа — сключете DPA по чл. 28 (вж. статията за облачни услуги)
- ✓ Определете срокове за съхранение и процедура за изтриване
- ✓ Осигурете технически мерки: криптиране, ограничен достъп, audit logs
- ✓ Изгответе уведомление за поверителност (privacy notice) за подаващите сигнали
Стъпка 5: Информирайте служителите
Уведомете всички работници и служители за наличието на канала и реда за подаване на сигнали. Уведомлението трябва да включва и GDPR информация по чл. 13 GDPR.
Стъпка 6: Обработка на постъпил сигнал
- Регистрирайте сигнала и генерирайте УИН от сайта на КЗЛД
- Потвърдете получаването до 7 дни
- Проверете допустимостта (обхват на ЗЗЛПСПОИН, анонимност, явно неоснователност)
- Извършете проверка — събирайте само необходимите данни (минимизация)
- Предоставете обратна връзка до 3 месеца
- При необходимост — препратете към компетентен орган
- Документирайте всичко в Регистъра на сигналите
Санкции и отговорност
Нарушенията в областта на whistleblowing могат да доведат до санкции по два закона едновременно:
| Нарушение | Санкция по ЗЗЛПСПОИН | Евентуална GDPR санкция |
|---|---|---|
| Липса на вътрешен канал | 5000-20 000 лв. | — |
| Нарушаване поверителността на сигнализатор | 1000-7000 лв. (ЮЛ/ЕТ — нова от 2025) | До 20 млн. евро по чл. 83(5) GDPR |
| Ответни действия срещу сигнализатор | 2000-10 000 лв. (ФЛ), 10 000-30 000 лв. (ЮЛ) | — |
| Липса на ROPA запис за обработката | — | До 10 млн. евро по чл. 83(4) |
| Липса на DPIA | — | До 10 млн. евро по чл. 83(4) |
| Липса на DPA с доставчик на платформа | — | До 10 млн. евро по чл. 83(4) |
| Съхранение на данни отвъд необходимото | — | До 20 млн. евро по чл. 83(5) |
Двоен удар: При разкриване на самоличността на сигнализатор, организацията рискува санкция по ЗЗЛПСПОИН (1000-7000 лв.) и GDPR глоба за неправомерно разкриване на лични данни — която може да бъде в пъти по-висока. Поверителността е едновременно изискване по закона за whistleblowing и задължение по GDPR.
Чести грешки при whistleblowing и GDPR
- ✗ Използване на общ канал за цялата корпоративна група (забранено от 2025 г.)
- ✗ Разкриване на самоличността на сигнализатора на обвиненото лице
- ✗ Липса на DPIA за системата за сигнали
- ✗ Използване на външна платформа без DPA по чл. 28
- ✗ Съхранение на данни от сигнали „безсрочно"
- ✗ Липса на уведомление за поверителност за подаващите сигнали
- ✗ Обработка на данни от анонимен сигнал за профилиране на служители
- ✗ Невключване на обработката в ROPA
Често задавани въпроси
Какво правно основание по GDPR да използвам за обработка на данни от сигнали?
Основното правно основание е законово задължение (чл. 6(1)(c) GDPR) — ЗЗЛПСПОИН създава задължението за поддържане на канал и обработка на сигнали. За съхранение след приключване на проверката може да се приложи легитимен интерес (чл. 6(1)(f)) — защита при правни претенции. Не използвайте съгласие.
Може ли обвиненото лице да поиска достъп до данните в сигнала?
Обвиненото лице има право по чл. 15 GDPR да знае дали се обработват негови данни и за какви цели. Обаче не може да получи информация, идентифицираща сигнализатора — чл. 31, ал. 3 ЗЗЛПСПОИН забранява разкриването без изричното съгласие на сигнализатора. Правото на информация по чл. 14 също може да бъде отложено до приключване на проверката.
Колко дълго трябва да съхранявам данните от сигнали?
ЗЗЛПСПОИН не определя конкретен срок. Добрата практика е: неоснователни сигнали — 2-3 месеца след приключване на проверката; основателни — 5 години (синхронизирано с давността по ЗЗД); препратени към органи — до приключване на производството + давността. Включете тези срокове в retention policy.
Нужен ли е DPA с доставчика на платформата за сигнали?
Да, задължително. Ако използвате външна платформа (SaaS) за получаване и управление на сигнали, доставчикът е обработващ лични данни по смисъла на GDPR. Трябва да сключите DPA по чл. 28, покриващ всички задължителни елементи. Вижте статията за облачни услуги и DPA.
Трябва ли DPIA за системата за вътрешно подаване на сигнали?
GDPR не го изисква изрично, но силно се препоръчва. Обработката на данни от сигнали е високорискова по няколко критерия: чувствителни данни, уязвими лица (служители), оценка/профилиране, данни за нарушения. EDPB и повечето национални DPA в ЕС препоръчват DPIA за whistleblowing системи.
Какви технически мерки трябва да осигуря за поверителност?
Минимум: криптиране на данните (при пренос и при съхранение), строг контрол на достъпа (само определените лица), audit logs за всеки достъп, физическа сигурност на хартиените сигнали, отделно съхранение от другите HR данни. Ако използвате платформа — проверете нейните сертификации (ISO 27001, SOC 2).
Какво се промени в ЗЗЛПСПОИН с измененията от май 2025 г.?
Основните промени: (1) отпадна двугодишната давност за подаване на сигнали; (2) всяко задължено лице трябва собствен канал (не може да споделя с групата); (3) разширен кръг защитени лица (доброволци, стажанти, бъдещи контрагенти); (4) нова имуществена санкция 1000-7000 лв. за нарушаване на поверителност от ЮЛ/ЕТ.
Какви са санкциите за нарушаване на поверителността на сигнализатор?
По ЗЗЛПСПОИН: 1000-7000 лв. за ЮЛ/ЕТ (от 2025 г.), 500-3000 лв. за физически лица. Но GDPR санкциите могат да бъдат много по-високи: неправомерното разкриване на лични данни е нарушение на чл. 5(1)(f) (поверителност) и може да доведе до глоба до 20 млн. евро по чл. 83(5).
Комплексна услуга — whistleblowing канал + GDPR съответствие
- Изготвяне на вътрешни правила за канала
- DPIA за системата за сигнали
- DPA преглед с доставчик на платформа
- Privacy notice за сигнализатори и обвинени лица
- Обучение на отговорните лица
Тази статия отразява правното положение към 26 март 2026 г., включително измененията на ЗЗЛПСПОИН от май 2025 г. (ДВ бр. 39/2025). Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни и/или трудово право.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.